Aspek - aspek pada IT Governance

1. Kebutuhan bisnis suatu organisasi atau perusahaan harus memenuhi kebutuhan akan informasi dalam hal kualitas (quality), kepercayaan (fiduciary) dan keamanan (security) yang diuraikan pada kriteria informasi sesuai COBIT sebagai berikut:

a. Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.

b. Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.

c. Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.

d. Integrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.

e. Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.

f. Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.

g. Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.

2. Sumber daya TI dalam COBIT dapat dijabarkan sebagai berikut :

a. Data. obyek-obyek dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.

b. Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram.

c. Teknologi, mencakup hardware, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan lain- lain.

d. Fasilitas, semua sumber daya untuk menyimpan dan mendukung system informasi.

e. Manusia, termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan, mengorganisasikan atau melaksanakan, memperoleh, menyampaikan, mendukung dan memantau layanan sistem informasi.

3. Proses TI terdiri dari tiga segmen, yaitu domain, proses, dan aktivitas.

COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam empat buah domain proses, meliputi :

a. Plan and Organise (10 proses)

Meliputi strategi dan taktik yang berkaitan dengan identifikasi pemanfaatan IT yang dapat memberikan kontribusi dalam pencapaian tujuan bisnis.

Proses dalam domain ini adalah :

· Menetapkan rencana strategis TI

· Menetapkan susunan informasi

· Menetapkan kebijakan teknologi

· Menetapkan hubungan dan organisasi TI

· Mengelola investasi IT

· Mengkomunikasikan arah dan tujuan manajemen

· Mengelola sumberdaya manusia

b. Acquire and Implement (7 proses)

Merupakan domain proses yang merealisasikan strategi IT, serta solusi – solusi IT yang diperlukan untuk diterapkan pada proses bisnis organisasi. Pada domain ini pula dilakukan pengelolaan perubahan terhadap sistem eksisting untuk menjamin proses yang berkesinambungan.

Langkah – langkah domain ini adalah :

· Mengidentifikasi solusi terotomatisasi

· Mendapatkan dan memelihara software aplikasi

· Mendapatkan dan memelihara infrastruktur teknologi

· Mengembangkan dan memelihara prosedur

· Memasang dan mengakui sistem

· Mengelola perubahan

c. Delivery and Support (13 proses)

Domain ini berfokus utama pada aspek penyampaian atau pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi – aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu atau masalah keamanan dan juga pelatihan.

Proses dalam domain ini adalah :

· Menetapkan dan mengelola tingkat pelayanan

· Mengelola pelayanan kepada pihak lain

· Mengelola kinerja dan kapasitas

· Memastikan pelayanan yang kontinyu

· Memastikan keamanan system

d. Monitor and Evaluate (4 proses)

Merupakan domain yang memberikan pandangan bagi pihak manejemen berkaitan dengan kualitas dan kepatuhan dari proses yang berlangsung dengan kendali-kendali yang diisyaratkan.

Proses dalam domain ini sebagai berikut :

· Memonitor proses

· Menaksir kecukupan pengendalian internal

· Mendapatkan kepastian yang independen

Aspek - aspek pada Risk Management:

1. Tataran Korporasi. Aspek ini terdiri atas tiga hal.

Pertama, kecukupan modal minimum. Kedua, batasan portofolio investasi. Ketiga, pemisahan rekening perusahaan dan nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate crime).

2. Tataran Pengelola Perusahaan. Aspek ini terdiri atas tiga hal juga. Pertama, kompetensi manajemen berupa pengalaman dan keahlian. Kedua, integritas pengurus berupa rekam jejak yang tidak tercela. Ketiga, tata pengelolaan yang baik dan transparan. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan pimpinan perusahaan (white collar crime).

3. Tataran Pelaksana Lapangan Perusahaan. Aspek ini terdiri atas tiga hal. Pertama, pengenalan selera risiko nasabah (risk appetite). Kedua, pengetahuan tenaga penjual akan produk investasi yang dijualnya. Ketiga, transparansi dalam menjelaskan risiko investasi. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan tenaga pelaksana (blue collar crime).

Contoh dari IT Governance

Contohnya seperti ini :

sebuah perusahaan menggunakan teknologi informasi dalam setiap aspeknya, tapi tetap dalam pengambilan keputusan dilakukan oleh pemimpin divisi tertentu atau pemimpin perusahaan. Pengelolaan sumber daya manusia sangat penting agar nantinya pengelolaan dapat berjalan dengan baik.

Contoh dari Risk Management

Contohnya seperti ini :

Pak Jefri membeli sebuah mobil baru untuk menanggulangi/mengurangi resiko kehilangan mobil yang cukup besar di Jakarta dia dapat melakukan beberapa hal diantarana mengunci kendaraan setiap saat, menambahkan alarm, atau bahkan dapat menambahan alat pengaman tambahan di mobilnya. Kalau dia merasa belum aman dia dapat mengasuransikan mobilnya ke perusahaan asuransi dengan polis TLO (Total Loss Only)

Berikut ini adalah langkah-langkah dalam audit TI:

1. Identifikasi dan dokumentasi

Layaknya audit umum, identifikasi dan dukumentasi adalah keharusan. Hal ini bisa dilakukan dengan menjalankan survei maupun observasi ke lapangan sehingga audit bisa lebih objektif dan akurat.

2. Tes subtantif

Tes substansi merupakan tes yang dijalankan untuk mengetahui “isi” secara lebih mendalam. Dalam tes ini ada dua tipe yang bisa dijalankan: signifikan alias ditelusur secara lebih mendalam; atau terbatas.

3. Evaluasi

Setelah melakukan tes substantif, audit TI bisa menjalankan evaluasi berdasarkan hasil temuan. Di tahap ini kembali dicek apakah kinerja perusahaan efektif atau tidak. Kalau efektif berarti memenuhi syarat untuk dilanjutkan ke tahap selanjutnya. Namun kalau tidak efektif, lakukan lagi tes substantif.

4. Penilaian Mutu/ Kesimpulan

Di langkah terakhir ini akan terlihat apakah mutunya terjamin atau tidak. Jelas audit TI bukanlah tindakan yang bisa dilakukan secara asal dan instan. Ketelitian auditor menjadi ujung tombaknya. Selain itu tentu saja, tujuan dan langkah-langkah tersebut harus dilakukan secara konsekuen.

Penjelasan Audit IT Pada Domain EDM, APO, BAI, DSS, dan MEA

Audit IT pada domain EDM (Evaluate, Direct, and Monitor)

Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.

Audit IT pada domain APO (Align, Plan, and Organise)

Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan bisnis.

Audit IT pada domain BAI (Build, Acquire, and Implement)

Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.

Audit IT pada domain DSS (Deliver, Service, and Support)

Proses manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.

Audit IT pada domain MEA (Monitor, Evaluate, Assess)

Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.