Gabungan LN Tata Kelola UAS (M9-M15)

Governance, IT Security, and
Continuity Management
Lecture Note Pertemuan ke-9
Capaian mata kuliah

Mampu memahami perangkat dan teknologi untuk mengelola infrastruktur tata kelola TI
Tim Teaching
1. Ir. Erwin Setiawan Panjaitan, MMSI., Ph.D.
2. Elly, S.Kom., M.TI
References
[1] R. R. Moeller, Executive’s Guide to IT Governance. 2013.
[Sistem Informasi-SI]
PENJELASAN DARI Chapter 10
Efektivitas keamanan dan proses manajemen kontinuitas TI adalah elemen penting dari keseluruhan tata kelola
TI perusahaan.
Keamanan TI adalah istilah luas yang mengacu pada proses dan kontrol yang akan melindungi sistem dan data
TI, serta aset fisik perusahaan, dari berbagai macam potensi ancaman.
Perusahaan perlu menerapkan proses keamanan TI yang efektif yang akan memungkinkannya mengatur dan
mengendalikan aset TI-nya.
Ini adalah area kekhawatiran risiko TI yang dikenal sebagai perencanaan pemulihan bencana TI pada awal masa
TI ketika sistem mainframe lebih dominan; saat ini umumnya disebut perencanaan kontinuitas TI.
Apakah itu perangkat keras atau sumber daya cadangan perangkat lunak, perusahaan harus memiliki sumber
daya di tempat untuk melanjutkan operasi jika ada gangguan yang tidak normal dalam jadwal operasi reguler.
Penting bahwa aset sistem dilindungi dan sering dicadangkan.

Proses adalah tanggung jawab operasi TI, dengan sedikit keterlibatan manajemen umum.
Membangun lingkungan tata kelola keamanan TI yang efektif dari tiga perspektif.
Pertama, ada kebutuhan untuk menetapkan beberapa prinsip keamanan sistem TI yang kuat,
Kedua, dalam hampir semua operasi TI ada kebutuhan untuk menetapkan keamanan perimeter TI yang efektif.
Sementara pusat operasi komputer yang terkunci dari masa mainframe kurang berisiko saat ini, risiko keamanan
jauh lebih besar di lingkungan e-commerce berbasis Internet.
Ketiga, pentingnya membangun strategi keamanan perusahaan yang efektif dan luas.
Sama seperti kode etik terkait perilaku karyawan, pemangku kepentingan perusahaan yang menetapkan
beberapa aturan tingkat tinggi untuk semua, strategi keamanan TI yang efektif menetapkan beberapa peraturan
yang terkait dengan keamanan TI.
Strategi keamanan TI yang dirancang dan diimplementasikan dengan baik dapat meningkatkan banyak aspek
operasi perusahaan.
Manajemen TI harus menyadari praktik terbaik atau yang efektif di bidang ini dan harus menggunakannya untuk
membangun lingkungan keamanan TI yang efektif.
Banyak fungsi manajemen TI perusahaan telah menerapkan prinsip keamanan sistem yang diterima secara
umum (GASSP) sebagai serangkaian praktik terbaik untuk mengembangkan proses dan standar keamanan TI
yang efektif.
GASSP adalah serangkaian konsensus terkait prinsip keamanan, standar, konvensi, dan mekanisme IT yang harus
diterapkan oleh praktisi keamanan TI, yang harus disediakan oleh produk pemrosesan informasi, dan bahwa
pemilik informasi harus mengakui untuk memastikan keamanan informasi dan sistem TI mereka.
- GASSP berkaitan dengan keamanan informasi fisik, teknis, dan administratif dan mencakup prinsip-prinsip
keamanan yang luas, fungsional, dan terperinci yang luas.
- Nomenklatur (tata nama)-nya mendefinisikan serangkaian aturan, prosedur, dan praktik yang terkait dengan
penerapan praktik keamanan TI yang efektif di suatu perusahaan.
GASSP didasarkan pada delapan prinsip tingkat tinggi yang dapat digunakan oleh spesialis manajemen dan
keamanan TI sebagai jangkar yang digunakan untuk membangun program keamanan TI mereka.
Prinsip-prinsip ini dimaksudkan sebagai panduan keamanan saat membuat sistem, praktik, atau kebijakan baru.
Mereka tidak dirancang untuk menghasilkan jawaban spesifik, dan harus diterapkan secara keseluruhan,
pragmatis dan masuk akal.
Masing-masing dari delapan prinsip GASSP diungkapkan dan dijelaskan sebagai berikut:
• Keamanan TI harus mendukung misi perusahaan → Melindungi sumber daya perusahaan seperti
informasi, hardware, software
• Keamanan TI merupakan elemen integral dari praktik manajemen yang baik → melindungi misi maka
akan melindungi asset, untuk melindungi asset dilakukan manajemen keamanan pada asset
• Keamanan TI harus hemat biaya → pengaturan direct cost seperti purchasing, installing dan
administering security measure. Pengaturan Indirect cost seperti kinerja sistem, moral karyawan,
kebutuhan pelatihan kembali
• Pemilik sistem memiliki tanggung jawab keamanan di luar organisasi mereka sendiri → untuk berbagi
pengetahuan dan informasi dengan pihak eksternal
• Tanggung jawab keamanan dan akuntabilitas TI harus dibuat eksplisit → harus jelas
• Keamanan TI membutuhkan pendekatan yang komprehensif dan terintegrasi → terhubung dengan
siklus hidup sistem Informasi
• Keamanan TI harus dikaji ulang secara berkala → bersifat dinamik, terbuka untuk perubahan
• Keamanan TI terkendala oleh faktor-faktor sosial → masalah privasi, dan alur informasi terutama dari
pemerintah ke masyarakat
Langkah-langkah keamanan harus dipilih dan dilaksanakan dengan pengakuan hak-hak dan kepentingan sah
orang lain.
Ini mungkin melibatkan penyeimbangan kebutuhan keamanan pemilik informasi dan pengguna dengan sasaran
kemasyarakatan.
Keamanan dapat meningkatkan akses dan aliran data dan informasi dengan menyediakan informasi yang lebih
akurat dan dapat diandalkan serta ketersediaan sistem yang lebih besar.
Keamanan juga dapat meningkatkan privasi yang diberikan kepada seseorang atau membantu mencapai tujuan
lain yang ditetapkan oleh masyarakat.
Kerangka umum yang harus menjadi dasar bagi banyak aspek keamanan dan tata kelola TI yang baik.
Bergerak di luar organisasi, fungsi keamanan TI perusahaan harus memikirkan kembali dan mengatur ulang
beberapa praktik untuk merangkul GASSP.
Gambar 10.1 menunjukkan peran prinsip keamanan tingkat tinggi, seperti GASSP, di perusahaan dengan
pertimbangan yang diberikan untuk produk teknologi yang diinstal dan faktor lainnya.
Dalam Gambar 10.1 secara singkat menjelaskan beberapa elemen kunci dari GASSP dan bagaimana mereka
berhubungan satu sama lain dan untuk lingkungan keamanan TI secara keseluruhan.
Di pusat Gambar 10.1 dengan standar keamanan dan mekanisme lainnya, bergerak ke badan pengetahuan, dan
kemudian searah jarum jam ke faktor-faktor lain yang diperlukan untuk membentuk lingkungan keamanan yang
efektif menggunakan GASSP:
- Standar dan mekanisme keamanan → inti dari lingkungan keamanan yang efektif adalah satu set
standar, mekanisme, praktik dan ketentuan.
- Badan Pengetahuan GASSP → memahami 8 prinsip GASSP
- Hukum dan arahan peraturan → hukum pada satu Negara ke Negara lain diperhatikan dan dipahami
untuk perubahan yang akan dilakukan
- Sumber daya organisasi professional → ISACA dan AICPA banyak menambahkan kebutuhan ke
pendekatan keamanan TI dan pendekatan perubahan
- Infrastruktur TI dan produk keamanan → untuk membantu mengarahkan pendekatan untuk keamanan
TI
- Prinsip keamanan GASSP luas → sesuaikan dengan orang yang terotoritas dalam menjelaskan aplikasi
GASSP
- Sumber daya otoritatif dan penasihat → terhubung erat dengan organisasi professional
- Pelatihan dan kesadaran → GASSP adalah nilai kecil perusahaan kecuali stakeholder kunci yang dilatih
sesuai dengan prinsip
- Sertifikasi dan pengujian → tidak ada yang tersedia saat ini, akan dikembangkan di masa mendatang
GASSP menyediakan dasar atau kerangka kerja yang penting untuk melihat dan menilai keamanan TI.
Steering Committee: Bertanggung jawab dalam memberi gagasan, menyusun, dan menjabarkan konsep dan
materi dari organisasi dengan baik, detail dan berkualitas, sebagai pedoman secara keseluruhan dalam kegiatan
organisasi dari awal hingga akhir pelaksanaan kegiatan.
Keamanan di dunia TI-sentris dan elektronik saat ini melibatkan arsitektur kompleks dan teknologi yang terus
berkembang.
Untuk memastikan bahwa suatu perusahaan telah menetapkan tingkat keamanan TI yang sesuai, harus
mempertimbangkan menggunakan model keamanan top-down untuk mengidentifikasi dan mengevaluasi aset
keamanannya.
Dengan menggunakan pendekatan keamanan top-down seperti itu, manajemen dapat lebih memahami
keseriusan masalah keamanan TI dan kemudian dapat memulai proses yang dipaksakan ke staf operasi.
Ini berbeda dari pendekatan bottom-up, di mana staf operasional junior memulai proses dan kemudian
menyebarkan temuan mereka ke atas ke manajemen sebagai rekomendasi kebijakan yang diusulkan.
Gambar 10.2 adalah ilustrasi sederhana yang menunjukkan konsep model keamanan top-down ini.
Infrastruktur keamanan TI harus berlaku sama untuk koneksi yang sudah ada sebelumnya dan ke koneksi inisiatif
baru, dan jaringan organisasi harus dilindungi berdasarkan risiko yang diwakilinya kepada perusahaan.
Tingkat teratas dari model Gambar 10.2 panggilan untuk kebijakan keamanan yang efektif.
Seorang manajer senior yang meninjau kontrol dalam lingkungan keamanan TI pada awalnya harus
mengembangkan pemahaman tentang kebijakan keamanan TI yang ada untuk suatu perusahaan.
Strategi-strategi ini harus didukung oleh standar keamanan terperinci yang mencakup pelaksanaan pemantauan
sistem, konfigurasi sistem sebagai aplikasi atau server Web, atau mengkonfigurasi firewall untuk memisahkan
sistem ke dalam zona yang ditentukan.
Standar harus diterapkan dan spesifik sistem operasi, dan cukup rinci untuk memungkinkan pengguna yang
berpengetahuan untuk melakukan kegiatan yang disorot dalam standar atau mengkonfigurasi sistem atau
aplikasi.
Akhirnya, standar harus menentukan langkah-langkah yang harus diambil, seperti sign-off, jika pelanggaran
standar ini diperlukan.
Kita harus memikirkan operasi keamanan TI dalam hal serangkaian zona kepercayaan.
Artinya, operasi TI harus mengidentifikasi dan mengklasifikasikan semua koneksi dan sistem saat ini ke dalam
zona yang terkait dengan keamanan logis.
Elemen kunci dari klasifikasi keamanan ini adalah akses ke Internet dan koneksi jaringan lain seperti sistem
pendukung vendor.
Empat klasifikasi potensial untuk sistem interkoneksi tersebut:

1. Sistem dan proses terpercaya → ada sistem yang langsung berada di bawah kendali organisasi TI. User
terpercaya dan sistem membutuhkan akses penuh ke sistem internal TI
2. Sistem semi-terpercaya → membutuhkan dukungan vendor dan beberapa partner sistem bisnis yang
membutuhkan akses otentik untuk melindungi sistem yang digunakan sehingga tidak terpublikasi
3. Sistem tidak terpercaya → membutuhkan sistem terkait pelanggan dan proses yang membutuhkan
akses otentik untuk spesifik sumber daya informasi untuk melindungi sistem yang digunakan sehingga
tidak terpublikasi
4. Sistem yang tidak bersahabat dan ancaman proses → akses terbatas untuk beberapa tipe sistem dan
akses tidak terotorisasi harus dapat dideteksi
Mengikuti klasifikasi ini, semua tingkat koneksi TI seperti vendor pendukung, pelanggan, anak perusahaan, dan
mitra bisnis harus ditinjau dan dialokasikan ke tingkat kepercayaan berdasarkan jenis kontrol yang dapat
dipertahankan.
Metode yang efektif untuk meluncurkan klasifikasi semacam itu adalah dengan mengadakan lokakarya dengan
berbagai anggota staf berpengetahuan luas yang memahami konsep-konsep terkait dan akrab dengan proyek-
proyek lain dalam perusahaan dan operasi TI-nya.
Koneksi ini dan protokol koneksi jaringannya harus didokumentasikan dan digunakan untuk mengembangkan
kontrol terperinci untuk memungkinkan akses ke dan dari tujuan yang tepat.
Perusahaan harus memisahkan bagian yang berbeda dari jaringannya menjadi beberapa zona kepercayaan.
Desain akhir arsitektur keamanan perimeter akan tergantung pada klasifikasi sistem dan layanan, tetapi desain
zona keamanan dan klasifikasi ini merupakan komponen penting dari keamanan perimeter TI.
Fungsi TI mengembangkan strategi pemrosesan alternatif.

