Untuk Siapa Buku Ini
Konteks utama panduan ini adalah perusahaan utilitas air di Indonesia: PDAM/BUMD air minum dan operator swasta utilitas air yang bekerja sama dengan pemerintah. Itu pilihan disengaja. Utilitas air adalah salah satu lapangan paling keras untuk menguji tata kelola teknologi informasi: layanan harus terus berjalan, tarif, investasi, kontrak, dan kewajiban layanan diawasi banyak pihak, sumber daya beragam, dan dampak publik langsung terasa ketika sistem gagal. Jika tata kelola TI bisa dibuat masuk akal di lingkungan seperti ini, prinsipnya biasanya bisa dibawa ke banyak organisasi layanan lain.
Saya menulis dari sudut pandang yang spesifik: bukan dari kursi pemerintahan, bukan dari kursi pimpinan organisasi milik daerah, dan bukan dari posisi auditor yang datang hanya saat pemeriksaan. Karier saya berlangsung di sektor swasta utilitas air yang beririsan langsung dengan layanan publik, pemerintah daerah, dan organisasi penyelenggara layanan air. Posisi itu memberi jarak sekaligus kedekatan. Cukup dekat untuk melihat detail operasional dari kerja harian; cukup berjarak untuk mengenali pola berulang lintas organisasi.
Realitas lapangan sering lebih rumit daripada teori buku teks. PDAM/BUMD membawa konteks pemerintah daerah, pemilik modal publik, proses anggaran, pengawasan, dan tekanan layanan. Operator swasta mitra pemerintah membawa konteks kontrak kerja sama, target layanan, kewajiban pelaporan, risiko reputasi, dan hubungan dengan mitra publik. Tata kelola TI tidak meniadakan realitas itu. Ia memberi pimpinan alat perlindungan rasional: keputusan investasi TI bisa dijelaskan, diukur, dan dipertanggungjawabkan kepada pemilik mandat, mitra kerja sama, auditor, pengguna jasa, dan publik.
Latar belakang itu diperkuat hampir dua dekade pengalaman sebelumnya sebagai konsultan tata kelola proyek TI, manajemen risiko TI, manajemen vendor TI, dan network fault management untuk perusahaan dan lembaga skala besar di Indonesia: perbankan nasional, operator telekomunikasi nasional, BUMN sektor jaminan sosial, dan badan regulator pemerintah di sektor energi dan migas. Nama klien dan institusi tidak relevan di sini. Yang relevan adalah polanya: proyek TI sering gagal bukan karena teknologinya jelek, melainkan karena keputusan, peran, risiko, dan indikator manfaatnya tidak pernah dibereskan sejak awal.
Berdasarkan pengamatan lintas sektor itu, saya percaya masalah tata kelola TI di perusahaan utilitas air bukan masalah yang eksotis. Ia sangat Indonesia, tetapi tidak unik pada satu bentuk organisasi. Pola yang sama muncul di organisasi lain dengan istilah berbeda. Di perbankan namanya risiko operasional transaksi. Di telekomunikasi namanya keandalan jaringan. Di regulator sektor publik namanya akuntabilitas layanan digital. Di utilitas air, ia terlihat sebagai SCADA yang tidak bisa dikendalikan dari ruang kendali, billing yang tersendat, data pelanggan yang tidak sinkron, atau proyek aplikasi yang selesai secara administratif tetapi tidak mengubah cara kerja.
Karena itu, prinsip yang disajikan di sini, yaitu struktur keputusan, akuntabilitas TI, kepatuhan regulasi, manajemen risiko, dan kematangan tata kelola, berlaku di hampir setiap organisasi yang mengandalkan TI sebagai tulang punggung layanan: BUMD listrik dan gas, koperasi simpan pinjam dan BMT, puskesmas dan RSUD, sekolah penerima BOS dan kampus menengah, hingga korporasi swasta menengah multi-cabang. Saya menulis dari kursi yang saya kenal; pembaca dapat mendudukkan prinsipnya di kursi sendiri.
