Risk Management
Risk management merupakan suatu proses pengenalan terhadap kelemahan sumber informasi beserta perlakuannya yang digunakan organisasi dalam mencapai tujuan bisnisnya serta memutuskan perlakuan terbaik untuk menanggulangi maupun mencegah, atau bahkan mengurangi resiko sampai ke pada level yang dapat ditoleransi, sesuai dengan nilai sumber informasi dalam perusahaan tersebut. Berdasarkan tipe resiko serta pengaruhnya di dalam bisnis, management dan direksi dapat memilih untuk memberi perlakuan tertentu kepada resiko, yakni: • Avoid Memilih untuk tidak mengimplementasikan proses maupun aktivitas yang mendatangkan resiko. Cara ini merupakan penghilangan resiko dengan mengeliminasi penyebabnya. • Mitigate Mengurangi peluang ataupun dampak dari resiko dengan cara menetapkan, mengimplementasikan, maupun mengawasi control risk. • Transfer (membelokkan / mengalokasikan) Membagi resiko dengan partners atau mentransfernya melalui jaminan asuransi, perjanjian kontrak, dan sebagainya. • Accept Secara resmi mengakui keberadaan pemantauan terhadap resiko tersebut. resiko dan melakukan
Namun pada kenyataannya yang terjadi, organisasi dapat memilih untuk menghilangkan resiko dengan cara mengabaikannya, yang akan berdampak berbahaya bagi perusahaan.
1. Developing A Risk Management Program
Cara untuk mengembangkan program manajemen resiko: a. Menetapkan tujuan dari program manajemen resiko Langkah pertama adalah dengan menetapkan tujuan perusahaan dalam membuat risk management program. Tujuan dari program harus dapat mengurangi cost of insurance atau mengurangi jumlah program terkait yang terkena dampaknya. Dengan menetapkan tujuan sebelum membuat risk management planning, organisasi dapat menetapkan Key Performance Indicator (KPIs) serta mengevaluasi hasilnya untuk mengukur efektivitas program. b. Assign Responsibility for Risk Management Plan Langkah berikutnya adalah dengan merancangkan tanggung jawab tim dan individual dalam mengembangkan dan mengimplementasikan Risk Management Program. Saat tim terlebih dahulu bertanggung jawab terhadap risk management plan, mereka memerlukan integrasi dari risk management dalam segala tingkat organisasi. Staff Operasi dan anggota harus membantu komite risk anagement dalam mengenali resiko dan mengembangkan control terhadap kerugian serta campur tangan dalam strategi perusahaan.
2. Risk Management Process Langkah pertama dalam proses adalah mengidentifikasi dan mengkalsifikasi sumber daya informasi atau asset yang memerlukan perlindungan karena mereka rentan terhadap ancaman. Tujuan dari pengklasifikasian ini adalah untuk memprioritaskan investigasi mana yang perlu ditindaklanjuti serta menetapkan perlindungan yang sesuai, serta mengaktifkan model standar dari perlindungan yang dapat diaplikasikan. Contoh dari klasifikasi asset dengan IT dan informasi: • Informasi dan data
Langkah berikutnya adalah mengenali ancaman serta kerentanan yang tergabung dalam sumber informasi dan kemungkinan terjadinya. Dalam hal ini, ancaman merupakan suatu siklus atau kejadian yang potensial yang menyebabkan sumber informasi mengalami kerusakan, pengungkapan, modifikasi data, maupun servis.
