IT Governance & Risk Management
IT Governance merupakan konsep yang berkembang dari sektor swasta, namun dengan berkembangnya penggunaan Teknologi Informasi (TI) oleh sektor publik – organisasi-organisasi pemerintahan – maka IT Governance juga harus diterapkan di sektor yang banyak menuntut perbaikan pelayanan bagi masyarakat ini. Peranan IT Governance tidaklah diragukan lagi dalam pencapaian tujuan suatu organisasi yang mengadopsi TI. Seperti fungsi-fungsi manajemen lainnya pada organisasi publik, maka IT Governance yang pada intinya adalah bagaimana me-manage penggunaan TI agar menghasilkan output yang maksimal dalam organisasi, membantu proses pengambilan keputusan dan membantu proses pemecahan masalah – juga harus dilakukan. Prinsip-prinsip IT Governance harus dilakukan secara terintegrasi, sebagaimana fungsi-fungsi manajemen dilaksanakan secara sistemik dilaksanakan pada sebuah organisasi publik
Risk Management adalah serangkaian prosedur dan metodologi serta analisa terhadap setiap proses atau kegiatan yang digunakan untuk mengidentifikasi resiko, melakukan tindakan atau persiapan untuk meminimalkan kemungkinan terjadinya suatu resiko dan meminimalkan dampak negatif yang ditimbulkan oleh resiko tersebut. Tujuan utama Risk Management adalah untuk keberlangsungan hidup, bisnis dan proses / kegiatan operasional. Elemen atau unsur terpenting yang selalu melekat didalam aplikasi tujuan Risk Management adalah unsur keamanan (Security) dan keselamatan (Safety).
Aspek-aspek IT Governance :
1. Aspek keberadaan IT
Pengolahan data elektronik sebagai penyedia informasi untuk mencapai tujuan bisnis bagi pihak perusahaan IT.
Contoh : pihak IT memberikan pelayanan kebutuhan informasi berupa data hasil rekening kepada para pemakai.
2. Aspek peranan IT
Bertanggung jawab pada sebuah perusahaan IT untuk pengambilan keputusan oleh pihak manajemen.
Contoh : memberikan laporan data kepada pihak manajemen untuk mengambil keputusan secara tepat.
3. Aspek pendorong utama transportasi bisnis
Perusahaan IT mendukung proses bisnis secara efektif dan efisien.
Contoh : perusahaan IT mendukung proses bisnis dengan sumber daya minimum dan hemat biaya untuk modal transportasi bisnis.
Aspek - aspek Risk Management:
1. Tataran Korporasi
Aspek ini mempunyai 3 hal, yaitu :
a. menggunakan modal minimum.
Perusahaan menggunakan modal minimum secara efisien.
Contoh : suatu perusahaan membutuhkan bahan baku dengan menggunakan modal seminimum mungkin untuk dikelola pada keuangan, agar perusahaan tidak rugi.
b. batasan portofolio investasi.
Kombinasi dua atau lebih investasi dengan resiko dan keuntungan yang berbeda-beda.
Contoh : aset aktiva membeli lahan, properti, dan lain-lain.
c. pemisahan rekening perusahaan dan nasabah.
jika tidak dicegah akan ada kecurangan rekening saldo pada perusahaan ke nasabah, atau nasabah ke perusahaan.
Contoh : kejahatan korupsi rekening saldo yang bertambah.
2. Tataran Pengelola Perusahaan
Aspek ini mempunyai 3 hal, yaitu :
a. kompetensi manajemen dengan keahlian.
suatu perusahaan mengevaluasi kompetensi manajemen untuk suatu tujuan tertentu.
contoh : pihak manajemen mempunyai keahlian di bidang analisis.
b. integritas data valid.
data yang terpelihara sehingga data perusahaan tersimpan dengan baik.
contoh : jika data terpelihara, maka perusahaan mendapatkan data yang valid tidak ada cela sedikitpun untuk redudansi data.
c. tata pengelolaan yang baik dan transparan.
Menjamin kesejahteraan pemerintahan pimpinan perusahaan.
Contoh : menghindari tindakan kejahatan korupsi pimpinan perusahaan.
3. Tataran Pelaksana Lapangan Perusahaan
Aspek ini mempunyai 3 hal, yaitu :
a. pengenalan selera resiko nasabah.
Mencakup semua resiko aktivitas kredit, likuiditas, reputasi, pasar, dan operasional.
Contoh : bank danamon yang mengambil resiko keuangan dengan penuh perhitungan.
b. pengetahuan tenaga penjual akan produk investasi yang dijualnya.
Menanamkan modal untuk investasi masa mendatang.
Contoh : menghindari kecurangan investasi yang tidak sesuai.
c. Transparansi dalam menjelaskan resiko investasi.
Pemegang saham bertanggung jawab dalam perusahaan, dengan mengusulkan kode etik untuk melindungi masyarakat.
Contoh : menghindari tindakan kejahatan tenaga pelaksana.
Langkah audit IT Governance
Auditor TI bertanggung jawab atas penilaian efisiensi tata kelola TI dengan tingkatan prosedur dalam pelaksanaannya. Auditor TI (dari dalam organisasi atau independen) dapat melakukan sejumlah peran kunci dalam Gary Hardy, “The Role of the IT Auditor in IT Governance” 1 (2009): 1–2. :
- memulai program tata kelola TI: menjelas- kan tata kelola TI dan nilainya pada manajemen
- menilai kondisi saat ini: memberikan masukan dan membantu memberikan penilaian kondisi yang sebenarnya
- merencanakan solusi tata kelola TI
- memantau inisiatif tata kelola TI
- membantu membuat bisnis tata kelola TI, seperti : memberikan input objektif dan konstruktif, mendorong penilaian diri, dan memberikan keyakinan kepada manajemen bahwa tata kelola bekerja secara efektif.
Audit IT pada domain terdiri dari 5, yaitu :
a. Audit IT pada domain EDM (Evaluate, Direct, and Monitor)
Domain EDM Mengelola, menilai evaluasi IT, optimasi resiko yang terjadi, sumber daya, dan mengarahkan kegiatan yang dilakukan untuk hasil pilihan strategi kepada IT.
b. Audit IT pada domain APO (Align, Plan, and Organise)
Domain APO memberikan solusi (BAI) serta layanan dan dukungan (DSS) untuk mencapai strategi IT, sasaran dan sasaran hasil untuk mencapai tujuan bisnis.
c. Audit IT pada domain BAI (Build, Acquire, and Implement)
Domain BAI memberikan solusi untuk mencapai tujuan IT dengan implementasikan ke suatu proses bisnis, mengembangkan setiap sistem layanan, dan integrasi data agar terpelihara.
d. Audit IT pada domain DSS (Deliver, Service, and Support)
Domain DSS untuk memenuhi kebutuhan para pemakai dengan memberikan solusi dan layanan yang dibutuhkan. Domain ini juga mengelola sistem keamanan dan fasilitas operasional bagi para pemakai nya yang mengakses data.
e. Audit IT pada domain MEA (Monitor, Evaluate, Assess)
Domain MEA menilai semua proses IT umtuk mengetahui kualitas dan standar prosedurnya, mengontrol manajemen kinerja sesuai prosedur yang diikuti atau tidak. proses IT perlu dinilai secara teratur.
