IT Governance and Risk Management

-

Aspek-aspek IT Governance


1. Meeting Stakeholder Needs
Setiap pemangku kepentingan organisasi memiliki kebutuhan akan keberadaan sistem dan teknologi informasi dalam konteksnya yang beragam, ada yang mengharapkan terjadinya efisiensi, bertambahnya revenue, semakin transparansinya pengelolaan aset, memperbaiki kendali, meningkatkan utilitas pegawai, memberdayakan sumber daya manusia dan sebagainya.

2. Covering Enterprise End-to-End
Informasi sebagai asset penting organisasi dibutuhkan oleh seluruh unit organisasi yang kemudian diolah untuk menghasilakn informasi baru bagi kebutuhan proses selanjutnya. Oleh karena itu, maka domain govrnance harus memperhatikan kenyataan sehingga pendekatan dipergunakan perlu utuh dan lengkap.

3. Applying a Single Integrated Framework
Begitu banyak standar best practice di bidang manajemen dan governance IT yang dikenal di industri dan diadopsi beranekaragam organisisai maupun perusahaan, seperti ISO-38500, TOGAF, ITIL, dan lain sebagainya. alam konteks ini, COBIT telah mempertimbangkan dan mengadopsi berbagai kerangka dan konsep best practice tersebut ke dalam prinsip, model dan strukturnya.

4. Enabling a Holistic Approach
Governance merupakan suatu tatanan konsep yang berkaitan dengan sejumlah dimensi, seperti kebijakan, proses, sumber daya, fasilitas, teknologi, dan lain sebagainya. Masing-masing domain ini mampu menjadi pemicu bagi terselenggarakannya praktek governance yang efektif tergantung dari situasi dan konteksi organisasi.

5. Separating Governance from Management
Cukup banyak pihak-pihak yang menggunakan kedua konsep yang secara prinsip dan hakiki berbeda ini. Jika manajemen lebih menekankan pada rangkaian menjalankan aktivitas untuk pencapaian visi, misi, dan objektif organisasi yang telah dicenangkan, governance lebih fokus pada cara-cara pencapaian visi, misi, dan objektif tersebut yang sejalan dengan prinsip-prinsip nilai yang dianut oleh pemilik perusahaan.

Aspek-aspek Risk Management

1. Risk Assessment
Penilaian resiko (risk assessment) merupakan proses awal dalam metodologi manajemen resiko sejak dikeluarkannya COSO Internal Control Integrated Framework. Organisasi menggunakan risk assessment untuk menentukan tingkat ancaman yang potensial dan resiko yang berhubungan dengan suatu sistem IT diseluruh SDLC. Output dari proses ini membantu ke arah mengidentifikasi kendali yang sesuai untuk mengurangi/menghapuskan resiko sepanjang/ketika proses peringanan (risk mitigation).

2. Risk Mitigation
Risk mitigation biasanya dilakukan dengan memeuhi pendekatan biaya terendah (least-cost approach) dan melaksanakan kontrol atau pengendalian yang paling tepat (the most appropriate controls) sehingga dapat mengurangi resiko ke dalam tingkat yan dapat diterima dengan resiko yang palling minim terhadap sumber daya dan tujuan organisasi.

3. Evaluation and Assessment
Umumnya, suatu organisasi akan secara terus-menerus memperluas dan memperbaharui jaringannya, mengubah komponen dan mengganti aplikasi software-nya atau memperbaharuinya dengan versi yang lebih baru. Perubahan ini berarti bahwa, resiko baru akan timbul dan resiko sebelumnya dikurangi. Demikian seterusnya, sehingga manajemen resiko akan berkembang.

Contoh

Perusahaan memastikan terlaksananya good practices IT Governance/Management sebagaimana diamanatkan oleh Peraturan Menteri BUMN. Perusahaan membentuk IT Steering Committe dan menerapkan penanggung jawab dari masing-masing fungsi yang memiliki pengetahuan dan kompetensi sesuai bidangnya masing-masing, sehingga proses pembentukan dan pengembangan TI dapat dilakukan sesuai rencana. IT steering committe memberikan dukungan terhadap perencanaan dan implementasi jangka pendek dan jangka panjang, yang berfungsi sebagai pengawas dalam pelaksanaan program.

Langkah-langkah Auditing IT Governance

1. Identifikasi dan Dokumentasi
Langkah ini adalah keharusan. Hal ini bisa dilakukan dengan menjalankan survei maupun observasi ke lapangan, sehingga audit bisa lebih objektif dan akurat.

2. Tes Subtantif
Tes subtantif merupakan tes yang dijalankan untuk mengetahui isi secara lebih mendalam. Terdapat dua tipe tes yang dapat dijalankan, yaitu signifikan alias ditelusur secara mendalam atau terbatas.

