Track: Praktisi (P); untuk IT practitioner, auditor, dan pelaksana teknis.
Tiga Hal yang Wajib Dibawa Pulang
- Alat terbaik adalah yang benar-benar dipakai. Tool tata kelola senilai ratusan juta rupiah yang adopsinya rendah lebih mahal dari spreadsheet sederhana yang disiplin diperbarui setiap minggu.
- Mulai dari proses, bukan dari tool. Membeli tool sebelum proses tata kelolanya stabil sama dengan memasang autopilot di pesawat yang belum tahu arah tujuannya.
- Satu tool yang dikuasai lebih baik dari tiga tool yang setengah-setengah. Fragmentasi tool tanpa integrasi menciptakan silo data baru yang mempersulit pengambilan keputusan.
Peta Konsep Bab Ini
Diagram 14.1 Peta Konsep Bab 14
Cerita: Spreadsheet yang Tidak Lagi Cukup
Cerita pembuka ini adalah komposit pembelajaran. “Risk register kita ada di Excel, policy di Google Drive, project status di PowerPoint, dan incident data di email. Setiap kali direksi minta laporan, saya harus mengumpulkan data dari lima tempat berbeda dan menggabungkannya secara manual,” keluh Kepala Divisi TI setelah rapat yang melelahkan.
Tahun lalu, Organisasi X telah berhasil membangun fondasi tata kelola TI yang baik. Prosedur ada, struktur ada, dan orang mulai terbiasa dengan cara kerja baru. Tetapi ada satu masalah: semuanya masih manual. Spreadsheets dan shared folders menjadi tulang punggung operasi tata kelola.
“Kita butuh sistem yang lebih baik,” lanjut Kepala Divisi TI. “Tapi saya bingung. Ada begitu banyak tools di luar sana. Ada yang mahal sekali, ada yang gratis. Ada yang all-in-one, ada yang spesifik. Bagaimana kita memilih yang tepat untuk organisasi kita?”
Bab ini membahas bagaimana memilih dan menggunakan alat untuk mendukung tata kelola TI tanpa terjebak dalam vendor hype atau investasi yang tidak perlu.
Saya punya prinsip yang mungkin kontroversial: organisasi dengan maturity di bawah Level 3 sebaiknya tidak memulai dari pembelian GRC platform. Saya pernah melihat organisasi layanan air mengalokasikan ratusan juta rupiah untuk software tata kelola, lalu menyadari bahwa masalah sebenarnya bukan ketiadaan tools, melainkan ketiadaan disiplin proses. Spreadsheet yang diisi dengan disiplin sering lebih berguna daripada software mahal yang jarang dibuka.
14.1 Toolbox untuk Tata Kelola TI
Alat untuk tata kelola TI dapat dikategorikan berdasarkan fungsi utamanya. Tidak ada satu tool yang dapat melakukan semuanya, jadi organisasi perlu kombinasi alat yang terintegrasi.
14.1.1 Platform GRC
Platform GRC (Governance, Risk, Compliance) adalah alat komprehensif yang dirancang khusus untuk tata kelola, risiko, dan kepatuhan.
Fungsi Utama:
- Risk management: risk register, penilaian risiko, dan risk reporting.
- Compliance management: compliance assessment, evidence collection, dan finding tracking.
- Policy management: policy lifecycle, distribusi, dan acknowledgment tracking.
- Audit management: audit planning, fieldwork, reporting, dan remediation tracking.
- Issue management: pelacakan isu dan remediasi.
Tabel 14.1 Contoh platform GRC
| Platform | Target Market | Harga Range | Keterangan |
|---|---|---|---|
| ServiceNow GRC | Enterprise | Tinggi | Platform terintegrasi dengan ITSM |
| RSA Archer | Enterprise | Tinggi | Fleksibel, dapat dikustomisasi |
| MetricStream | Enterprise | Tinggi | Fokus pada compliance dan risk |
| LogicGate | Mid-Market | Sedang | Modern, user-friendly |
| ISOnline | SMB | Rendah-Sedang | Sederhana, mudah implementasi |
| VComply | SMB | Rendah | Terjangkau, cloud-based |
Kapan GRC Platform Cocok:
- Organisasi dengan kematangan tata kelola tinggi (level 3-4)
- Kebutuhan reporting yang kompleks dan terstruktur
- Organisasi dengan regulasi yang ketat
- Anggaran memadai (ratusan juta hingga miliaran rupiah per tahun)
14.1.2 Alat Project dan Portfolio Management
Alat ini membantu mengelola portofolio proyek dan proyek individual.
