Track: Keduanya (K); untuk Direksi/Manajer dan Praktisi TI.
Intisari Eksekutif: Tiga Bekal untuk Bertahan
Tata kelola TI bukan proyek yang selesai, melainkan disiplin yang berkelanjutan. Tren baru (AI, real-time compliance, ESG) hanya berguna bila fondasi dasar sudah bekerja: komite pengarah, risk register, kebijakan, audit, dan kapabilitas manusia.
Mulai dari 90 hari pertama dengan tiga aksi konkret. Tunjuk satu wali program, jalankan asesmen kematangan, dan pelaksanaan satu quick win yang hasilnya bisa ditunjukkan kepada Direksi. Momentum awal menentukan keberhasilan jangka panjang.
Prinsip dalam buku ini berlaku di luar utilitas air. Setiap organisasi yang mengandalkan TI sebagai tulang punggung layanan (BUMD, koperasi, rumah sakit, sekolah, korporasi swasta) menghadapi pola tantangan yang sama; yang berbeda hanya istilah dan konteksnya.
Navigasi Bab: Apa yang Akan Anda Hadapi?
Diagram 16.1 Peta Konsep Bab 16
Perjalanan Baru Saja Dimulai
Cerita pembuka ini adalah komposit pembelajaran. “Tahun depan, apa selanjutnya untuk tata kelola TI di organisasi kita?” tanya Kepala Divisi TI dalam pertemuan tinjauan akhir tahun. Ini adalah pertanyaan yang tepat. Setelah 18 bulan kerja keras, Organisasi X telah berhasil membangun fondasi tata kelola TI yang kuat. Maturity score meningkat dari 1,5 menjadi 3,3. Sistem lebih reliable, proyek lebih terkontrol, dan risiko lebih terkelola.
Namun, perjalanan tidak berakhir di sana. Dunia TI terus berubah dengan cepat. Teknologi baru muncul, regulasi baru diterbitkan, dan ekspektasi pemangku kepentingan terus meningkat. Apa yang relevan hari ini mungkin tidak relevan lima tahun dari sekarang.
Direktur Utama menjawab: “Saya tidak berharap kita berhenti di sini. Saya ingin organisasi kita terus belajar, terus beradaptasi, dan terus meningkat. Tata kelola TI bukan proyek yang selesai, tetapi cara kita bekerja setiap hari.”
Bab penutup ini melihat ke masa depan tata kelola TI dan memberikan panduan praktis untuk memulai atau melanjutkan perjalanan transformasi.
16.1 Tren Tata Kelola TI 2025-2030
Lanskap tata kelola TI terus berubah. Berikut adalah tren yang akan membentuk masa depan.
16.1.1 Tata Kelola Berbantuan AI
Kecerdasan buatan (Artificial Intelligence, AI) akan mengubah cara kita melakukan tata kelola: bukan menggantikan pengambilan keputusan manusia, melainkan memperkuatnya dengan data dan deteksi pola yang lebih tajam.
Aplikasi AI dalam Tata Kelola:
Automated Risk Assessment AI dapat menganalisis pola data untuk mengidentifikasi risiko yang mungkin terlewat oleh manusia. Contoh: menganalisis pola log untuk mendeteksi aktivitas mencurigakan, atau menganalisis pola proyek untuk memprediksi kegagalan. Untuk perusahaan utilitas air, ini berarti sistem dapat secara otomatis mendeteksi anomali pola konsumsi pelanggan yang mengindikasikan kebocoran air, atau lonjakan traffic jaringan yang mencurigakan di jam non-operasional.
Intelligent Compliance Monitoring AI dapat memonitor kepatuhan secara real-time dengan menganalisis transaksi, komunikasi, dan aktivitas sistem. Ini mengurangi kebutuhan audit manual yang mahal. Bagi BUMD utilitas air, pemantauan kepatuhan terhadap PP 95/2018 (SPBE) dan standar BSSN dapat diotomatisasi sebagian: sistem secara berkala memeriksa apakah konfigurasi firewall masih sesuai standar, apakah patch keamanan terbaru sudah terpasang, dan apakah access control list masih relevan dengan struktur organisasi terkini.
Predictive Analytics AI dapat memprediksi kejadian masa depan berdasarkan data historis: system failure, security breach, atau budget overrun. Ini memungkinkan tindakan pencegahan. Dalam konteks utilitas air, prediksi dapat mencakup: kapan server billing kemungkinan akan mencapai kapasitas maksimum berdasarkan tren pertumbuhan pelanggan, atau kapan end-of-life perangkat keras SCADA gateway akan tiba sehingga pengadaan dapat direncanakan sebelum terjadi kegagalan.
Natural Language Processing NLP dapat menganalisis dokumen (policy, contract, email) untuk mengekstrak insight dan mendeteksi ketidaksesuaian. NLP juga dapat membantu menyelaraskan puluhan standard operating procedure (SOP) yang tersebar di berbagai unit operasional, mendeteksi kontradiksi antar dokumen, dan memastikan konsistensi terminologi.
Batasan dan Risiko:
Perlu diingat bahwa AI dalam tata kelola bukan solusi ajaib. Model AI dapat menghasilkan kesalahan (hallucination), bias data dapat mengarahkan keputusan ke arah yang keliru, dan ketergantungan berlebihan pada AI dapat mengikis judgment manusia. Tata kelola untuk AI sendiri, yaitu memastikan sistem AI adil, transparan, dan akuntabel, harus menjadi bagian dari kerangka tata kelola sebelum AI diadopsi secara luas.
Implikasi untuk Organisasi:
Implikasinya adalah kebutuhan investasi dalam kapabilitas data dan analytics, pertimbangan etika penggunaan AI, keahlian baru dalam tim TI seperti data engineering, ML Ops, dan AI auditing, serta vendor assessment khusus untuk solusi AI termasuk audit bias dan keamanan model.
16.1.2 Pemantauan Kepatuhan Real-Time
Masa depan kepatuhan adalah pemantauan real-time, bukan pemeriksaan periodik saja.
