Untuk Siapa Buku Ini
Konteks buku ini adalah perusahaan utilitas air di Indonesia, khususnya yang berbentuk PDAM. Itu pilihan disengaja. Utilitas air adalah salah satu lapangan paling keras untuk menguji tata kelola teknologi informasi: layanan harus terus berjalan, tarif dan investasi diawasi banyak pihak, sumber daya sering terbatas, dan dampak publik langsung terasa ketika sistem gagal. Jika tata kelola TI bisa dibuat masuk akal di lingkungan seperti ini, prinsipnya biasanya bisa dibawa ke banyak organisasi layanan lain.
Saya menulis dari sudut pandang yang spesifik: bukan dari kursi pemerintahan, bukan dari kursi Direksi PDAM, dan bukan dari posisi auditor yang datang hanya saat pemeriksaan. Karier saya berlangsung di sektor swasta utilitas air yang bertahun-tahun bekerja sama erat dengan perusahaan daerah air minum di berbagai wilayah. Posisi itu memberi jarak sekaligus kedekatan. Cukup dekat untuk melihat detail operasional dari kerja harian; cukup berjarak untuk mengenali pola berulang lintas organisasi.
Saya sangat menyadari bahwa realitas di lapangan jauh lebih berlumpur daripada teori buku teks. BUMD bukanlah perusahaan swasta murni yang bebas kendala. Ada budaya ewuh-pakewuh, dinamika politik pemerintah daerah, anggaran yang disandera proses birokrasi, hingga keharusan mengakomodasi ‘vendor titipan’. Tata kelola TI yang disajikan di buku ini tidak berpura-pura bahwa realitas politis tersebut tidak ada. Sebaliknya, tata kelola (governance) justru disiapkan sebagai benteng perlindungan rasional bagi Direksi; sebuah alat untuk merasionalisasi setiap keputusan investasi TI agar dapat dipertanggungjawabkan di hadapan pemilik modal (Bupati/Walikota) maupun auditor, tanpa harus menabrak tembok birokrasi secara membabi buta.
Latar belakang itu diperkuat hampir dua dekade pengalaman sebelumnya sebagai konsultan tata kelola proyek TI, manajemen risiko TI, manajemen vendor TI, dan network fault management untuk perusahaan dan lembaga skala besar di Indonesia: perbankan nasional, operator telekomunikasi nasional, BUMN sektor jaminan sosial, dan badan regulator pemerintah di sektor energi dan migas. Nama klien dan institusi tidak relevan untuk buku ini. Yang relevan adalah polanya: proyek TI sering gagal bukan karena teknologinya jelek, melainkan karena keputusan, peran, risiko, dan indikator manfaatnya tidak pernah dibereskan sejak awal.
Berdasarkan pengamatan lintas sektor itu, saya percaya masalah tata kelola TI di PDAM bukan masalah yang eksotis. Ia sangat Indonesia, tetapi bukan unik PDAM. Pola yang sama muncul di organisasi lain dengan istilah berbeda. Di perbankan namanya risiko operasional transaksi. Di telekomunikasi namanya keandalan jaringan. Di regulator sektor publik namanya akuntabilitas layanan digital. Di PDAM, ia terlihat sebagai SCADA yang tidak bisa dikendalikan dari ruang kendali, billing yang tersendat, data pelanggan yang tidak sinkron, atau proyek aplikasi yang selesai secara administratif tetapi tidak mengubah cara kerja.
Karena itu, prinsip yang disajikan di sini, yaitu struktur keputusan, akuntabilitas TI, kepatuhan regulasi, manajemen risiko, dan kematangan tata kelola, berlaku di hampir setiap organisasi yang mengandalkan TI sebagai tulang punggung layanan: BUMD listrik dan gas, koperasi simpan pinjam dan BMT, puskesmas dan RSUD, sekolah penerima BOS dan kampus menengah, hingga korporasi swasta menengah multi-cabang. Saya menulis dari kursi yang saya kenal; pembaca bebas mendudukkan prinsipnya di kursi sendiri.
