ISO/IEC 38500:2008, Corporate Governance of Information Technology

žISO (International Organization for Standardization) dan IEC (International Electrotechnical Commission) membuat sistem khusus untuk melakukan standarisasi berskala internasional.
žISO/IEC 38500 ini sendiri pertama kali dibuat oleh Standards Australia (dikenal dengan nama AS8015:2005) dan kemudian diadopsi oleh Joint Technical Committee ISO/IEC JTC 1.

Tujuan dari adanya ISO 38500 ini adalah untuk menyediakan sebuah framework dasar bagi pimpinan untuk melakukan evaluasi, pengarahan dan monitoring terhadap pemanfaatan TI dalam organisasi.

Kebanyakan organisasi menggunakan TI sebagai tool bisnis yang sangat fundamental dan hanya sedikit dari organisasi tersebut yang bisa bekerja secara efektif tanpa TI. TI juga menjadi faktor yang siginifikan bagi masa depan business plan organisasi.

Terkadang, keuntungan dari investasi di bidang TI tidak tercapai sepenuhnya dan bahkan bisa merugikan organisasi secara signifikan.

Penyebab adanya kerugian tersebut antara lain: terlalu fokus pada aspek teknis, finansial dan penjadwalan aktivitas TI dibanding memikirkan konteks bisnis penggunaan TI secara keseluruhan.

Standar ini menyediakan sebuah framework dalam rangka menciptakan tata kelola Teknologi Informasi yang efektif, untuk membantu mereka yang berada pada level tertinggi dalam organisasi untuk memenuhi dan memahami aspek legal, peraturan dan kewajiban etis berkaitan dengan pemanfaatan TI. Framework tsb terdiri atas definisi, prinsip dan sebuah model.

Standar ini juga telah disesuaikan dengan definisi dari Corporate Governance yang telah dipublikasi dalam bentuk Report of Committee on the Financial Aspects of Corporate Governance (the Cadbury Project) pada tahun 1992. The Cadbury Report juga menyediakan definisi dasar Corporate Governance yang termaktub pada OECD Principles of Corporate Governance pada tahun 1999 (direvisi tahun 2004). Pengguna dari standar ini diharapkan bisa membiasakan diri untuk familiar dengan Cadbury Project dan juga OECD Principles of Corporate Governance.

Tata kelola (governance) berbeda dengan manajemen, dan untuk mencegah terjadinya kebingungan di kalangan pengguna, 2 konsep tersebut – tata kelola dan manajemen – didefinisikan dengan jelas dalam standar ini.

Standar ini juga diperuntukkan untuk memberikan informasi dan pedoman bagi sesiapa saja yang terlibat dalam perancangan dan pengimplementasian sistem manajemen kebijakan, proses dan struktur yang mendukung tata kelola.

1.1 Scope

Standar ISO/IEC 38500 menyediakan suatu pedoman dasar bagi pimpinan organisasi (termasuk pemilik, pemegang saham, direktur, partner, senior eksekutif dll) untuk memanfaatkan teknologi informasi secara efektif, efisien dan bisa diterima di dalam organisasi tsb.

Standar ini digunakan pada bagian tata kelola proses manajemen (dan pengambilan keputusan) yang berkaitan erat dengan layanan informasi dan komunikasi yang digunakan oleh organisasi tersebut. Proses ini bisa dikendalikan oleh pihak spesialis TI dari dalam maupun luar organisasi, ataupun oleh unit-unit bisnis yang ada di dalam organisasi.

Standar ini juga menyediakan pedoman bagi pihak-pihak yang membantu pimpinan, seperti:

  • senior manager
  • bagian monitoring sumber daya dalam organisasi
  • teknisi atau spesialis bisnis dari eksternal, seperti bagian akuntansi, hukum, spesialis, retail association ataupun bagian profesional.
  • vendor perangkat keras, perangkat lunak, komunikasi ataupun produk TI lainnya
  • penyedia layanan internal dan eksternal (termasuk konsultan)
  • auditor TI

1.2 Application

Standar ini bisa digunakan oleh semua organisasi, termasuk perusahaan publik maupun swasta, pemerintahan ataupun organisasi nirlaba. Standar ini bisa digunakan oleh semua organisasi dengan berbagai macam bentuk mulai dari yang ecek-ecek sampai perusahaan multinasional, tanpa melihat mereka menggunakan TI secara luas ataupun tidak.