Dari Periodic ke Real-Time:
Tabel 16.1 Perubahan dari kepatuhan periodik ke real-time
| Aspek | Sekarang (Periodic) | Masa Depan (Real-Time) |
|---|---|---|
| Monitoring | Kuartalan/Tahunan | Terus menerus |
| Reporting | Laporan tertunda | Dashboard live |
| Alerts | Manual review | Notifikasi otomatis |
| Audit | Sampling | Full population |
Teknologi yang Memungkinkan:
Teknologi yang memungkinkan mencakup continuous controls monitoring, blockchain untuk immutable audit trail, integrasi API untuk pemantauan end-to-end, dan edge computing untuk pemrosesan data dekat sumber.
Implikasi untuk Organisasi:
Organisasi membutuhkan data infrastructure yang kuat, integrasi sistem yang matang, keahlian baru dalam data engineering dan analytics, serta perubahan peran auditor dari pengumpulan data ke analisis.
16.1.3 Manajemen Risiko Terintegrasi
Masa depan risk management adalah terintegrasi: operasional, TI, finansial, dan strategi.
Dari Silo ke Integrasi:
Gambar 16.1 Dari silo ke manajemen risiko terintegrasi
Manfaat Integrated Risk Management:
Manfaatnya adalah pandangan risiko yang menyeluruh, deteksi korelasi antar-risiko, pengurangan duplikasi aktivitas risk management, dan keputusan yang mempertimbangkan risiko total organisasi.
Implikasi untuk Organisasi:
Organisasi perlu membangun kolaborasi antar-fungsi seperti TI, risiko, keuangan, dan operasi; menyepakati common risk language dan taxonomy; serta menyiapkan integrated risk platform atau data warehouse.
16.1.4 Tata Kelola ESG
ESG, yaitu lingkungan, sosial, dan tata kelola, menjadi semakin penting untuk perusahaan publik dan BUMN/BUMD.
ESG dan IT:
Aspek lingkungan mencakup green IT, efisiensi energi pusat data, dan e-waste management. Aspek sosial mencakup digital inclusion, accessibility, dan kesejahteraan pegawai di era digital. Aspek tata kelola menempatkan tata kelola TI sebagai bagian dari tata kelola korporat.
Tren Regulasi:
Regulasi ESG semakin ketat secara global. Investor dan pemangku kepentingan menuntut transparansi ESG. Pelaporan ESG menjadi kewajiban di banyak yurisdiksi.
Implikasi untuk Organisasi:
Implikasinya adalah kebutuhan ESG reporting yang mencakup aspek TI, inisiatif green IT, prinsip keberlanjutan dalam procurement TI, dan metrik ESG di dashboard tata kelola TI.
16.1.5 Menyiapkan Masa Depan
Bagaimana organisasi dapat mempersiapkan diri untuk tren ini? Jawabannya bukan dengan mengadopsi setiap teknologi baru yang muncul, melainkan dengan membangun kapabilitas adaptif yang membuat organisasi siap menghadapi perubahan apa pun.
Langkah pertama: Bangun Fondasi Kuat (Build Strong Foundation).
Tren apa pun akan bergantung pada fondasi yang kuat: struktur tata kelola, risk management, policy, dan people capability. Tanpa fondasi ini, tren baru hanya akan menjadi gangguan. Organisasi yang masih bergulat dengan incident management dasar atau belum memiliki risk register yang aktif sebaiknya menuntaskan fondasi dahulu sebelum mengejar AI atau real-time compliance. Fondasi yang dimaksud mencakup: Komite Pengarah TI yang berfungsi, risk register yang diperbarui berkala, policy keamanan informasi minimum, dan change management yang ditaati.
Berikutnya: kembangkan kapabilitas digital.
Investasi dalam kapabilitas digital seperti data analytics, cloud computing, cybersecurity, dan AI adalah fondasi untuk tata kelola masa depan. Untuk organisasi utilitas air dengan keterbatasan anggaran, urutan prioritas yang realistis adalah:
- Cybersecurity dasar: firewall, access control, dan patch management.
- Data management: konsolidasi data pelanggan, operasional, dan keuangan ke dalam satu sumber kebenaran.
- Cloud migration bertahap untuk sistem non-kritis.
- Analytics dan AI setelah tiga lapis sebelumnya stabil.
Melompat ke AI tanpa cybersecurity yang memadai adalah resep untuk insiden.
Dimensi tambahan: tetap mengikuti perkembangan.
Tugaskan seseorang untuk memantau tren regulasi dan teknologi. Berpartisipasi dalam komunitas dan asosiasi profesional. Untuk sektor utilitas air di Indonesia, sumber informasi utama meliputi: surat edaran BSSN tentang standar keamanan siber, pembaruan PP 95/2018 (SPBE) dari Kementerian PAN-RB, peraturan sektor air dari Kementerian PUPR, dan panduan COBIT dari ISACA. Satu orang yang secara rutin membaca dan merangkum pembaruan ini dapat menyelamatkan organisasi dari kejutan regulasi.
Dimensi keempat: tetap adaptif.
Kembangkan kemampuan untuk beradaptasi dengan cepat. Struktur dan proses yang terlalu kaku akan menghambat adaptasi. Agility dalam tata kelola berarti policy cukup ringkas untuk dibaca dan dipahami dalam satu duduk, proses approval tidak lebih dari dua tingkat, dan risk appetite cukup fleksibel untuk mengakomodasi eksperimen terkontrol. Tata kelola yang baik tidak menghilangkan risiko; ia mengelola risiko pada level yang dapat ditoleransi sambil tetap memberi ruang untuk inovasi.
16.2 Ajakan Bertindak: Memulai Perjalanan
Buku ini telah membahas banyak konsep, framework, dan praktik. Namun, konsep tanpa aksi tidak ada artinya. Bagian ini adalah ajakan bertindak untuk memulai atau melanjutkan perjalanan tata kelola TI.
