Slide Presentation TKTI v2

  • Published on
    15-Jul-2015

  • View
    32

  • Download
    0

Transcript

TATA KELOLA TIPT. XYZINDONESIA (PERSERO)Company ProfileNama: PT XYZIndonesia (Persero). Bidang Usaha: Kliring dan Penjaminan Penyelesaian Transaksi Kontrak Berjangka dan Derivatif dan Pusat Registrasi Resi Gudang Kliring dan Penjaminan Penyelesaian Transaksi Pasar Fisik Kepemilikan Saham: Merupakan Badan Usaha Milik Negara (BUMN) yang sahamnya dimiliki sepenuhnya (100%) oleh Negara Republik Indonesia.Visi PerusahaanMenjadi Lembaga XYZyang bertumbuh, sehat, solid dan terpercaya serta mampu memelihara integritas finansial dan integritas sistem informasi. Menjadi Pusat Registrasi Sistem Resi Gudang dan Lembaga Penjamin Penyelesaian transaksi berbasis komoditas dan penjaminan lainnya yang bertumbuh, sehat, solid dan terpercaya serta mampu memelihara integritas finansial dan integritas system informasi.Misi PerusahaanProaktif dalam berkontribusi bagi perkembangan perekonomian nasional pada umumnya dan penerimaan negara pada khususnya. Terlaksananya fungsi Kliring dan Penjaminan Penyelesaian Transaksi secara teratur, wajar, dan efisien serta terpeliharanya integritas financial industri perdagangan berjangka dan derivatif lainnya. Terlaksananya fungsi Pusat Registrasi Sistem Resi Gudang, penjaminan dan penyelesaian transaksi berbasis komoditas dan penjaminan lainnya secara teratur, wajar dan efisien.Struktur OrganisasiCore BusinessLembaga Kliring Perdagangan Berjangka Tugas Utama: Melakukan fungsi novasi atau substitusi setiap transaksi kontrak berjangka/derivatif yang didaftarkan oleh Anggota Kliring. Pusat Registrasi Resi Gudang Tugas Utama: Sebagai pusat registrasi yang memiliki fungsi pencatatan, penyimpanan, pemindahbukuan kepemilikan, pembebanan hak jaminan, pelaporan serta penyediaan sistem dan jaringan informasi Resi Gudang dan Derivatif Resi Gudang. Lembaga Penjamin & Penyelesaian Transaksi Pasar Fisik Komoditas Tugas Utama: sebagai kliring dan penjaminan penyelesaian transaksi kontrak lelang yang dilakukan oleh anggota penjaminan di pasar fisik komoditas.Alur Pemikiran1 2 3 4 5 4 Indetifikasi Resiko Tata Kelola TI Memetakan pengaruh permasalahan terhadap pencapaian IT Goal Mendapatkan proses Cobit terkait Menentukan 8 proses area penting berdasarkan Mapping IT Governance Cobit Menentukan tingkat kemapanan setiap proses area Menentukan 2 proses yang perlu dibenahi dan rekomendasiIdentifikasi Resiko Tata Kelola TINo1PROSESPenggunaan dan Pengelolaan Account dan Hak Akses Permintaan LayananNo. Risiko1.1 2.1 2.2 2.3 2.4 2.5RISIKOPemberian atau Penyalahgunaan account dan hak kkses kepada pihak yang tidak berhak atu kepunyaan orang lain yang bukan Haknya Permintaan layanan dari internal user tidak terdokumentasikan Divisi TI tidak dapat memberikan dukungan teknis Internal User / Divisi TI tidak memahami pengoperasian sistem Permintaan layanan dari eksternal user tidak terdokumentasikan Eksternal User tidak memahami pengoperasian sistem Sistem tidak dapat dioperasikan dan gagal menjalankan tugas dan fungsinya seperti hang, error,dsb. Sistem dapat dioperasikan namun tidak optimal sesuai dengan yang diharapkan Kesalahan membuat feasibility study Pengembangan sistem yang tidak sesuai dengan tujuan Terjadinya kegagalan pengoperasian sistem saat dilakukan uji coba Kesalahan dalam memilih vendor/mitra untuk melakukan feasibility study pengembangan sistem Pekerjaan vendor untuk pengembangan sistem tidak sesuai dengan perancangan TI Kegagalan dan Kerusakan Infrastruktur Distribusi tugas yang tidak proporsional, kompetensi