1.3 Objectives

Tujuan dari standar ISO 38500 adalah untuk mengimplementasikan pemanfaatan IT yang bersifat efektif, efisien dan mudah digunakan di semua organisasi dengan cara:

  • meyakinkan pihak stakeholder (seperti konsumen, pemegang saham dan karyawan) bahwa dengan mengikuti standar ini mereka akan memiliki rasa percaya diri dalam melakukan tata kelola TI dalam organisasi.
  • memberikan informasi dan pedoman bagi pimpinan dalam mengatur pemanfaatan TI dalam organisasinya
  • menyediakan landasan untuk melakukan evaluasi obyektif terhadap tata kelola TI.

Manfaat menggunakan standar ISO/IEC 38500
1.4.1 General

žStandar ini menetapkan suatu prinsip pemanfaatan TI secara efektif, efisien dan dapat diterima oleh siapapun.
žStandar ini akan menentukan sebuah model untuk tata kelola TI. Resiko dari yang disebabkan oleh pimpinan karena tidak memenuhi kewajibannya bisa dikurangi (dilakukan mitigasi) dengan cara memberikan wewenang kepada model untuk melaksanakan prinsip-prinsip dasar organisasi dengan baik.
žStandar ini juga menyediakan sebuah perbendaharaan yang bisa dimanfaatkan untuk melakukan tata kelola IT.

1.4.2 Conformance of the organization

Tata kelola TI yang baik akan membantu pimpinan dalam menjamin kepatuhan dengan cara mengatur kewajiban-kewajiban (dalam bentuk peraturan, undang-undang, hukum, kontrak) mengenai pemanfaatan TI.

Kurangnya wawasan mengenai sistem TI akan berdampak para pimpinan tak akan mematuhi undang-undang yang ada. Contohnya, di beberapa pengadilan, pimpinan dituntut pertanggunghawabannya secara personal jika sistem akuntansi yang ada menyebabkan tak terbayarnya kewajiban pajak kepada pemerintah.

Proses-proses yang berkaitan langsung dengan resiko-resiko spesifik TI harus diarahkan dengan tepat. Contohnya, pimpinan harus bertanggungjawab apabila terjadi pelanggaran:

  • standar keamanan (security standards)
  • undang-undang yang berkaitan dengan privacy
  • undang-undang yang berkaitan dengan spam
  • undang-undang praktik perdagangan
  • hak kekayaan intelektual, termasuk juga software licensing agreement
  • peraturan dan perundang-undangan lingkungan
  • undang-undang kesehatan dan keselamatan
  • undang-undang aksesibilitas
  • dokumen requirement
  • standar pertanggungjawaban kepada masyarakat sosial

Pimpinan harus menggunakan pedoman-pedoman dalam standar ini agar memahami apa kewajibannya.

1.4.3 Performance of the Organization

Tata kelola TI yang baik akan meyakinkan pihak pimpinan bahwasanya pemanfaatan TI akan memberikan konstribusi positif bagi performansi organisasi, melalui:

  • implementasi dan penggunaan aset TI dengan tepat
  • pertanggungjawaban (responsibility and accountability) yang jelas bagi penggunaan dan penyediaan TI dalam rangka mencapai tujuan dari organisasi
  • keselarasan antara TI dengan kebutuhan bisnis
  • alokasi sumber daya secara efisien
  • melakukan inovasi di bidang pelayanan, penjualan dan bisnis
  • melakukan hubungan yang harmonis dengan para stakeholder
  • melakukan penghematan
  • merealisasikan keuntungan-keuntungan secara nyata dari setiap investasi TI.

1.5 Referenced Document

Dokumen referensi yang bisa digunakan untuk mengetahui lebih dalam mengenai standar ini antara lain:

  • Report of the Committee on the Financial Aspects of Corporate
  • Governance, Sir Adrian Cadbury, London, 1992 ISBN 0 85258 913 1
  • OECD Principles of Corporate Governance, OECD, 1999 and 2004
  • ISO Guide 73 2002 – Risk management — Vocabulary — Guidelines for use in standards.

