Langsung ke konten utama

IT Governance dan Risk Management.

Aspek-aspek pada IT governance :


1. Meeting Stakeholder Needs. 

Setiap pemangku kepentingan organisasi memiliki kebutuhan akan keberadaan sistem dan teknologi informasi dalam konteksnya yang beragam. Ada yang mengharapkan terjadinya efisiensi, bertambahnya revenue, semakin transparansinya pengelolaan aset, memperbaiki kendali/control process, meningkatkan utilisasi pegawai, memberdayakan sumber daya manusia, dan lain sebagainya.

2. Covering Enterprise End-to-End.

Informasi sebagai asset penting organisasi dibutuhkan oleh seluruh unit organisasi, dari yang berada dalam domain proses hulu (dekat dengan pemasok bahan baku) hingga ke domain proses hilir (dekat dengan pelanggan). Setiap proses di dalam organisasi pasti membutuhkan informasi, mengolahnya, dan kemudian menghasilkan informasi baru bagi kebutuhan proses selanjutnya.

3. Applying a Single Integrated Framework. 

Saat ini, begitu banyak standar best practice di bidang manajemen dan governance teknologi informasi yang dikenal di industri dan diadopsi beranekaragam organisasi maupun perusahaan, seperti: ISO-38500, TOGAF, ITIL, ISO-20000, ISO-27001, PMBOK, CMMI, dan lain sebagainya. Dalam konteks ini, Cobit telah mempertimbangkan dan mengadopsi berbagai kerangka dan konsep best practice tersebut ke dalam prinsip, model, dan strukturnya.

4. Enabling a Holistic Approach. 

Isu governance tidak bias dilihat sepotong-sepotong, dalam arti kata hanya memandangnya dari satu sisi perspektif saja. Governance merupakan suatu tatanan konsep yang berkaitan dengan sejumlah dimensi, seperti: kebijakan, proses, sumber daya, fasilitas, teknologi, kultur, dan lain sebagainya.

5. Separating governance from management. 

Cukup banyak pihak-pihak yang mencampur adukkan kedua konsep yang secara prinsip dan hakiki berbeda ini. Di Negara yang kebanyakan organisasi atau perusahaannya menggunaka nbentuk two-layer system (misalnya: Komisaris dan Direksi), sangat penting untuk membedakan dan memisahkan pengertian governance dengan manajemen karena keduanya memiliki tujuan, alasan, dan karakteristik yang berbeda secara signifikan.

Contoh IT governance :

Perusahaan bertanggung jawab memastikan terlaksananya good practices IT Governance/Management sebagaimana diamanatkan oleh Peraturan Menteri BUMN. Untuk memastikan keberhasilan implementasi program TI, Perusahaan membentuk IT Steering Committee dan menetapkan penanggung jawab dari masing-masing fungsi yang memiliki pengetahuan dan kompetensi sesuai bidangnya masing-masing sehingga proses pembentukan dan pengembangan TI serta implementasinya dapat dilakukan sesuai dengan rencana.


Aspek-aspek pada risk management :

1.  Tataran Korporasi. 

Aspek ini  terdiri atas tiga hal.  Pertama, kecukupan modal minimum. Kedua, batasan portofolio investasi. Ketiga, pemisahan rekening perusahaan dan nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate crime).

2. Tataran Pengelola Perusahaan.

Aspek ini terdiri atas tiga hal juga. Pertama, kompetensi manajemen berupa pengalaman dan keahlian. Kedua, integritas pengurus berupa rekam jejak yang tidak tercela. Ketiga, tata pengelolaan yang baik dan transparan. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan pimpinan perusahaan (white collar crime). 

3. Tataran Pelaksana Lapangan Perusahaan. 

Aspek ini terdiri atas tiga hal. Pertama, pengenalan selera risiko nasabah (risk appetite). Kedua, pengetahuan tenaga penjual akan produk investasi yang dijualnya. Ketiga, transparansi dalam menjelaskan risiko investasi. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan tenaga pelaksana (blue collar crime).


Langkah-langkah Auditing IT Governance :


1. Identifikasi dan dokumentasi

Layaknya audit umum, identifikasi dan dukumentasi adalah keharusan. Hal ini bisa dilakukan dengan menjalankan survei maupun observasi ke lapangan sehingga audit bisa lebih objektif dan akurat.

2. Tes subtantif

Tes substansi merupakan tes yang dijalankan untuk mengetahui “isi” secara lebih mendalam. Dalam tes ini ada dua tipe yang bisa dijalankan: signifikan alias ditelusur secara lebih mendalam; atau terbatas.

3. Evaluasi

Setelah melakukan tes substantif, audit TI bisa menjalankan evaluasi berdasarkan hasil temuan. Di tahap ini kembali dicek apakah kinerja perusahaan efektif atau tidak. Kalau efektif berarti memenuhi syarat untuk dilanjutkan ke tahap selanjutnya. Namun kalau tidak efektif, lakukan lagi tes substantif.

