The image part with relationship ID rId2 was not found in the file.

IT GOVERNANCE
IT Governance: adanya penerapan prinsip-prinsip organisasi dengan memfokuskan pada kegiatan manajemen dan penggunaan TI untuk pencapaian organisasi. IT governance pada intinya mencakup pembuatan keputusan, akuntabilitas pelaksanaan kegiatan penggunaan TI, siapa yang mengambil keputusan, dan mengatur proses pembuatan dan pengimplementasian keputusan-keputusan yang berkaitan dengan TI.

Suatu IT governance yang efektif berarti penggunaan TI pada organisasi tersebut mampu meningkatkan dan mensinergiskan antara penggunaan TI dengan visi, misi, tujuan dan nilai organisasi yang bersangkutan.

IT Governance yang efektif adalah yang mampu menjawab tiga pertanyaan berikut, yakni:  Keputusan-keputusan apa yang harus diambil untuk memastikan terlaksananya efektif manajemen dan efektif penggunaan TI?  Siapa yang harus membuat keputusankeputusan berkaitan dengan penggunaan TI?  Bagaimana keputusan-keputusan ini dibuat dan dimonitor?

Untuk mengerti, cara mendesain, melakukan proses komunikasi, dan menindaklanjuti IT Governance yang efektif adalah dengan:
 Menetapkan dengan baik dan tepat strategi organisasi  Untuk menetapkan dengan baik dan tepat strategi organisasi, maka organisasi harus memperhatikan perilaku organisasi dan pengadopsian IT dalam organisasi tersebut.

 Kemudian untuk menetapkan strategi organisasi dengan baik, juga diperlukan perhatian dan pengaturan yang baik terhadap 6 (enam) asset yang ada di organisasi tersebut, yakni: relationship asset, physical asset, Intelectual property asset, human relation asset, financial asset dan TI. Sedang bagaimanakah cara mengatur semua asset tersebut dalam IT Governance adalah dengan memperhatikan mekanisme dari IT governancenya, yakni keputusan-keputusan tentang IT nya.  Terakhir, untuk menciptakan strategi organisasi yang baik dalam kaitannya dengan penggunaan IT dalam organisasi, maka harus memperhatikan pula sasaransasaran pencapaian kerja tiap-tiap unit organisasi; yang sangat dipengaruhi oleh akuntabilitas pelaksanaan IT nya.

Best Practise for IT Governance IT Governance memadukan best practices proses perencanaan, pengelolaan, penerapan, pelaksanaan, dan pengawasan kinerja TI, untuk memastikan TI benar-benar mendukung pencapaian sasaran perusahaan. Dengan keterpaduan tersebut, diharapkan perusahaan mampu mendayagunakan informasi yang dimilikinya sehingga dapat mengoptimumkan segala sumber daya dan proses bisnis mereka untuk menjadi lebih kompetitif.

Kerangka IT Governance
Control Objectives for Information and related Technology (CoBIT) The ISOIIEC 27001 (ISO 27001) Series of Standards The IT Infrastructure Library (ITIL) The IT Baseline Protection Catalogs, or IT-Grundschutz Catalogs The Information Security Management Maturity Model (ISM3) AS8015-2005 ISOIIEC 38500:2008 Corporate Governance of Information Technology

Fokus Area IT Governance

Strategic alignment berfokus pada memastikan hubungan bisnis dan rencana TI; mendefinisikan, memelihara dan memvalidasi proposisi nilai TI, dan menyelaraskan operasi TI dengan operasi perusahaan. Value delivery adalah tentang menjalankan proposisi nilai seluruh siklus pengiriman, memastikan bahwa TI memberikan manfaat yang dijanjikan terhadap strategi, berkonsentrasi pada mengoptimalkan biaya dan membuktikan nilai intrinsik TI. Risk management membutuhkan kesadaran risiko dari pejabat perusahaan senior, pemahaman yang jelas tentang risk appetite perusahaan itu, pemahaman tentang persyaratan kepatuhan, transparansi tentang risiko yang signifikan untuk perusahaan dan menanamkan tanggung jawab manajemen risiko ke dalam organisasi.

Fokus Area IT Governance (cont)

Resource management: adalah tentang investasi yang optimal, dan pengelolaan yang tepat atas sumber daya TI yang kritis, yaitu antara lain aplikasi, informasi, infrastruktur dan orang-orang. Isu-isu kunci berkaitan dengan optimasi pengetahuan dan infrastruktur. Performance measurement: menjalankan dan memonitor implementasi atas strategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses dan pelayanan pengiriman, yaitu menggunakan, misalnya, balanced scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan yang diharapkan.

