Audit Teknologi Sistem Informasi
Chapter 6 Resume
Planning and Controlling
Teknologi Informasi (TI) diukur baik oleh layanan yang
diberikan maupun biaya layanan tersebut. Organisasi TI perlu memiliki layanan
standar, Service Level Agremeent (SLAs), dan metrik untuk melacak kinerja. TI
bertanggung jawab untuk memberikan layanan untuk mendukung tujuan organisasi.
Organisasi ini bertanggung jawab untuk menentukan tingkat investasi yang sesuai
dalam teknologi sebagai bagian dari keseluruhan rencana bisnis, serta sasaran
laba dan rugi. TI tidak dapat merencanakan atau menganggarkan dalam ruang
hampa, melainkan mengambil arahan dari organisasi yang didukungnya untuk
menentukan apa dan berapa banyak untuk dianggarkan. Penggerak biaya untuk TI
termasuk jumlah karyawan, pelanggan, lokasi, dan jenis dan cakupan aplikasi.
Governance
Processes
Diperlukan proses tata
kelola untuk memastikan penggunaan sumber daya yang efektif dan keselarasan
dengan tujuan bisnis (lihat gambar 1). Ini termasuk proses untuk memulai
proyek, merancang solusi, mengelola sumber daya, menyediakan layanan, membeli
produk, dan mengendalikan investasi keuangan. Investasi dalam teknologi
membutuhkan sumber daya yang signifikan dalam hal orang dan dolar yang perlu
diarahkan untuk mendukung tujuan organisasi.
Gambar 1
Demand Management
Proyek perlu ditinjau pada awal siklus hidup proyek
untuk memastikan mereka memiliki dukungan manajemen senior dan kasus bisnis
yang kuat (lihat gambar 2). Meneliti solusi teknologi membutuhkan waktu dan
konsumsi.
Sumber
daya yang dapat dikhususkan untuk memberikan nilai bisnis. Mengelola proses
evaluasi proyek membutuhkan proses tata kelola yang mengelola permintaan TI.
Proses manajemen permintaan dapat membantu memastikan bahwa sumber daya
dikhususkan untuk proyek-proyek yang memiliki kasus bisnis yang kuat yang telah
disetujui oleh manajemen senior. Proses manajemen permintaan membantu memastikan
bahwa manajemen senior telah memberikan persetujuan konseptual kepada proyek
untuk melanjutkan melalui definisi persyaratan awal dan fase desain konseptual
dari siklus hidup pengembangan. Semua proyek harus memiliki sponsor yang sesuai
dari manajemen senior sebelum mengevaluasi biaya penerapan solusi untuk
menghindari upaya sia-sia pada proyek yang tidak akan mendapatkan persetujuan.
Project Initiation
Setelah
proyek disetujui, proyek harus menjalani proses inisiasi proyek yang menentukan
total biaya dan manfaat proyek dengan menetapkan persyaratan bisnis tingkat
tinggi dan solusi konseptual. Membangun perkiraan proyek membutuhkan waktu dan
sumber daya. Dibutuhkan waktu dari pengguna bisnis untuk mengembangkan
persyaratan dan kasus bisnis. Pengembang perangkat lunak memerlukan waktu untuk
mengembangkan solusi dan perkiraan biaya. Setelah sebuah proyek memiliki
persetujuan konseptual, pengguna bisnis dan pengembang perangkat lunak dapat
bekerja bersama untuk mengembangkan persyaratan terperinci dan perkiraan proyek
yang akan digunakan dalam kasus bisnis terakhir dan membentuk dasar untuk
anggaran proyek.
