LECTURE NOTE (PERT.

KE-2)
Robert R. Moeller, Executive's Guide to IT Governance: Improving Systems
Processes with Service Management, COBIT, and ITIL (Wiley Corporate F&A),
United States of America, 2013.

SLIDE KE-53 SAMPAI 84

CHAPTER 02
Disiplin tata kelola TI adalah subset dan elemen yang sangat penting dari keseluruhan masalah tata kelola perusahaan.
Tata kelola TI memiliki arti yang berbeda bagi orang yang berbeda:

 Tata kelola TI sering digunakan untuk menggambarkan proses penentuan berapa uang untuk sumber daya TI yang harus
dikeluarkan. Proses tata kelola TI ini mencakup prioritas dan justifikasi investasi TI. Ini mencakup kontrol pengeluaran
seperti anggaran dan tingkat otorisasi.
 Tata kelola TI sering digunakan untuk menggambarkan berbagai aspek perubahan TI. Pada tingkat rendah, kadang-
kadang digunakan untuk menggambarkan manajemen proyek dan pengendalian portofolio proyek yang berhubungan
dengan TI.
 Tata kelola TI digunakan untuk memastikan bahwa proses perubahan TI sesuai dengan persyaratan peraturan, baik
peraturan pemerintah maupun peraturan serta standar profesional.
 Tata kelola TI adalah proses menyelaraskan perubahan dan pengeluaran TI dengan kebutuhan dan pengeluaran bisnis.
Terkadang juga mencakup penyebaran staf TI.
 Tata kelola TI juga digunakan untuk menggambarkan pengelolaan dan pengendalian layanan TI.
 Tata kelola TI memastikan bahwa pemecahan masalah sehari-hari dan dukungan dari semua sumber daya TI sesuai
dengan kebutuhan bisnis.
Tata kelola TI berkaitan dengan hubungan antara fokus bisnis perusahaan, manajemen dan operasi TI yang terkait dengan
perusahaan.

Konsep ini menyoroti pentingnya hal-hal yang berhubungan dengan TI dan menekankan bahwa keputusan strategis TI harus
dimiliki oleh manajemen perusahaan paling senior, termasuk dewan direksi, dan bukan hanya manajemen TI seperti chief
information officer (CIO).

SISTEM INFORMASI [ES dan EBIZ] - 2019

 LECTURE NOTE (PERT. KE-2)

Alih-alih berdebat yang merupakan definisi yang benar tentang tata kelola TI, manajer senior perusahaan harus melihat
kesamaannya.

Tata kelola melibatkan gabungan antara hal berikut:

 Pengendalian semua aspek kerja IT

 Koordinasi antara berbagai karya terkait TI - seperti pengembangan sistem baru dan dukungan infrastruktur TI
 Pengukuran hasil dari sistem dan proses TI
 Kesesuaian terhadap kebijakan atau peraturan internal TI
 Pembenaran pengeluaran untuk semua sumber daya TI
 Tanggung jawab dan transparansi TI dan perusahaan
 Hubungan yang kuat dengan kebutuhan pelanggan TI, perusahaan yang lebih luas, dan pemangku kepentingan lainnya.
Semua tujuan tata kelola TI sesuai dengan model keseluruhan, seperti yang ditunjukkan pada Gambar 2.4. Tata kelola TI dibatasi
oleh manajemen kinerja, penyelarasan strategis, manajemen risiko, dan konsep pemberian nilai. Untuk menerapkannya,
diperlukan praktik kebijakan dan kesesuaian yang kuat, kinerja dan proses manajemen risiko, dan pemahaman menyeluruh
tentang pemberian nilai yang tepat.

Setiap perusahaan menghadapi berbagai risiko, termasuk operasi bisnis perusahaan, faktor bisnis, faktor pasar terkait, kondisi
ekonomi secara umum, dan daftar faktor risiko perusahaan lainnya yang tak ada habisnya.
Agar memiliki praktik tata kelola TI yang efektif, perusahaan perlu memiliki program yang efektif untuk menilai dan mengelola
risiko secara keseluruhan, risiko signifikan dalam perusahaan, dan risiko spesifik yang dihadapi operasi TI.

