An Overview of IT Governance
advertisement
Pertemuan 1 : IT Governance ( Tata Kelola IT) M. Arief Soeleman Latar Belakang • Investasi Teknologi Informasi yang sampai menghabiskan milyaran rupiah pada perusahaan skala menengah dan besar tersebut, sepertinya sudah tidak ekonomis lagi jika hanya ditujukan untuk meningkatkan efisiensi, efektivitas dan kecepatan kerja organisasi. • Perkembangan TI yang semakin canggih dan serba bisa tersebut, mulai diarahkan menjadi enabler terhadap peningkatan kinerja suatu organisasi. • Yang kemudian memunculkan kesadaran, terutama di dunia industri, bahwa tanggung jawab pengelolaan TI tidak bisa sepenuhnya diserahkan ke unit/bagian/divisi yang hanya khusus menangani TI secara teknikal (IT Function) sebagaimana pendekatan manajemen konvensional, melainkan juga harus menjadi tanggung jawab berbagai pihak manajemen dalam suatu organisasi. Hal inilah yang kemudian melahirkan konsep dan paradigm baru dalam mengelola Teknologi Informasi yang disebut dengan IT Governance (Tata Kelola Teknologi Informasi). Cont.. • Banyak proyek TI strategic yang penting justru gagal dalam pelaksanaan, yang disebabkan proyek TI hanya ditangani oleh teknisi TI tanpa keterlibatan eksekutif dan visi depertemen TI tidak selaras visi korporasi. • IT Governance merupakan suatu komitmen, kesadaran dan proses pengendalian manajemen organisasi terhadap sumber daya TI/sistem informasi yang dibeli dengan harga mahal tersebut, yang mencakup mulai dari sumber daya komputer (software, brainware, database dan sebagainya) hingga ke Teknologi Informasi dan Jaringan LAN/Internet. • Lalu, apa sebenarnya yang dimaksud dengan Tata Kelola (Governance) itu? Kenapa akhir-akhir ini semakin popular ? Cont.. • “Governance” merupakan turunan dari kata “government”, yang artinya membuat kebijakan (policies) yang sejalan/selaras dengan keinginan/aspirasi masyarakat atau kontituen (Handler & Lobba, 2005). • Sedangkan penggunaan pengertian “governance” terhadap Teknologi Informasi (IT Governance) maksudnya adalah, penerapan kebijakan TI di dalam organisasi agar pemakaian TI (berikut pengadaan dan pelayanannya) diarahkan sesuai dengan tujuan organisasi tersebut Cont.. • Menurut Sambamurthy and Zmud (1999), IT Governance dimaksudkan sebagai pola dari otoritas/kebijakan terhadap aktivitas TI (IT Process). Pola ini diantaranya adalah: membangun kebijakan dan pengelolaan IT Infrastructure, penggunaan TI oleh end-user secara efisien, efektif dan aman, serta proses IT Project Management yang efektif. • Standar COBIT dari lembaga ISACA di Amerika Serikat mendefinisikan IT Govrnance as a “structure of relationships and processes to direct and control the enterprise in order to achieve the entreprise’s goals by value while balancing risk versus return over IT and its processes”. Cont.. • Istilah tatakelola (governance) juga sering dikaburkan dengan istilah pemerintahan (government), pdahal keduanya mempunyai arti yang berbeda. • Pemerintahan dibangun untuk menjalankan (governance). • Istilah pemerintahan lebih berkonotasi ke organisasi politik. • Organisasi bisnis lebih banyak menggunakan istilah korporat disbanding dengan istilah pemerintahan • Tatakelola korporat merujuk pada proses dan strktur untuk merencanakan arah pengelolaan organisasi sehingga dapat mencapai tujuan efektif. Cont.. • Menurut Oltsik (2003) mendefinisikan IT Governance sebagai kumpulan kebijakan, proses/aktivitas dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis (strategi organisasi). • Ruang lingkup IT Governance di perusahaan skala besar biasanya mencakup hal-hal yang berkaitan dengan Change Management, Problem Management, Release Management, Availability Management dan bahkan Service-Level Management Cont.. • Lebih lanjut Oltsik mengatakan bahwa IT Governance yang baik harus berkualitas, well-defined dan bersifat “repeatable processes” yang terukur (metric). • IT Governance yang dikembangkan dalam suatu organisasi modern berfungsi pula mendefinisikan (outline) kebijakan-kebijakan TI, menetapkan prosedur penting IT Process, dokumentasi aktivitas TI, termasuk