Ini berkembang menjadi disiplin yang dikenal sebagai perencanaan pemulihan bencana TI, di mana perusahaan
sering membuat pengaturan untuk situs pemrosesan alternatif untuk menutupi risiko kegagalan sistem
mainframe.
File dan program cadangan kunci disimpan di lokasi di luar lokasi, dengan rencana yang meminta staf TI untuk
beralih ke fasilitas alternatif tersebut jika terjadi peristiwa bencana.
Profesional memikirkan bencana TI hanya dalam hal kebakaran, banjir, atau beberapa situasi buruk lainnya
Dengan era virtualisasi penyimpanan client-server dan aplikasi berbasis Web, sebuah perusahaan menghadapi
serangkaian risiko baru seputar aset TI-nya.
Konsep asli perencanaan pemulihan bencana TI didasarkan pada proses yang sudah ada untuk melanjutkan
operasi jika beberapa bencana tunggal membuat pusat komputer tidak bisa beroperasi.
Bahwa pendekatan pemulihan bencana sebelumnya tidak benar hari ini, tetapi perusahaan perlu merencanakan
keberlangsungan proses bisnis ketika dihadapkan dengan kejadian yang tidak terduga.
Dengan server dan sistem berbasis Internet hari ini, bahasa dan pendekatan strategis untuk kelangsungan bisnis
TI dan perencanaan pemulihan bencana telah berubah.
Profesional sekarang harus berpikir dalam hal pentingnya rencana kesinambungan bisnis (BCP), yang terdiri dari
prosedur dan proses yang diperlukan untuk memulihkan operasi bisnis secara keseluruhan.
Pendekatan dan kebutuhan baru adalah BCP, daripada rencana pemulihan bencana di masa lalu.
Pengguna sistem pemrosesan pesanan online kurang peduli tentang apakah server beroperasi daripada apakah
pesanan pelanggan, yang dikirimkan melalui situs Internet, dapat diproses dengan benar dan efisien.
Aplikasi harus dipulihkan dan beroperasi secepat dan seefisien mungkin, tetapi tujuan utamanya adalah untuk
mendukung dan memulihkan proses bisnis.
Sementara pemulihan bencana TI terus menjadi penting, prosedur pemulihan TI yang efektif sering kali memiliki
nilai terbatas di dunia saat ini dari Internet yang saling berhubungan dan sekarang sistem berbasis cloud.
Untuk mendukung proses tata kelola TI, perusahaan harus menetapkan dan menerapkan rencana
kesinambungan bisnis secara keseluruhan yang kuat (BCP) yang mencakup pemulihan baik sistem maupun
proses bisnisnya.
Untuk beberapa profesional, terminologi ini menyajikan ambiguitas.
Pencarian Web untuk "pemulihan bencana TI" atau "perencanaan berkelanjutan" menghadirkan referensi yang
beragam untuk kedua konsep tersebut, mengabaikan apa yang kami rasakan adalah perbedaan yang signifikan
antara kedua bidang ini.
Sebagian besar referensi ini, terlepas dari namanya, fokus pada perencanaan pemulihan bencana IT tradisional
daripada proses BCP yang lebih umum.
Karena sumber daya TI adalah komponen kunci BCP, manajemen perusahaan harus memahami dan memainkan
peran kunci dalam menanamkan BCP di suatu perusahaan.
BCP perusahaan melibatkan penentuan prioritas tujuan bisnis dan operasi penting yang penting untuk
pemulihan.
Proses harus disusun dalam kerangka kerja perusahaan yang mempertimbangkan setiap proses penting, unit
bisnis, departemen, dan sistem yang perlu menanggapi solusi gangguan dan pemulihan yang harus dilaksanakan.
Kerangka ini harus mencakup rencana untuk operasi pemulihan jangka pendek dan jangka panjang.
Manajemen harus memprioritaskan tujuan bisnis mereka dan operasi penting yang penting untuk kelangsungan
hidup lembaga mengingat bahwa pemulihan semua unit bisnis mungkin tidak layak karena biaya, logistik, dan
keadaan tak terduga lainnya.
BCP yang efektif harus mencakup pembaruan rutin untuk rencana tersebut berdasarkan perubahan dalam
proses bisnis, rekomendasi audit, dan pelajaran yang didapat dari pengujian.
Perubahan dalam proses bisnis termasuk kemajuan teknologi yang memungkinkan pemrosesan lebih cepat dan
lebih efisien, sehingga mengurangi periode pemulihan proses bisnis yang dapat diterima.
Untuk menerapkan BCP, manajemen perusahaan harus mempertimbangkan pedoman kelangsungan bisnis yang
telah dikembangkan oleh berbagai organisasi profesional oleh vendor komputer seperti Oracle dan HP, dan oleh
beberapa organisasi standar nasional.
Kami telah menggambarkan pendekatan BCP ini sebagai proses siklus hidup yang melingkar dan
berkesinambungan dengan pusat atau inti dari proses yang disebut manajemen program BCP.
Sebagai langkah pertama untuk meluncurkan BCP yang efektif, seorang manajer yang bertanggung jawab di
perusahaan harus bertanggung jawab untuk mendefinisikan dan mengelola program BCP.
Secara historis, perusahaan melihat fungsi TI mereka dan menganggap mereka akan mengelola operasi BCP ini
karena tanggung jawab mereka untuk rencana pemulihan bencana TI, pencadangan file, dan pengujian berkala
dari rencana tersebut.
Untuk perusahaan yang memiliki fungsi manajemen risiko, petugas risiko utama biasanya adalah orang yang
tepat untuk mengambil tanggung jawab program BCP.
Dalam situasi lain, chief information officer (CIO) dapat memikul tanggung jawab keseluruhan di sini atau tugas
dapat diberikan kepada fungsi jaminan kualitas perusahaan.
BCP adalah elemen yang sangat penting dari tata kelola TI perusahaan, dan dalam semua kasus komite audit
harus meninjau dan menyetujui strategi BCP ini.
Selain itu, perusahaan perlu menetapkan kebijakan tingkat tinggi untuk menentukan ruang lingkup dan tujuan
dari rencana BCP-nya.
Mudah bagi manajer senior untuk menyatakan bahwa BCP perusahaan akan mencakup "segalanya", tetapi
pembatasan lingkup tingkat tinggi diperlukan.
Di bawah kepemimpinan fungsi perusahaan yang diberi tanggung jawab untuk BCP, sebuah tim harus dibentuk
untuk mengembangkan kebijakan keberlanjutan bisnis untuk perusahaan.
Ini bisa termasuk:
- Meninjau semua materi perencanaan keberlanjutan perusahaan yang ada, seperti rencana pemulihan
bencana TI yang ada atau rencana darurat cuaca, untuk menentukan kelayakan prosedur BCP mereka.
- Mengidentifikasi pedoman praktik yang baik, peraturan, atau undang-undang yang harus dimasukkan
dalam rencana BCM apa pun.
- Melakukan penilaian risiko BCP tingkat tinggi, yaitu mengidentifikasi semua sistem kunci, lini produk,
unit bisnis, atau fungsi lain yang memerlukan prioritas kesinambungan bisnis tertinggi.
- Mengembangkan kebijakan keberlanjutan bisnis perusahaan dan mendiskusikan asumsinya untuk
mendapatkan persetujuan dari manajemen senior dan komite audit.
- Menerbitkan kebijakan BCP yang disetujui sebagai panduan tingkat tinggi untuk meluncurkan program
kelangsungan bisnis perusahaan secara keseluruhan.
BCP yang disetujui kemudian harus menjadi dasar untuk kegiatan perencanaan kesinambungan perusahaan.
Ini adalah konsep tata kelola inti yang akan memungkinkan perusahaan untuk menanamkan perencanaan
berkelanjutan ke dalam budaya perusahaan secara keseluruhan.
Model siklus kehidupan BCM yang ditunjukkan pada Gambar 10.3 menguraikan proses untuk memahami
organisasi bisnis yang khas.
Akibatnya, suatu perusahaan harus dalam posisi untuk memilih strategi kesinambungan yang tepat untuk
memungkinkannya memenuhi tujuan BCP-nya.
Perusahaan harus meluncurkan serangkaian proses operasi alternatif untuk digunakan setelah gangguan untuk
mempertahankan atau melanjutkan aktivitas bisnis di setiap area utama.
Perbedaan yang signifikan antara mengikuti model BCP dan yang lebih tua, pendekatan pemulihan bencana yang
lebih tradisional adalah bahwa para perencana tidak boleh hanya memikirkan satu strategi kontinuitas untuk
perusahaan tetapi lebih kepada aliran pendekatan tingkat kegiatan yang berbeda untuk perusahaan.
Kerumitan interdependensi pada layanan, proses bisnis, data, dan teknologi perlu dianalisis, dengan taktik yang
tepat dipilih untuk memenuhi kebutuhan:
- Orang-orang di perusahaan → untuk identifikasi strategi yang sesuai untuk pemeliharaan keahlian inti
dan pengetahuan orang dalam perusahaan
- Kebutuhan tempat kerja → merancang strategi untuk mengurangi dampak ketidaktersediaan ruang
kerja yang normal
- Mendukung teknologi → penggunaan fasilitas TI, jaringan telekomunikasi, produksi pengujian sumber
daya untuk pengembangan strategi yang baik
- Informasi fisik dan virtual → untuk pengelolaan kerahasiaan, integritas, ketersediaan dan pengendalian
sekarang untuk informasi yang penting
- Peralatan dan persediaan → mengidentifikasi dan memelihara simpanan dari supply inti dan perangkat
untuk dukungan kegiatan kritikal
- Pemangku kepentingan, mitra dan kontraktor → mengembangkan strategi yang sesuai untuk
manajemen hubungan dengan kunci stakeholder, bisnis atau partner layanan, dan kontraktor
Keseluruhan BCP harus mempertimbangkan ancaman kontinuitas terkait dengan keterkaitan dan interkoneksi
dari semua kegiatan perusahaan besar.
Praktik keamanan TI yang efektif adalah tugas rumit yang membutuhkan dukungan teknis TI perusahaan yang
kuat.
Demikian pula, perencanaan kesinambungan bisnis memerlukan dukungan TI secara keseluruhan serta
manajemen senior.
~END OF CHAPTER~
Importance of IT Service-
Oriented Architecture for IT
Governance Systems
Capaian mata kuliah

Mampu memahami pembangunan dan pemantauan sistem tata kelola TI secara efektif
Tim Teaching
References
Governance Systems
PENJELASAN
Profesional yang telah bekerja dengan sistem dan aplikasi TI selama bertahun-tahun tahu bahwa
teknologi dan teknik TI selalu berubah dan berkembang. Mengelola aplikasi IT melalui arsitektur
berorientasi layanan (SOA) adalah konsep lain yang relatif baru yang akan segera menjadi bagian dari
bahasa standar TI. SOA adalah pendekatan sistem TI di mana logika bisnis aplikasi atau fungsi individual
dimodulasikan dan disajikan sebagai layanan untuk aplikasi konsumen / klien. Konsep utama adalah
bahwa layanan TI yang sebenarnya disediakan secara longgar digabungkan dan independen dari
implementasi aplikasi yang sebenarnya.
Akibatnya, pengembang TI dapat membangun aplikasi dengan memilih dan mengelompokkan berbagai
komponen TI untuk membentuk aplikasi baru, analog dengan cara anak mengambil berbagai potongan
mainan LEGO untuk membangun struktur baru. SOA adalah konsep yang sangat berkembang untuk
pengembangan dan penerapan aplikasi IT hari ini. Ketika seorang profesional fungsi TI perusahaan
berbicara tentang SOA dan menggunakan istilah tersebut sebagai kata kunci baru, manajer bisnis harus
memiliki pemahaman umum tentang konsep serta kontrol internal dan konsep seputar penerapan
SOA.
SOA adalah gaya arsitektur TI yang tujuannya adalah untuk mendapatkan loose coupling di antara agen
perangkat lunak yang berinteraksi. Untuk membantu dengan definisi, loose coupling menggambarkan
bagaimana sistem komputer ganda, bahkan yang menggunakan teknologi yang tidak kompatibel, dapat
digabungkan bersama untuk transaksi, terlepas dari perangkat keras, perangkat lunak, dan komponen
fungsional lainnya. SOA memungkinkan interoperabilitas antara sistem TI dan bahasa pemrograman
yang berbeda, menyediakan basis untuk integrasi antara aplikasi pada platform yang berbeda melalui
pesan di seluruh tautan komunikasi jaringan. Perangkat lunak ini dibangun mengikuti standar umum
dan industri khusus yang merupakan komponen modular dan granular. Layanan adalah unit kerja yang
dilakukan oleh penyedia layanan untuk mencapai hasil akhir yang diinginkan bagi konsumen layanan.
Baik penyedia dan konsumen adalah peran yang dimainkan oleh agen perangkat lunak atas nama
pemiliknya.
Istilah loose coupling

Loose coupling menjelaskan teknik kopling di mana dua atau lebih komponen perangkat keras dan
perangkat lunak dihubungkan bersama untuk menyediakan dua layanan yang tidak saling bergantung
Governance Systems
satu sama lain. Istilah ini digunakan untuk menggambarkan tingkat dan maksud komponen yang saling
berhubungan tetapi tidak tergantung dalam suatu sistem informasi.
Konteks SOA adalah loose coupled yang artinya sebuah service dapat dipanggil oleh program/service
lainnya tanpa program pemanggil tersebut perlu memperhatikan di mana lokasi service yang dipanggil
berada dan platform/teknologi apa yang digunakan oleh service tersebut. Loose coupling sangat
penting bagi SOA karena dengan demikian pemanggilan sebuah service oleh service lainnya dapat
dilakukan pada saat run-time.
Misalnya sebuah aplikasi core Penerbangan menyediakan sebuah service ticket booking, maka aplikasi-
aplikasi lainnya seperti flight schedule, payment gateway, flight detail dan sebagainya dapat memanggil
service flight booking tersebut tanpa perlu mengetahui di mana flight schedule tersebut berada di
dalam jaringan dan teknik pemanggilan yang harus digunakan. Hal ini kontras dengan pendekatan tight
coupling di mana dalam hal ini setiap aplikasi penerbangan di atas masing-masing harus mempunyai
fungsi flight schedule di dalamnya sehingga akan menyulitkan dan membutuhkan biaya/resource besar
jika perlu merubah logic dari flight schedule ke requirement bisnis yang baru di dalam setiap
aplikasinya. Dapat disimpulkan bahwa SOA menjadi solusi dari beragamnya platform serta permintaan
untuk interopabilitas dari sistem.
Layanan yang seperti ini adalah blok bangunan dasar SOA dan itu adalah cara mengakses kemampuan
bisnis yang berulang, diatur sebagai antarmuka perangkat lunak sederhana yang tersedia untuk semua
penyedia dan konsumen. Gambar 13.1 menunjukkan konsep dasar konfigurasi SOA, dengan peminta
layanan yang meminta layanan dari penyedia atau agregator dengan katalog penawaran layanan yang
tersedia, yang akan menarik permintaan dari salah satu dari beberapa penyedia layanan, yang
mengembalikan layanan kepada pemohon dan kemudian ke provider. Konsep SOA dasar adalah
pengambilan katalog layanan yang mapan dan menggunakannya untuk menyediakan layanan TI yang
diminta.
Agar arsitektur berorientasi layanan menjadi efektif, ada kebutuhan bagi semua pengguna sistem dan
layanan TI untuk memiliki pemahaman yang jelas tentang istilah layanan. Terkadang bahkan lebih
penting lagi, fungsi TI benar-benar perlu memahami apa artinya ketika mencoba menawarkan layanan
TI daripada sistem dan proses baru tradisional. Layanan TI adalah fungsi yang terdefinisi dengan baik,
mandiri, dan tidak bergantung pada konteks atau status layanan lain. Layanan adalah blok bangunan
Governance Systems
SOA dan dapat disatukan untuk membuat layanan lain atau dirakit dalam urutan untuk membuat
proses.
Dalam SOA, layanan diatur dalam apa yang disebut registri, di mana layanan terpisah dapat disatukan
untuk membuat aplikasi gabungan dan kemudian dipasang bersama ke dalam apa yang disebut cetak
biru SOA. Manajemen TI umumnya menghadapi upaya SOA ketika menilai kontrol umum perusahaan
secara keseluruhan meninjau kontrol aplikasi tertentu.
Beberapa konsep SOA penting yang mungkin dihadapi oleh para profesional TI dan manajemen yang
tertarik ketika membahas proses SOA adalah:
- Perincian komponen SOA → mendeskripsikan ukuran komponen yang membentuk sistem
- Antarmuka layanan versus konsep implementasi → memisahkan apa yang dilakukan layanan
dari bagaimana layanan dilakukan. Fokus pandangan pengguna bisnis dari SOA harus fokus pada
apa yang layanan dapat lakukan daripada detail tentang bagaimana teknologi bekerja di bawah
perangkat dengan menggunakan analogi automobile
- Kontrak SOA → mendefinisikan obligasi antara service provider dan service konsumer atau
peminta layanan. Dalam kontrak terdapat harapan layanan seperti ketersediaan, kehandalan,
kunci indikator kinerja, biaya dan dukungan.
- Konsep loose coupling SOA → cara untuk merancang layanan yang lebih fleksibel dan kurang
bergantung satu sama lainnya. Membantu layanan untuk diputuskan secara bersama atau
berkaitan dan dikombinasikan kembali.
Loose coupling adalah pendekatan untuk menghubungkan komponen dalam sistem atau jaringan
sehingga komponen tersebut, yang juga disebut elemen, bergantung satu sama lain sejauh paling
praktis.
Coupling mengacu pada tingkat pengetahuan langsung yang dimiliki satu elemen dari elemen lainnya.
Loose coupling berarti mengurangi ketergantungan kelas yang menggunakan kelas berbeda secara
langsung.
Tight coupling berarti kelas dan objek bergantung satu sama lain. → biasanya digunakan di class
diagram
Gambar 13.2 mengilustrasikan konfigurasi SOA keseluruhan perusahaan hipotetis.