Ancaman yang seringkali terjadi: • Errors • Serangan / kerusakan berbahaya • Fraud (penipuan) • Theft (pencurian) • Kegagalan peralatan atau software
Ancaman terjadi karena kerentanan terkait dengan penggunaan system informasi. Kerentanan merupakan karakeristik dari system informasi yang dapat dieksploitasi dengan ancaman yang menyebabkan bahaya. Contoh dari kerentanan (vulnerabilities): • Kekurangan pengetahuan pengguna • Kekurangan fungsi keamanan • Pemilihan password yang salah
• Teknologi yang belum diuji coba • Transmisi komunikasi yang tidak terproteksi
Hasil dari ancaman yang terjadi karena hal tersebut dinamakan dampak dan dapat menimbulkan kerugian bagi pihak lain. Dalam organisasi komersial, ancaman biasanya menjadi hasil dalam kerugian direct financial baik dalam jangka panjang maupun dalam jangka pendek. Contoh dari kerugian: • Kerugian financial (keuangan) • Pelanggaran undang-undang • Kerugian reputasi / goodwill • Membahayakan staff dan pelanggan • Kehilangan kepercayaan diri perusahaan • Kehilangan peluang bisnis • Pengurangan efisiensi operasi • Gangguan aktivitas bisnis
Sekali elemen resiko ditetapkan, mereka akan membentuk gambaran besar dari resiko. Metode yang sering digunakan dalam mengkombinasikan elemn yaitu dengan mengkalkulasikan kerentanan dari dampak X (kemungkinan terjadinya terkait dengan sebagian sumber daya informasi) pada tiap elemen untuk memberikan pengukuran resiko secara keseluruhan. Resiko sebanding dengan kerugian / kerusakan dan frekuansinya terestimasi dalam ancaman.
3. Risk Analysis Method
Metode ini membahas risiko yang dinilai secara kualitatif, semikuantitatif dan kuantitatif sehingga bermanfaat untuk melihat keunggulan dan keterbatasan organisasi. • Metode Analisis Kualitatif Metode analisis risiko yang paling sederhana dan sering digunakan. Biasanya dilakukan dengan melakukan checklist dan menggolongkan risiko kedalam rank high, medium atau low. • Metode Analisis Semikuantitatif Dalam analisis semikuantitatif, ranking digambarkan melalui skala numerik. Metode ini biasanya digunakan apabila sulit untuk menggunakan metode kuantitatif atau sulit dalam memperkecil subjektivitas dalam metode kualitatif. • Metode Analisis Kuantitatif Menggunakan nilai numerik untuk mendeskripsikan dampak dari risiko. Dalam menganalisis dampak tersebut digunakan data dari beberapa tipe sumber daya yang ada, seperti catatan historis atau pengalaman masa lalu dari kegiatan industri. Probabilitas dan Ekspektasi Kebanyakan metode didasarkan pada teori statistikal dari probabilitas dan ekspektasi. Walaupun terdapat berbagai teori ilmiah, segala kejadian aktual akan mempengaruhi nilai yang akan diprediksi, seperti masalah di lingkungan sosial dan ekonomi. Kejadian tersebut tidak dapat diprediksi secara akurat namun apabila terdapat informasi historis yang memadai maka level keakuratannyapun semakin tinggi.
IS Management Practices
Praktek ini merefleksikan implementasi dari kebijakan dan pengembangan prosedur dari berbagai IS yang berkaitan dengan aktivitas manajemen. Dalam organisasi, departemen IS adalah departemen support yang membantu melengkapi aspek operasi organisasi. IS auditor perlu memahami dan menilai tingkat yang telah dikelola dengan baik oleh departemen IS dalam mencapai tujuan organisasi.
Human Resources Management
Berkaitan dengan kebijakan dan prosedur dalam merekrut, memilih, melatih dan mempromosikan staf dengan mempertimbangkan kinerja staf, kedisiplinan dan kesuksesan dari perencanaan. Perekrutan Merupakan hal utama dalam organisasi yang bermanfaat untuk memastikan bahwa staf yang dipekerjakan merupakan seseorang dengan
persyaratan perekrutan legal.
Buku Pedoman Karyawan Buku pedoman karyawan, diberikan ke seluruh karyawan waktu menyewa, buku pedoman karyawan harus menjelaskan hal-hal seperti : • Kebijakan dan prosedur keamanan • Kelakuan yang diterima dan tidak diterima • Nilai organisasional dan kode etik • Harapan perusahaan • Tunjangan karyawan • Kebijakan liburan • Aturan lembur • Pekerjaan luar • Evaluasi kinerja • Kebijakan darurat • Tindakan pendisiplinan untuk : ketidakhadiran berlebihan, pelanggaran kerahasiaan atau keamanan, ketidaktaatan terhadap kebijakan. Umumnya, harus ada kode etik yang diterbitkan untuk menjelaskan tanggung jawab dari seluruh karyawan.