1.6 Definisi
1.6.1 Bisa diterima oleh siapapun (acceptable)
Memenuhi keinginan para stakeholder

1.6.2 Corporate governance
Suatu sistem dimana organisasi diarahkan dan dikendalikan (Cadbury 1992 dan OECD 1999)

1.6.3 Corporate Governance of IT
Suatu sistem dimana pemanfaatan TI saat ini dan di masa mendatang telah diarahkan dan dikendalikan. Tata kelola TI melibatkan proses evaluasi dan pengendalian pemanfaatan TI guna mendukung organisasi dan melakukan monitoring pemanfaatan TI ini untuk mencapai rencana yang telah dibuat. Termasuk di dalamnya strategi dan kebijakan pemanfaatan TI dalam organisasi.

1.6.4 Kecakapan
Memiliki kombinasi knowledge, keahlian formal dan informal, training, pengalaman dan atribut-atribut prilaku yang dibutuhkan untuk menjalankan tugas dan peran.

1.6.5 Pimpinan
Pihak-pihak senior yang terdapat pada bagian pengelolaan organisasi, seperti pemilik, dewan direksi, mitra, senior eksekutif, dan pihak-pihak yang telah diberi kuasa oleh undang-undang maupun regulasi yang ada.

1.6.6 Prilaku manusia
Pemahaman interaksi antara manusia dengan elemen-elemen sistem guna mendukung kesejahteraan dan performansi sistem. Prilaku manusia tersebut berupa kebudayaan, keinginan dan aspirasi mereka baik secara individual maupun kelompok.

Catatan: Berkaitan dengan TI, terdapat sejumlah kelompok atau komunitas manusia, yang memiliki keinginan, aspirasi dan prilaku yang berbeda-beda. Contohnya adalah: individu yang menggunakan sistem informasi, menginginkan fungsi aksesibilitas, ergonomis, ketersediaan dan performansi sistem tersebut. Pekerjaan beberapa individu yang berubah dikarenakan pemanfaatan TI menginginkan adanya komunikasi, pelatihan (training) ataupun ketentraman hati. Orang-orang yang terlibat dalam pengembangan dan pengoperasian TI mungkin menginginkan kondisi kerja yang baik dan peningkatan keahlian mereka.

1.6.7 TI
Sumber daya dibutuhkan untuk memperoleh, memproses, menyimpan dan menyebarkan informasi. Termasuk dalam terminologi TI ini adalah Communication Technology (CT) dan juga ICT.

1.6.8 Investasi
Alokasi dari manusia, modal dan sumber daya untuk mencapai tujuan dan keuntungan yang diharapkan.

1.6.9 Manajemen
Sistem yang melakukan pengendalian dan pemrosesan harus mencapai tujuan strategis yang telah dibuat oleh pihak yang mengelola organisasi. Manajemen adalah subyek yang digunakan untuk mengarahkan dan memonitoring kebijakan melalui prinsipi tata kelola.

1.6.10 Organisasi
Berupa pemerintahan, perusahaan, lembaga profit maupun non profit, ataupun bentuk kumpulan legal lainnya seperti asosiasi, klub, perkongsian, petugas pemerintah, perusahaan publik dan swasta, penjual yang telah memiliki fungsinya masing-masing dan juga administrasi.

1.6.11 Kebijakan
Suatu pernyataan yang jelas dan terukur mengenai arahan dan prilaku yang diinginkan mengarah kepada kondisi yang telah ditentukan di dalam organisasi.

1.6.12 Proposal
Kompilasi antara keuntungan, biaya, resiko, peluang dan faktor-faktor lainnya yang bisa digunakan untuk membuat keputusan. Termasuk juga di dalamnya business case.

1.6.13 Sumber daya
Orang-orang, prosedur, perangkat lunak, informasi, perangkat, bahan baku, infrastruktur, modal, dana operasional dan waktu.

