IT Governance (Audit Sistem Informasi Midterm#1 of 2)

Definisi
Proses tata-kelola adalah proses-proses yang ditujukan untuk memastikan bahwa tujuan-tujuan utama tata-kelola dapat tercapai, terkait dengan pencapaian tujuan organisasi, pengelolaan sumber daya, dan manajemen risiko.
"IT Governance merupakan bagian integral dari tata kelola organisasi yang terdiri dari kepemimpinan dan struktur organisasi serta proses-proses, yang menjamin IT dari organisasi dapat bertahan dan membantu mencapai tujuan dari organisasi" (menurut ITGI)
Wikipedia : Tata kelola teknologi informasi (Bahasa Inggris: IT governance) adalah suatu cabang dari tata kelola perusahaan yang terfokus pada sistem teknologi informasi (TI) serta manajemen kinerja dan risikonya

Komponen IT Governance (COBIT)

1. Keselarasan strategi, IT selaras dengan kondisi dan jenis bisnis
2. Pencapaian nilai, IT mendukung organisasi dan memaksimalkan keuntungan
3. Pengelolaan sumber daya, Sumber daya IT digunakan secara bertanggungjawab
4. Manajemen risiko, Risiko IT dikelola dengan baik
5. Pengukuran kinerja, transparansi IT dicapai melalui pengukuran kinerja

Lingkup Proses IT Governance

1. Perencanaan Sistem
   1. Arsitektur informasi
   2. Arsitektur aplikasi
   3. Arsitektur infrastruktur teknologi
   4. Organisasi dan manajemen
   5. Pendekatan dan roadmap implementasi
2. Manajemen belanja/investasi
   1. Umur ekonomis sistem
   2. Ketersediaan anggaran
   3. Tingkat kecepatan keusangan sistem
   4. Nilai strategis TIK
   5. Karakteristik proyek (skala, risiko)
   6. Urgensi
   7. Ketersediaan pemasok
   8. Ketersediaan sumber daya
   9. Capital budgeting
3. Realisasi Sistem, yaitu proses yang menangani pemilihan, penetapan, pengembangan/akuisisi, sistem TIK, serta manajemen proyek TIK
   1. Identifikasi dan pemilihan alternatif sistem
   2. Realisasi software aplikasi
   3. Realisasi infrastruktur teknologi
   4. Pengelolaan data
4. Pengoperasian Sistem, yaitu proses yang memberikan jaminan tingkat layanan dan keamanan operasi sistem IT
   1. Manajemen tingkat layanan
   2. Keamanan dan keberlangsungan sistem
   3. Manajemen software aplikasi
   4. Manajemen infrastruktur teknologi
   5. Manajemen data
   6. Manajemen layanan olh pihak ketiga
5. Pemeliharaan Sistem
   1. Pemeliharaan software aplikasi
   2. Pemeliharaan infrastruktur teknologi
   3. Pemeliharaan data
   4. Siklus hidup dan likuidasi sumber
   5. Daya infrastruktur teknologi

Mekanisme Proses IT Governance

1. Kebijakan Umum, merupakan pernyataan yang akan menjadi arahan dan batasan bagi setiap proses tata kelola
2. Monitoring dan Evaluasi, untuk memastikan adanya perbaikan berkesinambungan, mekanisme monev akan memberi feedback atas seluruh proses tata kelola

Jenis-jenis IT Governance Framework

1. Control Objectives for Information and related Technology (COBIT)
2. IT Infrastructure Library (ITIL)
3. ISO 27002 – 2013

COBIT/ the IT Governance Institute (ITGI)
COBIT adalah framework untuk informasi manajemen Risiko IT, atau merupakan "kerangka kerja dan tool set pendukung yang memungkinkan manajer untuk menjembatani kesenjangan antara kebutuhan pengendalian permasalahan teknis dan risiko bisnis, pertama dirilis 1996 oleh Information System Audit and Control Association(ISACA). Versi terbarunya adalah COBIT 5.
Tujuan utama COBIT adalah menyediakan kebijakan yang jelas dan best practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola risiko yang berhubungan dengan IT
Karakteristik Utama COBIT Framework

1. business-focused,
2. process-oriented,
3. controls-based, and
4. measurement-driven.

Empat Domain utama COBIT 4.1 (+COBIT 5)

1. Perencanaan dan organisasi (plan and organize + align)
   1. PO1 Define a strategic IT plan.
   2. PO2 Define the information architecture.
   3. PO3 Determine technological direction.
   4. PO4 Define the IT processes, org and relationship
   5. PO5 Manage the IT investment.
   6. PO6 Communicate mgt aims and direction
   7. PO7 Manage IT human resources.
   8. PO8 Manage quality.
   9. PO9 Assess and manage IT risks.
   10. PO10 Manage projects.
2. Pengadaan dan implementasi (acquire and implement + build)
   1. AI1 Identify automated solutions.
   2. AI2 Acquire and maintain application software.
   3. AI3 Acquire and maintain tech infrastr.
   4. AI4 Enable operation and use.
   5. AI5 Procure IT resources.
   6. AI6 Manage changes.
   7. AI7 Install and accredit solutions and changes.
3. Pengantaran dan dukungan (deliver and support + service)
   1. DS1 Define and manage service levels.
   2. DS2 Manage third-party services.
   3. DS3 Manage performance and capacity.
   4. DS4 Ensure continuous service.
   5. DS5 Ensure systems security.
   6. DS6 Identify and allocate costs.
   7. DS7 Educate and train users.
   8. DS8 Manage service desk and incidents.
   9. DS9 Manage the configuration.
   10. DS10 Manage problems.
   11. DS11 Manage data.
   12. DS12 Manage the physical environment.
   13. DS13 Manage operations.
4. Monitoring dan evaluasi (+assess)
   1. ME1 Monitor and evaluate IT performance.
   2. ME2 Monitor and evaluate internal control.
   3. ME3 Ensure compliance w/ external requirements.
   4. ME4 Provide IT governance.