Fungsi Utama:
Fungsi utamanya mencakup seleksi dan prioritas portofolio, scheduling, resource allocation, progress tracking, kolaborasi tim, document sharing, komunikasi, status reporting, dashboard, dan analytics.
Tabel 14.2 Contoh alat project dan portfolio management
| Platform | Target Market | Harga Range | Keterangan |
|---|---|---|---|
| Microsoft Project | Enterprise | Sedang | Standar industri untuk scheduling |
| Jira + Advanced Roadmaps | Mid-Tech | Sedang | Populer untuk software development |
| Asana | SMB | Rendah-Sedang | Mudah digunakan, visual |
| Monday.com | SMB | Rendah-Sedang | Fleksibel, modern |
| Smartsheet | SMB-Mid | Sedang | Seperti Excel tetapi lebih powerful |
| ClickUp | SMB | Rendah | Terjangkau, all-in-one |
Kapan Cocok:
Hampir semua organisasi membutuhkan project management tools. Pilih berdasarkan kompleksitas proyek dan preferensi pengguna. Untuk tata kelola TI, fokus pada fitur portofolio dan pelaporan.
14.1.3 Document dan Knowledge Management
Alat ini membantu mengelola dokumen, policy, prosedur, dan pengetahuan organisasi.
Fungsi Utama:
- Document repository: penyimpanan terpusat untuk dokumen.
- Version control: pelacakan perubahan dokumen.
- Approval workflow: alur persetujuan dokumen.
- Access control: kontrol akses berdasarkan peran.
- Search dan collaboration: pencarian cepat dan kolaborasi pada dokumen.
Tabel 14.3 Contoh alat document dan knowledge management
| Platform | Target Market | Harga Range | Keterangan |
|---|---|---|---|
| Microsoft SharePoint | Enterprise | Sedang | Terintegrasi dengan Microsoft 365 |
| Confluence | Mid-Market | Sedang | Populer untuk knowledge base |
| Google Workspace | SMB | Rendah | Sederhana, kolaboratif |
| Notion | SMB | Rendah | Modern, fleksibel |
| Guru | SMB | Rendah | Knowledge base spesifik |
Kapan Cocok:
- Semua organisasi membutuhkan document management
- Pilih berdasarkan ekosistem yang sudah digunakan (Microsoft vs Google vs lainnya)
14.1.4 Alat Performance dan Analytics
Alat ini membantu mengumpulkan, memvisualisasikan, dan menganalisis data performa.
Fungsi Utama:
- Data Collection: pengumpulan data dari berbagai sumber
- Visualization: dashboard dan visualisasi data
- Analytics: analisis tren dan insight
- Reporting: laporan otomatis dan terjadwal
Tabel 14.4 Contoh alat performance dan analytics
| Platform | Target Market | Harga Range | Keterangan |
|---|---|---|---|
| Microsoft Power BI | Mid-Enterprise | Sedang | Powerful, terintegrasi Microsoft |
| Tableau | Enterprise | Tinggi | Visualisasi data terbaik |
| Google Looker | Mid-Market | Tinggi | Cloud-based, powerful |
| Sisense | Mid-Market | Tinggi | Fokus pada analytics |
| Grafana | Tech | Rendah (Open Source) | Untuk monitoring teknis |
| Kibana | Tech | Rendah (Open Source) | Untuk log analytics |
Kapan Cocok:
- Organisasi dengan kebutuhan reporting yang kompleks
- Penting untuk visibility performa TI ke manajemen
14.1.5 Alat Audit dan Kepatuhan
Alat ini membantu proses audit dan kepatuhan.
Fungsi Utama:
Fungsi utamanya mencakup perencanaan audit berbasis risiko, pengumpulan bukti, pengujian, pelaporan temuan, rekomendasi, dan pelacakan remediasi.