Mitos yang ingin saya bongkar sejak awal: tata kelola TI bukan kemewahan organisasi besar. Justru organisasi yang sumber dayanya terbatas paling membutuhkan tata kelola, karena setiap keputusan yang keliru akan lebih mahal, lebih lama diperbaiki, dan lebih cepat terasa oleh pengguna jasa.
Lebih dari 100 butir daftar periksa diagnostik punya satu fungsi: membantu Direksi memotong debat teknis yang bertele-tele dan langsung menembak isu substansial, seperti siapa penanggung jawabnya, apa risikonya, dan bukti apa yang menunjukkan keputusan berjalan. Daftar periksa tersebut bukan setumpuk formulir administratif yang harus dicetak dan ditandatangani panitia untuk menunda eksekusi teknis. Ia adalah alat bernavigasi (mental model) untuk mengurangi kesalahan fatal pada hal-hal dasar akibat kelupaan kolektif.
Tanda panduan ini dipakai dengan benar bukanlah banyaknya istilah baru yang dihafal, atau tumpukan dokumen audit yang Anda cetak. Tandanya lebih sederhana: rapat menjadi lebih jelas, keputusan punya pemilik, risiko punya bahasa yang sama, dan proyek TI tidak lagi dimulai hanya karena ada anggaran. Jika setelah membaca satu bab pembaca bisa memperbaiki satu agenda rapat, satu format laporan, atau satu keputusan eskalasi, panduan ini sudah bekerja sesuai fungsinya. Ukuran keberhasilan buku teknis bukan keindahan teorinya, melainkan perubahan kecil yang bisa diamati dalam cara organisasi mengambil keputusan.
Itu sebabnya pembaca sebaiknya menandai halaman bukan karena kalimatnya indah, tetapi karena bisa dipakai untuk mengubah agenda kerja minggu depan.
Panduan Membaca dan Jalur Baca
Pembaca datang dengan tingkat tanggung jawab berbeda. Ada yang membaca karena harus mengambil keputusan Direksi. Ada yang membaca karena harus menyiapkan dokumen, indikator, dan risk register. Ada juga yang membaca karena ingin memahami gambaran utuh sebelum masuk ke satu bab tertentu. Karena itu, cara membaca tidak harus selalu linier.
Pilih jalur yang sesuai dengan peran dan masalah yang sedang dihadapi.
Track Eksekutif (E); bab dengan label Track: Eksekutif ditujukan untuk Direksi, Manajer, dan pengambil keputusan. Fokus pada struktur, strategi, dan oversight. Waktu terbatas? Baca minimal bab 1, 5, 9, dan 15.
Track Praktisi (P); bab dengan label Track: Praktisi ditujukan untuk IT practitioner, auditor, dan pelaksana teknis. Fokus pada implementasi, tools, dan prosedur.
Track Keduanya (K); bab dengan label Track: Keduanya penting untuk semua pembaca. Ini mencakup fondasi regulasi, studi kasus, dan penutup.
Tabel 0.1 merangkum jalur baca minimum untuk beberapa profil pembaca.
Tabel 0.1 Jalur baca yang disarankan
| Profil Pembaca | Jalur Minimum | Tujuan Membaca |
|---|---|---|
| Direksi atau Dewan Pengawas | Bab 1, 2, 5, 9, 12, 15 | Memahami risiko keputusan, akuntabilitas, dan roadmap pengawasan |
| Manajer Operasi atau Keuangan | Bab 1, 4, 5, 8, 10, 11 | Menghubungkan TI dengan layanan, anggaran, risiko, dan eksekusi |
| Kepala TI atau Praktisi TI | Bab 1, 3, 4, 6, 7, 10, 11, 14 | Membangun kerangka, dokumen, audit, dan alat kerja |
| Auditor atau Satuan Pengawas Internal | Bab 2, 3, 4, 6, 7, 9 | Menyusun pertanyaan audit dan bukti pengendalian |
| Pembaca baru yang ingin gambaran utuh | Bab 1 sampai 15 | Mengikuti alur lengkap dari urgensi sampai roadmap |
Urutan yang disarankan tetap Bab 1 sampai Bab 15 karena alurnya dibangun secara progresif. Bab 1 menjelaskan mengapa tata kelola TI menjadi urusan Direksi. Bab 2 memberi batas regulasi. Bab 3 memberi bahasa bersama melalui COBIT. Bab 4 sampai Bab 8 mengurai instrumen utama: risiko, struktur organisasi, dokumentasi, audit, dan investasi. Bab 9 sampai Bab 12 membawa pembaca ke asesmen, implementasi, pelembagaan, dan studi kasus. Bab 13 sampai Bab 15 menutup dengan transformasi digital, alat kerja, dan arah ke depan.
