it governance and risk management

advertisement
IT Governance and Risk Management
CDG4I3 / Audit Sistem Informasi
Angelina Prima K | Gede Ary W.
KK SIDE - 2015
Overview
1.
IT strategic planning
2.
IT policies, standards, processes and procedures
3.
Risk management
4.
IT management practices
5.
Organization structure and responsibilities
6.
Auditing IT governance
Definition
Governance: proses pengendalian strategis fungsi-fungsi
bisnis oleh senior management melalui policies, objectives,
delegation of authority, dan measurement.
Biasanya dilakukan oleh IT steering committee yang
bertanggung jawab dalam menentukan long-term IT strategy,
dan melakukan perubahan-perubahan untuk memastikan
bahwa proses-proses TI dapat terus berjalan untuk
mendukung strategi TI dan kebutuhan organisasi.
Tujuan IT Governance: menyelaraskan organisasi TI dengan
kebutuhan bisnis, melalui sekumpulan aktivitas top-down
untuk mengendalikan organisasi TI dari perspektif strategis.
IT governance biasanya fokus pada beberapa proses utama,
mis. Manajemen SDM, manajemen perubahan, keuangan,
manajemen kualitas, keamanan, dan optimisasi performansi.
1. IT Strategic Planning
Rencana strategis yang baik dapat menjawab
pertanyaan what to do, bahkan dalam jangka
panjang
Perencanaan strategis harus menjadi bagian dari
proses perencanaan formal. Peran dan tanggung
jawab perencanaan harus dilakukan oleh pihak
yang spesifik.
Rencana strategis TI harus dapat memberikan
kepastian pemenuhan layanan TI sesuai dengan
kebutuhan bisnis yang diharapkan oleh organisasi.
IT Steering Committee
IT steering
committee biasanya
mendiskusikan
kondisi organisasi di
masa depan dan
bagaimana organisasi
TI dapat memenuhi
kebutuhan tersebut.
IT steering
committee biasanya
terdiri atas manajermanajer senior dan
pelanggan/
constituents
utama.
2. Policies, Processes, Procedures, and Standards
Policies, procedures, and standards menjelaskan perilaku
organisasional TI dan penggunaan teknologi di dalamnya.
Biasanya dalam bentuk tertulis, menjelaskan tentang
bagaimana organisasi TI memberikan layanan yang
mendukung organisasi.
IT Policies
IT policies biasanya berisi:
– Roles and responsibilities: menjelaskan peran dan
tanggung jawab departemen TI dan pembagiannya.
– Development practices: menjelaskan proses-proses
untuk membangun PL dalam organisasi, termasuk
metodologi, pengujian, dan penilaian kualitasnya.
– Operational practices: menjelaskan proses umum
operasional TI, mis. service desk, backups, system
monitoring, metrics, dan aktivitas harian lainnya.
– IT processes, documents, and records: menentukan
pula proses-proses TI lainnya, termasuk manajemeninsiden,
manajemen proyek, dan operasi pendukung; serta
menjelaskan pengelolaan dan penyimpanan dokumen
(prosedur dan rekaman)
Procedures
Dokumen prosedur, sering disebut juga SOP (standard
operating procedures), menjelaskan langkah-langkah detail
dari proses dan tugas TI. Dokumen prosedur formal
memastikan bahwa tugas-tugas telah dilakukan dengan
konsisten dan benar, bahkan jika dilakukan oleh staf TI yang
berbeda-beda.
Data tambahan yang harus ada:
– Document revision information: nama penulis dokumen dan
revisinya, nama/ lokasi resmi dokumen.
– Review and approval: nama manajer yang terakhir me-review
dan menyetujui dokumen prosedur.
– Dependencies: prosedur lain yang terkait, baik yang
dipengaruhi maupun yang mempengaruhi prosedur tersebut.
Mis. Dokumen yang menjelaskan proses backup, dipengaruhi
oleh dokumen manajemen dan pemeliharaan basis data, serta
mempengaruhi dokumen penanganan media.
Standards
Merupakan pernyataan resmi yang disetujui manajemen, yang menyatakan
teknologi, protokol, supplier, dan metode yang digunakan oleh
organisasi TI. Standar membantu mengarahkan konsistensi dalam organisasi TI,
sehingga organisasi dapat berjalan efektif dan efisien dari sisi biaya.
Beberapa standar yang dimiliki organisasi TI:
– Technology standards menyatakan teknologi PL dan PK apa yang digunakan dalam
organisasi TI. Mis. OS, DBMS, server, sistem penyimpanan, media backup, dll.
– Protocol standards menentukan protokol yang digunakan dalam organisasi. Mis. TCP/IP
v6 untuk jaringan internal, GRP routing protocols, FTP, dll.
– Supplier standards menyatakan supplier dan vendor mana yang digunakan, untuk
menjamin ketersediaan barang dan layanan yang dibutuhkan dalam organisasi TI.