Tabel 14.5 Contoh alat audit dan kepatuhan
| Platform | Target Market | Harga Range | Keterangan |
|---|---|---|---|
| TeamMate+ | Enterprise | Tinggi | Komprehensif untuk audit |
| AuditBoard | Mid-Enterprise | Sedang-Tinggi | Modern, cloud-based |
| Galvanize | Mid-Enterprise | Sedang-Tinggi | Fokus pada kepatuhan |
| Diligent | Enterprise | Tinggi | Terintegrasi dengan board tools |
Kapan Cocok:
- Organisasi dengan fungsi audit internal yang aktif
- Organisasi dengan kebutuhan kepatuhan yang kompleks
14.1.6 Alat Keamanan
Alat keamanan adalah bagian penting dari tata kelola TI.
Fungsi Utama:
Fungsi utamanya mencakup vulnerability management, SIEM (security information and event management), identity and access management, dan data loss prevention.
Contoh Alat:
- Tenable, Qualys untuk vulnerability management
- Splunk, QRadar untuk SIEM
- Okta, Azure AD untuk identity management
14.2 Build vs Buy vs Open Source
Salah satu keputusan paling penting adalah: membeli solusi komersial, menggunakan open source, atau membangun sendiri.
14.2.1 Buy: Solusi Komersial
Kelebihan:
Solusi komersial biasanya siap digunakan, memiliki vendor support, dibangun berdasarkan praktik industri, lebih mudah terintegrasi dengan ekosistem tertentu, dan terus dikembangkan oleh vendor.
Kekurangan:
Kekurangannya adalah license fee dan subscription yang mahal, risiko vendor lock-in, kemampuan kustomisasi terbatas, dan kompleksitas fitur yang mungkin tidak dibutuhkan.
Kapan Cocok:
Solusi komersial cocok untuk organisasi dengan anggaran memadai, kebutuhan standar, target implementasi cepat, dan kebutuhan support dari vendor.
14.2.2 Open Source
Kelebihan:
Solusi open source biasanya gratis atau murah, fleksibel untuk dikustomisasi, memiliki dukungan komunitas, dan mengurangi risiko vendor lock-in.
Kekurangan:
Kekurangannya adalah formal support yang mungkin tidak tersedia, kebutuhan keahlian teknis, beban pemeliharaan internal, dan integrasi yang sering memerlukan kerja tambahan.
Contoh Open Source untuk GRC:
- OpenGRC: open source GRC platform
- ComplianceForge: framework dan tools untuk keamanan informasi
- OpenRisk: risk management open source
Kapan Cocok:
- Organisasi dengan anggaran terbatas
- Organisasi dengan keahlian teknis internal
- Kebutuhan yang spesifik dan dapat dikustomisasi
14.2.3 Build: Pengembangan Kustom
Kelebihan:
Solusi kustom dapat dibangun sesuai kebutuhan spesifik, memberi kontrol penuh atas fitur dan evolusi, dapat diintegrasikan dengan sistem yang sudah ada, dan dapat menjadi pembeda kompetitif.
Kekurangan:
Kekurangannya adalah biaya pengembangan yang mahal, waktu pengembangan yang panjang, kebutuhan tim pemeliharaan, dan risiko kegagalan pengembangan.
Kapan Cocok:
Kebutuhan yang sangat unik dan tidak tersedia di pasar. Organisasi dengan kapabilitas pengembangan perangkat lunak yang kuat. Diferensiasi kompetitif dari sistem GRC.
14.2.4 Matriks Keputusan
Tabel 14.6 Matriks keputusan buy, open source, dan build
| Faktor | Buy | Open Source | Build |
|---|---|---|---|
| Initial Cost | Sedang-Tinggi | Rendah | Tinggi |
| Time to Value | Cepat | Sedang | Lambat |
| Flexibility | Terbatas | Tinggi | Sangat Tinggi |
| Maintenance | Vendor | Internal | Internal |
| Support | Vendor | Komunitas | Internal |
| Best Practices | Ya | Tergantung | Tidak |
| Total Cost of Ownership | Tinggi | Sedang | Sangat Tinggi |
14.2.5 Pendekatan Hybrid: Praktik Terbaik
Banyak organisasi mengadopsi pendekatan hybrid: membeli tools untuk fungsi standar, membangun solusi kustom untuk kebutuhan spesifik, dan menggunakan open source untuk komponen teknis.
