Domain ini melakukan pengawasan terhadap semua proses dan menjamin bahwa arahan/panduan benarbenar dijalankan. Semua proses TI harus sering diukur untuk kualitas serta pemenuhannya dengan sebuah kebutuhan pengendalian. Domain ini meliputi manajemen performa, pengawasan terhadap pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.

MEA01 - Monitor, evaluate and assess performance and conformance

Mengumpulkan, memvalidasi, dan mengevaluasi bisnis, TI, dan proses goals dan matriks. Memantau proses yang bekerja berdasarkan persetujuan tujuan performa dan kesesuaian serta matriks dan menyediakan laporan yang sistematik dan tepat waktu.

IT-Related Goals

• Risiko bisnis terkait TI yang dikelola

• Penyampaian layanan TI sesuai dengan kebutuhan bisnis

• Optimalisasi aset, sumber daya, dan kemampuan TI

• Kepatuhan TI dengan kebijakan internal

Process Goals

• Tujuan dan matriks disetujui oleh stakeholder

• Proses diukur berdasarkan tujuan dan metrik yang disepakati

• Pendekatan pemantauan, penilaian, dan informasi perusahaan bersifat efektif dan operasional

• Sasaran dan metrik terintegrasi dalam sistem pemantauan perusahaan

• Pelaporan proses tentang kinerja dan kesesuaian berguna dan tepat waktu

MEA01.01 Establish a monitoring approach

Terlibat dengan stakeholder untuk membangun dan memelihara pendekatan pemantauan untuk menentukan tujuan, ruang lingkup, dan metode untuk mengukur penyampaian solusi dan layanan bisnis serta kontribusinya untuk tujuan perusahaan. Integrasikan pendekatan ini dengan sistem manajemen kinerja perusahaan.

INPUT :

• Prinsip laporan dan komunikasi

• Evaluasi dari kebutuhan laporan perusahaan

• Aturan dari laporan validasi dan persetujuan mandat

• Penilaian dari efektivitas laporan

OUTPUT :

• Kebutuhan pemantauan

• Tujuan dan matriks pemantauan yang disetujui

Aktivitas :

1. Mengidentifikasi stakeholder (seperti manajemen, pemilik proses, dan user)

2. Terlibat dengan stakeholder dan mengkomunikasikan kebutuhan serta tujuan perusahaan untuk pemantauan, penggabungan, dan pelaporan, menggunakan definisi umum (semisal glossary perusahaan, metadata, dan taksonomi), baseline dan benchmarking.

3. Sejajarkan dan terus pertahankan pendekatan pemantauan dan evaluasi dengan pendekatan perusahaan dan alat yang akan digunakan untuk pengumpulan data dan pelaporan perusahaan (seperti aplikasi intelijen bisnis).

4. Menyetujui tujuan dan matriks (seperti kesesuaian, kinerja, nilai, risiko), taksonomi (klasifikasi dan hubungan antara tujuan dan matriks) dan penyimpanan data (bukti).

5. Menyetujui manajemen siklus hidup dan proses kontrol perubahan untuk pemantauan dan pelaporan. Sertakan peluang peningkatan untuk pelaporan, matriks, pendekatan, baseline, dan benchmarking.

6. Meminta, memprioritaskan, dan mengalokasikan sumber daya untuk pemantauan (mempertimbangkan kesesuaian, efisiensi, efektivitas, dan kenyamanan).

7. Validasi secara berkala pendekatan yang digunakan dan identifikasi stakeholder, persyaratan, dan sumber daya baru atau yang diubah.

MEA01.02 Set performance and conformance targets

Bekerja dengan stakeholder untuk menentukan, meninjau secara berkala, memperbarui, dan menyetujui kinerja serta kesesuaian target dalam sistem pengukuran kinerja.

INPUT :

• Tujuan dan matriks performa untuk pelacakan peningkatan proses

OUTPUT :

• Target pemantauan

Aktivitas :

1. Tetapkan dan tinjau secara berkala dengan stakeholder tujuan dan matriks untuk mengidentifikasi item yang hilang secara signifikan dan menentukan kewajaran target dan toleransi.