Kebijakan Promosi
Kebijakan promosi haruslah adil dan merata serta dimengerti oleh karyawan-karyawan. Kebijakan harus didasarkan kriteria objektif dan mempertimbangkan kinerja, pendidikan, pengalaman dan level tanggung jawab individual. Auditor sistem informasi harus memastikan bahwa sistem informasi organisasi harus memiliki kebijakan dan prosedur promosi yang baik dan mengikutinya.
Pelatihan Pelatihan harus dilaksanakan secara teratur ke seluruh karyawan berdasarkan area di mana kehalian karyawannya kurang. Pelatihan sangat penting bagi professional sistem informasi, berhubungan dengan perubahan teknologi dan produk yang cepat, selain itu pelatihan harus diberikan saat ada perangkat keras atau perangkat lunak baru diimplementasikan. Pelatihan yang diberikan termasuk pelatihan manajemen yang relevan, manajemen projek dan pelatihan teknis. Pelatihan silang memiliki lebih dari 1 individu yang dilatih untuk melakukan suatu pekerjaan atau prosedur spesifik. Praktik ini memiliki keuntungan mengurangi ketergantungan terhadap seorang pekerja dan bisa menjadi bagian perencanaan pergantian, selain itu juga memberikan cadangan untuk personil yang tidak dapat hadir karena suatu alasan sehingga membantu kelangsungan operasi. Bagaimanapun penggunaan metode ini, adalah lebih bijaksana menilai risiko dan memperkirakan ancaman apa yang mungkin terjadi.
Penjadwalan dan Waktu Pelaporan Penjadwalan yang tepat berdampak ke operasi dan penggunaan sumber daya komputasi yang lebih efisien. Pelaporan waktu membuat manajemen dapat mengawasi proses penjadwalan. Manajemen bisa menentukan apakah staf tercukupi dan apakah operasi dapat berjalan dengan efisien, karenanya informasi yang akurat sangatlah penting.
Pelaporan waktu bisa menjadi sumber informasi yang sangat baik untuk tujuan tata kelola teknologi informasi. Satu dari sumber-sumber daya teknologi informasi yang langka adalah waktu dan pelaporan yang tepat akan membantu mengatur sumber daya yang terbatas dengan lebih baik. Input ini bisa berguna untuk alokasi biaya, indikator tujuan kunci, dan indikator pengukuran kunci kinerja serta analisis aktivitas contohnya berapa lama yang dibutuhkan organisasi untuk merubah aplikasi dibandingkan pengembangan aplikasi baru.
Evaluasi Kinerja Karyawan Evaluasi kinerja harus merupakan fitur standard dan teratur untuk seluruh staf sitem informasi. Departemen SDM harus memastikan bahwa manajer dan karyawan sistem informasi harus saling menyetujui tujuan dan hasil yang diharapkan; penilaian dapat ditetapkan berdasarkan tujuan-tujuan ini hanya jika prosesnya objektif dan netral. Kenaikan gaji, bonus kinerja dan promosi harus didasarkan kinerja. Begitu pula dengan pengukuran aspirasi, kepuasan dan indentifikasi masalah karyawan.
Kebutuhan Liburan Liburan harus dipastikan paling tidak sekali setahun, pada waktu di mana karyawan selain karyawan yang biasa akan melakukan suatu fungsi kerja, ini berguna mengurangi kesempatan untuk melakukan hal kecurangan. Pada saat seperti ini, mungkin saja untuk menemukan aktivitas kecurangan selama tidak ada kolusi antara karyawan yang menggantikan dan karyawan biasa untuk menutup perbedaan yang mungkin terjadi. Rotasi pekerjaan memberikan pengendalian tambahan (untuk mengurangi risiko kecurangan) karena individu yang sama tidak melakukan pekerjaan yang sama sepanjang waktu. Ini memberikan kesempatan individu yang tidak biasanya melakukan pekerjaan untuk memperhatikan penyimpangan.
Kebijakan Penghentian Kebijakan harus ada secara tertulis untuk memberikan langkah yang jelas, kebijakan harus disusun untuk memberikan perlindungan yang cukup atas aset dan data komputasi organisasi. Praktik pemberhentian harus ada yang sukarela maupun tidak sukarela. Untuk situasi tertentu, seperti penghentian tidak sukarela di bawah kondisi rugi, organisasi harus punya prosedur yang jelas dan didokumentasikan. Prosedur pengendalian berikut harus dijalankan :
• Mengembalikan semua kunci akses, kartu identitas dan lencana
untuk menghindari akses fisik yang mudah.