1.6.14 Resiko
Kombinasi antara probabilitas suatu kejadian dengan konsekuensinya (ISO/IEC Guide 73)

1.6.15 Manajemen resiko
Aktivitas yang terkoordinasi dalam rangka mengarahkan dan mengendalikan organisasi berkaitan dengan resiko. (ISO/IEC Guide 73)

1.6.16 Stakeholder
Individu, kelompok ataupun organisasi yang memberikan dampak, ataupun mendapatkan dampak ataupun merasa mendapatkan dampak dari sebuah keputusan atau aktivitas organisasi. (ISO/IEC Guide 73)

1.6.17 Strategi
Keseluruhan perencanaan pengembangan organisasi, yang menggambarkan penggunaan sumber daya secara efektif dalam rangka mendukung aktivitas-aktivitas organisasi di masa mendatang. Strategi juga melibatkan tujuan organisasi dan juga mengusulkan aksi yang perlu dilakukan selanjutnya.

1.6.18 Penggunaan TI
Perencanaan, perancangan, pengembangan, penyebaran, manajemen dan aplikasi teknologi informasi untuk mencapai keinginan bisnis. Termasuk di dalamnya permintaan dan penyediaan layanan TI oleh unit internal bisnis, unit spesialis TI ataupun penyedia dari eksternal dan layanan penyediaan (seperti perangkat lunak)

2. Framework for GCG of IT

2.1 Prinsip
Bagian ini akan menjelaskan 6 prinsip GCG penggunaan TI. Prinsip2 tsb bisa digunakan oleh banyak organisasi.

Prinsip-prinsip tersebut berisikan prilaku yang dianjurkan untuk dilaksanakan dalam rangka memberikan pedoman pembuatan keputusan. Pernyataan dalam masing-masing prinsip tersebut hanya mengacu pada apa yang biasanya terjadi, bukan menjelaskan bagaimana, kapan, atau oleh siapa prinsip-prinsip tersebut diimplementasikan, karena aspek-aspek tersebut tergantung pada bagaimana lingkungan organisasi saat mengimplementasikan prinsip-prinsip tersebut.

Principle 1: Responsibility
Individual ataupun kelompok yang berada di dalam organisasi memahami dan menerima tanggung jawab mereka dalam rangka mematuhi penyediaan dan permintaan TI. Mereka yang memiliki tanggung jawab tindakan ini memiliki otoritas untuk melakukan hal tersebut.

2: Strategy
Strategi bisnis organisasi merencanakan kemampuan TI saat ini dan juga untuk masa mendatang. Rencana strategis TI memenuhi kepuasan kebutuhan strategi bisnis saat ini maupun yang sedang berjalan.

3. Akuisisi
Akuisisi TI dilakukan untuk alasan yang valid, berlandaskan pada keperluan dan analisis, dengan pembuatan keputusan yang jelas dan transparan. Ada keseimbangan yang tepat antara keuntungan, peluang, biaya dan resiko dalam waktu yang singkat maupun waktu yang lama.

4. Performansi
IT sangat cocok dengan tujuannya, yaitu mendukung organisasi, menyediakan layanan, level layanan, kualitas layanan yang dibutuhkan untuk mencapai kebutuhan bisnis saat ini maupun masa mendatang.

5. Kepatuhan
TI tunduk pada undang-undang dan regulasi yang ada. Kebijakan dan praktek-prakteknya telah didefinisikan, diimplementasikan dan ditegaskan dengan jelas.

6. Prilaku Manusia
Kebijakan, praktik dan keputusan penggunaan TI menunjukkan adanya kecocokan dengan prilaku manusia, termasuk kebutuhan saat ini dan yang sedang berkemang dari semua orang-orang terlibat dalam proses.

Model
Pimpinan harus melakukan tata kelola TI melalui 3 hal:
1. Mengevaluasi pemanfaatan TI saat ini dan di masa mendatang
2. Mempersiapkan dan mengimplementasikan rencana dan kebijakan untuk menjamin pemanfaatan TI sesuai dengan tujuan bisnis.
3. Memonitor kepatuhan terhadap kebijakan, dan performansi yang tak sesuai dengan perencanaan.

ISO/IEC 38500:2008 Model for Corporate Governance of IT

ISO/IEC 38500:2008 Model for Corporate Governance of IT

Gambar di atas menunjukkan model tata kelola TI, siklus Evaluate-Direct-Monitor.

