Aspek - aspek pada IT
Governance
1. Meeting
Stakeholder Needs.
Setiap
pemangku kepentingan organisasi memiliki kebutuhan akan keberadaan sistem dan
teknologi informasi dalam konteksnya yang beragam. Ada yang mengharapkan
terjadinya efisiensi, bertambahnya revenue, semakin transparansinya
pengelolaan aset, memperbaiki kendali/control process, meningkatkan utilisasi
pegawai, memberdayakan sumber daya manusia, dan lain sebagainya. Ini adalah
prinsip utama dari governance, dimana keberadaan sistem dan teknologi
informasi tidak boleh lepas dari konteks kebutuhan dan harapan pemangku
kepentingan tertinggi dalam organisasi atau perusahaan (pemilik dan
pimpinannya).
2. Covering
Enterprise End-to-End.
Informasi
sebagai asset penting organisasi dibutuhkan oleh seluruh unit organisasi, dari
yang berada dalam domain proses hulu (dekat dengan pemasok bahan baku) hingga
ke domain proses hilir (dekat dengan pelanggan). Setiap proses di
dalam organisasi pasti membutuhkan informasi, mengolahnya, dan kemudian
menghasilkan informasi baru bagi kebutuhan proses selanjutnya. Oleh karena
itulah maka domain governance harus memperhatikan kenyataan ini
sehingga pendekatan yang dipergunakan perlu utuh dan lengkap, di segala lini
proses dan unit organisasi.
3. Applying
a Single Integrated Framework.
Saat
ini, begitu banyak standar best practice di bidang manajemen
dan governance teknologi informasi yang dikenal di industri dan
diadopsi beranekaragam organisasi maupun perusahaan, seperti: ISO-38500, TOGAF, ITIL, ISO-20000, ISO-27001, PMBOK, CMMI,
dan lain sebagainya. Dalam konteks ini, Cobit telah mempertimbangkan dan
mengadopsi berbagai kerangka dan konsep best practice tersebut ke
dalam prinsip, model, dan strukturnya. Sehingga dapat dikatakan bahwa Cobit
secara lengkap dan terpadu mengintegrasikan keseluruhan kerangka best
practice tersebut.
4. Enabling
a Holistic Approach.
Isu governance tidak
bias dilihat sepotong-sepotong, dalam arti kata hanya memandangnya dari satu
sisi perspektif saja. Governance merupakan suatu tatanan konsep yang
berkaitan dengan sejumlah dimensi, seperti: kebijakan, proses, sumber daya,
fasilitas, teknologi, kultur, dan lain sebagainya. Masing-masing domain ini
mampu menjadi pemicu (enabler) bagi terselenggarakannya praktek governance yang
efektif tergantung dari situasi dan konteks organisasi.
5. Separating
governance from management.
Cukup
banyak pihak-pihak yang mencampur adukkan kedua konsep yang secara prinsip dan
hakiki berbeda ini. Di Negara yang kebanyakan organisasi atau perusahaannya
menggunaka nbentuk two-layer system (misalnya: Komisaris dan
Direksi), sangat penting untuk membedakan dan memisahkan pengertian governance dengan
manajemen karena keduanya memiliki tujuan, alasan, dan karakteristik yang
berbeda secara signifikan. Jika manajemen lebih menekankan pada rangkaian
menjalankan aktivitas untuk pencapaian visi, misi, dan obyektif organisasi yang
telah dicanangkan, governance lebih fokus pada cara-cara pencapaian
visi, misi, dan obyektif tersebut yang sejalan dengan prinsip-prinsip nilai (value)
yang dianut oleh pemilik perusahaan seperti transparansi, akuntabilitas,
responsibilitas, dan lain sebagainya.
Aspek - aspek pada Risk
Management
1. Tataran
Korporasi
Aspek ini terdiri atas tiga
hal.
Pertama, kecukupan modal minimum. Kedua,
batasan portofolio investasi. Ketiga, pemisahan rekening perusahaan dan
nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate
crime).
2. Tataran
Pengelola Perusahaan
Aspek ini terdiri atas tiga hal.
