Click to edit Master subtitle style 4 /3 0 /1 2
IT GOVERNANCE AND
RISK MANAGEMENT
APK -IT Telkom, 20124 /3 0 /1 2
Overview
1. IT strategic planning2. IT policies, standards, processes and procedures 3. Risk management
4. IT management practices
5. Organization structure and responsibilities 6. Auditing IT governance
4 /3 0 /1 2
Definition
• Governance: proses pengendalian strategis
fungsi-fungsi bisnis oleh senior management melalui policies, objectives, delegation of authority, dan measurement.
• Biasanya dilakukan oleh IT steering committee yang
bertanggung jawab dalam menentukan long-term IT strategy, dan melakukan perubahan-perubahan untuk memastikan bahwa proses-proses TI dapat terus
berjalan untuk mendukung strategi TI dan kebutuhan organisasi.
• Tujuan IT Governance: menyelaraskan organisasi TI
dengan kebutuhan bisnis, melalui sekumpulan aktivitas top-down untuk mengendalikan organisasi TI dari
perspektif strategis.
• IT governance biasanya fokus pada beberapa proses
utama, mis. Manajemen SDM, manajemen perubahan, keuangan, manajemen kualitas, keamanan, dan
4 /3 0 /1 2
1. IT Strategic Planning
• Rencana strategis yang baik dapat menjawab
pertanyaan what to do, bahkan dalam jangka panjang
• Perencanaan strategis harus menjadi bagian dari
proses perencanaan formal. Peran dan tanggung jawab perencanaan harus dilakukan oleh pihak yang spesifik.
• Rencana strategis TI harus dapat memberikan
kepastian pemenuhan layanan TI sesuai dengan kebutuhan bisnis yang diharapkan oleh organisasi.
4 /3 0 /1 2
IT Steering Committee
• IT steering committee biasanya mendiskusikan kondisi organisasi di masa depan dan bagaimana organisasi TI dapat memenuhi kebutuhan tersebut. • IT steering committee biasanya terdiri atas manajer-manajer senior dan pelanggan/ constituents utama.4 /3 0 /1 2
2. Policies, Processes,
Procedures, and Standards
• Policies, procedures, and standards menjelaskan
perilaku organisasional TI dan penggunaan teknologi di dalamnya. Biasanya dalam bentuk
tertulis, menjelaskan tentang bagimana organisasi TI memberikan layanan yang mendukung organisasi.
4 /3 0 /1 2
IT Policies
• IT policies biasanya berisi:
• Roles and responsibilities: menjelaskan peran dan
tanggung jawab departemen TI dan pembagiannya.
• Development practices: menjelaskan proses-proses
untuk membangun PL dalam organisasi, termasuk metodologi, pengujian, dan penilaian kualitasnya.
• Operational practices: menjelaskan proses umum
operasional TI, mis. service desk, backups, system monitoring, metrics, dan aktivitas harian lainnya.
• IT processes, documents, and records: menentukan
pula proses-proses TI lainnya, termasuk
manajemeninsiden, manajemen proyek, dan operasi pendukung; serta menjelaskan pengelolaan dan
4 /3 0 /1 2
Procedures
• Dokumen prosedur, sering disebut juga SOP (standard
operating procedures), menjelaskan langkah-langkah detail dari proses dan tugas TI. Dokumen prosedur
formal memastikan bahwa tugas-tugas telah dilakukan dengan konsisten dan benar, bahkan jika dilakukan
oleh staf TI yang berbeda-beda.
• Data tambahan yang harus ada:
• Document revision information: nama penulis dokumen
dan revisinya, nama/ lokasi resmi dokumen.
• Review and approval: nama manajer yang terakhir
me-review dan menyetujui dokumen prosedur.
• Dependencies: prosedur lain yang terkait, baik yang
dipengaruhi maupun yang mempengaruhi prosedur
tersebut. Mis. Dokumen yang menjelaskan proses backup, dipengaruhi oleh dokumen manajemen dan pemeliharaan basis data, serta mempengaruhi dokumen penanganan media.
4 /3 0 /1 2
Standards
• Merupakan pernyataan resmi yang disetujui manajemen, yang
menyatakan teknologi, protokol, supplier, dan metode yang digunakan oleh organisasi TI. Standar membantu
mengarahkan konsistensi dalam organisasi TI, sehingga organisasi dapat berjalan efektif dan efisien dari sisi biaya.
• Beberapa standar yang dimiliki organisasi TI:
• Technology standards menyatakan teknologi PL dan PK apa yang
digunakan dalam organisasi TI. Mis. OS, DBMS, server, sistem penyimpanan, media backup, dll.
• Protocol standards menentukan protokol yang digunakan dalam
organisasi. Mis. TCP/IP v6 untuk jaringan internal, GRP routing
protocols, FTP, dll.
• Supplier standards menyatakan supplier dan vendor mana yang
digunakan, untuk menjamin ketersediaan barang dan layanan yang dibutuhkan dalam organisasi TI.
