IT Governance
Pengelolaan TI (IT
Governance) merupakan suatu bentuk perencanaan dalam menerapkan dan menggunakan
TI yang digunakan oleh suatu organisasi agar sesuai dengan visi, misi dan
tujuan dari organisasi. TI yang diatur tersebut merupakan suatu proses untuk
mengarahkan dan mengendalikan organisasi agar dapat mencapai tujuannya dengan
menambahkan nilai yang dapat menyeimbangkan resiko terhadap penggunaan TI serta
prosesnya.
Aspek-Aspek IT Governance
1. Penyelarasan rencana
strategis TI dengan tujuan bisnis Perusahaan (Strategic Alignment); berfokus
pada memastikan hubungan bisnis dan rencana TI; mendefinisikan, memelihara dan
memvalidasi proposisi nilai TI, dan menyelaraskan operasi TI dengan operasi
perusahaan.
2. Optimalisasi nilai
bisnis Perusahaan bagi Perusahaan (Value Delivery); adalah tentang menjalankan
proposisi nilai seluruh siklus pengiriman, memastikan bahwa TI memberikan
manfaat yang dijanjikan terhadap strategi, berkonsentrasi pada mengoptimalkan
biaya dan membuktikan nilai intrinsik TI.
3. Optimalisasi investasi
TI yang mencakup aplikasi, informasi, infrastruktur dan sumber daya manusia
(Resouce Management); adalah tentang investasi yang optimal, dan pengelolaan
yang tepat atas sumber daya TI yang kritis, yaitu antara lainaplikasi,
informasi, infrastruktur dan orang-orang. Isu-isu kunci berkaitandengan
optimasi pengetahuan dan infrastruktur.
4. Pengelolaan resiko TI
(Risk Management); membutuhkan kesadaran risiko dari pejabat perusahaan senior,
pemahaman yang jelas tentang risk appetite perusahaan itu, pemahaman tentang
persyaratan kepatuhan, transparansi tentang risiko yang signifikan untuk
perusahaan dan menanamkan tanggung jawab manajemen risiko kedalam organisasi.
5. Pengelolaan kinerja
proses TI (Performance Measurement); menjalankan dan memonitor implementasi
atasstrategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses dan
pelayanan pengiriman, yaitu menggunakan, misalnya, balanced scorecard yang menerjemahkan
strategi ke dalam tindakan untuk mencapai tujuan yang diharapkan.
Risk Management
Manajemen Risiko (Risk
Management) adalah kemungkinan terjadinya sesuatu yang buruk atau hilangnya
sesuatu yang bernilai. Nilai yang dimaksud disini dapat berupa kesehatan,
status sosial, kekayaan, barang, harta ataupun kesejahteraan dan kebahagiaan.
Nilai-nilai ini dapat diperoleh atau hilang ketika kita mengambil keputusan
untuk melakukan ataupun tidak melakukan suatu tindakan.
Aspek-Aspek Risk Management
1. Tataran Korporasi: Aspek
ini terdiri atas tiga hal. Pertama, kecukupan modal minimum. Kedua, batasan
portofolio investasi. Ketiga, pemisahan rekening perusahaan dan nasabah.
Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate
crime).
2. Tataran Pengelola
Perusahaan: Aspek ini terdiri atas tiga hal juga. Pertama, kompetensi manajemen
berupa pengalaman dan keahlian. Kedua, integritas pengurus berupa rekam jejak
yang tidak tercela. Ketiga, tata pengelolaan yang baik dan transparan. Pengaturan
aspek ini dimaksudkan untuk mencegah kejahatan pimpinan perusahaan (white
collar crime).
3. Tataran Pelaksana
Lapangan Perusahaan: Aspek ini terdiri atas tiga hal. Pertama, pengenalan
selera risiko nasabah (risk appetite). Kedua, pengetahuan tenaga penjual akan
produk investasi yang dijualnya. Ketiga, transparansi dalam menjelaskan risiko
investasi. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan tenaga
pelaksana (blue collar crime).
