AUDITOR TEKNOLOGI INFORMASI (COBIT)
Disusun oleh :
4KA17
Arum
Puspitarini
11113405
Erni
Arsulia
12113952
Ricko
Aminnudin
17113599
SISTEM INFORMASI
FAKULTAS ILMU KOMPUTER
DAN TEKNOLOGI INFORMASI
UNIVERSITAS GUNADARMA
2017
1. PENGERTIAN AUDIT IT
Audit
teknologi informasi adalah bentuk pengawasan dan pengendalian dari
infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi
ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau
dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Istilah lain dari
audit teknologi informasi adalah audit komputer yang banyak dipakai untuk
menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara
efektif, dan integratif dalam mencapai target organisasinya. Dalam
pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui
berbagai teknik termasuk survey, wawancara, observasi dan
review dokumentasi.
A.
Bidang Pekerjaan IT di perusahaan
·
System Analyst
·
Programmer
·
Administrator (Network, system, database)
·
Support (workshop, maintenance,helpdesk, dll )
·
Security Officer
·
Auditor
B. Siapa yang Di Audit
·
Management
·
IT Manager
·
IT Specialist (network, database, system analyst, programmer, dll.)
·
User
C. Yang Melakukan Audit
Tergantung Tujuan Audit
1.)
Internal Audit (first party
audit)
·
Dilakukan oleh atau atas
nama perusahaan sendiri
·
Biasanya untuk management
review atau tujuan internal perusahaan
·
Lembaga independen di luar
perusahaan
2.)
Second party audit
·
Dilakukan oleh pihak yang
memiliki kepentingan thd perusahaan
3.)
Third party audit
·
Dilakukan oleh pihak
independen dari luar perusahaan Misalnya untuk sertifikasi (ISO 9001, BS7799
dll).
D. Tugas Auditor IT
·
Memastikan sisi-sisi
penerapan IT memiliki kontrol yang diperlukan
·
Memastikan kontrol tersebut
diterapkan dengan baik sesuai yang diharapkan
E. Yang Dilakukan Auditor IT
·
Persiapan
·
Review Dokumen
·
Persiapan kegiatan on-site
audit
·
Melakukan kegiatan on-site
audit
·
Persiapan, persetujuan dan
distribusi laporan audit
·
Follow up audit
F. Output kegiatan Audit
Hasil akhir adalah berupa laporan yang berisi:
·
Ruang Lingkup audit
·
Mekanisme Audit
·
Temuan-temuan
·
Ketidaksesuaian (sifat
ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat
ketidaksesuaian)
·
Kesimpulan (tingkat kesesuaian dengan kriteria audit,
efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen,
rekomendasi)
G. Keterampilan yang dibutuhkan
·
Audit skill : sampling, komunikasi, melakukan interview, mengajukan
pertanyaan, mencatat
·
Generic knowledge : pengetahuan mengenai prinsip-prinsip audit,
prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi,
peraturan2 yang berlaku
·
Specific knowledge : background IT/IS, bisnis, specialist technical
skill, pengalaman audit sistem manajemen, perundangan
H. Prinsip-prinsip Audit
·
Ethical conduct
Berdasar
pada profesionalisme, kejujuran, integritas, kerahasiaan dan kebijaksanaan
·
Fair Presentation
Kewajiban melaporkan secara jujur dan akurat
·
Due professional care
Implementasi dari kesungguhan dan pertimbangan yang diberikan
·
Independence
·
Evidence-base approach
Pendekatan berdasarkan fakta
I. Peraturan dan
Standar yang Biasa Digunakan
·
ISO / IEC 17799 and BS7799
·
Control Objectives for
Information and related Technology (CobiT)
·
ISO TR 13335
·
IT Baseline Protection
Manual
·
ITSEC / Common Criteria
·
Federal Information
Processing Standard 140-1/2 (FIPS 140-1/2)
·
The “Sicheres Internet” Task
Force [Task Force Sicheres Internet]
·
The quality seal and product
audit scheme operated by the Schleswig-Holstein Independent State Centre for
Data Privacy Protection (ULD)
·
ISO 9000
J.