Mitos yang ingin saya bongkar sejak awal: tata kelola TI bukan kemewahan organisasi besar. Justru organisasi yang sumber dayanya terbatas paling membutuhkan tata kelola, karena setiap keputusan yang keliru akan lebih mahal, lebih lama diperbaiki, dan lebih cepat terasa oleh pengguna jasa.
Sepanjang buku ini, Anda akan menemukan lebih dari 100 butir checklist diagnostik. Saya tegaskan di sini: daftar periksa tersebut tidak diciptakan untuk melahirkan birokrasi baru. Ini bukan setumpuk formulir administratif yang harus dicetak dan ditandatangani panitia untuk menunda eksekusi teknis. Sebaliknya, daftar periksa ini adalah alat bernavigasi (mental model) bagi Direksi untuk memotong debat teknis yang bertele-tele dan langsung menembak isu substansial (siapa penanggung jawabnya, apa risikonya). Checklist ini dihidupkan untuk mengurangi kesalahan fatal pada hal-hal dasar akibat kelupaan kolektif.
Tanda buku ini dipakai dengan benar bukanlah banyaknya istilah baru yang dihafal, atau tumpukan dokumen audit yang Anda cetak. Tandanya lebih sederhana: rapat menjadi lebih jelas, keputusan punya pemilik, risiko punya bahasa yang sama, dan proyek TI tidak lagi dimulai hanya karena ada anggaran. Jika setelah membaca satu bab pembaca bisa memperbaiki satu agenda rapat, satu format laporan, atau satu keputusan eskalasi, buku ini sudah bekerja sesuai fungsinya. Ukuran keberhasilan buku teknis bukan keindahan teorinya, melainkan perubahan kecil yang bisa diamati dalam cara organisasi mengambil keputusan.
Itu sebabnya pembaca sebaiknya menandai halaman bukan karena kalimatnya indah, tetapi karena bisa dipakai untuk mengubah agenda kerja minggu depan.
Panduan Membaca dan Jalur Baca
Buku ini dirancang untuk pembaca yang berbeda tingkat tanggung jawabnya. Ada yang membaca karena harus mengambil keputusan Direksi. Ada yang membaca karena harus menyiapkan dokumen, indikator, dan risk register. Ada juga yang membaca karena ingin memahami gambaran utuh sebelum masuk ke satu bab tertentu. Karena itu, cara membaca buku ini tidak harus hampir hampir selalu linier.
Buku ini dirancang untuk dua pembaca utama. Anda bisa memilih jalur yang sesuai dengan peran Anda.
Track Eksekutif (E); bab dengan label Track: Eksekutif ditujukan untuk Direksi, Manajer, dan pengambil keputusan. Fokus pada struktur, strategi, dan oversight. Waktu terbatas? Baca minimal bab 1, 5, 9, dan 15.
Track Praktisi (P); bab dengan label Track: Praktisi ditujukan untuk IT practitioner, auditor, dan pelaksana teknis. Fokus pada implementasi, tools, dan prosedur.
Track Keduanya (K); bab dengan label Track: Keduanya penting untuk semua pembaca. Ini mencakup fondasi regulasi, studi kasus, dan penutup.
Panduan membaca praktisnya seperti ini.