dan kinerja SDM kurang memadai dan tidak adanya program pengembangan SDM23Operasional/Implementasi sistem (aplikasi & operational) Pengembangan sistem (alignment dengan bisnis)3.1 3.244.1 4.2 4.3 4.45 6 7Penugasan Vendor Operasional dan Pemeliharaan Infrastruktur Pengelolaan SDM TI5.1 6.1 7.1Pemetaan Resiko Terhadap IT GoalIT GoalITG 1 ITG 2 ITG 3 ITG 4 ITG 5 ITG 6 ITG 7 ITG 8 ITG 9 ITG 10 ITG 11 ITG 12 ITG 13 ITG 14Frekuensi Resiko4 4 5 1 1 6 6 5 3 3 1 5 3 1Premier/ SekunderP P P S S P P P P P S P P SIT GoalITG 15 ITG 16 ITG 17 ITG 18 ITG 19 ITG 20 ITG 21 ITG 22 ITG 23 ITG 24 ITG 25 ITG 26 ITG 27 ITG 28Frekuensi Resiko2 3 3 2 1 2 1 0 4 1 3 4 1 5Premier/ SekunderS P P S S S S S P S P P S PPemetaan IT Goal Terhadap Proses CobitKode ITG1 ITG2 ITG3 ITG6 ITG7 ITG8 ITG9 ITG10 ITG12 ITG13 ITG16 ITG17 ITG23 ITG25 ITG26 ITG28 Proses PO1, PO2, PO4, PO10, AI1, AI6, AI7, DS1, DS3, ME1 PO1, PO4, PO10, ME1, ME4 PO8, AI4, DS1, DS2, DS7, DS8, DS10, DS13 AI1, AI2, AI6 PO3, AI2, AI5 AI3, AI5 PO7, AI5 DS2 PO5, PO6, DS1, DS2, DS6, ME1, ME4 PO6, AI4, AI7, DS7, DS8 PO8, AI4, AI6, AI7, DS10 PO9, DS10, ME2 DS3, DS4, DS8, DS13 PO8, PO10 AI6, DS5 PO5, DS6, ME1, ME4Pemilihan 8 Proses PentingCobit IT Goverment Process Area Strategic Value Alignment Delivery P P P S P P P S S P P S P S P S P S P P P P Resources Risk Performance Management Management Measurement S S P S SKode Process Area (COBIT) PO1 PO9 Define a Strategic IT Plan Asses and Manage IT RiskLevel High High High High Medium High High HighPO10 Manage Projects AI6 DS1 DS5 Manage Changes Define and Manage Service LevelsEnsure Systems Security Monitor and Evaluate IT ME1 Performance ME4 Provide IT GovernanceHasil Pengukuran KematanganPO1 Define a Strategic IT Plan 3.50 ME4 Provide IT Governance 3.00 2.50 2.00 1.50 1.00 0.50 ME1 Monitor and Evaluate IT Performance 0.00 PO10 Manage Projects Skor PO9 Asses and Manage IT RiskDS5 Ensure Systems SecurityAI6 Manage ChangesDS1 Define and Manage Service LevelsDefine a Strategic IT Plan (PO1) Skor: 3 (2.80)Manajemen memahami kebutuhan IT plan PT. XYZ memiliki rencana TI jangka panjang dan jangka pendek. Keputusan strategis terkadang masih berdasarkan project-byproject belum sepenuh nya merujuk pada strategi organisasi secara keseluruhan Dalam pengadaan & pengembangan sistem TI sudah ada proses pakah menggunakan SDM internal atau vendor namun belum standard. Penyempurnaan IT Plan belum dilakukan secara rutin.Assess & Manage IT Risk (PO9) Skor: 3 (2.79)Ada sebuah pemahaman yang muncul bahwa risiko TI penting dan perlu dipertimbangkan Manajemen risiko mengikuti alur proses yang sudah terdifinisi kemudian didokumentasikan Tidak Adanya database manajemen risiko, dan Proses Otomasi pada bagian manajemen risiko. Pengambilan data, analisis dan pelaporan data manajemen risiko masih manualManage Projects (PO10) Skor: 3 (3.26)Adanya Pendekatan dan Komunikasi dari Senior Management untuk kesadaran pada manajemen proyek TI Pedoman awal sudah dikembangkan untuk beberapa aspek manajemen proyek Proses manajemen proyek TI dan metodologi sudah ditetapkan dan disampaikan Tidak Tersedianya Pelatihan manajemen proyek dan inisiatif masing-masing staf Kurangnya komitmen di manajemen untuk kepemilikan proyek dan manajemen proyekManage Changes (AI6) Skor: 3 (2.88)PT. XYZ sudah memiliki kesadaran bahwa perubahan dapat terjadi kan saja dan mengganggu operasional IT dan bisnis sehingga membutuhkan sebuah manajemen perubahan yang baik. Dokumentasi terhadap perubahan masih lemah, dan proses manajemen perubahan masih beragam (insidental) dan belum standard. Informasi