membangun IT Plan yang efektif berdasarkan perubahan lingkungan perusahaan dan perkembangan TI. Kenapa Tatakelola ..penting? • Adanya perubahan peran TI, dari peran efisiensi ke peran strategic yang harus ditangani di level korporat • Banyak proyek TI strategic yang penting namun gagal hanya karena ditangani teknisi • Keputusan TI di dewan direksi sering bersifat ad hoc alias tidak terencana baik • TI merupakan pendorong utama proses transformasi bisnis yang memberi imbas penting bagi organisasi dalam pencapaian visi, misi dan tujuan strategic • Kesuksesan pelaksanaan TI harus dapat terukur melalui metric tatakelola TI. Untuk mewujudkan IT Governance dalam suatu organisasi, maka suatu organisasi harus membangun struktur yang dinamakan dengan IT Governance Framework, yang kira-kira polanya sebagai berikut: What is IT Governance? working definition Vision, goals/priorities, measures; value prop & service portfolio; resource approaches & commitments; change management plans Decision rights framework & mechanisms IT governance is the formal process of defining the strategy of the IT organization and overseeing its execution to achieve the goals of the enterprise. Aligned/synchronized with the enterprise strategy, including other key asset strategies Translation into aligned, tactical, operational plans; closed-loop monitoring & control; accountability; regulatory compliance IT Governance Event - UCISA 11 Cont.. • Berdasarkan struktur IT Governance maka semua sistem informasi yang ada di perusahaan (Sistem Informasi Bisnis) dapat diarahkan (govern) agar sejalan dan mendukung strategi organisasi. Dengan demikian, maka keberadaan berbagai bentuk sistem informasi dalam naungan SIM (Sistem Informasi Manajemen/SIM) perusahaan. • Demikian pula, perusahaan kemudian dapat mereduksi resiko dari penggunaan TI (IT Risk) dan pengendalian IT Process (disebut dengan IT Control) menjadi optimal. Governance Model Pada saat ini, Teknologi Informasi (TI) merupakan bagian yang tidak bisa terpisahkan dari suatu perusahaan. Ilmu dan teknologi yang bergerak maju dan berkembang ternyata tidak sedikit menimbulkan masalah, terutama dalam menghadapi kompleksitas dan intensitas tantangan yang semakin berat. Pimpinan dan para pembuat kebijakan perusahaan dituntut berpikir kreatif untuk menemukan berbagai terobosan strategi yang mampu menciptakan sinergi, yang memberi kontribusi optimal dalam pencapaian tujuan perusahaan Namun, kenyataannya sering kita jumpai bahwa pemanfaatan TI itu justru menghabiskan sumber daya, sementara hasil yang diharapkan tidak tercapai IT Governance Event - UCISA Cont... Untuk itu, perlu dilakukan manajemen informasi efektif dan pemanfaatan teknologi secara efisien. Hal ini sudah sering dikemukakan dan dibahas. Dari pembahasan itu, makin disadari pentingnya “IT Governance”. IT Governance adalah sebuah struktur dari hubungan relasi dan proses untuk mengarahkan dan mengendalikan suatu perusahaan dalam mencapai tujuan dengan memberikan nilai tambah ketika menyeimbangkan resiko dengan menyesuaikan TI dan proses bisnis perusahaan IT Governance muncul sebagai jembatan antara scope bisnis dengan TI, yang disebabkan terjadinya sebuah gap antara teknologi yang diterapkan tidak sesuai dengan yang diharapkan. IT Governance bukanlah suatu manajemen tersendiri, tetapi pada dasarnya juga merupakan bagian dari manajemen perusahaan Cont.. Manfaat IT Governance itu sendiri pada dasarnya sangat sulit untuk dikuantifikasikan karena ukuran keberhasilan penanganan TI itu pada dasarnya bersifat intangible. Penelitian IT Governance Institute (ITGI) menunjukkan bahwa TI telah bergeser dari isu teknologi menjadi isu manajemen dan pengelolaan. Penerapan TI di perusahaan akan dapat dilakukan dengan baik apabila ditunjang dengan suatu pengelolaan TI (IT Governance) dari mulai perencanaan sampai implementasinya IT Governance yang tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi perusahaan seperti : Kerugian bisnis, berkurangnya reputasi dan melemahnya posisi kompetisi; Tenggang waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan, dan