Gambar 2.5 menguraikan beberapa masalah risiko tata kelola TI dan merangkum beberapa strategi efektif untuk mengelola risiko
tersebut.

Istilah persyaratan dan strategi risiko yang digariskan dalam Gambar 2.5 adalah bahwa perusahaan perlu memiliki pemahaman
terhadap berbagai jenis risiko TI yang dihadapinya serta biaya dan strategi alternatif untuk mengambil tindakan perbaikan jika
terjadi kejadian berisiko tersebut.

Istilah dan konsep penting di sini adalah apa yang disebut risk appetite (Penerimaan Resiko). Artinya, seberapa besar risiko dapat
diterima oleh manajer senior dan perusahaan secara keseluruhan?

Pemahaman tentang isu risiko perusahaan adalah persyaratan untuk menerapkan proses tata kelola yang efektif.

Masalah dan perhatian tata kelola TI meluas jauh melampaui hanya departemen TI dan sumber dayanya, dan harus mencakup
banyak masalah dan perhatian di seluruh perusahaan.

SISTEM INFORMASI [ES dan EBIZ] - 2019

 LECTURE NOTE (PERT. KE-2)

Kita harus selalu mempertimbangkan sumber daya TI di perusahaan bukan hanya sebagai satu elemen unik namun merupakan
unit atau komponen khusus dari keseluruhan perusahaan. Beberapa masalah tata kelola ini diuraikan dalam Gambar 2.6.

Pesan dalam gambar ini adalah bahwa walaupun manajemen TI dapat mengembangkan proses dan prosedur tata kelola yang
mempengaruhi sistem dan operasi TI mereka sendiri, mereka harus selalu memikirkannya dalam konteks bisnis yang lebih luas.

Gambar 2.6 juga menyebutkan masalah yurisdiksi dan batasan sebagai komponen tata kelola TI. Meskipun belum terlalu lama,
sumber daya TI sebuah perusahaan ada di balik pintu terkunci yang sangat aman dan seringkali sebagai pulau terpisah dari operasi
perusahaan lain, kita harus selalu memikirkan operasi TI sebagai komponen kunci dalam proses operasi perusahaan lainnya yang
terus berlanjut. Sehingga kita harus selalu ingat bahwa ada batasan, terhadap TI, keuangan, dan operasi lainnya dan harus dikenali
batas-batas antara berbagai bidang tanggung jawab saat membuat proses tata kelola.

Aturan dan isu legislatif dan peraturan merupakan komponen penting dalam proses tata kelola TI yang efektif. Manajemen
perusahaan harus memantau peraturan ini dan mengambil langkah untuk memastikan kesesuaian mereka.

Karena operasi TI perusahaan terhubung baik secara internal maupun ke luar melalui Internet dan banyak koneksi data lainnya,
masalah keamanan adalah masalah tata kelola TI utama. Banyak konsumen dan pengguna TI menyadari bahwa sistem dan data
mereka rentan terhadap berbagai penyusup luar yang kepentingannya berkisar dari hanya mengganggu operasi TI seseorang serta
untuk menyabot sistem dan data untuk mendapatkan keuntungan atau keuntungan. Kontrol keamanan TI yang efektif merupakan
elemen penting dalam tata kelola TI.

Eksekutif bisnis saat ini harus memiliki pemahaman umum tingkat tinggi tentang masalah keamanan yang lebih penting untuk
tata kelola TI yang efektif. Meskipun ada banyak dan beragam masalah di sini, manajer bisnis harus memahami ancaman dan
risiko keamanan TI serta harus mencari bantuan teknis khusus di dalam perusahaan untuk menerapkan secara lebih efektif jenis
proses keamanan tata kelola TI yang diuraikan dalam Gambar 2.7.

Untuk masalah tata kelola TI yang lebih spesifik, perusahaan menghadapi berbagai ancaman keamanan internal dan eksternal.
Ancaman eksternal bisa berkisar dari hal-hal seperti serangan teroris hingga spionase pemerintah asing terhadap risiko komputasi
cloud dan banyak lagi.