Tabel 0.1 Jalur baca yang disarankan
| Profil Pembaca | Jalur Minimum | Tujuan Membaca |
|---|---|---|
| Direksi atau Dewan Pengawas | Bab 1, 2, 5, 9, 12, 15 | Memahami risiko keputusan, akuntabilitas, dan roadmap pengawasan |
| Manajer Operasi atau Keuangan | Bab 1, 4, 5, 8, 10, 11 | Menghubungkan TI dengan layanan, anggaran, risiko, dan eksekusi |
| Kepala TI atau Praktisi TI | Bab 1, 3, 4, 6, 7, 10, 11, 14 | Membangun kerangka, dokumen, audit, dan alat kerja |
| Auditor atau Satuan Pengawas Internal | Bab 2, 3, 4, 6, 7, 9 | Menyusun pertanyaan audit dan bukti pengendalian |
| Pembaca baru yang ingin gambaran utuh | Bab 1 sampai 15 | Mengikuti alur lengkap dari urgensi sampai roadmap |
Urutan yang disarankan tetap bab 1 sampai 15 karena buku ini dibangun secara progresif. Bab 1 menjelaskan mengapa tata kelola TI menjadi urusan Direksi. Bab 2 memberi batas regulasi. Bab 3 memberi bahasa bersama melalui COBIT. Bab 4 sampai 8 mengurai instrumen utama: risiko, struktur organisasi, dokumentasi, audit, dan investasi. Bab 9 sampai 12 membawa pembaca ke asesmen, implementasi, pelembagaan, dan studi kasus. Bab 13 sampai 15 menutup dengan transformasi digital, alat kerja, dan arah ke depan.
Namun pembaca tidak wajib menunggu selesai seluruh buku untuk mulai bertindak. Jika Anda Direksi yang hanya punya satu jam sebelum rapat, mulai dari Bab 1 dan Bab 15. Jika Anda Kepala TI yang diminta menyiapkan program 90 hari, baca Bab 3, Bab 4, Bab 10, dan Bab 11. Jika Anda auditor yang sedang menyusun program pemeriksaan, lihat Bab 2, Bab 6, Bab 7, dan Bab 9. Setiap jalur baca dibuat supaya pembaca bisa langsung masuk ke masalah yang sedang dihadapi.
Setiap bab berdiri sendiri dengan tujuan yang jelas. Anda bisa lompat ke bab yang relevan tanpa kehilangan konteks. Bab-bab berikutnya akan mengurai instrumen implementasinya secara bertahap. Kita bergerak dari “mengapa ini penting” ke “bagaimana menjalankannya”. Prinsipnya tetap sama: mulai dari struktur keputusan, ukur hasilnya, perbaiki secara konsisten.
Di akhir buku ini, Anda tidak hanya akan memahami tata kelola TI. Anda akan mampu membangun tiga instrumen yang langsung dipakai di organisasi Anda: rencana 30 hari pertama dengan pemilik dan tenggat, matriks prioritas risiko 90 hari dengan indikator keberhasilan, dan ritme pertanyaan pengawasan bulanan yang menjaga disiplin keputusan tetap berjalan. Bukan dokumen yang masuk laci. Instrumen yang dipakai dalam rapat Senin pagi.
Prasyarat dan Asumsi Pembaca
Buku ini tidak mengasumsikan pembaca sudah menguasai COBIT, ISO 27001, audit TI, atau arsitektur sistem secara mendalam. Istilah teknis akan diperkenalkan ketika dibutuhkan. Kalau sebuah istilah asing penting, buku ini memakai format Indonesia terlebih dahulu lalu istilah asing dalam tanda kurung, misalnya Tata Kelola TI (IT Governance) atau Manajemen Risiko (Risk Management).
Prasyarat pembaca lebih sederhana: pernah melihat bagaimana keputusan organisasi dibuat, pernah mengalami rapat yang banyak membahas gejala tetapi sedikit menetapkan pemilik keputusan, dan bersedia melihat TI bukan hanya sebagai urusan teknisi. Pembaca yang sangat awam terhadap TI tetap bisa mengikuti Bab 1, Bab 2, Bab 5, Bab 9, Bab 12, dan Bab 15. Pembaca yang ingin detail teknis lebih kuat akan mendapatkan manfaat lebih besar dari Bab 3, Bab 4, Bab 6, Bab 7, Bab 8, Bab 10, Bab 11, dan Bab 14.
Ada satu asumsi penting: pembaca memahami bahwa buku ini bukan pedoman hukum resmi, bukan standar audit resmi, dan bukan pengganti konsultasi profesional. Buku ini adalah jembatan praktis. Ia membantu Direksi, manajer, praktisi TI, dan auditor berbicara dalam bahasa keputusan yang sama. Untuk kewajiban hukum, pembaca tetap perlu merujuk regulasi resmi dan meminta pendapat ahli hukum ketika konteksnya sensitif.