kualitas lebih rendah dari yang telah diantisipasi; Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahnya kualitas penggunaan TI; Kegagalan inisiatif TI untuk melahirkan inovasi atau memberikan keuntungan yang dijanjikan; Penggunaan standar IT Governance mempunyai • 1. Enterprise activities, as defined by the Malcolm Baldrige National Quality Award:4 • Business processes are those nonproduct/nonservice processes that are considered the most important to business growth and success by senior leaders. • Examples include research and development, technology acquisition, information and knowledge management, supply chain management, supplier and customer partnering, outsourcing, merger and acquisition, global expansion, project management and marketing. • Support processes are those that support daily operations and product and service delivery but are not usually designed in detail with the products and services. • Examples are financial and accounting, facilities management, legal services, human resource services, public relations and other administrative services. • Core processes are the enterprise’s key products and service design . 2. Resources Intangible resources are useful information/knowledge bases. • These are the most critical resources for extended enterprise governance because the governance structure heavily relies on a knowledge portal sharing among the partners. • Intellectual resources on one enterprise owner is never enough; the senior management should orchestrate the dynamic combination of complementary skills and assets of the partners to generate and then realize innovative ideas and product improvements. • Tangible resources are financial, human, facilities, and similar resources. Normally, complementary skills (intangible resources) are combined with these assets (tangible resources) to produce world-class products and services. 3. Objectives, goals, and expectations: values • Values are the driver for objectives, goals, and expectations. • Sharing the same goals among partners is a critical success factor of the governance of the extended enterprise. Goals/ • objectives are set through strategic planning and translated into activities that will ensure reaching the goal through the effective use of operational planning Keuntungan Pertama, The Wheel Exists, penggunaan standar yang sudah ada dan mature akan sangat efisien. Perusahaan tidak perlu mengembangkan sendiri framework dengan mengandalkan pengalamannya sendiri yang tentunya sangat terbatas. Kedua, Structured, standar-standar yang baik menyediakan suatu framework yang sangat terstruktur, yang dapat dengan mudah dipahami dan diikuti oleh manajemen. Lebih lanjut lagi, framework yang terstruktur dengan baik akan memberikan setiap orang pandangan yang relatif sama. Ketiga, Best Practices, standar-standar tersebut telah dikembangkan dalam jangka waktu yang relatif lama dan melibatkan ratusan orang dan organisasi di seluruh dunia. Pengalaman yang direfleksikan dalam model-model pengelolaan yang ada tidak dapat dibandingkan dengan suatu usaha dari satu perusahaan tertentu Cont.. Keempat, Knowledge Sharing, dengan mengikuti standar yang umum, manajemen akan dapat berbagi ide dan pengalaman antar organisasi melalui user groups, website, majalah, buku, dan media informasi lainnya. Kelima, Auditable, tanpa standar baku, akan sangat sulit bagi auditor, terutama auditor dari pihak ketiga untuk melakukan kontrol secara efektif. Dengan adanya standar, maka baik manajemen maupun auditor mempunyai dasar yang sama dalam melakukan pengelolaan Apa bedanya IT Compliance dengan IT Governance? • IT Compliance adalah pelaksanaan dan pengelolaan teknologi informasi yang sesuai dengan standar yang diterapkan dalam lingkungan atau institusi tertentu. • Jika Anda berasumsi bahwa IT Compliance menyangkut aspek teknologi saja. IT Policy Compliance (kepatuhan akan kebijakan TI) boleh dikatakan sebagai satu ekosistem lengkap yang mencakup: Tujuan strategis organisasi. Pelatihan dan kesadaran Pengguna komputer. Kebijakan di tingkat