Pada tingkat yang lebih rendah dari gambar adalah sumber data perusahaan dan sistem multiplatform
lainnya.
Semua elemen akan didefinisikan sebagai layanan seperti aplikasi khusus, misalnya, mungkin dibangun
Governance Systems
dari kombinasi server, mainframe / legacy, atau komponen aplikasi Web dan dirakit dengan komponen
yang diminta melalui bus layanan ke adaptor dan aplikasi yang tepat.
SOA lebih dari sekedar cara baru untuk mengatur sistem TI yang ada, dan itu memerlukan perencanaan
terperinci untuk pindah ke lingkungan baru itu serta kebijakan dan prosedur TI yang baru.
Bahkan yang lebih penting, ini membutuhkan implementasi yang bertahap dan sangat terstruktur di
mana proses TI dibawa ke dalam lingkungan SOA secara terkendali.
Dalam beberapa kasus, keuntungan dari operasi SOA akan jelas bagi para manajer senior dan orang
lain.
Sebagai contoh, perusahaan yang telah memindahkan segmen besar dari aplikasinya ke lingkungan
berbasis Java atau dot-Net Web sering kali dapat dengan mudah membenarkan kelebihan
memindahkan aplikasi saat ini dan proses lainnya ke lingkungan SOA.
Manajer senior juga harus merasa nyaman dengan kontrol infrastruktur TI dalam lingkungan SOA serta
memahami kontrol manajemen proyek yang baik.
Manajer senior yang berminat perlu memahami karakteristik SOA yang unik dan tata kelola, masalah
pengendalian internal, dan risiko.
Huruf ketiga dari singkatan SOA adalah singkatan dari arsitektur, dan pembangunan arsitektur yang
efektif merupakan langkah awal yang penting untuk meluncurkan SOA dalam suatu perusahaan.
Seorang petugas informasi kepala perusahaan (CIO) mungkin telah terkena konsepnya, atau
perusahaan mungkin telah menerapkan aplikasi tunggal SOA-seperti yang mendapatkan banyak
komentar dan pujian yang antusias, tetapi perusahaan perlu membangun rencana keseluruhan atau
kerangka kerja untuk meluncurkan implementasi proses SOA apa pun. Kunci untuk SOA yang efektif
adalah untuk mengidentifikasi rencana yang ada atau membangun layanan menggunakan blok
bangunan yang akan menentukan SOA.
SOA perusahaan harus mendefinisikan berbagai elemen layanan dan pemangku kepentingan layanan,
termasuk alur kegiatan dan poin keputusan antara pemangku kepentingan yang terlibat dalam proses,
sebagai berikut:
- Pemilik bisnis → menyediakan kebutuhan aplikasi untuk kapasitas, solusi, atau proses yang
diimplementasikan untuk sebuah bisnis yang baru
- Arsitek SOA → perusahaan perlu untuk merancang arsitektur SOA yang terampil untuk analisis
kebutuhan bisnis dan memecahkan mereka ke dalam layanan dan rancangan proses
Governance Systems
- Pengembang aplikasi → mengimplementasi komponen berdasarkan spesifikasi rancangan

disampaikan oleh arsitek SOA, membangun pengendalian internal, dan menciptakan
perencanaan pengujian berdasarkan spesifikasi
- Manajer kualitas → menggunakan input yang disediakan oleh pemilik bisnis, arsitek dan
pengembang untuk meninjau cara yang benar dari layanan atau proses yang diimplementasikan
Setelah tim kunci telah diidentifikasi, perusahaan harus mengembangkan cetak biru SOA yang
menunjukkan target perusahaan atau gambaran lengkap tentang bagaimana seharusnya implementasi
SOA ketika selesai.
Cetak biru SOA terutama harus menguraikan masing-masing layanan bisnis yang akan dilakukan,
persyaratan deskripsi layanan terkait dan metrik kinerja, dan standar interoperabilitas.
Beberapa manfaat utama yang harus disadari perusahaan dari pindah ke lingkungan SOA:
- Tingkatkan visibilitas bisnis → mengintegrasi sistem yang sudah ada dan data agregasi untuk
lebih konsisten, akurat dari data customer
- Mencapai fleksibilitas bisnis → yang merespon cepat kebutuhan bisnis (terkait kemampuan,
perubahan teknologi, fungsionalitas)
- Dapatkan efisiensi bisnis → menyederhanakan, mengotomatiskan, dan mengaktifkan
penelusuran yang lebih baik dan visibilitas proses bisnis perusahaan
- Tingkatkan proses Tata Kelola TI → SOA lebih baik mengklasifikasikan dan mengorganisasikan
semua proses TI untuk perusahaan, keseluruhan tata kelola dan pengendalian proses
Fungsi TI menghadapi beberapa masalah serupa ketika merencanakan konversi SOA. Sementara
perhatian saat ini bukan pada tanggal format yymmdd COBOL yang tidak terdokumentasi, fungsi TI
yang khas memiliki lapisan aplikasi dan program TI, sistem redundan dan sering tidak dapat diakses,
dan banyak integrasi titik-ke-titik yang campur aduk untuk aplikasinya.
Masalah-masalah ini mungkin merupakan tantangan terbesar untuk menerapkan proses SOA yang
efektif. Jika ada tim yang menerapkan SOA di seluruh perusahaan tidak memahami sistem TI, proses,
dan struktur organisasi yang ada, ada kemungkinan kuat bahwa implementasi SOA akan gagal.
Keseluruhan konsep dan keindahan SOA adalah penggunaan unit layanan yang dapat dirakit dan
dipasang kembali mengikuti contoh blok LEGO yang sebelumnya direferensikan. Meskipun selalu ada
alasan bahwa satu atau unit lain harus berbeda (mis. masalah keamanan tinggi), suatu perusahaan
biasanya memerlukan beberapa jenis otoritas pengaturan standar untuk menetapkan kebijakan dan
Governance Systems
menetapkan aturan untuk layanan SOA-nya. Bagi banyak perusahaan, badan yang mengatur dan
menegakkan kebijakan SOA dan standar perusahaan biasanya disebut pusat SOA keunggulan atau
pusat kompetensi SOA. Pusat kompetensi ini sering kali terdiri dari perwakilan dari masing-masing unit
bisnis yang dipengaruhi oleh cetak biru dan rencana SOA perusahaan.
Hampir setiap bagian dari cetak biru SOA perusahaan — termasuk layanan mana yang akan dibangun,
bagaimana mereka akan didefinisikan, dan bagaimana mereka akan beroperasi — secara implisit
mendefinisikan kebijakan SOA untuk suatu perusahaan. Karena cetak biru SOA biasanya mengandung
banyak kebijakan implisit, penting bahwa tindakan pertama dari pusat kompetensi SOA yang baru
dibentuk adalah untuk meratifikasi cetak biru ini sebagai tujuan bersama. Penting bagi setiap kelompok
perusahaan yang terkena dampak untuk memahami dan menyetujui implikasi cetak biru SOA karena
berdampak pada kegiatan kerja harian mereka.
Beberapa orang kunci yang terlibat dalam penerapan SOA dan menjadi bagian dari SDLC khususnya:
- Pemilik bisnis
- Arsitek SOA
- Pengembang SOA → mengimplementasi komponen berdasarkan spesifikasi rancangan yang
disampaikan oleh arsitek SOA dan menciptakan perencanaan pengujian berdasarkan spesifikasi
- Manajer kualitas SOA
- Operator SOA → menerima pengujian dan validasi solusi dan implementasi sesuai dengan
standar proses TI dalam memberikan solusi yang tersedia untuk pengguna dan konsumer
Kebijakan dan proses SOA biasanya dibagi menjadi dua kategori:

(1) merancang kebijakan tata kelola waktu untuk memastikan bahwa artifak SOA memenuhi
persyaratan desain yang ditetapkan dalam cetak biru SOA,
(2) kebijakan tata kelola runtime untuk memastikan bahwa layanan SOA memenuhi kebutuhan waktu
proses yang dinegosiasikan antara penyedia layanan dan konsumen.
Komponen kunci dari kebijakan dan proses SOA, kebijakan desain-waktu, memastikan bahwa layanan
dibangun untuk memenuhi spesifikasi yang digariskan dalam rencana cetak biru SOA.
Kebijakan harus disesuaikan untuk membatasi perilaku perancang dan pengembang layanan atas nama
seluruh upaya SOA di bidang luas berikut:
- Interoperabilitas → blueprint SOA menyediakan interoperabilitas untuk layanan TI khususnya
mengesahkan kumpulan standar
Governance Systems
- Dapat ditemukan → menawarkan atribut spesifik seperti deskripsi bisnis yang familiar dan
informasi terkait lokasi layanan dalam membangun klasifikasi dan registry katalog
- Keamanan → menyediakan keamanan untuk semua layanan SOA
- Keunikan → tidak memiliki nama yang sama dengan layanan lainnya
- Kepatuhan antarmuka → membutuhkan tampilan yang digunakan dan diinisiasi sesuai aturan
- Pemenuhan format data → sesuai dengan tujuan utama layanan SOA yaitu pemanfaatan
kembali elemen layanan, dan membangun format data umum yang dikenal dengan skema
- Metrik → informasi statistic dan laporan rancangan layanan diatur dalam aturan. Perusahaan
dan auditor TI tidak dapat mengukur kecuali metriks dibangun sesuai tujuan dan standar kinerja
minimum operasional
Pengadopsian SOA menghadirkan tantangan bagi perusahaan yang terbiasa menggunakan penerapan
TI sebagai cara untuk mengatasi persyaratan aplikasi. Struktur dan proses baru, biasanya disebut
sebagai siklus hidup SOA, diperlukan yang memberikan dasar untuk kelincahan organisasi dan
mempromosikan adopsi SOA yang sukses. Proses siklus hidup SOA, dikombinasikan dengan struktur
organisasi yang efektif, menjadi elemen kunci dalam meluncurkan proses SOA yang efektif.
Sebagian besar perusahaan departemen TI berada di bawah tekanan tinggi untuk memberikan solusi
yang efektif dan tepat waktu untuk operasi bisnis mereka. Untuk mencapai tujuan solusi ini, mereka
menggunakan komponen dan fungsi teknis dan organisasi bersama, serta inisiatif lintas proyek untuk
memperkuat sinergi di seluruh departemen TI.
Ketika solusi ini dikombinasikan dengan pola pikir untuk memberikan layanan (seperti dalam layanan
yang berharga dan tidak seperti dalam teknologi), fungsi TI dapat menemukan dirinya bergerak ke jalur
menuju SOA.
TI dan manajemen — harus memiliki pola pikir yang berpikir dalam kerangka rantai nilai dan memahami
bahwa layanan adalah sesuatu yang ada untuk memberikan kepuasan konsumen.
Sebuah perusahaan perlu memecah apa yang pemikiran aplikasi-sentris tradisional dengan
menerapkan proses terstruktur yang melintasi batas-batas proyek dan siklus hidup mereka.
Ketika pola pikir, metodologi, orang dan organisasi, dan teknologi berhasil digabungkan, penerapan
SOA dapat menghasilkan manfaat besar bagi perusahaan dalam hal skala, efisiensi, dan terutama
ketangkasan.
Runtime (waktu proses) mencakup keseluruhan proses pengembangan, pementasan, dan produksi
sistem SOA.
Governance Systems
Kebijakan tata kelola runtime akan menghasilkan pengurangan tingkat friksi politik dalam suatu
perusahaan karena mereka kebanyakan membatasi sistem TI atas nama konsumen layanan SOA.
Kebijakan runtime ada untuk memastikan bahwa layanan berperilaku bagaimana mereka "seharusnya"
mengikuti harapan konsumen layanan. Ini termasuk:
- Perjanjian tingkat layanan (SLA) → provider SOA dan konsumer menyetujui harapan kinerja SOA
seperti halnya pengukuran yang mengkonfirmasi layanan dilakukan sesuai dengan harapan
- Otentikasi → provider dan konsumer menyetujui bagaimana pengguna layanan
mengidentifikasi diri mereka (cth: sistem identifikasi dan token keamanan)
- Otorisasi → proses keamanan ditempatkan untuk menentukan apakah penyedia diizinkan
untuk meminta layanan
- Enkripsi → harus adanya standar enskripsi untuk menyimpan kode pesan atau mengacak
sehingga tidak mudah dibaca oleh orang yang salah
- Lansiran dan notifikasi → kondisi harus dibangun untuk mengerakkan alarm dengan prosedur
agar dapat dikirim kepada otoriter yang tepat. Alarm dapat menunjukkan bisnis dan kondisi
teknikal
- Metrik → indikator kunci kinerja waktu proses dan pengukuran dibangun untuk menyediakan
indikator yang nantinya dapat digunakan untuk menilai kinerja
Kebijakan runtime biasanya membatasi tim operasi TI dan sistem TI atas nama konsumen layanan.
Proses-proses ini dapat mencakup permintaan dukungan dan tanggapan terhadap pemberitahuan dan
pemberitahuan real-time.
Mengaktifkan permintaan yang lebih responsif untuk mengubah kondisi waktu proses adalah nilai
penting dalam SOA. Proses tata kelola SOA yang efektif menyiapkan pos pemeriksaan untuk
memastikan bahwa perjanjian antara organisasi sedang ditegakkan, termasuk repositori registri SOA
untuk berfungsi sebagai titik penegakan untuk kebijakan dan proses desain waktu SOA. Sistem
perangkat lunak pengontrol harus memiliki fasilitas untuk berfungsi sebagai titik penegakan untuk
kebijakan dan proses runtime SOA, termasuk proses validasi pesan untuk memastikan bahwa mereka
berwenang untuk meminta layanan, persyaratan operasional yang penting.
Manajer senior harus menyadari bahwa misi inti dari tata kelola SOA adalah untuk mempromosikan
dan memastikan perilaku yang diinginkan di antara peserta dan sistem. Manajemen TI harus
mengkomunikasikan kebijakan SOA dengan jelas dan kemudian harus menerapkan kebijakan ini secara
konsisten selama siklus hidup SOA. Manajemen kebijakan SOA yang efektif menghilangkan hambatan
dan keberatan terhadap tata kelola SOA dengan memberikan panduan yang jelas mengenai apa yang
Governance Systems
diharapkan sesuai dengan cetak biru SOA yang telah ditetapkan dan disetujui. Solusi manajemen
kebijakan meningkatkan akuntabilitas dan memastikan hasil yang konsisten.
Banyak perusahaan bahkan hari ini telah mengubah satu atau aplikasi kunci lain ke model layanan Web,
pendekatan serupa SOA. Proses aplikasi layanan web mengubah aplikasi yang sudah ada menjadi
lingkungan berbasis Web dan bergantung pada Web ditunjukkan pada Gambar 13.5.
~END OF CHAPTER~
IT Configuration and IT
Portfolio Management
Capaian mata kuliah

Tim Teaching
References
PENJELASAN
Apakah manajer atau laptop manager, sistem server yang mendukung kantor penjualan cabang, atau
pusat data utama perusahaan, setiap sistem TI yang terpasang akan memiliki banyak komponen,
termasuk portofolio perangkat lunak aplikasi, file dan database, sistem operasi, perangkat
telekomunikasi, dan pendukung dokumentasi untuk prosedur ini.
Komponen-komponen TI ini semua harus terhubung oleh sistem dan di seluruh perusahaan secara
keseluruhan agar dapat berkomunikasi dan bekerja dengan satu sama lain.
Keseluruhan komponen IT ini dikenal sebagai konfigurasi TI perusahaan.
Sebagai elemen penting dari tata kelola TI, proses harus ada untuk mengelola kompatibilitas dan status
komponen konfigurasi TI ini sehingga mereka dapat berbicara dan berkomunikasi satu sama lain.
Perusahaan harus memiliki sistem manajemen konfigurasi TI yang efektif untuk mendukung proses
kunci TI.
Manajer bisnis sering mengalami masalah konfigurasi IT ketika mereka menerima laporan atau pesan
kesalahan dari beberapa unit dari keseluruhan perusahaan dan menemukan mereka tidak dapat
membuka atau membaca file yang dikirim.
Tanggapan pertama manajer sering kali adalah memanggil help desk fungsi TI-nya, tetapi masalahnya
sering ditelusuri untuk menemukan bahwa unit yang mengirim data yang tidak dapat dibaca
menggunakan versi perangkat lunak yang salah atau bahkan perangkat lunak yang benar-benar salah.
Masalah perangkat lunak yang salah dan tidak dapat dibaca itu sering disebabkan oleh kegagalan untuk
memperbarui elemen perangkat lunak di suatu tempat di jaringan TI perusahaan.
Laporan atau proses dapat bekerja baik di lokasi di mana saat ini sedang berjalan tetapi tidak
kompatibel dengan sistem atau fasilitas lain.
Ini adalah contoh masalah konfigurasi IT!
Perubahan atau revisi elemen pada satu komponen sering perlu direfleksikan dalam semua komponen
yang saling berhubungan lainnya.
Manajemen revisi dan versi dari banyak elemen TI ini dikenal sebagai manajemen konfigurasi IT.
Manajemen portofolio TI adalah pendekatan manajemen investasi TI yang efektif yang dapat
memberikan pengawasan sentral terhadap anggaran TI, masalah manajemen risiko TI, dan
penyelarasan strategis investasi TI.
Ini mendukung praktik tata kelola TI yang lebih baik.
Manajemen konfigurasi TI hanya satu elemen dari serangkaian praktik terbaik ITIL.
• sedikit lebih dalam alat dan proses manajemen konfigurasi TI dan akan menekankan mengapa
manajemen konfigurasi TI merupakan komponen penting dari proses tata kelola TI yang baik.
IEEE mendefinisikan manajemen konfigurasi TI sebagai suatu perusahaan atau proses organisasi TI yang
mengandung unsur-unsur berikut:
- Identifikasi → proses manajemen konfigurasi TI termasuk skema identifikasi, merefleksikan
struktur dari sumber daya TI dan mengidentfikasi komponen mereka, histori revisi, dan tipe,
membuat unik dan dapat dicapai dalam berbagai bentuk
- Kontrol → proses CM TI mengendalikan rilis produk dan mengubah sumber daya konfigurasi
melalui siklus hidup dengan memiliki kendali untuk memastikan konsistensi sumber daya
komponen TI lewat penciptaan produk dasar
- Status Akuntansi → proses CM TI merekam dan melaporkan status dari komponen konfigurasi
dan permintaan perubahan
- Audit dan ulasan → proses CM TI meninjau proses untuk memvalidasi kelengkapan item
konfigurasi dan memelihara konsistensi di antara komponen konfigurasi dengan memastikan
semua produk adalah koleksi komponen yang didefinisikan dengan baik
Untuk mencapai manajemen konfigurasi TI yang efektif, suatu perusahaan dan fungsi TI seharusnya
(1) Memiliki proses untuk mengidentifikasi semua perangkat keras, perangkat lunak, dan
komponen infrastruktur secara unik yang merupakan bagian dari sumber daya TI mereka;
(2) Memiliki kontrol di tempat untuk melacak semua perubahan atau revisi pada komponen
konfigurasi ini;
(3) Mempertahankan sistem pelaporan manajemen konfigurasi sehingga fungsi TI, manajemen
umum, dan sumber daya keuangan memahami status sumber daya TI perusahaan saat ini; dan
(4) Memantau dan mengelola status sumber daya TI ini untuk menentukan bahwa mereka update
dan hemat biaya.
Gambar 14.1 menjelaskan konsep CMS ini dan kebutuhan untuk kontrol konfigurasi TI.
Grafik ini menunjukkan pengguna sistem bisnis perusahaan di lingkaran luarnya, di mana semua perlu
mengembangkan hubungan dan koneksi satu sama lain dan melalui sumber daya sistem mereka.
Pengguna sistem ini peduli dengan masalah konfigurasi TI berikut:
- Kontrol aset TI → kelompok pengguna yang berbeda dan fungsi TI membeli dan menginstall versi
software yang berbeda dan perangkat lain.
- Manajemen insiden → tujuan utama dari manajemen insiden adalah mengembalikan secara
normal operasional layanan secepat mungkin dan meminimalkan dampak dari operasional bisnis,
sehingga memastikan tingkat kemungkinan terbaik dari kualitas layanan dan ketersediaan adalah
pemeliharaan
- Manajemen masalah IT → ITIL mendefinisikan masalah sebagai kondisi yang sering diidentifikasi
sebagai hasil dari banyak insiden yang menggambarkan gejala umum. Dari masalah yang sama,
dicari akar, lalu solusi.
- Masalah tata kelola TI secara keseluruhan → memastikan aturan keamanan TI, manajemen
proyek, metric benchmarking (pengukuran numeric untuk level performansi dan membandingkan
dengan organisasi serupa dalam identifikasi area yang butuh pengembangan (Cth. nomor/koneksi
staf, % tingkat kebocoran, % cakupan pasokan, dll.) diimplementasikan dan dikelola secara
konsisten untuk memastikan manajemen konfigurasi konsisten dan efektif
- Manajemen kapasitas TI → perusahaan perlu menginstall dan mengimplementasi
- Perjanjian tingkat layanan (SLA)
Sebuah perusahaan menghadapi tantangan dalam menjaga agar semua informasi selalu diperbarui.
Manajemen konfigurasi ITIL mendefinisikan praktik terbaik untuk menjaga rincian informasi yang andal
dan terkini tentang infrastruktur TI.
ITIL meminta perusahaan dan operasi TI untuk menentukan struktur konfigurasinya menjadi apa yang
disebut ITIL item konfigurasi (CI) dan untuk memahami bagaimana hubungan CI ini satu sama lain.
Proses manajemen konfigurasi ITIL yang efektif harus menentukan bahwa perubahan pada
infrastruktur TI telah dicatat dengan benar, termasuk hubungan antara CI, dan proses manajemen
konfigurasi harus memantau status komponen TI untuk memastikan bahwa ia memiliki gambaran
akurat dari versi CI saat ini
Sebuah perusahaan menghadapi tantangan dalam menjaga agar semua informasi selalu diperbarui.
Manajemen konfigurasi ITIL mendefinisikan praktik terbaik untuk menjaga rincian informasi yang andal
dan terkini tentang infrastruktur TI.
ITIL meminta perusahaan dan operasi TI untuk menentukan struktur konfigurasinya menjadi apa yang
disebut ITIL item konfigurasi (CI) dan untuk memahami bagaimana hubungan CI ini satu sama lain.
Proses manajemen konfigurasi ITIL yang efektif harus menentukan bahwa perubahan pada
infrastruktur TI telah dicatat dengan benar, termasuk hubungan antara CI, dan proses manajemen
konfigurasi harus memantau status komponen TI untuk memastikan bahwa ia memiliki gambaran
akurat dari versi CI saat ini.
Diimplementasikan secara efektif, inventaris juga harus menyediakan baik manajemen dan fungsi TI
dengan informasi dan area untuk penyelidikan lebih lanjut dalam bidang kebijakan produk TI berikut
ini:
- Komponen TI mana yang kami gunakan saat ini, berapa banyak versi yang berbeda dari masing-
masing, dan sudah berapa lama mereka digunakan?
- Komponen TI mana yang berpotensi dihapus dan mana yang perlu ditingkatkan?
- Lisensi apa yang tersedia dan apakah sudah mencukupi?
- Bagaimana standarnya adalah keseluruhan infrastruktur TI di seluruh perusahaan?
Manajemen konfigurasi IT dan konsep CMS seharusnya tidak hanya menjadi masalah fungsi TI di suatu
perusahaan.
Tim spesialis TI termasuk manajemen TI dan pengguna kunci lainnya dari sumber daya TI harus
dikumpulkan untuk membangun dan membangun CMS perusahaan.
Sementara banyak manajer dan profesional TI memahami pentingnya memiliki proses konfigurasi TI
yang efektif di tempat untuk suatu perusahaan, proses untuk secara khusus mengumpulkan dan
menentukan persyaratan yang diperlukan untuk memulai manajemen konfigurasi perusahaan-lebar
dapat menjadi tantangan.
Latihan ini harus dimulai dengan melihat alat-alat konfigurasi di tempat, memperbarui mereka seperti
yang diperlukan, dan kemudian membuat koneksi manajemen konfigurasi tingkat tinggi, mengurangi
ini ke harapan yang lebih praktis dan kemudian pindah ke persyaratan yang dapat diukur untuk proses
konfigurasi TI.
Proyek manajemen konfigurasi TI harus mencakup empat elemen berikut:

1. Menentukan elemen konfigurasi TI → langkah ini membutuhkan keseluruhan definisi dari
lingkup konfigurasi, katalog atau daftar dari item konfigurasi pada gambar 14.2 dan proses
penelusuran perubahan untuk mengelola item konfigurasi dalam lingkungan TI
2. Membangun hubungan konfigurasi IT → variasi ini mengidentifikasi item konfigurasi harus
terhubung dengan IT dan proses bisnis
3. Mengoptimalkan proses konfigurasi TI → tim projek menemukan variasi item konfigurasi
penting diduplikasi dari satu sama lain, tetapi setiap dipertahankan dalam sistem atau database
yang berbeda
4. Mengembangkan proses dokumentasi manajemen konfigurasi IT yang konsisten → ini adalah
sebuah standar tata kelola yang penting
Seluruh proses manajemen konfigurasi mirip dengan hampir semua yang harus digunakan ketika ada
kebutuhan untuk mengatur sejumlah besar elemen informasi yang sering berbeda tetapi terkait
dengan kebutuhan untuk dapat secara teratur mereferensikan mereka dan untuk membuat perubahan
yang diperlukan.
Fungsi TI perusahaan harus mengambil langkah-langkah yang diperlukan untuk menerapkan
manajemen konfigurasi sebagai komponen kunci dari semua operasi TI.
Upaya tersebut dapat memaksa TI untuk mundur dari beberapa proyek reguler lainnya, tetapi proses
yang efektif akan menawarkan manfaat bagi TI dan pengguna layanan TI.
Fungsi TI harus mengembangkan standar untuk versi perangkat lunak dan perangkat kerasnya.
Kontrol versi adalah praktik menerapkan versi perangkat lunak yang konsisten pada perangkat jaringan
yang serupa.
Ini meningkatkan peluang untuk validasi dan pengujian pada versi perangkat lunak yang dipilih dan
sangat membatasi jumlah cacat perangkat lunak dan masalah interoperabilitas yang ditemukan dalam
jaringan.
Untuk membuat kontrol manajemen konfigurasi TI yang efektif, spesialis perangkat lunak harus
menguji, memvalidasi, dan memilih versi perangkat lunak yang dipilih.
Langkah selanjutnya termasuk mendokumentasikan versi yang sukses sebagai standar untuk
klasifikasi perangkat serupa.
Konsep di sini adalah menerapkan atau memperbarui semua perangkat serupa secara konsisten ke
versi standar perangkat lunak.
CMS (Configuration Management System) TI adalah elemen kunci dari tata kelola TI yang efektif.
Kami benar-benar tidak dapat mengelola dan mengendalikan semua sumber daya TI sampai memiliki
pemahaman tentang bagaimana semuanya cocok bersama.
Elemen kunci dari semua ini adalah kebutuhan untuk menetapkan standar dan prosedur di seluruh
perusahaan sehingga fungsi TI perusahaan memiliki pemahaman yang baik tentang semua sumber
daya TI yang telah mereka instal, semuanya terhubung bersama, dan mereka digunakan secara
konsisten di seluruh perusahaan.
Elemen penting dalam implementasi manajemen konfigurasi yang efektif adalah implementasi CMDB,
komponen sentral dan penyimpanan proses manajemen konfigurasi TI.
Database pengelolaan konfigurasi adalah basis data tunggal yang berisi semua informasi yang relevan
tentang komponen sistem informasi yang digunakan dalam layanan TI perusahaan serta hubungan
antara komponen-komponen tersebut.
CMDB menyediakan tampilan data terorganisasi dan sarana memeriksa data dari perspektif yang
diinginkan.
Dalam konteks ini, komponen dari sistem informasi CMDB berisi item konfigurasi yang terkait dan
direferensikan, seperti yang dijelaskan dalam gambar 14.2.
CI dapat berupa komponen TI apa pun, termasuk perangkat lunak, perangkat keras, dokumentasi, dan
personel yang bertanggung jawab, serta setiap kombinasi dari mereka.
Proses manajemen konfigurasi berusaha untuk menentukan, mengontrol, dan melacak item
konfigurasi dan setiap perubahan yang dilakukan pada mereka secara komprehensif dan sistematis.
Beberapa vendor perangkat lunak utama menawarkan produk perangkat lunak CMDB.
Gambar 14.3 memberikan pandangan konseptual tentang seperti apa database itu seharusnya atau
komponen utamanya.
Berdasarkan gambar 14.3, CMDB harus terdiri dari elemen atau komponen berikut:
- Administrasi pengguna CMDB → sebagai kegiatan pengendalian database utama perusahaan
- Keamanan CMDB dan alat akses pengguna → area dimana seseorang dapat mengumpulkan akses
ke sumber daya perusahaan dan kuatnya pengendalian keamanan
- Fasilitas manajemen konfigurasi database → area di mana fasilitas pengendalian revisi yang kuat
dibuat untuk efisiensi CMDB
- Manajemen data dan repositori database → elemen ini mendeskripsikan database fisik aktual,
software operasi, dan lingkungan fisik dan pengendalian
- Kontrol keamanan dan perlindungan data → dimanfaatkan pada link user interface, dan disajikan
sebagai repositori CMDB dan lainnya menggunakan sistem
- Repositori integrasi data → fungsional CMDB yang lengkap menyediakan links ke jangkauan luas
dari sistem dan proses lainnya
- Alat penemuan dan pemantauan eksternal → dimanfaatkan untuk menilai dan memantau data
CMDB
- Repositori data lainnya → CMDB bukan hanya satu satunya repositori terpusat dari data
konfigurasi
Implementasi CMDB yang efektif adalah alat efisiensi dan tata kelola TI yang penting untuk setiap
perusahaan dengan serangkaian sistem dan proses TI yang relatif rumit.
CMDB adalah sistem untuk mengelola pengetahuan lebih dari itu adalah produk, dan itu lebih
merupakan indeks daripada database yang kompleks.
TI atau tim manajemen yang mencari atau memasang solusi yang tepat harus menetapkan standar dan
persyaratan kinerja untuk CMDB mereka.
Sebuah CMDB perusahaan membutuhkan beberapa fitur unik.
Pertama, solusi CMDB perusahaan sejati didasarkan pada konsep basis data lama yang disebut
pemodelan dimensi yang sedikit keluar dari gaya.
Solusi CMDB perusahaan harus didasarkan pada basis data dimensi daripada model basis data
relasional yang umum hari ini.
Sebuah CMDB perusahaan harus menggunakan teknologi dimensi yang mewakili data sebagai dimensi
atau pesawat yang berbeda.
Dimensi CMDB sering menyertakan lokal (misalnya, kota, negara bagian, lantai, dll.), Grup kerja seperti
penjualan, fungsi pemasaran, dan sebagainya, layanan TI seperti SAP atau email, rentang tanggal, dan
lainnya.
CMDB adalah apa yang disebut meta database; Yaitu, itu adalah database yang merujuk ke database
lain.
Persyaratan utama untuk CMDB disebut pemodelan dimensi atau federasi, referensi data dari
beberapa sumber.
Masalah yang mendorong federasi data pertama kali adalah validitas data.
Konsep seputar federasi CMDB adalah bagaimana menghubungkan ke sumber data heterogen,
menyelesaikan bit data mana yang definitif, dan kemudian membuat dan menyimpan kunci dengan
data unik yang tidak ditemukan di sumber data eksternal tetapi masih diperlukan.
Ide federasi CMDB membutuhkan "menghubungkan ke beberapa sumber data," tetapi memiliki sistem
CMDB yang benar-benar dapat menggabungkan sumber data ini.
Selain masalah hanya menghubungkan ke sumber data heterogen dan mungkin kompetitif, masalah
besar dengan federasi untuk CMDB disebut data konfrontasi.
Memiliki beberapa aplikasi dan sistem yang tumpang tindih dan memantau aset TI yang sama atau
menyimpan data yang serupa, kemungkinan inkonsistensi data dan redudansi muncul: Ini adalah
konfrontasi data.
Rekonsiliasi berarti menyesuaikan data yang berasal dari lebih dari satu sumber untuk menghilangkan
duplikat dan menjaga konsistensi.
Federasi tidak berguna dengan rekonsiliasi.
Rekonsiliasi, bagaimanapun, bukanlah akhir dari persyaratan untuk CMDB perusahaan.
Menambahkan lebih banyak kompleksitas ke sistem CMDB adalah kebutuhan untuk menangani setiap
perubahan yang timbul dari rekonsiliasi yang sukses, dan ini mengarah ke sinkronisasi.
Rekonsiliasi harus mampu menyelesaikan perbedaan-perbedaan ini untuk menjaga integritas CMDB.
Jadi sistem CMDB yang berhasil menyatukan data juga harus dapat mengingatkan ketika mendeteksi
perubahan yang tidak sah / tidak terencana.
Kegagalan untuk menyinkronkan perubahan yang direkonsiliasi dengan cepat akan menghasilkan
CMDB yang tidak terkendali — sebuah petunjuk untuk bencana.
Ini berarti bahwa sistem CMDB membutuhkan kesadaran akan perubahan yang disetujui.
Kemudian, ketika mesin rekonsiliasi mendeteksi dan menyelesaikan perubahan dalam infrastruktur
atau data, itu harus membandingkan perubahan ini ke daftar perubahan yang diharapkan dan
menghasilkan peringatan jika perubahan tidak disetujui (misalnya, tidak direncanakan).
Peringatan ini membawa data CMDB ke perhatian administratornya, yang memerlukan bantuan
memvisualisasikan, memetakan, dan menampilkan data — persyaratan teknis utama berikutnya dari
pemodelan.
Pemodelan adalah pemetaan dan visualisasi hubungan basis data yang dialiansi merupakan definisi
layanan TI dan interkoneksi CI.
Pemodelan lebih dari sekadar melaporkan atau menampilkan daftar sumber dan turunan.
CMDB harus mampu menampilkan datanya dengan cara yang memungkinkan manusia menggunakan
informasi dalam penilaian dampak untuk manajemen perubahan, penentuan hak istimewa pada meja
layanan fungsi TI, pemecahan masalah melalui proses insiden atau manajemen masalah, dan lusinan
pertanyaan ad hoc lainnya. dari seluruh operasi TI.
Sebuah perusahaan yang mengembangkan CMDB sendiri harus menjaga konsep-konsep pemodelan
multidimensional dan isu-isu federasi, rekonsiliasi, sinkronisasi, dan pemodelan dalam pandangan yang
jelas.
Meskipun manajer senior yang menilai rencana CMDB perusahaan atau sistem yang dipasang mungkin
tidak memiliki tingkat pemahaman sains komputer tentang konsep-konsep ini, sangat tepat bagi
manajer senior untuk menanyakan sumber daya TI mereka bagaimana mereka menangani masalah ini.
Sebuah perusahaan meluncurkan CMDB harus membuat proses untuk memantau dan memastikan
bahwa federasi, rekonsiliasi, sinkronisasi, dan pemodelan terjadi.
Kegagalan untuk mengelola masalah-masalah penting ini dengan cepat dapat mengubah proyek CMDB
dari aset menjadi kewajiban.
Manajemen TI dan pengguna sistem dan proses ini biasanya menerapkan sejumlah besar sistem dan
proses dari waktu ke waktu yang secara langsung atau longgar terhubung dengan sistem lain atau ada
sebagai penyendiri.
Sebuah organisasi TI biasanya dapat mewujudkan layanan besar dan penghematan investasi jika
melihat sistem dan proses TI yang sering berbeda ini dan mengelola mereka sebagai portofolio sumber
daya TI.
Manajemen portofolio TI adalah divisi, reklasifikasi, dan penerapan manajemen kelas besar sumber
daya TI.
Contoh portofolio TI mungkin adalah inisiatif sistem yang direncanakan, proyek TI baru yang besar, dan
layanan dukungan aplikasi TI yang sedang berjalan.
Janji manajemen portofolio TI adalah kuantifikasi (jumlah) dari upaya TI informal sebelumnya,
memungkinkan pengukuran dan evaluasi obyektif dari skenario investasi.
Konsep manajemen portofolio TI mirip dengan manajemen portofolio keuangan, tetapi ada perbedaan
yang signifikan.
Aset portofolio keuangan biasanya memiliki kriteria informasi pengukuran yang konsisten seperti
pengembalian investasi.
Di sisi lain, pengukuran nilai TI sering membutuhkan upaya yang besar.
Manajemen portofolio TI memberikan keunggulan dibandingkan pendekatan dan metode investasi TI.
Manfaat lainnya termasuk pengawasan pusat anggaran, manajemen risiko, penyelarasan strategis
investasi TI, permintaan pemanfaatan sistem, dan manajemen investasi, bersama dengan standarisasi
prosedur investasi, aturan, dan rencana.
Manajemen TI, dengan persetujuan pengguna sistem kunci lainnya, harus mengembangkan
pendekatan manajemen portofolio untuk mengelola sumber daya TI dan mengembangkan tujuan dan
sasaran kinerja secara keseluruhan.
Untuk banyak perusahaan, manajemen portofolio TI dicapai dengan membagi sumber daya sistemnya
menjadi tiga wilayah portofolio yang luas dengan sub-portofolio di setiap kelompok:
- Portofolio aplikasi → berisi semua aplikasi produksi yang dibagi dalam beberapa kelompok seperti
keuangan, produksi manufaktur, dan teknik pengembangan produk, aplikasi terkait payroll, sistem
SDM, dan aplikasi pelatihan karyawan
- Portofolio infrastruktur → fokus pada IT perusahaan dan proses perangkat lunak manajemen
infrastruktur. Infrastruktur (manajemen sistem, manajemen jaringan, perangkat lunak manajemen
penyimpanan)
- Portofolio proyek → mengalamatkan pengembangan kapabilitas inovasi yang sesuai dengan ROI,
dan kesesuaian investasi
Portofolio TI adalah sekelompok inisiatif, proyek, dan / atau program terkait yang mencapai manfaat
dan dampak luas.
Langkah selanjutnya adalah membangun strategi untuk memenuhi setiap tujuan portofolio ini dan
kemudian menetapkan langkah-langkah untuk keberhasilan mereka.
Proses manajemen portofolio TI serta sistem manajemen konfigurasi yang kuat harus meningkatkan
kinerja TI secara keseluruhan dan meningkatkan operasi tata kelola TI.
~END OF CHAPTER~
Application System
Implementation and IT
Governance
Capaian mata kuliah

Tim Teaching
References
Application System
Governance
PENJELASAN
PROSES PENGEMBANGAN SISTEM APLIKASI pernah menjadi perhatian utama organisasi TI.
Sebagai elemen kunci dari proses tata kelola TI yang baik, perusahaan harus memiliki proses
pengembangan sistem TI yang kuat, yaitu apakah membangun aplikasi dengan cara tradisional atau
membeli lisensi dari vendor untuk implementasi cloud.
Manajemen perusahaan harus memiliki pemahaman yang baik tentang proses tata kelola TI di seputar
upaya pengembangan aplikasi sistem barunya.
Seluruh konsep di balik proses SDLC adalah bahwa setelah perusahaan menerapkan aplikasi baru,
manajemen TI dan manajemen perusahaan harus memantau keberhasilan dan kemajuannya. Hal ini
dapat menyebabkan kebutuhan untuk merevisi sistem atau aplikasi yang benar-benar baru. Dengan
demikian SDLC adalah proses peningkatan berkelanjutan untuk pengembangan dan pemantauan
berkelanjutan terhadap aplikasi TI baru.
Gambar 15.2 menguraikan isi dari analisis kebutuhan pengembangan sistem yang khas. Seluruh kunci
untuk proses semacam itu adalah bahwa tim proyek harus melihat pada permintaan pengguna atau
bahkan permintaan manajemen TI untuk aplikasi baru dan menentukan apakah permintaan tersebut
cukup masuk akal.
Sebagai komponen kunci dalam proses tata kelola TI, perusahaan dan fungsi TI nya haruslah memiliki
beberapa bentuk proses SDLC, meskipun mereka menggunakan proses pengembangan cepat, seperti
prototipe.
Versi sederhana dari proses pengembangan perangkat lunak RAD ini ditunjukkan pada Gambar 15.3.
Proses RAD dimulai dengan pengembangan data awal dan model proses bisnis untuk menentukan
persyaratan awal.
Menggunakan salah satu alat perangkat lunak pembuat laporan yang kuat yang tersedia saat ini,
contoh atau versi prototipe dari aplikasi dapat dibuat.
Model prototipe kemudian diverifikasi terhadap persyaratan untuk memperbaiki model data dan
proses.
Application System
Governance
Proses sistem RAD terdiri dari empat fase berikut:

- Tahap perencanaan kebutuhan RAD
- Fase desain pengguna RAD
- Tahap konstruksi
- Fase cutover RAD
Beberapa kontrol dan prosedur tata kelola TI yang harus diterapkan di sekitar penggunaan proses RAD.
Beberapa kendali dan prosedur kelola TI pada proses RAD yang baik secara umum:
- Pilih alat pembuat laporan aplikasi yang tepat yang fleksibel dan memenuhi kebutuhan aplikasi
bisnis
- Menetapkan aturan TI perusahaan.
- Melaksanakan pelatihan awal dan berkelanjutan untuk TI dan pengguna yang sesuai pada
penggunaan alat perangkat lunak RAD yang dipilih
- Menetapkan standar fungsi TI untuk aplikasi yang dikembangkan melalui proses RAD
- Mentukan tingkat profesional TI dan pengguna akhir yang tepat yang ditugaskan untuk proyek
RAD.
- Standar dan kendali RAD perusahaan yang tepat harus ada di tempatnya.
- Tentukan bahwa semua aplikasi RAD didokumentasikan secara tepat dan dilakukan bersamaan
dengan pengembangan aplikasi
- Menetapkan prinsip-prinsip yang ketat dalam aturan penamaan atau pengkodean.
Tujuan dari ERP adalah untuk meningkatkan dan merampingkan proses bisnis internal, yang biasanya
membutuhkan rekayasa ulang dari proses bisnis saat ini.
Sistem ERP berupaya mengintegrasikan semua departemen dan fungsi di seluruh perusahaan ke dalam
satu sistem komputer yang dapat melayani semua kebutuhan khusus departemen yang berbeda.
Dari perspektif tata kelola TI, ada beberapa poin kunci yang perlu dipertimbangkan ketika
mengimplementasikan database ERP untuk suatu perusahaan:
- Tentukan tujuan dan persyaratan ERP
Ini adalah konsep sistem TI yang relatif baru; ada banyak publikasi tentang apa yang mungkin dicapai
oleh database ERP yang komprehensif. Namun, berdasarkan pengetahuan mereka tentang apa yang
mungkin dicapai oleh database ERP yang komprehensif, pemrakarsa proyek harus mengembangkan
tujuan dan persyaratan yang kuat untuk proyek implementasi ERP baru.
Application System
Governance
- Bangun tim proyek lintas fungsional

Database ERP lebih dari sekedar sistem TI baru tetapi akan melibatkan banyak anggota perusahaan.
Tim lintas fungsi TI dan anggota komunitas pengguna harus ditunjuk untuk memimpin proyek ERP yang
akan datang.
- Kenali biaya dan persyaratan waktu untuk menerapkan ERP

Suatu perusahaan harus mengembangkan harapan yang realistis tentang persyaratan waktu untuk
tingkat proyek ini dan mengasumsikan bahwa proyek TI besar semacam itu akan membutuhkan
setidaknya satu tahun.
- Pilih dan produk perangkat lunak ERP → SAP, Oracle, Microsoft, atau Epicor
Untuk menghindari aliran pertemuan vendor dan materi promosi yang tidak ada habisnya, tim seleksi
harus berdiri teguh pada persyaratan dan tujuan anggaran yang ditentukan serta lingkungan perangkat
lunak perusahaan saat ini. Setiap vendor perangkat lunak ERP yang layak harus dapat menyediakan
versi uji yang representatif dari produk ERP mereka.
- Menerapkan teknik manajemen proyek formal ke implementasi ERP