Prinsip COBIT

1. Memenuhi kebutuhan stakeholder, Menciptakan nilai bagi para stakeholdernya dengan menjaga keseimbangan antara realisasi keuntungan dan optimasi risiko dan penggunaan sumber daya.
2. Melingkupi seluruh perusahaan, mengintegrasikan tata kelola TI perusahaan kedalam tata kelola perusahaan
3. Menerapkan satu kerangka tunggal yang terintegrasi, prinsip ini menyatukan semua pengetahuan yang sebelumnya tersebar dalam berbagai framework ISACA (COBIT, VAL IT, Risk IT, BMIS, ITAF, dll)
4. Menggunakan sebuah pendekatan menyeluruh(holistic approach), memandang bahwa setiap enabler saling memperngaruhi satu sama lain dan menentukan apakah penerapan COBIT 5 akan berhasil.
5. Pemisahan tata kelola dari manajemen, membuat perbedaan yang cukup jelas antara tata kelola dan manajemen. Kedua hal tersebut mencakup brbagai kegiatan yang berbeda, memerlukan struktur organisasi yang berbeda, dan melayani untuk tujuan yang berbeda pula.

COBIT enabler

1. Principles, policies and framework
2. Processes
3. Organisational structure
4. Culture, ethic and behavior
5. Information
6. Services, infrastructure and application
7. People, skill and competencies

Kelebihan COBIT

1. Efektif dan Efisien
2. Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.
3. Rahasia
4. Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.
5. Integritas
6. Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi. 
7. Ketersediaan
8. Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.
9. Kepatuhan Nyata
10. Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen.

Kelemahan COBIT

1. COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional.  Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu diadopsi berbagai framework tata kelola operasional seperti ITIL (The Information Technology Infrastructure Library) yang merupakan sebuah kerangka pengelolaan layanan TI yang terbagi ke dalam proses dan fungsi.
2. Kerumitan penerapan.  Apakah semua control objective dan detailed control objective harus diadopsi, ataukah hanya sebagian saja? Bagaimana memilihnya?
3. COBIT hanya berfokus pada kendali dan pengukuran.
4. COBIT kurang dalam memberikan panduan keamanan namun memberikan wawasan umum atas proses TI pada organisasi daripada ITIL misalnya.

IT Infrastructure Library (ITIL)
ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan framework/best practice bagi IT service management untuk menciptakan layanan teknologi informasi yang bermutu tinggi. Dikembangkan oleh The Office of Government Commerce (OGC)suatu badan dibawah pemerintah Inggris, dengan bekerja sama dengan TheIT Service Management Forum (itSMF) – suatu organisasi independen mengenai manajemen pelayanan TI – dan British Standard Institute (BSI) – suatu badan penetapan standar pemerintah Inggris.
ITIL terdiri dari :

1. Service delivery
2. Service support
3. Planning to impelement service management
4. ICT Infrastructure management
5. Software asset management
6. The business perspective
7. Security managemen
8. Application management

ISO 17799
ISO 17799 adalah 'kode praktek', yang berarti bahwa ISO ini berisi daftar sejumlah besar kontrol keamanan khusus yang mungkin dapat diterapkan ke lingkungan IT. Seleksi dari kontrol ini biasanya dilakukan melalui penilaian risiko. Dikembangkan oleh The International Organization for Standardization (ISO) dan The International Electrotechnical Commission (IEC) dengan titel "Information Technology - Code of Practice for Information Security Management". ISO/IEC 17799 dirilis pertama kali pada bulan desember 2000.
ISO 17799 terdiri dari :

1. Security policy
2. Organizational security
3. Asset calssification
4. Human resources
5. Physical and environmental
6. Communcation and operations
7. Access control
8. System development
9. Business continuity
10. Compliance
11. Risk asessment
12. Information System acquisition

Proses ISO 17799

1. Obtain upper management support
2. Define security perimeter
3. Create information security policy
4. Create information security management system
5. Perform risk asessment
6. Select and implement controls
7. Document in statement of accountability
8. audit

Perbandingan antar Framework

Area	COBIT	ITIL	ISO 17799
Function	Mapping IT process	Mapping IT service level management	Information security framework
Area	4 domain, 34 process	9 process	10 domain
Issuer	ISACA	OGC	ISO BOARD
Implementation	Information System Audit	Mengatur service level	Memenuhi aspek-aspek security standard
Consultant	Accounting firm, IT firm	IT Consulting firm	IT Consulting firm, security firm, network consultant