Tujuan
IT audit
· Availability (ketersediaan
informasi), apakah informasi pada perusahaan dapat menjamin ketersediaan
informasi dapat dengan mudah tersedia setiap saat.
· Confidentiality (kerahasiaan
informasi), apakah informasi yang dihasilkan oleh sistem informasi perusahaan
hanya dapat diakses oleh pihak-pihak yang berhak dan memiliki otorisasi.
· Integrity, apakah informasi yang
tersedia akurat, handal, dan tepat waktu.
K. Jenis Audit IT
1.
Sistem dan aplikasi.
Audit yang
berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan
organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin
keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output
pada semua tingkat kegiatan sistem.
2.
Fasilitas pemrosesan informasi.
Audit yang
berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin
ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan
normal dan buruk.
3.
Pengembangan sistem.
Audit yang
berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan
obyektif organisasi.
4.
Arsitektur perusahaan dan manajemen
TI.
Audit yang
berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur
organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna
untuk pemrosesan informasi.
5.
Client/Server, telekomunikasi,
intranet, dan ekstranet.
Suatu audit
yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client,
server, dan jaringan yang menghubungkan client dan server.
L.
Manfaat
Audit IT
a.
Manfaat pada saat Implementasi
(Pre-Implementation Review)
·
Institusi
dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan
ataupun memenuhi acceptance criteria.
·
Mengetahui
apakah pemakai telah siap menggunakan sistem tersebut.
·
Mengetahui
apakah outcome sesuai dengan harapan manajemen.
b.
Manfaat
setelah sistem live (Post-Implementation Review)
·
Institusi
mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk
penanganannya..
·
Masukan-masukan
tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis,
dan anggaran pada periode berikutnya.
·
Bahan
untuk perencanaan strategis dan rencana anggaran di masa mendatang.
·
Memberikan
reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau
prosedur yang telah ditetapkan.
·
Membantu
memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat
digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan
pemeriksaan.
·
Membantu
dalam penilaian apakah initial proposed values telah terealisasi dan saran
tindak lanjutnya.
2.
PENGENDALIAN INTERNAL
“Pengendalian intern
adalah sejumlah tindakan untuk mengatur dan mengarahkan aktivitas organisasi
untuk mencapai tujuan organisasi tersebut. Sebagai sebuah struktur, ia
merupakan kebijakan-kebijakan dan prosedur yang ditetapkan untuk mencapai
tujuan entitas khusus”. (Widjaja Tunggal Amin, 1996 ). Sedangkan menurut Romney
dan Steinbart (2009) "Pengendalian Intern adalah rencana organisasi dan
metode penggunaan bisnis untuk menjaga aset, memberikan informasi yang akurat
dan dapat diandalkan, mempromosikan dan meningkatkan efisiensi operasional, dan
mendorong kepatuhan terhadap prescibe kebijakan manajerial.
Tujuan utama dari pengendalian
internal ada 4 yaitu : Untuk menjaga aktiva perusahaan. Untuk memastikan
akurasi dan dapat diandalkan catatan dan informasi akuntansi. Untuk
mempromosikan efisiensi operasi perusahaan. Untuk mengukur kesesuaian kebijakan
dan prosedur yang telah ditetapkan oleh manajemen.
3.
CONTROL OBJECTIVES FOR INFORMATION AND RELATED
TECHNOLOGY (COBIT)
Control
Objectives for Information and Related Technology (COBIT) adalah
seperangkat praktik terbaik (kerangka) untuk teknologi informasi (TI) manajemen
yang dibuat oleh Information Systems Audit and Control Association (ISACA), dan
IT Governance Institute (ITGI). COBIT memberikan manajer, auditor, dan pengguna
TI dengan satu set secara umum langkah-langkah, indikator, proses dan praktik
terbaik untuk membantu mereka dalam memaksimalkan manfaat yang diperoleh
melalui penggunaan TI dan pengembangan tata kelola TI yang sesuai dan pengendalian
dalam sebuah perusahaan/
COBIT pertama kali
dirilis pada tahun 1996. Misinya adalah untuk meneliti, mengembangkan, mempublikasikan
dan mempromosikan otoritatif, up-to-date, set internasional yang diterima
secara umum untuk tujuan pengendalian teknologi informasi untuk sehari-hari
digunakan oleh para manajer bisnis dan auditor. “Dengan menerapkan COBIT 5
berhasil memerintah IT, organisasi harus dapat memenuhi tujuan bisnis seperti
memanfaatkan IT untuk keuntungan yang terbaik, melindungi data dan aset, dan
sesuai dengan peraturan yang berlaku” (Sanderson, Ian).
