IT Governance (Tata Kelola TI) Maret 21, 2010
Posted by anikeren
**moedjionosadikin.wordpress.com
Tugas Auditor Sistem Informasi (Auditor SI/IS Auditor) secara ringkas adalah memeriksa apakah suatu proses terkait Sistem Informasi dalam suatu organisasi telah dilaksanakan sebagaimana mestinya sesuai dengan alat kendali yang ditetapkan/harus dianut oleh suatu organisasi. Oleh karena itu, Auditor dituntut untuk memahami alat kendali maupun pelaksanaan suatu proses. Alat kendali dan proses ini berbeda – beda dari satu Negara dengan Negara lain, dari satu organisasi maupun organisasi yang lain. ISACA memberikan bekal pemahaman itu kepada Auditor berdasarkan “best practice” yang umum berlaku baik di Amerika maupun di Negara – Negara yang lain.
Dengan demikian maka, sebaiknya Auditor SI memahami IT Governance (Tata Kelola IT) yang merupakan bagian dari Corporate Governance(CG) yang merepresentasikan bagaimana penerapan TI dalam suatu Enterprise (organisasi).Ada beberapa definisi mengenai CG, namun secara ringkas dapat dicuplik dari definisi Sir Adrian Cadbury yang menyatakan CG adalah suatu system yang dengannya suatu korporasi diarahkan dan dikendalikan. Mengikuti CG, maka IT G kurang lebih adalah suatu system yang dengannya TI dalam suatu organisasi diarahkan dan dikenalikan.
Sebagai suatu system, fokus IT G kurang lebih pada :
Strategic Aligment : Strategi dan perencanaan IT harus inline dan sinergi dengan strategi dan arah perusahaan (korporasi)
Value Delivery : Penerapan IT harus memberikan nilai seperti yang direncanakan, cost yang dikeluarkan sesuai dengan nilai / benefit yang didapatkan
Risk Management : Adanya kepedulian risiko – risiko yang mungkin timbul dari manajemen level atas, pengertian yang jelas mengenai tingkat risiko yang dapat diterima, pengertian akan kebutuhan-2 terhadap kepatuhan, transparansi mengenari risiko – risiko bagi seluruh enterprise serta pendelegasian wewenang dan tanggung jawab penanganan risiko bagi pihak – pihak dalam organisasi
Resource Managamnet : optimalisasi sumber daya IT dalam organisasi termasuk infrastruktur, aplikasi, personal, dll.
Performance Management : bagaimana mengendalikan dan mengawasi pelaksanaan strategy, penyelesain proyek, penggunaan sumber daya, performansi proses dan penyediaan layanan dengan menggunakan alat kendali yang sesuai standard (misalnya Balanca Score Card).
IT Governance Framework
Beberapa kerangka kerja yang biasanya diacu untuk pelaksanaan IT G dalam tataran praktis antara lain :
- CobiT : Control Obyektif for Information and related Technology, yang disusun oleh ITGI
- ISO/IEC 27001 yang pertama kali dipublikasikan di UK sebagai British Standard 7799 (BS 7799)
- IT Infrastructur Library (ITIL) yang disusun oleh UK Office of Government Commerce dan IT Services Management Forum
- IT Baseline Protection Catalogs (IT-Grandschutz Catalogs) oleh German Federal Office for Security in Information Technology.
- Information Security Management Maturity Model (ISM3)
- AS80152005 merupakan standard dari pemerintah Australia untuk Corporate governance dalam TIK
Dari berbagai uraian mengenai CG dan IT G dapat diringkas bahwa ITG paling tidak harus mengandung unsur – unsur :strategi, kebijakan, program serta tujuan yang ingin dicapai haris inline dengan strategi corporate, pengelolaan risiko, perencanaan dan pengelolaan sumber daya, pelaksanaan dan operasionalisasi, serta pengendalian dan pengawasan kinerja semua aspek IT.
Strategi, kebijakan, program dan tujuan harus menjadi tanggung jawab dan perhatian manajemen tingkat atas, bukan hanya sebatas personal – personal TI. Diperlukan suatu IT Strategi Committee yang beranggotakan top manajemen dan lintas departemen. Kebijakan, program dan tujuan harus secara formal ditetapkan dan dikomentasikan. Juga harus disosialisaskan ke seluruh tingkatan dalam suatu organisasi.
Tujuan dari pengelolaan risiko adalah mengamanakan segala asset TIK dari ancaman ancaman yang mungkin timbul sehingga kehilangan (asset, informasi, uang) dapat dihindari atau ditekan seminimal mungkin. Inti dari pengelolaan risiko adalah mengamankan asset/informasi/sumber daya informasi yang lain. Oleh karena itu diperlukan strategi dan pengelolaan keamanan Informasi (Information Security Governance). Agar akibat dari risiko yang mungkin timbul dapat ditekan seminimal mungkin maka diperlukan strategi dan perencanaan pengelolaan risiko sejak dini. Penanganan risiko dimulai dari identifikasi risiko, menganalisa risko dan mengukurnya, kemudian mengelolanya dengan menerapkan alat kendali risiko, serta memonitor pelaksanaan alat kendali tersebut.
Perencanaan dan pengelolaan sumber daya mencakup antara lain meencakup pemahaman mengenai perencaanaan system informasi secara keseluruhan, misalnya dengan menggunakan pendekatan Enterprise Architecture. Beberapa pendekatan EA ini dalam praktisnya antara lain model Zachman Framework atau TOGAF.Pengelolaan sumber daya informasi mencakup bagaimana merencanakan dan mengakuisisi (purchase) h/w, s/w atau infrastruktur yang lain.
Di dalam pelaksanaan dan operasionalisasi terdapat hal – hal pemilihan supplier atau source / sumber layanan/produk. Tentu saja termasuk di dalamnya adalan pengelolaan sumber daya manusai internal mulai dari rekruitmen sampai dengan terminasi. Termasuk dalam operasionalisasi adalah bagaimana organisasi mengatur dan membagi tugas, hak akses dan tanggung jawab personel sesuai dengan aturan keamanan yang ditetapkan, pembagian beban yang adil, maupun penghindaran penumpukan tanggungjawab pada bagian tertentu maupun penghindaran konflik kepentingan akibat pembagian peran yang tidak sesuai. Jika perusahaan memerlukan layanan pihak ke 2 (outsource) maka peraturan dan kaidah-kaidah outsource juga menjadi fokus perhatian auditor.
Pengawasan dan pengukuran kinerja dapat dilakukan dengan menggunakan parameter – parameter yang berlaku dalam “best practice” yang sudah menjadi standard, misalnya Balance Score Card, CMM atau ISO.
Tidak ada komentar:
Posting Komentar