5 hal yang penting yang harus diperhatikan dalam IT Governance:

IT Principles yang menyangkut keputusan tingkat tinggi mengenai peran strategis IT untuk mendukung bisnis. IT Architecture yang meliputi serangkaian pilihan teknik IT yang terpadu untuk membantu organisasi memenuhi kebutuhan bisnisnya. IT Infrastructure meliputi penyediaan jasa IT yang terpusat dan terkoordinasi yang merupakan fondasi atas kapabilitas IT yang dimiliki suatu perusahaan Business Application IT Failure

The image part with relationship ID rId2 was not found in the file.

IT AUDIT ROLE
Audit memainkan peran penting dalam keberhasilan pelaksanaan IT governance dalam sebuah organisasi. Audit adalah posisi yang baik untuk memberikan rekomendasi praktik yang mengarah ke manajemen senior untuk membantu meningkatkan kualitas dan efektivitas pengimplementasian IT governance. Sebagai entitas yang memantau ketaatan, audit membantu memastikan ketaatan dengan pengimplementasian IT governance dalam suatu organisasi. Pemantauan terus-menerus, analisis dan evaluasi metrik terkait dengan inisiatif IT governance memerlukan sudut pandang yang independen dan seimbang.

Pelaporan IT governace melibatkan auditing di tingkat tertinggi dalam organisasi dan mungkin dapat melintasi divisi, fungsional atau batas departemen. IS auditor harus mengkonfirmasikan:

2
Hak IS auditor untuk mengakses informasi baik di dalam organisasi dan dari penyedia layanan pihak ketiga.

Strategi Sistem Informasi

 Perencanaan Strategis  Steering Committee

Perencanaan Strategis
Perencanaan startegis dalam sudut pandang IS berhubungan dengan arah jangka panjang yang mau perusahaan ambil dalam memanfaatkan teknologi informasi untuk mengembangkan proses bisnisnya. Dalam mengembangkan rencana strategis, sebaiknya perusahaan meyakinkan bahwa perencanaan tersebut sepenuhnya selaras dan konsisten dengan keseluruhan sasaran dan tujuan perusahaan.

The image part with relationship ID rId2 was not found in the file.

Perencanaan strategis IT yang efektif melibatkan: pertimbangan atas kebutuhan perusahaan akan sistem IT baru yang direvisi, serta kemampuan dari IT organisasi untuk menerapkan fungsi baru melalui proyek-proyek yang dikelola dengan baik

Pertimbangan atas Kebutuhan Sistem IT Baru

Menentukan kebutuhan akan sistem IT baru melibatkan pertimbangan sistematis atas tujuan strategis perusahaan, bagaimana tujuan strategis ini diwujudkan dalam tujuan dan inisiatif bisnis yang spesifik, serta kemampuan IT apa yang akan dibutuhkan untuk mendukung tujuan dan inisiatif ini.

Kemampuan IT Organisasi untuk Menerapkan Fungsi Baru

Dalam menilai kemampuan IT, portofolio dari sistem yang ada harus ditinjau dalam hal kecocokan fungsi, biaya dan risiko. Dalam menilai kapasitas IT tersebut melibatkan tinjauan atas infrastruktur IT teknis organisasi dan proses-proses kunci pendukung (contoh: manajemen proyek, pengembangan dan pemeliharaan software, pengamanan administrasi dan jasa pusat layanan) untuk menentukan apakah perluasan atau perbaikan diperlukan.

The image part with relationship ID rId2 was not found in the file.

Strategi Sistem Informasi

 Perencanaan Strategis  Steering Committee

The image part with relationship ID rId2 was not found in the file.

Komite ini sebaiknya melibatkan perwakilan dari manajemen senior, manajemen dari pihak penggunna teknologi (user management) dan departemen IS.

Steering Committee
Tugas dan tanggung jawab komite sebaiknya ditentukan dalam bagan formal. Komite ini biasanya berfungsi sebagai dewan peninjau umum untuk proyek-proyek besar IS dan sebaiknya tidak terlibat dalam kegiatan operasi rutin.

Fungsi Utama Steering Committee

Meninjau rencana jangka panjang dan pendek dari departemen IS untuk memastikan bahwa mereka sesuai dengan tujuan perusahaan. Meninjau dan menyetujui perolehan perangkat keras dan lunak yang penting dalam batas-batas yang disetujui oleh dewan direksi. Menyetujui dan mengawasi proyek penting dan keadaan dari anggaran dan rencana IS, menetapkan prioritas, menyetujui standar dan prosedur, serta mengawasi seluruh kinerja IS. Meninjau dan menyetujui strategi sourcing untuk semua atau kegiatan IS tertentu, termasuk insourcing atau outsourcing, serta globalisasi atau melakukan offshoring atas fungsi.