4.
KERANGKA KERJA YANG MEMBUAT COBIT DAPAT
BERJALAN DENGAN BAIK
“Manajer IT yang
terlibat dalam merancang atau pengujian terkait kontrol TI harus mencari
matriks yang memetakan COBIT ke COSO, dan diskusi terkait TI manajemen risiko
dan pemisahan tugas, sangat informatif” (Chan, Anthony S. 2006). “COBIT sejalan
dengan Komite umum Sponsoring Organizations (COSO) kerangka dengan pengendalian
internal yang terdiri dari empat domain menyelaraskan dengan siklus
implementasi TI: perencanaan dan organisasi, akuisisi dan implementasi,
pengiriman dan dukungan, dan pemantauan” (Lemme, Steve, 2005).
Sehingga domain
tersebut dapat diidentifikasikan yang terdiri dari 34 proses, yaitu (ITGI,
2007) :
1.)
Plan and organize (PO)
Yaitu mencakup masalah
mengidentifikasikan cara terbaik TI untuk memberikan kontribusi yang maksimal
terhadap pencapaian tujuan bisnis organisasi. Domain ini menitikberatkan pada
proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi.
Domain PO terdiri dari 10 control objectives, meliputi :
·
PO1 :
Define a strategic IT plan
·
PO2 :
Define the information architecture
·
PO3 :
Determine technological direction
·
PO4 :
Define the IT processes, organization and relationships
·
PO5 :
Manage the IT investment
·
PO6 :
Communicate management aims and direction
·
PO7 :
Manage IT human resources
·
PO8 :
Manage quality human resource
·
PO9 : Asses
and manage IT risks
·
PO10 :
Manage projects
2.)
Acquire and Implement (AI)
Domain ini
menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI yang
digunakan. Pelaksanaan
strategi yang telah ditetapkan, harus disertai solusi-solusi TI yang sesuai
solusi TI tersebut diadakan, diimplementasikan dan diintegrasikan kedalam
proses bisnis organisasi. Dimana domain AI terdiri dari 7 control objectives,
meliputi :
·
AI1 :
Identify automated solutions
·
AI2 : Acquire
and maintain application software
·
AI3 :
Acquire and maintain technology infrastructure
·
AI4 :
Enable operation and use
·
AI5 :
Procure IT resources
·
AI6 :
Manage changes
·
AI7 :
Install and accredit solutions and changes
3.)
Deliver and Support (DS)
Domain ini menitikberatkan pada
proses pelayanan TI dan dukungan teknisnya yang meliputi hal keamanan sistem,
kesinambungan layanan, pelatihan dan pendidikan untuk pengguna, dan
pengelolaan data yang sedang berjalan. Dimana domain DS terdiri dari 13 control
objectives, meliputi :
·
DS1 :
Define and manage service levels
·
DS2 :
Manage third-party services
·
DS3 :
Manage performance and capacity
·
DS4 :
Ensure continuous service
·
DS5 :
Ensure systems security
·
DS6 :
Identify and allocate costs
·
DS7 :
Educate and train users
·
DS8 :
Manage service desk and incidents
·
DS9 :
Manage the configuration
·
DS10 :
Manage problems
·
DS11 : Manage data
·
DS12 : Manage the
physical environment
·
DS13 : Manage operations
4.)