Technical Review
Solusi
teknis perlu dievaluasi sebelum bergerak maju untuk memastikan kepatuhan dengan
standar teknologi. Proses tinjauan teknis membantu memastikan bahwa solusi yang
tepat dipilih, bahwa ia terintegrasi dengan komponen teknologi lainnya (mis.,
Jaringan), dan dapat didukung dengan investasi minimal dalam infrastruktur. Komite
pengarah teknis menyediakan mekanisme kontrol untuk mengevaluasi dan menyetujui
solusi teknologi baru. Proses evaluasi produk formal menilai:
• Kelayakan teknis
• Teknologi alternatif
• Arsitektur
• Kompatibilitas keterampilan in-house
• Lingkungan / penggantian yang ada
• Implementasi, perizinan, dan pertimbangan biaya
• Pandangan
penelitian dan analis
• Pandangan perusahaan pemasok dan kelayakan finansial
Procurement and
Vendor Management
Setelah
solusi teknis telah dipilih, proses pengadaan membantu memastikan bahwa syarat
dan ketentuan yang tepat dinegosiasikan. Salah satu proses integral dalam
proyek apa pun adalah pengadaan layanan, perangkat keras, dan perangkat lunak.
Strategic Sourcing
and Vendor Management
Pembelian dengan vendor pihak ketiga pada perangkat keras, perangkat
lunak, dan layanan menghabiskan 45 hingga 60 persen dari rata-rata anggaran TI
(Dewan Kerja Kepala Staf Sistem Informasi). Ini meningkatkan risiko
ketergantungan pada pihak ketiga untuk pemberian layanan, tetapi juga
memberikan peluang untuk menurunkan biaya dengan menegosiasikan pembelian,
kontrak, dan layanan.
Resource
Management and Service Management
Proses
yang digunakan untuk mengelola orang secara efektif dengan menciptakan lingkungan
untuk pelatihan dan pengembangan keterampilan dan pengetahuan yang memungkinkan
individu melakukan pengelolaan perangkat lunak dan peran teknis mereka dengan
baik. Tujuannya adalah untuk mencocokkan orang yang tepat dengan keterampilan
yang tepat untuk proyek yang tepat.
Financial
Management and Budgeting
Karena
lebih banyak proses bisnis telah dikonversi ke aplikasi TI dan infrastruktur
Internet telah berkembang, belanja TI sebagai persentase dari total pengeluaran
terus meningkat. Dalam lingkungan di mana ada permintaan tidak terbatas untuk
teknologi dan sumber daya terbatas yang tersedia, pengeluaran TI harus
dikontrol dan dikelola. Pengeluaran TI dikendalikan dengan menyiapkan anggaran
operasional dan anggaran modal untuk investasi teknologi baru.
Operating Budget
Penganggaran harus dimulai dengan pemahaman tentang rencana bisnis
tahunan, termasuk proyeksi pertumbuhan volume bisnis dan investasi teknologi
baru. Tuntutan bisnis kemudian dapat diperhitungkan dalam rencana staf untuk pengembangan
aplikasi yang dapat difaktorkan ke dalam rencana kapasitas infrastruktur. Dalam
operating budget terdapat metode konvensional yang disebut Chargeback yang
memiliki kekurangan dan kelebihannya masing-masing.
Capital Budgeting
Proses penganggaran
pengembangan aplikasi harus memprioritaskan berbagai proyek yang disponsori
bisnis serta proyek penyegaran teknologi. Permintaan alokasi modal harus
mencakup lima komponen utama:
• Kebutuhan bisnis
• Pengembalian keuangan dan kontinjensi
• Alternatif dipertimbangkan
• Masalah dan asumsi bisnis
• Masalah
hukum, legislatif, lingkungan, dan keselamatan
The Importance of
Project Planning and Control in the Systems Development Life Cycle (SDLC)
SDLC
mengelompokkan proses pengembangan perangkat lunak ke dalam fase dan tugas yang
memungkinkan insinyur perangkat lunak untuk melanjutkan langkah demi langkah
secara logis melalui semua kegiatan siklus hidup perangkat lunak yang
dikembangkan. Dengan demikian, para insinyur perangkat lunak, serta individu
lain seperti auditor TI, harus dilibatkan dalam proses pengembangan dan
mengikuti tugas-tugas tertentu yang berkaitan dengan setiap fase SDLC dalam
upaya untuk memberikan aplikasi perangkat lunak yang lengkap. SDLC
mengidentifikasi enam fase generik. Fase-fase ini adalah perencanaan proyek,
analisis, desain, konstruksi, pengujian, dan peluncuran.