Namun pembaca tidak wajib menunggu selesai seluruh buku untuk mulai bertindak. Jika Anda Direksi yang hanya punya satu jam sebelum rapat, mulai dari Bab 1 dan Bab 15. Jika Anda Kepala TI yang diminta menyiapkan program 90 hari, baca Bab 3, Bab 4, Bab 10, dan Bab 11. Jika Anda auditor yang sedang menyusun program pemeriksaan, lihat Bab 2, Bab 6, Bab 7, dan Bab 9. Setiap jalur baca dibuat supaya pembaca bisa langsung masuk ke masalah yang sedang dihadapi.
Setiap bab berdiri sendiri dengan tujuan yang jelas. Anda bisa lompat ke bab yang relevan tanpa kehilangan konteks. Bab-bab berikutnya akan mengurai instrumen implementasinya secara bertahap. Kita bergerak dari “mengapa ini penting” ke “bagaimana menjalankannya”. Prinsipnya tetap sama: mulai dari struktur keputusan, ukur hasilnya, perbaiki secara konsisten.
Di akhir rangkaian 15 bab, pembaca tidak hanya memahami tata kelola TI. Pembaca akan mampu membangun tiga instrumen yang langsung dipakai di organisasi: rencana 30 hari pertama dengan pemilik dan tenggat, matriks prioritas risiko 90 hari dengan indikator keberhasilan, dan ritme pertanyaan pengawasan bulanan yang menjaga disiplin keputusan tetap berjalan. Bukan dokumen yang masuk laci. Instrumen yang dipakai dalam rapat Senin pagi.
Prasyarat dan Asumsi Pembaca
Pembaca tidak perlu menguasai COBIT, ISO 27001, audit TI, atau arsitektur sistem secara mendalam sebelum mulai. Istilah teknis diperkenalkan ketika dibutuhkan. Kalau sebuah istilah asing penting, formatnya memakai padanan Indonesia terlebih dahulu lalu istilah asing dalam tanda kurung, misalnya Tata Kelola TI (IT Governance) atau Manajemen Risiko (Risk Management).
Prasyarat pembaca lebih sederhana: pernah melihat bagaimana keputusan organisasi dibuat, pernah mengalami rapat yang banyak membahas gejala tetapi sedikit menetapkan pemilik keputusan, dan bersedia melihat TI bukan hanya sebagai urusan teknisi. Pembaca yang sangat awam terhadap TI tetap bisa mengikuti Bab 1, Bab 2, Bab 5, Bab 9, Bab 12, dan Bab 15. Pembaca yang ingin detail teknis lebih kuat akan mendapatkan manfaat lebih besar dari Bab 3, Bab 4, Bab 6, Bab 7, Bab 8, Bab 10, Bab 11, dan Bab 14.
Ada satu asumsi penting: pembaca memahami bahwa panduan ini bukan pedoman hukum resmi, bukan standar audit resmi, dan bukan pengganti konsultasi profesional. Fungsinya adalah jembatan praktis agar Direksi, manajer, praktisi TI, dan auditor berbicara dalam bahasa keputusan yang sama. Untuk kewajiban hukum, pembaca tetap perlu merujuk regulasi resmi dan meminta pendapat ahli hukum ketika konteksnya sensitif.