Monitor and Evaluate (ME)
Domain ini menitikberatkan pada
proses pengawasan pengelolaan TI pada organisasi seluruh kendali-kendali
yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara
berkala. Domain ini fokus pada masalah kendali-kendali yang diterapkan dalam
organisasi, pemeriksaan internal dan eksternal. Dimana domain ME terdiri dari 4
control objectives, meliputi :
·
ME1 : Monitor and
evaluate IT performance
·
ME2 : Monitor and
evaluate internal control
·
ME3 : Ensure regulatory
compliance
·
ME4 : Provide IT
Governance
Maka dengan melakukan kontrol
terhadap 34 control objectives tersebut, organisasi dapat memperoleh keyakinan
akan kelayakan tata kelola dan kontrol yang diperlukan untuk lingkungan TI.
Karena COBIT dirancang beriorientasi bisnis agar bisa digunakan banyak pihak,
tetapi lebih penting lagi adalah sebagai panduan yang komprehensif bagi
manajemen dan pemilik bisnis proses. Kebutuhan bisnis akan tercermin dari
adanya kebutuhan informasi. Dan informasi itu sendiri perlu memenuhi kriteria
kontrol tertentu, untuk mencapai tujuan bisnis.
5.
MANFAAT PENGGUNAAN COBIT PADA PENGENDALIAN INTERNAL TI DALAM
PERUSAHAAN
“Salah satu manfaat menggunakan COBIT
5 sebagai kerangka tata kelola adalah bahwa hal itu sejalan dengan praktek
terbaik yang diterima di bidang sistem informasi, seperti IT Infrastructure
Library dan ISO / IEC seri 27000 standar, serta COSO, yang menambahkan fokus
pada IT governance dalam versi update yang dirilis pada bulan Mei” (Sanderson,
Ian).
Manfaat-manfaat yang dapat diperoleh
dalam penggunaan COBIT pada pengendalian internal TI perusahaan lainnya yaitu :
Dapat membantu auditor, manajemen dan pengguna (user), dengan cara membantu
menutup kesenjangan antara kebutuhan bisnis, risiko, kontrol, keamanan, melalui
peningkatan pengamanan dan mengontrol seluruh proses TI.
COBIT dapat memberikan arahan
(guidelines) yang berorientasi pada bisnis, dan karena itu business process
owners dan manajer, termasuk juga auditor dan user, diharapkan dapat
memanfaatkan guideline ini dengan sebaik-baiknya.
Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang
bersifat rinci (detailed control objectives) untuk membantu para auditor dalam
memberikan management assurance atau saran perbaikan. Management Guidelines
Berisi arahan, baik secara umum maupun spesifik,
mengenai apa saja yang mesti dilakukan. Auditor dapat menggunakan Audit
Guidelines sebagai tambahan materi untuk merancang prosedur audit.
COBIT khususnya guidelines dapat
dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau
organisasi, atau objek khusus di lingkungan TI. COBIT memberikan user kontrol
dimana dapat mengukur proses yang terkandung dalam ISO 17799 dan ITIL dan yang
dapat dimanfaatkan untuk perbaikan proses.
6.
TATA KELOLA TEKNOLOGI INFORMASI
Tata kelola teknologi informasi adalah suatu cabang dari tata kelola
perusahaan yang terfokus pada sistem teknologi informasi (TI) serta manajemen
kinerja dan risikonya. Meningkatnya minat pada tata kelola TI sebagian besar
muncul karena adanya prakarsa kepatuhan (seperti Sarbanes-Oxley di AS dan Basel
II di Eropa) serta semakin diakuinya kemudahan proyek TI untuk lepas kendali
yang dapat berakibat besar terhadap kinerja suatu organisasi.
Tema utama diskusi tata kelola TI adalah bahwa teknologi
informasi tidak bisa lagi menjadi suatu kotak hitam. Secara tradisional,
penanganan pengambilan keputusan kunci di bidang teknologi informasi diberikan
kepada para profesional TI karena keterbatasan pengalaman teknis eksekutif lain
di tingkatan direksi perusahaan serta karena kompleksitas sistem TI itu
sendiri. Tata kelola TI membangun suatu sistem yang semua pemangku
kepentingannya, termasuk direksi dan komisaris serta pengguna internal dan
bagian terkait seperti keuangan, dapat memberikan masukan yang diperlukan untuk
proses pengambilan keputusan. Hal ini mencegah satu pihak tertentu, biasanya
TI, disalahkan untuk suatu keputusan yang salah.