2. Mengkomunikasikan perubahan yang diusulkan pada performa, kesesuaian target, dan toleransi (berkaitan dengan matriks) dengan stakeholder uji tuntas utama (seperti hukum, audit, SDM, etika, kepatuhan, keuangan).

3. Publikasikan target dan toleransi yang diubah kepada pengguna informasi terkait.

4. Mengevaluasi apakah tujuan dan matriks sudah memadai, yaitu spesifik, terukur, dapat dicapai, relevan, dan terikat waktu (SMART).

MEA01.03 Collect and process performance and conformance data

Kumpulkan dan proses data yang tepat waktu dan akurat dan selaras dengan pendekatan perusahaan.

INPUT :

• Penilaian kemampuan proses

• Laporan kinerja portofolio investasi

• Laporan kinerja tingkatan layanan

• Hasil ulasan pemantauan kesesuaian supplier

• Hasil ulasan kinerja program

• Ketersediaan, kinerja, dan laporan-laporan

• Ukuran dan hasil keberhasilan

• Laporan penilaian fasilitas

• Laporan status dan tren permintaan pemenuhan

• Laporan status dan tren insiden

OUTPUT :

• Data pemantauan yang telah diproses

Aktivitas :

1. Kumpulkan data dari proses yang ditentukan—secara otomatis, jika memungkinkan.

2. Menilai efisiensi (usaha dalam kaitannya dengan wawasan yang diberikan) dan kesesuaian (kegunaan dan makna) serta memvalidasi integritas (keakuratan dan kelengkapan) dari data yang dikumpulkan.

3. Gabungkan data untuk mendukung pengukuran matriks yang disepakati.

4. Menyelaraskan data agregat dengan pendekatan dan tujuan pelaporan perusahaan.

5. Gunakan alat dan sistem yang sesuai untuk pemrosesan dan format data untuk analisis.

MEA01.04 Analyse and report performance

Tinjau dan laporkan kinerja secara berkala terhadap target, menggunakan metode yang memberikan ringkasan pandangan menyeluruh tentang kinerja TI dan cocok dengan sistem pemantauan perusahaan.

INPUT : -

OUTPUT :

• Laporan kinerja

Aktivitas :

1. Rancang laporan kinerja proses yang ringkas, mudah dipahami, dan disesuaikan dengan berbagai kebutuhan manajemen dan audiens. Memudahkan pengambilan keputusan yang efektif dan tepat waktu (seperti scorecard, laporan lampu lalu lintas) dan memastikan bahwa sebab dan akibat antara tujuan dan matriks dikomunikasikan dengan cara yang dapat dimengerti.

2. Bandingkan nilai kinerja dengan target dan tolok ukur internal dan, jika memungkinkan, dengan tolok ukur eksternal (industri dan pesaing utama).

3. Merekomendasikan perubahan pada sasaran dan matriks, jika sesuai.

4. Mendistribusikan laporan kepada stakeholder terkait.

5. Menganalisis penyebab penyimpangan terhadap target, memulai tindakan perbaikan, menetapkan tanggung jawab untuk perbaikan, dan menindaklanjutinya. Pada waktu yang tepat, meninjau semua penyimpangan dan mencari akar penyebabnya, jika diperlukan. Dokumentasikan masalah untuk panduan lebih lanjut jika masalah berulang. Hasil dokumentasi dilampirkan.

6. Jika memungkinkan, hubungkan pencapaian target kinerja dengan sistem kompensasi penghargaan organisasi.

MEA01.05 Ensure the implementation of corrective actions

Membantu stakeholder dalam mengidentifikasi, memulai, dan melacak tindakan korektif untuk mengatasi anomali.

