IT GOVERNANCE AND RISK MANAGEMENT

Transkripsi

1 IT GOVERNANCE AND RISK MANAGEMENT Click to edit Master subtitle style - APK - IT Telkom, 2012

2 Overview 1. IT strategic planning 2. IT policies, standards, processes and procedures 3. Risk management 4. IT management practices 5. Organization structure and responsibilities 6. Auditing IT governance

3 IT governance biasanya fokus pada beberapa proses utama, mis. Manajemen SDM, manajemen perubahan, keuangan, manajemen kualitas, keamanan, dan Definition Governance: proses pengendalian strategis fungsifungsi bisnis oleh senior management melalui policies, objectives, delegation of authority, dan measurement. Biasanya dilakukan oleh IT steering committee yang bertanggung jawab dalam menentukan long-term IT strategy, dan melakukan perubahan-perubahan untuk memastikan bahwa proses-proses TI dapat terus berjalan untuk mendukung strategi TI dan kebutuhan organisasi. Tujuan IT Governance: menyelaraskan organisasi TI dengan kebutuhan bisnis, melalui sekumpulan aktivitas top-down untuk mengendalikan organisasi TI dari perspektif strategis.

4 1. IT Strategic Planning Rencana strategis yang baik dapat menjawab pertanyaan what to do, bahkan dalam jangka panjang Perencanaan strategis harus menjadi bagian dari proses perencanaan formal. Peran dan tanggung jawab perencanaan harus dilakukan oleh pihak yang spesifik. Rencana strategis TI harus dapat memberikan kepastian pemenuhan layanan TI sesuai dengan kebutuhan bisnis yang diharapkan oleh organisasi.

5 IT Steering Committee IT steering committee biasanya mendiskusikan kondisi organisasi di masa depan dan bagaimana organisasi TI dapat memenuhi kebutuhan tersebut. IT steering committee biasanya terdiri atas manajer-manajer senior dan pelanggan/ constituents utama.

6 2. Policies, Processes, Procedures, and Standards Policies, procedures, and standards menjelaskan perilaku organisasional TI dan penggunaan teknologi di dalamnya. Biasanya dalam bentuk tertulis, menjelaskan tentang bagimana organisasi TI memberikan layanan yang mendukung organisasi.

7 IT Policies IT policies biasanya berisi: Roles and responsibilities: menjelaskan peran dan tanggung jawab departemen TI dan pembagiannya. Development practices: menjelaskan proses-proses untuk membangun PL dalam organisasi, termasuk metodologi, pengujian, dan penilaian kualitasnya. Operational practices: menjelaskan proses umum operasional TI, mis. service desk, backups, system monitoring, metrics, dan aktivitas harian lainnya. IT processes, documents, and records: menentukan pula proses-proses TI lainnya, termasuk manajemeninsiden, manajemen proyek, dan operasi pendukung; serta menjelaskan pengelolaan dan penyimpanan dokumen (prosedur dan rekaman)

8 Procedures Dokumen prosedur, sering disebut juga SOP (standard operating procedures), menjelaskan langkah-langkah detail dari proses dan tugas TI. Dokumen prosedur formal memastikan bahwa tugas-tugas telah dilakukan dengan konsisten dan benar, bahkan jika dilakukan oleh staf TI yang berbeda-beda. Data tambahan yang harus ada: Document revision information: nama penulis dokumen dan revisinya, nama/ lokasi resmi dokumen. Review and approval: nama manajer yang terakhir mereview dan menyetujui dokumen prosedur. Dependencies: prosedur lain yang terkait, baik yang dipengaruhi maupun yang mempengaruhi prosedur tersebut. Mis. Dokumen yang menjelaskan proses backup, dipengaruhi oleh dokumen manajemen dan pemeliharaan basis data, serta mempengaruhi dokumen penanganan

9 Standards Merupakan pernyataan resmi yang disetujui manajemen, yang menyatakan teknologi, protokol, supplier, dan metode yang digunakan oleh organisasi TI. Standar membantu mengarahkan konsistensi dalam organisasi TI, sehingga organisasi dapat berjalan efektif dan efisien dari sisi biaya. Beberapa standar yang dimiliki organisasi TI: Technology standards menyatakan teknologi PL dan PK apa yang digunakan dalam organisasi TI. Mis. OS, DBMS, server, sistem penyimpanan, media backup, dll. Protocol standards menentukan protokol yang digunakan dalam organisasi. Mis. TCP/IP v6 untuk jaringan internal, GRP routing protocols, FTP, dll. Supplier standards menyatakan supplier dan vendor mana yang digunakan, untuk menjamin ketersediaan barang dan layanan yang dibutuhkan dalam organisasi TI. Methodology standards menyatakan praktek-praktek yang diterapkan pada berbagai proses, termasuk pengembangan PL, administrasi sistem, rekayasa jaringan, dll.

