IT Governance and Risk Management CDG4I3 / Audit Sistem Informasi Angelina Prima K | Gede Ary W. KK SIDE - 2015 Overview 1. IT strategic planning 2. IT policies, standards, processes and procedures 3. Risk management 4. IT management practices 5. Organization structure and responsibilities 6. Auditing IT governance Definition Governance: proses pengendalian strategis fungsi-fungsi bisnis oleh senior management melalui policies, objectives, delegation of authority, dan measurement. Biasanya dilakukan oleh IT steering committee yang bertanggung jawab dalam menentukan long-term IT strategy, dan melakukan perubahan-perubahan untuk memastikan bahwa proses-proses TI dapat terus berjalan untuk mendukung strategi TI dan kebutuhan organisasi. Tujuan IT Governance: menyelaraskan organisasi TI dengan kebutuhan bisnis, melalui sekumpulan aktivitas top-down untuk mengendalikan organisasi TI dari perspektif strategis. IT governance biasanya fokus pada beberapa proses utama, mis. Manajemen SDM, manajemen perubahan, keuangan, manajemen kualitas, keamanan, dan optimisasi performansi. 1. IT Strategic Planning Rencana strategis yang baik dapat menjawab pertanyaan what to do, bahkan dalam jangka panjang Perencanaan strategis harus menjadi bagian dari proses perencanaan formal. Peran dan tanggung jawab perencanaan harus dilakukan oleh pihak yang spesifik. Rencana strategis TI harus dapat memberikan kepastian pemenuhan layanan TI sesuai dengan kebutuhan bisnis yang diharapkan oleh organisasi. IT Steering Committee IT steering committee biasanya mendiskusikan kondisi organisasi di masa depan dan bagaimana organisasi TI dapat memenuhi kebutuhan tersebut. IT steering committee biasanya terdiri atas manajermanajer senior dan pelanggan/ constituents utama. 2. Policies, Processes, Procedures, and Standards Policies, procedures, and standards menjelaskan perilaku organisasional TI dan penggunaan teknologi di dalamnya. Biasanya dalam bentuk tertulis, menjelaskan tentang bagaimana organisasi TI memberikan layanan yang mendukung organisasi. IT Policies IT policies biasanya berisi: – Roles and responsibilities: menjelaskan peran dan tanggung jawab departemen TI dan pembagiannya. – Development practices: menjelaskan proses-proses untuk membangun PL dalam organisasi, termasuk metodologi, pengujian, dan penilaian kualitasnya. – Operational practices: menjelaskan proses umum operasional TI, mis. service desk, backups, system monitoring, metrics, dan aktivitas harian lainnya. – IT processes, documents, and records: menentukan pula proses-proses TI lainnya, termasuk manajemeninsiden, manajemen proyek, dan operasi pendukung; serta menjelaskan pengelolaan dan penyimpanan dokumen (prosedur dan rekaman) Procedures Dokumen prosedur, sering disebut juga SOP (standard operating procedures), menjelaskan langkah-langkah detail dari proses dan tugas TI. Dokumen prosedur formal memastikan bahwa tugas-tugas telah dilakukan dengan konsisten dan benar, bahkan jika dilakukan oleh staf TI yang berbeda-beda. Data tambahan yang harus ada: – Document revision information: nama penulis dokumen dan revisinya, nama/ lokasi resmi dokumen. – Review and approval: nama manajer yang terakhir me-review dan menyetujui dokumen prosedur. – Dependencies: prosedur lain yang terkait, baik yang dipengaruhi maupun yang mempengaruhi prosedur tersebut. Mis. Dokumen yang menjelaskan proses backup, dipengaruhi oleh dokumen manajemen dan pemeliharaan basis data, serta mempengaruhi dokumen penanganan media. Standards Merupakan pernyataan resmi yang disetujui manajemen, yang menyatakan teknologi, protokol, supplier, dan metode yang digunakan oleh organisasi TI. Standar membantu mengarahkan konsistensi dalam organisasi TI, sehingga organisasi dapat berjalan efektif dan efisien dari sisi biaya. Beberapa standar yang dimiliki organisasi TI: – Technology standards menyatakan teknologi PL dan PK apa yang digunakan dalam organisasi TI. Mis. OS, DBMS, server, sistem penyimpanan, media backup, dll. – Protocol standards menentukan protokol yang digunakan dalam organisasi. Mis. TCP/IP v6 untuk jaringan internal, GRP routing protocols, FTP, dll. – Supplier standards menyatakan supplier dan vendor mana yang digunakan, untuk menjamin ketersediaan barang dan layanan yang dibutuhkan dalam organisasi TI. – Methodology standards menyatakan praktek-praktek yang diterapkan pada berbagai proses, termasuk pengembangan PL, administrasi sistem, rekayasa jaringan, dll. – Configuration standards menentukan konfigurasi detail yang diterapkan pada server, DBMS, end-user workstations, perangkat jaringan, dll – Architecture standards berupa arsitektur teknologi pada level basis data, sistem, atau jaringan. Organisasi dapat membangun arsitektur di beberapa setting standar. 