16.2.1 Checklist Memulai
Berikut adalah checklist praktis untuk memulai perjalanan:
Tabel 16.2 Checklist awal perjalanan tata kelola TI
| Langkah | Aktivitas | Timeline | Owner |
|---|---|---|---|
| 1 | Dapatkan komitmen eksekutif | Minggu 1-2 | CEO/CIO |
| 2 | Lakukan maturity assessment awal | Minggu 3-4 | CIO + Tim |
| 3 | Identifikasi quick wins | Minggu 4-5 | Tim TI |
| 4 | Bentuk IT Steering Committee | Minggu 5-6 | CEO |
| 5 | Buat Risk Register awal | Minggu 6-8 | Risk Manager |
| 6 | Kembangkan policy minimum (3-5) | Bulan 2-3 | Tim TI |
| 7 | Implementasi performance dashboard sederhana | Bulan 3-4 | Tim TI |
| 8 | Lakukan first audit cycle | Bulan 5-6 | Internal Audit |
| 9 | Tinjau hasil dan rencanakan fase kedua | Bulan 6 | ISC |
| 10 | Scale-up ke seluruh organisasi | Bulan 7-18 | Tim TI |
Perhatikan bahwa urutan dalam tabel itu bukan sekadar urutan teknis; ia strategi membangun modal politik. Quick wins ditempatkan di depan bukan karena paling mudah, melainkan karena kemenangan kecil yang terlihat adalah mata uang yang membeli kepercayaan untuk pertarungan yang lebih besar. Direksi yang sudah menyaksikan satu dashboard sederhana menjawab pertanyaannya dalam tiga menit akan jauh lebih mudah diyakinkan untuk membiayai pembenahan struktur yang mahal di fase berikutnya. Sebaliknya, program tata kelola yang membuka langkahnya dengan kebijakan tebal dan komite baru, sebelum ada satu pun hasil yang bisa ditunjuk, sedang menguji kesabaran organisasi terhadap sesuatu yang belum membuktikan apa-apa. Urutkan kemenangan Anda seperti Anda mengurutkan argumen: yang paling tak terbantahkan lebih dulu.
16.2.2 Sumber Daya untuk Pembelajaran Lanjutan
Buku dan rujukan utama:
“IT Governance: How Top Performers Manage IT Decision Rights for Superior Results” - Peter Weill & Jeanne Ross Klasik dalam bidang tata kelola TI.
“Enterprise Governance of IT: Achieving Strategic Alignment and Value” - Wim Van Grembergen Komprehensif dan praktis.
"COBIT 2019 Framework: Introduction and Methodology" - ISACA Standar global untuk tata kelola TI.
“The DevOps Handbook” - Gene Kim et al. Untuk memahami modern IT operations.
“NIST Cybersecurity Framework (CSF) 2.0” - NIST Rujukan praktis untuk menghubungkan risiko keamanan siber, proses bisnis, dan tata kelola organisasi.
Sertifikasi:
- COBIT: Certified in the Governance of Enterprise IT (CGEIT)
- Risk: Certified Information Systems Auditor (CISA)
- Security: Certified Information Security Manager (CISM)
- Project: Project Management Professional (PMP)
Komunitas:
- ISACA: Komunitas profesional untuk audit, risk, dan tata kelola
- IT Governance Institute: Sumber daya dan penelitian
- LinkedIn Groups: Berbagai grup diskusi tata kelola TI
- Local Meetups: Komunitas lokal untuk IT professionals
16.2.3 Intisari Buku Ini
Sebagai penutup, berikut adalah intisari dari seluruh buku:
Intisari 1: Tata Kelola TI adalah Imperatif Bisnis
Tata kelola TI bukan proyek TI, tetapi imperatif bisnis. Tanpa tata kelola yang baik, investasi TI berisiko menjadi pemborosan.
Intisari 2: Mulai dari Mengapa
Mulai dengan “mengapa” bukan “apa”. Mengapa tata kelola penting untuk organisasi? Apa masalah bisnis yang ingin diselesaikan?
Intisari 3: Pragmatisme di Atas Kesempurnaan
Lebih baik praktik yang “cukup baik” dan diimplementasikan, daripada praktik “sempurna” yang tidak mungkin dilaksanakan.
Intisari 4: Orang Dulu, Proses Kedua, Teknologi Ketiga
Investasi terbesar harus pada people. Proses mengikuti, dan teknologi adalah enabler.
Intisari 5: Kemenangan Cepat (Quick Wins) Membangun Momentum
Mulai dengan quick wins yang dapat menunjukkan hasil nyata. Ini akan membangun kredibilitas dan dukungan.
Intisari 6: Ukur Hal yang Penting
Ukur apa yang penting untuk bisnis, bukan hanya vanity metrics. Pengukuran yang tepat memungkinkan perbaikan berkelanjutan.
Intisari 7: Budaya Menentukan
Perubahan budaya adalah hasil, bukan prasyarat. Namun, budaya yang mendukung akan mempercepat keberhasilan.
Intisari 8: Ini Perjalanan, Bukan Tujuan Akhir
Tata kelola TI bukan proyek dengan titik akhir, tetapi perjalanan berkelanjutan. Terus belajar, beradaptasi, dan meningkat.
16.2.4 Pesan Penutup
Dalam pengantar buku ini, kita membaca tentang Organisasi X yang menerima surat peringatan dari regulator. Sistem kritis sering down, anggaran tidak terkontrol, dan kepatuhan meragukan. Delapan belas bulan kemudian, organisasi yang sama telah berubah. Sistem lebih reliable, proyek lebih terkontrol, dan risiko lebih terkelola.
Namun, cerita Organisasi X tidak berakhir di situ. Lima tahun kemudian, Organisasi X terus beradaptasi dengan teknologi baru, regulasi baru, dan ekspektasi baru. Maturity score terus meningkat, tetapi yang lebih penting adalah budaya continuous improvement yang tertanam.
Transformasi tata kelola TI mungkin, bahkan untuk organisasi dengan keterbatasan sumber daya. Kuncinya adalah: mulai dengan tujuan yang jelas, lakukan dengan konsistensi, pertahankan dengan mekanisme yang tepat.
Langkah konkret Anda minggu ini:
- Unduh toolkit pendamping di
itgbook.com/toolkit; berisi risk register template, maturity self-assessment, policy checklist, dan gate review form siap pakai. - Jalankan self-assessment 15 menit menggunakan kuesioner di Bab 10; dapatkan baseline skor maturity organisasi Anda.
- Identifikasi satu quick win dari daftar di Bab 11; pilih yang bisa selesai dalam 30 hari tanpa anggaran besar.
- Bagikan buku ini ke satu rekan (Direktur Keuangan, Kepala SPI, atau anggota Komite Audit). Transformasi tata kelola butuh coalition, bukan solo effort.
Perjalanan ribuan mil dimulai dengan satu langkah. Minggu ini, ambil langkah pertama Anda.
