15 It Governance

Published on May 2016 | Categories: Documents | Downloads: 53 | Comments: 0 | Views: 295
of 24
Download PDF   Embed   Report

Comments

Content

IT GOVERNANCE AND RISK MANAGEMENT
Click to edit Master subtitle style
- APK IT Telkom, 2012

4/30/12

Overview
1.

IT strategic planning IT policies, standards, processes and procedures Risk management IT management practices Organization structure and responsibilities Auditing IT governance
4/30/12

2.

3.

4.

5.

6.

Definition




Biasanya dilakukan oleh IT steering committee yang bertanggung jawab dalam menentukan long-term IT strategy, dan melakukan perubahan-perubahan untuk memastikan bahwa proses-proses TI dapat terus berjalan untuk mendukung strategi TI dan kebutuhan organisasi. Tujuan IT Governance: menyelaraskan organisasi TI dengan kebutuhan bisnis, melalui sekumpulan aktivitas top-down untuk mengendalikan organisasi TI dari perspektif strategis. IT governance biasanya fokus pada beberapa proses utama, mis. Manajemen SDM, manajemen perubahan, keuangan, manajemen kualitas, keamanan, dan





4/30/12

Governance: proses pengendalian strategis fungsifungsi bisnis oleh senior management melalui policies, objectives, delegation of authority, dan measurement.

1. IT Strategic Planning




Perencanaan strategis harus menjadi bagian dari proses perencanaan formal. Peran dan tanggung jawab perencanaan harus dilakukan oleh pihak yang spesifik. Rencana strategis TI harus dapat memberikan kepastian pemenuhan layanan TI sesuai dengan kebutuhan bisnis yang diharapkan oleh organisasi.



4/30/12

Rencana strategis yang baik dapat menjawab pertanyaan what to do, bahkan dalam jangka panjang

IT Steering Committee


IT steering committee biasanya mendiskusikan kondisi organisasi di masa depan dan bagaimana organisasi TI dapat memenuhi kebutuhan tersebut. IT steering committee biasanya terdiri atas manajer-manajer senior dan pelanggan/ constituents utama.



4/30/12

2. Policies, Processes, Procedures, and Standards


Policies, procedures, and standards menjelaskan perilaku organisasional TI dan penggunaan teknologi di dalamnya. Biasanya dalam bentuk tertulis, menjelaskan tentang bagimana organisasi TI memberikan layanan yang mendukung organisasi.

4/30/12

IT Policies


IT policies biasanya berisi:


Roles and responsibilities: menjelaskan peran dan tanggung jawab departemen TI dan pembagiannya. Development practices: menjelaskan proses-proses untuk membangun PL dalam organisasi, termasuk metodologi, pengujian, dan penilaian kualitasnya. Operational practices: menjelaskan proses umum operasional TI, mis. service desk, backups, system monitoring, metrics, dan aktivitas harian lainnya. IT processes, documents, and records: menentukan pula proses-proses TI lainnya, termasuk manajemeninsiden, manajemen proyek, dan operasi pendukung; serta menjelaskan pengelolaan dan penyimpanan dokumen (prosedur dan rekaman)







4/30/12

Procedures


Dokumen prosedur, sering disebut juga SOP (standard operating procedures), menjelaskan langkah-langkah detail dari proses dan tugas TI. Dokumen prosedur formal memastikan bahwa tugas-tugas telah dilakukan dengan konsisten dan benar, bahkan jika dilakukan oleh staf TI yang berbeda-beda. Data tambahan yang harus ada:




Document revision information: nama penulis dokumen dan revisinya, nama/ lokasi resmi dokumen. Review and approval: nama manajer yang terakhir mereview dan menyetujui dokumen prosedur. Dependencies: prosedur lain yang terkait, baik yang dipengaruhi maupun yang mempengaruhi prosedur tersebut. Mis. Dokumen yang menjelaskan proses backup, dipengaruhi oleh dokumen manajemen dan pemeliharaan basis data, serta mempengaruhi dokumen penanganan





4/30/12

Standards




Beberapa standar yang dimiliki organisasi TI:


Technology standards menyatakan teknologi PL dan PK apa yang digunakan dalam organisasi TI. Mis. OS, DBMS, server, sistem penyimpanan, media backup, dll. Protocol standards menentukan protokol yang digunakan dalam organisasi. Mis. TCP/IP v6 untuk jaringan internal, GRP routing protocols, FTP, dll. Supplier standards menyatakan supplier dan vendor mana yang digunakan, untuk menjamin ketersediaan barang dan layanan yang dibutuhkan dalam organisasi TI. Methodology standards menyatakan praktek-praktek yang diterapkan pada berbagai proses, termasuk pengembangan PL, administrasi sistem, rekayasa jaringan, dll.