Proses tata kelola internal seringkali dapat dipantau dan dikendalikan dengan lebih baik. Meskipun kami tidak pernah tahu kapan
beberapa penyusup yang benar-benar tak terduga akan menyerang sistem TI kami, kami dapat mengurangi risiko ancaman
internal dengan membangun kebijakan dan prosedur internal yang kuat.

SISTEM INFORMASI [ES dan EBIZ] - 2019

 LECTURE NOTE (PERT. KE-2)

CHAPTER 03
Tata Kelola Perusahaan dan Perangkat GRC
Semua bisnis, dan perusahaan publik yang diperdagangkan umumnya menghadapi kebutuhan dan persyaratan peraturan tata
kelola. Perusahaan selalu menghadapi risiko tentang salah menafsirkan peraturan atau ditemukan melanggar satu atau beberapa
undang-undang.

Ada juga risiko bahwa peraturan tata kelola perusahaan sendiri tidak akan mencapai hasil yang diinginkan atau bahwa perusahaan
tersebut mungkin menghadapi beberapa peristiwa luar yang di luar kendalinya, seperti penurunan ekonomi yang signifikan,
serangan teroris atau tindakan perang yang mempengaruhi wilayah operasinya. , atau kebakaran di fasilitas utama. Ada
kebutuhan untuk memahami dan mengelola semua risiko ini di tingkat perusahaan secara keseluruhan. Usaha selalu
memperhatikan berbagai masalah tata kelola, risiko, dan kesesuaian.

Para profesional bisnis bahkan belum pernah mendengar tentang akronim GRC yang semakin akrab ini sampai awal abad ini.

Huruf pertama adalah G singkatan dari tata kelola (governance), tidak hanya untuk tata kelola TI, tetapi juga untuk keprihatinan
atas keseluruhan perusahaan. Singkatnya, tata kelola berarti mengurus bisnis, memastikan hal-hal dilakukan sesuai dengan
standar perusahaan, peraturan, keputusan dewan direksi, serta undang-undang dan peraturan pemerintah. Ini juga berarti
dengan jelas menunjukkan harapan stakeholder tentang apa yang harus dilakukan agar semua pemangku kepentingan berada
pada halaman yang sama mengenai bagaimana perusahaan dijalankan.

R dari GRC adalah risiko. Semua yang kami lakukan dan semua aspek operasi bisnis melibatkan beberapa elemen risiko. Ketika
menyangkut seseorang yang berlari melintasi jalan bebas hambatan atau anak bermain dengan korek api, cukup jelas bahwa risiko
tertentu seharusnya tidak dilakukan. Namun, jika menyangkut bisnis, faktor risiko menjadi cara untuk membantu melindungi
nilai aset yang ada dan menciptakan nilai dengan mengembangkan perusahaan secara strategis atau menambahkan produk
dan layanan baru.

C di GRC adalah kesesuaian pada banyak undang-undang dan arahan yang mempengaruhi bisnis dan warga negara saat ini.
Terkadang orang juga akan memperluas huruf itu termasuk kontrol, yang berarti penting untuk menempatkan kontrol tertentu
untuk memastikan kesesuaian terjadi.

GRC adalah istilah yang semakin dikenal yang mencerminkan cara baru di mana perusahaan saat ini menerapkan pendekatan
terpadu terhadap aspek bisnis mereka. Penting untuk mengingat inti disiplin tata kelola, manajemen risiko, dan kesesuaian ini.
Masing-masing disiplin terdiri dari empat komponen GRC dasar: strategi, proses, teknologi, dan manusia.

SISTEM INFORMASI [ES dan EBIZ] - 2019

 LECTURE NOTE (PERT. KE-2)

Gambar 3.1 mengilustrasikan konsep GRC ini. Tata kelola, manajemen risiko, dan prinsip kesesuaian harus terikat erat untuk
mengikat prinsip-prinsip ini bersama-sama. Gambar juga menunjukkan bahwa kebijakan internal adalah faktor kunci yang
mendukung tata kelola, bahwa peraturan eksternal mendorong prinsip kesesuaian, dan bahwa apa yang kita sebut risk appetite
perusahaan adalah elemen kunci pengelolaan risiko.