dan dokumentasi mengenai konfigurasi sistem TI PT. XYZ belum terkomputerisasi sepenuhnya dan masih terdapat banyak versi yang untracking.Define and Manage Service Levels (DS1) Skor: 3 (3.49)Kepuasan pelanggan sudah mulai diukur dan dinilai secara rutin PT XYZ sudah sepenuhnya memantau dan mengelola tingkat kepuasan pelanggan secara terus menerus Sudah memiliki definisi layanan dan service level yang telah didokumentasikan dan disepakati menggunakan proses yang standar PT. XYZ belum sepenuhnya memiliki sumber daya dan akuntabilitas yang dibutuhkan untuk memenuhi target tingkat pelayananEnsure Systems Security (DS5) Skor: 2 (2.35)PT. XYZ menyadari kebutuhan untuk keamanan IT Saat ini tingkat keamanan TI belum sepenuhnya diukur PT. XYZ sudah memiliki kordinator keaman TI namun terkadang pada situasi dan kasus tertentu masih ada saling lempar tanggung jawab Sudah memiliki prosedur respon terhadap insiden Belum ada sertifikasi keamanan untuk anggota staf yang bertanggung jawab untuk audit dan pengelolaan keamanan Belum ada dilakukan pelatihan keamanan TI dilakukan pada domain bisnis dan TIMonitor & Evaluate IT Performance (ME1) Skor: 3 (2.88)Manajemen sadar akan kebutuhan monitoring untuk mengevaluasi hasil monitoring tersebut Standarisasi untuk melakukan proses monitoring sudah dilakukan serta tools yang digunakan. Implementasi monitoring dilakukan untuk mendukung manajemen risiko dan kelanjutan bisnis Manajemen dapat mengevaluasi kinerja sesuai standar kriteria namun metode untuk tingkat pengukuran belum distandarisasikan Hasil evaluasi menjadi masukan untuk memperbaiki kebijakan dan memperbaharui standar organisasi serta mendapatkan best-practice dalam area-area tertentu.Provide IT Governance (ME4) Skor: 3 (2.84)Manajemen memahami betul tentang pentingnya tata kelola TI dalam mendukung GCG (Good Coorporate Governance) Pelaksanaan Kebijakan TI mendukung sepenuhnya persyaratan dari tata kelola TI Standarisasi prosedur dan dokumentasi. TI digunakan secara optimal dan terintegrasi untuk meningkatkan kualitas dan efektifitas proses bisnis Belum adanya standarisasi tools untuk mengawasi kinerja dari tata kelola TIKesimpulanSecara umum kematangan tata kelola TI di PT XYZIndonesia (persero) adalah diatas skore 2 (repeatable) Ada beberapa proses yg masih perlu dibenahi yaitu PO 09 dan DS 05 karena menjadi 2 terkecil skorenyaPemilihan 2 proses yang perlu dibenahiKodePO 09ProsesAlasanterindentifikasi Job Description tidak mempertimbangkan tanggung jawab manajemen risiko Tidak memiliki database manajemen risiko sehingga akan sulit untuk memantau dan memitigasi resiko Organisasi tidak menyadari kebutuhan untuk keamanan IT Tindakan untuk mendukung manajemen keamanan TI tidak diimplementasikan Laporan Keamanan TI tidak lengkap, menyesatkan atau tidak sesuaiAsses and Manage Proses mitigasi risiko baru dimulai dan dilaksanakan ketika risiko sudah IT Risk (2.79) DS 05Ensure Systems Security (2.35)RekomendasiKodePO 9ProsesRekomendasidescription tanggung yang jawab manajemen resiko Melakukan risk assesment dan mitigasi secara berkala serta mendokumentasikannyajob Asses and Manage Membuat mempertimbangkan IT Risk (2.79) DS 05Ensure Systems Security (2.35)Perlu dibuat kebijakan keamanan TI Perlu memiliki dokumentasi perencanaan keamanan TI dan dikelola sesuai dengan kebutuhan bisnis dan profile resiko keamanan yang didefinisikan Pelatihan keamanan TI dilakukan pada domain bisnis dan TI Awarenes keamanan TI merupakan tanggung jawab bersama dari bisnis dan manajemen TI dan terintegrasi dengan tujuan keamanan bisnis perusahaanTerima Kasih