Contoh Pendekatan Hybrid:
Core GRC Buy solusi komersial untuk risk dan compliance.
Project Management Buy Jira atau Asana.
Document Management Buy SharePoint atau Confluence.
Custom Reporting Build dashboard spesifik dengan Power BI.
Integration Build integration layer dengan open source tools.
14.3 Rekomendasi untuk Berbagai Skala Organisasi
Tidak ada satu set tools yang cocok untuk semua organisasi. Bagian ini memberikan rekomendasi berdasarkan skala organisasi, anggaran, dan kebutuhan: dari organisasi kecil hingga enterprise.
14.3.1 Organisasi Kecil (SMB)
Budget: Terbatas Kebutuhan: Sederhana Rekomendasi:
Rekomendasi praktisnya adalah Asana atau Monday.com untuk proyek, Google Workspace atau Notion untuk dokumen, Excel atau Google Sheets untuk risk register dan performa, serta audit manual berbasis template.
Total Cost: Rp 10-50 juta/tahun
14.3.2 Organisasi Menengah
Budget: Sedang Kebutuhan: Menengah Rekomendasi:
Rekomendasi praktisnya adalah Jira atau Smartsheet untuk proyek, Confluence atau SharePoint untuk dokumen, lightweight GRC seperti ISOnline atau VComply untuk risiko dan kepatuhan, Power BI atau Google Looker untuk performa, serta alat audit ringan.
Total Cost: Rp 100-500 juta/tahun
14.3.3 Organisasi Besar
Budget: Memadai Kebutuhan: Kompleks Rekomendasi:
Rekomendasi praktisnya adalah ServiceNow, RSA Archer, atau MetricStream untuk GRC; Microsoft Project dan Project Online untuk proyek; SharePoint dengan fitur lanjutan untuk dokumen; Power BI atau Tableau untuk performa; serta TeamMate+ atau AuditBoard untuk audit.
Total Cost: Rp 500 juta - beberapa miliar/tahun
14.4 Implementasi Alat: Praktik Terbaik
Memilih alat hanyalah setengah dari pekerjaan. Bagian ini membahas bagaimana mengimplementasikan alat tersebut secara efektif: mulai dari prinsip dasar hingga pengukuran manfaat.
14.4.1 Prinsip Implementasi
Proses Dulu, Teknologi Kemudian Jangan membeli alat sebelum proses siap. Alat harus mendukung proses, bukan mendefinisikannya.
Rollout Bertahap Mulai dengan satu fungsi atau satu unit, lalu scale-up. Jangan big bang.
Adopsi Pengguna adalah Kunci Alat terbaik pun tidak berguna jika tidak digunakan. Investasi dalam pelatihan dan change management.
Integrasi Penting Pastikan alat dapat terintegrasi. Silo data tidak membantu tata kelola.
Ukur Nilai Tentukan metrik untuk mengukur nilai alat. Jangan hanya mengukur adopsi, tetapi dampak bisnis.
14.4.2 Kesalahan Umum
Over-Engineering Membeli alat yang terlalu kompleks untuk kebutuhan organisasi.
Tool Proliferation Terlalu banyak alat yang tidak terintegrasi menciptakan kekacauan baru.
Mengabaikan Umpan Balik Pengguna Tidak mendengarkan feedback pengguna menyebabkan adopsi yang rendah.
Meremehkan Implementasi Implementasi alat sering memakan waktu lebih lama dan biaya lebih besar dari perkiraan.
Melupakan Pemeliharaan Alat memerlukan pemeliharaan: update, patch, upgrade, dan support.