Evaluate
Pimpinan harus menguji dan melakukan penilaian terhadap penggunaan IT saat ini maupun di masa mendatang, termasuk di dalamnya strategi, proposal, rencana persediaan.
Dalam mengevaluasi pemanfaatan TI, pimpinan harus mempertimbangkan tindakan yang melakukan tekanan terhadap bisnis baik dari internal maupun eksternal, seperti adanya trend teknologi, trend ekonomi dan sosial, dan pengaruh dunia politik.

Pimpinan harus melakukan evaluasi secara kontinyu, walaupun sudah tak ada tekanan lagi.

Pimpinan harus memahami kebutuhan bisnis saat ini maupun masa mendatang, tujuan organisasi yang harus dicapai saat ini maupun masa mendatang, seperti melakukan evaluasi terhadap strategi dan juga proposal.

Direct
Pimpinan harus menetapkan pertanggungjawaban, mengarahkan persiapan dan implementasi perencanaan dan kebijakan. Perencanaan harus menentukan arah investasi proyek TI dan juga pengoperasian IT tsb. Kebijakan harus membuat prilaku yang nyaman bagi individu-individu dalam pemanfaatan TI.

Pimpinan harus meyakinkan bahwa perubahan transisi status proyek menjadi operasional melalui perencanaan dan manajerial yang baik, mengetahui dampak dari bisnis dan tindakan-tindakan operasinal dan juga dampak dari keberadaan sistem dan infrastruktur TI.

Jika dibutuhkan, pimpinan juga harus mengarahkan pengajuan proposal agar bisa diterima dalam rangka mencapai keinginan bisnis.

Monitor
Pimpinan harus melakukan monitoring, melalui sistem pengukuran (measurement system) yang tepat terhadap performansi TI. Para pimpinan harus meyakini bahwasanya performansi telah bersesuaian dengan perencanaan, juga dengan tujuan bisnis yang telah ditetapkan.

Pimpinan harus yakin bahwasanya kesesuaian antara TI dengan peraturan (regulasi, undang-undang, hukum, kontrak) dan TI dengan pekerjaan di bagian internal organisasi.

Note: Pertanggungjawaban (responsibility) terhadap aspek-aspek yang spesifik di bidang TI harus didelegasikan kepada manajer yang ada di dalam organisasi. Dan pertanggungjawaban (accountability) dalam bentuk penggunaan dan implementasi TI secara efektif, efisien dan bisa diterima oleh organisasi harus dilakukan oleh pimpinan, dan tak bisa didelegasikan kepada siapapun.

Pedoman Corporate Governance Penggunaan TI
General
Bagian ini merupakan pedoman bagi tata kelola TI yang baik dan aksi dibutuhkan untuk mengimplementasikan prinsip-prinsipnya.

Aksi yang dimaksud di sini berupa diskusi mengenai tanggung jawab pihak pimpinan dalam melakukan tata kelola TI.

Merupakan tanggung jawab tip-tiap organisasi, untuk mengidentifikasikan aksi-aski spesifik ayng dibtuhkan untuk mengimplementasikan prinsip-prinsip, memberikan pertimbangan ke dalam lingkungan organisasi, dan memberikan analisis yang tetap mengenai resiko dan juga peluang pemanfaatan TI.

1. Responsibility
Evaluate
Pimpinan harus mengevaluasi pilihan-pilihan untuk menetapkan pertanggung jawaban berkenaan dengan pemanfaatan TI pada organisasi saat ini maupun di masa mendatang. Pada pilihan-pilihan evaluasi, pimpinan harus mencoba meyakinkan pemanfaatan dan penggunaan TI secara efektif, efisien dan bisa digunakan dalam rangka mendukung tujuan bisnis saat ini maupun di masa mendatang.

Pimpinan harus mengevaluasi kompetensi pihak-pihak yang diberikan tanggung jawab untuk memberikan keputusan berkaitan dengan TI. Secara umum, pihak-pihak tersebut adalah manajer bisnis yang juga bertanggung jawab kepada tujuan dan performansi bisnis organisasi, dengan dibantu oleh spesialis TI yang memahami value dan proses bisnis.