Diagram segitiga pada Gambar 3.1 juga menunjukkan komponen strategi, proses yang efektif, teknologi (termasuk TI), dan
orang-orang di perusahaan untuk membuat semua pekerjaan ini. Di sebelah kiri, pameran menunjukkan bahwa perusahaan
memerlukan perhatian dan dukungan manajemen, dan perilaku etis, efisiensi organisasi, dan keefektifan peningkatan yang
tepat adalah kunci.

Risk appetite adalah istilah yang relatif baru bagi banyak profesional bisnis dan TI. Ini mengacu pada jumlah dan jenis risiko bahwa
sebuah organisasi siap untuk mengejar, mempertahankan, atau mengambil. Misalnya, investor yang berspekulasi mengenai apa
yang sering disebut “Penny Stock adalah keamanan ekuitas yang diperdagangkan di bawah $ 5" yang sangat berisiko tinggi,
sementara investor yang memegang dana pasar uang yang umumnya aman memiliki selera risiko yang rendah. Analogi yang sama
ini bisa diterjemahkan ke banyak keputusan bisnis perusahaan.

Tiga prinsip GRC yang mendukung tata kelola TI harus dipikirkan dalam satu aliran konsep kontinu dan interkoneksi, baik G,
maupun R, maupun C tidak lebih penting daripada yang lain. Tata kelola perusahaan atau perusahaan adalah istilah yang mengacu
secara luas pada peraturan, proses, atau undang-undang yang dengannya bisnis dioperasikan, diatur, dan dikendalikan. Istilah
tersebut dapat merujuk pada faktor internal yang didefinisikan oleh pekerja, pemegang saham, atau konstitusi suatu perusahaan,
dan juga kekuatan eksternal seperti kelompok konsumen, klien, dan peraturan pemerintah.

Gambar 3.2 menunjukkan konsep tata kelola perusahaan dengan kelompok eksekutif di pusat dan tanggung jawab saling
terkait dan terhubung untuk menetapkan kontrol, kerangka kerja strategis, kinerja, dan akuntabilitas. Gambar tersebut
menunjukkan beberapa konsep utama di masing-masing area tanggung jawab ini. Misalnya, untuk kerangka strategis, ada
unsur perencanaan perusahaan dan kegiatan bisnis, manajemen risiko, kelangsungan bisnis, TI dan jaringan, dan audit internal.

Diperlukan serangkaian prinsip dan komponen GRC yang kuat, dan program manajemen risiko yang efektif merupakan komponen
kunci dari prinsip-prinsip GRC perusahaan.

Ada empat langkah yang saling terkait dalam proses pengelolaan risiko perusahaan yang efektif dengan prinsip GRC, seperti
ditunjukkan pada Gambar 3.3 dan sebagai berikut:

1. Penilaian dan perencanaan risiko

Perusahaan menghadapi berbagai tingkat risiko, apakah isu global mulai dari krisis ekonomi atau mata uang nasional hingga
faktor persaingan pasar produk dan gangguan cuaca di operasi lokal.

SISTEM INFORMASI [ES dan EBIZ] - 2019

 LECTURE NOTE (PERT. KE-2)

2. Identifikasi dan analisis risiko

Daripada hanya merencanakan kemungkinan terjadinya beberapa kejadian risiko, ada kebutuhan akan analisis yang lebih rinci
mengenai kemungkinan risiko yang akan datang dan dampak potensial yang mereka hadapi. Ada kebutuhan untuk mengukur
dampak dari risiko yang teridentifikasi dan menentukan strategi mitigasi jika terjadi kejadian risiko. Mitigasi mengacu pada
penilaian cara terbaik untuk mengelola atau menghilangkan risiko yang teridentifikasi.

3. Memanfaatkan dan mengembangkan strategi respons risiko

Intinya secara paralel dengan identifikasi risiko, perusahaan harus mengembangkan rencana dan strategi untuk kembali ke
operasi normal dan kemudian pulih dari kejadian berisiko.

4. Pemantauan risiko
Alat dan fasilitas harus dipasang untuk memantau risiko yang teridentifikasi dan juga risiko baru lainnya yang mungkin terjadi.
Alarm kebakaran detektor asap adalah contoh di sini, walaupun sebagian besar pemantauan terkait risiko memerlukan
serangkaian laporan khusus, standar yang ditetapkan dan terukur, dan fungsi sumber daya manusia yang rajin.

Manajemen risiko harus menciptakan nilai dan menjadi bagian integral dari proses organisasi. Ini harus menjadi bagian dari proses
pengambilan keputusan dan disesuaikan secara sistematis dan terstruktur untuk secara eksplisit mengatasi ketidakpastian yang
dihadapi perusahaan berdasarkan informasi terbaik yang ada. Selain itu, proses manajemen risiko harus dinamis, iteratif, dan
responsif terhadap perubahan dengan kemampuan perbaikan dan penyempurnaan terus-menerus.

Kesesuaian adalah proses mengikuti pedoman atau peraturan yang ditetapkan oleh instansi pemerintah, kelompok standar, atau
kebijakan internal perusahaan.

Mengikuti persyaratan terkait kesesuaian ini adalah tantangan bagi perusahaan dan pemangku kepentingan terkait karena:

- Peraturan baru sering diperkenalkan

Perusahaan umumnya mengikuti aturan baru yang memberikan dampak untuk prosedur bisnis mereka.

- Regulasi yang ditulis dengan samar seringkali membutuhkan interpretasi (taksiran)

- Tidak ada konsensus tentang praktik terbaik untuk kesesuaian
Tidak ada panduan dan umumnya orang-orang menggunakan taksiran sendiri.

- Beberapa peraturan sering tumpang tindih

Area yang berbeda menggunakan aturan yang sama untuk kebutuhan yang berbeda.

SISTEM INFORMASI [ES dan EBIZ] - 2019

 LECTURE NOTE (PERT. KE-2)

- Peraturan terus berubah

Hal ini menyebabkan kesesuaian terhadap aturan menjadi sebuah tantangan

Gambar 3.4 mengilustrasikan beberapa masalah yang harus dipertimbangkan perusahaan saat mencoba untuk menetapkan ruang
lingkup dan pendekatan terhadap kesesuaian GRC. Pendekatan yang konsisten mengenai penggunaan kemampuan berbasis
kesesuaian dan teknologi pendukung di seluruh perusahaan dapat memberi keuntungan potensial bagi perusahaan;

- Fleksibilitas
Hal paling sulit untuk isu kesesuaian adalah aturan baru yang diperkenalkan oleh otorisasi otoritas

- Mengurangi total biaya pemenuhan kepemilikan

Investasi dapat dimanfaatkan di beberapa peraturan.

- Keunggulan kompetitif
Arsitektur menyesuaikan yang luas dan konsisten sehingga memungkinkan perusahaan untuk lebih memahami dan
mengendalikan proses bisnisnya, sehingga memungkinkannya merespons dengan lebih cepat dan akurat terhadap tekanan
kesesuaian eksternal atau internal.

Proses kesesuaian GRC yang efektif membantu perusahaan untuk mengubah operasi bisnisnya dan mendapatkan wawasan dan
prediktabilitas yang lebih dalam dari informasi bisnisnya karena menangani persyaratan yang diacu oleh peraturan.

Kunci penggerak bisnis di sini mungkin termasuk kemampuan untuk mengelola aset informasi dengan lebih baik, menunjukkan
kesesuaian terhadap kewajiban peraturan dan hukum, mengurangi risiko litigasi (proses pengadilan), mengurangi biaya
penyimpanan dan penemuan, dan menunjukkan akuntabilitas perusahaan.

Suatu perusahaan perlu mengadopsi proses tata kelola, risiko, dan kesesuaian yang kuat, dengan tujuan untuk menetapkan
program GRC yang efektif.

Program tata kelola TI yang kuat sangat penting bagi suatu perusahaan, program tersebut harus didukung oleh program tata
kelola GRC, manajemen risiko, dan kesesuaian keseluruhan. Suatu perusahaan harus memfokuskan sebagian besar kegiatannya
dengan kuat pada prinsip-prinsip GRC ini.

SISTEM INFORMASI [ES dan EBIZ] - 2019