16.3 Lampiran
Bagian ini menyediakan referensi cepat: glosarium istilah kunci dan template dasar yang dapat langsung digunakan pembaca.
A. Glossarium Istilah
Berikut adalah istilah-istilah penting dalam tata kelola TI:
Tabel 16.3 Glosarium istilah kunci tata kelola TI
| Istilah | Definisi |
|---|---|
| Tata kelola TI | Sistem pengarah dan pengendalian TI untuk memastikan keselarasan dengan tujuan bisnis |
| Steering Committee | Komite yang mengambil keputusan strategis terkait TI |
| Risk Register | Daftar risiko yang teridentifikasi dengan penilaian dan rencana mitigasi |
| Key Performance Indicator (KPI) | Metric untuk mengukur performa |
| Service Level Agreement (SLA) | Perjanjian tingkat layanan antara penyedia dan pengguna |
| Incident | Gangguan tidak terencana pada operasi TI |
| Change management | Proses pengelolaan perubahan secara terkontrol |
| Kepatuhan (compliance) | Kepatuhan terhadap regulasi dan standar |
| Audit | Pemeriksaan independen terhadap proses dan kontrol |
| Tata Kelola sebagai Layanan | Model penyediaan layanan tata kelola melalui cloud |
B. Template Dasar
B.1 IT Risk Register Template
Tabel 16.4 Template dasar risk register
| No | Risiko | Kategori | Likelihood | Impact | Risk Level | Mitigasi | Owner | Target |
|---|---|---|---|---|---|---|---|---|
| 1 | … | … | 1-5 | 1-5 | L×I | … | … | … |
B.2 Checklist Tinjauan Policy
- Policy masih relevan dengan kebutuhan bisnis
- Policy selaras dengan regulasi terkini
- Implementasi policy dapat diukur
- Policy diketahui oleh pemangku kepentingan terkait
- Policy ditinjau secara periodik
B.3 Audit Finding Template
Satu nasihat yang paling sering terbukti berguna untuk Direksi adalah ini: jangan mulai dari pertanyaan ‘sistem apa yang harus kita beli?’ Tanyakan dulu ‘keputusan apa yang harus kita perbaiki?’ Sistem mengikuti keputusan, bukan sebaliknya.
Tabel 16.5 Template dasar temuan audit
| No | Temuan | Severity | Root Cause | Rekomendasi | Owner | Target | Status |
|---|---|---|---|---|---|---|---|
| 1 | … | High/Med/Low | … | … | … | … | Open/Closed |
16.4 Rencana 90 Hari Pertama: Template Konkret
Untuk pembaca yang ingin segera memulai, berikut adalah rencana 90 hari yang realistis bagi perusahaan utilitas air dengan kondisi awal tata kelola lemah hingga sedang.
16.4.1 Hari 1 sampai 30: Fondasi dan Komitmen
Tiga puluh hari pertama menentukan apakah inisiatif ini akan dianggap agenda direksi atau sekadar program TI biasa.
Pekan 1 sampai 2: Membangun Mandat. Tugas paling penting di awal adalah memastikan transformasi punya executive sponsor. Tanpa ini, semua usaha berikutnya akan terhambat. Aktivitas konkret meliputi presentasi executive briefing ke Direksi yang merangkum kondisi saat ini, risiko jika tidak bergerak, dan estimasi investasi 18 bulan; mendapatkan SK Direksi tentang pembentukan Komite Pengarah TI lintas direktorat; menetapkan satu executive sponsor dengan otoritas memutus konflik prioritas.
Pekan 3 sampai 4: Membangun Kapabilitas Awal. Setelah mandat ada, fokus pada tim yang akan menjalankan. Identifikasi change agent di tim TI (biasanya 2 sampai 3 orang dengan kombinasi credibility internal dan kemampuan dokumentasi). Daftarkan tim ke pelatihan dasar COBIT 2019 (online) dan ISO 31000 (manajemen risiko). Mulai baseline awal dengan menjalankan Kuesioner Self-Assessment dari
toolkit/maturity-self-assessmentuntuk mendapatkan skor awal yang akan jadi pembanding di Tahun-1.
Output Hari 1-30: SK Komite Pengarah TI, baseline skor maturity awal, executive briefing yang disetujui Direksi, daftar 3 sampai 5 quick win yang dapat dieksekusi di periode berikutnya.
16.4.2 Hari 31 sampai 60: Kemenangan Cepat (Quick Wins) dan Daftar Risiko (Risk Register)
Pekan 5 sampai 6: Kemenangan cepat pertama. Pilih 3 quick win yang punya tiga sifat: dapat selesai dalam 30 hari, memberikan dampak yang terlihat oleh manajemen, dan tidak butuh anggaran besar. Contoh quick win yang sering berhasil di BUMD utilitas air: konsolidasi risk register TI ke dalam satu dokumen yang sebelumnya tersebar; menetapkan Change Advisory Board mingguan untuk perubahan sistem core (billing, SCADA gateway); membuat dasbor sederhana di spreadsheet untuk memantau SLA sistem core. Hindari quick win yang butuh integrasi sistem rumit atau pengadaan vendor baru di fase ini.
Pekan 7 sampai 8: Risk Register Aktif. Adopsi 15 sampai 20 risiko dari
toolkit/risk-registersebagai starter, lalu lakukan validation workshop dengan pemilik proses bisnis untuk menyesuaikan skor likelihood dan dampak. Tetapkan risk owner dengan nama spesifik untuk setiap risiko di skor tinggi (≥ 10). Mulai siklus review bulanan oleh Komite Pengarah TI.
Output Hari 31-60: 3 quick win selesai dengan bukti hasil; risk register aktif dengan owner per risiko; dashboard SLA dasar untuk sistem core; minutes dua rapat Komite Pengarah TI.
16.4.3 Hari 61 sampai 90: Membangun Disiplin Berkelanjutan
Pekan 9 sampai 10: Tata Kelola Proyek Baru. Setiap proyek TI baru di atas Rp 500 juta yang dimulai setelah hari ke-60 harus melalui gate review. Adopsi
toolkit/gate-review-formsebagai template awal. Tunjuk satu PMO sederhana (bisa peran tambahan dari analis senior, tidak harus posisi penuh) untuk memfasilitasi gate review. Lakukan pilot dengan satu proyek yang sedang berjalan untuk memastikan prosesnya tidak menghambat.Pekan 11 sampai 12: Penyesuaian dan Komunikasi. Susun laporan progres 90 hari ke Direksi dan Dewan Pengawas dengan format yang mudah dipahami. Sertakan: skor baseline yang sudah dicapai versus target, ringkasan quick win, daftar risiko prioritas dengan status mitigasi, anggaran yang telah dipakai versus rencana, dan rekomendasi prioritas untuk 90 hari berikutnya. Tahap ini juga waktu yang tepat untuk meninjau apakah ada anggota Komite Pengarah TI yang perlu diganti atau diperkuat.