7. Information
Technology Governance
Information Technology Governance, IT Governance atau ICT
(Information & Communications Technology) Governance, adalah suatu subset
dari disiplin Corporate Governance yang berfokus pada teknologi informasi (TI)
dan sistem kinerja dan manajemen risiko. Meningkatnya minat IT dalam
pemerintahan adalah sebagian karena sesuai inisiatif, misalnya Sarbanes-Oxley
di AS dan Basel II di Eropa, serta pengakuan bahwa proyek IT dapat dengan mudah
keluar dari pengendalian dan mempengaruhi kinerja suatu organisasi secara
mendalam.
Sebuah tema ciri khas dari diskusi pengaturan IT adalah bahwa kemampuan IT
tidak lagi dapat kotak hitam. Keterlibatan tradisional papan-tingkat eksekutif
dalam hal TI adalah untuk menghormati semua keputusan penting untuk perusahaan
profesional TI. Pengaturan IT menunjukkan sebuah sistem di mana semua pihak
pemegang perusahaan, termasuk barisan papan atas, internal pelanggan, dan
khususnya seperti departemen keuangan, mempunyai masukan yang penting yang
diperlukan dalam proses pengambilan keputusan di kemudiannya. Hal ini guna
mencegah TI dari secara bebas membuat dan kemudian dilaksanakan sepenuhnya
bertanggung jawab dengan keputusan yang tidak bermutu. Hal ini juga mencegah
user secara kritis dari menemukan bahwa sistem tidak berjalan atau melakukan
seperti yang diharapkan, seperti yang dijelaskan di Harvard Business Review
artikel oleh R. Nolan:
Sebaliknya,
Institut pengaturan IT memperluas definisi untuk memasukkan mekanisme dasar:
"... dengan kepemimpinan dan struktur organisasi dan proses yang
memastikan bahwa organisasi TI bertahan dan memperluas strategi dan tujuan
organisasi."
Sementara AS8015, Standar Australia untuk
Corporate Governance ICT, mendefinisikan Corporate Governance ICT sebagai
"Sistem yang penggunaannya saat ini dan masa depan pada
ICT diarahkan dan dikendalikan. Sistem
tersebut mengevaluasi dan mengarahkan rencana dari penggunaan ICT untuk
mendukung organisasi dan pemantauan ini digunakan untuk mewujudkan rencana.
Termasuk strategi dan kebijakan untuk menggunakan ICT di dalam sebuah
organisasi
Disiplin
pengaturan teknologi informasi berasal dari pengaturan badan hukum terutama
berkaitan dengan hubungan antara fokus bisnis dan manajemen TI dari sebuah
organisasi. Hal itu menyoroti pentingnya hal-hal yang berhubungan dengan TI
dalam organisasi kontemporer dan menyatakan bahwa keputusan strategis TI harus
dimiliki oleh kelompok perusahaan, bukan oleh CIO atau manajer TI lainnya.
Tujuan utama untuk
teknologi informasi pemerintahan adalah untuk (1) memastikan bahwa investasi IT
menghasilkan nilai bisnis, dan (2) mengurangi resiko yang berkaitan dengan IT.
Ini dapat dilakukan dengan menerapkan struktur organisasi yang baik dengan yang
ditetapkan untuk peran tanggung jawab dari informasi, proses bisnis, aplikasi,
infrastruktur, dll.
Hak – hak
keputusan adalah kunci bisnis pengaturan IT, sebagai topik utama dari buku yang
dinamakan oleh Weill dan Ross. Menurut Weill dan Ross, bergantung pada ukuran,
lingkup bisnis, kedewasaan TI dari suatu organisasi, baik sentralisasi,
desentralisasi atau model federasi dari tanggung jawab untuk menangani hal-hal
strategis TI yang diusulkan. Dalam pandangan ini, pengendalian TI yang
dijelaskan dengan baik merupakan kunci menuju sukses.
