IT Governance and Risk Management

Aspek-aspek IT Governance


1. Meeting Stakeholder Needs
Setiap pemangku kepentingan organisasi memiliki kebutuhan akan keberadaan sistem dan teknologi informasi dalam konteksnya yang beragam, ada yang mengharapkan terjadinya efisiensi, bertambahnya revenue, semakin transparansinya pengelolaan aset, memperbaiki kendali, meningkatkan utilitas pegawai, memberdayakan sumber daya manusia dan sebagainya.

2. Covering Enterprise End-to-End
Informasi sebagai asset penting organisasi dibutuhkan oleh seluruh unit organisasi yang kemudian diolah untuk menghasilakn informasi baru bagi kebutuhan proses selanjutnya. Oleh karena itu, maka domain govrnance harus memperhatikan kenyataan sehingga pendekatan dipergunakan perlu utuh dan lengkap.

3. Applying a Single Integrated Framework
Begitu banyak standar best practice di bidang manajemen dan governance IT yang dikenal di industri dan diadopsi beranekaragam organisisai maupun perusahaan, seperti ISO-38500, TOGAF, ITIL, dan lain sebagainya. alam konteks ini, COBIT telah mempertimbangkan dan mengadopsi berbagai kerangka dan konsep best practice tersebut ke dalam prinsip, model dan strukturnya.

4. Enabling a Holistic Approach
Governance merupakan suatu tatanan konsep yang berkaitan dengan sejumlah dimensi, seperti kebijakan, proses, sumber daya, fasilitas, teknologi, dan lain sebagainya. Masing-masing domain ini mampu menjadi pemicu bagi terselenggarakannya praktek governance yang efektif tergantung dari situasi dan konteksi organisasi.

5. Separating Governance from Management
Cukup banyak pihak-pihak yang menggunakan kedua konsep yang secara prinsip dan hakiki berbeda ini. Jika manajemen lebih menekankan pada rangkaian menjalankan aktivitas untuk pencapaian visi, misi, dan objektif organisasi yang telah dicenangkan, governance lebih fokus pada cara-cara pencapaian visi, misi, dan objektif tersebut yang sejalan dengan prinsip-prinsip nilai yang dianut oleh pemilik perusahaan.

Aspek-aspek Risk Management

1. Risk Assessment
Penilaian resiko (risk assessment) merupakan proses awal dalam metodologi manajemen resiko sejak dikeluarkannya COSO Internal Control Integrated Framework. Organisasi menggunakan risk assessment untuk menentukan tingkat ancaman yang potensial dan resiko yang berhubungan dengan suatu sistem IT diseluruh SDLC. Output dari proses ini membantu ke arah mengidentifikasi kendali yang sesuai untuk mengurangi/menghapuskan resiko sepanjang/ketika proses peringanan (risk mitigation).

2. Risk Mitigation
Risk mitigation biasanya dilakukan dengan memeuhi pendekatan biaya terendah (least-cost approach) dan melaksanakan kontrol atau pengendalian yang paling tepat (the most appropriate controls) sehingga dapat mengurangi resiko ke dalam tingkat yan dapat diterima dengan resiko yang palling minim terhadap sumber daya dan tujuan organisasi.

3. Evaluation and Assessment
Umumnya, suatu organisasi akan secara terus-menerus memperluas dan memperbaharui jaringannya, mengubah komponen dan mengganti aplikasi software-nya atau memperbaharuinya dengan versi yang lebih baru. Perubahan ini berarti bahwa, resiko baru akan timbul dan resiko sebelumnya dikurangi. Demikian seterusnya, sehingga manajemen resiko akan berkembang.

Contoh

Perusahaan memastikan terlaksananya good practices IT Governance/Management sebagaimana diamanatkan oleh Peraturan Menteri BUMN. Perusahaan membentuk IT Steering Committe dan menerapkan penanggung jawab dari masing-masing fungsi yang memiliki pengetahuan dan kompetensi sesuai bidangnya masing-masing, sehingga proses pembentukan dan pengembangan TI dapat dilakukan sesuai rencana. IT steering committe memberikan dukungan terhadap perencanaan dan implementasi jangka pendek dan jangka panjang, yang berfungsi sebagai pengawas dalam pelaksanaan program.

Langkah-langkah Auditing IT Governance

1. Identifikasi dan Dokumentasi
Langkah ini adalah keharusan. Hal ini bisa dilakukan dengan menjalankan survei maupun observasi ke lapangan, sehingga audit bisa lebih objektif dan akurat.

2. Tes Subtantif
Tes subtantif merupakan tes yang dijalankan untuk mengetahui isi secara lebih mendalam. Terdapat dua tipe tes yang dapat dijalankan, yaitu signifikan alias ditelusur secara mendalam atau terbatas.

3. Evaluasi
Di tahap ini, kembali dicek apakah kinerja perusahaan efektif atau tidak. Kalau efektif berarti memenuhi syarat dan lanjut ke tahap selanjutnya, sedangkan jika tidak efektif, lakukan lagi tes subtantif.

4. Penilaian Mutu/Kesimpulan
Pada tahap ini akan terlihat apakah mutunya terjamin atau tidak. Selain itu, tujuan dan langkah-langkah tersebut harus dilakukan secara konsekuen.



                                                                                                                                                                              

Audit IT pada domain EDM (Evaluate, Direct, and Monitor)

Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian optimasi risiko dan sumber daya, mencakup praktik dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.

Audit IT pada domain APO (Align, Plan, and Organise)

Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontibusia pada pencapaian tujuan bisnis.

Audit IT pada domain BAI (Build, Acquire, and Implement)

Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.

Audit IT pada domain DSS (Deliver, Service, and Support)

Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.

Audit IT pada domain MEA (Monitor, Evaluate, Assess)

Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.





Daftar Pustaka

Komentar

  1. Semua Hal Pasti ada resikonya, gimana caranya aja untuk kita menghadapi atau meminimalisir management risk tersebut

    Software Toko Gratis Full Version

    BalasHapus

Posting Komentar

Postingan populer dari blog ini

Analisis SWOT

Sejarah Perkembangan Sistem Informasi dan Teknologi Informasi

Layanan Operasi dan Pegelolaan Layanan Bisnis