INPUT :

• Panduan peningkatan/eskalasi

• Tindakan perbaikan non-compliance

OUTPUT :

• Tindakan dan penetapan perbaikan

• Status dan hasil dari tindakan

Aktivitas :

1. Tinjau tanggapan, opsi, dan rekomendasi manajemen untuk mengatasi masalah dan penyimpangan besar.

2. Pastikan bahwa penugasan tanggung jawab untuk tindakan korektif dipertahankan.

3. Lacak hasil tindakan yang dilakukan.

4. Melaporkan hasilnya kepada stakeholder.

MEA02.01 Monitor internal controls

Terus memantau, membandingkan, dan meningkatkan lingkungan kontrol TI dan kerangka kerja kontrol untuk memenuhi tujuan organisasi.

Inputs :

• APO12.04 : Results of third-party risk assessments

• APO13.03 : ISMS audit reports

• Outside COBIT : Industry standards and good practices

Outputs :

• Results of internal control monitoring and reviews : EDM01.03 & All APO & All BAI & All DSS & All MEA

• Results of benchmarking and other evaluations : EDM01.03 & All APO & All BAI & All DSS & All MEA

Activities :

1. Melakukan kegiatan pemantauan dan evaluasi pengendalian internal berdasarkan standar tata kelola organisasi dan kerangka kerja dan praktik yang diterima industri. Meliputi pemantauan dan evaluasi efisiensi dan efektivitas tinjauan pengawasan manajerial

2. Pertimbangkan evaluasi independen dari sistem pengendalian internal (misalnya, oleh audit internal atau rekan-rekan).

3. Identifikasi batas-batas sistem pengendalian internal TI (misalnya, pertimbangkan bagaimana pengendalian internal TI organisasi memperhitungkan kegiatan pengembangan atau produksi yang dialihdayakan dan/atau di luar negeri).

4. Memastikan bahwa aktivitas pengendalian ada dan pengecualian segera dilaporkan, ditindaklanjuti dan dianalisis, dan tindakan korektif yang tepat diprioritaskan dan diterapkan sesuai dengan profil manajemen risiko (misalnya, mengklasifikasikan pengecualian tertentu sebagai risiko utama dan lainnya sebagai risiko non-kunci )

5. Memelihara sistem pengendalian internal TI, dengan mempertimbangkan perubahan yang sedang berlangsung dalam risiko bisnis dan TI, lingkungan pengendalian organisasi, proses bisnis dan TI yang relevan, dan risiko TI. Jika ada kesenjangan, evaluasi dan rekomendasikan perubahan.

6. Secara teratur mengevaluasi kinerja kerangka kontrol TI, membandingkan dengan standar yang diterima industri dan praktik yang baik. Pertimbangkan adopsi formal pendekatan perbaikan berkelanjutan untuk pemantauan pengendalian internal

7. Menilai status kontrol internal penyedia layanan eksternal dan memastikan bahwa penyedia layanan mematuhi persyaratan hukum dan peraturan serta kewajiban kontrak

MEA02.02 Review business process controls effectiveness

Tinjau operasi pengendalian, termasuk tinjauan pemantauan dan pengujian bukti, untuk memastikan bahwa pengendalian dalam proses bisnis beroperasi secara efektif. Meliputi aktivitas untuk memelihara bukti operasi pengendalian yang efektif melalui mekanisme seperti pengujian pengendalian secara berkala, pemantauan pengendalian berkelanjutan, penilaian independen, pusat komando dan kendali, dan pusat operasi jaringan. Ini memberi bisnis jaminan efektivitas kontrol untuk memenuhi persyaratan yang terkait dengan tanggung jawab bisnis, peraturan, dan sosial.