Setelah banyak
dilaporkan keruntuhan Enron pada tahun 2000, dan masalah-masalah yang diduga di
dalam WorldCom dan Arthur Andersen, tugas dan tanggung jawab dari papan direksi
untuk publik dan secara pribadi dari perusahaan swasta dipertanyakan. Sebagai respon
terhadap hal ini, dan untuk mencoba untuk mencegah dari masalah serupa terjadi
lagi, the US Sarbanes-Oxley Act ditulis untuk menekankan pentingnya usaha
kontrol dan audit. Sarbanes-Oxley dan Basel II di Eropa telah menjadi katalis
bagi perkembangan dari disiplin pengaturan teknologi informasi sejak awal
2000s. Namun, kekhawatiran dari Sarbanes Oxley (khususnya Bagian 404) ada
sedikit yang harus dilakukan dengan hak sebagai keputusan TI dibahas oleh Weill
dan Ross, dan banyak lagi yang harus dilakukan dengan proses operasional
seperti Perubahan Manajemen.
Beberapa badan
hukum bangkrut di Australia pada waktu bersamaan, kelompok kerja dibangun untuk
mengembangkan standar atau ketentuan untuk pengaturan badan hukum. Suatu seri
dari standar australia untuk pengaturan badan hukum diterbitkan pada tahun
2003, mereka adalah :
§ Good Governance Principles (AS8000)
§ Fraud and Corruption Control (AS8001)
§ Organisational Codes of Conduct (AS8002)
§ Corporate Social Responsibility (AS8003)
§ Whistle Blower protection programs (AS8004)
Pengaturan badan hukum AS8015 dari ICT diumumkan pada
Januari 2005. dulunya adalah diadaptasi secara cepat sebagai ISO/IEC 38500 pada
Mei 2008.
8.
Permasalahan
dari IT governance
Apakah pengaturan
TI berbeda dari manajemen TI dan
kontrol TI? Masalahnya dengan pengaturan TI adalah sering kali
bingung dengan penerapan manajemen yang baik dan kerangka kerja pengendalian
TI. ISO 38500 telah membantu mengklarifikasi pengaturan TI dengan
menjelaskannya sebagai sistem manajemen yang digunakan oleh direktur. Dengan
kata lain, IT governance adalah seputar pekerjaan dari sumber daya TI atas nama
pihak perusahaan yang diharapkan kembali dari investasi mereka. Direktur yang
bertanggung jawab untuk pekerjaan ini akan melihat ke manajemen yang diperlukan
untuk menerapkan kebutuhan sistem dan kontrol TI. Sementara pengelolaan risiko
dan memastikan kepatuhan adalah komponen penting dari pemerintahan yang baik,
hal ini lebih penting untuk difokuskan pada pemberian nilai dan mengukur
kinerja.
Nicholas Carr
telah muncul sebagai tokoh kritik dari gagasan bahwa teknologi informasi
memberikan keuntungan strategis. Ini baris kritikan mungkin menyiratkan bahwa
perhatian signifikan ke IT pemerintahan bukan merupakan upaya berharga untuk
para pemimpin perusahaan. Namun, Carr juga membalas menyeimbangkan dengan
berfokus pada efektivitas manajemen resiko IT.
Manifestasi pengaturan TI rinci bertujuan melalui proses
kontrol yang mendetil (misalnya dalam konteks manajemen proyek) adalah hal yang
sering kontroversial dalam skala besar manajemen TI. Kesulitan dalam mencapai
keseimbangan antara transparansi keuangan dan penghematan biaya data di ambil
dalam pengelolaan keuangan TI (misalnya, untuk mengaktifkan chargeback) adalah
sebuah topik berkesinambungan dari diskusi dalam literatur profesional, dan
dapat dilihat sebagai sebuah batasan praktikal untuk pengaturan IT.
9.