Project Planning
and Control: E-Commerce Security as a Strategic and Structural Problem
Sistem
manajemen keamanan yang efektif harus dijadikan bagian integral dari strategi
bisnis organisasi. Pengembangan dan manajemen keamanan harus mendukung bisnis
inti organisasi. Manajemen keamanan, oleh karena itu, terdiri dari pedoman yang
didasarkan pada praktik keamanan yang mendukung strategi bisnis secara
keseluruhan. Pedoman ini membentuk kebijakan keamanan dasar untuk mengembangkan
sistem manajemen keamanan informasi. Mereka kemudian dimonitor untuk menilai
kerentanan mereka terhadap serangan dan penyalahgunaan. Hasilnya adalah jaminan
kerahasiaan data, integritas, dan ketersediaan baik di dalam maupun di luar
organisasi.
Information
Security Management Systems (ISMS)
Langkah-langkah berikut perlu diambil untuk
mengidentifikasi dan mendokumentasikan pengendalian teknis dan organisasi serta
tujuannya:
• Kebijakan dan prosedur: Definisikan kebijakan dan
prosedur keamanan TI.
• Ruang
Lingkup: Menentukan ruang lingkup ISMS. Lingkungan harus didefinisikan dalam
hal karakteristik, sumber daya, teknologi, dan lokasi organisasi.
• Penilaian risiko: Mengidentifikasi bahaya terhadap
sumber daya, kerentanan, dan dampak pada organisasi, dan menentukan tingkat
risiko.
• Area risiko: Identifikasi area risiko yang akan
dikelola berdasarkan kebijakan keamanan informasi perusahaan dan tingkat
perlindungan yang diperlukan.
• Kontrol: Terapkan kontrol yang diperlukan dan sesuai
untuk implementasi oleh perusahaan dan menjustifikasi pilihan mereka.
• Dokumentasi: Menyiapkan dokumentasi tindakan /
kontrol teknis dan organisasi yang dipilih, tujuan mereka, dan alasan
pemilihannya.
The Planning and
Control Approach to E-Commerce Security Management
Pendekatan
perusahaan untuk manajemen keamanan tingkat tinggi melibatkan berbagai aspek
dalam organisasi. Area perencanaan dan kontrol ini bersifat strategis,
organisasional, teknis, finansial, dan legal. Masing-masing aspek ini
melibatkan kegiatan spesifik, yaitu :
-
Strategic Aspect : Planning corporate objectives,
Defining budgets, Defining information security policy
-
Organizational Aspect : Setting up security team of
managers and technical personnel,
-
Defining responsibility, Drawing up training programs
in technology and methods, dll
-
Technical Aspect : IT infrastructure security
(firewall, access control, authentication, cryptography, virus protection),dll
-
Financial Aspect
-
Legal Aspect
Conclusion
Sumber
daya TI mewakili komponen penting dari biaya organisasi saat ini. Dengan
demikian, mereka harus dikontrol dan dikelola untuk memberikan nilai.
Organisasi memerlukan proses untuk mengatur investasi awal, pemilihan solusi,
pengambilan sumber keputusan, tingkat layanan, biaya layanan tersebut, dan
keuntungan bisnis dari teknologi. Karena itu, sangat penting bagi organisasi
untuk membentuk SDLC formal, lengkap dengan fase pengembangan yang ditentukan
dan poin-poin khusus untuk ditinjau dan dievaluasi.
Audit Involvement
in Planning and Analysis
Perencanaan
dan analisis untuk sistem adalah bidang pertama yang menjadi perhatian auditor.
Kebutuhan bisnis ada sebagai alasan untuk pengembangan setiap sistem. Kebutuhan
bisnis dirumuskan menjadi tujuan, dan rencana dikembangkan untuk mencapai
tujuan.
Komentar
Posting Komentar