• Penghapusan
atau peggantian ID dan password untuk melarang akses sistem.
• Pemberitahuan supaya menyesuaikan personel staf dan
keamanan sehubungan dengan status karyawan yang berhenti.
• Pengaturan rutinitas pembayaran akhir menghapus karyawan
dari file gaji yang aktif.
• Melakukan wawancara penghentian untuk mengumpulkan
gambaran persepsi karyawan terhadap manajemen. • Mengembalikan semua properti perusahaan. Praktik Sourcing Praktik sourcing berhubungan dengan cara bagaimana organisasi mendapatkan fungsi sistem informasi yang dibutuhkan untuk mendukung bisnis. Strategi sourcing harus mempertimbangkan setiap fungsi sistem informasi dan menentukan pendekatan apa yang dapat menyesuaikan fungsi sistem informasi dengan tujuan perusahaan. Pengiriman fungsi sistem informasi dapat mencakup :
• • •
Insourced dilakukan oleh staf organisasi secara keseluruhan. Outsourced dilakukan staf pemasok secara keseluruhan. Hybrid dilakukan oleh campuran staf organisasi dan pemasok, dapat mencakup joint ventures ataupun staf pendukung.
Fungsi sistem informasi yang dilakukan secara global, mempunyai keuntungan waktu dan tingkat tenaga kerja, mencakup :
• •
Onsite staf berkerja di dalam departemen sistem informasi. Offsite staf bekerja di lokasi yang jauh dalam area geografis yang sama. Offshore staf bekerja di lokasi yang jauh di wilayah geografis yang berbeda.
•
Organisasi harus mengevaluasi fungsi sistem informasinya dan menentukan apakah metode pengiriman dari fungsi sistem informasi tersebut tepat, dengan pertimbangan berikut : • • Apakah ini fungsi inti untuk organisasi? Apakah fungsi ini punya pengetahuan spesifik, proses dan staf untuk mencapai tujuannya dan tidak bisa direplikasi oleh pihak eksternal ataupun di lokasi lain? Bisakah fungsi ini dilakukan oleh bagian lain atau lokasi lain dengan harga sama atau lebih rendah, dengan kualitas sama atau lebih rendah dan tanpa meningkatkan risiko? Apakah organisasi berpengalaman mengatur pihak ketiga atau menggunakan lokasi jauh atau offshore untuk mengeksekusi fungsi bisnis atau sistem informasi?
•
•
Berdasarkan penyelesaian dari strategi sourcing, komite sistem informasi harus mereview dan menyetujui strategi tersebut. Apabila organisasi telah memilih untuk menggunakan outsourcing, langkah-langkah yang harus diikuti adalah sebagai berikut : • • Menentukan fungsi sistem informasi yang dioutsource. Menjelaskan level jasa yang dibutuhkan.
• • •
Mengetahui level pengetahuan yang diinginkan, kemampuan dan kualitas dari penyedia jasa. Mengetahui informasi biaya bila insourced untuk dibandingkan dengan penawaran pihak ketiga. Melakukan review penyedia-penyedia jasa yang potensial.
Dengan menggunakan informasi ini, organisasi dapat melakukan analisis rinci dari penawaran penyedia jasa dan menentukan apakah outsourcing dapat membantu organisasi mencapai tujuannya dalam cara yang costeffective, dengan risiko yang terbatas.
