IT GOVERNANCE
IT Governance
Pengelolaan TI (IT Governance) merupakan suatu bentuk perencanaan dalam menerapkan dan menggunakan TI yang digunakan oleh suatu organisasi agar sesuai dengan visi, misi dan tujuan dari organisasi. TI yang diatur tersebut merupakan suatu proses untuk mengarahkan dan mengendalikan organisasi agar dapat mencapai tujuannya dengan menambahkan nilai yang dapat menyeimbangkan resiko terhadap penggunaan TI serta prosesnya.
Aspek-Aspek IT Governance
1. Penyelarasan rencana strategis TI dengan tujuan bisnis Perusahaan (Strategic Alignment); berfokus pada memastikan hubungan bisnis dan rencana TI; mendefinisikan, memelihara dan memvalidasi proposisi nilai TI, dan menyelaraskan operasi TI dengan operasi perusahaan.
2. Optimalisasi nilai bisnis Perusahaan bagi Perusahaan (Value Delivery); adalah tentang menjalankan proposisi nilai seluruh siklus pengiriman, memastikan bahwa TI memberikan manfaat yang dijanjikan terhadap strategi, berkonsentrasi pada mengoptimalkan biaya dan membuktikan nilai intrinsik TI.
3. Optimalisasi investasi TI yang mencakup aplikasi, informasi, infrastruktur dan sumber daya manusia (Resouce Management); adalah tentang investasi yang optimal, dan pengelolaan yang tepat atas sumber daya TI yang kritis, yaitu antara lainaplikasi, informasi, infrastruktur dan orang-orang. Isu-isu kunci berkaitandengan optimasi pengetahuan dan infrastruktur.
4. Pengelolaan resiko TI (Risk Management); membutuhkan kesadaran risiko dari pejabat perusahaan senior, pemahaman yang jelas tentang risk appetite perusahaan itu, pemahaman tentang persyaratan kepatuhan, transparansi tentang risiko yang signifikan untuk perusahaan dan menanamkan tanggung jawab manajemen risiko kedalam organisasi.
5. Pengelolaan kinerja proses TI (Performance Measurement); menjalankan dan memonitor implementasi atasstrategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses dan pelayanan pengiriman, yaitu menggunakan, misalnya, balanced scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan yang diharapkan. Risk Management Manajemen Risiko (Risk Management) adalah kemungkinan terjadinya sesuatu yang buruk atau hilangnya sesuatu yang bernilai. Nilai yang dimaksud disini dapat berupa kesehatan, status sosial, kekayaan, barang, harta ataupun kesejahteraan dan kebahagiaan. Nilai-nilai ini dapat diperoleh atau hilang ketika kita mengambil keputusan untuk melakukan ataupun tidak melakukan suatu tindakan.
Aspek-Aspek Risk Management
1. Tataran Korporasi: Aspek ini terdiri atas tiga hal. Pertama, kecukupan modal minimum. Kedua, batasan portofolio investasi. Ketiga, pemisahan rekening perusahaan dan nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate crime).
2. Tataran Pengelola Perusahaan: Aspek ini terdiri atas tiga hal juga. Pertama, kompetensi manajemen berupa pengalaman dan keahlian. Kedua, integritas pengurus berupa rekam jejak yang tidak tercela. Ketiga, tata pengelolaan yang baik dan transparan. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan pimpinan perusahaan (white collar crime).
3. Tataran Pelaksana Lapangan Perusahaan: Aspek ini terdiri atas tiga hal. Pertama, pengenalan selera risiko nasabah (risk appetite). Kedua, pengetahuan tenaga penjual akan produk investasi yang dijualnya. Ketiga, transparansi dalam menjelaskan risiko investasi. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan tenaga pelaksana (blue collar crime).
Contoh: Pabrik sepatu dengan tenaga 10 orang menghadapi resiko bahwa sepatu-sepatu tersebut rusak. Bila pabrik tersebut menambah mesin dan tenaga kerja, maka resikonya bertambah, antara lain kerusakan mesin, keributan karyawan dan lain-lain.
Langkah-Langkah Auditing IT Governance
1. Identifikasi dan dokumentasi. Layaknya audit umum, identifikasi dan dukumentasi adalah keharusan. Hal ini bisa dilakukan dengan menjalankan survei maupun observasi ke lapangan sehingga audit bisa lebih objektif dan akurat.
2. Tes subtantif. Tes substansi merupakan tes yang dijalankan untuk mengetahui “isi” secara lebih mendalam. Dalam tes ini ada dua tipe yang bisa dijalankan: signifikan alias ditelusur secara lebih mendalam; atau terbatas.
3. Evaluasi. Setelah melakukan tes substantif, audit TI bisa menjalankan evaluasi berdasarkan hasil temuan. Di tahap ini kembali dicek apakah kinerja perusahaan efektif atau tidak. Kalau efektif berarti memenuhi syarat untuk dilanjutkan ke tahap selanjutnya. Namun kalau tidak efektif, lakukan lagi tes substantif.
4. Penilaian Mutu/ Kesimpulan. Di langkah terakhir ini akan terlihat apakah mutunya terjamin atau tidak. Jelas audit TI bukanlah tindakan yang bisa dilakukan secara asal dan instan. Ketelitian auditor menjadi ujung tombaknya. Selain itu tentu saja, tujuan dan langkah-langkah tersebut harus dilakukan secara konsekuen.
PENJELASAN AUDIT IT PADA DOMAIN EDM, APO, BAI, DSS, MEA
1. Audit IT pada domain EDM (Evaluate, Direct, and Monitor) Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.
2. Audit IT pada domain APO (Align, Plan, and Organise) Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan bisnis.
3. Audit IT pada domain BAI (Build, Acquire, and Implement) Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.
4. Audit IT pada domain DSS (Deliver, Service, and Support) Proses manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.
5. Audit IT pada domain MEA (Monitor, Evaluate, Assess) Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.
0 komentar :
Posting Komentar