Output Hari 61-90: Proses gate review aktif untuk proyek baru; PMO sederhana berjalan; laporan progres 90 hari disampaikan ke Direksi dan Dewan Pengawas; rencana 90 hari berikutnya disetujui.
16.4.4 Tabel Ringkasan KPI 90 Hari
Tabel 16.6 Ringkasan KPI 90 hari pertama
| KPI 90 Hari | Target Realistis | Pengukuran |
|---|---|---|
| SK Komite Pengarah TI terbit | 100% (ya/tidak) | Salinan SK |
| Baseline maturity skor terdokumentasi | Skor 0 sampai 5 untuk 25 pertanyaan | Hasil self-assessment |
| Quick win selesai | 3 dari 3 | Bukti pelaksanaan |
| Risiko TI dengan owner | 80% dari risiko skor ≥ 10 | Risk register |
| Proyek TI baru lewat gate review | 100% dari proyek > Rp 500 juta | Notulen gate |
| Rapat Komite Pengarah TI | Minimal 3 dalam 90 hari | Notulen rapat |
| Laporan ke Direksi/Dewan Pengawas | Minimal 1 di akhir 90 hari | Salinan laporan |
16.4.5 Tanda Bahaya yang Harus Diwaspadai
Tidak semua transformasi berjalan mulus. Berikut adalah tanda bahaya umum di 90 hari pertama yang harus segera ditangani jika muncul:
Komite Pengarah TI hanya rapat satu kali lalu menghilang. Ini kerap menandakan kurangnya komitmen executive sponsor. Solusi: undang sponsor untuk hadir dan menetapkan agenda berikutnya secara eksplisit; jika tidak hadir setelah dua undangan, eskalasi ke Direktur Utama.
Quick win berubah jadi proyek panjang. Tanda bahwa tim belum terbiasa membatasi scope. Solusi: terapkan time-box ketat 30 hari; apa pun yang tidak selesai di 30 hari, hentikan dan dokumentasikan apa yang sudah dipelajari.
Risk register dipenuhi risiko teknis tanpa risiko bisnis. Tanda bahwa tim TI menganggap risk management sebagai latihan teknis murni. Solusi: undang pemilik proses bisnis (Direktur Operasi, Direktur Keuangan, Direktur Pelayanan) ke validation workshop; minta mereka menambahkan risiko dari perspektif bisnis mereka.
Gate review dianggap sebagai birokrasi tambahan. Tanda bahwa proses dirancang terlalu berat. Solusi: pastikan format gate review tidak lebih dari satu halaman per gate; tetapkan tenggat keputusan 5 hari kerja agar tidak menjadi bottleneck.
Direksi tidak menerima laporan progres. Tanda bahwa transformasi belum dianggap prioritas Direksi. Solusi: ubah format laporan agar sesuai bahasa Direksi (bukan bahasa teknis); fokus pada hasil bisnis (kepatuhan, efisiensi, risiko) bukan aktivitas TI.
Audit 30 Hari Pertama untuk Dirut Baru: Mewarisi, Bukan Memulai
Rencana 90 hari di atas dirancang untuk organisasi yang memulai tata kelola TI. Situasi Anda mungkin berbeda: Anda baru dilantik menggantikan Dirut sebelumnya. Anda tidak membangun dari nol; Anda mewarisi struktur, kontrak, kebijakan, dan masalah yang sudah berjalan.
Berikut agenda 30 hari pertama yang spesifik untuk Dirut baru:
Hari 1–7: Dengarkan, jangan putuskan. Wawancarai tiga orang secara terpisah: Kepala Divisi TI (apa yang membuat Anda tidak tidur?), Kepala SPI (apa temuan berulang yang tidak selesai?), dan Direktur Keuangan (berapa capex TI tahun ini dan apa kekhawatiran Anda tentang realisasinya?). Pola yang muncul dari tiga wawancara ini lebih jujur daripada laporan tahunan.
Hari 8–14: Audit tiga kontrak vendor TI terbesar. Minta salinan kontrak, amandemen, dan berita acara serah terima. Cari tiga red flag: (a) tidak ada klausul SLA dan denda keterlambatan, (b) pembayaran mayoritas sudah dilakukan sementara deliverables belum diterima, (c) satu vendor memegang banyak kontrak tanpa competitive bidding. Tiap red flag adalah bom waktu yang harus Anda ketahui sebelum auditor BPK atau DPRD mengetahuinya.
Hari 15–21: Uji jalur eskalasi. Tanyakan ke Kadiv TI pertanyaan berikut: “Jika malam ini pukul 02.00 terjadi gangguan SCADA atau billing skala besar, siapa yang Anda hubungi pertama, kedua, dan ketiga? Berapa batas waktunya?” Jika jawabannya tidak spesifik sampai nama dan nomor telepon, jalur eskalasi belum siap.
Hari 22–30: Siapkan memo satu halaman untuk Kepala Daerah. Gunakan formula 5-3-1-1 dari Bab 6. Tidak perlu sempurna. Namun, menulis memo ini akan memaksa Anda menyusun prioritas dan menguji apakah Anda sudah cukup paham kondisi TI organisasi yang Anda pimpin. Jika Anda kesulitan mengisi bagian “5 risiko,” itu tanda Anda butuh lebih banyak eksplorasi.
Hasil 30 hari ini bukanlah quick win. Ia adalah situational awareness; itu adalah fondasi paling penting yang tidak bisa didelegasikan.