Karena ERP adalah usaha besar, perusahaan harus mengembangkan dan mengikuti metodologi
perencanaan proyek formal untuk usaha ERP besar.
- Buat basis data uji untuk ERP dan mulailah penerapan bertahap
Setelah aktif dan berjalan, aplikasi ERP perusahaan akan berdampak pada sejumlah besar aplikasi
reguler. Namun, perhatian harus diberikan untuk meluncurkan implementasi bertahap berdasarkan
aplikasi demi aplikasi, menggunakan database uji pada tahap awal proyek.
- Berikan pelatihan pengguna yang ekstensif

Aplikasi ERP baru mungkin melibatkan format transaksi baru dan perubahan sistem lainnya yang
terkadang kecil namun tidak kentara. Sebagai bagian dari rencana proyek dan sebagai tanggung jawab
untuk anggota tim implementasi ERP, harus ada program pelatihan pengguna yang kuat.
- Menetapkan anggaran proyek dan memantau secara ketat biaya sistem ERP
Di luar biaya lisensi untuk perangkat lunak database yang dipilih, proyek ERP dapat menjadi pekerjaan
yang mahal bagi perusahaan. Anggota tim proyek serta orang lain yang terlibat dengan upaya harus
diminta untuk mencatat jam kerja mereka serta membebankan biaya langsung ke proyek ERP. Namun,
Application System
Governance
biaya-biaya yang dibebankan ini harus dipantau secara ketat dan dipertanyakan jika perlu. Sebagai
perhatian tata kelola TI yang sangat mendasar, terkadang dapat menjadi masalah ketika anggota staf
membebankan waktu mereka untuk sebuah proyek meskipun mereka tidak benar-benar melakukan
kegiatan proyek langsung.
- Buat strategi keluar, jika perlu

Implementasi ERP yang terencana dengan baik dan dijalankan dengan baik dapat menghasilkan
beberapa keuntungan nyata dan tidak nyata bagi suatu perusahaan, tetapi terkadang ada yang salah.
Misalnya, beberapa fitur perangkat lunak vendor database ERP mungkin tidak berfungsi seperti yang
dijanjikan atau diharapkan, mungkin ada masalah teknis dengan antarmuka sistem, atau sejumlah
masalah potensial lainnya. Seperti ungkapan lama, daripada membuang uang baik setelah buruk, tim
ERP harus mengembangkan strategi keluar untuk mengakhiri upaya proyek dengan anggun dan
kembali ke operasi TI dan bisnis normal.
Manfaat ERP Berwujud

- Pengurangan Persediaan
- Pengurangan Personil
- Peningkatan Manajemen Pesanan
- Pengurangan Biaya TI
- Pengurangan Biaya Pengadaan
- Peningkatan Manajemen Kas
- Pengurangan Pemeliharaan Sistem dan TI
- Peningkatan Sistem Pengiriman Tepat Waktu
Manfaat ERP Tidak Berwujud

- Akses Lebih Besar ke dan Visibilitas Informasi Sistem
- Proses Peningkatan Baru
- Responsif Pelanggan Lebih Besar
- Standarisasi Sistem dan Proses
- Perbaikan dalam Rantai Permintaan Pasokan
~END OF CHAPTER~
Internal Audit’s
Governance Role
Capaian mata kuliah

Mampu memahami pemantauan dan pengukuran manajemen enterprise dan dewan tata kelola
Tim Teaching
References
Internal Audit’s
Governance Role
Auditing tentu telah berkembang selama milenium dan saat ini umumnya mengklasifikasikan sebagian
besar auditor bisnis baik sebagai auditor eksternal atau internal. Auditor eksternal disewa oleh otoritas
pengatur untuk mengunjungi perusahaan atau entitas dan untuk meninjau dan secara independen
melaporkan hasil peninjauan tersebut. Di Amerika Serikat, auditor eksternal umumnya akuntan publik
bersertifikat, yang berlisensi negara dan mengikuti standar dari American Institute of Certified Public
Accountants (AICPA).
Ada juga jenis auditor eksternal lainnya di bidang seperti meninjau kepatuhan untuk peralatan
peralatan medis, peringkat pemirsa televisi, atau di beberapa area pemerintahan.
Audit internal adalah bidang yang lebih luas dan sering lebih menarik. Sebagai karyawan atau anggota
suatu perusahaan, auditor internal secara independen meninjau dan menilai operasi dalam berbagai
bidang, seperti prosedur pengendalian internal kantor akuntansi atau proses kualitas manufaktur.
Sebagian besar auditor internal mengikuti standar tingkat tinggi yang ditetapkan oleh organisasi
profesional mereka, Institut Auditor Internal (IIA), tetapi ada banyak praktik dan pendekatan lain yang
berbeda untuk audit internal saat ini karena sifatnya di seluruh dunia dan banyak jenis kegiatan audit.
Beberapa auditor internal mengkhususkan diri dalam meninjau kontrol internal keuangan perusahaan,
sementara yang lain berkonsentrasi pada proses bisnis atau masalah operasional. Sementara semua
auditor internal hari ini harus memiliki pengetahuan tentang kontrol internal yang berhubungan
dengan IT, ada juga spesialis profesional yang kuat yang dikenal sebagai auditor IT.
Eksekutif bisnis senior dapat lebih memahami audit internal dan bidang pengetahuan utamanya
melalui beberapa pengetahuan organisasi profesional auditor internal, IIA, dan standar profesional
yang dipublikasikan.
Asosiasi profesional ini mendefinisikan praktik demikian:
- Audit internal adalah fungsi penilaian independen yang didirikan dalam suatu organisasi untuk
memeriksa dan mengevaluasi kegiatannya sebagai layanan kepada organisasi.
Audit menunjukkan berbagai ide yang dapat dilihat sangat sempit, seperti pengecekan keakuratan
aritmatika atau keberadaan fisik catatan akuntansi, atau lebih luas sebagai tinjauan dan penilaian di
berbagai tingkat organisasi.
Istilah internal berarti bahwa pekerjaan tersebut dilakukan di dalam suatu perusahaan, oleh
karyawannya sendiri, berbeda dengan auditor eksternal, yang pekerjaannya dilakukan oleh akuntan
Internal Audit’s
Governance Role
publik luar atau pihak lain, seperti regulator pemerintah, yang tidak secara langsung menjadi bagian
dari perusahaan tertentu.
Definisi audit internal IIA ini mencakup istilah penting lainnya yang berlaku untuk profesi:
- Independen → digunakan untuk menunjukkan bahwa audit internal bebas dari pembatasan yang
dapat secara signifikan membatasi ruang lingkup dan efektivitas setiap tinjauan auditor internal atau
pelaporan kemudian dari temuan dan kesimpulan yang dihasilkan.
- Penilaian → menegaskan perlunya evaluasi yang merupakan dorongan auditor internal saat mereka
mengembangkan kesimpulan mereka
- Mapan → menegaskan bahwa audit internal adalah formal, fungsi definitif di perusahaan modern
- Memeriksa → mendeskripsikan peran aktif auditor internal, pertama untuk pencarian fakta dan
kemudian untuk evaluasi penilaian
- Kegiatannya → mengkonfirmasi cakupan yurisdiksi luas dari pekerjaan audit internal yang berlaku
untuk semua kegiatan perusahaan modern
- Layanan → mengungkapkan bahwa bantuan dan bantuan kepada komite audit, manajemen, dan
anggota lain dari perusahaan adalah produk akhir dari semua pekerjaan audit internal
- Untuk organisasi → menegaskan bahwa cakupan layanan total audit internal berkaitan dengan
seluruh perusahaan, termasuk semua personil, dewan direksi dan komite audit, pemegang saham, dan
pemangku kepentingan lainnya
Audit internal juga harus diakui sebagai kontrol organisasi dalam suatu perusahaan yang berfungsi
dengan mengukur dan mengevaluasi efektivitas kontrol lainnya.
Auditor internal yang melakukan pekerjaan mereka secara efektif menjadi ahli dalam apa yang
membuat desain dan implementasi terbaik dari semua jenis kontrol dan praktik yang disukai.
Keahlian ini termasuk memahami keterkaitan berbagai kontrol dan integrasi terbaik mereka dalam
sistem total pengendalian internal.
Auditor internal dapat membantu individu yang bertanggung jawab mencapai hasil yang lebih efektif
dengan menilai kontrol yang ada dan memberikan dasar untuk membantu meningkatkan kontrol
tersebut serta praktik tata kelola TI terkait.
Auditor internal pada waktu itu terutama berkaitan dengan pemeriksaan catatan akuntansi dan deteksi
kesalahan keuangan dan penyimpangan; sering disebut asisten auditor eksternal independen, yang
ditugaskan untuk melakukan rekonsiliasi akuntansi rutin atau melayani sebagai personil pendukung
utama.
Internal Audit’s
Governance Role
Organisasi profesional baru, yang kemudian disebut Asosiasi Auditor EDP, dibentuk untuk mendukung
para profesional audit internal yang baru ini.
EDP adalah singkatan dari pemrosesan data elektronik, istilah kuno untuk sistem dan proses TI.
Para profesional ini sekarang dikenal saat ini sebagai auditor IT dan organisasi profesional utama
mereka sekarang dikenal sebagai Audit Sistem Informasi dan Pengendalian Asosiasi, organisasi
profesional tata kelola TI yang penting.
Auditor TI sering menjadi spesialis di departemen audit internal konvensional, tetapi sering dikaitkan
dengan perusahaan akuntan publik besar atau beroperasi sebagai konsultan khusus juga.
Mereka memiliki peran yang sangat penting dalam membangun dan memantau proses tata kelola TI
perusahaan yang efektif.
Manajer bisnis senior harus memahami peran dan tanggung jawab tata kelola TI dari auditor internal
di perusahaan mereka, dengan perhatian khusus yang diberikan kepada spesialis audit IT mereka.
Manajer senior perlu memahami proses audit internal secara keseluruhan dan bagaimana audit
internal dijadwalkan, dilakukan, dan kemudian dilaporkan.
Proses audit internal membutuhkan penjadwalan review, melakukan penilaian risiko dan prosedur
audit yang diperlukan, dan kemudian melaporkan hasil audit kepada manajemen dan komite audit.
Kegiatan audit internal dimandatkan melalui dokumen charter (tertulis) audit internal formal yang
telah disetujui oleh komite audit dan memberikan fungsi audit internal otoritas keseluruhan untuk
melakukan tinjauan independen dan memeriksa materi.
Dari perspektif tata kelola TI, misalnya, dokumen charter (tertulis) akan memberikan tim audit internal
wewenang untuk memasuki operasi pusat data dan untuk meninjau laporan dan bahan lain yang
dijamin yang merupakan bagian dari audit yang direncanakan.
Gambar 19.2 menguraikan proses untuk melakukan audit internal sebagai empat fase atau langkah
yang diringkas.
Fase tingkat atas panggilan untuk:
- Jadwalkan audit → dilakukan pada audit khusus dengan pertimbangan diberikan untuk audit
kebutuhan sumber daya, sumber daya waktu pihak yang diaudit.
- Tetapkan auditor → menugaskan spesialis audit TI untuk tugas yang sesuai ketika auditor internal
ditugaskan sesuai dengan posisi yang sesuai
- Melakukan penilaian audit awal → perlu untuk mengumpulkan informasi terkait area yang akan
ditinjau, dan membuat penilaian audit awal tentang seberapa luas dan dalam area yang akan ditinjau
Internal Audit’s
Governance Role
untuk pengendalian internal umum dan resiko terkait dan pendekatan pengujian dan penilaian area
yang diaudit
- Dokumentasikan proses untuk area yang diaudit → mengumpulkan bukti dokumen untuk
membuktikan pengendalian memadai dari sudut pandang auditor
- Evaluasi kontrol internal → proses yang dilakukan meliputi pengumpulan bukti audit, melakukan
pengujian audit, dll
- Siapkan temuan → sering disebut “internal audit finding” : hasil dan observasi memunculkan temuan
dan rekomendasi
Sebagian besar proses audit internal mengharuskan pengumpulan, peninjauan, dan pengujian apa yang
auditor internal sebut bukti audit.
Auditor internal dapat menanyakan tentang status dokumentasi untuk beberapa aplikasi IT baru dan
diberitahu bahwa dokumentasi tersebut “terbaru”.
Jika itu adalah sistem kecil, auditor internal mungkin mencatat respon itu dan maju.
Namun, untuk memiliki bukti kuat bahwa dokumentasi sudah diperbarui, auditor internal mungkin
meminta untuk melihat dokumentasi yang sebenarnya untuk menentukan keberadaannya.
Untuk lebih rinci, auditor internal mungkin bahkan menggali ke dalam dokumentasi dan memeriksa
hal-hal seperti kecukupan revisi atau melakukan tes lain untuk melihat apakah dokumentasi itu benar-
benar memadai dan mendukung kontrol sistem.
Gambar 19.3 menunjukkan berbagai jenis bukti audit mulai dari yang terkuat hingga yang terlemah.
Kolom pertama menunjukkan jenis bukti audit, di mana teknik audit yang benar-benar mengamati
beberapa praktik jauh lebih kuat daripada hanya diceritakan.
Tidak ada persyaratan bahwa semua pekerjaan audit internal harus didukung oleh tingkat bukti yang
paling kuat.
Sifat audit internal dan risiko yang terkait merupakan faktor di sini, tetapi seorang manajer senior yang
bekerja dengan auditor internal dan rekomendasi mereka harus selalu mempertimbangkan bagaimana
mereka mengumpulkan bukti audit mereka untuk mendukung kesimpulan yang didokumentasikan.
Audit internal harus diakhiri dengan laporan formal yang menjelaskan tujuan peninjauan audit internal
di beberapa area, prosedur apa yang diikuti untuk menilai kontrol internal untuk tujuan audit tersebut,
apa yang ditemukan, dan apakah pengendalian internal di sana dinilai memadai atau tidak memadai.
Meskipun praktik dapat bervariasi di berbagai perusahaan, laporan audit internal umumnya akan
memerlukan tanggapan manajemen formal yang mengakui temuan audit internal dan menyatakan
bagaimana mereka akan memperbaiki atau memperbaiki kekurangan kontrol yang dilaporkan.
Internal Audit’s
Governance Role
Organisasi profesional auditor internal, IIA, bertanggung jawab untuk mengeluarkan standar praktik
dan perilaku untuk semua auditor internal, pada dasarnya di seluruh dunia.
Panduan otoritatif ini merupakan kombinasi dari pernyataan standar wajib yang diperlukan dan
diperlukan untuk praktik profesional audit lanjutan, ditambah serangkaian praktik standar yang sangat
direkomendasikan.
Standar IIA ini melampaui hanya tata kelola TI dan mencakup kegiatan tata kelola audit internal secara
luas.
Misalnya, IIA Performance Standard 2110.A2 menyatakan:
Kegiatan audit internal harus menilai apakah tata kelola teknologi informasi dari organisasi menopang
dan mendukung strategi dan tujuan organisasi.
Sasaran utama untuk tata kelola TI adalah untuk memastikan bahwa investasi dalam TI menghasilkan
nilai bisnis, dan untuk memitigasi risiko yang terkait dengan proses dan sistem TI.
Banyak kegiatan tinjauan audit internal dapat memainkan peran utama dalam mendukung tata kelola
TI perusahaan.
Contoh di sini dan seringnya aktivitas audit internal TI adalah tinjauan dan penilaian rencana
kesinambungan TI perusahaan, yang pernah disebut rencana pemulihan bencana TI pada zaman sistem
kerangka utama terpusat.
Sebuah perusahaan TI fungsi membutuhkan proses di tempat untuk memulihkan operasi dan untuk
memulihkan sumber daya TI ke tingkat operasi normal dalam hal gangguan jangka panjang dalam
layanan TI.
Gambar 19.4 menguraikan lima area umum di mana audit internal harus fokus pada tinjauannya
terhadap tata kelola TI: penyampaian nilai, manajemen risiko, manajemen sumber daya, manajemen
kinerja, dan isu-isu penyelarasan strategis.
Standar profesional audit internal meminta tingkat kegiatan tinjauan audit internal ini:
- Tinjau dan kaji penyampaian nilai fungsi TI dan bagaimana TI selaras dengan misi, visi, nilai, tujuan,
dan strategi organisasi.
- Tinjau apakah fungsi TI memiliki pernyataan yang jelas tentang kinerja yang diharapkan oleh bisnis
(efektivitas dan efisiensi) dan menilai pencapaiannya.
- Tinjau dan kaji efektivitas sumber daya TI dan proses manajemen kinerja.
- Tinjau dan kaji kepatuhan terhadap kualitas hukum, lingkungan dan informasi, serta persyaratan
fidusia (berkaitan dengan hak kepemilikan) dan keamanan.
- Tinjau dan nilai lingkungan kontrol organisasi.
Internal Audit’s
Governance Role
- Tinjau dan kaji risiko yang dapat mempengaruhi lingkungan TI secara negatif.
Audit internal harus menilai apakah rencana-rencana TI dan operasi tersebut terkait dengan kegiatan
bisnis perusahaan lainnya.
Komponen utama dari ini adalah bahwa semua operasi TI, termasuk pengembangan sistem,
manajemen mutu, dan pemrosesan IT, harus selaras dengan operasi bisnis.
Artinya, operasi TI harus menambah nilai dan posisi kompetitif untuk produk dan layanan perusahaan.
Fungsi TI harus berusaha untuk mempertahankan biayanya melalui peningkatan efisiensi administrasi
dan efektivitas manajerial.
Komite pengarah harus menetapkan strategi jangka panjang untuk kegiatan dan investasi TI, dan
tinjauan audit internal secara periodik — melalui partisipasi pasif dalam sesi komite pengarah atau
tinjauan audit internal formal — harus memastikan bahwa strategi TI ini telah berjalan dan beroperasi.
Proyek TI baru itu, baik untuk proses aplikasi baru atau yang ditingkatkan atau perangkat perangkat
keras baru, diusulkan untuk menyertakan manfaat yang diharapkan.
Manajemen risiko adalah konsep tata kelola TI yang sangat penting, dan apresiasi serta pemahaman
tentangnya harus menjadi bagian dari hampir semua tinjauan audit internal.
Ini membutuhkan kesadaran oleh pejabat senior tentang keinginan perusahaan untuk mengambil
risiko.
Tanggung jawab manajemen risiko TI harus ditanamkan ke semua tingkat operasi bisnis.
Area ini sering menjadi perhatian dengan operasi TI di mana ada kecenderungan historis untuk
mencoba pendekatan sistem baru atau teknologi dengan sedikit pemahaman tentang risiko terkait.
Proses manajemen risiko yang tepat harus menekankan perlindungan aset dan sistem pendukung TI
melalui prosedur pemulihan bencana dan rencana yang efektif untuk kelangsungan operasi.
Semua tinjauan audit internal harus fokus pada kesadaran akan risiko TI berdasarkan transparansi
kepada semua pemangku kepentingan dan harus melakukan upaya untuk menanamkan manajemen
risiko sebagai bagian integral dari kepatuhan dan jaminan perusahaan.
Audit internal TI harus secara teratur meninjau dan menilai efektivitas sumber daya TI dan proses
manajemen kinerja.
Audit internal harus merencanakan dan mengembangkan serangkaian ulasan dalam bidang
manajemen sumber daya TI. Ini mengatakan, sulit untuk fungsi audit internal untuk hanya meluncurkan
Internal Audit’s
Governance Role
tinjauan manajemen sumber daya TI, karena topik dan area hampir terlalu luas untuk peninjauan audit
internal tunggal.
Teknik pengukuran kinerja harus dikembangkan untuk membantu menerjemahkan strategi menjadi
tindakan untuk mencapai dan mengukur pencapaian tujuan TI.
Jenis alat ini dapat mengukur hubungan dan aset yang diperlukan untuk mencapai fokus pelanggan,
efisiensi proses, dan fasilitas untuk membantu perusahaan secara keseluruhan dan fungsi TI untuk
belajar dan tumbuh.
Jenis alat ini melacak pengiriman proyek dan memantau layanan TI.
Gambar 19.5 merangkum jenis-jenis tinjauan audit internal dan kegiatan penilaian yang diperlukan
untuk mempromosikan tata kelola TI dalam suatu perusahaan.
Gambar berada pada tingkat yang sangat tinggi tetapi menekankan bahwa auditor internal perlu
meninjau sistem dan operasi TI untuk membantu mengoptimalkan proses kontrol internal perusahaan
secara keseluruhan, untuk menyederhanakan dan meningkatkan proses ini, untuk merekomendasikan
area untuk otomatisasi yang lebih baik, dan menyarankan area untuk sistem yang lebih baik dan
standarisasi proses.
Fungsi audit internal yang efektif harus menjadi komponen kunci dalam mempromosikan proses tata
kelola TI yang efektif di perusahaan mana pun.
~END OF CHAPTER~
Creating and Sustaining an
Ethical Workplace Culture
Capaian mata kuliah