• Methodology standards menyatakan praktek-praktek yang
diterapkan pada berbagai proses, termasuk pengembangan PL, administrasi sistem, rekayasa jaringan, dll.
• Configuration standards menentukan konfigurasi detail yang
diterapkan pada server, DBMS, end-user workstations, perangkat jaringan, dll
• Architecture standards berupa arsitektur teknologi pada level
basis data, sistem, atau jaringan. Organisasi dapat membangun arsitektur di beberapa setting standar.
4 /3 0 /1 2
3. Risk Management
• Yaitu aktivitas yang mencari, mengidentifikasi, dan
mengelola resiko dalam operasional organisasi untuk mendukung seluruh sasaran bisnis.
• Aksi yang dapat dilakukan:
• Accept: menerima resiko apa adanya
• Mitigate: melakukan aksi untuk mengurangi dampak resiko • Transfer: membagi resiko dengan entitas lain, mis.
perusahaan asuransi
• Avoid: tidak melanjutkan aktivitas yang beresiko
4
/3
0
/1
2
The Risk Management
Process
1. Asset identification
• Mis. Bangunan, perangkat, rekaman, informasi, tenaga
kerja, dll
• termasuk pengelompokan dan identifikasi sumber data
aset.
2. Risk Analysis
• Risk = probability x impact
• Memerlukan kemampuan untuk estimasi impact dan
probability.
3. Risk treatment
•. Seringkali tidak semua resiko dapat dimitigasi
maupun dihapuskan, sehingga perlu strategi untuk memilih kombinasi solusi agar dampak dari resiko dapat dikurangi
4 /3 0 /1 2
4. IT Management Practices
Terdiri atas:• Personnel management: rekruitasi, deskripsi kerja,
pelatihan, jalur karir, ukuran performansi, promosi, mutasi, hingga pemberhentian
• Sourcing: insourcing, outsourcing, hybrid
• Change management: request, review, approve,
perform, verify change
• Financial management: terutama pilihan untuk
make-buy-or-rent
• Quality management • Security management
4 /3 0 /1 2
Outsourcing
• Alasan:• Durasi proyek membutuhkan orang dlm jangka waktu
terbatas
• Kemampuan tinggi dan spesifik terlalu mahal jika harus
insourcing
• Variasi akan kebutuhan tenaga kerja cukup tinggi • High turnover
• Fokus pada aktivitas-aktivitas utama • Alasan finansial
• Contoh fungsi-fungsi yang sering dipenuhi dengan
outsource: IT helpdesk and support, Software development, Software maintenance, Customer support
• Resiko outsourcing:
• Kualitas kerja dan performansi harus diawasi dengan ketat • Integritas pekerja rendah
4 /3 0 /1 2
5. Organization Structure
and Responsibilities
• Contoh:4 /3 0 /1 2
Roles and
Responsibilities
• Beberapa peran dalam organisasi:
• Executive management:
CIO, CTO, CSO, CISO, CPO
• Owner • Manager • User
• Job titles harus ditetapkan secara konsisten sebagai
dasar untuk: • Rekruitasi
• Penetapan kompensasi • Peningkatan karir
• Konsep segregation/ separation of duties perlu
diterapkan, untuk memastikan bahwa setiap individu tidak memiliki wewenang berlebih yang dapat
4 /3 0 /1 2
Segregation of Duties
• Contoh matriks4 /3 0 /1 2
Auditing IT Governance
• IT Governance berfokus pada proses bisnis, bukan
teknologi. Audit lebih melibatkan wawancara dan review dokumen daripada observasi SI.
• Akibat dari IT governance yang kurang baik:
• Ketidaksesuaian bagi pekerja: kerja lembur berlebihan,
moral TI rendah
• Performansi sistem rendah
• Perangkat keras maupun perangkat lunak tidak standar • Disfungsi proyek
• Dokumen yang perlu di-review: IT charter, strategy,
and planning; IT organization chart and job
descriptions, HR/ IT employee performance, HR
promotion policy, HR manuals, life-cycle processes and procedures, IT operations procedures, IT procurement process, quality management documents
4 /3 0 /1 2
IT Governance on COBIT 5
4 /3 0 /1 2
IT Governance VS
Management
Governance ensures that stakeholder needs,
conditions and options are evaluated to determine balanced, agreed-on enterprise objectives to be achieved; setting direction through prioritization and decision making; and monitoring performance and compliance against agreed-on direction and objectives.
• In most enterprises, governance is the responsibility of
the board of directors under the leadership of the chairperson.
Management plans, builds, runs and monitors activities in alignment with the direction set by the governance body to achieve the enterprise objectives.
• In most enterprises, management is the responsibility
of the executive management under the leadership of the CEO.
4
/3
0
/1
2
Governance and Management
Key Areas
• Evaluate, Direct, and Monitor (EDM):
EDM01. Ensure governance framework setting and maintenance
EDM02. Ensure benefits delivery EDM03. Ensure risk optimisation
EDM04. Ensure resource optimisation
4
/3
0
/1
4
/3
0
/1
4
/3
0
/1
4 /3 0 /1 2