Aspek-aspek pada IT Governance dan Risk Management.
IT Governance
Meeting stakeholder needs. Setiap pemangku kepentingan organisasi memiliki kebutuhan akan keberadaan sistem dan teknologi informasi dalam konteksnya yang beragam. Ada yang mengharapkan terjadinya efisiensi, bertambahnya revenue, semakin transparansinya pengelolaan aset, memperbaiki kendali/control process, meningkatkan utilisasi pegawai, memberdayakan sumber daya manusia, dan lain sebagainya. Ini adalah prinsip utama dari governance, dimana keberadaan sistem dan teknologi informasi tidak boleh lepas dari konteks kebutuhan dan harapan pemangku kepentingan tertinggi dalam organisasi atau perusahaan (pemilik dan pimpinannya).
Covering Enterprise End-to-End. Informasi sebagai asset penting organisasi dibutuhkan oleh seluruh unit organisasi, dari yang berada dalam domain proses hulu (dekat dengan pemasok bahan baku) hingga ke domain proses hilir (dekat dengan pelanggan). Setiap proses di dalam organisasi pasti membutuhkan informasi, mengolahnya, dan kemudian menghasilkan informasi baru bagi kebutuhan proses selanjutnya. Oleh karena itulah maka domain governance harus memperhatikan kenyataan ini sehingga pendekatan yang dipergunakan perlu utuh dan lengkap, di segala lini proses dan unit organisasi.
Applying a Single Integrated Framework. Saat ini, begitu banyak standar best practice di bidang manajemen dan governance teknologi informasi yang dikenal di industri dan diadopsi beranekaragam organisasi maupun perusahaan, seperti: ISO-38500, TOGAF, ITIL, ISO-20000, ISO-27001, PMBOK, CMMI, dan lain sebagainya. Dalam konteks ini, Cobit telah mempertimbangkan dan mengadopsi berbagai kerangka dan konsep best practice tersebut ke dalam prinsip, model, dan strukturnya. Sehingga dapat dikatakan bahwa Cobit secara lengkap dan terpadu mengintegrasikan keseluruhan kerangka best practice tersebut.
Enabling a Holistic Approach. Isu governance tidak bias dilihat sepotong-sepotong, dalam arti kata hanya memandangnya dari satu sisi perspektif saja. Governance merupakan suatu tatanan konsep yang berkaitan dengan sejumlah dimensi, seperti: kebijakan, proses, sumber daya, fasilitas, teknologi, kultur, dan lain sebagainya. Masing-masing domain ini mampu menjadi pemicu (enabler) bagi terselenggarakannya praktek governance yang efektif tergantung dari situasi dan konteks organisasi.
Separating governance from management. Cukup banyak pihak-pihak yang mencampur adukkan kedua konsep yang secara prinsip dan hakiki berbeda ini. Di Negara yang kebanyakan organisasi atau perusahaannya menggunaka nbentuk two-layer system (misalnya: Komisaris dan Direksi), sangat penting untuk membedakan dan memisahkan pengertian governance dengan manajemen karena keduanya memiliki tujuan, alasan, dan karakteristik yang berbeda secara signifikan. Jika manajemen lebih menekankan pada rangkaian menjalankan aktivitas untuk pencapaian visi, misi, dan obyektif organisasi yang telah dicanangkan, governance lebih fokus pada cara-cara pencapaian visi, misi, dan obyektif tersebut yang sejalan dengan prinsip-prinsip nilai (value) yang dianut oleh pemilik perusahaan seperti transparansi, akuntabilitas, responsibilitas, dan lain sebagainya.
Risk Management
1. Tataran Korporasi. Aspek ini terdiri atas tiga hal. Pertama, kecukupan modal minimum. Kedua, batasan portofolio investasi. Ketiga, pemisahan rekening perusahaan dan nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate crime).
langkah-langkah pada auditing IT Governance
Auditor TI bertanggung jawab atas penilaian efisiensi tata kelola TI dengan tingkatan prosedur dalam pelaksanaannya. Auditor TI (dari dalam organisasi atau independen) dapat melakukan sejumlah peran kunci dalam Gary Hardy, “The Role of the IT Auditor in IT Governance” 1 (2009): 1–2. :
audit IT pada domain EDM (Evaluate, Direct, and Monitor), APO (Align, Plain, and Organise), BAI (Build, Acquire, and Implement), DSS (Deliver, Service and Support) dan MEA (Monitor, Evaluate, and Assess).