Mampu memahami tujuan tata kelola TI dan perusahaan
Tim Teaching
References
Proses tata kelola TI harus diintegrasikan ke dalam operasi inti bisnis perusahaan serta di mana
manajemen setiap anak perusahaan atau unit bisnis bertanggung jawab untuk memastikan proses tata
kelola TI yang tepat. Dalam elemen ini, suatu perusahaan harus berkomitmen untuk mencapai standar
etika dan integritas tertinggi dalam semua aspek operasi bisnisnya. Integritas perusahaan harus dimulai
dengan komitmen setiap pemangku kepentingan dan karyawan terhadap nilai-nilai inti perusahaan dan
tanggung jawab mereka untuk bertindak bersama dengan nilai-nilai tersebut.
Pernyataan misi perusahaan yang efektif, mencakup semua aspek operasi dan semua pemangku
kepentingan, harus menjadi elemen kunci dalam membangun praktik tata kelola TI yang efektif. Setiap
perusahaan, tidak peduli seberapa besar atau kecil, membutuhkan pernyataan misi untuk
menggambarkan keseluruhan tujuan dan nilainya. Ini harus menjadi sumber arah — kompas —
membiarkan karyawan, pelanggan, pemegang saham, dan pemangku kepentingan lainnya tahu apa
arti perusahaan dan apa yang tidak. Pernyataan misi yang efektif dapat menjadi aset besar bagi suatu
perusahaan, yang memungkinkannya untuk mencapai tujuan dan tujuan keseluruhannya secara lebih
baik.
Pernyataan misi perusahaan yang kuat adalah elemen penting dalam etika dan inisiatif tata kelola
perusahaan. Manajemen perusahaan harus mengevaluasi pernyataan misi apa pun yang mungkin ada
saat ini atau mempertimbangkan menulis ulang dan meluncurkan yang baru jika diperlukan. Jika
karyawan atau pemangku kepentingan lainnya tidak mengetahui pernyataan misi perusahaan yang ada
atau jika mereka melihatnya dengan kecurigaan, ada kebutuhan untuk meninjau kembali dan merevisi
dokumen misi. Pernyataan misi yang dibuat dengan buruk sering kali dapat lebih berbahaya,
menciptakan anggota organisasi yang sinis dan tidak bahagia yang menolak perubahan. Jika
perusahaan tidak memiliki pernyataan misi atau nilai, mungkin ada nilai yang cukup besar untuk
mengumpulkan tim untuk mengembangkan pernyataan yang mencerminkan nilai dan tujuan
perusahaan secara keseluruhan.
Pernyataan misi yang baik juga merupakan titik awal yang baik untuk pesan "tone at the top"
perusahaan untuk perusahaan saat ini.
Tone at the top mengacu pada suasana etis yang diciptakan di tempat kerja oleh pimpinan organisasi.
Pernyataan misi yang baik harus membuat pernyataan positif tentang sebuah perusahaan; itu
semestinya dapat menginspirasi anggota organisasi untuk memanfaatkan energi dan semangat mereka
dan meningkatkan komitmen mereka untuk mencapai tujuan dan sasaran. Idenya adalah untuk
menciptakan tujuan dan arahan yang akan dibagi di seluruh perusahaan. Kata-kata sederhana
menggambarkan misi dan visi jauh lebih baik daripada dokumen ekstensif yang banyak halaman.
Kadang-kadang disebut pernyataan nilai atau kredo, pernyataan ini juga dapat ditemukan di banyak
laporan tahunan perusahaan.
Kode etik menyediakan aturan pendukung untuk pemangku kepentingan perusahaan. Kode-kode ini
telah umum di perusahaan-perusahaan besar selama bertahun-tahun, dan SOx sekarang
mengharuskan perusahaan-perusahaan harus mengembangkan kode etik untuk pejabat keuangan
senior. Sementara kode SOx ini diamanatkan, semua perusahaan dapat memperoleh manfaat dari kode
etik yang mencakup semua pemangku kepentingan. Sementara SOx menggunakan ekspresi "kode
etik," nama yang lebih umum adalah, kode etik perusahaan. Kode etik yang mencakup seperangkat
aturan etika, bisnis, dan hukum yang sesuai untuk semua pemangku kepentingan perusahaan,
termasuk manajemen senior, semua staf dan karyawan pengawas, dan pemangku kepentingan
kelompok yang lebih besar.
Kode etik harus berupa serangkaian aturan atau panduan yang jelas dan tidak ambigu yang
menguraikan apa yang diharapkan dari anggota perusahaan, baik staf, karyawan, kontraktor, vendor,
atau pemangku kepentingan lainnya. Kode harus didasarkan pada nilai dan masalah hukum yang
melingkupi perusahaan. Artinya, sementara semua perusahaan dapat berharap untuk memiliki kode
etik larangan diskriminasi seksual dan rasial, kontraktor pertahanan dengan banyak masalah aturan
terkait kontrak akan memiliki kode perilaku yang agak berbeda dari operasi makanan cepat saji.
Selain topik kode dan juga aturan kode, banyak perusahaan telah menemukan nilai dalam
menambahkan serangkaian pertanyaan dan jawaban untuk menyertai poin-poin dalam kode. Hal ini
memungkinkan pembaca kode untuk lebih memahami masalah serta jenis pertanyaan yang mungkin
ditanyakan oleh karyawan yang mungkin lebih tidak canggih tentang aturan kode. Kunci dari
seperangkat aturan kode etik yang jelas adalah bahwa aturan tersebut harus jelas dan dipahami oleh
semua orang.
Contoh berikut adalah kutipan dari kode etik pada bagian yang mencakup aset perusahaan:
Kita semua memiliki tanggung jawab untuk mengurus semua aset perusahaan termasuk inventaris,
uang, persediaan, fasilitas, dan layanan karyawan lain dan sumber daya sistem komputer. Jika Anda
melihat atau mencurigai bahwa karyawan lain mencuri, terlibat dalam kegiatan penipuan, atau
sebaliknya tidak melindungi aset perusahaan dengan benar, Anda dapat melaporkan kegiatan ini
kepada manajer Anda.
Kode perilaku perusahaan harus merupakan dokumen yang hidup. Ini memiliki nilai yang kecil jika
hanya telah dikembangkan, disampaikan kepada semua pemangku kepentingan dengan banyak
keriuhan, dan kemudian disimpan dan terlupakan. Langkah pertama yang baik adalah secara formal
menyajikan kode etik baru atau yang direvisi kepada eksekutif senior perusahaan, dan terutama para
pejabat keuangan. Manajer senior perusahaan harus secara resmi mengakui bahwa mereka telah
membaca, memahami, dan akan mematuhi kode etik.
Hal ini dapat dicapai dengan jenis sistem tanggapan internet atau telepon di mana setiap pemangku
kepentingan perusahaan diminta untuk menanggapi ketiga pertanyaan ini:
1. Sudahkah Anda menerima dan membaca salinan kode etik?
Jawab ya atau tidak.
2. Apakah Anda memahami isi kode etik?
Jawab ya jika Anda memahami kode etik ini atau tidak jika Anda memiliki pertanyaan.
3. Apakah Anda setuju untuk mematuhi kebijakan dan pedoman dalam kode etik ini?
Jawab ya jika Anda setuju untuk mematuhi kode dan tidak jika Anda tidak.
Seluruh konsep di balik persyaratan pengakuan kode ini adalah untuk menghindari alasan "Saya tidak
tahu itu aturan" di masa depan ketika pelanggaran kode ditemukan. Merupakan ide yang baik untuk
melalui proses penerimaan kode ini setiap tahun atau setidaknya setelah setiap revisi pada dokumen
kode. File-file yang mendokumentasikan pengakuan kode ini harus disimpan dengan cara yang aman.
Kode etik menetapkan seperangkat aturan untuk perilaku yang diharapkan dalam suatu perusahaan,
dalam bentuk panduan untuk semua pemangku kepentingan — staf keuangan serta semua orang lain,
termasuk karyawan di semua tingkatan, kontraktor, dan vendor. Tujuannya adalah bahwa jika suatu
perusahaan mengeluarkan kode etik yang kuat bersama dengan pesan dari CEO tentang pentingnya
praktik etika yang baik, semua pemangku kepentingan harus diharapkan untuk mengikuti aturan
tersebut.
Kode etik perusahaan harus didukung dengan aksi dan tanggapan terencana yang terdokumentasi
untuk pelanggaran. Ketika pelanggaran kode atau pelanggaran signifikan dilaporkan atau ditemukan,
masalah harus diselidiki dan tindakan yang diambil secara konsisten, tidak peduli peringkat dari
pemangku kepentingan perusahaan yang bertanggung jawab atas pelanggaran kode.
Banyak aturan dasar perilaku etis yang baik serta aturan perusahaan dasar tidak akan berubah dari
tahun ke tahun. Contoh aturan tentang perlindungan aset perusahaan, yang disebutkan sebelumnya,
menyatakan bahwa semua pemangku kepentingan memiliki tanggung jawab untuk mengurus aset
perusahaan mereka, baik properti, uang tunai, sumber daya komputer, atau lainnya. Perusahaan harus
meninjau kode perilaku yang diterbitkan secara berkala dan setidaknya setiap dua tahun memastikan
bahwa pedoman tersebut masih berlaku dan terkini.
Revisi kode perilaku baru dan permintaan untuk penegasan kembali pemangku kepentingan bisa
menjadi tugas mahal yang membutuhkan sumber daya perusahaan khusus dari fungsi etika, sumber
daya manusia, audit internal, dan lain-lain. Bersama dengan pernyataan misi, suatu perusahaan harus
menjaga kode etik dan prinsip-prinsip pendukungnya di depan semua pemangku kepentingan setiap
saat. Hal ini dapat dicapai melalui referensi konstan ke kode etik seperti di poster papan buletin di
semua fasilitas, pertanyaan instruktif dan jawaban dalam publikasi, atau segmen dalam kelas pelatihan
karyawan.
Whistleblowing adalah elemen penting atau konsep tata kelola perusahaan. Seorang pengungkap fakta
adalah orang yang memberi tahu publik atau seseorang yang berwenang tentang dugaan kegiatan tidak
jujur atau ilegal yang terjadi di departemen pemerintah atau perusahaan swasta atau publik. Tuduhan
pelanggaran ini dapat berupa pelanggaran hukum, aturan, atau regulasi dan / atau ancaman langsung
terhadap kepentingan publik, seperti penipuan, pelanggaran kesehatan / keselamatan, atau korupsi.
SOx mengamanatkan bahwa komite audit perusahaan menetapkan prosedur untuk “menangani
informasi pelapor terkait masalah akuntansi atau audit yang dipertanyakan”.
Fasilitas perusahaan perlu mengenali dan menangani tuduhan whistleblower sebagai elemen penting
dari tata kelola perusahaan. Perusahaan harus memasang fungsi dukungan internal di mana pemangku
kepentingan dapat melaporkan setiap kekhawatiran yang dicurigai secara anonim dan dapat
mengharapkan tindakan perbaikan yang sesuai. Fasilitas semacam ini disebut hotline etika.
Fungsi hotline etika perusahaan harus menjadi fasilitas 24/7 di mana setiap karyawan atau pemangku
kepentingan yang melihat beberapa bentuk kesalahan dapat secara mandiri dan secara anonim
melaporkan tindakan itu tanpa takut akan retribusi. Kelompok audit internal atau sumber daya
manusia sering dapat membantu komite audit untuk membentuk program whistleblower yang efektif
yang akan memenuhi persyaratan SOx. Program-program whistleblower yang efektif adalah salah satu
dari konsep-konsep yang banyak didengar oleh para eksekutif tetapi mungkin tidak sepenuhnya
dipahami.
SOx memandatkan perlindungan whistleblower bagi para pemangku kepentingan perusahaan publik,
yang memungkinkan bahwa tidak ada perusahaan publik atau pejabat, karyawan, kontraktor, atau
agen dari perusahaan tersebut "dapat membebaskan, menurunkan, menangguhkan, mengancam,
melecehkan, atau dengan cara lain mendiskriminasi karyawan dalam syarat dan ketentuan kerja”
karena setiap tindakan yang sah yang dilakukan oleh karyawan. Lingkungan kerja yang positif
diperlukan di mana karyawan merasa bebas untuk menyampaikan kekhawatiran kepada manajemen
ditambah dengan mekanisme yang efektif untuk menangani setiap masalah yang diangkat.
Ini harus menjadi proses yang efektif ketika calon pelapor adalah anggota staf akuntansi perusahaan
yang mendengar rencana untuk beberapa transaksi penipuan atau karyawan di unit jarak jauh yang
tidak sering dikunjungi oleh staf perusahaan, seperti audit internal. Aturan Whistleblower dirancang
untuk mendorong para pemangku kepentingan melaporkan tindakan curang atau ilegal ini dan sangat
melindungi orang yang melaporkan masalah tersebut. Tujuan dari audit internal, adalah untuk
meninjau dan menemukan masalah pengendalian internal dan masalah audit. Temuan audit internal
ditinjau oleh manajemen dan disajikan dalam laporan audit formal di mana manajemen dapat
menguraikan rencananya untuk tindakan korektif.
Namun, bagaimana jika tim audit internal menemukan masalah akuntansi, pengendalian internal, atau
audit yang tidak dilaporkan secara resmi kepada manajemen dalam laporan audit? Bisakah salah satu
anggota tim audit secara independen melaporkan masalah ini menurut prosedur pelapor? Dapatkah
auditor internal yang menemui masalah akuntansi dan pengendalian internal yang bukan bagian dari
audit yang dijadwalkan melalui rute perlindungan whistleblower untuk melaporkan masalah tersebut?
Bagaimana jika anggota tim audit internal belum bekerja dengan baik dan takut dihentikan? Dapatkah
auditor status goyah menggali beberapa temuan potensial, mungkin dari kertas kerja yang lalu, dan
melaporkannya di luar departemen audit untuk mendapatkan perlindungan pelapor dan keamanan
kerja sampai masalah ini diselesaikan?
Tim audit internal jelas merupakan bagian dari manajemen, dan auditor internal memiliki tanggung
jawab pertama untuk melaporkan hal-hal yang tidak pantas atau ilegal yang dihadapi selama audit
terhadap manajemen internal audit untuk disposisi. Anggota tim audit internal tidak boleh berusaha
bekerja sebagai whistleblower independen sebagai bagian dari pekerjaan audit internal mereka. Audit
internal harus mengembangkan kebijakan yang jelas yang menyatakan bahwa setiap masalah
akuntansi, pengendalian internal, atau audit yang ditemui selama peninjauan audit yang dijadwalkan
harus didokumentasikan dalam kertas kerja audit dan dikomunikasikan kepada manajemen audit
internal untuk penyelesaian.
Banyak perusahaan saat ini telah menetapkan fungsi hotline etika. Sebagian besar mencakup fasilitas
saluran telepon rahasia yang dikelola melalui departemen etika, sumber daya manusia, atau penyedia
independen. Item yang dilaporkan dapat berkisar dari dugaan pencurian properti perusahaan, keluhan
sumber daya manusia, atau hanya untuk mengajukan pertanyaan yang mengganggu. Dalam banyak
kasus, operator telepon akan mengambil semua informasi yang diperlukan, mengajukan pertanyaan
ketika diperlukan, dan kemudian meneruskan insiden yang dilaporkan ke otoritas yang tepat untuk
penyelidikan dan penyelesaian. Operator hotline biasanya akan menetapkan insiden yang dilaporkan
sebagai nomor kasus, sehingga pemanggil nantinya dapat memeriksa resolusi.
Gambar 20.3 berisi panduan untuk membuat program hotline etika yang juga akan berfungsi sebagai
fasilitas whistleblower perusahaan.
Keberadaan fasilitas hotline dan whistleblower etika akan bernilai kecil kecuali jika dikomunikasikan
dan "dijual" kepada semua anggota perusahaan. Tujuannya adalah untuk menyelidiki dan segera
menyelesaikan semua panggilan — dan terutama panggilan whistleblower — secara internal untuk
menghindari penyelidik dan pengacara luar.
Program etika yang kuat, berdasarkan pernyataan misi yang bermakna dan kode etik, adalah elemen
kunci untuk program keseluruhan tata kelola perusahaan. Program etika yang kuat akan meningkatkan
praktik tata kelola perusahaan untuk seluruh perusahaan, bukan hanya orang-orang di kantor
eksekutif.
Lima tindakan berikut harus dipertimbangkan sebagai bagian dari peluncuran strategi etika dan
whistleblower yang efektif untuk seluruh perusahaan:
1. Kebijakan perusahaan → untuk menekankan bahwa semua pemangku kepentingan didorong,
memang memiliki kewajiban, untuk membawa kekhawatiran tentang akuntansi dan praktik keuangan
untuk perhatian manajemen
2. Program perhatian karyawan →
a. Koordinator pusat untuk proses dan investigasi
b. Pengendalian untuk memastikan investigasi yang sesuai dijalankan secara konsisten
c. Mekanisme feedback untuk menasihati pengaturan karyawan dan resolusi pengaturan masalah
d. Proses untuk secara periodik mengevaluasi program secara efektif
3. Pelatihan supervisor → untuk merespon secara efektif kekhawatiran karyawan