Praktik dan Strategi Outsourcing Praktik outsourcing berkaitan dengan persetujuan kontraktual di mana organisasi menyerahkan kontrol dari bagian atau keseluruhan fungsi sistem informasi ke pihak eksternal. Kebanyakan departemen sistem informasi menggunakan sumber daya informasi dari susunan pemasok yang luas, karenanya dibutuhkan proses outsourcing yang jelas untuk menangani perjanjian kontraktual dengan pemasok-pemasok ini secara efektif. Kontraktor memberikan sumber daya dan keahlian yang dibutuhkan untuk melakukan jasa yagn disetujui. Outsourcing menjadi semakin berkemabang di banyak organisasi. Auditor sistem informasi harus menyadari perbedaan bentuk outsourcing dapat menghilangkan dan menimbulkan risiko-risiko. Tujuan spesifik untuk outsourcing teknologi informasi berbeda di setiap organisasi. Biasanya, untuk mencapai tujuan, peningkatan yang berarti dalam proses bisnis dan jasa melalui restrukturisasi, untuk mengambil keuntungan dari kompetensi inti pemasok. Keputusan untuk outsource produk dan jasa membutuhkan manajemen untuk meninjau kembali kerangka kerja pengendaliannya. Alasan untuk memulai outsourcing termasuk : • • • Keinginan untuk berfokus ke aktivitas inti. Tekanan atas margin laba. Mengembangkan kompetisi yang membutuhkan penghematan biaya.
•
Fleksibilitas.
Jasa yang diberikan oleh pihak ketiga mencakup : • • Pemasukan data Desain dan pengembangan sistem baru dalam hal tidak ada staf dalam yang punya keahlian yang sesuai atau pekerjaan yang prioritasnya tinggi atau dalam hal pekerjaan satu waktu yang tidak membutuhkan staf dalam tambahan. Memelihara aplikasi yang sudah mengembangkan aplikasi baru. ada agar staf dalam dapat
• • • •
Pengubahan aplikasi warisan ke yang baru. Mengoperasikan pusat panggilan . Proses operasi.
Keuntungan dari outsourcing mencakup : • • • • Perusahaan outsourcing komersial bisa mencapai skala ekonomi melalui penyebaran komponen perangkat lunak yang digunakan ulang. Pemasok outsourcing lebih bisa memberikan waktu dan berfokus pada projek dengan efektif dan efisien daripada staf dalam. Pemasok outsourcing lebih berpengalaman terhadap susunan masalah yang lebih luas, isu dan teknik daripada staf dalam. Tindakan mengembangkan spesifikasi dan persetujuan kontraktual menggunakan jasa outsourcing seringkali menghasilkan spesifikasi yang lebih baik daripada bila dikembangkan staf dalam. Pemasok sangatlah peka terhadap pengalihan dan perubahan yang memakan waktu, feature creep atau scope creep kurang mungkin dengan pemasok outsourcing.
•
Kerugian dan risiko bisnis yang mungkin dari outsourcing meliputi:
• • • • •
•
Biaya yang melebihi ekspektasi pelanggan Kerugian dari penerapan IS internal Kelemahan kontrol IS Kegagalan vendor Akses produk yang terbatas Kesulitan mengembalikan atau mengganti outsourced arrangements Kurang patuh terhadap hukum dan regulasi Kontrak yang tidak mencapai kesepakatan Loyalitas personel kontraktor yang rendah kepada pelanggan Ketidakpuasan pelanggan atau karyawa sebagai hasil dari pengaturan outsource Biaya jasa tidak kompetitif selama periode kontrak keseluruhan Keusangan sistem IT dari vendor Kegagalan perusahaan untuk outsourcing arrangement mengantisipasi keuntungan dari
• • •
•
• •
•
• • •
Kehancuran reputasi perusahaan karena kegagalan proyek Proses pengadilan yang lama dan mahal Risiko kehilangan atau kebocoran informasi atau proses
Beberapa cara untuk mengurangi risiko di atas yaitu dengan: • • Menetapkaan pengukuran, tujuan, dan pemberlakuan pembagian keuntungan Menggunakan beberapa supplier atau mengeliminasi salah satu bisnis sebagai insentif
• • • •
Melakukan review kompetitif benchmarking/benchtrending
secara
periodik
dan
Mengimplementasikan kontrak jangka pendek Membentuk tim manajemen kontrak lintas fungsional Mempertimbangkan sebanyak mungkin kontinjensi yang cukup dapat diramalkan yang termasuk dalam ketentuan kontrak
Outsourcing memerlukan manajemen untuk secara aktif mengatur hubungan dan jasa yang di-outsource. Outsourcing agreement diatur dalam bentuk kontrak, kontrak dengan penyedia layanan outsource meliputi deskripsi mengenai pengertian, metode, proses dan struktur yang menyertai penawaran dari IS servis and produk, dan kontrol atas kualitas.