atas. Prosedur dan standar. Pengaturan konfigurasi. Kontrol terhadap teknologi. Pemantauan yang berkelanjutan Secara keseluruhan, kepatuhan adalah tentang manusia, proses, dan teknologi. Banyak perusahaan yang memberikan perhatian terlalu banyak kepada teknologi dan akhirnya gagal dalam audit karena kurangnya perhatian terhadap faktor manusia dan proses. Perbedaan Mengatur dan Menatakelola TI Kriteria Mengatur Menatakelola Scope Lebih sempit karena bagian tatakeloal Lebih luas Mekanisme Departemen TI Korporasi Keputusan TI Keputusan spesifik Korporasi Fokus Proses internal Inter dan eksternal Horison Sekarang dan jangka pajang Jangka panjang Objek keputusan Kep yg dibuat Siapa dan bagaimana membuat keputusan Proses Implemen Dapat dialihkan Insouring Personil Manajer TI (CIO) Dewan direksi Beberapa contoh standar pemerintah dan industri yang mempengaruhi kebijakan kepatuhan TI misalnya: Control Objectives for Information and Related IT (COBIT). National Institute of Standards and Technology (NIST) standards. International Standards Organization (ISO) 27001. Information Technology Infrastructure Library (ITIL). Payment Card Industry Data Security Standard (PCI DSS). NERC Critical Infrastructure Protection (CIP) standards. Federal Financial Institution Examination Council (FFIEC) Informatio Dengan analogi diatas, maka IT Governance posisinya sama dengan QA (kebijakan, prosedur, defect prevention) sedangkan IT Compliance identik dengan peranan QC (produk dihasilkan). Beberapa standar model : Ada berbagai standar model IT Governance yang banyak digunakan saat ini, antara lain : ITIL (The IT Infrastructure Library), ISO/IEC 17799 (The International Organization for Standardization/The International Electro technical Commission), COSO (Committee of Sponsoring Organization of the Treadway Commission), and COBIT (Control Objectives for Information and related Technology). .. Keseimbangan CIO’s diantara prioritas. Maximize return: Increase agility: • Improve business results; • Enable the business organization and operations to adapt to changing business needs grow revenue and earnings, cash flow, reduced cost-of-operation Improve performance: Reduce risk: • Ensure security and continuity of internal business operations, while minimizing exposure to external risk factor IT Governance Event - UCISA • Improve business operations performance end-to-end across the enterprise • Increase customer and employee satisfaction 30 Strategic Alignment Model (SAM) Henderson dan Venkrataman Needs, Issues & Challenges Planning Alignment Kurangnya strategy bisnis selaras Capital, Capacity, Priorities Membuat keputusan perusahaan baru / outsourcing Flexibility Mendeploy kompleksitas dalam beberapa project Tidak ada panduan permintaan Manajemen layanan perubahan Tidak dapat agregat kebutuhan dan mendistribusi ROI Kompleksitas deployment karena kurangnya standar dan dokumen No means of prioritization of business need Demand Kurang transparan pada sumber daya IT Supply IT and Business Resources Strategic Tactical Operations Tidak ada cara pelaporan Menurunkan Biaya IT sd 30% Ineffective project Management Mengurangi seluruh bea bisnis Tidak ada audit Target tidak tercapai karena kurangnya kontrol Tidak ada cara yg mengatur kontrak outsourcing Quality Control Procedure, Audits, Metrics IT Governance Event - UCISA Efficiency 33 Budget available to support innovation Discretionary vs. Nondiscretionary 36% of the average CIO’s budget can be devoted to providing new capabilities. Q: What percent of your total IT budget is devoted to: Non-discretionary items infrastructure, support and maintenance or Discretionary items new capabilities? Source: CIO Magazine “The State of the CIO” online survey, January 2012 Note: percents do not sum to 100 due to range format question structure. IT Governance Event - UCISA 34 How many IT projects have positive business outcomes?