– Methodology standards menyatakan praktek-praktek yang diterapkan pada berbagai
proses, termasuk pengembangan PL, administrasi sistem, rekayasa jaringan, dll.
– Configuration standards menentukan konfigurasi detail yang diterapkan pada server,
DBMS, end-user workstations, perangkat jaringan, dll
– Architecture standards berupa arsitektur teknologi pada level basis data, sistem, atau
jaringan. Organisasi dapat membangun arsitektur di beberapa setting standar.
3. Risk Management
Yaitu aktivitas yang mencari, mengidentifikasi, dan mengelola
resiko dalam operasional organisasi untuk mendukung seluruh
sasaran bisnis.
Aksi yang dapat dilakukan:
– Accept: menerima resiko apa adanya
– Mitigate: melakukan aksi untuk mengurangi dampak resiko
– Transfer: membagi resiko dengan entitas lain, mis. perusahaan asuransi
– Avoid: tidak melanjutkan aktivitas yang beresiko
Siklus hidup manajemen resiko:
The Risk Management Process
1.
Asset identification
– Mis. Bangunan, perangkat, rekaman, informasi, tenaga kerja, dll
2.
–  termasuk pengelompokan dan identifikasi sumber data aset.
Risk Analysis
– Risk = probability x impact
3.
– Memerlukan kemampuan untuk estimasi impact dan probability.
Risk treatment
Seringkali tidak semua resiko dapat dimitigasi maupun
dihapuskan, sehingga perlu strategi untuk memilih
kombinasi solusi agar dampak dari resiko dapat dikurangi
4. IT Management Practices
Terdiri atas:
Personnel management: rekruitasi, deskripsi kerja,
pelatihan, jalur karir, ukuran performansi, promosi, mutasi,
hingga pemberhentian
Sourcing: insourcing, outsourcing, hybrid
Change management: request, review, approve,
perform, verify change
Financial management: terutama pilihan untuk makebuy-or-rent
Quality management
Security management
Performance and capacity management
Outsourcing
Alasan:
– Durasi proyek  membutuhkan orang dlm jangka waktu terbatas
– Kemampuan tinggi dan spesifik terlalu mahal jika harus
insourcing
– Variasi akan kebutuhan tenaga kerja cukup tinggi
– High turnover
– Fokus pada aktivitas-aktivitas utama
– Alasan finansial
Contoh fungsi-fungsi yang sering dipenuhi dengan outsource:
IT helpdesk and support, Software development, Software
maintenance, Customer support
Resiko outsourcing:
– Kualitas kerja dan performansi harus diawasi dengan ketat
– Integritas pekerja rendah
– Tidak mendukung keunggulan kompetitif
5. Organization Structure and
Responsibilities
Contoh:
Roles and
Responsibilities
Beberapa peran dalam organisasi:
– Executive management:
CIO, CTO, CSO, CISO, CPO
– Owner
– Manager
– User
Job titles harus ditetapkan secara konsisten sebagai dasar untuk:
– Rekruitasi
– Penetapan kompensasi
– Peningkatan karir
Konsep segregation/ separation of duties perlu diterapkan, untuk
memastikan bahwa setiap individu tidak memiliki wewenang berlebih
yang dapat menimbulkan aktivitas ilegal/ fraud.
Segregation of Duties
Contoh matriks
Auditing IT Governance
IT Governance berfokus pada proses bisnis, bukan teknologi. Audit
lebih melibatkan wawancara dan review dokumen daripada
observasi SI.
Akibat dari IT governance yang kurang baik:
– Ketidaksesuaian bagi pekerja: kerja lembur berlebihan, moral TI rendah
– Performansi sistem rendah
– Perangkat keras maupun perangkat lunak tidak standar
– Disfungsi proyek
Dokumen yang perlu di-review: IT charter, strategy, and planning;
IT organization chart and job descriptions, HR/ IT employee
performance, HR promotion policy, HR manuals, life-cycle processes
and procedures, IT operations procedures, IT procurement process,
quality management documents
IT Governance on COBIT 5
IT Governance VS Management
Governance ensures that stakeholder needs, conditions and
options are evaluated to determine balanced, agreed-on
enterprise objectives to be achieved; setting direction
through prioritization and decision making; and monitoring
performance and compliance against agreed-on direction and
objectives.
In most enterprises, governance is the responsibility of the board
of directors under the leadership of the chairperson.
Management plans, builds, runs and monitors activities in
alignment with the direction set by the governance body to
achieve the enterprise objectives.
In most enterprises, management is the responsibility of the
executive management under the leadership of the CEO.
Governance
Key Areas
Evaluate, Direct, and Monitor (EDM):
EDM01. Ensure governance framework setting and maintenance
EDM02. Ensure benefits delivery
EDM03. Ensure risk optimisation
EDM04. Ensure resource optimisation
EDM05. Ensure stakeholder transparency
THANK YOU
Download