STANDARD And its correlation with MANAGEMENT Information Technology
Nov 02, 2014
STANDARD
And its correlation with
MANAGEMENT
Information Technology
PMBoK 4thProject Management Body of Knowledge
Merupakan standar yang dibangun oleh Project Management Institute (PMI) dan digunakan untuk melaksanakan manajemen proyek bidang teknologi informasi
Terbagi 9 knowledge
areas
Terbagi 5 basic
process1. Project Integration Management2. Project Scope Management3. Project Time Management4. Project Cost Management5. Project Quality Management6. Project Human Resource Management7. Project Communication Management
8. Project Risk Management9. Project Procurement Management
Inisiasi
Planning
Executing
Closing
Monitoring & Controlling
Dilakukan dengan “term”
Input Technique & Tools Output
Mata Kuliah : Manajemen Proyek Teknologi Informasi
PMBOK
Mapping between Process & Knowledge Areas
PMBOK
Mapping between Process & Knowledge Areas
ITRM merupakan salah satu
knowledge area dari PMBOK
ITRM dilakukan pada proses planning dan monitoring &
controlling
PMBOK
Process Of Project Risk ManagementPlan Risk Management
Proses untuk mendefinisikan bagaimana melaksanakan aktivitas manajemen resiko
Identify RisksProses mendefinisikan resiko apa saja yang akan berpengaruh pada proyek
Perform Qualitative Risks Analysis
Proses memprioritaskan resiko
1
2
3
Perform Quantitative Risks Analysis
PMBOK
Process Of Project Risk Management4
Proses menghitung secara numeris dampak resiko terhadap proyek
Plan Risks Respons
Proses mendefinisikan langkah – langkah yang dilakukan terhadap resiko
5
Monitor & Control Risks
Proses memantau, mengevaluasi, mengidentifikasi resiko baru, memonitoring residual risk
ITIL V3Information Technology Infrastructure Library
Merupakan sebuah konsep pendekatan di bidang ITSM (Information Technology Service Management) yang menyediakan menyediakan konsep framework activities (kerangka kerja) untuk mengidentifikasi, merencanakan, memberikan, dan mendukung layanan IT untuk bisnis usaha.
ITIL Process
ITIL Service Strategy
ITIL Service Design
ITIL Service Transition
ITIL Service Operation
ITIL Continual Service Improvement (CSI)
Risk Management terdapat di dalam Service Design
Mata Kuliah : Manajemen Layanan SI/TI
ITIL V3
Process Of ITIL V3ITIL Service StrategyService Strategy ini fokus untuk membantu organisasi IT untuk meningkatkan aspek – aspek organisasi / perusahaan untuk jangka panjang. Misalnya untuk business-care development, service assets, market analysis, dan juga provider types
1
Sub Process
• Financial Management• Service Portfolio Management (SPM)• Demand Management
ITIL Service Design2
Service Strategy berfokus memberikan konsep bagaimana merencanakan solusi layanan, yang
meliputi arsitektur, kebijakan, proses, dokumentasi untuk menyesuaikan kebuthan bisnis sekarang dan
masa depan.
Sub Process
• Service Catalogue Management• Service Level Management
• Risk Management• Capacity Management• Availability Management• IT Service Continuity Management• Information Security Management• Compliance Management• IT Architecture Management• Supplier Management
ITIL V3
Process Of ITIL V3ITIL Service TransitionService Strategy ini fokus untuk mengkonsep perpindahan dari desain penyampaian layanan yang lama menuju konsep layanan yang baru. Selain itu dapat dikatakan bahwa service transition menyampaikan desain yang telah dibuat dalam ITIL Service Design menuju operation
3
Sub Process
• Service Asset and Configuration Management• Service Validation and Testing• Evaluation• Release Management• Change Management• Knowledge Management
• Service Level Management, • Service Measurement and
Reporting, • Continual Service Improvement.
ITIL V3
Process Of ITIL V3ITIL Service OperationITIL Service Operation berfokus pada penyampaian layanan pada level yang disepakati, memelihara aplikasi, arsitektur, dan teknololgi yang mendukung penyampaian layanan kepada pelanggan
4
Sub Process
• Event Management, • Incident Management, • Problem Management, • Request Fulfillment, • Access Management.
ITIL Continual Service Improvement5
Continual Service Improvement (CSI) berfokus untuk memelihara nilai pelanggan melalui evaluasi yang
berkesinambungan dan meningkatkan kualitas kematangan ITSM services.
Sub Process
ITIL V3
Risk Management in ITIL V3Terdapat sub proses dalam Risk Management
Risk Management Support
Objective : Untuk menentukan framework yang akan digunakan untuk manajemen resiko, bagaimana resiko dikuantifikasikan, resiko apa yang akan disetujui oleh perusahaan, dan siapa yang bertanggung jawab atas kewajiban manajemen resiko tersebut.
Business Impact and Risk Analysis
Objective : Untuk mengkuantifikasikan dampak dari resiko kehilangan layanan / aset pada bisnis, serta untuk menentukan kemungkinan ancaman / kerentanan yang mungkin terjadi.