Inputs :

• BAI05.06 : Compliance audit results

• BAI05.07 : Reviews of operational use

Outputs :

• Evidence of control effectiveness : Internal

Activities :

1. Memahami dan memprioritaskan risiko untuk tujuan organisasi.

2. Identifikasi kontrol utama dan kembangkan strategi yang cocok untuk memvalidasi kontrol

3. Identifikasi informasi yang secara persuasif akan menunjukkan apakah lingkungan pengendalian internal beroperasi secara efektif

4. Mengembangkan dan menerapkan prosedur hemat biaya untuk menentukan bahwa informasi persuasif didasarkan pada kriteria informasi

5. Pertahankan bukti efektivitas pengendalian

MEA02.03 Perform control self-assessments

Mendorong manajemen dan pemilik proses untuk mengambil kepemilikan positif atas peningkatan kontrol melalui program penilaian mandiri yang berkelanjutan untuk mengevaluasi kelengkapan dan efektivitas kontrol manajemen atas proses, kebijakan, dan kontrak

Outputs :

• Self-assessment plans and criteria : All APO & All BAI & All DSS & All MEA

• Results of self-assessments : Internal

• Results of reviews of self-assessments : EDM01.03 & All APO & All BAI & All DSS & All MEA

Activities :

1. Mempertahankan rencana dan ruang lingkup dan mengidentifikasi kriteria evaluasi untuk melakukan penilaian diri. Merencanakan komunikasi hasil proses penilaian diri kepada bisnis, TI dan manajemen umum dan dewan. Pertimbangkan standar audit internal dalam desain penilaian mandiri

2. Tentukan frekuensi penilaian diri secara berkala, dengan mempertimbangkan keseluruhan efektivitas dan efisiensi pemantauan berkelanjutan.

3. Tetapkan tanggung jawab untuk penilaian diri kepada individu yang tepat untuk memastikan objektivitas dan kompetensi

4. Menyediakan tinjauan independen untuk memastikan objektivitas penilaian diri dan memungkinkan berbagi praktik pengendalian internal yang baik dari perusahaan lain.

5. Bandingkan hasil penilaian mandiri dengan standar industri dan praktik yang baik

6. Meringkas dan melaporkan hasil penilaian diri dan benchmarking untuk tindakan perbaikan.

7. Tetapkan pendekatan yang disepakati dan konsisten untuk melakukan penilaian diri kontrol dan koordinasi dengan auditor internal dan eksternal

MEA02.04 Identify and report control deficiencies

Mengidentifikasi kekurangan pengendalian dan menganalisis dan mengidentifikasi akar penyebab yang mendasarinya. Tingkatkan kekurangan kontrol dan laporkan kepada pemangku kepentingan.

Inputs :

• APO11.05 : Root causes of quality delivery failures

• APO12.06 : Risk-related root causes

• DSS06.01 : Root cause analyses and recommendations & Results of processing effectiveness reviews

• DSS06.04 : Evidence of error correction and remediation

Outputs :

• Control deficiencies : All APO & All BAI & All DSS & All MEA

• Remedial actions : All APO & All BAI & All DSS & All MEA

Activities :

1. Mengidentifikasi, melaporkan dan mencatat pengecualian kontrol, dan menetapkan tanggung jawab untuk menyelesaikannya dan melaporkan statusnya

2. Pertimbangkan risiko perusahaan terkait untuk menetapkan ambang batas untuk eskalasi pengecualian dan kerusakan kontrol.

3. Komunikasikan prosedur untuk eskalasi pengecualian kontrol, analisis akar masalah, dan pelaporan kepada pemilik proses dan pemangku kepentingan TI.

4. Putuskan pengecualian kontrol mana yang harus dikomunikasikan kepada individu yang bertanggung jawab atas fungsi tersebut dan pengecualian mana yang harus ditingkatkan. Beri tahu pemilik proses dan pemangku kepentingan yang terpengaruh.

5. Tindak lanjuti semua pengecualian untuk memastikan bahwa tindakan yang disepakati telah ditangani

6. Mengidentifikasi, memulai, melacak, dan menerapkan tindakan perbaikan yang timbul dari penilaian dan pelaporan pengendalian.

MEA02.05 Ensure that assurance providers are independent and qualified.