… Half or less More than half Worldwide EMEA 43% 49% 51% 57% ...still not enough! IT Governance Event - UCISA 35 Driving Innovation In 3 years Today 28% 23% 45% Application 55% innovation 5% 30% 10% Infrastructure innovation 15% Application maintenance 72% 45% 42% 30% Infrastructure maintenance By transforming the % of IT spending consumed by ongoing operations … IT Governance Event - UCISA 36 Tangible Benefits Cost avoidance • Stopped $8 mill in projects unlikely to deliver expected business value • Saved $3.7 mill by avoiding investment in non-viable projects • IT spend not aligned to IT strategy reduced by 25% • IT project scope change orders reduced by 57% Cost reduction • “At risk” projects reduced by over 30% • Audit costs reduced by £1.2 mill per year • IT labour costs reduced by $320k • IT budget on target Efficiency gains • Reduced project funding process from 6 weeks to 1 week • Schedule tracking and updating lead time reduced by 67% • Reporting efficiency increased by 75% • IT labour efficiency increased by 10% • Project management bandwidth increased by 12% • Demand queue reduced by 67% IT Governance Event - UCISA 37 Who are the Decision Makers? Non-Cooperative Centralized Federal De-centralised Cooperative Business Decision IT Decision Business and IT Collaboration Business Exec. IT Exec. Business and IT Exec. Business Exec./Mgt. IT Exec./Mgt. Business and IT Exec./Mgt. Business Mgt. IT Management Business and IT Mgt. Anarchy IT Governance Event - UCISA 38 Core Competencies for Effective IT Governance • • Align operational and strategic IT investments to business strategies & objectives. Balance the demand for IT services with available resources to meet immediate and strategic goals. • Supply / Demand Management IT Strategy Management • Establish policies, standards, models and processes for managing IT as an enterprise asset Establish effective, collaborative relationships with business stakeholders and suppliers. Relationship Management • IT Operating Model Enterprise Architecture Managemen t Financial Managemen t Portfolio Management IT Governance Event - UCISA • Understand the drivers of IT costs to allocate appropriate costs to the consumers of IT services. Lifecycle management of infrastructure, applications and services 39 The IT Governance Capability Model IT Governance Capability Model IT Governance Capability Domains Role of IT None Utility Dependent Agile IT Governance Governance Capability Levels Capability Levels Level 1: Initial 1: Initial Level 2: Repeatable 2: Repeatable Level 3: Defined 3: Defined Level 4: Managed 4: Managed Level 5: Optimized 5: Optimized Strategy ITITStrategy Management Management AdAdHoc HocororITIT Centric Centric Deliver Deliver toto Budget Budget Supply Supply Constrained Constrained Enterprise Enterprise Demand DemandDriven Driven Balanced Balanced& & Aligned Aligned Adaptive Adaptive Enterprise Enterprise Portfolio Portfolio Management Management AdAd Hoc Hoc Review Review ofof Portfolio Portfolio Synergies Synergies ITITCost Cost Minimization Minimization Emerging Emerging ROI ROI Based BasedFunding Funding Business Business Unit Unit Aligned Aligned Enterprise EnterpriseITIT Portfolio Portfolio Management Management Enterprise Enterprise Architecture Architecture Management Management Initial Enterprise Enterprise Ad Adhoc hoc//Ineffective Ineffective Initial Program-based Ad hoc Technical Architecture Architecture Enterprise Enterprise Architecture Architecture Management Program Program Architecture Financial Financial Management Management Supply / Demand Management Management ArchitectureArchitectureArchitecture Compliant Compliant Driven Design Design Expense Expense Driven, Driven, Budget BudgetFocused Focused ITITCost Cost Minimization Minimization ITITCost CostTransfer Transfer Technology Technology Based Based Supply Supply Constrained Constrained Value ValueBased Based Business Relationship Relationship Management Management Technology Technology Centric Centric ITITOperating Operating Model Model Silo Silo Technology-Based Technology-based Service ServiceCentric Centric Services Services ITIT Process-Based Process-Based Business Business Strategy Strategy Integrated Enterprise Business Strategy Architecture