IT governance (tata kelola TI) adalah proses yang digunakan untuk memantau dan mengendalikan keputusan kapabilitas teknologi informasi untuk memastikan pengiriman nilai kepada pemangku utama dalam suatu organisasi. tujuan utama dari tata kelola TI adalah memastikan bahwa penggunaan informasi dan teknologi dapat menghasilkan nilai bisnis, mengawasi kinerja manajemen dan mengurangi risiko yang terkait dengan penggunaan informasi dan teknologi.
Manajemen
risiko (Risk management) adalah proses mengidentifikasi, menganalisis,
mengevaluasi, mengendalikan, dan berusaha menghindari, meminimalkan, atau
bahkan menghilangkan risiko yang tidak dapat diterima. Dalam bidang perusahaan,
manajemen risiko adalah proses perencanaan, pengaturan, kepemimpinan, dan pengendalian
kegiatan organisasi untuk meminimalkan risiko pendapatan perusahaan.
Tata Kelola TI
dan manajemen risiko mengusulkan manajemen yang bertanggung jawab untuk
mengoptimalkan ketersediaan sumber daya TI (Aplikasi, Informasi, Infrastruktur,
Orang dan pemantauan kinerja lingkungan TI dalam bisnis) untuk menentukan
kebutuhan Tata Kelola dan Kontrol.
A. Aspek-aspek yang terdapat pada IT governance dan risk management berserta contohnya.
1. Strategic
Alignment: Definisi, pemeliharaan,
dan validasi nilai TI, melalui penyelarasan operasi TI dengan operasi bisnis
lainnya.
Contohnya adalah saat perusahaan kesulitan dalam knowledge
integration process yang bisa saja disebabkan oleh faktor yang berasal dari
dalam diri CEO dan CIO, oleh karena itu strategic alignment antara
manajer bisnis dan manajer teknologi informasi dan salah satu model strategic
alignment yang dapat digunakan sebagai salah satu cara untuk membentuk
hubungan yang efektif dan efisien serta mengurangi masalah yang timbul dalam
hubungan antara CEO dan CIO.
2. Value
delivery: Memastikan penyampaian
manfaat strategis, dengan optimalisasi biaya dan nilai intrinsik TI.
Contoh value delivery pada perusahaan Zara
adalah dengan manajemen toko Zara yang melayani pelanggan dengan pakaian fashion
yang sedang tren dengan jumlah terbatas dan diganti dengan tren terbaru.
Fokus Zara yang berdasarkan pelanggan adalah inti dari kesuksesan merek dengan
memanfaatkan input dari pelanggan.
3. Manajemen
Sumber Daya: Optimalisasi investasi dan pengelolaan sumber daya TI penting
seperti Aplikasi, Informasi, Infrastruktur, dan Orang.
Contoh manajemen sumber daya dalam hal informasi
adalah saat perusahaan harus menjaga dan meningkatkan mutu informasi
perusahaan.
4. Manajemen
Risiko: Memahami selera perusahaan
terhadap risiko, persyaratan kepatuhan terhadap peraturan, dan transparansi.
Memahami risiko signifikan terhadap bisnis dan menerapkan tanggung jawab
manajemen risiko dalam organisasi.
Contoh manajemen risiko terjadi saat ancaman IT yang
terjadi dalam perusahaan, maka perusahaan dapat mengelola risiko IT dengan
tahapan yang dimulai dengan mengidentifikasi risiko, menilai risiko, mengurangi
risiko, mengembangkan rencana respon dan mengkaji prosedur manajemen risiko. Sebagai
contoh dari hasil assessment pada risiko TI adalah perencanaan
kelangsungan bisnis (business continuity).
5. Pengukuran
Kinerja : Memantau strategi
implementasi, penutupan proyek, dan pemanfaatan sumber daya. Melakukan proses
penyampaian layanan TI yang mengubah strategi menjadi tindakan yang efektif,
untuk mencapai tujuan (indikator) yang terukur.
Contohnya adalah seberapa baik kinerja individu dan unit mendukung pencapaian strategi organisasi. pengukuran kinerja dapat dilakukan dengan pendekatan Balanced Scorecard.
B. Langkah-langkah pada audit IT governance.
1. Identifikasi
dan dokumentasi
Identifikasi dan dokumentasi dapat dilakukan dengan
menjalankan survei maupun observasi ke lapangan sehingga audit bisa lebih
objektif dan akurat.
2. Tes
substantif
Tes substantif merupakan tes yang dijalankan untuk
mengetahui isi secara lebih mendalam. Dalam tes ini ada dua tipe yang bisa
dijalankan yaitu signifikan (ditelusur secara lebih mendalam) dan terbatas.