Asumsi pembaca berikutnya: organisasi Anda mungkin tidak ideal. Mungkin belum ada CIO. Mungkin komite pengarah TI belum aktif. Mungkin dokumentasi tersebar. Mungkin risk register belum pernah dibahas di rapat Direksi. Itu bukan alasan untuk merasa kerangka ini terlalu tinggi. Tata kelola TI yang baik tidak dimulai dari organisasi sempurna. Ia dimulai dari organisasi yang berani mengakui titik nolnya.
Jika ada bagian yang terasa terlalu teknis, baca pertanyaannya lebih dulu sebelum membaca istilahnya. Di hampir setiap topik, inti tata kelola bisa diringkas menjadi tiga hal: keputusan apa yang harus dibuat, siapa yang bertanggung jawab, dan bukti apa yang menunjukkan keputusan itu berjalan. Istilah boleh menyusul. Disiplin keputusan harus datang lebih awal.
Cara Menggunakan Panduan Ini di Rapat
Panduan ini paling berguna jika tidak hanya dibaca sendirian. Gunakan sebagai bahan rapat. Ambil satu bab, pilih satu pertanyaan tajam, lalu pakai pertanyaan itu untuk membuka percakapan lintas fungsi. Jangan mulai dari “sistem apa yang harus dibeli”. Mulailah dari “keputusan apa yang belum punya pemilik”.
Contohnya sederhana. Setelah membaca Bab 1, Direksi dapat meminta tim menuliskan siapa incident commander untuk sistem billing, SCADA, dan layanan pelanggan. Setelah membaca Bab 2, organisasi dapat membuat daftar kewajiban regulasi yang sudah punya bukti kepatuhan dan yang belum. Setelah membaca Bab 4, manajemen dapat meminta sepuluh risiko TI tertinggi, bukan daftar risiko sepanjang 100 baris yang tidak pernah dibahas. Setelah membaca Bab 9, pimpinan dapat meminta skor kematangan yang jujur, bukan skor yang hanya bagus untuk presentasi.
Dalam pengalaman saya, organisasi sering terlalu cepat melompat ke dokumen besar. SK dibentuk, komite dinamai, template diunduh, tetapi ritme keputusan tidak berubah. Cara menggunakan panduan ini sebaiknya kebalikannya: mulai dari satu keputusan yang nyata, satu pemilik yang jelas, satu indikator yang bisa dipantau, lalu satu siklus evaluasi. Jika empat hal itu berjalan, dokumen formal akan mengikuti dengan lebih sehat.
Jangan jadikan panduan ini sebagai daftar tugas yang semuanya harus selesai sekaligus. Pilih satu bab yang paling dekat dengan masalah saat ini. Jika masalahnya insiden berulang, mulai dari Bab 1 dan Bab 4. Jika masalahnya proyek digital yang tidak jelas manfaatnya, mulai dari Bab 8. Jika masalahnya banyak temuan audit berulang, mulai dari Bab 6 dan Bab 7. Jika masalahnya Direksi belum punya peta jalan, mulai dari Bab 15.
Batasan Buku Ini
Pendekatan dalam naskah ini sengaja praktis, tetapi bukan resep instan. Tidak semua organisasi utilitas air, baik BUMD maupun operator swasta mitra pemerintah, akan memiliki jalur implementasi yang sama. Struktur organisasi berbeda. Kematangan SDM berbeda. Kualitas data berbeda. Hubungan dengan vendor dan mitra kerja sama berbeda. Tekanan pemilik modal, kontrak, regulasi, dan layanan juga berbeda. Karena itu, gunakan kerangkanya sebagai cara berpikir, bukan sebagai daftar perintah yang ditempel tanpa penyesuaian.