Varian untuk Dirut BUMD Pemilik Aset: 30 Hari Pertama dengan Operator
Jika operasi TI dijalankan operator swasta, agenda 30 hari di atas perlu dua penyesuaian:
Hari 1–7: Alih-alih mewawancarai Kadiv TI (yang mungkin tidak ada di BUMD Anda), wawancarai tiga pihak: (a) Manajer kontrak dari pihak operator: apa risiko TI yang membuat mereka tidak tidur? (b) Tim hukum BUMD atau konsultan eksternal yang memahami kontrak: klausul TI mana yang terlemah? (c) SPI atau auditor internal: apa temuan berulang di laporan operator yang tidak ditindaklanjuti?
Hari 8–14: Alih-alih mengaudit kontrak vendor TI, audit kontrak kerja sama itu sendiri. Baca dari halaman pertama. Cari klausul tentang SLA, hak audit TI, kepemilikan data, exit plan, dan eskalasi insiden. Setiap klausul yang tidak ada adalah temuan risiko paling mendasar. Anda tidak bisa menuntut apa yang tidak dikontrakkan.
16.5 Prinsip yang Melampaui Utilitas Air
Seluruh buku ini ditulis dalam konteks perusahaan utilitas air. Konteks itu dipilih dengan sengaja: organisasi yang menghadapi regulasi ketat, sumber daya terbatas, dan dampak publik langsung. Namun prinsip yang dibahas, mulai dari struktur keputusan hingga siklus continuous improvement, bukan milik eksklusif satu industri.
Pembaca yang bekerja di sektor lain dapat menerjemahkan prinsip ini ke dalam konteks mereka sendiri. Tabel 16.6 berikut memetakan sepuluh prinsip inti buku ini ke lima industri yang menghadapi tantangan serupa.
Tabel 16.6 Pemetaan prinsip tata kelola TI ke lima industri di luar utilitas air
| Prinsip Inti (Bab) | BUMD Listrik, Gas, Transportasi Daerah | Koperasi Simpan Pinjam dan BMT | Puskesmas dan RSUD | Sekolah Penerima BOS dan Kampus Menengah | Korporasi Swasta Menengah (Manufaktur, Retail Multi-cabang) |
|---|---|---|---|---|---|
| Komite Pengarah TI (Bab 6) | Komisaris BUMD sebagai pengawas investasi TI | Pengurus dan Pengawas koperasi sebagai komite oversight | Kepala Dinas Kesehatan dan Direktur RS sebagai pengarah sistem informasi kesehatan | Kepala Sekolah dan Komite Sekolah untuk keputusan belanja TI dari dana BOS | Direksi dan pemilik sebagai pengarah strategi digital |
| Risk Register TI (Bab 5) | Risiko downtime pembangkit, gangguan distribusi, kehilangan data pelanggan | Risiko fraud transaksi, kegagalan sistem inti simpan pinjam, kebocoran data anggota | Risiko kegagalan rekam medis elektronik, kehilangan data pasien, gangguan sistem rujukan | Risiko kehilangan data siswa, kegagalan sistem pelaporan BOS, keamanan e-learning | Risiko gangguan ERP, kegagalan POS multi-cabang, kebocoran data pelanggan |
| Kepatuhan Regulasi (Bab 2) | PP 54/2017 (BUMD), Perpres 95/2018 (SPBE), regulasi sektor energi | POJK untuk koperasi simpan pinjam, UU Perkoperasian, PDP | Permenkes tentang rekam medis elektronik, SPBE, PDP | Permendikbud tentang BOS, SPBE, regulasi data anak | UU Cipta Kerja, PDP, standar industri spesifik |
| Kematangan Tata Kelola (Bab 10) | Asesmen 5 level untuk transisi dari reaktif ke terkelola | Asesmen kapabilitas TI koperasi dari manual ke terdigitalisasi | Asesmen kesiapan digital puskesmas dan RSUD | Asesmen infrastruktur dan kapabilitas digital sekolah | Asesmen digital maturity untuk efisiensi operasional |
| Audit TI Internal (Bab 8) | SPI BUMD memeriksa keandalan sistem distribusi dan billing | Pengawas koperasi memeriksa integritas transaksi dan backup data | Tim mutu RS memeriksa keamanan rekam medis dan ketersediaan sistem | Inspektorat atau pengawas internal memeriksa penggunaan dana TI dari BOS | Audit internal memeriksa kepatuhan SOP dan keamanan data |
| Gate Review Proyek TI (Bab 9) | Evaluasi bertahap untuk proyek SCADA, smart grid, atau billing baru | Evaluasi bertahap untuk migrasi sistem inti atau mobile banking koperasi | Evaluasi bertahap untuk implementasi SIMRS atau telemedisin | Evaluasi bertahap untuk pengadaan LMS atau infrastruktur laboratorium | Evaluasi bertahap untuk implementasi ERP atau ekspansi e-commerce |
| Dokumentasi dan SOP (Bab 7) | SOP operasi sistem, prosedur eskalasi, kebijakan keamanan | SOP transaksi digital, prosedur backup, kebijakan akses data anggota | SOP rekam medis elektronik, prosedur disaster recovery, kebijakan privasi pasien | SOP pengelolaan data siswa, prosedur pelaporan, kebijakan penggunaan TI | SOP operasional TI, prosedur change management, kebijakan keamanan |
| Transformasi Digital (Bab 14) | IoT untuk smart grid, cloud untuk layanan pelanggan, AI untuk prediksi beban | Mobile banking, digitalisasi layanan anggota, integrasi fintech | Telemedisin, IoT untuk pemantauan pasien, integrasi antar fasilitas kesehatan | E-learning, digitalisasi administrasi, analitik prestasi siswa | E-commerce, otomasi supply chain, analitik pelanggan |
| Kemenangan cepat (quick wins) 90 hari (Bab 11) | Inventarisasi aset TI, SLA layanan inti, backup terjadwal | Dokumentasi prosedur inti, backup harian otomatis, pelatihan staf | Standardisasi login sistem, jadwal backup rekam medis, pelatihan keamanan | Inventarisasi perangkat, kebijakan password, pelatihan guru | Inventarisasi lisensi, SLA vendor, backup otomatis |
| Keberlanjutan dan Institusionalisasi (Bab 12) | Mekanisme agar tata kelola bertahan saat pergantian Direksi BUMD | Mekanisme agar tata kelola bertahan saat pergantian pengurus koperasi | Mekanisme agar standar bertahan saat rotasi tenaga kesehatan | Mekanisme agar praktik TI bertahan saat mutasi kepala sekolah | Mekanisme agar disiplin TI bertahan saat pertumbuhan dan perubahan manajemen |
Sebagaimana ditunjukkan Tabel 16.6, pola tantangannya konsisten: keterbatasan sumber daya, pergantian kepemimpinan yang tidak bisa dicegah, regulasi yang terus bertambah, dan kebutuhan layanan yang tidak pernah boleh berhenti. Yang berubah hanyalah istilah dan konteks spesifiknya.