3. Risk Management Yaitu aktivitas yang mencari, mengidentifikasi, dan mengelola resiko dalam operasional organisasi untuk mendukung seluruh sasaran bisnis. Aksi yang dapat dilakukan: – Accept: menerima resiko apa adanya – Mitigate: melakukan aksi untuk mengurangi dampak resiko – Transfer: membagi resiko dengan entitas lain, mis. perusahaan asuransi – Avoid: tidak melanjutkan aktivitas yang beresiko Siklus hidup manajemen resiko: The Risk Management Process 1. Asset identification – Mis. Bangunan, perangkat, rekaman, informasi, tenaga kerja, dll 2. – termasuk pengelompokan dan identifikasi sumber data aset. Risk Analysis – Risk = probability x impact 3. – Memerlukan kemampuan untuk estimasi impact dan probability. Risk treatment Seringkali tidak semua resiko dapat dimitigasi maupun dihapuskan, sehingga perlu strategi untuk memilih kombinasi solusi agar dampak dari resiko dapat dikurangi 4. IT Management Practices Terdiri atas: Personnel management: rekruitasi, deskripsi kerja, pelatihan, jalur karir, ukuran performansi, promosi, mutasi, hingga pemberhentian Sourcing: insourcing, outsourcing, hybrid Change management: request, review, approve, perform, verify change Financial management: terutama pilihan untuk makebuy-or-rent Quality management Security management Performance and capacity management Outsourcing Alasan: – Durasi proyek membutuhkan orang dlm jangka waktu terbatas – Kemampuan tinggi dan spesifik terlalu mahal jika harus insourcing – Variasi akan kebutuhan tenaga kerja cukup tinggi – High turnover – Fokus pada aktivitas-aktivitas utama – Alasan finansial Contoh fungsi-fungsi yang sering dipenuhi dengan outsource: IT helpdesk and support, Software development, Software maintenance, Customer support Resiko outsourcing: – Kualitas kerja dan performansi harus diawasi dengan ketat – Integritas pekerja rendah – Tidak mendukung keunggulan kompetitif 5. Organization Structure and Responsibilities Contoh: Roles and Responsibilities Beberapa peran dalam organisasi: – Executive management: CIO, CTO, CSO, CISO, CPO – Owner – Manager – User Job titles harus ditetapkan secara konsisten sebagai dasar untuk: – Rekruitasi – Penetapan kompensasi – Peningkatan karir Konsep segregation/ separation of duties perlu diterapkan, untuk memastikan bahwa setiap individu tidak memiliki wewenang berlebih yang dapat menimbulkan aktivitas ilegal/ fraud. Segregation of Duties Contoh matriks Auditing IT Governance IT Governance berfokus pada proses bisnis, bukan teknologi. Audit lebih melibatkan wawancara dan review dokumen daripada observasi SI. Akibat dari IT governance yang kurang baik: – Ketidaksesuaian bagi pekerja: kerja lembur berlebihan, moral TI rendah – Performansi sistem rendah – Perangkat keras maupun perangkat lunak tidak standar – Disfungsi proyek Dokumen yang perlu di-review: IT charter, strategy, and planning; IT organization chart and job descriptions, HR/ IT employee performance, HR promotion policy, HR manuals, life-cycle processes and procedures, IT operations procedures, IT procurement process, quality management documents IT Governance on COBIT 5 IT Governance VS Management Governance ensures that stakeholder needs, conditions and options are evaluated to determine balanced, agreed-on enterprise objectives to be achieved; setting direction through prioritization and decision making; and monitoring performance and compliance against agreed-on direction and objectives. In most enterprises, governance is the responsibility of the board of directors under the leadership of the chairperson. Management plans, builds, runs and monitors activities in alignment with the direction set by the governance body to achieve the enterprise objectives. In most enterprises, management is the responsibility of the executive management under the leadership of the CEO. Governance Key Areas Evaluate, Direct, and Monitor (EDM): EDM01. Ensure governance framework setting and maintenance EDM02. Ensure benefits delivery EDM03. Ensure risk optimisation EDM04. Ensure resource optimisation EDM05. Ensure stakeholder transparency THANK YOU