Aspek Pengumpulan Bukti

Aspek-aspek pada IT Governance 

Saat ini peranan teknologi informasi telah mengalami pergeseran. Pergeseran tersebut terjadi, setidaknya dalam tiga aspek yaitu :

1. Aspek Keberadaan IT

Pada aspek keberadaan IT, telah terjadi pergeseran cukup signifikan. Pergeseran IT sebagai pengolah data pada sebuah departemen PDE (pengolahan data elektronik) menjadi penyedia informasi bagi pihak manajemen (departemen IT).

2. Aspek Peranan IT

Aspek berikutnya, peranan IT. Peranan IT yang bersifat efisiensi/teknis/operasional berubah peran menjadi strategik. Peran strategik ditandai dengan peranan IT tidak semata “dimainkan” oleh departemen IT saja, tetapi telah berubah menjadi tanggungjawab sebuah organisasi/korporat/institusi.

3. Aspek pendorong utama transpormasi bisnis

Keberadaan IT seharusnya dapat memberikan dampak dalam organisasi/korporat/institusi. Keberadaan IT seharusnya juga memberikan “dorongan kuat” kepada pencapaian tujuan besar organisasi/korporat/institusi. Hal ini merupakan aspek yang terakhir dari pergeseran peranan IT

Aspek - aspek pada Risk Management

1.  Tataran Korporasi

Aspek ini  terdiri atas tiga hal. 

Pertama, kecukupan modal minimum. Kedua, batasan portofolio investasi. Ketiga, pemisahan rekening perusahaan dan nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate crime).

2. Tataran Pengelola Perusahaan

Aspek ini terdiri atas tiga hal juga. Pertama, kompetensi manajemen berupa pengalaman dan keahlian. Kedua, integritas pengurus berupa rekam jejak yang tidak tercela. Ketiga, tata pengelolaan yang baik dan transparan. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan pimpinan perusahaan (white collar crime).  

3. Tataran Pelaksana Lapangan Perusahaan

Aspek ini terdiri atas tiga hal. Pertama, pengenalan selera risiko nasabah (risk appetite). Kedua, pengetahuan tenaga penjual akan produk investasi yang dijualnya. Ketiga, transparansi dalam menjelaskan risiko investasi. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan tenaga pelaksana (blue collar crime). 

Contoh Penerapan IT Governance dan Risk Management

WIKA menerapkan kebijakan TI dimulai dengan penyusunan Pedoman Tata Kelola TI dan Prosedur TI WIKA. Perusahaan bertanggung jawab penuh terhadap investasi, biaya dan manfaat teknologi dan system informasi yang beroperasi di lingkungan Perusahaan. Perusahaan memiliki wewenang penuh terhadap penerapan Teknologi dan Sistem Informasi yang ditujukan untuk menuju peningkatan produktivitas di lingkungan Perusahaan sesuai dengan rencana usaha Perusahaan dengan berpedoman pada prinsip Tata Kelola TI.

Hal-hal yang mendasari penyusunan Pedoman Tata Kelola TI dan Prosedur TI antara lain:

1.     Peraturan Menteri BUMN Nomor PER-02/MBU/2013 tentang Panduan Penyusunan Pengelolaan Teknologi Informasi Badan Usaha Milik Negara;

2.     Peraturan internal perusahaan terkait dengan struktur organisasi dan Good Corporate Governance.

Sedangkan maksud dan tujuan disusunnya pedoman ini adalah:

1.     Untuk memberikan kerangka pengaturan kepada seluruh unit yang terkait dengan penyelenggaraan Teknologi Informasi Perusahaan untuk dapat melaksanakan secara konsisten dan berkesinambungan terhadap Pedoman Tata Kelola dan Pengelolaan Teknologi lnformasi Perusahaan;

2.     Untuk memberikan kerangka acuan kepada setiap unit yang terkait dengan penyelenggaraan Teknologi Informasi Perusahaan dalam penyusunan dan penetapan Petunjuk Pelaksanaan dan Prosedur agar terjadi sinergi antara pengembangan dan operasional di lingkungan organisasi unit terkait;

3.     Tersedianya pedoman untuk terwujudnya pola standarisasi kerangka pelaksanaan pengembangan, penerapan dan operasi Teknologi Informasi secara terstruktur;

4.     Tersedianya alat bantu bagi Perusahaan untuk meningkatkan efektivitas dan efisiensi proses bisnis, produktivitas dan tersedianya informasi yang lengkap, komprehensif, akurat dan tepat waktu untuk mendukung proses pengambilan keputusan, dalam rangka memenuhi kebutuhan pelanggan, meningkatkan kinerja dan pertumbuhan Perusahaan serta memenangkan persaingan bisnis.

Langkah Audit IT Governance

Auditor TI bertanggung jawab atas penilaian efisiensi tata kelola TI dengan tingkatan prosedur dalam pelaksanaannya. Auditor TI (dari dalam organisasi atau independen) dapat melakukan sejumlah peran  kunci dalam Gary Hardy, “The Role of the IT  Auditor in IT Governance” 1 (2009): 1–2. :

a. memulai program tata kelola TI: menjelas- kan tata kelola TI dan nilainya pada 
    manajemen
b. memberikan masukan dan membantu memberikan kondisi yang sebenarnya
c. merencanakan solusi tata kelola TI
d. memantau inisiatif tata kelola TI
e. membantu membuat bisnis tata kelola TI, seperti : memberikan input objektif dan konstruktif, mendorong penilaian diri, dan memberikan keyakinan kepada manajemen bahwa tata kelola bekerja secara efektif.

Beberapa Domain pada Audit IT

Audit IT pada domain EDM (Evaluate, Direct, and Monitor)

Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.

Audit IT pada domain APO (Align, Plan, and Organise)

Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan bisnis.

Audit IT pada domain BAI (Build, Acquire, and Implement)

Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.

Audit IT pada domain DSS (Deliver, Service, and Support)

Proses manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.

Audit IT pada domain MEA (Monitor, Evaluate, Assess)

Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.


Source :

• https://medium.com/naufaldi/kuliah-it-governance-integrasi-tata-kelola-it-dengan-bussines-strategy-7abd74cdc3c2
• https://adiazep.wordpress.com/2017/12/27/it-governance-risk-management/
• https://www.corporatecomplianceinsights.com/key-elements-of-the-risk-management-process/
• http://citrarhmdn.blogspot.com/2017/12/it-governance-dan-risk-management.html