Jika Anda seorang pengawas koperasi yang membaca buku ini, gantilah “Organisasi X” dengan nama koperasi Anda, “Direktur Utama” dengan “Ketua Pengurus”, dan “billing pelanggan” dengan “sistem transaksi anggota”. Prinsipnya tetap sama: keputusan TI yang baik membutuhkan struktur, akuntabilitas, dan disiplin yang terukur.
Catatan Akhir: Mengikat Makna
Sebagai penutup perjalanan buku ini, beberapa hal ini yang layak Anda bawa melangkah ke depan:
- Masa depan tata kelola TI akan dipengaruhi AI, pemantauan kepatuhan real-time, manajemen risiko terintegrasi, ESG, dan kebutuhan adaptasi yang lebih cepat.
- Tren baru hanya berguna bila fondasi dasar sudah bekerja: komite, risk register, policy, audit, dan kapabilitas manusia.
- Ajakan bertindak utama buku ini adalah memulai dari komitmen eksekutif, asesmen kematangan, quick wins, dan siklus disiplin 90 hari.
- Glosarium dan template dasar membantu pembaca langsung memulai tanpa menunggu sistem besar.
- Transformasi tata kelola adalah perjalanan berkelanjutan, bukan proyek satu kali.
Uji Nyali Eksekutif: Lima Pertanyaan yang Harus Bisa Anda Jawab
- Apakah tata kelola TI sudah menjadi cara kerja, bukan proyek sementara?
- Tren mana yang relevan untuk tiga tahun ke depan, dan mana yang hanya distraksi?
- Apakah fondasi dasar cukup kuat sebelum mengejar AI, cloud, atau kepatuhan real-time?
- Hambatan apa yang paling mungkin menggagalkan 90 hari pertama?
- Siapa satu orang yang bertanggung jawab memastikan perjalanan ini tidak berhenti setelah buku ini ditutup?
Aksi Instan: Tiga Gebrakan untuk Minggu Ini
- Cetak atau salin template 90 hari dari bab ini dan isi kolom “Inisiatif Prioritas” dengan tiga program nyata yang sudah ada di dalam organisasi Anda hari ini.
- Tunjuk satu orang (bukan tim, satu orang) sebagai wali program transformasi TI. Beri mereka akses langsung ke Direksi minimal satu bulan sekali.
- Jadwalkan checkpoint 30 hari pertama sekarang juga. Buka kalender, buat undangan, undang peserta yang tepat. Bukan bulan depan; hari ini.
Amunisi Rapat: Daftar Periksa 90 Hari Pertama
Gunakan daftar pertanyaan di bawah ini untuk memicu diskusi kritis yang memastikan seluruh tim selaras dengan target tata kelola:
- Tiga inisiatif prioritas ditulis
- Wali program ditunjuk dengan nama
- Sponsor eksekutif disepakati
- Jadwal checkpoint 30 hari dibuat
- Baseline kematangan akan diukur
- Tiga quick wins dipilih
- Hambatan dua minggu pertama diidentifikasi
Untuk Disampaikan ke Direksi
Rangkuman untuk manajer TI yang perlu menyampaikan isi bab ini ke pimpinan dalam 3 menit:
- Ini bukan penutup; ini titik awal. Buku ini selesai dibaca, tetapi tata kelola TI baru dimulai. Pilih satu bab, satu tindakan, satu pemilik, dan satu batas waktu. Mulai Senin depan.
- Roadmap 18-24 bulan, bukan sprint 3 bulan. Tata kelola TI dibangun bertahap: stabilkan (0-6 bulan) → standarkan (6-12 bulan) → integrasikan (12-18 bulan) → optimalkan (18-24 bulan). Target realistik, bukan heroik.
- Ukuran keberhasilan bukan dokumen yang lengkap, melainkan keputusan yang lebih baik. Kalau setelah 12 bulan rapat Direksi lebih singkat, keputusan lebih jelas, dan insiden lebih sedikit; tata kelola bekerja. Kalau hanya dokumen bertambah, ada yang salah.
Simpan halaman ini sebagai pembatas buku. Kembali ke sini setiap triwulan untuk mengecek: di fase mana organisasi Anda sekarang?
Amunisi Rapat: Satu Pertanyaan Penguji Pimpinan
Apa satu hambatan terbesar yang jika tidak ditangani dalam dua minggu pertama akan membuat seluruh peta jalan ini terhenti, dan siapa yang bertanggung jawab menghilangkan hambatan itu?
Jawaban atas pertanyaan ini adalah titik awal pelaksanaan, bukan sekadar penutup diskusi.
Referensi & Eksplorasi Lanjutan
COBIT 2019 Framework
- ISACA (2019). Governance and management objectives.
- 🔗 Akses
IT Governance Institute Publications
- Berbagai panduan dan framework untuk tata kelola TI.
- 🔗 Akses
ISO/IEC Standards ISO/IEC 38500 (Corporate Governance of IT). ISO/IEC 27001 (Information security management). ISO/IEC 22301 (Business continuity).
NIST Cybersecurity Framework
- NIST (2024). CSF 2.0 sebagai kerangka pengelolaan risiko keamanan siber.
- 🔗 Akses
AI Governance Framework
- OECD (2024). Pedoman tata kelola kecerdasan buatan untuk pemerintah dan organisasi.
- 🔗 Akses
Cybersecurity Outlook
- World Economic Forum (tahunan). Laporan tren keamanan siber global.
- 🔗 Akses
ESG Reporting Standards
- GRI Global Reporting Initiative (berkala). Standar pelaporan ESG yang banyak diadopsi.
- 🔗 Akses
Future of Work in Digital Era
- ILO International Labour Organization (berkala). Studi dampak digitalisasi pada pekerjaan.
- 🔗 Akses
16.6 Komunitas dan Sumber Daya Lanjutan
Buku ini adalah titik awal, bukan titik akhir. Pembaca yang ingin melanjutkan perjalanan tata kelola TI dapat memanfaatkan komunitas dan sumber daya berikut.
