Tugas Audit Sistem Informansi (IT Governance)
- Jelaskan Aspek-Aspek pada IT Governance dan Risk Managemnt dan Berikan Contoh dari Setiap Aspek yang Terdapat pada IT Governance dan Risk Management.
- Jelaskan Langkah-Langkah pada Auditing IT Governance.
- Jelaskan Audit IT pada Domain EDM (Evaluated, Direct,dan Monitor), APO (Align, Plan. And Organise), BAI (Build Acquire, and Implement), DSS (Deliver, Service, adn Support) , dan MEA (Monitor, Evaluate, and Assess).
IT Governance
Pengelolaan TI (IT Governance) merupakan suatu bentuk perencanaan dalam menerapkan dan menggunakan TI yang digunakan oleh suatu organisasi agar sesuai dengan visi, misi dan tujuan dari organisasi. TI yang diatur tersebut merupakan suatu proses untuk mengarahkan dan mengendalikan organisasi agar dapat mencapai tujuannya dengan menambahkan nilai yang dapat menyeimbangkan resiko terhadap penggunaan TI serta prosesnya.
Peranan IT Governance tidaklah diragukan lagi dalam pencapaian tujuan suatu organisasi yang mengadopsi TI. Seperti fungsi-fungsi manajemen lainnya pada organisasi publik, maka IT Governance yang pada intinya adalah bagaimana me-manage penggunaan TI agar menghasilkan output yang maksimal dalam organisasi, membantu proses pengambilan keputusan dan membantu proses pemecahan masalah – juga harus dilakukan. Prinsip-prinsip IT Governance harus dilakukan secara terintegrasi, sebagaimana fungsi-fungsi manajemen dilaksanakan secara sistemik dilaksanakan pada sebuah organisasi publik.
Aspek-Aspek IT Governance
- Penyelarasan rencana strategis TI
dengan tujuan bisnis Perusahaan (Strategic Alignment); berfokus
pada memastikan hubungan bisnis dan rencana TI; mendefinisikan, memelihara
dan memvalidasi proposisi nilai TI, dan menyelaraskan operasi TI dengan
operasi perusahaan.
- Optimalisasi nilai bisnis
Perusahaan bagi Perusahaan (Value Delivery); adalah
tentang menjalankan proposisi nilai seluruh siklus pengiriman, memastikan
bahwa TI memberikan manfaat yang dijanjikan terhadap strategi,
berkonsentrasi pada mengoptimalkan biaya dan membuktikan nilai intrinsik
TI.
- Optimalisasi investasi TI yang
mencakup aplikasi, informasi, infrastruktur dan sumber daya manusia
(Resouce Management); adalah tentang investasi
yang optimal, dan pengelolaan yang tepat atas sumber daya TI yang kritis,
yaitu antara lainaplikasi, informasi, infrastruktur dan orang-orang.
Isu-isu kunci berkaitandengan optimasi pengetahuan dan infrastruktur.
- Pengelolaan resiko TI (Risk
Management); membutuhkan kesadaran risiko
dari pejabat perusahaan senior, pemahaman yang jelas tentang risk appetite
perusahaan itu, pemahaman tentang persyaratan kepatuhan, transparansi
tentang risiko yang signifikan untuk perusahaan dan menanamkan tanggung
jawab manajemen risiko kedalam organisasi.
- Pengelolaan kinerja proses TI (Performance Measurement); menjalankan dan memonitor implementasi atasstrategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses dan pelayanan pengiriman, yaitu menggunakan, misalnya, balanced scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan yang diharapkan.
Risk Management
Manajemen Risiko (Risk Management) adalah kemungkinan terjadinya sesuatu yang buruk atau hilangnya sesuatu yang bernilai. Nilai yang dimaksud disini dapat berupa kesehatan, status sosial, kekayaan, barang, harta ataupun kesejahteraan dan kebahagiaan. Nilai-nilai ini dapat diperoleh atau hilang ketika kita mengambil keputusan untuk melakukan ataupun tidak melakukan suatu tindakan.
Aspek-Aspek Risk Management
- Tataran Korporasi: Aspek
ini terdiri atas tiga hal. Pertama, kecukupan modal minimum. Kedua,
batasan portofolio investasi. Ketiga, pemisahan rekening perusahaan dan
nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan
korporasi (corporate crime).