Memastikan bahwa entitas yang melakukan assurance independen dari fungsi, kelompok, atau organisasi dalam ruang lingkupnya. Entitas yang melakukan assurance harus menunjukkan sikap dan penampilan yang sesuai, kompetensi dalam keterampilan dan pengetahuan yang diperlukan untuk melakukan assurance, dan kepatuhan terhadap kode etik dan standar profesional.

Outputs :

• Results of assurance provider evaluations : Internal

Activities :

• Menetapkan kepatuhan terhadap kode etik dan standar yang berlaku (misalnya, Kode Etik Profesional ISACA) dan standar jaminan (khusus industri dan geografi), misalnya Audit TI dan Standar Jaminan ISACA dan Dewan Standar Audit dan Jaminan Internasional (IAASB's ) Kerangka Kerja Internasional untuk Keterlibatan Penjaminan (IAASB Assurance Framework).

• Menetapkan independensi penyedia jaminan

• Menetapkan kompetensi dan kualifikasi penyedia assurance

MEA02.06 Plan assurance initiatives.

Merencanakan inisiatif jaminan berdasarkan tujuan perusahaan dan prioritas strategis, risiko bawaan, kendala sumber daya, dan pengetahuan yang cukup tentang perusahaan.

Inputs :

• BAI01.05 : Programme audit plans

• DSS01.02 : Independent assurance plans

Outputs :

• High-level assessments : Internal

• Assurance plans : EDM01.03 & All APO & All BAI & All DSS & All MEA

• Assessment criteria : Internal

Activities :

1. Tentukan pengguna yang dituju dari keluaran inisiatif jaminan dan objek tinjauan

2. Lakukan penilaian risiko tingkat tinggi dan/atau penilaian kemampuan proses untuk mendiagnosis risiko dan mengidentifikasi proses TI yang penting.

3. Memilih, menyesuaikan, dan mencapai kesepakatan tentang tujuan pengendalian untuk proses kritis yang akan menjadi dasar penilaian pengendalian.

MEA02.07 Scope assurance initiatives.

Tetapkan dan setujui dengan manajemen tentang ruang lingkup inisiatif assurance, berdasarkan tujuan assurance

Inputs :

• APO11.05 : Root causes of quality delivery failures

• APO12.06 : Risk-related root causes

• DSS06.01 : Root cause analyses and recommendations

• MEA03.04 : Reports of non-compliance issues and root causes

Outputs :

• Assurance review scope : Internal

• Engagement plan : Internal

• Assurance review practices : Internal

Activities :

• Tentukan ruang lingkup aktual dengan mengidentifikasi tujuan perusahaan dan TI untuk lingkungan yang ditinjau, rangkaian proses dan sumber daya TI, dan semua entitas yang dapat diaudit yang relevan di dalam perusahaan dan di luar perusahaan (misalnya, penyedia layanan), jika berlaku.

• Tentukan rencana keterlibatan dan persyaratan sumber daya.

• Tetapkan praktik untuk mengumpulkan dan mengevaluasi informasi dari proses yang sedang ditinjau untuk mengidentifikasi kontrol yang akan divalidasi, dan temuan saat ini (kepastian positif dan kekurangan apa pun) untuk evaluasi risiko.

• Tetapkan praktik untuk memvalidasi desain dan hasil pengendalian dan tentukan apakah tingkat efektivitas mendukung risiko yang dapat diterima (diperlukan oleh penilaian risiko organisasi atau proses).

• Jika efektivitas pengendalian tidak dapat diterima, tentukan praktik untuk mengidentifikasi risiko residual (dalam persiapan untuk pelaporan)

MEA02.08 Execute assurance initiatives

Jalankan inisiatif jaminan yang direncanakan. Laporkan temuan yang teridentifikasi. Memberikan pendapat jaminan positif, jika sesuai, dan rekomendasi untuk perbaikan yang berkaitan dengan kinerja operasional yang teridentifikasi, kepatuhan eksternal dan risiko residual sistem pengendalian internal.

