Apa bedanya IT Compliance dengan IT Governance?


Dari: http://aswilnazir.com/2012/06/11/apa-bedanya-it-compliance-dengan-it-governance/


Apa bedanya IT Compliance dengan IT Governance?

Mereka yang baru bergabung di dunia teknologi informasi mungkin masih merasa asing mendengar istilah IT Compliance dan IT Governance. Memang kedua istilah ini belum terlalu lama dikenal dalam dunia teknologi informasi, baru sekitar 10 tahun yang lalu banyak dibicarakan orang.
Menurut kamus, compliance yang dalam bahasa Indonesia bermaknakepatuhan, adalah bertindak (sesuai) dengan standar yang diterima (oleh peraturan, lingkungan, komunitas dll). Contohnya, mengemudi sesuai dengan batas kecepatan yang diperbolehkan adalah sebuah tindakan kepatuhan, sama halnya dengan peraturan yang hanya memperbolehkan satu buah tas tangan saja yang dibawa masuk ke pesawat. Sebuah DVD player yang diproduksi sesuai dengan spesifikasi teknis untuk cakram (disc) disebut memenuhi suatu set standar. Kepatuhan juga dapat berarti mengikuti seperangkat aturan atau rambu-rambu agar suatu organisasi dapat beroperasi secara legal. Pelaksanaan prosedur tersebut untuk memenuhi kepatuhan (compliance) bisa saja memerlukan beberapa standar.
IT Compliance adalah pelaksanaan dan pengelolaan teknologi informasi yang sesuai dengan standar yang diterapkan dalam lingkungan atau institusi tertentu.

Jadi adalah salah, jika Anda berasumsi bahwa IT Compliance menyangkut aspek teknologi saja. IT Policy Compliance (kepatuhan akan kebijakan TI) boleh dikatakan sebagai satu ekosistem lengkap yang mencakup:
  •   Tujuan strategis organisasi.
  •   Pelatihan dan kesadaran Pengguna komputer.
  •   Kebijakan di tingkat atas.
  •   Prosedur dan standar.
  •   Pengaturan konfigurasi.
  •   Kontrol terhadap teknologi.
  •   Pemantauan yang berkelanjutan.
  •   Penilaian risiko bisnis.
  •   Auditor Internal dan Eksternal.
Secara keseluruhan, kepatuhan adalah tentang manusia, proses, dan teknologi. Banyak perusahaan yang memberikan perhatian terlalu banyak kepada teknologi dan akhirnya gagal dalam audit karena kurangnya perhatian terhadap faktor manusia dan proses.
Beberapa contoh standar pemerintah dan industri yang mempengaruhi kebijakan kepatuhan TI misalnya:
  •   Control Objectives for Information and Related IT (COBIT).
  •   National Institute of Standards and Technology (NIST) standards.
  •   International Standards Organization (ISO) 27001.
  •   Information Technology Infrastructure Library (ITIL).
  •   Payment Card Industry Data Security Standard (PCI DSS).
  •   NERC Critical Infrastructure Protection (CIP) standards.
  •   Federal Financial Institution Examination Council (FFIEC) Information Security Book.
  •   Security Content Automation Protocol (SCAP).
Kebijakan dan standar diatas adalah juga model kerangka kerja atau metodologi yang dipakai untuk menerapkan tatakelola teknologi informasi yang lebih dikenal dengan IT Governance.
Kalau begitu, apa sesungguhnya yang dimaksud dengan IT Governance?

Istilah IT Governance belum lama ini sudah dibakukan kedalam bahasa Indonesia dengan sebutan Tatakelola TI.
Kalau merujuk kepada beberapa literatur, definisi yang paling sering digunakan untuk menjelaskan tentang IT Governance adalah:

It is an integral part of enterprise governance and consists of the leadership and organizational structures and processes to ensure that the organization sustains and extends its strategy and objectives. (IT Governance Institute)
Specifying the decision rights and accountability framework to encourage desirable behavior in the use of IT.
(Weill, P., Ross, J. W.)
Jadi secara singkat kita bisa mengartikan IT Governance sebagai “suatu bagian terintegrasi dari kepengurusan perusahaan yang mencakup kepemimpinan, struktur serta proses organisasi yang memastikan bahwa TI perusahaan mempertahankan dan memperluas strategi dan tujuan organisasi.”
Perbandingan antara IT Compliance dan IT Governance kurang lebih adalah seperti membandingkan Quality Assurance (QA) dan Quality Control (QC).
QA akan terfokus pada proses pembuatan suatu produk dan pencegahan kerusakan. QA tidak secara langsung bertanggungjawab terhadap kualitas dari produk yang dihasilkan. QA bukan pembuat produk, namun membuat kebijakan, standar dan prosedur untuk memastikan defect prevention benar-benar dilakukan.
Sementara itu QC akan terfokus kepada produk yang dihasilkan, mendeteksi kerusakan, membuat produk, bertanggung jawab terhadap kualitas produk yang dihasilkan.
Kegiatan quality control akan terfokus kepada hasil. Sedangkan kegiatan quality assurance fokus pada proses untuk membuat hasil.

Dengan analogi diatas, maka IT Governance posisinya sama dengan QA sedangkan IT Compliance identik dengan peranan QC.
Semoga bermanfaat.
Ciputat, 10 Juni 2012.