Analisis yang dilakukan haruslah
berdasarkan standar yang umum dan diakui secara luas. Ada beberapa standar yang
telah mendapat pengakuan secara luas, antara lain ITIL, ISO/IEC 17799, COSO dan COBIT.
Dengan menggunakan standar-standar
tersebut, maka tujuan penerapan TI di sebuah perusahaan akan sesuai dengan
tujuan yang diharapkan dan menghindarkan dari terjadinya kerugian akibat
risiko-risiko penerapan yang tidak terpetakan.
IT Governance
Penerapan TI di perusahaan akan dapat
dilakukan dengan baik apabila ditunjang dengan suatu pengelolaan TI (IT Governance) dari mulai perencanaan
sampai implementasinya. Definisi IT Governance menurut ITGI adalah: “Suatu bagian
terintegrasi dari kepengurusan perusahaan serta mencakup kepemimpinan dan
struktur serta proses organisasi yang memastikan bahwa TI perusahaan
mempertahankan dan memperluas strategi dan tujuan organisasi.”
Kegunaan IT Governance adalah untuk mengatur penggunaan TI,
dan memastikan performa TI sesuai dengan tujuan berikut ini :
- Keselarasan TI dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan dari penerapan TI.
- Penggunaan TI agar memungkinkan perusahaan mengekploitasi kesempatan yang ada dan memaksimalkan keuntungan.
- Penggunaan sumber daya TI yang bertanggung jawab.
- Penanganan manajemen risiko yang terkait TI secara tepat.
Alasan terpenting mengapa IT Governance penting adalah bahwa
ekspektasi dan realitas sering kali tidak sesuai. Shareholder perusahaan selalu
berharap tentang perusahaan untuk :
- Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai dengan anggaran.
- Menguasai dan menggunakan TI untuk mendatangkan keuntungan.
- Menerapkan TI untuk meningkatkan efisiensi dan produktifitas sambil menangani risiko TI.
IT Governance yang tidak efektif akan menjadi awal terjadinya
pengalaman buruk yang dihadapi perusahaan, seperti :
- Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi.
- Tenggat waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan, dan kualitas lebih rendah dari yang telah diantisipasi.
- Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahnya kualitas penggunaan TI.
- Kegagalan inisiatif TI untuk melahirkan inovasi atau memberikan keuntungan yang dijanjikan.
Dalam studi ITGI mengenai Status Global Penguasaan IT, ada 10
masalah besar di bidang TI yang dialami oleh para CEO dan CIO, yaitu :
- Kurangnya pandangan mengenai seberapa baik TI berfungsi.
- Kegagalan operasional TI.
- Masalah penempatan karyawan bidang TI.
- Jumlah masalah dan kejadian dalam TI.
- Biaya TI yang tinggi dengan perolehan kembali modal (ROI) yang rendah.
- Kurangnya pengetahuan mengenai sistem penting.
- Kurangnya kemampuan mengelola data.
- Pemutusan hubungan antara strategi TI dan bisnis.
- Ketergantungan pada entitas di luar pengawasan langsung.
- Jumlah kesalahan yang disebabkan oleh sistem penting.
Marios Damianides, ketua internasional ITGI
menyatakan, “Hasil-hasil ini menunjukkan
kesenjangan antara masalah TI dan pendahuluan rencana aksi untuk memusatkan perhatian
pada masalah tersebut.”
Penggunaan standar IT Governance mempunyai
keuntungan-keuntungan sebagai berikut :
- The Wheel Exists – penggunaan standar yang sudah ada dan mature akan sangat efisien. Perusahaan tidak perlu mengembangkan sendiri framework dengan mengandalkan pengalamannya sendiri yang tentunya sangat terbatas.
- Structured – standar-standar yang baik menyediakan suatu framework yang sangat terstruktur yang dapat dengan mudah difahami dan diikuti oleh manajemen. Lebih lanjut lagi, framework yang terstruktur dengan baik akan memberikan setiap orang pandangan yang relatif sama.
- Best Practices – standar-standar tersebut telah dikembangkan dalam jangka waktu yang relatif lama dan melibatkan ratusan orang dan organisasi di seluruh dunia. Pengalaman yang direfleksikan dalam model-model pengelolaan yang ada tidak dapat dibandingkan dengan suatu usaha dari satu perusahaan tertentu.
- Knowledge Sharing – dengan mengikuti standar yang umum, manajemen akan dapat berbagi ide dan pengalaman antar organisasi melalui user groups, website, majalah, buku, dan media informasi lainnya.
- Auditable – tanpa standar baku, akan sangat sulit bagi auditor, terutama auditor dari pihak ketiga, untuk melakukan kontrol secara efektif. Dengan adanya standar, maka baik manajemen maupun auditor mempunyai dasar yang sama dalam melakukan pengelolaan TI dan pengukurannya.