- Tataran Pengelola Perusahaan: Aspek
ini terdiri atas tiga hal juga. Pertama, kompetensi manajemen berupa
pengalaman dan keahlian. Kedua, integritas pengurus berupa rekam jejak
yang tidak tercela. Ketiga, tata pengelolaan yang baik dan transparan.
Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan pimpinan
perusahaan (white collar crime).
- Tataran Pelaksana Lapangan
Perusahaan: Aspek ini terdiri atas tiga
hal. Pertama, pengenalan selera risiko nasabah (risk appetite). Kedua,
pengetahuan tenaga penjual akan produk investasi yang dijualnya. Ketiga,
transparansi dalam menjelaskan risiko investasi. Pengaturan aspek ini
dimaksudkan untuk mencegah kejahatan tenaga pelaksana (blue collar
crime).
Contoh: Pabrik sepatu
dengan tenaga 10 orang menghadapi resiko bahwa sepatu-sepatu tersebut rusak.
Bila pabrik tersebut menambah mesin dan tenaga kerja, maka resikonya bertambah,
antara lain kerusakan mesin, keributan karyawan dan lain-lain.
Langkah-Langkah
Auditing IT Governance
- Identifikasi dan dokumentasi. Layaknya
audit umum, identifikasi dan dukumentasi adalah keharusan. Hal ini bisa
dilakukan dengan menjalankan survei maupun observasi ke lapangan sehingga
audit bisa lebih objektif dan akurat.
- Tes subtantif. Tes
substansi merupakan tes yang dijalankan untuk mengetahui “isi” secara
lebih mendalam. Dalam tes ini ada dua tipe yang bisa dijalankan:
signifikan alias ditelusur secara lebih mendalam; atau terbatas.
- Evaluasi. Setelah
melakukan tes substantif, audit TI bisa menjalankan evaluasi berdasarkan
hasil temuan. Di tahap ini kembali dicek apakah kinerja perusahaan efektif
atau tidak. Kalau efektif berarti memenuhi syarat untuk dilanjutkan ke
tahap selanjutnya. Namun kalau tidak efektif, lakukan lagi tes substantif.
- Penilaian Mutu/ Kesimpulan. Di
langkah terakhir ini akan terlihat apakah mutunya terjamin atau tidak.
Jelas audit TI bukanlah tindakan yang bisa dilakukan secara asal dan
instan. Ketelitian auditor menjadi ujung tombaknya. Selain itu tentu saja,
tujuan dan langkah-langkah tersebut harus dilakukan secara konsekuen.
Audit IT pada domain
EDM (Evaluate, Direct, and Monitor)
Proses tata kelola ini
berurusan dengan tujuan tata pemangku kepentingan dalam melakukan penilaian,
optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan
untuk mengevaluasi pilihan strategis, memberikan arahan kepada TI dan
pemantauan hasilnya. Berikut domain proses EDM:
- EDM01 Ensure Governance Framework
Setting and Maintenance (Memastikan Pengaturan dan Pemeliharaan Kerangka
Tata Kelola)
- EDM02 Ensure Benefits Delivery
(Memastikan Memberi Manfaat)
- EDM03 Ensure Risk Optimisation
(Memastikan Pengoptimalan Risiko)
- EDM04 Ensure Resource Optimisation
(Memastikan Pengoptimalan Sumber Daya)
- EDM05 Ensure Stakeholder
Transparency (Memastikan Transparansi Pemangku Kepentingan)
Audit IT pada domain
APO (Align, Plan, and Organise)
Memberikan arah untuk
pengiriman solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini
mencakup strategi dan taktik, dan mengidentifikasi kekhawatiran cara terbaik TI
agar dapat berkontribusi pada pencapaian tujuan bisnis. Realisasi visi
strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif
yang berbeda. Sebuah organisasi yang tepat, serta infrastruktur teknologi,
harus dimasukkan ke dalam tempatnya. Berikut domain proses APO:
- APO01 Manage The IT Management
Framework (Mengelola Kerangka Manajemen TI)
- APO02 Manage Strategy (Mengelola
Strategi)
- APO03 Manage Enterprise