Pertama, kompetensi manajemen berupa
pengalaman dan keahlian. Kedua, integritas pengurus berupa rekam jejak yang
tidak tercela. Ketiga, tata pengelolaan yang baik dan transparan. Pengaturan
aspek ini dimaksudkan untuk mencegah kejahatan pimpinan perusahaan (white
collar crime).
3. Tataran
Pelaksanaan Lapangan Perusahaan
Aspek ini terdiri atas tiga hal.
Pertama, pengenalan selera risiko
nasabah (risk appetite).
Kedua, pengetahuan tenaga penjual akan
produk investasi yang dijualnya. Ketiga, transparansi dalam menjelaskan risiko
investasi. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan tenaga
pelaksana (blue collar crime).
Contoh
pada aspek IT Governance:
1. Kebutuhan bisnis
Suatu organisasi atau perusahaan harus
memiliki dokumen rencana bisnis (bussiness plan) yang menuangkan semua proses
bisnis yang ada. Pada dokumen tersebut harus tertuang kebutuhan organisasi atau
perusahaan dengan tetap memperhatikan kriterian informasi sesuai COBIT.
2. Sumber daya TI
Sebagai organisasi atau perusahaan pasti
tidak luput dari penggunaan sumberdata TI, baik berupa data, sistem aplikasi,
teknologi, dan juga sumber daya manusia di bidang TI.
3. Proses TI
Pada prosesTI, pengejawantahan dari
COBIT dilakukan. Organisasi atau perusahaan yang sudah mapan dan sadar TI
biasanya sudah menerapkan sebagai bagian dari standar dan prosedur yang
digunakan.
Contoh
pada aspek Risk Management:
1. Penetapan Objektif
Kriteria informasi dari COBIT dapat
digunakan sebagai dasar dalam mendefinisikan objektif TI.
2. Identifikasi Resiko
Identifikasi resiko merupakan proses
untuk mengetahui resiko.
3. Penilaian Resiko
Penilaian resiko merupakan proses untuk
menilai seberapa sering resiko terjadi atau seberapa besar dampak dari resiko.
4. Respon Resiko
Untuk melakukan respon terhadap resiko
adalah dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen
resiko.
5. Monitor Resiko
Setiap langkah dimonitor untuk menjamin
bahwa resiko dan respon berjalan sepanjang waktu.
Langkah
audit IT Governance
· Auditor
TI bertanggung jawab atas penilaian efisiensi tata kelola TI dengan tingkatan
prosedur dalam pelaksanaannya. Auditor TI (dari dalam organisasi atau
independen) dapat melakukan sejumlah peran kunci dalam Gary
Hardy, “The Role of the IT Auditor in IT Governance” 1
(2009): 1–2. :
· memulai
program tata kelola TI: menjelas- kan tata kelola TI dan nilainya pada
manajemen
· menilai
kondisi saat ini: memberikan masukan dan membantu memberikan penilaian kondisi
yang sebenarnya
· merencanakan
solusi tata kelola TI
· memantau
inisiatif tata kelola TI
· membantu
membuat bisnis tata kelola TI, seperti : memberikan input objektif dan
konstruktif, mendorong penilaian diri, dan memberikan keyakinan kepada manajemen
bahwa tata kelola bekerja secara efektif.
Audit
IT pada domain EDM (Evaluate, Direct, and Monitor)
Proses tata kelola EDM berurusan dengan
tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya,
mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan
strategis, memberikan arahan kepada IT dan pemantauan hasilnya.
Audit
IT pada domain APO (Align, Plan, and Organise)
Proses manajemen APO memberikan arah
untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS).
Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT
dapat berkontribusi pada pencapaian tujuan bisnis.
Audit
IT pada domain BAI (Build, Acquire, and Implement)
Proses manajemen BAI memberikan solusi
dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan
strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta
diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan
pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan
bahwa solusi dapat memenuhi tujuan bisnis.
Audit
IT pada domain DSS (Deliver, Service, and Support)
Proses manajemen DSS menyampaikan solusi
yang dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan
penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi
pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi
pengguna, dan manajemen data dan fasilitas operasional.
Audit
IT pada domain MEA (Monitor, Evaluate, Assess)
Proses manajemen MEA memonitor semua
proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya
diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk
mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen
kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan
tata kelola.
SUMBER:
