RANGKUMAN CHAPTER 5
CORPORATE AND IT GOVERNANCE
Disusun oleh :
KELOMPOK HUJAN
Ensuring That an Organization Achieves Good Value from Its Investments in IT (hal
133)
Saat ini, infrastruktur dan aplikasi TI sangat terintegrasi dengan berbagai lini dan fungsi
bisnis sehingga banyak bagian organisasi tidak dapat beroperasi tanpa TI. Ini terutama
berlaku untuk organisasi yang mengintegrasikan mitra dan pelanggan secara elektronik
proses bisnis mereka. Jika TI merupakan bagian integral dari bisnis dan manajer bisnis harus
mengambil kunci peran, maka sarana yang digunakan manajer untuk melaksanakan tanggung
jawabnya diterapkan pada manajemen TI. Eksekutif senior harus memimpin dalam
menciptakan kemitraan yang efektif antara organisasi TI dan seluruh organisasi.
Agar proyek TI selaras dengan sasaran bisnis dan dikelola dengan baik, didanai, dan
dilaksanakan, proyek harus memberikan hasil bisnis yang diharapkan tepat waktu dan sesuai
anggaran.
Basel II Accord Create international standards that strengthen global capital and liquidity
rules with the goal of promoting a more resilient banking sector
California Senate Bill Protect against identity theft by imposing disclosure requirements for
1386 businesses and government agencies that experience security breaches that
might put the personal information of California residents at risk; the first
of
many state laws aimed at protecting consumers from identity theft
European Union Data Protect the privacy of European Union citizens’ personal information by
Protection Directive placing limitations on sending such data outside of the European Union to
areas that are deemed to have less than adequate standards for data security
Federal Information Strengthen computer and network security within the U.S. federal
Security Management government and affiliated parties (such as government contractors) by
Act mandating yearly audits
Foreign Account Tax Identify U.S. taxpayers who hold financial assets in non-U.S. financial
Compliance Act institutions and offshore accounts, so that they cannot avoid their U.S. tax
obligations
Foreign Corrupt Prevent certain classes of persons and entities from making payments to
Practices Act foreign government officials in an attempt to obtain or retain business
Health Insurance Safeguard protected health information (PHI) and electronic PHI (ePHI)
Portability and data gathered in the healthcare process; standardize certain electronic
Accountability Act transactions within the healthcare industry
(HIPAA)
Payment Card Industry Protect cardholder data and ensure that merchants and service providers
Data Security Standard maintain strict information security standards
Personal Information Governs the collection, use, and disclosure of personally identifiable
Protection and information in the course of commercial transactions; created in response
Electronic Documents to European Union data protection directives
Act (Canada)
Sarbanes-Oxley Protect the interests of investors and consumers by requiring that the
annual reports of public companies include an evaluation of the
effectiveness of internal control over financial reporting; requires that the
company’s CEO and CFO attest to, and report on, this assessment
This wide-ranging act has many facets; one portion of the Act relating to
USA PATRIOT Act IT
compliance is called the Financial Anti-Terrorism Act and is designed to
combat the financing of terrorism through money laundering and other
financial crimes
- Tindakan ini adalah untuk memastikan bahwa control internal tersedia untuk mengatur
pembuatan dan dokumentasi laporan keuangan
- Internal control adalah proses yang ditetapkan oleh dewan direksi, manajer, dan sistem TI
organisasi untuk memberikan jaminan yg masuk akal untuk efektivitas dan efisiensi operasi,
keandalan pelaporan keuangan, dan kepatuhan terhadap undang undang dan peraturan yang
berlaku.
- Konsep dasar pengendalian internal yang baik adalah pemisahan tugas yang hati hati terkait
dengan proses utama sehingga tugas harus dilakukan oleh lebih dari satu orang karena pemisahan
tugas sangat penting untuk setiap proses yang melibatkan penanganan transaksi keuangan
sehingga penipuan memerlukan kolusi dua atau lebih pihak.
TABLE 5-2 Foreign legislation designed to improve the accuracy and reliability of pulic
disclosures (hal 135)
Country Act Year Enacted
Corporate Law Economic Reform Program (Audit Reform
Australia and 2004
Corporate Disclosure) Act
Canada Keeping the Promise for a Strong Economy Act (Budget 2002
Measures)
- Internal control memainkan peran kunci dalam mencegah dan mendeteksi penipuan
dan melindungi sumber daya organisasi
- Dipengaruhi oleh perilaku manajer senior yang tidak tepat dan kegagalan untuk
membuat manajer bertanggung jawab
FIGURE 5-3 Five Key Activities needed for effective IT governance (hal 137)
Framework Developed by Overview
Committee of Spon- Committee of Spon- Provides guidance on enterprise risk management,
soring Organizations soring Organizations internal control, and fraud deterrence; designed to
(COSO) 2013 of the Treadway improve organizational performance and governance
Commission and reduce the extent of fraud in organizations
(www.coso.org)
National Institute of National Institute of Provides a catalog of security and privacy controls
Standards and Standards and for federal information systems and organizations
Technology Special Technology, U.S. and a process for selecting controls to protect
Publication 800-53 Department of organizational operations, organizational assets,
(Revision 4) Commerce individuals, other organizations, and the United
States as a whole from a diverse set of threats
(nvlpubs.nist.gov/nistpubs/SpecialPublications
/NIST.SP.800-53r4.pdf)
Control Objectives for Information and Related Technology (COBIT) (halaman 140)
COBIT adalah serangkaian petunjuk yang dimana tujuannya dibuatnya untuk menyesuaikan
sumberdaya dan proses dengan tujuan akhir bisnis, kualitas standar, kontrol moneter, dan
kepentingan akan keamanan. COBIT 5.0 menawarkan 5 prinsip yang mengarahkan
manajemen IT
1. Mencapai kebutuhkan pemangku kepentingan
2. Mengatur seluruh perusahaan
3. Mengaplikasikan kerangka kerja yang terintegrasi
4. Menggunakan pendekatan holistik
5. Memisahkan pemerintahan dengan manajemen
Dalam proses COBIT “maturity level” terdahap proses manajemen bia dievaluasi dengan
skala 0 sampai 5:
a) 0 – proses manajemen tidak diaplikasikan sama sekali
b) 1 – proses ad hoc atau tidak teratur
c) 2 – proses berjalan dengan ada patern
d) 3 – proses terdokumentasi dan dikomunikasikan
e) 4 – proses dimonitor dan diukur
f) 5 – praktek berjalan dengan baik dan terautomatisasi
Menggunakan PCA dan IT Governance Framework (halaman 142)
Dalam Plan-Do-Check-Act
(PDCA) model, pada figur 5.5
merupakan metode terbukti yang
dapat diaplikasikan paa spesifik
proses yang diketahui akan dapat
memberikan pengembangan. Tiap
tahap di model tersebut memiliki
tujuan yang spesifik, yaitu
(FIGUR 5-5)
1. Tahap perencanaan terdiri
dari pengembangan tim
untuk mengatahui area
yang ingin dikembangkan,
menganalisa cara kerja
yang sedang berjalan, dan
mengetahui kesempatan
untuk melakukan
pengembangan.
2. Dalam tahap melakukan,
perubahan yang
diputuskan dalam
perencanaan dilakukan.
3. Dalam tahap pengecekan,
hasil dari perubahan akan
diukur. Apakah teah
tercapai dengan ekspektasi atau tidak.
4. Dalam tahap aksi, tim pengembangan mempertimbangkan apakah seimbang untuk
dilanjutkan.
TABEL 5-6 Hard lessons learned from recent major disasters (hal. 145)
Halaman 148
Halaman 149
3. Tentukan Sumber Daya dan Tindakan yang Diperlukan untuk Pulih
Untuk semua fungsi bisnis prioritas AAA, dokumentasikan semua sumber daya
yang diperlukan untuk memulihkan fungsi bisnis dalam sasaran waktu pemulihan:
jumlah orang, telepon, file, meja, ruang kantor, faks, komputer, perangkat lunak,
printer, dan sebagainya.
Fitur khusus untuk dipertimbangkan untuk dimasukkan dalam pemulihan bisnis
prioritas AAA fungsi meliputi:
- Penggunaan generator darurat untuk menggantikan layanan utilitas publik
yang hilang.
- Contingency berencana untuk memindahkan operasi ke situs lain atau
menjalankan peralatan TI dari fasilitas cadangan.
- Pertimbangan cadangan gudang, produksi, dan kemampuan
distribusimuntuk memungkinkan perusahaan untuk terus membuat
produknya dan membawanya ke pasar.
- Kemampuan peralihan yang cerdas dan jaringan cadangan untuk suara dan
data komunikasi.
Disaster Recovery as a Service (DRaaS) adalah replikasi dan hosting fisik atau
server virtual dan perangkat keras dan lunak lain yang diperlukan oleh penyedia
layanan pihak ketiga untuk memberikan layanan TI jika terjadi bencana.
Banyak organisasi kecil hingga menengah mengimplementasikan strategi
DRaaS untuk menghindari biaya dan upaya yang terkait dengan pembangunan
dan menjaga lingkungan pemulihan bencana (DR) di luar lokasi mereka sendiri.
Halaman 150
Ada dua risiko dengan pendekatan ini:
1. Organisasi harus percaya bahwa penyedia layanan DRaaS bisa benar-benar
menyediakan layanan TI jika terjadi bencana dan memenuhi waktu
pemulihan yang ditentukan tujuan.
2. Organisasi harus percaya bahwa penyedia layanan akan memiliki kapasitas
untuk menyediakan layanan DR untuk semua kliennya jika terjadi bencana
yang meluas sebagai badai atau gempa bumi.