Asumsi pembaca berikutnya: organisasi Anda mungkin tidak ideal. Mungkin belum ada CIO. Mungkin komite pengarah TI belum aktif. Mungkin dokumentasi tersebar. Mungkin risk register belum pernah dibahas di rapat Direksi. Itu bukan alasan untuk merasa buku ini terlalu tinggi. Justru buku ini ditulis untuk kondisi seperti itu. Tata kelola TI yang baik tidak dimulai dari organisasi sempurna. Ia dimulai dari organisasi yang berani mengakui titik nolnya.
Jika ada bagian yang terasa terlalu teknis, baca pertanyaannya lebih dulu sebelum membaca istilahnya. Di hampir setiap topik, inti tata kelola bisa diringkas menjadi tiga hal: keputusan apa yang harus dibuat, siapa yang bertanggung jawab, dan bukti apa yang menunjukkan keputusan itu berjalan. Istilah boleh menyusul. Disiplin keputusan harus datang lebih awal.
Cara Menggunakan Buku di Rapat
Buku ini paling berguna jika tidak hanya dibaca sendirian. Gunakan ia sebagai bahan rapat. Ambil satu bab, pilih satu pertanyaan tajam, lalu pakai pertanyaan itu untuk membuka percakapan lintas fungsi. Jangan mulai dari “sistem apa yang harus dibeli”. Mulailah dari “keputusan apa yang belum punya pemilik”.
Contohnya sederhana. Setelah membaca Bab 1, Direksi dapat meminta tim menuliskan siapa incident commander untuk sistem billing, SCADA, dan layanan pelanggan. Setelah membaca Bab 2, organisasi dapat membuat daftar kewajiban regulasi yang sudah punya bukti kepatuhan dan yang belum. Setelah membaca Bab 4, manajemen dapat meminta sepuluh risiko TI tertinggi, bukan daftar risiko sepanjang 100 baris yang tidak pernah dibahas. Setelah membaca Bab 9, pimpinan dapat meminta skor kematangan yang jujur, bukan skor yang hanya bagus untuk presentasi.
Dalam pengalaman saya, organisasi sering terlalu cepat melompat ke dokumen besar. SK dibentuk, komite dinamai, template diunduh, tetapi ritme keputusan tidak berubah. Cara menggunakan buku ini sebaiknya kebalikannya: mulai dari satu keputusan yang nyata, satu pemilik yang jelas, satu indikator yang bisa dipantau, lalu satu siklus evaluasi. Jika empat hal itu berjalan, dokumen formal akan mengikuti dengan lebih sehat.
Jangan jadikan buku ini sebagai daftar tugas yang semuanya harus selesai sekaligus. Pilih satu bab yang paling dekat dengan masalah saat ini. Jika masalahnya insiden berulang, mulai dari Bab 1 dan Bab 4. Jika masalahnya proyek digital yang tidak jelas manfaatnya, mulai dari Bab 8. Jika masalahnya banyak temuan audit berulang, mulai dari Bab 6 dan Bab 7. Jika masalahnya Direksi belum punya peta jalan, mulai dari Bab 15.
Batasan Buku Ini
Buku ini sengaja praktis, tetapi bukan buku resep instan. Ia tidak menjanjikan bahwa semua PDAM, BUMD, atau organisasi layanan publik akan memiliki jalur implementasi yang sama. Struktur organisasi berbeda. Kematangan SDM berbeda. Kualitas data berbeda. Hubungan dengan vendor berbeda. Tekanan politik dan tekanan layanan juga berbeda. Karena itu, gunakan kerangka di buku ini sebagai cara berpikir, bukan sebagai daftar perintah yang ditempel tanpa penyesuaian.