4. Penilaian Mutu/ Kesimpulan 

Di langkah terakhir ini akan terlihat apakah mutunya terjamin atau tidak. Jelas audit TI bukanlah tindakan yang bisa dilakukan secara asal dan instan. Ketelitian auditor menjadi ujung tombaknya. Selain itu tentu saja, tujuan dan langkah-langkah tersebut harus dilakukan secara konsekuen.


  • Audit IT pada domain EDM (Evaluate, Direct, and Monitor)


Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.

  • Audit IT pada domain APO (Align, Plan, and Organise)


Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan bisnis.

  • Audit IT pada domain BAI (Build, Acquire, and Implement)


Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.

  • Audit IT pada domain DSS (Deliver, Service, and Support)


Proses manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.

  • Audit IT pada domain MEA (Monitor, Evaluate, Assess)


Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.









Daftar Pustaka :

https://tisnaldianto.wordpress.com/2019/11/21/penjelasan-audit-it-pada-domain-edm-apo-bai-dss-mea/
https://donniejunior21.wordpress.com/2015/11/27/it-audit/
https://si.ittelkom-pwt.ac.id/2017/09/07/lima-prinsip-utama-it-governance/
https://barim165.wordpress.com/tag/it-governance/

Komentar

Posting Komentar

Postingan populer dari blog ini

Desain Grafis

  Definisi Desain Grafis Desain Grafis adalah media komunikasi visual yang berbentuk gambar digunakan untuk penyampaian informasi atau pesan yang efektif . Desain grafis terdiri dari 2 kata yaitu desain dan grafis, kata desain memiliki arti proses atau perbuatan yang mengatur segala sesuatu sebelum merancang. Grafis memiliki arti titik atau sebuah garis yang berhubungan dengan cetak mencetak. Jadi dapat diambil kesimpulan bahwa desain grafis merupakan kombinasi antara e lemen grafis seperti bentuk, garis, warna, foto dan ilustrasi yang membutuhkan pemikiran dari seseorang untuk bisa menggabungkan elemen grafis ini sehingga dapat menghasilkan sesuatu yang khusus dalam bidang gambar. Apa Kewajiban Seorang Desainer Grafis?                     Seorang desainer grafis mempunyai tujuan yaitu sebagai pemecah masalah. Desiner grafis harus mampu membuat orang lain mengerti pesan apa yang ingin disampaikan melalui visual yang dihasilkan . Sehingga seorang desainer grafis har
Posting Komentar
Baca selengkapnya

Analisis Risiko

Jelaskan Analisis Risiko! Analisis Risiko adalah sebuah tenik untuk mengidentifikasi dan menilai faktor-faktor yang dapat membahayakan keberhasilan sebuah bisnis, program, proyek, atau individu untuk mencapai suatu tujuan. Teknik ini juga membantu menentukan tindakan pencegahan untuk mengurangi kemungkinan faktor itu terjadi dan mengidentifikasi tindakan yang berhasil menangani kendala-kendala yang berkembang. Analisis risiko merupakan bagian dari manajemen risiko, yang terdiri dari langkah-langkah sebagai berikut: Identifikasi kemungkinan kondisi, peristiwa, atau situasi negatif eksternal dan internal. Penentuan hubungan sebab-akibat antara peluang kejadian, skalanya, dan kemungkinan dampaknya Evaluasi berbagai dampak di bawah asumsi dan probabilitas yang berbeda Penerapan teknik kualitatif dan kuantitatif untuk mengurangi ketidakpastian dari dampak dan biaya, kewajiban, atau kerugian.
Posting Komentar
Baca selengkapnya

Jenis-jenis Audit

Jelaskan jenis-jenis Audit, seperti audit internal, audit system informasi, audit kecurangan (fraud), eksternal audit/audit keuangan, audit internal! Audit Internal atau pemeriksaan internal adalah suatu kegiatan yang dibuat untuk menambah nilai serta meningkatkan organisasi secara independen. Audit internal sebagai perantara untuk meningkatkan keefektifitasan dan keefesienan suatu organisasi dengan menyediakan wawasan dan rekomendasi berdasarkan analisi dan dugaan yang bersumber dari data dan proses usaha. Para auditor internal dikenal sebagai karyawan yang dibentuk untuk melakukan audit internal. Audit System Informasi adalah proses pengumpulan data dan dipindahkannya bukti untuk mengetahui serta menetapkan sistem aplikasi tersebut yang komputerisasi sudah diterapkan dan menerapkan sistem pengandalian internal yang sepadan.  Audit sistem informasi merupakan gabungan dari berbagai macam ilmu antara lain traditional audit, manajemen sistem informasi, sistem informa
Posting Komentar
Baca selengkapnya