4. Panduan untuk kontraktor → untuk memastikan pekerjaan sesuai dengan yang seharusnya
5. Survei karyawan → menjalankan survey untuk menilai budaya organisasi dan mengukur
kekhawatiran karyawan
Ketika menerapkan proses tata kelola TI apa pun, manajemen harus selalu mempertimbangkan biaya
yang terlibat dan kemudian menyeimbangkannya dengan manfaat yang diterima.
Perusahaan publik dikelola oleh dewan direksi, dipilih oleh pemegang saham, dan bertanggung jawab
untuk kegiatan manajemen utama.
Komite audit adalah komponen kunci dari dewan direksi perusahaan, dengan tanggung jawab untuk
pengendalian internal dan pengawasan pelaporan keuangan.
Komite audit memiliki tanggung jawab keseluruhan untuk fungsi audit eksternal dan internal
perusahaan.
Auditor eksternal memiliki tanggung jawab utama kepada dewan direksi perusahaan untuk
membuktikan keakuratan dan keadilan laporan keuangan.
Meskipun auditor eksternal independen, komite audit meninjau dan menyetujui anggaran audit
eksternal, menerima laporan dari mereka, dan akan memiliki komunikasi berkelanjutan dengan mitra
yang bertanggung jawab atas keterlibatan audit.
Komite audit bertanggung jawab untuk audit internal dan auditor IT-nya, yang memiliki peran besar
dalam menilai kontrol internal atas keandalan pelaporan keuangan dan proses TI, efektivitas dan
efisiensi operasi, dan kepatuhan perusahaan dengan hukum dan peraturan yang berlaku.
Secara khusus, auditor internal dan spesialis audit IT mereka menilai banyak risiko keamanan dan
integritas terkait TI dan masalah tata kelola TI yang dihadapi perusahaan.
Fungsi audit internal diatur melalui piagam komite komite yang disetujui yang mendefinisikan aktivitas
dan hubungannya dengan komite audit perusahaan.
Hak khusus ini biasanya mengharuskan komite audit untuk:
- Tinjau sumber daya, rencana, kegiatan, kepegawaian, dan struktur organisasi audit internal
perusahaan.
- Tinjau penunjukan, kinerja, dan penggantian kepala eksekutif audit (CAE), petugas yang bertanggung
jawab untuk audit internal.
- Tinjau semua audit dan laporan yang disiapkan oleh audit internal bersama dengan tanggapan
manajemen.
- Tinjau dengan manajemen, CAE, dan akuntan independen kecukupan pelaporan keuangan dan sistem
pengendalian internal. Ini termasuk ruang lingkup dan hasil dari program audit internal, dan kerjasama
yang diberikan atau batasan, jika ada, yang diberlakukan oleh manajemen pada pelaksanaan program
audit internal.
Komite audit harus mengembangkan pemahaman menyeluruh tentang total kebutuhan audit
perusahaan.
Penilaian tingkat tinggi ini mencakup berbagai kontrol khusus dan masalah pelaporan keuangan,
memungkinkan komite audit untuk menentukan porsi audit atau penilaian risiko yang perlu dilakukan
oleh penyedia audit internal atau lainnya.
Komite audit bertanggung jawab untuk meninjau dan menyetujui rencana dan anggaran tingkat tinggi
dari audit internal.
Tinjauan komite audit atas semua rencana audit internal sangat penting jika kebijakan dan rencana
untuk masa depan akan ditentukan secara paling efektif.
Komite audit harus mengasumsikan peran koordinasi tingkat tinggi ini, sehingga semua pihak yang
berkepentingan (misalnya, manajemen perusahaan, auditor internal, dan audit eksternal) dapat lebih
memahami sifat dari rencana audit internal total dan apa yang diharapkan dari pemasok layanan audit.
Ketua komite audit adalah orang yang paling aktif dalam peninjauan rencana ini, tetapi bahkan orang
ini tunduk pada batasan waktu. Audit internal harus menyiapkan serangkaian dokumen perencanaan
tahunan yang komprehensif untuk komite yang memberikan rencana rinci untuk tahun mendatang,
serta rencana jangka panjang untuk masa depan. Selain itu, audit internal harus menyiapkan laporan
ringkasan kegiatan audit masa lalu dan penilaian ulang cakupannya untuk memberi komite audit
pemahaman tentang bidang-bidang penting yang tercakup dalam tinjauan sebelumnya. Rencana audit
internal dengan perspektif tata kelola TI terkadang dapat menimbulkan masalah bagi anggota komite
audit perusahaan.
Rencana tinjauan audit tata kelola TI dan kekhawatiran risiko merupakan bagian dari rencana audit
internal secara keseluruhan, dan auditor TI harus memiliki akses terbuka ke CAE mereka terkait dengan
peninjauan masalah tata kelola TI spesifik ini. Tanggung jawab komite audit yang paling penting adalah
untuk meninjau dan mengambil tindakan atas temuan audit yang signifikan yang dilaporkan kepada
mereka oleh auditor internal dan eksternal, manajemen, dan lain-lain. Menanggapi temuan audit yang
signifikan yang telah dilaporkan kepada komite audit membutuhkan kombinasi pemahaman,
kompetensi, dan kerja sama oleh semua pihak yang berkepentingan besar — audit internal,
manajemen, auditor eksternal, dan komite audit itu sendiri.
Komite audit bertanggung jawab untuk pada akhirnya menilai kemajuan dan kegiatan mengenai hal-
hal ini, manajemen senior yang bertanggung jawab untuk perusahaan tata kelola TI harus menentukan
bahwa proses yang memadai telah dipasang dan bahwa mereka beroperasi dengan benar. Sistem
kontrol dan proses tata kelola TI yang baik akan berkontribusi terhadap kesuksesan perusahaan secara
keseluruhan.
~END OF CHAPTER~

Gabungan LN Tata Kelola UAS (M9-M15)

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Gabungan LN Tata Kelola UAS (M9-M15)

Diunggah oleh

Hak Cipta:

Format Tersedia

Governance, IT Security, and

Capaian mata kuliah

PENJELASAN DARI Chapter 10

Penting bahwa aset sistem dilindungi dan sering dicadangkan.

Empat klasifikasi potensial untuk sistem interkoneksi tersebut:

Fungsi TI mengembangkan strategi pemrosesan alternatif.

Capaian mata kuliah

Istilah loose coupling

Gambar 13.2 mengilustrasikan konfigurasi SOA keseluruhan perusahaan hipotetis.

- Pengembang aplikasi → mengimplementasi komponen berdasarkan spesifikasi rancangan

Kebijakan dan proses SOA biasanya dibagi menjadi dua kategori:

Capaian mata kuliah

Proyek manajemen konfigurasi TI harus mencakup empat elemen berikut:

Capaian mata kuliah

Proses sistem RAD terdiri dari empat fase berikut:

- Bangun tim proyek lintas fungsional

- Kenali biaya dan persyaratan waktu untuk menerapkan ERP

- Menerapkan teknik manajemen proyek formal ke implementasi ERP

- Berikan pelatihan pengguna yang ekstensif

- Buat strategi keluar, jika perlu

Manfaat ERP Berwujud

Manfaat ERP Tidak Berwujud

Capaian mata kuliah

PENJELASAN DARI Chapter 19

Capaian mata kuliah

PENJELASAN DARI Chapter 20

3. Pelatihan supervisor → untuk merespon secara efektif kekhawatiran karyawan

Anda mungkin juga menyukai