Monitoring Tanpa Anggaran Darurat Bagi Direksi, memasang perangkat lunak monitoring (pemantauan) seolah menyelesaikan masalah downtime. Namun bagi Kepala Bagian TI, dashboard monitoring yang canggih hanyalah mesin pembuat stres jika tidak diiringi dengan ketersediaan anggaran darurat. Ketika alarm berbunyi merah karena kapasitas storage database sudah 99%, Manajer TI butuh wewenang dan dana tak terduga untuk membeli tambahan kapasitas hari itu juga. Jika peringatan kritis tersebut dijawab oleh Manajemen dengan, “Nanti dulu, tunggu persetujuan Anggaran Perubahan bulan Oktober”, maka tools pemantau senilai ratusan juta itu menjadi tidak berguna. Akhirnya, tim TI akan memilih mematikan notifikasi alarm tersebut daripada sakit hati. Jangan menuntut tim TI memasang alarm kebakaran jika Anda mengunci rapat-rapat keran air pemadamnya.
14.5 Studi Kasus: Pemilihan Alat di Organisasi X
Organisasi X memilih kombinasi alat untuk mendukung tata kelola TI mereka.
14.5.1 Kebutuhan
Setelah 18 bulan implementasi, Organisasi X memiliki:
Setelah 18 bulan implementasi, Organisasi X memiliki 5 unit dengan lebih dari 150 karyawan, lebih dari 90 risiko yang dikelola, lebih dari 20 proyek aktif, 12 policy yang harus didistribusikan, dan kebutuhan pelaporan rutin ke Direksi.
14.5.2 Solusi yang Dipilih
Core Platforms:
- Microsoft 365 (sudah ada): SharePoint, Teams, Power BI
- Jira untuk project management: Rp 200 juta/tahun
- ISOnline untuk risk/compliance: Rp 150 juta/tahun
- Confluence untuk knowledge base: Rp 100 juta/tahun
Total investasi: Rp 450 juta per tahun (di luar Microsoft 365 yang sudah ada)
14.5.3 Hasil
Setelah implementasi:
Risk register menjadi terpusat dan mudah diakses. Project portfolio terkelola dengan baik. Policy terdistribusi dengan acknowledgment tracking. Executive dashboard memiliki 15 KPI. Waktu pelaporan berkurang 20 jam per minggu.
14.5.4 Pelajaran
- Manfaatkan investasi yang sudah ada: Microsoft 365 sudah ada, jadi dimanfaatkan sepenuhnya.
- Jangan membeli berlebihan: Tidak semua organisasi butuh platform GRC enterprise.
- Integrasi menentukan nilai: Alat yang terintegrasi memberikan nilai lebih besar.
- Adopsi pengguna penting: Pelatihan dan support sangat penting.
14.6 Penutup Bab
Bab ini menegaskan satu hal: alat tidak memperbaiki proses yang belum jelas. Alat hanya mempercepat kebiasaan yang sudah ada. Jika kebiasaan organisasi masih berantakan, alat digital akan mempercepat keberantakan itu.
Untuk perusahaan utilitas air, pilihan alat harus mengikuti ritme kerja: risiko, proyek, dokumen, audit, performa, dan keamanan. Spreadsheet yang disiplin bisa menjadi fondasi awal, tetapi saat volume data dan kebutuhan pelaporan meningkat, integrasi menjadi kebutuhan nyata.
Berdasarkan pengamatan, pembelian alat yang paling berisiko bukan pembelian yang mahal, tetapi pembelian yang tidak punya pemilik adopsi. Tanpa pemilik yang jelas, alat berubah menjadi biaya langganan yang diam-diam membocorkan anggaran.
Pola ini berlaku lintas industri. BUMD listrik dan gas, koperasi simpan pinjam, puskesmas atau RSUD, sekolah penerima BOS, dan korporasi swasta menengah sama-sama perlu memilih alat berdasarkan proses yang ingin distabilkan, bukan berdasarkan fitur yang paling menarik di presentasi vendor.
Ringkasan Bab
- Alat tata kelola harus mengikuti proses, bukan menggantikan proses.
- Platform GRC cocok untuk organisasi yang prosesnya sudah cukup matang.
- Solusi komersial, open source, dan pengembangan kustom memiliki trade-off biaya, kecepatan, fleksibilitas, dan pemeliharaan.
- Skala organisasi menentukan kombinasi alat yang realistis.
- Implementasi alat harus bertahap, terintegrasi, dan diukur berdasarkan nilai bisnis.
