Aspek - aspek
pada IT Governance
1. Kebutuhan
bisnis suatu organisasi atau perusahaan harus memenuhi kebutuhan akan
informasi dalam hal kualitas (quality), kepercayaan (fiduciary) dan keamanan (security) yang
diuraikan pada kriteria informasi sesuai COBIT sebagai berikut:
a. Effectiveness (Efektivitas).
Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis,
konsisten dapat dipercaya, dan tepat waktu.
b. Effeciency (Efisiensi).
Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan
ekonomis) yang optimal.
c. Confidentially (Kerahasiaan).
Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak
memiliki hak otorisasi/tidak berwenang.
d. Integrity (Integritas).
Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat
validitas yang sesuai dengan ekspetasi dan nilai bisnis.
e. Availability (Ketersediaan).
Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses
bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan
atas sumber daya yang diperlukan dan terkait.
f. Compliance (Kepatuhan).
Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan
rencana perjanjian/kontrak untuk proses bisnis.
g. Reliability (Handal).
Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan
perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.
2. Sumber
daya TI dalam COBIT dapat dijabarkan sebagai berikut :
a. Data. obyek-obyek
dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur
dan tidak terstruktur, grafik, suara dan sebagainya.
b. Sistem
aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur manual
maupun yang terprogram.
c. Teknologi,
mencakup hardware, sistem operasi, sistem manajemen database, jaringan
(networking), multimedia, dan lain- lain.
d. Fasilitas,
semua sumber daya untuk menyimpan dan mendukung system informasi.
e. Manusia, termasuk
staf ahli, kesadaran dan produktivitas untuk merencanakan, mengorganisasikan
atau melaksanakan, memperoleh, menyampaikan, mendukung dan memantau layanan
sistem informasi.
3. Proses TI terdiri
dari tiga segmen, yaitu domain, proses, dan aktivitas.
COBIT
mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34
proses yang terbagi ke dalam empat buah domain proses, meliputi :
a. Plan
and Organise (10 proses)
Meliputi
strategi dan taktik yang berkaitan dengan identifikasi pemanfaatan IT yang
dapat memberikan kontribusi dalam pencapaian tujuan bisnis.
Proses
dalam domain ini adalah :
· Menetapkan
rencana strategis TI
· Menetapkan
susunan informasi
· Menetapkan
kebijakan teknologi
· Menetapkan
hubungan dan organisasi TI
· Mengelola
investasi IT
· Mengkomunikasikan
arah dan tujuan manajemen
· Mengelola
sumberdaya manusia
b. Acquire
and Implement (7 proses)
Merupakan
domain proses yang merealisasikan strategi IT, serta solusi – solusi IT yang
diperlukan untuk diterapkan pada proses bisnis organisasi. Pada domain ini pula
dilakukan pengelolaan perubahan terhadap sistem eksisting untuk menjamin proses
yang berkesinambungan.
Langkah
– langkah domain ini adalah :
· Mengidentifikasi
solusi terotomatisasi
· Mendapatkan
dan memelihara software aplikasi
· Mendapatkan
dan memelihara infrastruktur teknologi
· Mengembangkan
dan memelihara prosedur
· Memasang
dan mengakui sistem
· Mengelola
perubahan
c. Delivery and
Support (13 proses)
Domain
ini berfokus utama pada aspek penyampaian atau pengiriman dari IT. Domain ini
mencakup area-area seperti pengoperasian aplikasi – aplikasi dalam sistem IT
dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem
IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu atau
masalah keamanan dan juga pelatihan.
Proses dalam domain
ini adalah :
· Menetapkan
dan mengelola tingkat pelayanan
· Mengelola
pelayanan kepada pihak lain
· Mengelola
kinerja dan kapasitas
· Memastikan
pelayanan yang kontinyu
· Memastikan
keamanan system
d. Monitor and Evaluate
(4 proses)
Merupakan
domain yang memberikan pandangan bagi pihak manejemen berkaitan dengan kualitas
dan kepatuhan dari proses yang berlangsung dengan kendali-kendali yang
diisyaratkan.
Proses
dalam domain ini sebagai berikut :
· Memonitor
proses
· Menaksir
kecukupan pengendalian internal
· Mendapatkan
kepastian yang independen
Aspek - aspek
pada Risk Management:
1. Tataran Korporasi. Aspek ini terdiri
atas tiga hal.
Pertama, kecukupan modal minimum. Kedua, batasan
portofolio investasi. Ketiga, pemisahan rekening perusahaan dan nasabah.
Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate
crime).