Agile Enterprise & Aligned Linked Architecture Business Business Planning Planning Architecture Enterprise Enterprise Cost Cost Management Management Optimized Optimized Business BusinessValue Value Impact Impact Demand DemandDriven Driven Balanced Balanced && Aligned AlignedMulti MultiSourcing Sourcing Business BusinessCentric Centric Customer Customer Centric Centric Business Business Process Process Internal Internal Service Service Based Based Provider Provider IT Governance Event - UCISA Shared SharedServices Services 40 40 IT Governance Models - the 5 Characteristics Corporate Governance IT Governance Framework Processes Technology People Value Val IT Cobit ITIL ISO PPM Methods … BTO portfolio Business Change Org. Alignment & Competencies Benefits Assurance There are many models. But they share 5 characteristics: • Underpinned by processes that must be implemented (e.g. Incident management) • Supported by technology • Define business change issues to be addressed • Define organisational realignment to be achieved • Include some way of measuring the value to be achieved (e.g. balanced scorecard) IT Governance Event - UCISA 41 41 How to Implement Governance Execute IT Governance Assessment •Execute assessment to identify gaps •Define new role of IT in organization •Define evolution roadmap to address the gaps Setup IT Governance Framework •Define roles and responsibilities •Setup communication path to support IT-business alignment •Define management structures for decision making, reporting and escalation Design IT Governance Processes •Define policies •Define processes •Define KPIs and reporting requirements Implement Supporting Tools •Implement tool to support the execution of the solution •Implement tools for data collection and management reporting Continuous Improvement Plan 11 September 2008 (Control Lifecycle) 3 April 2016 •Identify indicators to monitor strategy execution •Define steering committee to manage relationships within IT and between business & IT IT Governance Event - UCISA 42 •Review IT strategy periodically and evolve governance environment 42 Critical success factors for ITG • Clarity of Purpose • Senior Management Commitment • Management of Business Change • Focus, execute and enforce • Measure achievable targets and expectations • Don’t over-engineer IT Governance • Evolution not revolution IT Governance Event - UCISA 43 IT IL- (The IT Infrastructure Library) ITIL dikembangkan oleh The Office of Government Commerce (OGC), yaitu suatu badan di bawah pemerintah Inggris, yang bekerja sama dengan The IT Service Management Forum (ITSMF), suatu organisasi independen mengenai manajemen pelayanan TI dan British Standard Institute (BSI), suatu badan penetapan standar pemerintah Inggris. ITIL merupakan suatu framework pengelolaan layanan TI (IT Service Management – ITSM) IT Infrastructure Library (ITIL) adalah serangkaian dokumen yang digunakan untuk membantu implementasi dari sebuah kerangka kerja untuk pengelolaan layanan teknologi informasi (ITSM, IT Service Management). Kerangka kerja ini mendefinisikan bagaimana pengelolaan layanan yang terintegrasi, berbasiskan proses, dan praktik-praktik terbaik yang diterapkan di dalam organisasi Penjelasan framework ITIL 7 set yang menjadi fokus dalam ITIL adalah sebagai berikut : Pertama, dukungan layanan; menggambarkan komponenkomponen yang berkaitan dengan penyediaan stabilitas dan fleksibilitas untuk layanan TI. Topik ini berhubungan dengan identifikasi dan merekam konfigurasi TI seperti barang, kejadian, masalah, dan perubahan. Topik ini melingkupi meja layanan, pengelolaan kejadian, pengelolaan masalah, pengelolaan perubahan, pengelolaan rilis, dan pengelolaan konfigurasi. Kedua, penghantaran layanan; mendeskripsikan proses yang dibutuhkan untuk menghantarkan layanan TI yang berkualitas dan efektif secara biaya, yang melingkupi pengelolaan ketersediaan, pengelolaan kapasitas, pengelolaan keberlangsungan layanan TI, pengelolaan tingkat layanan, dan pengelolaan keuangan untuk layanan TI. Cont.. Ketiga, pengelolaan keamanan; melingkupi