1. Evaluate, Direct, and Monitor (EDM)
credit:
reasearchgate.net/publication/hendriS
IT Governance
Meeting stakeholder needs. Setiap pemangku kepentingan organisasi memiliki kebutuhan akan keberadaan sistem dan teknologi informasi dalam konteksnya yang beragam. Ada yang mengharapkan terjadinya efisiensi, bertambahnya revenue, semakin transparansinya pengelolaan aset, memperbaiki kendali/control process, meningkatkan utilisasi pegawai, memberdayakan sumber daya manusia, dan lain sebagainya. Ini adalah prinsip utama dari governance, dimana keberadaan sistem dan teknologi informasi tidak boleh lepas dari konteks kebutuhan dan harapan pemangku kepentingan tertinggi dalam organisasi atau perusahaan (pemilik dan pimpinannya).
Covering Enterprise End-to-End. Informasi sebagai asset penting organisasi dibutuhkan oleh seluruh unit organisasi, dari yang berada dalam domain proses hulu (dekat dengan pemasok bahan baku) hingga ke domain proses hilir (dekat dengan pelanggan). Setiap proses di dalam organisasi pasti membutuhkan informasi, mengolahnya, dan kemudian menghasilkan informasi baru bagi kebutuhan proses selanjutnya. Oleh karena itulah maka domain governance harus memperhatikan kenyataan ini sehingga pendekatan yang dipergunakan perlu utuh dan lengkap, di segala lini proses dan unit organisasi.
Applying a Single Integrated Framework. Saat ini, begitu banyak standar best practice di bidang manajemen dan governance teknologi informasi yang dikenal di industri dan diadopsi beranekaragam organisasi maupun perusahaan, seperti: ISO-38500, TOGAF, ITIL, ISO-20000, ISO-27001, PMBOK, CMMI, dan lain sebagainya. Dalam konteks ini, Cobit telah mempertimbangkan dan mengadopsi berbagai kerangka dan konsep best practice tersebut ke dalam prinsip, model, dan strukturnya. Sehingga dapat dikatakan bahwa Cobit secara lengkap dan terpadu mengintegrasikan keseluruhan kerangka best practice tersebut.
Enabling a Holistic Approach. Isu governance tidak bias dilihat sepotong-sepotong, dalam arti kata hanya memandangnya dari satu sisi perspektif saja. Governance merupakan suatu tatanan konsep yang berkaitan dengan sejumlah dimensi, seperti: kebijakan, proses, sumber daya, fasilitas, teknologi, kultur, dan lain sebagainya. Masing-masing domain ini mampu menjadi pemicu (enabler) bagi terselenggarakannya praktek governance yang efektif tergantung dari situasi dan konteks organisasi.
Separating governance from management. Cukup banyak pihak-pihak yang mencampur adukkan kedua konsep yang secara prinsip dan hakiki berbeda ini. Di Negara yang kebanyakan organisasi atau perusahaannya menggunaka nbentuk two-layer system (misalnya: Komisaris dan Direksi), sangat penting untuk membedakan dan memisahkan pengertian governance dengan manajemen karena keduanya memiliki tujuan, alasan, dan karakteristik yang berbeda secara signifikan. Jika manajemen lebih menekankan pada rangkaian menjalankan aktivitas untuk pencapaian visi, misi, dan obyektif organisasi yang telah dicanangkan, governance lebih fokus pada cara-cara pencapaian visi, misi, dan obyektif tersebut yang sejalan dengan prinsip-prinsip nilai (value) yang dianut oleh pemilik perusahaan seperti transparansi, akuntabilitas, responsibilitas, dan lain sebagainya.
Risk Management
1. Tataran Korporasi. Aspek ini terdiri atas tiga hal. Pertama, kecukupan modal minimum. Kedua, batasan portofolio investasi. Ketiga, pemisahan rekening perusahaan dan nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate crime).
2. Tataran Pengelola Perusahaan. Aspek ini
terdiri atas tiga hal juga. Pertama, kompetensi manajemen berupa pengalaman dan
keahlian. Kedua, integritas pengurus berupa rekam jejak yang tidak tercela.
Ketiga, tata pengelolaan yang baik dan transparan. Pengaturan aspek ini
dimaksudkan untuk mencegah kejahatan pimpinan perusahaan (white collar crime).
`3.
Tataran Pelaksana Lapangan Perusahaan.
