IT Governance dan Manajemen Risiko

IT Governance

Weill dan Ross (2004:2) mendefenisikan IT Governance sebagai keputusan-keputusan yang diambil, yang memastikan adanya alokasi penggunaan TI dalam strategi-strategi organisasi yang bersangkutan. IT Governance merefleksikan adanya penerapan prinsip-prinsip organisasi dengan memfokuskan pada kegiatan manajemen dan penggunaan TI untuk pencapaian organisasi.

Menurut Weill dan Ross (2004:114), prinsip-prinsip penerapan IT Governance yang baik adalah sebagai berikut:

1. Simpel; artinya mekanisme pengimplementasian IT governance mesti mendefinisikan dahulu tanggungjawab dan tujuan yang jelas dari tiap -tiap organisasi tersebut.
2. Transparan; artinya adanya mekanisme yang efektif dan proses yang jelas bagisiapapun yang berkaitan dengan keputusan yang dibuat tentang IT.
3. Kecocokan; artinya mekanisme IT Governancenya harus mengikutsertakanindividu-individu yang capable dibidangnya.

Weill & Ross (MIT, 2005) mengemukakan bahwa ada 5 hal yang penting yang harus diperhatikan dalam IT Governance yaitu :

1. IT Principles yang menyangkut keputusan tingkat tinggi mengenai peran strategis IT untuk mendukung bisnis.
2. IT Architecture yang meliputi serangkaian pilihan teknik IT yang terpadu untuk membantu organisasi memenuhi kebutuhan bisnisnya.
3. IT Infrastructure meliputi penyediaan jasa IT yang terpusat dan terkoordinasi yang merupakan fondasi atas kapabilitas IT yang dimiliki suatu perusahaan
4. Business Application
5. IT Failure

Manajemen Risiko

Manajemen risiko adalah serangkaian prosedur dan metodologi serta analisa terhadap setiap proses atau kegiatan yang digunakan untuk mengidentifikasi risiko, melakukan tindakan atau persiapan untuk meminimalkan kemungkinan terjadinya suatu risiko dan meminimalkan dampak negatif yang ditimbulkan oleh risiko tersebut. Penerapan manajemen risiko yang berhasil ditunjukkan dengan adanya identifikasi dan analisis risiko sesuai tingkat kepentingannya. Risiko dimitigasi, dilacak, dan dikendalikan secara efektif. Proses manajemen risiko adalah suatu proses yang bersifat berkesinambungan, sistematis, logik, dan terukur yang digunakan untuk mengelola risiko. Proses manajemen risiko meliputi penerapan kebijakan, prosedur, dan praktek untuk melaksanakan penetapan konteks, identifikasi risiko, analisis risiko, evaluasi risiko, penanganan risiko, monitoring dan review, dan komunikasi dan konsultasi.

Ada dua metode dalam manajemen risiko. Pengendalian risiko dan pendanaan risiko adalah kedua metode tersebut. Kedua metode tersebut lalu terbagi lagi menjadi beberapa macam. Pengendalian risiko terbagi lagi menjadi lima macam, yaitu:

1. Risk Avoidance: merupakan metode yang dilakukan dengan cara menghindari hal-hal yang menimbulkan risiko. Misalnya: demi menghindari kerugian, sebuah perusahaan memutuskan untuk tidak lagi memproduksi beberapa produk yang biaya produksinya mahal.
2. Segregation: metode ini dilakukan dengan cara memisahkan orang atau barang yang dapat menyebabkan kerugian. Misalnya: memisahkan beberapa karyawan di perusahaan yang tengah berkonflik, entah itu memutasi mereka ke divisi atau kantor cabang lain, atau merumahkan mereka untuk sementara waktu.
3. Loss Prevention: adalah metode manajemen risiko yang dilakukan dengan cara melakukan pencegahan terhadap suatu risiko. Misalnya: perusahaan melakukan pengecekan laporan keuangan setiap bulan, untuk mencegah terjadinya penggelapan uang perusahaan.
4. Loss Reduction: metode ini dilakukan dengan mengurangi dampak kerugian yang terjadi pada suatu hal. Misalnya: sebuah perusahaan mengurangi biaya produksinya, supaya produksinya tidak menimbulkan kerugian.
5. Non-Insurance Transfer: ini merupakan metode manajemen risiko yang dilakukan dengan memindahkan risiko ke pihak lain, dengan catatan bahwa pihak lain tersebut siap menanggung risikonya dan bersedia tidak diberi asuransi oleh perusahaan. Contoh: guna menghindari risiko barang produksinya pecah belah, sebuah perusahaan melemparkan risiko tersebut kepada jasa pengantar barang, dan pihak jasa pengantar barang tersebut pun sepakat melakukannya.