keamanan dari penyedia layanan dan mengidentifikasi bagaimana pengelolaan keamanan berhubungan dengan petugas keamanan TI. Keempat, perspektif bisnis; melingkupi isu-isu yang berkaitan dengan TI yang harus dihadapi oleh para manajer bisnis. Kelima, pengelolaan infrastruktur ICT; melingkupi pengelolaan layanan jaringan, pengelolaan operasi, pengelolaan pemroses lokal, instalasi komputer dan penerimaan, dan pengelolaan system. Cont.. Keenam, pengelolaan aplikasi; melingkupi dukungan siklus hidup PL, pengujian dari layanan TI dan perubahan bisnis dengan penekanan pada kebutuhan yang jelas, definisi dan implementasi dari solusi untuk memenuhi kebutuhan bisnis pengguna. Ketujuh, perencanaan untuk mengimplementasikan pengelolaan layanan; melingkupi cara bagaimana memulai ITIL dalam organisasi dan membantu organisasi dalam mengidentifikasi kekuatan dan kelemahannya. IT Service Management (IT SM) memfokuskan diri pada 3 tujuan utama, yaitu (1) Menyelaraskan layanan TI dengan kebutuhan sekarang dan akan datang dari bisnis dan pelanggannya; (2) Memperbaiki kualitas layanan-layanan TI; dan (3) Mengurangi biaya jangka panjang dari pengelolaan layananlayanan tersebut. Standar ITIL berfokus kepada pelayanan customer dan sama sekali tidak menyertakan proses penyelarasan strategi perusahaan terhadap strategi yang dikembangkan. ISO/IEC 17799 ISO/IEC 17799 dikembangkan oleh The International Organization for Standardization (ISO) dan The International Electrotechnical Commission (IEC), dengan titel ”Information Technology - Code of Practice for Information Security ISO/IEC 1799 bertujuan memperkuat 3 elemen dasar keamanan informasi, yaitu (1) Confidentiality, memastikan bahwa informasi hanya dapat diakses oleh yang berhak; (2) Integrity, menjaga akurasi dan selesainya informasi dan metode pemrosesan; serta (3) Availability, memastikan bahwa user yang terotorisasi mendapatkan akses kepada informasi dan aset yang terhubung dengannya ketika memerlukannya ISO/IEC 17799 terdiri dari 10 domain, yaitu (1) Security policy, memberikan panduan dan masukan pengelolaan dalam meningkatkan keamanan informasi; (2) Organizational security, memfasilitasi pengelolaan keamanan informasi dalam organisasi; (3) Asset classification and control, melakukan inventarisasi aset dan melindungi aset tersebut dengan efektif; (4) Personnel security, meminimalisasi resiko human error, pencurian, pemalsuan atau penggunaan peralatan yang tidak selayaknya; (5) Physical and environmental security, menghindarkan violation, deterioration atau disruption dari data yang dimiliki; Cont.. (6) Communications and operations management, memastikan penggunaan yang baik dan selayaknya dari alat-alat pemroses informasi; (7) Access control, mengontrol akses informasi; (8) Systems development and maintenance, memastikan bahwa keamanan telah terintegrasi dalam sistem informasi yang ada; (9) Business continuity management, meminimalkan dampak dari terhentinya proses bisnis dan melindungi proses-proses perusahaan yang mendasar dari kegagalan dan kerusakan yang besar; serta (10) Compliance, menghindarkan terjadinya tindakan pelanggaran atas hukum, kesepakatan atau kontrak, dan kebutuhan keamanan. COSO – Committee of Sponsoring Organization of the Treadway Commission COSO merupakan kependekan dari Committee of Sponsoring Organization of the Treadway Commission, sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan finansial mencakup etika bisnis, kontrol internal dan corporate governance. Komite ini didirikan pada tahun 1985 untuk mempelajari faktor-faktor yang menunjukkan ketidaksesuaian dalam laporan finansial Awal tahun 90-an, Pricewaterhouse Couper bersama komite ini melakukan extensive study mengenai kontrol internal, yang menghasilkan COSO Framework yang digunakan untuk mengevaluasi efektifitas kontrol internal suatu perusahaan. Sejak itu, komunitas finansial global, termasuk badan-badan regulator seperti public accounting dan internal audit professions, telah mengadopsi COSO Keuntungan COSO Keuntungan implementasi COSO framework akan didapat oleh (1)CEO/CFO perusahaan