Komunitas Profesional
- PERPAMSI (Persatuan Perusahaan Air Minum Seluruh Indonesia). Forum berbagi praktik baik antar PDAM dan operator air minum di Indonesia. Diskusi regulasi, operasional, dan transformasi digital sektor air.
- ISACA Indonesia Chapter. Komunitas profesional tata kelola TI, risiko, dan keamanan siber. Mengadakan seminar, sertifikasi (CGEIT/CRISC/CISA), dan forum diskusi implementasi COBIT di Indonesia.
- IIA Indonesia (Institute of Internal Auditors). Komunitas auditor internal. Relevan untuk SPI, auditor TI, dan fungsi assurance di BUMD.
- Indonesia Water Institute (IWI). Lembaga riset dan advokasi kebijakan air. Sumber data sektor, pelatihan, dan forum diskusi kebijakan air nasional.
Sumber Daya Teknis
- ISACA COBIT 2019 Toolkit. Perangkat implementasi COBIT 2019 termasuk Design Guide, Implementation Guide, dan Process Assessment Model (PAM). Tersedia di www.isaca.org.
- BSSN Indeks KAMI. Alat bantu mandiri untuk menilai kesiapan keamanan informasi organisasi. Tersedia gratis di portal BSSN.
- KemenPANRB Indeks SPBE. Instrumen evaluasi kematangan SPBE untuk BUMD dan instansi pemerintah. Pedoman teknis tersedia di portal SPBE nasional.
Sumber Data Sektor
- BPPSPAM. Badan Peningkatan Penyelenggaraan Sistem Penyediaan Air Minum. Menerbitkan laporan kinerja PDAM/BUMD air minum nasional (tahunan).
- BPS (Badan Pusat Statistik). Data sosio-demografi, akses air minum, dan profil daerah untuk mendukung business case dan perencanaan.
- Bappenas. Dokumen perencanaan nasional (RPJMN, RPJMD) yang memuat target layanan air minum dan infrastruktur.
Tentang Buku Ini
Edisi: Pertama, 2026. Buku ini mengacu pada COBIT 2019, UU 27/2022 PDP, PP 71/2019 PSTE, dan regulasi lain yang berlaku pada saat penulisan.
Pembaruan dan Errata: Regulasi dan standar internasional terus berkembang. Koreksi, pembaruan, atau perubahan signifikan pada konten buku ini akan dicatat di itgbook.com/errata. Pembaca dapat pula mengirimkan masukan melalui situs yang sama.
Pendampingan: Untuk organisasi yang ingin pendampingan implementasi tata kelola TI di luar cakupan buku ini, penulis dapat dihubungi melalui fdiskandar.com.
Penutup: Sebuah Kehormatan bagi Penjaga Amanah
Membangun dan merawat infrastruktur air adalah pekerjaan membangun peradaban. Dibutuhkan visi jangka panjang, modal yang masif, dan keberanian untuk mengelola risiko lintas dekade. Bagi para pimpinan puncak yang menakhodai portofolio operasi utilitas air (baik di tingkat kabupaten hingga skala regional dan kemitraan strategis), buku ini pada akhirnya bukanlah tentang teknologi.
Buku ini tentang bagaimana Anda melindungi warisan (legacy) dan investasi infrastruktur fisik raksasa yang telah Anda bangun, dengan membangun infrastruktur keputusan (tata kelola) yang sama kuatnya. Ketika tata kelola TI bekerja dengan sunyi namun disiplin, ia memastikan bahwa keandalan organisasi Anda tidak bergantung pada keberuntungan, melainkan pada desain.
Ada dimensi yang sering luput dari diskusi framework. Tata kelola TI yang matang tidak hanya melindungi operasi hari ini; ia membangun kelincahan (agility) organisasi untuk merespons kejutan masa depan. Utilitas yang sudah memiliki struktur keputusan yang jelas, data yang dapat dibaca lintas fungsi, dan kepemimpinan yang terlatih mengelola risiko akan merespons perubahan teknologi lebih cepat daripada utilitas yang masih bekerja secara reaktif. Perubahan itu dapat datang dalam bentuk regulasi baru, teknologi pengolahan air yang semakin terdesentralisasi, atau pergeseran ekspektasi pelanggan industri yang memilih efisiensi secara mandiri. Kelincahan ini bukan produk dari satu proyek TI. Ia adalah akumulasi dari disiplin tata kelola yang dijalankan konsisten, kuartal demi kuartal, hingga menjadi cara kerja sehari-hari. Ketika perubahan besar tiba, organisasi yang sudah memiliki fondasi ini tidak perlu memulai dari nol. Mereka sudah berdiri di posisi yang tepat untuk memimpin, bukan sekadar menyesuaikan diri.
Dan pada titik itulah, teknologi benar-benar menjadi penjaga janji Anda kepada masyarakat.
Terima kasih telah mengambil tanggung jawab yang tidak ringan ini. Teruslah beradaptasi, teruslah memimpin, dan pastikan setiap tetes air yang mengalir didukung oleh sistem yang andal, terukur, dan siap dipulihkan.
Catatan akses sumber: Tautan di atas mengarah ke portal resmi pemerintah, lembaga standar, atau penerbit. Sebagian dokumen tersedia bebas; dokumen ISO/IEC dan jurnal akademik tertentu bersifat berbayar di situs resmi. Apabila tautan berubah karena pembaruan portal, gunakan judul resmi dan nomor regulasi sebagai dasar pencarian.
Menuju gerakan berikutnya. Struktur keputusan, data yang dapat dipercaya, dan tata kelola yang matang adalah fondasi. Namun, fondasi sebaik apa pun goyah bila manusia yang harus menjalankannya tidak diurus: menolak diam-diam, dipaksa berubah, atau dibiarkan tergerus. Pertanyaan berikutnya bukan lagi soal kerangka, melainkan soal manusia, insentif, dan kekuasaan. Itu pekerjaan gerakan ketiga dalam seri ini, Digital Transformation Playbook (dtrbook.com).
Penafian: Tulisan ini adalah pandangan pribadi penulis berdasarkan pengalaman praktis dan studi independen. Bukan merupakan pandangan institusional atau komitmen formal dari organisasi mana pun.