PMBoK dan ITIL merupakan standar manajemen proyek dan layanan TI yang sering digunakan. PMBoK membahas 9 area pengetahuan untuk mengelola proyek, termasuk manajemen resiko. ITIL menyediakan kerangka proses untuk mengelola layanan TI sesuai kebutuhan bisnis. COBIT digunakan untuk mengontrol dan mengaudit TI dengan menyelaraskan tujuan bisnis dan TI. Studi kasus menggunakan COBIT untuk mengaudit labor
1. STANDARD
And its correlation with
Information Technology
MANAGEMENT
2. PMBoK 4th
Project Management Body of Knowledge
Merupakan standar yang dibangun oleh Project Management Institute (PMI) dan
digunakan untuk melaksanakan manajemen proyek bidang teknologi informasi
Mata Kuliah : Manajemen
Proyek Teknologi Informasi
Terbagi 5
basic
1. Project Integration Management
Terbagi 9 Inisiasi process
2. Project Scope Management
knowledge 3. Project Time Management
areas
4. Project Cost Management Planning
5. Project Quality Management
6. Project Human Resource Management
7. Project Communication Management Executing
8. Project Risk Management
9. Project Procurement Management Closing
Dilakukan Technique
dengan Input Output
& Tools
“term”
4. Mapping between Process &
Knowledge Areas
ITRM
PMBOK merupakan salah
satu knowledge
area dari PMBOK
ITRM dilakukan
pada proses
planning dan
monitoring &
controlling
5. Process Of Project Risk Management
Plan Risk Management 1
Proses untuk mendefinisikan bagaimana melaksanakan aktivitas manajemen resiko
Identify Risks 2
Proses mendefinisikan resiko apa saja yang akan berpengaruh
pada proyek
Perform Qualitative Risks
3
PMBOK Analysis
Proses memprioritaskan resiko
6. Process Of Project Risk Management
Perform Quantitative Risks Analysis 4
Proses menghitung secara numeris dampak resiko terhadap
proyek
Plan Risks Respons 5
Proses mendefinisikan langkah – langkah yang dilakukan
terhadap resiko
PMBOK
Monitor & Control Risks
Proses memantau,
mengevaluasi, mengidentifikasi
resiko baru, memonitoring
residual risk
7. ITIL V3
Information Technology Infrastructure Library
Merupakan sebuah konsep pendekatan di bidang ITSM (Information Technology
Service Management) yang menyediakan menyediakan konsep framework activities
Mata Kuliah : Manajemen (kerangka kerja) untuk mengidentifikasi, merencanakan, memberikan, dan
Layanan SI/TI mendukung layanan IT untuk bisnis usaha.
ITIL Service Strategy
Risk Management terdapat
di dalam Service Design
ITIL Service Design
ITIL Service Transition
ITIL
Process ITIL Service Operation
ITIL Continual Service
Improvement (CSI)
8. Process Of ITIL V3
ITIL Service Strategy 1
Service Strategy ini fokus untuk membantu organisasi IT untuk meningkatkan aspek – aspek
organisasi / perusahaan untuk jangka panjang. Misalnya untuk business-care development,
service assets, market analysis, dan juga provider types
Sub • Financial Management
Process
• Service Portfolio Management (SPM)
• Demand Management
ITIL V3
2 ITIL Service Design
• Service Catalogue Management Service Strategy berfokus memberikan konsep
• Service Level Management bagaimana merencanakan solusi layanan, yang
meliputi arsitektur, kebijakan, proses, dokumentasi
• Risk Management untuk menyesuaikan kebuthan bisnis sekarang dan
• Capacity Management masa depan.
• Availability Management
• IT Service Continuity Management Sub
• Information Security Management Process
• Compliance Management
• IT Architecture Management
• Supplier Management
9. Process Of ITIL V3
ITIL Service Transition 3
Service Strategy ini fokus untuk mengkonsep perpindahan dari desain penyampaian layanan
yang lama menuju konsep layanan yang baru. Selain itu dapat dikatakan bahwa service
transition menyampaikan desain yang telah dibuat dalam ITIL Service Design menuju operation
Sub • Service Asset and Configuration
Process
Management
• Service Validation and Testing
• Evaluation
ITIL V3 • Release Management
• Change Management
• Knowledge Management
10. Process Of ITIL V3
ITIL Service Operation 4
ITIL Service Operation berfokus pada penyampaian layanan pada level yang disepakati,
memelihara aplikasi, arsitektur, dan teknololgi yang mendukung penyampaian layanan kepada
pelanggan
• Event Management,
• Incident Management,
• Problem Management,
Sub
Process • Request Fulfillment,
• Access Management.
ITIL V3
5 ITIL Continual Service Improvement
Continual Service Improvement (CSI) berfokus untuk
memelihara nilai pelanggan melalui evaluasi yang
• Service Level Management, berkesinambungan dan meningkatkan kualitas
• Service Measurement and kematangan ITSM services.
Reporting,
• Continual Service Improvement.