Model Standar IT
Governance
Ada berbagai standar model IT Governance yang banyak
digunakan saat ini, antara lain :
- ITIL (The IT Infrastructure Library)
- ISO/IEC 17799 (The International Organization for Standardization / The International Electrotechnical Commission)
- COSO (Committee of Sponsoring Organization of the Treadway Commission)
- COBIT (Control Objectives for Information and related Technology)
ISO/IEC 17799
ISO/IEC 17799
dikembangkan oleh The International
Organization for Standardization (ISO) dan The International Electrotechnical Commission (IEC) dengan titel
"Information Technology - Code of
Practice for Information Security Management". ISO/IEC 17799 dirilis
pertama kali pada bulan desember 2000.
ISO/IEC 17799 bertujuan memperkuat 3 element dasar keamanan
informasi, yaitu :
- Confidentiality – memastikan bahwa informasi hanya dapat diakses oleh yang berhak.
- Integrity – menjaga akurasi dan selesainya informasi dan metode pemrosesan.
- Availability – memastikan bahwa user yang terotorisasi mendapatkan akses kepada informasi dan aset yang terhubung dengannya ketika memerlukannya.
ISO/IEC 17799 terdiri dari 10 domain, yaitu :
- Security Policy – memberikan panduan dan masukan pengelolaan dalam meningkatkan keamanan informasi.
- Organizational Security – memfasilitasi pengelolaan keamanan informasi dalam organisasi.
- Asset Classification and Control – melakukan inventarisasi aset dan melindungi aset tersebut dengan efektif.
- Personnel Security – meminimalisasi risiko human error, pencurian, pemalsuan atau penggunaan peralatan yang tidak selayaknya.
- Physical and Environmental Security – menghindarkan violation, deterioration atau disruption dari data yang dimiliki.
- Communications and Operations Management – memastikan penggunaan yang baik dan selayaknya dari alat-alat pemroses informasi.
- Access Control – mengontrol akses informasi.
- Systems Development and Maintenance – memastikan bahwa keamanan telah terintegrasi dalam sistem informasi yang ada.
- Business Continuity Management – meminimalkan dampak dari terhentinya proses bisnis dan melindungi proses-proses perusahaan yang mendasar dari kegagalam dan kerusakan yang besar.
- Compliance – menghindarkan terjadinya tindakan pelanggaran atas hukum, kesepakatan atau kontrak, dan kebutuhan keamanan.
COSO (Committee of Sponsoring Organization of the
Treadway Commission)
COSO merupakan kependekan dari Committee of Sponsoring Organization of the
Treadway Commission, sebuah organisasi di Amerika yang berdedikasi dalam
meningkatkan kualitas pelaporan finansial mencakup etika bisnis, kontrol
internal dan corporate governance. Komite ini didirikan pada tahun 1985 untuk
mempelajari faktor-faktor yang menunjukan ketidaksesuaian dalam laporan
finansial.
Komponen Kontrol COSO
COSO mengidentifikasi 5 komponen kontrol yang diintegrasikan
dan dijalankan dalam semua unit bisnis, dan akan membantu mencapai sasaran
kontrol internal :
- Monitoring
- Information and Communications
- Control Activities
- Risk Assessment
- Control Environment
Sasaran Kontrol Internal
Sasaran Kontrol Internal dikategorikan menjadi beberapa area
sebagai berikut :
- Operations – efisisensi dan efektifitas operasi dalam mencapai sasaran bisnis yang juga meliputi tujuan performansi dan keuntungan.
- Financial Reporting – persiapan pelaporan anggaran finansial yang dapat dipercaya.
- Compliance – pemenuhan hukum dan aturan yang dapat dipercaya.
Unit / Aktifitas Terhadap Organisasi
Dimensi ini mengidentifikasikan unit /
aktifitas pada organisasi yang menghubungkan kontrol internal. Kontrol internal
menyangkut keseluruhan organisasi dan semua bagian-bagiannya. Kontrol internal
seharusnya diimplementasikan terhadap unit-unit dan aktifitas organisasi.
Perbandingan COBIT
dengan ISO/IEC 17799
Tabel 2 menunjukkan bahwa ISO/IEC 17799 melakukan sebagian
proses-proses pada seluruh domain COBIT.
Hal ini menunjukkan ISO/IEC 17799 mempunyai spektrum yang
luas dalam hal pengelolaan TI sebagaimana halnya COBIT, namun ISO/IEC 17799
tidak sedalam COBIT dalam hal detail proses-proses yang dilakukan dalam
domain-domain tersebut.
Perbandingan COBIT
dengan COSO
Tabel 3 menunjukkan bahwa COSO melakukan sebagian proses di
domain PO, AI, dan DS, namun tidak satupun proses pada domain M dilakukan.
Hal ini menunjukkan bahwa COSO fokus kepada proses
penyelarasan TI dengan strategi perusahaan, dan sangat fokus dalam hal desain
dan implementasi TI.
sumber:
http://artikel-teknologi-informasi.blogspot.co.id/2012/10/artikel-standar-framework-pada-proses.html
No comments:
Post a Comment