Architecture (Mengelola Arsitektur Bisnis)APO04 Manage Innovation
(Mengelola Perubahan)
- APO05 Manage Portfolio (Mengelola
Dokumen)
- APO06 Manage Budget and Costs
(Mengelola Anggaran dan Biaya)
- APO07 Manage Human Resources
(Mengelola Sumber Daya Manusia)
- APO08 Manage Relationships
(Mengelola Relasi)
- APO09 Manage Service Agreements
(Mengelola Perjanjian Layanan)
- APO10 Manage Suppliers (Mengelola
Pemasok)
- APO11 Manage Quality (Mengelola
Kualitas)
- APO12 Manage Risk (Mengelola
Risiko)
- APO13 Manage Security (Mengelola
Keamanan)
Audit IT pada domain
BAI (Build, Acquire, and Implement)
Memberikan solusi dan
melewatinya sehingga akan berubah menjadi layanan. Untuk mewujudkan strategi
TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan dan terintegrasi ke dalam proses bisnis. Perubahan dan
pemeliharaan sistem yang ada juga dicakup oleh domain ini, untuk memastikan
bahwa solusi terus memenuhi tujuan bisnis. Berikut domain proses BAI:
- BAI01 Manage Programmes and Project
(Mengelola Program Dan Proyek)
- BAI02 Manage Requirements Definition
(Mengelola Definisi Persyaratan)
- BAI03 Manage Solutions
Identification and Build (Mengelola Identifikasi Solusi dan Pembangunan)
- BAI04 Manage Availability and
Capacity (Mengelola Ketersediaan dan Kapasitas)
- BAI05 Manage Organisational Change
Enablement (Mengelola Pemberdayaan Organisasi Perubahan)
- BAI06 Manage Changes (Mengelola
Perubahan)
- BAI07 Manage Change Acceptance and
Transitioning (Mengelola Penerimaan Perubahan dan Transisi)
- BAI08 Manage Knowledge (Mengelola
Pengetahuan)
- BAI09 Manage Assets (Mengelola
Kepemilikan)
- BAI10 Manage Configuration
(Mengelola Susunan)
Audit IT pada domain
DSS (Deliver, Service, and Support)
Menerima solusi dan
dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan pengiriman
aktual dan dukungan layanan yang dibutuhkan, yang meliputi pelayanan,
pengelolaan keamanan dan kelangsungan, dukungan layanan bagi pengguna, dan
manajemen data dan fasilitas operasional. Berikut domain proses DSS:
- DSS01 Manage Operations (Mengelola
Operasi)
- DSS02 Manage Service Requests and
Incidents (Mengelola Layanan Permohonan dan Kecelakaan)
- DSS03 Manage Problems (Mengelola
Masalah)
- DSS04 Manage Continuity (Mengelola
Keberlangsungan)
- DSS05 Manage Security Services
(Mengelola Jasa Keamanan)
- DSS06 Manage Business Process
Controls (Mengelola Kontrol Proses Bisnis)
Audit IT pada domain
MEA (Monitor, Evaluate, Assess)
Monitor semua proses
untuk memastikan bahwa arah yang disediakan diikuti. Semua proses TI perlu
dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan
kepatuhan mereka. Domain ini tertuju pada manajemen kinerja, pemantauan
pengendalian internal, kepatuhan terhadap peraturan dan tata kelola. Berikut
domain proses MEA:
- MEA01 Monitor, Evaluate and Assess
Performance and Conformance (Memantau, Evaluasi dan Menilai Kinerja Dan
Penyesuaian)
- MEA02 Monitor, Evaluate and Assess
The System of Internal Control (Memantau, Evaluasi dan Menilai Sistem
Pengendalian Internal)
- MEA03 Monitor, Evaluate and Assess
Compliance with External Requirements (Memantau, Evaluasi dan Menilai
Kepatuhan dengan Persyaratan Eksternal)
Sumber :
https://itgid.org/it-governance-pemegang-kendali-perusahaan/
https://itgid.org/fokus-area-pada-it-governance/
https://blog.gamatechno.com/tujuan-langkah-audit-teknologi-informasi/
https://www.kemenkeu.go.id/publikasi/artikel-dan-opini/diskusi-tentang-manajemen-resiko/
Komentar
Posting Komentar