Hubungan ke
disiplin IT lainnya
IT governance
didukung oleh beberapa disiplin seperti :
·
Business
Service Management
·
Business
Technology Optimization
·
Enterprise architecture
·
Data
governance
·
IT
asset management
·
IT
portfolio management
·
IT
security assessment
·
IT
service management
·
Project
governance
·
Project
management dan Program management dalam konteks perusahaan IT
10. Kerangka Kerja
Ada beberapa hal
mekanismen pendukung yang dikembangkan untuk mengarahkan implementasi dari
pengaturan informasi teknologi. Beberapa dari mereka adalah :
·
IT
Infrastructure Library (ITIL) adalah kerangka kerja mendetail dengan informasi
di dalamnnya tentang bagaimana mencapai sebuah servis operasional manajemen IT
yang berhasil, yang dikembangkan oleh Kantor pemasaran pemerintah amerika,
dalam kerja samanya dengan forum layanan manajemen IT.
·
Control
Objectives for Information and related Technology (COBIT) adalah pendekatan
lainnya untuk menstandarisasi keamanan teknologi informasi yang baik dan
mengatur penerapan. Hal ini diselesaikan dengan menyediakan peralatan untuk
menilai dan mengukur kinerja dari 34 proses IT dari suatu organisasi.ITGI (IT Governance Institute)bertanggung
jawab untuk COBIT
·
ISO/IEC
27001 (ISO 27001) adalah sekumpulan penerapan paling baik untuk organisasi
untuk mengikuti penerapan dan pemeliharaan sebuah program keamanan. Hal ini
dimulai sebagai Standar British 7799 [BS7799], dimana dulunya dikeluarkan oleh United
Kingdom dan
menjadi sebuah standar terkenal di industri yang dulunya digunakan untuk
menyediakan pengawalan untuk organisasi dalam penerapan keamanan informasi.
·
IT
Baseline Protection Catalogs, atau IT-Grundschutz Catalogs, ("IT Baseline
Protection Manual" sebelum 2005) adalah sekumpulan dokumen dari Kantor
Federasi Jerman untuk Keamanan dalam TI (FSI), berguna untuk mendeteksi dan
melawan titik kelemahan dari keamanan di dalam lingkungan IT. Koleksi ini mengarahkan lebih dari 3000 halaman dengan perkenalan dan
katalog.
·
Keamanan
kedewasaan manajemen informasi model ISM3 ini adalah proses berdasar pada
kedewasaan model ISM untuk keamanan.
·
AS8015-
Standar Australia untuk Tata kelola badan hukum dari teknologi informasi dan
komunikasi. AS8015 diadopsi sebagai ISO/IEC 38500 pada bulan May 2008.
·
ISO/IEC
38500:2008 Tata kelola badan hukum dari informasi teknologi, ( sangat dekat
berdasar pada AS8015-2005) menyediakan sebuah kerangka kerja untuk efektivitas
tata kelola TI untuk membantu mereka yang berada di level tertinggi organisasi
untuk memahami dan memenuhi pengesahan mereka, pengaturan, dan obligasi etika
dalam menghargai penggunaan IT pada organisasi. ISO/IEC 38500 dapat diterapkan
ke organisasi dari berbagai ukuran, termasuk publik dan privasi perusahaan,
entitas pemerintah, dan tidak untuk keuntungan organisasi. Standar ini menyediakan prinsip pengarahan untuk direktor organisasi agar
efektif, efisien dan dapat penggunaan yang dapat diterima untuk IT di dalam
organisasi mereka.
Lainnya meliputi:
·
BS7799
- focus on IT security
·
CMM
- The Capability Maturity Model - focus on software engineering
Spesifikasi
kerangka kerja non-IT dari penggunaan meliputi:
·
Balanced
Scorecard (BSC) – metode untuk menilai kinerja organisasi dalam berbagai area
yang berbeda.
·
Six
Sigma – berfokus pada jaminan kualitas.
COBIT dapat
menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat
membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan
mengecilkan resiko.
COBIT ini juga mencakup bimbingan bagi para direktur dan
semua level manajemen dan terdiri atas empat section:
·
Gambaran
luas mengenai eksekutif
·
Kerangka
kerja
·
Isi utama (tujuan pengendalian,
petunjuk manajemen dan model kedewasaan)
·
Appendiks (pemetaan, ajuan silang dan
daftar kata-kata)
Sumber :