3. Evaluasi
Setelah melakukan tes substantif, audit TI bisa menjalankan
evaluasi berdasarkan hasil temuan. Di tahap ini kembali dicek apakah kinerja
perusahaan efektif atau tidak. Jika efektif berarti memenuhi syarat untuk
dilanjutkan ke tahap selanjutnya. Namun jika tidak efektif, lakukan lagi tes
substantif.
4. Penilaian
Mutu/ Kesimpulan
Di langkah terakhir ini akan terlihat apakah mutunya terjamin atau tidak.
C. Audit IT pada domain EDM, APO, BAI, DSS, dan MEA
Framework COBIT 5 adalah framework
yang digunakan untuk menyusun tata kelola dan manajemen TI perusahaan. COBIT 5
merupakan perluasan dari COBIT 4.1. COBIT 5 memberikan framework yang mencakup
lima domain, kelima domain tersebut dikelompokkan ke dalam dua area, yaitu area
tata kelola (domain EDM) dan area manajemen (domain APO, BAI, DSS, dan MEA).
1. Evaluate,
Direct, and Monitor (EDM)
Domain EDM merupakan area tata kelola pada COBIT 5,
yang memiliki fungsi mengevaluasi, mengarahkan dan memonitor kegiatan manajemen
TI secara keseluruhan yang dilakukan oleh perusahaan. Terdapat lima proses pada
domain EDM yaitu EDM01 Ensure Governance Framework Setting and Maintenanc,
EDM02 Ensure Benefit Delivery, EDM03 Ensure Risk Optimisation,
EDM04 Ensure Resource Optimisation, dan EDM05 Ensure Stakeholder
Transparency.
2. Align,
Plan, and Organize (APO)
domain APO memiliki fungsi sebagai penyelarasan dan
pengelolaan perencanaan TI yang dilakukan untuk diimplementasikan dan
dikembangkan oleh perusahaan. Terdapat tiga belas proses dalam domain ini,
yaitu APO01 Manage the TI Management Framework, APO02 Manage Strategy,
APO03 Manage Enterprise Architecture, APO04 Manage Inovation,
APO05 Manage Portfolio, APO06 Manage Budget and Cost, APO07 Manage
Human Resurce, APO08 Manage Relationship, APO09 Manage Service
Agreements, APO10 Manage Supplier, APO11 Manage Quality,
APO12 Manage Risk, dan APO13 Manage Security.
3. Build,
Acquire, and Implement (BAI)
Domain BAI memiliki fungsi sebagai pembangunan dan
implementasi TI berdasarkan hasil yang didapatkan dari kebutuhan pengguna dan
telah direncanakan oleh perusahaan. Domain BAI memiliki 10 proses, yaitu BAI01 Manage
Programmes and Projects, BAI02 Manage Requirements Definition, BAI03
Manage Solutions Identification and Build, BAI04 Manage Availability
and Capacity, BAI05 Manage Organisational Change Enablement, BAI06 Manage
Changes, BAI07 Manage Change Acceptance and Transitioning, BAI08 Manage
Knowledge, BAI09 Manage Assets, dan BAI10 Manage Configuration.
4. Deliver,
Service, and Support (DSS)
Domain DDS memiliki fungsi menjalankan dan memelihara
hasil implementasi program TI agar dapat digunakan secara terus menerus dan
aman, serta memberikan dukungan kepada pengguna yang membutuhkan dan
mendapatkan masalah ketika menggunakan fasilitas TI perusahaan. Proses pada
domain ini antara lain DSS01 Manage Operations, DSS02 Manage Service
Request and Incident, DSS03 Manage Problem, DSS04 Manage
Continuity, DSS05 Manage Security Services, dan DSS06 Manage
Business Process Controls.
5. Monitor,
Evaluate, and Assess (MEA).
Domain MEA berfungsi untuk monitor, evaluasi dan assesment
terhadap performa dan kesesuaian dari sistem TI yang berjalan, kegiatan
pengontrolan sistem TI yang dilakukan oleh perusahaan, dan kesesuaian dengan
kebutuhan dan peraturan eksternal perusahaan. Proses pada domain ini ada 3,
antara lain MEA01 Monitor, Evaluate, and Assess Performance and Conformance,
MEA02 Monitor, Evaluate, and Assess the System of Internal Control,
dan MEA03 Monitor, Evaluate, and Assess Compliance with External.
Referensi:
https://bbs.binus.ac.id/business-creation/2020/04/definisi-manajemen-risiko/
https://www.heflo.com/blog/governance/it-governance-and-risk-management/
https://blog.gamatechno.com/tujuan-langkah-audit-teknologi-informasi/
https://budi.rahardjo.id/files/courses/2016/EL6115-2016-23215121-Report.pdf
Komentar
Posting Komentar