Setelah outsourcer dipilih, IS auditor harus melakukan review secara teratur atas kontrak dan tingkat layanan untuk meyakini bahwa outsourcer yang terpilih benar-benar sesuai. Di samping itu, IS auditor dapat mereview dokumentasi prosedur dari outsourcer dan hasil dari kualitas program mereka, yang misalnya meliputi: metodologi Capability Maturity Model (CMM), Information Technology Infrastructure Library (ITIL), dan International Organization dor Standardization (ISO). Kualitas program membutuhkan audit yang teratur untuk menyatakan bahwa proses dan prosedur telah memenuhi kualitas standar.
Outsourcing bukan hanya merupakan sebuah keputusan biaya; melainkan sebuah keputusan strategis yang mempunyai implikasi kontrol yang signifikan terhadap manajemen. Kualitas dari layanan, garansi dari kontinuitas layanan, kontrol prosedur, keunggulan kompetitif dan pengetahuan teknis merupakan isu-isu yang menjadi bagian dari keputusan untuk menggunakan jasa outsource IT.
Keputusan untuk menggunakan jasa outsource dalam perusahaan membutuhkan perhatian yang tepat dalam negosiasi kontrak. Kontrak yang
baik dan service level agreement (SLA) sangat penting untuk tujuan kualitas perusahaan dan kerja sama dengan pihak terkait di masa mendatang.
SLA merupakan sebuah kontrak yang menjadi sarana untuk membantu departemen IS mengatur sumber daya informasi di bawah kontrol vendor. SLA menetapkan dan mengkomitkan vendor untuk memenuhi tingkat layanan dan pilihan support yang diperlukan. Hal ini termasuk menyediakan kinerja sistem yang bergaransi dalam hal downtime ataupun uptime, dan level yang spesifik dari customer support. Kebutuhan software atau hardware juga ditetapkan. SLA juga menyediakan ketentuan penalti dan pelaksanaan opsi untuk layanan yang tidak sesuai dan juga insentif seperti bonus, gain-sharing untuk level servis yang melebihi standar.
Laporan Audit Outsourcing dan Pihak Ketiga (Third-party)
Satu metode untuk IS auditor memiliki keyakinan bahwa kontrol telah diimplementasikan oleh penyedia layanan adalah dengan meminta provider secara berkala menyediakan laporan audit pihak ketiga. Laporan ini mencakup isu-isu yang berhubungan dengan kerahasiaan, intergritas, dan ketersediaan data. Auditor pihak ketiga harus dapat diterima oleh IS auditor dan auditee, dan telah disetujui sebelumnya.
SAS 70 dirancang untuk menyediakan batasan-batasan bagi auditor jasa dalam menerbitkan laporan mengenai kontrol perusahaan jasa yang mungkin merupakan bagian dari sistem informasi perusahaan pengguna di dalam konteks laporan keuangan. SAS 70 juga menyediakan batasan bagi auditor eksternal dalam melakukan audit laporan keuangan perusahaan yang menggunakan perusahaan servis.
Metode kedua memperbolehkan review secara periodik oleh auditor perusahaan vendor. Hal ini mungkin tidak diterima oleh vendor karena terkait dengan penyediaan waktu dan sumber daya untuk setiap audit.
Pengaturan dalam Outsourcing
Outsourcing adalah suatu mekanisme yang memungkinkan perusahaan untuk mentransfer jasa kepada pihak ketiga. Dasar dari outsourcing adalah menerima bahwa ketika jasa diberikan, terdapat tanggung jawab tetap dengan manajemen perusahaan klien–harus memastikan bahwa risiko telah dikelola dengan baik dan nilai dari penyedia layanan akan terus diberikan. Transparansi dan kepemilikan dari proses pengambilan keputusan berada dalam lingkup klien.
Pengaturan outsourcing adalah suatu set tanggung jawab, peran, tujuan, interfaces, dan kontrol yang dibutuhkan untuk mengantisipasi perubahan dan mengelola pengenalan, pemeliharaan, kinerja, biaya, dan kontrol dari pihak ketiga penyedia layanan. Hal ini merupakan proses aktif dimana klien dan penyedia layanan harus saling mengadopsi untuk menyediakan suatu pendekatan konsisten dan efektif bersama yang mengidentifikasikan informasi, hubungan, kontrol, dan pertukaran di antara banyak pemangku kepentingan di kedua pihak.