Contoh: Pabrik sepatu
dengan tenaga 10 orang menghadapi resiko bahwa sepatu-sepatu tersebut rusak.
Bila pabrik tersebut menambah mesin dan tenaga kerja, maka resikonya bertambah,
antara lain kerusakan mesin, keributan karyawan dan lain-lain.
Langkah-Langkah Auditing IT
Governance
1. Identifikasi dan dokumentasi.
Layaknya audit umum, identifikasi dan dukumentasi adalah keharusan. Hal ini
bisa dilakukan dengan menjalankan survei maupun observasi ke lapangan sehingga
audit bisa lebih objektif dan akurat.
2. Tes subtantif. Tes
substansi merupakan tes yang dijalankan untuk mengetahui “isi” secara lebih
mendalam. Dalam tes ini ada dua tipe yang bisa dijalankan: signifikan alias
ditelusur secara lebih mendalam; atau terbatas.
3. Evaluasi. Setelah
melakukan tes substantif, audit TI bisa menjalankan evaluasi berdasarkan hasil
temuan. Di tahap ini kembali dicek apakah kinerja perusahaan efektif atau
tidak. Kalau efektif berarti memenuhi syarat untuk dilanjutkan ke tahap
selanjutnya. Namun kalau tidak efektif, lakukan lagi tes substantif.
4. Penilaian Mutu/ Kesimpulan.
Di langkah terakhir ini akan terlihat apakah mutunya terjamin atau tidak. Jelas
audit TI bukanlah tindakan yang bisa dilakukan secara asal dan instan.
Ketelitian auditor menjadi ujung tombaknya. Selain itu tentu saja, tujuan dan
langkah-langkah tersebut harus dilakukan secara konsekuen.
Audit IT pada Domain
Audit IT pada domain EDM
(Evaluate, Direct, and Monitor)
Proses tata kelola ini
berurusan dengan tujuan tata pemangku kepentingan dalam melakukan penilaian,
optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan
untuk mengevaluasi pilihan strategis, memberikan arahan kepada TI dan pemantauan
hasilnya. Berikut domain proses EDM:
- EDM01 Ensure Governance
Framework Setting and Maintenance (Memastikan Pengaturan dan Pemeliharaan
Kerangka Tata Kelola)
- EDM02 Ensure Benefits
Delivery (Memastikan Memberi Manfaat)
- EDM03 Ensure Risk
Optimisation (Memastikan Pengoptimalan Risiko)
- EDM04 Ensure Resource
Optimisation (Memastikan Pengoptimalan Sumber Daya)
- EDM05 Ensure Stakeholder
Transparency (Memastikan Transparansi Pemangku Kepentingan)
Audit IT pada domain APO
(Align, Plan, and Organise)
Memberikan arah untuk
pengiriman solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini
mencakup strategi dan taktik, dan mengidentifikasi kekhawatiran cara terbaik TI
agar dapat berkontribusi pada pencapaian tujuan bisnis. Realisasi visi strategis
perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda.