3. Evaluasi
Di tahap ini, kembali dicek apakah kinerja perusahaan efektif atau tidak. Kalau efektif berarti memenuhi syarat dan lanjut ke tahap selanjutnya, sedangkan jika tidak efektif, lakukan lagi tes subtantif.

4. Penilaian Mutu/Kesimpulan
Pada tahap ini akan terlihat apakah mutunya terjamin atau tidak. Selain itu, tujuan dan langkah-langkah tersebut harus dilakukan secara konsekuen.

                                                                                                                                                                              

Audit IT pada domain EDM (Evaluate, Direct, and Monitor)

Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian optimasi risiko dan sumber daya, mencakup praktik dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.

Audit IT pada domain APO (Align, Plan, and Organise)

Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontibusia pada pencapaian tujuan bisnis.

Audit IT pada domain BAI (Build, Acquire, and Implement)

Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.

Audit IT pada domain DSS (Deliver, Service, and Support)

Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.

Audit IT pada domain MEA (Monitor, Evaluate, Assess)

Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.



Daftar Pustaka

Komentar

  1. Anonim30 Mei 2022 pukul 12.30

    Semua Hal Pasti ada resikonya, gimana caranya aja untuk kita menghadapi atau meminimalisir management risk tersebut

    Software Toko Gratis Full Version

    BalasHapus

Posting Komentar

Postingan populer dari blog ini

Sejarah Perkembangan Sistem Informasi dan Teknologi Informasi

-
Gambar
Sistem informasi menurut  Gordon B. Davis  ialah suatu sistem yang menerima input data dan instruksi, mengolah data sesuai dengan instruksi dan mengeluarkan hasilnya. Sedangkan teknologi informasi menurut  Kenneth C.Loudon, adalah salah satu alat yang digunakan oleh para manajer untuk mengatasi perubahan (perubahan informasi yang telah diolah dan dibuat sebelumnya dalam penyimpanan komputer) yang terjadi. Jadi, teknologi memanfaatkan teknologi apa pun yang membantu manusia dalam membuat, mengubah, menyimpan, mengkomunikasikan dan/atau menyebarkan informasi. Dengan berkembangnya zaman, teknologi informasi yang merupakan gabungan antara teknologi perangkat keras (hardware) dan perangkat lunak (software). terus menawarkan berbagai konten yang berupa elektronik yang dapat dipergunakan di perangkat smartphone dan komputer seperti e-government, e-commerce, e-education, e-medicine, e-laboratory, dll. Dari beberapa literatur, sejarah perkembangan teknologi informasi dapat dibagi
Baca selengkapnya

Analisis SWOT

-
Gambar
SWOT adalah singkatan dari Strength, Weakness, Opportunities, dan Threats . Analisis SWOT ini merupakan suatu teknik perencanaan strategi yang bermanfaat untuk mengevaluasi kekuatan ( strength ), kelemahan ( weakness ), peluang ( opportunities ), dan ancaman ( threats ) dalam suatu proyek, baik yang sedang berlangsung maupun yang akan datang atau dalam perencanaan.  Analisis SWOT pertama kali diperkenalkan oleh Albert S. Humphrey pada tahun 1960-an dalam memimpin proyek riset di Stanford Research Institute yang menggunakan data dari perusahaan-perusahaan Fortune 500. Proses ini melibatkan penentuan tujuan yang spesifik dari spekulasi bisnis atau proyek dan mengidentifikasi faktor internal dan eksternal yang mendukung dan yang tidak dalam mencapai tujuan tersebut. Analisis SWOT dapat diterapkan dengan cara menganalisis dan memilah berbagai hal yang mempengaruhi keempat faktornya, kemudian menerapkannya dalam gambar matriks SWOT seperti di bawah ini: Manfaat Analisis SWO
Baca selengkapnya

Layanan Operasi dan Pegelolaan Layanan Bisnis

-
Gambar
Pada postingan saya kali ini, saya akan membahas Operasi Layanan ( Service Operation ) dan Pengelolaan Layanan Bisnis. Operasi Layanan ( Service Operation ) A. Pengantar Operasi Layanan sendiri merupakan tahapan selanjutnya dari Transisi Layanan ( Service Transition ) pada Siklus Layanan ITIL yang sudah saya bahas dipostingan sebelumnya. Fokus operasi layanan pada framework ITILv3 yaitu berfokus pada integrasi bisnis dan TI. Dimana Operasi Layanan menjadi salah satu fase tersendiri disamping fase-fase yang ada pada siklus hidup ITIL. Operasi Layanan mencakup semua kegiatan operasional harian pengelolaan layanan-layanan TI pada tahapan siklus hidup ITIL. Di dalamnya terdapat berbagai panduan pada bagaimana mengelola layanan TI secara efisien dan efektif serta menjamin tingkat kinerja yang telah diperjanjikan dengan pelanggan sebelumnya. Panduan-panduan itu mencakup bagaimana menjaga kestabilan operasional layanan TI serta pengelolaan perubahan desain, skala, ruang ling
Baca selengkapnya