Pengaturan outsourcing meluaskan tanggung jawab kedua pihak (klien dan supplier) ke arah: •
• •
Memastikan kelangsungan hidup kontrak melalui review berkelanjutan, perbaikan dan manfaat keuntungan bagi kedua belah pihak Penyertaan jadwal explicit governance dalam kontrak Mengelola hubungan untuk memastikan bahwa kewajiban kontrak telah disepakati melalui SLAs dan operating level agreements (OLAs) Mengidentifikasi dan mengelola hubungan dan ekspektasi mereka seluruh pemangku kepentingan,
•
•
Membentuk peran dan tanggung jawab yang jelas untuk pengambilan keputusan, sengketa manajemen, tuntutan manajemen, dan pemberian jasa Mengalokasi sumber daya, pengeluaran dan konsumsi jasa dalam merespon pemprioritasan kebutuhan Melakukan evaluasi berkelanjutan atas kinerja, biaya, kepuasan pengguna, dan keefektifan Melakukan komunikasi kepentingan berkelanjutan dengan para pemangku
• • •
Kapasitas dan Rencana Pertumbuhan
Mengingat pentingnya strategi IT dalam perusahaan dan perubahan konstan dalam teknologi, kapasitas dan rencana pertumbuhan adalah penting. Aktivitas ini harus direfleksikan dalam rencana bisnis jangka panjang dan pendek dan harus dipertimbangkan dalam proses penganggaran. Perubahan dalam kapasitas seharusnya tidak hanya merefleksikan perubahan dalam infrastruktur pokok, tetapi juga dalam jumlah staff yang tersedia untuk mendukung perusahaan. Kurangnya staff yang berkualitas mungkin menghambat proyek penting perusahaan atau mengakibatkan tidak terpenuhinya tingkat layanan yang disepakati. Inilah yang mendorong beberapa perusahaan memilih outsourcing sebagai solusi untuk pertumbuhan.
Manajemen Pemberian Jasa oleh Third-patry
Tiap perusahaan yang menggunakan jasa pihak ketiga harus mempunyai sistem manajemen pemberian jasa untuk mengimplementasikan
dan mempertahankan tingkat keamanan informasi dan pemberian jasa yang sesuai dengan kesepakatan pemberian jasa oleh pihak ketiga.
PEMBERIAN JASA Kontrol keamanan, definisi jasa dan tingkat pelayanan termasuk dalam perjanjian pemberian jasa oleh pihak ketiga (third-party service delivery agreement) yang harus diimplementasikan, dioperasikan, dan dipelihara oleh pihak ketiga. Pemberian layanan oleh pihak ketiga meliputi kesepakatan mengenai persetujuan keamanan, definisi jasa, dan aspek-aspek dari manajemen jasa. Dalam hal perjanjian outsourcing, perusahaan harus merencanakan transisi yang diperlukan (informasi, fasilitas pusat data, dan hal lain yang dibutuhkan untuk peralihan) dan memastikan bahwa keamanan terjaga selama periode transisi. Perusahaan harus memastikan bahwa pihak ketiga memelihara kecukupan kapabilitas jasa bersamaan dengan rencana kerja untuk meyakini bahwa kesepakatan mengenai tingkat keberlanjutan jasa terjaga ketika terjadi kegagalan jasa utama atau bencana.