4/30/12

Merupakan pernyataan resmi yang disetujui manajemen, yang menyatakan teknologi, protokol, supplier, dan metode yang digunakan oleh organisasi TI. Standar membantu mengarahkan konsistensi dalam organisasi TI, sehingga organisasi dapat berjalan efektif dan efisien dari sisi biaya.

3. Risk Management




Aksi yang dapat dilakukan:


Accept: menerima resiko apa adanya Mitigate: melakukan aksi untuk mengurangi dampak resiko Transfer: membagi resiko dengan entitas lain, mis. perusahaan asuransi Avoid: tidak melanjutkan aktivitas yang beresiko









Siklus hidup manajemen resiko:

4/30/12

Yaitu aktivitas yang mencari, mengidentifikasi, dan mengelola resiko dalam operasional organisasi untuk mendukung seluruh sasaran bisnis.

The Risk Management Process
1.

Asset identification


Mis. Bangunan, perangkat, rekaman, informasi, tenaga kerja, dll  termasuk pengelompokan dan identifikasi sumber data aset.



2.

Risk Analysis


Risk = probability x impact Memerlukan kemampuan untuk estimasi impact dan probability.



3.

Risk treatment
•.

Seringkali tidak semua resiko dapat dimitigasi maupun dihapuskan, sehingga perlu strategi untuk memilih kombinasi solusi agar dampak dari resiko dapat dikurangi

4/30/12

4. IT Management Practices
Terdiri atas:


Personnel management: rekruitasi, deskripsi kerja, pelatihan, jalur karir, ukuran performansi, promosi, mutasi, hingga pemberhentian Sourcing: insourcing, outsourcing, hybrid Change management: request, review, approve, perform, verify change Financial management: terutama pilihan untuk makebuy-or-rent Quality management Security management Performance and capacity management













4/30/12

Outsourcing


Alasan:


Durasi proyek  membutuhkan orang dlm jangka waktu terbatas Kemampuan tinggi dan spesifik terlalu mahal jika harus insourcing Variasi akan kebutuhan tenaga kerja cukup tinggi High turnover Fokus pada aktivitas-aktivitas utama Alasan finansial













Contoh fungsi-fungsi yang sering dipenuhi dengan outsource: IT helpdesk and support, Software development, Software maintenance, Customer support

4/30/12

5. Organization Structure and Responsibilities


Contoh:
4/30/12

Roles and Responsibilities


Beberapa peran dalam organisasi:


Executive management: CIO, CTO, CSO, CISO, CPO



Owner Manager User







Job titles harus ditetapkan secara konsisten sebagai dasar untuk:


Rekruitasi Penetapan kompensasi Peningkatan karir







Konsep segregation/ separation of duties perlu

4/30/12

Segregation of Duties


Contoh matriks
4/30/12

Auditing IT Governance




Akibat dari IT governance yang kurang baik:


Ketidaksesuaian bagi pekerja: kerja lembur berlebihan, moral TI rendah Performansi sistem rendah Perangkat keras maupun perangkat lunak tidak standar Disfungsi proyek









Dokumen yang perlu di-review: IT charter, strategy, and planning; IT organization chart and job descriptions, HR/ IT employee performance, HR promotion policy, HR manuals, life-cycle processes and procedures, IT operations procedures, IT procurement

4/30/12

IT Governance berfokus pada proses bisnis, bukan teknologi. Audit lebih melibatkan wawancara dan review dokumen daripada observasi SI.

IT Governance on COBIT 5

4/30/12

IT Governance VS Management
Governance ensures that stakeholder needs, conditions and options are evaluated to determine balanced, agreed-on enterprise objectives to be achieved; setting direction through prioritization and decision making; and monitoring performance and compliance against agreed-on direction and objectives.


In most enterprises, governance is the responsibility of the board of directors under the leadership of the chairperson.

Management plans, builds, runs and monitors activities in alignment with the direction set by the governance body to achieve the enterprise objectives.

4/30/12

Governance and Management Key Areas
4/30/12


Evaluate, Direct, and Monitor (EDM):
EDM01. Ensure governance framework setting and maintenance EDM02. Ensure benefits delivery EDM03. Ensure risk optimisation EDM04. Ensure resource optimisation

4/30/12

4/30/12

4/30/12

Terima kasih ..

4/30/12

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close