Audit IT Governance

IT Governance (Tata Kelola Teknologi Informasi), Governance merupakan turunan dari kata government, yang artinya membuat kebijakan (policies) yang sejalan/selaras dengan keinginan/aspirasi masyarakat atau kontituen. Sedangkan penggunaan pengertian “governance” terhadap Teknologi Informasi (IT Governance) maksudnya adalah, penerapan kebijakan TI di dalam organisasi agar pemakaian TI (berikut pengadaan dan pelayanannya) diarahkan sesuai dengan tujuan organisasi tersebut.

Aspek-aspek pada IT Governance terdapat 5 hal yang menjadi fokus, yaitu :  

1. Strategic Alignment (Penyelarasan Strategis) : Menyelaraskan tujuan besar. contohnya seperti membaca sebuah peta dimana dimana dengan membaca peta dapat menjawab beberapa pertanyaan seperti:

• kemana arah tujuannya?
• siapa yang menjadi target?
• bagaimana kondisinya?
• apakah yang akan dihadapi?
• apa tugas yang harus dilakukan?
• adakah kebutuhan yang diperlukan?

2. Value Delivery (Penyampaian Nilai) : Mencakup hal-hal yang terkait dengan penyampaian nilai kepada organisasi atau perusahaan sehingga mendorong proses yang membuat organisasi atau perusahaan mencapai tujuannya, contohnya seperti :

• Pemilik saham/perusahaan: value = keuntungan
• Organisasi sosial: Value = Pelayanan Terbaik
• Pelanggan: Value = Kepuasan/Harga murah, dll.
• Karyawan: Value = Efisiensi kerja 

3. Resource Management (Pengelolaan Sumber Daya) : Berkaitan dengan pengoptimalan sumber daya teknologi informasi yang dibutuhkan tersedia serta dimantaatkan secara efisien. contohnya seperti :

• orang (waktu, tenaga, skill, pengetahuan)
• uang
• teknologi (software dan hardware) 

4. Risk Management (Pengelolaan Resiko) : suatu metodologi untuk menghindari akibat buruk yang mungkin terjadi. contohnya seperti :

• Katakan Anda adalah pemimpin suatu perusahaan. Pada suatu saat, pesaing perusahaan Anda melakukan terobosan besar. Pada titik ini, Anda dengan tim manajemen harus segera mempertimbangkan kejadian-kejadian yang mungkin terjadi.
• Kemudian, tentukan apakah dampak yang akan dirasakan oleh perusahaan Anda adalah baik atau buruk. Setelah itu, tentukan bagaimana perusahaan Anda akan merespon terhadap risiko tersebut. Terakhir, Anda harus mengawasi kegiatan perusahaan supaya berjalan sesuai dengan tanggapan yang telah ditentukan sebelumnya.

5. Performance Measurement (Pengukuran Kinerja) : suatu metode penilaian kinerja karyawan yang berorientasi pada sasaran yang telah ditentukan oleh perusahaan. contohnya seperti :

• Identifikasi kelemahan perusahaan
• Efisiensi anggaran
• Evaluasi kualitas kerja
• Motivasi karyawan

Dan dalam aspek Risk Management terdapat yang diambil contoh adalah dalam hal keamanan yang diklasifikasikan menjadi 4 lubang keamanan, yaitu :

1. Physical Security : akses seorang kedalam suatu gedung, peralatan, ataupun media yang digunakan.
2. Personel : Identifikasi profil resiko dari seorang yang mempunyai akses
3. Communication : kelemahan dalam software yang digunakan dalam mengolah data
4. Operation : kebijakan dan prosedur yang digunakan dalam mengatur dan mengelola sistem keamanan dan Post Attack Recovery (Pasca Serangan)

Dalam IT Governance terdapat langkah-langkat dalam auditnya berdasarakan “The Role of the IT Auditor in IT Governance” 1 (2009): 1–2 ,yaitu :

• Memulai program tata kelola TI : menjelaskan tata kelola TI dan nilainya kepada manajemen
• Menilai kondisi sebenarnya
• Merencanakan solusi tata kelola TI
• Memantau inisiatif tata kelola TI
• Membantu membuat bisnis tata kelola TI

Audit IT  menggunakan Framework COBIT 5 dengan metode Domain yang terdiri dari :

• Audit IT pada domain EDM (Evaluate, Direct, and Monitor)

    Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.

• Audit IT pada domain APO (Align, Plan, and Organise)

     Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan bisnis.

• Audit IT pada domain BAI (Build, Acquire, and Implement)

  Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.

• Audit IT pada domain DSS (Deliver, Service, and Support)

    Proses manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.

• Audit IT pada domain MEA (Monitor, Evaluate, Assess)

   Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.

Dengan menyusun IT Governance, maka segala aktifitas perusahaan yang berbasis pada Teknologi Informasi akan lebih terkontrol, mencapai efisiensi, dan efektif. Teknologi informasi pada dasarnya berbentuk suatu system yang saling terintegrasi, jika ada kerusakan di salah satu titik, akan berdampak domino kepada titik yang lain.

Sumber :

“The Role of the IT Auditor in IT Governance” 1 (2009): 1–2

5 Prinsip IT Governance, Ketahui Apa Tujuannya – Inixindo Jogja

IT Value Delivery. - ppt download (slideplayer.info)

https://www.wrike.com/blog/what-is-resource-management/

http://eprints.dinus.ac.id/19499/10/bab2_18547.pdf