Sub
Process
11. Risk Management in ITIL V3
Terdapat sub proses dalam Risk
Management
Risk Management Support
Objective : Untuk menentukan framework yang akan digunakan untuk manajemen
resiko, bagaimana resiko dikuantifikasikan, resiko apa yang akan disetujui oleh perusahaan, dan
siapa yang bertanggung jawab atas kewajiban manajemen resiko tersebut.
Business Impact and Risk Analysis
ITIL V3 Objective : Untuk mengkuantifikasikan dampak dari resiko
kehilangan layanan / aset pada bisnis, serta untuk Risk
Output Register
menentukan kemungkinan ancaman / kerentanan yang
mungkin terjadi.
Assessment of Required Risk Mitigation
Objective : Untuk menentukan dimana pengukuran mitigasi dilakukan,
mengidentifikasi siapa yang bertanggung jawab atas implementasi mitigasi resiko
pada tahap maintenance
Risk Monitoring
Objective : Untuk memonitoring progres dari implementasi mitigasi resiko dan
tindakan pembenaran yang dilakukan
12. COBIT
Control Objectives for Information and related
Mata Kuliah : Tata Kelola &
Audit Teknologi Informasi Technology (COBIT)
Merupakan framework yang diciptakan oleh ISACA (Information System Audit &
Control Association) dan IT Governance Institute (ITGI) pada tahun 1996 untuk
membantu manajer, auditor, dan juga user IT untuk memaksimalkan keuntungan
dengan menggunakan IT serta membangun IT handal yang terkontrol pada suatu
perusahaan.
Bagaimana IT Apa yang
Tersedianya diorganisir untuk stakeholders
sumber daya IT bereaksi terhadap harapkan dari IT
Posisi COBIT suatu kebutuhan
Korelasi antara COBIT
dengan Kebutuhan
Bisnis
13. Domains in COBIT 4.1
Planning & Organization (PO) 1
Domain PO ini mencakup rencana dan pengorganisasian strategi, taktis, dan pertimbangan
dalam mengidentifikasi langkah – langkah yang berkontribusi besar untuk mencapai tujuan
bisnis perusahaan.
• Apakah IT dan strategi bisnis bersesuaian?
• Apakah perusahaan mencapai penggunaan sumberdaya yang
optimal?
• Apakah setiap orang mengerti tujuan perusahaan
COBIT • Apakah resiko IT telah dipahami & telah
diatur?
• Apaah kualitas sistem menjawab kebutuhan bisnis?
Pertanyaan yang
harus dijawab
14. Domains in COBIT 4.1
Planning & Organization (PO) 1
Adanya
manajemen
dan penilaian
COBIT resiko
15. Domains in COBIT 4.1
ACQUIRE AND IMPLEMENT (AI) 2
Untuk menjalankan strategi IT, solusi diperlukan untuk mengidentifikasi &
membangun, sehingga dapat diimplementasikan dan diintegrasikan dalam bisnis proses
• Apakah proyek baru dapat menyampaikan solusi bisnis yang dapat
menjawab kebutuhan bisnis?
• Apakah proyek baru dapat disampaikan tepat waktu dan biaya?
• Apakah sistem baru akan bekerja dengan baik saat
COBIT diimplementasikan?
Pertanyaan yang
harus dijawab
17. Domains in COBIT 4.1
DELIVER AND SUPPORT (DS) 3
Domain ini berhubungan dengan penyampaian layanan yang aktual, kontinuitas layanan,
layanan pendukung untuk pengguna, serta manajemen data dan fasilitas operasional
• Apakah layanan IT disampaikan selaras dengan prioritas bisnis?
• Apakah biaya IT dioptimalkan?
• Apakah kekuatan kerja karyawan mampu menjaga produktivitas
dan keamanan IT?
COBIT • Apakah confidentiality, integrity, dan availability mendukung
keamanan informasi?
Pertanyaan yang
harus dijawab
19. Domains in COBIT 4.1
MONITOR AND EVALUATE (ME) 4
Domain ini fokus pada upaya kontrolling kinerja , monitoring kontrol internal, dan tata kelola
yang ada.
• Apakah kinerja IT telah diukur untuk mendeteksi masalah sebelum
terlambat?
• Apakah manajemen menjamin bahwa kontrol internal telah efektif
dan efisien dilakukan?
COBIT • Dapatkah kinerja IT dihubungkan dengan tujuan bisnis?
• Apakah confidentiality, integrity and availability controls sudah
tepat dilakukan untuk perlindungan informasi?
Pertanyaan yang
harus dijawab
21. IT Risk Management in COBIT
1 Control Objective
PLANNING & ORGANIZATION (PO)
PO9 Assess and Manage IT Risks
ACQUIRE & IMPLEMENTATION (AI) 2
DELIVER AND SUPPORT (DS) 3
COBIT MONITORING & EVALUATION (ME) 4
22. IT Risk Management in COBIT
PO9 Assess and Manage IT Risks
Tujuan : menganalisa dan mengkomunikasikan resiko dan dampak potensial pada proses dan
tujuan perusahaan.