Direct
Pimpinan harus mengarahkan perencanaan untuk dilaksanakan berdasarkan kepada pertanggungjawaban TI yang telah ditentukan.
Pimpinan harus mengarahkan mereka untuk mendapatkan informasi yang dibutuhkan sesuai dengan pertanggungjawabannya (responisbility and accountability).

Monitor
Pimpinan harus melakukan monitoring terhadap mekanisme tata kelola TI yang sesuai dengan yang telah ditetapkan.
Pimpinan harus melakukan monitoring terhadap mereka yang telah diberikan tanggung jawab dan memahami apa tanggung jawab mereka.
Pimpinan harus melakukan monitoring performansi terhadap mereka yang telah diberikan tanggung jawab dalam melakukan tata kelola TI

Prinsip 2 Strategi
Evaluasi
Pimpinan harus mengevaluasi pengembangan di bidang TI dan proses bisnis untuk menjamin TI telah memberikan dukungan bagi keinginan bisnis di masa mendatang.
Dalam mempertimbangkan perencanaan dan kebijakan, pimpinan harus mengevaluasi aktivitas TI untuk menjamin bahwasanya aktivitas-aktivitas tersebut telah sesuai dengan tujuan bisnis yaitu melakukan perubahan terhadap kondisi, melakukan pertimbangan terhadap pekerjaan yang ada dan memberikan kepuasan kepada pihak stakeholder.
Pimpinan harus menjamin penggunaan TI telah dilakukan penilaian resiko (risk assessment) dan juga evaluasi, sesuai dengan standar nasional maupun internasional.

Direct
Pimpinan harus mengarahkan persiapan dan penggunaan perencanaan dan kebijakan dimana perencanaan dan kebijakan tersebut menjamin organisasi mendapatkan keuntungan dari pengembangan di bidang TI.
Pimpinan harus mendorong pengajuan proposal pemanfaatan TI secara inovatif agar organisasi bisa merespon peluang atau kesempatan baru, untuk menjalankan bisnis baru atau memperbaiki proses yang ada.

Monitor
Pimpinan harus melakukan monitoring terhadap progres proposal TI yang telah diterima untuk menjamin bahwasanya mereka telah mencapai tujuan dalam rentan waktu dan alokasi sumber daya yang telah disediakan.

Pimpinan harus melakukan monitoring terhadap TI untuk menjamin pemanfaatan TI telah mencapai keuntungan yang diharapkan.

Akuisisi
Evaluasi
Pimpinan harus melakukan evaluasi terhadap pilihan-pilihan dalam rangka menyediakan TI untuk merealisasikan proposal yang telah diterima, menyeimbangkan resiko dan nilai pada dana yang telah diajukan dalam proposal.

Direct
Pimpinan harus mengarahkan aset-aset TI (sistem dan infrastruktur) yang telah diperoleh dengan cara yang tepat, seperti mempersiapkan dokumen yang sesuai.

Pimpinan harus mengarahkan pengaturan sumber daya (baik internal maupun eksternal) untuk mendukung kebutuhan bisnis organisasi.

Monitor
Pimpinan harus melakukan monitoring terhadap investasi di bidang TI untuk menjamin investasi-investasi tersebut menyediakan kemampuan yang diinginkan
Pimpinan harus melakukan monitoring terhadap tingkatan dimana organisasi dan pihak pemasok saling berbagi pemahaman mengenai tujuan organisasi dalam melakukan akuisisi TI.

Performance
Evaluate
Pimpinan harus mengevaluasi proposal yang diajukan oleh pihak manajer untuk menjamin TI akan mendukung proses bisnis dengan kemampuan dan kapasitas yang diinginkan. Proposal tersebut harus berisikan keberlanjutan operasi normal bisnis dan perlakuan terhadap resiko yang berkaitan dengan TI.

Pimpinan harus mengevaluasi resiko-resiko untuk melanjutkan operasi bisnis yang muncul dari aktivitas TI.

Pimpinan harus mengevaluasi resiko-resiko berkaitan dengan integritas dari informasi dan perlindungan terhadap aset TI, termasuk kekayaan intelektual dan memori-memori yang berkaitan dengan organisasi.