OutputRisk
Register
Assessment of Required Risk Mitigation
Objective : Untuk menentukan dimana pengukuran mitigasi dilakukan, mengidentifikasi siapa yang bertanggung jawab atas implementasi mitigasi resiko pada tahap maintenance
Risk Monitoring
Objective : Untuk memonitoring progres dari implementasi mitigasi resiko dan tindakan pembenaran yang dilakukan
COBIT Control Objectives for Information and related Technology (COBIT)
Merupakan framework yang diciptakan oleh ISACA (Information System Audit & Control Association) dan IT Governance Institute (ITGI) pada tahun 1996 untuk membantu manajer, auditor, dan juga user IT untuk memaksimalkan keuntungan dengan menggunakan IT serta membangun IT handal yang terkontrol pada suatu perusahaan.
Tersedianya sumber daya IT
Tersedianya sumber daya IT
Bagaimana IT diorganisir untuk
bereaksi terhadap suatu kebutuhan
Bagaimana IT diorganisir untuk
bereaksi terhadap suatu kebutuhan
Apa yang stakeholders
harapkan dari IT
Apa yang stakeholders
harapkan dari IT
Korelasi antara COBIT dengan Kebutuhan
Bisnis
Posisi COBIT
Mata Kuliah : Tata Kelola & Audit Teknologi Informasi
COBIT
Domains in COBIT 4.1Planning & Organization (PO)Domain PO ini mencakup rencana dan pengorganisasian strategi, taktis, dan pertimbangan dalam mengidentifikasi langkah – langkah yang berkontribusi besar untuk mencapai tujuan bisnis perusahaan.
1
• Apakah IT dan strategi bisnis bersesuaian?• Apakah perusahaan mencapai penggunaan sumberdaya yang
optimal?• Apakah setiap orang mengerti tujuan perusahaan
• Apakah resiko IT telah dipahami & telah diatur?
• Apaah kualitas sistem menjawab kebutuhan bisnis?Pertanyaan yang harus dijawab
COBIT
Domains in COBIT 4.1Planning & Organization (PO) 1
Adanya manajemen
dan penilaian resiko
COBIT
Domains in COBIT 4.1ACQUIRE AND IMPLEMENT (AI)Untuk menjalankan strategi IT, solusi diperlukan untuk mengidentifikasi & membangun, sehingga dapat diimplementasikan dan diintegrasikan dalam bisnis proses
2
• Apakah proyek baru dapat menyampaikan solusi bisnis yang dapat menjawab kebutuhan bisnis?
• Apakah proyek baru dapat disampaikan tepat waktu dan biaya?• Apakah sistem baru akan bekerja dengan baik saat
diimplementasikan?
Pertanyaan yang harus dijawab
ACQUIRE AND IMPLEMENT (AI)
COBIT
Domains in COBIT 4.12
COBIT
Domains in COBIT 4.1DELIVER AND SUPPORT (DS)Domain ini berhubungan dengan penyampaian layanan yang aktual, kontinuitas layanan, layanan pendukung untuk pengguna, serta manajemen data dan fasilitas operasional
3
• Apakah layanan IT disampaikan selaras dengan prioritas bisnis?• Apakah biaya IT dioptimalkan?• Apakah kekuatan kerja karyawan mampu menjaga produktivitas
dan keamanan IT?• Apakah confidentiality, integrity, dan availability mendukung
keamanan informasi?
Pertanyaan yang harus dijawab
COBIT
Domains in COBIT 4.1DELIVER AND SUPPORT (DS) 3
COBIT
Domains in COBIT 4.1MONITOR AND EVALUATE (ME)Domain ini fokus pada upaya kontrolling kinerja , monitoring kontrol internal, dan tata kelola yang ada.
4
• Apakah kinerja IT telah diukur untuk mendeteksi masalah sebelum terlambat?
• Apakah manajemen menjamin bahwa kontrol internal telah efektif dan efisien dilakukan?
• Dapatkah kinerja IT dihubungkan dengan tujuan bisnis?• Apakah confidentiality, integrity and availability controls sudah tepat
dilakukan untuk perlindungan informasi?
Pertanyaan yang harus dijawab
COBIT
Domains in COBIT 4.1DELIVER AND SUPPORT (DS) 3
COBIT
IT Risk Management in COBIT
DELIVER AND SUPPORT (DS) 3
PLANNING & ORGANIZATION (PO) 1
ACQUIRE & IMPLEMENTATION (AI) 2
MONITORING & EVALUATION (ME) 4
Control Objective
PO9 Assess and Manage IT Risks
COBIT
IT Risk Management in COBIT
PO9 Assess and Manage IT Risks
Pembuatan kerangka manajemen resiko yang
terintegrasi dengan penilaian, mitigasi, dan komunikasi dari
residual risk
• Menjamin bahwa manajemen resiko terintegrasi dengan proses manajerial internal dan eksternal lainnya
• Melakukan risk assessment• Merekomendasikan dan
mengkomunikasikan rencana risk remediation
• Persentase critical IT objectives dengan risk assessment
• Persentase critical IT yang teridentifikasi dengan action plan yang dibuat
• Persentase rencana manajemen resiko yang terimplementasi
Focus On Achieved by Measured by
Tujuan : menganalisa dan mengkomunikasikan resiko dan dampak potensial pada proses dan tujuan perusahaan.