Focus On Achieved by Measured by
• Menjamin bahwa • Persentase critical IT
manajemen resiko objectives dengan risk
COBIT Pembuatan kerangka terintegrasi dengan proses assessment
manajemen resiko yang manajerial internal dan • Persentase critical IT yang
terintegrasi dengan penilaian, eksternal lainnya teridentifikasi dengan
mitigasi, dan komunikasi dari • Melakukan risk assessment action plan yang dibuat
residual risk • Merekomendasikan dan • Persentase rencana
mengkomunikasikan manajemen resiko yang
rencana risk remediation terimplementasi
23. IT Risk Management in COBIT
CONTROL OBJECTIVES
PO9 Assess and Manage IT Risks
PO9.1 IT Risk Management Framework
Fokus pada pelaksanaan kerangka ITRM sesuai dengan proses bisnis perusahaan
PO9.2 Establish of Risk Context
COBIT
Fokus pada konteks dari manajemen resiko yang meliputi internal & eksternal, tujuan
assessment, kriteria, dan evaluasi.
PO9.3 Event Identification
Fokus : Mengidentifikasi event yang berpotensi terkait dengan tujuan perusahaan.
PO9.4 Risk Assessment
Fokus : Menilai dampak dari resiko yang terjadi.
24. IT Risk Management in COBIT
CONTROL OBJECTIVES
PO9 Assess and Manage IT Risks
PO9.5 Risk Response
Fokus : Pembuatan dan pemeliharaan respon terhadap resiko yang terjadi untuk memastikan
efektivitas biaya yang dilakukan untuk mitigasi resiko
PO9.6 maintenance & Monitoring of a Risk Action Plan
COBIT
Memprioritaskan dan merencanakan aktivitas kontrol pada semua level untuk
mengimplementasikan respon atas resiko yang teridentifikasi.
25. IT Risk Management in COBIT
CONTROL OBJECTIVES RACI Chart mendeskripsikan aktivitas –
PO9 Assess and Manage IT Risks aktivitas dan objek dari aktivitas
tersebut yang akan diaudit
COBIT
26. COBIT
Control Objectives for Information and related
Technology (COBIT)
Merupakan framework yang diciptakan oleh ISACA (Information System Audit &
Control Association) dan IT Governance Institute (ITGI) pada tahun 1996 untuk
membantu manajer, auditor, dan juga user IT untuk memaksimalkan keuntungan
dengan menggunakan IT serta membangun IT handal yang terkontrol pada suatu
perusahaan.
Bagaimana IT Apa yang
Tersedianya diorganisir untuk stakeholders
sumber daya IT bereaksi terhadap harapkan dari IT
Posisi COBIT suatu kebutuhan
Korelasi antara COBIT
dengan Kebutuhan
Bisnis
27. • A Guide to The Project Management Body of
Knowledge. (2008). Newton Square, USA: Project
Management Institute, Inc.
• Cartlidge, A., Hanna, A., Rudd, C., & Macfarlane, I.
(2007). An Introductory Overview of ITIL® 3. The
UK Chapter of the itSMF.
• http://wiki.en.it-
processmaps.com/index.php/Risk_Management
29. • Studi kasus audit yang pernah saya lakukan sewaktu mengambil mata kuliah Tata Kelola &
Audit adalah audit IS/IT pada laboratorium E-Business dengan menggunakan standar COBIT
4.1
LANGKAH – LANGKAH AUDIT
1
Meninjau proses bisnis dari Jurusan Sistem
Informasi melalui visi, misi, dan strategi JSI
Yang diberi blok merupakan focus
utama yang akan diaudit
30. 2
Memilih standar yang akan digunakan
dalam proses audit
3
Menentukan domain yang akan diaudit melalui
penyelarasan COBIT dengan visi, misi, dan
strategi JSI
Yang diberi blok
warna kuning
merupakan hasil
penyelarasan IT
Goals
Domain yang paling sesuai
dengan IT Goals adalah
Acquire & Implementation
31. 4
Menentukan control objective dari Yang paling sesuai dengan IT Goals di atas adalah Acquire &
domain yang telah ditentukan Implementation dengan control objective AI.3.1. AI3.3
Infrastructure Maintenance
5
Berikutnya adalah pembuatan panduan
audit
Terdapat 3 hal yang
dipertimbangkan sesuai
dengan COBIT .1, yaitu :
35. Yang Harus Diperhatikan Dalam Audit
Proses Bisnis Tentukan mana yang Tentukan mana yang akan
Perusahaan (Visi, akan diaudit (yang diaudit
Misi, Strategi) terkait dengan IT)
Tentukan domain yang akan
Tentukan standar yang akan Tentukan standar yang akan
diambil (sesuaikan dengan
digunakan, misalnya COBIT digunakan, misalnya COBIT
proses bisnis)
Tentukan control objective yang
diambil (korelasikan dengan Buat panduan audit yang berisi
aktivitas – aktivitas yang ada fokus, capaian, dan parameter Lakukan audit
dalam standar dengan proses pengukuran
bisnis)
Evaluasi
37. Dilakukan audit terhadap Diketahui kematangan dari
Perusahaan memiliki ITRM
ITRM tersebut ITRM yang dilakukan
Dilakukan evaluasi
berdasarkan hasil audit
dengan tujuan untuk
meningkatkan manajemen
resiko yang dibuat