Pimpinan harus mengevaluasi pilihan-pilihan dalam rangka meyakinkan pemanfaatan TI yang efektif guna mendukung tujuan bisnis.

Pimpinan harus mengevaluasi secara rutin efektivitas dan performansi dari sistem organisasi yang berkaitan dengan tata kelola TI.

Direct
Pimpinan harus menjamin alokasi sumber daya yang cukup sehingga TI bisa memenuhi keinginan organisasi, bersesuaian dengan prioritas yang telah disepakati dan juga batasan anggaran yang ada .

Pimpinan harus mengarahkan mereka yang bertanggungjawab dguna menjamin dukungan TI terhadap bisnis, ketika dibutuhkan dengan alasan bisnis, dengan memberika data yang benar dan up-to-date yang dilindungi dari kerusakan ataupun penyalahgunaan.

Monitor
Pimpinan harus melakukan monitoring terhadap tingkatan dimana TI tersebut mendukung bisnis.

Pimpinan harus melakukan monitoring terhadap tingkatan dimana alokasi sumber daya dan anggaran yang telah diprioritaskan sesuai dengan tujuan bisnis.

Pimpinan harus melakukan monitoring terhadap tingkatan dimana kebijakan, seperti akurasi data dan tingkat efisiensi penggunaan TI telah dilakukan dengan baik.

Kepatuhan
Evaluasi
Pimpinan harus mengevaluasi secara rutin, tingkatan dimana TI bisa memberikan kepuasan kepada obligasi (peraturan, undang-undang, hukum, kontrak), kebijakan internal, standar dan pedoman profesional.

Pimpinan harus mengevaluasi secara rutin, kepatuhan internal organisasi terhadap sistem tata kelola TI.

Direct
Pimpinan harus mengarahkan mereka yang bertanggung jawab terhadap berjalannya mekanisme yang biasa terjadi dan rutin untuk menjamin pemanfaatan TI mengikuti obligasi (peraturan, undang-undang, hukum, kontrak), standar dan pedoman.

Pimpinan harus mengarahkan kebijakan yang disusun dan ditetapkan agar organisasi sesuai dengan obligasi dalam pemanfaatan TI.

Pimpinan harus mengarahkan staf TI untuk mengikuti pedoman yang relevan dalam berprilaku dan pengembangan profesionalitas.

Pimpinan harus mengarahkan semua aksi yang dilakukan berkaitan dengan TI sesuai dengan etika.

Monitor
Pimpinan harus melakukan monitoring terhadap pemenuhan dan kepatuhan TI melalui laporan dan proses audit yang sesuai, menjamin hasil review tepat pada waktunya, komprehensif dan sesuai, hal tersebut dilakukan dalam rangka mengevaluasi tingkatan kepuasan dalam bisnis.

Pimpinan harus melakukan monitoring terhadap aktivitas TI, termasuk penggunaan aset dan data, guna menjamin lingkungan, kerahasiaan, strategic knowledge manajement, pemeliharaan memori organisasi dan peraturan-peraturan lainnya saling mendukung satu dengan yang lain.

Human Behaviour
Evaluate
Pimpinan harus mengevaluasi aktivitas TI untuk menjamin bahwasanya prilaku manusia dalam organisasi teridentifikasi dan diperlakukan dengan sesuai.

Direct
Pimpinan harus mengarahkan aktivitas TI agar konsisten dengan prilaku manusia.

Pimpinan harus mengarahkan resiko, peluang, isu dan kepedulian agar bisa diidentifikasi dan dilaporkan oleh siapapun kapanpun. Resiko ini harus dimanage berdasarkan kebijakan dan prosedur yang telah ditetapkan dan ditingkatkan menuju pengambilan keputusan yang relevan.

Monitor
Pimpinan harus melakukan monitoring terhadap aktivitas TI untuk menjamin prilaku manusia yang teridentifikasi masih relevan dan memberikan perhatian yang tepat kepada mereka.

Pimpinan harus melakukan monitoring terhadap aksi-aksi guna menjamin kekonsistenan dengan pemanfaatan TI.

dirangkum dari Dokumen ISO/IEC 38500:2008, Corporate Governance of Information Technology

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s