PENGAWASAN DAN REVIEW JASA PIHAK KETIGA Jasa, laporan dan catatan yang disampaikan oleh pihak ketiga harus diawasi dan direview secara teratur demikian juga dengan audit, harus dilakukan secara teratur. Pengawasan dan review jasa pihak ketiga harus memastikan bahwa syarat dan kondisi keamanan informasi dalam perjanjian telah dipatuhi, dan masalah keamanan informasi telah dikelola secara tepat. Hal ini melibatkan hubungan dan proses manajemen jasa antara perusahaan dengan pihak ketiga untuk: • • Mengawasi kinerja jasa guna mengecek kepatuhan terhadap perjanjian Mereview laporan jasa yang disampaikan oleh pihak ketiga dan mengatur pertemuan rutin sesuai yang tercantum dalam perjanjian
•
Menyediakan informasi mengenai insiden keamanan informasi dan mereview informasi ini dengan pihak ketiga dan perusahaan seperti yang tercantum dalam perjanjian dan pedoman serta prosedur-prosedur yang mendukung Mereview jejak audit dan laporan peristiwa keamanan, masalah operasional, kegagalan, penelusuran kesalahan dan gangguan yang berkaitan dengan pemberian jasa oleh pihak ketiga Mengatasi dan mengelola masalah yang teridentifikasi
•
•
Perusahaan harus memelihara kecukupan kontrol dan visibilitas atas seluruh aspek keamanan dari informasi penting serta akses, proses, dan pengelolaan pengolahan informasi oleh pihak ketiga. Perusahaan juga harus memastikan bahwa pihak ketiga telah menjaga visibilitas dari aktivitas pengamanan seperti perubahan manajemen, laporan/respon dari indentifikasi kerentanan dan insiden keamanan informasi melalui pendefinisian proses, format, dan struktur laporan yang jelas. Dalam outsourcing, perusahaan harus sadar bahwa tanggung jawab terakhir dari proses informasi dalam outsourcing berada di tangan perusahaan.
MENGELOLA PERUBAHAN KE JASA PIHAK KETIGA Perubahan ketentuan jasa, termasuk memelihara dan mengembangkan kebijakan keamanan informasi yang sudah ada, prosedur dan pengendalian, harus dikelola dengan mempertimbangkan sistem bisnis dan proses terkait juga penilaian risiko. Proses mengelola mempertimbangkan : • perubahan ke jasa pihak ketiga perlu
Perubahan yang diimplementasikan organisasi : 1. Peningkatan jasa saat ini. 2. Pengembangkan aplikasi dan sistem baru. 3. Modifikasi atau update kebijakan dan prosedur organisasi.
4. Pengendalian baru untuk mengatasi insiden keamanan informasi dan meningkatkan keamanan. 5. Update kebijakan termasuk kebijakan keamanan teknologi informasi. • Perubahan jasa yang diimplementasikan pihak ketiga : 1. Perubahan dan peningkatan jaringan. 2. Penggunaan teknologi baru. 3. Adopsi produk baru atau versi terbaru. 4. Pengembangan peralatan dan lingkungan baru. 5. Perubahan lokasi fisik dari fasilitas jasa. 6. Perubahan pemasok atau subkontraktor.
Peningkatan Jasa dan Kepuasan Pengguna SLAs menetapkan dasar di mana outsourcers melakukan fungsi sistem informasi. Sebagai tambahan, organisasi dapat menetapkan harapan perbaikan jasa ke dalam kesepakatan yang terkait dengan hukuman dan penghargaan. Contoh peningkatan jasa mencakup : • • • Pengurangan jumlah panggilan help desk. Pengurangan jumlah sitem eror. Peningkatan availability sistem.
Peningkatan jasa harus disetujui pengguna dan IT dengan tujuan meningkatkan kepuasan pengguna dan mencapai tujuan bisnis. Kepuasan pelanggan diawasi dengan wawancara dan survey pengguna.
Standard Industri / Benchmarking Standar industri atau benchmarking memberi sebuah sarana menentukan tingkat kinerja yang diberikan lingkungan fasilitas yang memproses informasi yang sama. Standard ini atau statistic benchmarking dapat
diperoleh dari kelompok pemasok pengguna, publikasi industri dan asosiasi professional. Contoh termasuk ISO 9000 dan the Software Engineering Institute’s CMM. Organisasi outsourcing harus mematuhi standar yang telah ditentukan yang dapat menjadi pegangan kliennya.
Yovita
-the act of developing specifications and contractual agreements using outsourcing services is likely to result in better specifications than if developed only by in-house staff Perlakuan dari pengembangan spesifikasi dan perjanjian kontrak menggunakan jasa outsourcing seperti menghasilkan spesifikasi yang lebih baik daripada jika hanya membangun staff in-house -as vendors are highly sensitive to time-consuming diversions and changes, feature creep or scope creep is substantially less likely with outsourcing vendors Sebagai supplier yang sensitif terhadap perbedaan waktu konsumsi dan perubahan, fitur creep (merayap) secara substansial memiliki sedikit kemiripan dengan supplier outsourcing