Lima Pertanyaan Refleksi untuk Direksi
- Alat apa yang sudah dibayar tetapi jarang digunakan?
- Proses tata kelola mana yang paling perlu distabilkan sebelum membeli alat baru?
- Siapa pemilik adopsi untuk setiap alat yang dipakai?
- Apakah data risiko, proyek, dokumen, audit, dan performa sudah bisa saling terhubung?
- Apa bukti bahwa alat yang dipilih benar-benar mengurangi waktu, risiko, atau biaya?
Tiga Langkah yang Bisa Dimulai Minggu Ini
- Audit alat tata kelola yang sudah ada: buat daftar semua yang dibayar atau berlangganan, tandai mana yang digunakan aktif, dan mana yang hampir tidak pernah dibuka.
- Pilih satu proses tata kelola prioritas dan satu tool (bahkan spreadsheet sudah cukup); komitmen untuk menggunakannya secara disiplin selama 90 hari sebelum mempertimbangkan tool lain.
- Tetapkan kriteria minimum sebelum adopsi tool baru: ada business case, ada owner yang bertanggung jawab untuk adopsi, ada target penggunaan yang terukur. Tanpa ketiganya, tidak ada pembelian.
Daftar Periksa Rapat Pemilihan Alat
Gunakan daftar pertanyaan di bawah ini untuk memicu diskusi kritis yang memastikan seluruh tim selaras dengan target tata kelola:
- Proses yang akan didukung sudah jelas
- Pemilik adopsi sudah ditunjuk
- Business case tersedia
- Biaya lisensi dan pemeliharaan dihitung
- Integrasi dengan alat yang ada diperiksa
- Data yang akan dikelola sudah dipetakan
- Target penggunaan 90 hari disepakati
Satu Pertanyaan untuk Dibawa ke Rapat Direksi Berikutnya
Apakah ada tool tata kelola yang sudah dibeli dan terbayar setiap bulan, tetapi adopsinya rendah karena tidak ada yang merasa bertanggung jawab untuk memastikannya benar-benar dipakai?
Jawaban atas pertanyaan ini sering menghemat anggaran lebih cepat daripada negosiasi harga lisensi.
Menuju Bab 15: Roadmap ke Depan
Setelah alat dan otomasi dibahas, Bab 15 menutup buku dengan peta jalan jangka panjang dan langkah 90 hari pertama yang konkret.
Referensi & Bacaan Lanjutan
GRC Tools Comparison
- GRC 20/20 Research. Annual comparison of GRC platforms.
- 🔗 Akses GRC 20/20 Research
Project Management Tools Guide
- G2 (2024). “Best Project Management Software.”
- 🔗 Akses G2 Project Management Tools
Open Source GRC Solutions
- ComplianceForge. Open source frameworks for information security.
- 🔗 Akses ComplianceForge
Forrester Wave - GRC Platforms
- Forrester Research (berkala). Evaluasi vendor GRC platforms.
- 🔗 Akses
Gartner Magic Quadrant - ITSM Tools
- Gartner (berkala). Evaluasi tahunan vendor IT Service Management.
- 🔗 Akses
Open Source GRC Tools Comparison
- OWASP Foundation (berkala). Daftar tools open source untuk tata kelola, risiko, dan kepatuhan.
- 🔗 Akses
ITIL Practitioner - Toolkit
- AXELOS (berkala). Toolkit referensi untuk operasionalisasi ITIL.
- 🔗 Akses
Catatan akses sumber: Tautan di atas mengarah ke portal resmi pemerintah, lembaga standar, atau penerbit. Sebagian dokumen tersedia bebas; dokumen ISO/IEC dan jurnal akademik tertentu bersifat berbayar di situs resmi. Apabila tautan berubah karena pembaruan portal, gunakan judul resmi dan nomor regulasi sebagai dasar pencarian.
Penafian: Tulisan ini adalah pandangan pribadi penulis berdasarkan pengalaman praktis dan studi independen. Bukan merupakan pandangan institusional atau komitmen formal dari organisasi mana pun. Nama produk dan harga adalah perkiraan dan dapat berubah sewaktu-waktu.