Saya tidak setuju dengan anggapan bahwa tata kelola TI cukup diselesaikan dengan membeli aplikasi governance, risk, and compliance atau menyewa konsultan besar. Alat bisa membantu, tetapi alat tidak menggantikan keberanian organisasi menetapkan siapa pemilik keputusan, siapa pemilik risiko, siapa pemilik manfaat, dan kapan keputusan harus dievaluasi. Kalau empat hal itu kabur, alat secanggih apa pun hanya memindahkan kekacauan lama ke layar yang lebih rapi.
Saya percaya titik awal yang sehat biasanya lebih sederhana: satu layanan kritis, satu risiko prioritas, satu pemilik keputusan, satu indikator hasil. Mulai dari sana. Setelah ritmenya terbentuk, organisasi boleh menambah dokumen, forum, komite, dashboard, dan otomasi. Urutan ini penting. Banyak organisasi gagal bukan karena terlalu lambat membeli teknologi, tetapi karena terlalu cepat mengotomasi proses yang belum dewasa.
Panduan ini juga tidak menggantikan standar resmi. COBIT, ISO/IEC 27001, Indeks KAMI, regulasi SPBE, ketentuan BSSN, dan regulasi perlindungan data pribadi memiliki dokumen rujukan masing-masing. Tujuannya membantu pembaca memahami hubungan antar-rujukan itu dalam bahasa keputusan organisasi. Jika pembaca membutuhkan sertifikasi, audit formal, atau pembuktian kepatuhan hukum, gunakan dokumen resmi dan tenaga ahli yang berwenang.
Batasan berikutnya menyangkut contoh. Studi kasus yang dipakai sebagian berasal dari kejadian publik yang terdokumentasi, sebagian lagi berupa komposit pembelajaran yang dianonimkan. Komposit dipakai bukan untuk menambah drama, tetapi untuk melindungi kerahasiaan organisasi dan individu. Dalam tata kelola TI, pelajaran sering lebih penting daripada identitas pelaku. Yang perlu dibawa pulang bukan “siapa yang salah”, melainkan “keputusan apa yang seharusnya sudah dibuat sebelum masalah muncul”.
Terakhir, tujuannya bukan mempermalukan organisasi yang belum matang. Hampir semua organisasi pernah berada di level awal. Yang membedakan organisasi sehat dan tidak sehat bukan apakah mereka pernah kacau, melainkan apakah mereka belajar setelah kekacauan itu terlihat. Jika pembaca merasa “kami belum punya itu”, respons yang tepat bukan defensif. Respons yang tepat adalah memilih satu perbaikan kecil yang bisa dimulai minggu ini.
Tentang Penulis
FD Iskandar menulis dari pertemuan dua dunia: disiplin tata kelola korporat lintas industri dan dinamika layanan utilitas air di Indonesia. Pengalaman itu tidak dipakai sebagai klaim otoritas formal, melainkan sebagai lensa untuk membaca pola keputusan, risiko, vendor, dan layanan yang berulang di banyak organisasi. Fokusnya sederhana: membantu manajemen membenahi keputusan teknologi sebelum krisis memaksa organisasi belajar dengan biaya yang jauh lebih mahal.
Penafian
Tulisan ini adalah pandangan pribadi penulis berdasarkan pengalaman praktis dan studi independen. Ia bukan pandangan institusional, bukan nasihat hukum, dan bukan instrumen audit resmi. Pembaca tetap perlu memverifikasi regulasi, standar, dan kondisi organisasi masing-masing sebelum mengambil keputusan operasional yang berdampak besar.
Hak Cipta dan Penggunaan
Hak cipta naskah ini berada pada FD Iskandar. Pembaca dipersilakan mengutip isi atau mengadaptasi ragam daftar periksa secara bebas untuk keperluan internal operasional, asalkan tetap menyertakan atribusi sumber.
Distribusi ulang dalam skala luas atau penerbitan ulang memerlukan izin tertulis. Gunakan naskah ini sebagai kompas manajerial, lalu selaraskan kembali setiap keputusan besar dengan regulasi terbaru dan kapasitas riil organisasi.