1. Berikan contoh dari
setiap aspek yang terdapat pada IT governance dan risk management.
Dalam aspek IT Governance contoh yang bisa diambil adalah
dalam hal tata kelola IT yang fokus utamanya adalah :
- Penyelarasan Strategis
(Strategic Alignment) Memfokuskan kepastian terhadap keterkaitan antara
strategi bisnis dan TI serta penyelarasan antara operasional TI dengan bisnis.
- Penyampaian Nilai
(Value Delivery) Mencakup hal-hal yang terkait dengan penyampaian nilai yang
memastikan bahwa TI memenuhi manfaat yang dijanjikan dengan memfokuskan pada
pengoptimalan biaya dan pembuktian nilai hakiki akan keberadaan TI.
- Pengelolaan Sumber
Daya (Resource Management) Berkaitan dengan pengoptimalan investasi yang
dilakukan dan pengelolaan secara tepat dari sumber daya TI yang kritis mencakup
: aplikasi, informasi, infrastruktur dan Sumber Daya Manusia (SDM). Isu kunci
area ini berhubungan dengan pengoptimalan pengetahuan dan infrastruktur.
- Pengelolaan Resiko
(Risk Management) Membutuhkan kepekaan akan resiko oleh manajemen senior,
pemahaman yang jelas akan perhatian perusahaan terhadap keberadaan resiko,
pemahaman kebutuhan akan kepatutan, transparansi akan resiko yang signifikan
terhadap proses bisnis perusahaan dan tanggung jawab pengelolaan resiko ke
dalam organisasi itu sendiri.
- Pengukuran Kinerja
(Performance Measurement) Penelusuran dan pengawasan implementasi dari
strategi, pemenuhan proyek yang berjalan, penggunaan sumber daya, kinerja
proses dan penyampaian layanan dengan menggunakan kerangka kerja seperti
Balanced Scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai
tujuan terukur dibandingkan dengan akuntansi konvensional.
Dalam
aspek Risk Management contoh yang bisa diambil adalah hal keamanan yakni
diklasifikasikan menjadi 4 lubang keamanan :
- Keamanan Yang Bersifat
Fisik (physical security) :termasuk akses orang ke gedung,peralatan, dan media
yang digunakan.
- Keamanan Yang
Berhubungan Dengan Orang (Personel) : termasuk identifikasi, dan profil resiko
dari orang yang mempunyai akses (pekerja).
- Keamanan dari data
media serta teknik komnukasi(Communication) : termasuk juga kelemahan dalam
software yang digunakan untuk mengelola data.
- Keamanan dalam Operasi
: Termasuk kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan
mengelola sistem keamanan dan juga termasuk prosedur setelah serangan (post
Attack Recovery).
2.
Jelaskan
langkah-langkah pada auditing IT governance.
- Identifikasi
dan dokumentasi
Layaknya
audit umum, identifikasi dan dukumentasi adalah keharusan. Hal ini bisa
dilakukan dengan menjalankan survei maupun observasi ke lapangan sehingga audit
bisa lebih objektif dan akurat.
- Tes
subtantif
Tes substansi merupakan tes yang dijalankan untuk mengetahui “isi”
secara lebih mendalam. Dalam tes ini ada dua tipe yang bisa dijalankan:
signifikan alias ditelusur secara lebih mendalam; atau terbatas.
- Evaluasi
Setelah melakukan tes substantif, audit TI bisa menjalankan
evaluasi berdasarkan hasil temuan. Di tahap ini kembali dicek apakah kinerja
perusahaan efektif atau tidak. Kalau efektif berarti memenuhi syarat untuk
dilanjutkan ke tahap selanjutnya. Namun kalau tidak efektif, lakukan lagi tes
substantif.
- Penilaian
Mutu/ Kesimpulan
Di langkah terakhir ini akan terlihat apakah mutunya terjamin atau
tidak. Jelas
audit TI bukanlah tindakan yang bisa dilakukan secara asal dan instan.
Ketelitian auditor menjadi ujung tombaknya. Selain itu tentu saja, tujuan
dan langkah-langkah tersebut harus dilakukan secara konsekuen.
3. Jelaskan audit IT
pada domain EDM (Evaluate, Direct, and Monitor), APO (Align, Plan and
Organise), BAI (Build, Acquire and Implement), DSS (Deliver, Service and
Support), dan MEA (Monitor, Evaluate, and Assess).