10 3. Risk Management Yaitu aktivitas yang mencari, mengidentifikasi, dan mengelola resiko dalam operasional organisasi untuk mendukung seluruh sasaran bisnis. Aksi yang dapat dilakukan: Accept: menerima resiko apa adanya Mitigate: melakukan aksi untuk mengurangi dampak resiko Transfer: membagi resiko dengan entitas lain, mis. perusahaan asuransi Avoid: tidak melanjutkan aktivitas yang beresiko Siklus hidup manajemen resiko:

11 The Risk Management Process 1. Asset identification Mis. Bangunan, perangkat, rekaman, informasi, tenaga kerja, dll termasuk pengelompokan dan identifikasi sumber data aset. 2. Risk Analysis Risk = probability x impact Memerlukan kemampuan untuk estimasi impact dan probability. 3. Risk treatment. Seringkali tidak semua resiko dapat dimitigasi maupun dihapuskan, sehingga perlu strategi untuk memilih kombinasi solusi agar dampak dari resiko dapat dikurangi

12 4. IT Management Practices Terdiri atas: Personnel management: rekruitasi, deskripsi kerja, pelatihan, jalur karir, ukuran performansi, promosi, mutasi, hingga pemberhentian Sourcing: insourcing, outsourcing, hybrid Change management: request, review, approve, perform, verify change Financial management: terutama pilihan untuk makebuy-or-rent Quality management Security management Performance and capacity management

13 Outsourcing Alasan: Durasi proyek membutuhkan orang dlm jangka waktu terbatas Kemampuan tinggi dan spesifik terlalu mahal jika harus insourcing Variasi akan kebutuhan tenaga kerja cukup tinggi High turnover Fokus pada aktivitas-aktivitas utama Alasan finansial Contoh fungsi-fungsi yang sering dipenuhi dengan outsource: IT helpdesk and support, Software development, Software maintenance, Customer support

14 5. Organization Structure and Responsibilities Contoh:

15 Roles and Responsibilities Beberapa peran dalam organisasi: Executive management: CIO, CTO, CSO, CISO, CPO Owner Manager User Job titles harus ditetapkan secara konsisten sebagai dasar untuk: Rekruitasi Penetapan kompensasi Peningkatan karir Konsep segregation/ separation of duties perlu

16 Segregation of Duties Contoh matriks

17 Auditing IT Governance IT Governance berfokus pada proses bisnis, bukan teknologi. Audit lebih melibatkan wawancara dan review dokumen daripada observasi SI. Akibat dari IT governance yang kurang baik: Ketidaksesuaian bagi pekerja: kerja lembur berlebihan, moral TI rendah Performansi sistem rendah Perangkat keras maupun perangkat lunak tidak standar Disfungsi proyek Dokumen yang perlu di-review: IT charter, strategy, and planning; IT organization chart and job descriptions, HR/ IT employee performance, HR promotion policy, HR manuals, life-cycle processes and procedures, IT operations procedures, IT procurement

18 IT Governance on COBIT 5

19 IT Governance VS Management Governance ensures that stakeholder needs, conditions and options are evaluated to determine balanced, agreed-on enterprise objectives to be achieved; setting direction through prioritization and decision making; and monitoring performance and compliance against agreed-on direction and objectives. In most enterprises, governance is the responsibility of the board of directors under the leadership of the chairperson. Management plans, builds, runs and monitors activities in alignment with the direction set by the governance body to achieve the enterprise objectives.

20 Governance and Management Key Areas Evaluate, Direct, and Monitor (EDM): EDM01. Ensure governance framework setting and maintenance EDM02. Ensure benefits delivery EDM03. Ensure risk optimisation EDM04. Ensure resource optimisation

21

22

23

24 Terima kasih..