2. Tataran Pengelola Perusahaan. Aspek ini
terdiri atas tiga hal juga. Pertama, kompetensi manajemen berupa pengalaman dan
keahlian. Kedua, integritas pengurus berupa rekam jejak yang tidak tercela.
Ketiga, tata pengelolaan yang baik dan transparan. Pengaturan aspek ini dimaksudkan
untuk mencegah kejahatan pimpinan perusahaan (white collar crime).
3. Tataran Pelaksana Lapangan Perusahaan. Aspek
ini terdiri atas tiga hal. Pertama, pengenalan selera risiko nasabah (risk
appetite). Kedua, pengetahuan tenaga penjual akan produk investasi yang
dijualnya. Ketiga, transparansi dalam menjelaskan risiko investasi. Pengaturan
aspek ini dimaksudkan untuk mencegah kejahatan tenaga pelaksana (blue collar
crime).
Contoh dari IT Governance
Contohnya seperti ini
:
sebuah perusahaan menggunakan teknologi informasi dalam setiap aspeknya, tapi
tetap dalam pengambilan keputusan dilakukan oleh pemimpin divisi tertentu atau
pemimpin perusahaan. Pengelolaan sumber daya manusia sangat penting agar
nantinya pengelolaan dapat berjalan dengan baik.
Contoh dari Risk Management
Contohnya seperti ini :
Pak Jefri membeli sebuah mobil baru untuk
menanggulangi/mengurangi resiko kehilangan mobil yang cukup besar di Jakarta
dia dapat melakukan beberapa hal diantarana mengunci kendaraan setiap saat,
menambahkan alarm, atau bahkan dapat menambahan alat pengaman tambahan di
mobilnya. Kalau dia merasa belum aman dia dapat mengasuransikan mobilnya ke
perusahaan asuransi dengan polis TLO (Total Loss Only)
Berikut ini
adalah langkah-langkah dalam audit TI:
1. Identifikasi dan dokumentasi
Layaknya audit umum, identifikasi dan dukumentasi
adalah keharusan. Hal ini bisa dilakukan dengan menjalankan survei maupun
observasi ke lapangan sehingga audit bisa lebih objektif dan akurat.
2. Tes subtantif
Tes substansi merupakan tes yang dijalankan untuk
mengetahui “isi” secara lebih mendalam. Dalam tes ini ada dua tipe yang bisa
dijalankan: signifikan alias ditelusur secara lebih mendalam; atau terbatas.
3. Evaluasi
Setelah melakukan tes substantif, audit TI bisa
menjalankan evaluasi berdasarkan hasil temuan. Di tahap ini kembali dicek
apakah kinerja perusahaan efektif atau tidak. Kalau efektif berarti memenuhi
syarat untuk dilanjutkan ke tahap selanjutnya. Namun kalau tidak efektif,
lakukan lagi tes substantif.
4. Penilaian Mutu/ Kesimpulan
Di langkah terakhir ini akan terlihat apakah mutunya
terjamin atau tidak. Jelas audit TI bukanlah tindakan yang bisa dilakukan
secara asal dan instan. Ketelitian auditor menjadi ujung tombaknya. Selain
itu tentu saja, tujuan dan langkah-langkah tersebut harus dilakukan secara
konsekuen.
Penjelasan Audit IT Pada Domain EDM, APO, BAI, DSS, dan MEA
Audit IT pada domain EDM (Evaluate, Direct, and Monitor)
Proses tata kelola EDM berurusan dengan tujuan
stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya,
mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan
strategis, memberikan arahan kepada IT dan pemantauan hasilnya.
Audit IT pada
domain APO (Align, Plan, and Organise)
Proses manajemen APO memberikan arah untuk
penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini
mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat
berkontribusi pada pencapaian tujuan bisnis.
Audit IT pada
domain BAI (Build, Acquire, and Implement)
Proses manajemen BAI memberikan solusi dan
mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan
strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta
diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan
pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan
bahwa solusi dapat memenuhi tujuan bisnis.
Audit IT pada
domain DSS (Deliver, Service, and Support)
Proses manajemen DSS menyampaikan solusi yang dapat
digunakan bagi pengguna akhir. Domain ini berkaitan dengan penyampaian dan
dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta
pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan
manajemen data dan fasilitas operasional.
Audit IT pada
domain MEA (Monitor, Evaluate, Assess)
Proses manajemen MEA memonitor semua proses untuk
memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti.
Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk
mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen
kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan
tata kelola.
DAFTAR PUSTAKA