Sementara itu, pendanaan risiko terbagi atas dua macam, yaitu:

1. Risk Transfer: metode pendanaan dan manajemen risiko ini sebeutulnya mirip dengan non-insurance transfer. Bedanya, metode satu ini mengharuskan perusahaan memberi asuransi kepada pihak lain yang menanggung risiko. Misalnya: memberi asuransi kepada pihak distributor produk perusahaan.
2. Risk Retention: merupakan metode pendanaan dan manajemen risiko yang dilakukan dengan cara memberi ganti rugi kepada suatu risiko. Misalnya: perusahaan rela mengembalikan uang yang dibayar pelanggan, bila produk yang diterima konsumen rusak ataupun cacat.

Langkah-langkah Audit IT Governance

• Identifikasi dan dokumentasi

Identifikasi dan dukumentasi adalah keharusan. Hal ini bisa dilakukan dengan menjalankan survei maupun observasi ke lapangan sehingga audit bisa lebih objektif dan akurat.

• Tes subtantif

Tes substansi merupakan tes yang dijalankan untuk mengetahui “isi” secara lebih mendalam. Dalam tes ini ada dua tipe yang bisa dijalankan: signifikan alias ditelusur secara lebih mendalam; atau terbatas.

•  Evaluasi

Setelah melakukan tes substantif, audit TI bisa menjalankan evaluasi berdasarkan hasil temuan. Di tahap ini kembali dicek apakah kinerja perusahaan efektif atau tidak. Kalau efektif berarti memenuhi syarat untuk dilanjutkan ke tahap selanjutnya. Namun kalau tidak efektif, lakukan lagi tes substantif.

• Penilaian Mutu/ Kesimpulan

Di langkah terakhir ini akan terlihat apakah mutunya terjamin atau tidak. Jelas audit TI bukanlah tindakan yang bisa dilakukan secara asal dan instan. Ketelitian auditor menjadi ujung tombaknya. Selain itu tentu saja, tujuan dan langkah-langkah tersebut harus dilakukan secara konsekuen.

Audit IT pada Domain

Audit IT pada domain EDM (Evaluate, Direct, and Monitor) Proses tata kelola ini berurusan dengan tujuan tata pemangku kepentingan dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada TI dan pemantauan hasilnya. Berikut domain proses EDM:

• EDM01 Ensure Governance Framework Setting and Maintenance (Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola)
• EDM02 Ensure Benefits Delivery (Memastikan Memberi Manfaat)
• EDM03 Ensure Risk Optimisation (Memastikan Pengoptimalan Risiko)
• EDM04 Ensure Resource Optimisation (Memastikan Pengoptimalan Sumber Daya)
• EDM05 Ensure Stakeholder Transparency (Memastikan Transparansi Pemangku Kepentingan)

Audit IT pada domain APO (Align, Plan, and Organise) Memberikan arah untuk pengiriman solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan mengidentifikasi kekhawatiran cara terbaik TI agar dapat berkontribusi pada pencapaian tujuan bisnis. Realisasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi yang tepat, serta infrastruktur teknologi, harus dimasukkan ke dalam tempatnya. Berikut domain proses APO:

• APO01 Manage The IT Management Framework (Mengelola Kerangka Manajemen TI)
• APO02 Manage Strategy (Mengelola Strategi)
• APO03 Manage Enterprise Architecture (Mengelola Arsitektur Bisnis)APO04 Manage Innovation (Mengelola Perubahan)
• APO05 Manage Portfolio (Mengelola Dokumen)
• APO06 Manage Budget and Costs (Mengelola Anggaran dan Biaya)
• APO07 Manage Human Resources (Mengelola Sumber Daya Manusia)
• APO08 Manage Relationships (Mengelola Relasi)
• APO09 Manage Service Agreements (Mengelola Perjanjian Layanan)
• APO10 Manage Suppliers (Mengelola Pemasok)
• APO11 Manage Quality (Mengelola Kualitas)
• APO12 Manage Risk (Mengelola Risiko)
• APO13 Manage Security (Mengelola Keamanan)

Audit IT pada domain BAI (Build, Acquire, and Implement) Memberikan solusi dan melewatinya sehingga akan berubah menjadi layanan. Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan terintegrasi ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga dicakup oleh domain ini, untuk memastikan bahwa solusi terus memenuhi tujuan bisnis. Berikut domain proses BAI:

• BAI01 Manage Programmes and Project (Mengelola Program Dan Proyek)
• BAI02 Manage Requirements Definition (Mengelola Definisi Persyaratan)
• BAI03 Manage Solutions Identification and Build (Mengelola Identifikasi Solusi dan Pembangunan)
• BAI04 Manage Availability and Capacity (Mengelola Ketersediaan dan Kapasitas)
• BAI05 Manage Organisational Change Enablement (Mengelola Pemberdayaan Organisasi Perubahan)
• BAI06 Manage Changes (Mengelola Perubahan)
• BAI07 Manage Change Acceptance and Transitioning (Mengelola Penerimaan Perubahan dan Transisi)
• BAI08 Manage Knowledge (Mengelola Pengetahuan)
• BAI09 Manage Assets (Mengelola Kepemilikan)
• BAI10 Manage Configuration (Mengelola Susunan)

Audit IT pada domain DSS (Deliver, Service, and Support) Menerima solusi dan dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan pengiriman aktual dan dukungan layanan yang dibutuhkan, yang meliputi pelayanan, pengelolaan keamanan dan kelangsungan, dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional. Berikut domain proses DSS:

• DSS01 Manage Operations (Mengelola Operasi)
• DSS02 Manage Service Requests and Incidents (Mengelola Layanan Permohonan dan Kecelakaan)
• DSS03 Manage Problems (Mengelola Masalah)
• DSS04 Manage Continuity (Mengelola Keberlangsungan)
• DSS05 Manage Security Services (Mengelola Jasa Keamanan)
• DSS06 Manage Business Process Controls (Mengelola Kontrol Proses Bisnis)

Audit IT pada domain MEA (Monitor, Evaluate, Assess) Monitor semua proses untuk memastikan bahwa arah yang disediakan diikuti. Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhan mereka. Domain ini tertuju pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola. Berikut domain proses MEA:

• MEA01 Monitor, Evaluate and Assess Performance and Conformance (Memantau, Evaluasi dan Menilai Kinerja Dan Penyesuaian)
• MEA02 Monitor, Evaluate and Assess The System of Internal Control (Memantau, Evaluasi dan Menilai Sistem Pengendalian Internal)
• MEA03 Monitor, Evaluate and Assess Compliance with External Requirements (Memantau, Evaluasi dan Menilai Kepatuhan dengan Persyaratan Eksternal)

Sumber:

https://glints.com/id/lowongan/manajemen-risiko-dan-kegunaan-untuk-perusahaan/

https://www.kemenkeu.go.id/publikasi/artikel-dan-opini/diskusi-tentang-manajemen-resiko/

https://www.researchgate.net/publication/285436014_IT_Governance

https://blog.gamatechno.com/tujuan-langkah-audit-teknologi-informasi/

https://itgid.org/ini-dia-metode-audit-dalam-dunia-it/