Aspek ini terdiri atas tiga hal. Pertama, pengenalan selera risiko nasabah
(risk appetite). Kedua, pengetahuan tenaga penjual akan produk investasi yang
dijualnya. Ketiga, transparansi dalam menjelaskan risiko investasi. Pengaturan
aspek ini dimaksudkan untuk mencegah kejahatan tenaga pelaksana (blue collar
crime).
langkah-langkah pada auditing IT Governance
Auditor TI bertanggung jawab atas penilaian efisiensi tata kelola TI dengan tingkatan prosedur dalam pelaksanaannya. Auditor TI (dari dalam organisasi atau independen) dapat melakukan sejumlah peran kunci dalam Gary Hardy, “The Role of the IT Auditor in IT Governance” 1 (2009): 1–2. :
- memulai program tata kelola TI: menjelas- kan tata kelola TI dan nilainya pada manajemen
- menilai kondisi saat ini: memberikan masukan dan membantu memberikan penilaian kondisi yang sebenarnya
- merencanakan solusi tata kelola TI
- memantau inisiatif tata kelola TI
- membantu membuat bisnis tata kelola TI, seperti : memberikan input objektif dan konstruktif, mendorong penilaian diri, dan memberikan keyakinan kepada manajemen bahwa tata kelola bekerja secara efektif.
audit IT pada domain EDM (Evaluate, Direct, and Monitor), APO (Align, Plain, and Organise), BAI (Build, Acquire, and Implement), DSS (Deliver, Service and Support) dan MEA (Monitor, Evaluate, and Assess).
1. Evaluate, Direct, and Monitor (EDM)
Kelima domain tersebut dikelompokkan ke dalam dua
area, yaitu Area Tata Kelola (domain EDM) dan Area Manajemen (domain APO, BAI,
DSS, dan MEA). Domain EDM merupakan area tata kelola pada COBIT 5, yang
memiliki fungsi mengevaluasi, mengarahkan dan memonitor kegiatan manajemen TI
secara keseluruhan yang dilakukan oleh perusahaan. Terdapat lima proses pada
domain EDM yaitu EDM01 Ensure Governance Framework Setting and Maintenanc,
EDM02 Ensure Benefit Delivery, EDM03 Ensure Risk Optimisation, EDM04 Ensure
Resource Optimisation, dan EDM05 Ensure Stakeholder Transparency.
2.
Align,
Plan, and Organize(APO)
Pada domain kedua yaitu domain APO memiliki fungsi
sebagai penyelarasan dan pengelolaan perencanaan TI yang dilakukan untuk
diimplementasikan dan dikembangkan oleh perusahaan. Terdapat tiga belas proses
dalam domain ini, yaitu APO01 Manage the TI Management Framework, APO02 Manage
Strategy, APO03 Manage Enterprise Architecture, APO04 Manage Inovation, APO05
Manage Portfolio, APO06 Manage Budget and Cost, APO07 Manage Human Resurce,
APO08 Manage Relationship, APO09 Manage Service Agreements, APO10 Manage
Supplier, APO11 Manage Quality, APO12 Manage Risk, dan APO13 Manage Security.
3.
Build,
Acquire, and Implement (BAI)
Domain ketiga merupakan area manajemen pada COBIT 5
yaitu BAI yang memiliki fungsi sebagai pembangunan dan implementasi TI
berdasarkan hasil yang didapatkan dari kebutuhan pengguna dan telah
direncanakan oleh perusahaan. Domain BAI memiliki 10 proses, yaitu BAI01 Manage
Programmes and Projects, BAI02 Manage Requirements Definition, BAI03 Manage
Solutions Identification and Build, BAI04 Manage Availability and Capacity,
BAI05 Manage Organisational Change Enablement, BAI06 Manage Changes, BAI07
Manage Change Acceptance and Transitioning, BAI08 Manage Knowledge, BAI09
Manage Assets, dan BAI10 Manage Configuration.
4.
Deliver,
Service, and Support (DSS)
Domain keempat merupakan DSS yang memiliki fungsi
menjalankan dan memelihara hasil implementasi program TI agar dapat digunakan
secara terus menerus dan aman, serta memberikan dukungan kepada pengguna yang
membutuhkan dan mendapatkan masalah ketika menggunakan fasilitas TI perusahaan.
Proses pada domain ini antara lain DSS01 Manage Operations, DSS02 Manage
Service Request and Incident, DSS03 Manage Problem, DSS04 Manage Continuity,
DSS05 Manage Security Services, dan DSS06 Manage Business Process Controls.
5.
Monitor,
Evaluate, and Assess (MEA)
Domain terakhir merupakan salah satu domain di area
manajemen yaitu MEA. MEA berfungsi untuk monitor, evaluasi dan assesment
terhadap performa dan kesesuaian dari sistem TI yang berjalan, kegiatan
pengontrolan sistem TI yang dilakukan oleh perusahaan, dan kesesuainnya dengan
kebutuhan dan peraturan eksternal perusahaan. Proses pada domain ini ada 3,
antara lain MEA01 Monitor, Evaluate, and Assess Performance and Conformance,
MEA02 Monitor, Evaluate, and Assess the System of Internal Control, dan MEA03
Monitor, Evaluate, and Assess Compliance with External.
credit:
reasearchgate.net/publication/hendriS
https://adiazep.wordpress.com/2017/12/27/it-governance-risk-management/