COBIT
IT Risk Management in COBIT
PO9 Assess and Manage IT RisksCONTROL OBJECTIVES
PO9.1 IT Risk Management Framework
Fokus pada pelaksanaan kerangka ITRM sesuai dengan proses bisnis perusahaan
PO9.2 Establish of Risk Context
Fokus pada konteks dari manajemen resiko yang meliputi internal & eksternal, tujuan assessment, kriteria, dan evaluasi.
PO9.3 Event Identification
Fokus : Mengidentifikasi event yang berpotensi terkait dengan tujuan perusahaan.
PO9.4 Risk Assessment
Fokus : Menilai dampak dari resiko yang terjadi.
COBIT
IT Risk Management in COBIT
PO9 Assess and Manage IT RisksCONTROL OBJECTIVES
PO9.5 Risk ResponseFokus : Pembuatan dan pemeliharaan respon terhadap resiko yang terjadi untuk memastikan efektivitas biaya yang dilakukan untuk mitigasi resiko
PO9.6 maintenance & Monitoring of a Risk Action Plan
Memprioritaskan dan merencanakan aktivitas kontrol pada semua level untuk mengimplementasikan respon atas resiko yang teridentifikasi.
COBIT
IT Risk Management in COBIT
PO9 Assess and Manage IT RisksCONTROL OBJECTIVES RACI Chart mendeskripsikan aktivitas –
aktivitas dan objek dari aktivitas tersebut yang akan diaudit
COBIT Control Objectives for Information and related Technology (COBIT)
Merupakan framework yang diciptakan oleh ISACA (Information System Audit & Control Association) dan IT Governance Institute (ITGI) pada tahun 1996 untuk membantu manajer, auditor, dan juga user IT untuk memaksimalkan keuntungan dengan menggunakan IT serta membangun IT handal yang terkontrol pada suatu perusahaan.
Tersedianya sumber daya IT
Tersedianya sumber daya IT
Bagaimana IT diorganisir untuk
bereaksi terhadap suatu kebutuhan
Bagaimana IT diorganisir untuk
bereaksi terhadap suatu kebutuhan
Apa yang stakeholders
harapkan dari IT
Apa yang stakeholders
harapkan dari IT
Korelasi antara COBIT dengan Kebutuhan
Bisnis
Posisi COBIT
• A Guide to The Project Management Body of Knowledge. (2008). Newton Square, USA: Project Management Institute, Inc.
• Cartlidge, A., Hanna, A., Rudd, C., & Macfarlane, I. (2007). An Introductory Overview of ITIL® 3. The UK Chapter of the itSMF.
• http://wiki.en.it-processmaps.com/index.php/Risk_Management
STUDI KASUS
AUDIT LAB. E-BUSINESS
• Studi kasus audit yang pernah saya lakukan sewaktu mengambil mata kuliah Tata Kelola & Audit adalah audit IS/IT pada laboratorium E-Business dengan menggunakan standar COBIT 4.1
Meninjau proses bisnis dari Jurusan Sistem Informasi melalui visi, misi, dan strategi JSI
1
Yang diberi blok merupakan focus utama yang akan diaudit
LANGKAH – LANGKAH AUDIT
Memilih standar yang akan digunakan dalam proses audit
2
Menentukan domain yang akan diaudit melalui penyelarasan COBIT dengan visi, misi, dan
strategi JSI
3
Yang diberi blok warna kuning merupakan hasil penyelarasan IT Goals
Domain yang paling sesuai dengan IT Goals adalah Acquire & Implementation
Menentukan control objective dari domain yang telah ditentukan
4Yang paling sesuai dengan IT Goals di atas adalah Acquire & Implementation dengan control objective AI.3.1. AI3.3 Infrastructure Maintenance
Berikutnya adalah pembuatan panduan audit
5
Terdapat 3 hal yang dipertimbangkan sesuai dengan COBIT .1, yaitu :
Fokus On
Achieved by
Measured by
Hasil Audit
POIN AUDIT
Yang Harus Diperhatikan Dalam Audit
Proses Bisnis Perusahaan (Visi,
Misi, Strategi)
Tentukan mana yang akan diaudit (yang terkait
dengan IT)
Tentukan mana yang akan diaudit
Tentukan standar yang akan digunakan, misalnya COBIT
Tentukan standar yang akan digunakan, misalnya COBIT
Tentukan domain yang akan diambil (sesuaikan dengan
proses bisnis)
Tentukan control objective yang diambil (korelasikan dengan aktivitas – aktivitas yang ada dalam standar dengan proses
bisnis)
Buat panduan audit yang berisi fokus, capaian, dan parameter
pengukuranLakukan audit
Evaluasi
KORELASI AUDIT & ITRM
Perusahaan memiliki ITRM Dilakukan audit terhadap ITRM tersebut
Diketahui kematangan dari ITRM yang dilakukan
Dilakukan evaluasi berdasarkan hasil audit
dengan tujuan untuk meningkatkan manajemen
resiko yang dibuat