Sebuah organisasi yang tepat, serta infrastruktur teknologi, harus dimasukkan
ke dalam tempatnya. Berikut domain proses APO:
- APO01 Manage The IT
Management Framework (Mengelola Kerangka Manajemen TI)
- APO02 Manage Strategy
(Mengelola Strategi)
- APO03 Manage Enterprise
Architecture (Mengelola Arsitektur Bisnis)APO04 Manage Innovation (Mengelola
Perubahan)
- APO05 Manage Portfolio
(Mengelola Dokumen)
- APO06 Manage Budget and
Costs (Mengelola Anggaran dan Biaya)
- APO07 Manage Human
Resources (Mengelola Sumber Daya Manusia)
- APO08 Manage
Relationships (Mengelola Relasi)
- APO09 Manage Service
Agreements (Mengelola Perjanjian Layanan)
- APO10 Manage Suppliers
(Mengelola Pemasok)
- APO11 Manage Quality
(Mengelola Kualitas)
- APO12 Manage Risk
(Mengelola Risiko)
- APO13 Manage Security
(Mengelola Keamanan)
Audit IT pada domain BAI
(Build, Acquire, and Implement)
Memberikan solusi dan
melewatinya sehingga akan berubah menjadi layanan. Untuk mewujudkan strategi
TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan dan terintegrasi ke dalam proses bisnis. Perubahan dan
pemeliharaan sistem yang ada juga dicakup oleh domain ini, untuk memastikan
bahwa solusi terus memenuhi tujuan bisnis. Berikut domain proses BAI:
- BAI01 Manage Programmes
and Project (Mengelola Program Dan Proyek)
- BAI02 Manage Requirements
Definition (Mengelola Definisi Persyaratan)
- BAI03 Manage Solutions
Identification and Build (Mengelola Identifikasi Solusi dan Pembangunan)
- BAI04 Manage Availability
and Capacity (Mengelola Ketersediaan dan Kapasitas)
- BAI05 Manage
Organisational Change Enablement (Mengelola Pemberdayaan Organisasi Perubahan)
- BAI06 Manage Changes
(Mengelola Perubahan)
- BAI07 Manage Change
Acceptance and Transitioning (Mengelola Penerimaan Perubahan dan Transisi)
- BAI08 Manage Knowledge
(Mengelola Pengetahuan)
- BAI09 Manage Assets
(Mengelola Kepemilikan)
- BAI10 Manage
Configuration (Mengelola Susunan)
Audit IT pada domain DSS
(Deliver, Service, and Support)
Menerima solusi dan dapat
digunakan bagi pengguna akhir. Domain ini berkaitan dengan pengiriman aktual
dan dukungan layanan yang dibutuhkan, yang meliputi pelayanan, pengelolaan
keamanan dan kelangsungan, dukungan layanan bagi pengguna, dan manajemen data
dan fasilitas operasional. Berikut domain proses DSS:
- DSS01 Manage Operations
(Mengelola Operasi)
- DSS02 Manage Service
Requests and Incidents (Mengelola Layanan Permohonan dan Kecelakaan)
- DSS03 Manage Problems
(Mengelola Masalah)
- DSS04 Manage Continuity
(Mengelola Keberlangsungan)
- DSS05 Manage Security
Services (Mengelola Jasa Keamanan)
- DSS06 Manage Business
Process Controls (Mengelola Kontrol Proses Bisnis)
Audit IT pada domain MEA
(Monitor, Evaluate, Assess)
Monitor semua proses untuk
memastikan bahwa arah yang disediakan diikuti. Semua proses TI perlu dinilai
secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhan
mereka. Domain ini tertuju pada manajemen kinerja, pemantauan pengendalian
internal, kepatuhan terhadap peraturan dan tata kelola. Berikut domain proses
MEA:
- MEA01 Monitor, Evaluate
and Assess Performance and Conformance (Memantau, Evaluasi dan Menilai Kinerja
Dan Penyesuaian)
- MEA02 Monitor, Evaluate
and Assess The System of Internal Control (Memantau, Evaluasi dan Menilai
Sistem Pengendalian Internal)
- MEA03 Monitor, Evaluate
and Assess Compliance with External Requirements (Memantau, Evaluasi dan
Menilai Kepatuhan dengan Persyaratan Eksternal)
Referensi :
https://itgid.org/fokus-area-pada-it-governance/
https://www.kemenkeu.go.id/publikasi/artikel-dan-opini/diskusi-tentang-manajemen-resiko/
https://itgid.org/it-governance-pemegang-kendali-perusahaan/
https://blog.gamatechno.com/tujuan-langkah-audit-teknologi-informasi/qaw
No comments:
Post a Comment