Fungsi Utama Steering Committee (cont)

Meninjau kecukupan sumber dan alokasi sumber dalam hal waktu, personel dan peralatan. Membuat keputusan sehubungan dengan sentralisasi vs. desentralisasi serta penugasan tanggung jawab. Mendukung pengembangan dan implementasi dari suatu program manajemen pengamanan informasi seluruh perusahaan. Melaporkan kepada dewan direksi mengenai kegiatan IS.

The image part with relationship ID rId2 was not found in the file.

Komite pengendalian IS sebaiknya mendapatkan informasi manajemen yang tepat dari departemen IS, dari departemen pengguna dan dari audit supaya dapat secara efektif mengkoordinasikan dan mengawasi sumber-sumber IS perusahaan. Komite sebaiknya mengawasi kinerja dan melakukan tindakan yang sesuai untuk mencapai hasil yang diinginkan. Laporan formal atas pertemuan komite pengendalian IS sebaiknya dikelola untuk mendokumentasikan kegiatan dan keputusan komite.

POLICIES AND PROCEDURES

POLICIES
Policies atau kebijakan adalah dokumen tingkat tinggi yang merepresentasikan filosofi perusahaan mengenai organisasi dan pemikiran strategik dari manajemen senior dan pemilik proses bisnis. Manajemen harus mereview semua kebijakan secara periodik. Idealnya dokumen-dokumen ini harus mencamtumkan tanggal reviewnya, yang mana IS auditor harus memeriksa ketepatannya. IS auditor harus memahami bahwa kebijakan merupakan bagian dari proses audit dan menguji kepatuhan kebijakan. Kontrol IS harus mulai dari kebijakan perusahaan dan IS auditor harus menggunakan kebijakan sebagai patokan untuk mengevaluasi kepatuhan. IS auditor juga harus mempertimbangkan sejauh mana kebijakan diaplikasikan untuk pihak ketiga atau outsourcers, kesesuaikan dengan kebijakan, dan apakah dalam kebijakan itu ada ketidaksesuaian dengan kebijakan perusahaan.

Information Security Policy Document

Dokumen kebijakan itu harus memuat: A definition of information security, A statement of management intent, A framework for setting control objectives and controls, A brief explanation, A definition of general and specific responsibilities, References to documentation which may support the policy. Berdasarkan pada kebutuhan dan kesesuaian organisasi dapat mendokumentasikan kebijakan keamanan informasi sebagai seperangkat kebijakan. kelompok-kelompok kebijakan berikut yang umumnya ditujukan: High-Level Information Security Policy Data Classification Policy Acceptable Usage Policy Access Control Policies

The image part with relationship ID rId2 was not found in the file.

Penggunaan sumber daya IT yang tidak pantas oleh pengguna mengekpos resiko perusahaan, Ini adalah praktek umum yang membutuhkan anggota baru dari perusahaan untuk menandatangani sebuah pengakuan sebelum menerima akses ke sistem informasi. Pengakuan ini disebut acceptable use policy (AUP). AUP ini membuat pedoman atau aturan yang diberlakukan oleh perusahaan untuk mengontrol bagaimana sumber daya sistem informasi akan digunakan.

Review of The Information Security Policy

Ketika mereview kebijakan itu IS auditor perlu melakukan penilaian berikut:  Dasar kebijakan yang telah ditetapkan-umumnya, itu didasarkan pada proses manajemen resiko.  Ketepatan dari kebijakan-kebijakan  Isi kebijakan  Pengecualian untuk kebijakan, dengan jelas mencatat di area mana kebijakan tidak dapat diaplikasikan dan mengapa (misalnya, kebijakan password mungkin tidak compatible dengan aplikasi terdahulu)  Proses persetujuan kebijakan  Efektivitas dari implementasi kebijakan  Kesadaran dan pelatihan  Review periodik dan proses pembaharuan.

PROSEDUR
Prosedur adalah langkah-langkah rinci yang didefinisikan dan didokumentasikan untuk pelaksanaan kebijakan. Pihak yang mereview harus menjaga independensi setiap saat dan tidak terpengaruh oleh siapapun dalam kelompok yang direview. Ulasan dapat dilakukan sebagai bagian dari fungsi IT, mengimplementasikan Software Engineering Institute's Capability Maturity Model (CMM), lnformation Technology Infrastructure Library (ITIL) atau ISO standards.

THE END
Thank You for Listening