Saya tidak setuju dengan anggapan bahwa tata kelola TI cukup diselesaikan dengan membeli aplikasi governance, risk, and compliance atau menyewa konsultan besar. Alat bisa membantu, tetapi alat tidak menggantikan keberanian organisasi menetapkan siapa pemilik keputusan, siapa pemilik risiko, siapa pemilik manfaat, dan kapan keputusan harus dievaluasi. Kalau empat hal itu kabur, alat secanggih apa pun hanya memindahkan kekacauan lama ke layar yang lebih rapi.
Saya percaya titik awal yang sehat biasanya lebih sederhana: satu layanan kritis, satu risiko prioritas, satu pemilik keputusan, satu indikator hasil. Mulai dari sana. Setelah ritmenya terbentuk, organisasi boleh menambah dokumen, forum, komite, dashboard, dan otomasi. Urutan ini penting. Banyak organisasi gagal bukan karena terlalu lambat membeli teknologi, tetapi karena terlalu cepat mengotomasi proses yang belum dewasa.
Buku ini juga tidak menggantikan standar resmi. COBIT, ISO/IEC 27001, Indeks KAMI, regulasi SPBE, ketentuan BSSN, dan regulasi perlindungan data pribadi memiliki dokumen rujukan masing-masing. Buku ini membantu pembaca memahami hubungan antar-rujukan itu dalam bahasa keputusan organisasi. Jika pembaca membutuhkan sertifikasi, audit formal, atau pembuktian kepatuhan hukum, gunakan dokumen resmi dan tenaga ahli yang berwenang.
Batasan berikutnya menyangkut contoh. Studi kasus di dalam buku ini sebagian memakai kejadian publik yang terdokumentasi, sebagian memakai komposit pembelajaran yang dianonimkan. Komposit dipakai bukan untuk menambah drama, tetapi untuk melindungi kerahasiaan organisasi dan individu. Dalam tata kelola TI, pelajaran sering lebih penting daripada identitas pelaku. Yang perlu dibawa pulang bukan “siapa yang salah”, melainkan “keputusan apa yang seharusnya sudah dibuat sebelum masalah muncul”.
Terakhir, buku ini tidak ditulis untuk mempermalukan organisasi yang belum matang. Hampir semua organisasi pernah berada di level awal. Yang membedakan organisasi sehat dan tidak sehat bukan apakah mereka pernah kacau, melainkan apakah mereka belajar setelah kekacauan itu terlihat. Jika buku ini membuat pembaca merasa “kami belum punya itu”, respons yang tepat bukan defensif. Respons yang tepat adalah memilih satu perbaikan kecil yang bisa dimulai minggu ini.
Tentang Penulis
FD Iskandar adalah praktisi tata kelola TI dengan pengalaman panjang dari sektor korporasi skala nasional hingga ekosistem utilitas air (PDAM). Sudut pandang buku ini menggabungkan ketatnya disiplin governance korporat dengan dinamika nyata pelayanan publik daerah, dirancang murni sebagai alat bantu kerja pragmatis bagi manajemen. Buku ini ditulis untuk memutus rantai kegagalan operasional (seperti membeli sistem sebelum mendefinisikan manfaat, atau mengontrak vendor tanpa memetakan risiko) agar organisasi tidak perlu menunggu terjadinya krisis untuk mulai membenahi tata kelola teknologinya.
Hak Cipta dan Penggunaan
Hak cipta naskah ini berada pada FD Iskandar. Pembaca dipersilakan mengutip isi atau mengadaptasi ragam checklist secara bebas untuk keperluan internal operasional asalkan tetap menyertakan atribusi sumber, namun dilarang memanfaatkannya untuk kepentingan komersial atau pelatihan berbayar tanpa izin tertulis. Perlu ditegaskan bahwa buku ini adalah kompas manajerial semata (bukan panduan hukum maupun instrumen audit negara), sehingga setiap keputusan operasional yang berdampak besar wajib diselaraskan kembali dengan regulasi terbaru dan kapasitas riil organisasi.