- EDM (Evaluate, Direct,
and Monitor)
Proses
tata kelola ini berurusan dengan tujuan tata pemangku kepentingan dalam
melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan
kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan
kepada TI dan pemantauan hasilnya. Berikut domain proses EDM:
a) EDM01 Ensure
Governance Framework Setting and Maintenance (Memastikan Pengaturan dan
Pemeliharaan Kerangka Tata Kelola)
b) EDM02 Ensure
Benefits Delivery (Memastikan Memberi Manfaat)
c) EDM03 Ensure Risk
Optimisation (Memastikan Pengoptimalan Risiko)
d) EDM04 Ensure
Resource Optimisation (Memastikan Pengoptimalan Sumber Daya)
e) EDM05 Ensure
Stakeholder Transparency (Memastikan Transparansi Pemangku Kepentingan)
- APO (Align, Plan, and
Organise)
Memberikan arah untuk pengiriman solusi (BAI) dan penyediaan
layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan
mengidentifikasi kekhawatiran cara terbaik TI agar dapat berkontribusi pada
pencapaian tujuan bisnis. Realisasi visi strategis perlu direncanakan,
dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi
yang tepat, serta infrastruktur teknologi, harus dimasukkan ke dalam tempatnya.
Berikut domain proses APO:
a) APO01 Manage The IT
Management Framework (Mengelola Kerangka Manajemen TI)
b) APO02 Manage
Strategy (Mengelola Strategi)
c) APO03 Manage
Enterprise Architecture (Mengelola Arsitektur Bisnis)APO04 Manage
Innovation (Mengelola Perubahan)
d) APO05 Manage
Portfolio (Mengelola Dokumen)
e) APO06 Manage Budget
and Costs (Mengelola Anggaran dan Biaya)
f) APO07 Manage Human Resources (Mengelola Sumber Daya
Manusia)
g) APO08 Manage
Relationships (Mengelola Relasi)
h) APO09 Manage
Service Agreements (Mengelola Perjanjian Layanan)
i) APO10 Manage Suppliers (Mengelola Pemasok)
j) APO11 Manage Quality (Mengelola Kualitas)
k) APO12 Manage
Risk (Mengelola Risiko)
l) APO13 Manage Security (Mengelola Keamanan)
- BAI (Build, Acquire, and
Implement)
Memberikan solusi dan melewatinya sehingga akan berubah menjadi
layanan. Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi,
dikembangkan atau diperoleh, serta diimplementasikan dan terintegrasi ke dalam
proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga dicakup oleh
domain ini, untuk memastikan bahwa solusi terus memenuhi tujuan bisnis. Berikut
domain proses BAI:
a) BAI01 Manage
Programmes and Project (Mengelola Program Dan Proyek)
b) Manage Requirements
Definition (Mengelola Definisi Persyaratan)
c) BAI03 Manage
Solutions Identification and Build (Mengelola Identifikasi Solusi dan
Pembangunan)
d) BAI04 Manage
Availability and Capacity (Mengelola Ketersediaan dan Kapasitas)
e) BAI05 Manage
Organisational Change Enablement (Mengelola Pemberdayaan Organisasi
Perubahan)
f) BAI06 Manage Changes (Mengelola Perubahan)
g) BAI07 Manage Change
Acceptance and Transitioning (Mengelola Penerimaan Perubahan dan Transisi)
h) BAI08 Manage
Knowledge (Mengelola Pengetahuan)
i) BAI09 Manage Assets (Mengelola Kepemilikan)
j) BAI10 Manage Configuration (Mengelola Susunan)
- DSS (Deliver,
Service, and Support)
Menerima solusi dan dapat digunakan bagi pengguna akhir. Domain
ini berkaitan dengan pengiriman aktual dan dukungan layanan yang dibutuhkan,
yang meliputi pelayanan, pengelolaan keamanan dan kelangsungan, dukungan
layanan bagi pengguna, dan manajemen data dan fasilitas operasional. Berikut
domain proses DSS:
a) DSS01 Manage
Operations (Mengelola Operasi)
b) DSS02 Manage
Service Requests and Incidents (Mengelola Layanan Permohonan dan
Kecelakaan)
c) DSS03 Manage
Problems (Mengelola Masalah)
d) DSS04 Manage
Continuity (Mengelola Keberlangsungan)
e) DSS05 Manage
Security Services (Mengelola Jasa Keamanan)
f) DSS06 Manage Business Process Controls (Mengelola Kontrol Proses Bisnis)
- MEA (Monitor, Evaluate,
and Assess)
Monitor semua proses untuk memastikan bahwa arah yang disediakan
diikuti. Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk
mengontrol kualitas dan kepatuhan mereka. Domain ini tertuju pada manajemen
kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan
tata kelola. Berikut domain proses MEA:
a) MEA01 Monitor,
Evaluate and Assess Performance and Conformance (Memantau, Evaluasi dan
Menilai Kinerja Dan Penyesuaian)
b) MEA02 Monitor,
Evaluate and Assess The System of Internal Control (Memantau, Evaluasi dan
Menilai Sistem Pengendalian Internal)
c) MEA03 Monitor,
Evaluate and Assess Compliance with External Requirements (Memantau,
Evaluasi dan Menilai Kepatuhan dengan Persyaratan Eksternal)
Source :
https://blog.gamatechno.com/tujuan-langkah-audit-teknologi-informasi/
https://zulfikarfarros.blogspot.com/2019/11/contoh-dari-setiap-aspek-yang-terdapat.html
https://zulfikarfarros.blogspot.com/2019/11/penjelasan-audit-it-pada-domain-edm-apo.html