yang menerapkan SEC dan mereka yang memerlukan standar Sarbanes-Oxley test section 302 dan 404; (2)CEO/CFO perusahaan yang menjadi bagian SEC dan mungkin memerlukan layanan kantor pusat untuk beberapa tes; (3)Manajer kunci (biasanya dalan keuangan) dan auditor internal yang bekerja untuk organisasi di atasnya dan memerlukan bantuan informasi dari CEO/CFO, agar mereka dapat menerapkan standar Sarbanes-Oxley; dan (4)Manajer senior yang memerlukan kepastian organisasi, apakah telah memiliki sistem kontrol internal untuk menyediakan kemampuan memasarkan dan meningkatkan harga saham Kerangka Kerja COSO Kerangka kerja COSO terdiri atas 3 dimensi. Pertama, komponen kontrol COSO. COSO mengidentifikasi 5 komponen kontrol yang diintegrasikan dan dijalankan dalam semua unit bisnis, dan akan membantu mencapai sasaran kontrol internal, yakni monitoring, information and communications, control activities, risk assessment, dan control environment. Kedua, sasaran kontrol internal (a) operations, (b) Financial dan Financial Reporting Ketiga, unit/aktifitas terhadap organisasi. Dimensi ini engidentifikasikan unit/aktifitas pada organisasi yang menghubungkan kontrol internal. COBIT (Control Objectives for Information and related Technology) COBIT Framework dikembangkan oleh IT Governance Institute, sebuah organisasi yang melakukan studi tentang model pengelolaan TI yang berbasis di Amerika Serikat. COBIT berorientasi pada bisnis dan didesign dan dikerjakan tidak hanya oleh user dan auditor, tetapi juga sebuah panduan kemprehensif bagi pihak manajemen maupun pemilik bisnis proses tersebut COBIT memberikan sebuah Maturity process untuk mengendalikan proses TI sehingga pihak manajemen dapat memetakan di mana posisi perusahaan tersebut, keadaan perusahaan sesuai tidaknya dengan class industry ataupun terhadap standar internasional Key goal indicator dan key performance indicator menjadi landasan tolak ukur bagi mengukur keberhasilan TI dalam mencapai tujuan dan kesesuaianya dengan kebijakan organisas Framework COBIT Framework terdiri atas 4 domain utama, yakni (1) Plan and organize. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan; (2) Acquire and implement. Domain ini menitikberatkan pada proses pemilihan, pengadaan, dan penerapan teknologi informasi yang digunakan; (3) Deliver and support. Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya; (4) Monitor and evaluate. Domain ini menitikberatkan pada proses pengawasan dan mengevaluasi pengelolaan TI pada organisasi. Maturity model COBIT mempunyai model kematangan (maturity model) untuk mengontrol proses-proses TI, dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-existent sampai dengan optimized (dari 0 sampai 5). Maturity model ini akan memetakan (1) Current status dari organisasi, untuk melihat posisi organisasi saat ini; (2) Current status dari kebanyakan industri saat ini, sebagai perbandingan; (3) Current status dari standar internasional, sebagai perbandingan tambahan; dan (4) Strategi organisasi dalam rangka perbaikan, level yang ingin dicapai oleh organisasi. Selain itu, COBIT juga mempunyai ukuran-ukuran lainnya sebagai berikut. Pertama, Critical Success Factors (CSF), yaitu mendefinisian halhal atau kegiatan penting yang dapat digunakan manajemen untuk dapat mengontrol proses-proses TI di organisasinya. Kedua, Key Goal Indicators (KGI), yaitu mendefinisikan ukuranukuran yang akan memberikan gambaran kepada manajemen apakah proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis yang ada. KGI biasanya berbentuk kriteria informasi (1) Ketersediaan informasi yang diperlukan dalam mendukung kebutuhan bisnis; (2) Tidak adanya resiko integritas dan kerahasiaan data; (3) Efisiensi biaya dari proses dan operasi (4) Konfirmasi reliabilitas, efektifitas, dan compliance. Ketiga, Key Performance Indicators (KPI) yaitu mendefinisikan ukuran-ukuran untuk menentukan kinerja proses-proses TI dilakukan untuk mewujudkan tujuan yang telah ditentukan. KPI biasanya berupa indikator-indikator kapabilitas, pelaksanaan, dan kemampuan sumber daya TI. Any Questions?