Inputs :

• APO11.05 : Root causes of quality delivery failures

• APO12.04 : Risk analysis and risk profile reports for stakeholders

• APO12.06 : Risk-related root causes

• DSS05.02 : Results of penetration tests

• DSS06.01 : Root cause analyses and recommendations

• MEA03.03 : Identified compliance gaps

Ouputs :

• Refined scope : All APO & All BAI & All DSS & All MEA

• Assurance review results : EDM05.01 & EDM05.03 & All APO & All BAI & All DSS & All MEA

• Assurance review report : EDM05.03 & All APO & All BAI & All DSS & All MEA

Activities :

1. Perbaiki pemahaman tentang subjek jaminan TI.

2. Perbaiki cakupan tujuan pengendalian utama untuk subjek jaminan TI.

3. Uji efektivitas desain pengendalian tujuan pengendalian utama.

4. Sebagai alternatif/tambahan menguji hasil dari tujuan pengendalian utama

5. Dokumentasikan dampak kelemahan pengendalian

6. Berkomunikasi dengan manajemen selama pelaksanaan inisiatif sehingga ada pemahaman yang jelas tentang pekerjaan yang dilakukan dan kesepakatan dan penerimaan temuan dan rekomendasi awal

7. Mengawasi kegiatan jaminan dan memastikan pekerjaan yang dilakukan selesai, memenuhi tujuan dan kualitas yang dapat diterima.

8. Memberikan laporan kepada manajemen (sesuai dengan kerangka acuan, ruang lingkup, dan standar pelaporan yang disepakati) yang mendukung hasil inisiatif dan memungkinkan fokus yang jelas pada isu-isu utama dan tindakan penting.

MEA03 - Monitor, evaluate and assess compliance with external requirements

Evaluasi bahwa proses TI dan proses bisnis yang didukung TI sesuai dengan undang-undang, regulasi, dan persyaratan kontrak. Dapatkan jaminan bahwa persyaratan telah diidentifikasi dan dipatuhi, dan integrasikan kepatuhan TI dengan kepatuhan perusahaan secara keseluruhan.

Pastikan bahwa perusahaan mematuhi semua persyaratan eksternal yang berlaku.

IT-related goal

Related metrics

Kepatuhan dan dukungan TI untuk kepatuhan bisnis dengan hukum dan peraturan eksternal

• Biaya ketidakpatuhan TI, termasuk penyelesaian dan denda, dan dampak hilangnya reputasi

• Jumlah masalah ketidakpatuhan terkait TI yang dilaporkan ke dewan atau menyebabkan komentar publik atau rasa malu

• Jumlah masalah ketidakpatuhan yang berkaitan dengan perjanjian kontrak dengan penyedia layanan TI

• Cakupan penilaian kepatuhan

Risiko bisnis terkait TI yang dikelola

• Persentase proses bisnis penting, layanan TI, dan program bisnis yang mendukung TI yang dicakup oleh penilaian risiko

• Jumlah insiden signifikan terkait TI yang tidak diidentifikasi dalam penilaian risiko

• Persentase penilaian risiko perusahaan termasuk risiko terkait TI

• Frekuensi pengkinian profil risiko

Process goal

Semua persyaratan kepatuhan eksternal diidentifikasi.

• Jeda waktu rata-rata antara identifikasi masalah kepatuhan eksternal dan resolusi

• Frekuensi tinjauan kepatuhan

Persyaratan kepatuhan eksternal ditangani secara memadai

• Jumlah masalah ketidakpatuhan kritis yang diidentifikasi per tahun

• Persentase pemilik proses yang menandatangani, mengonfirmasi kepatuhan

MEA03.01 Identify external compliance requirements.

Secara terus-menerus, identifikasi dan pantau perubahan dalam undang-undang, peraturan, dan persyaratan eksternal lokal dan internasional lainnya yang harus dipatuhi dari perspektif TI.

Input:

• Diluar COBIT: Persyaratan kepatuhan hukum dan peraturan

Output:

• Internal: Daftar persyaratan kepatuhan, log tindakan kepatuhan yang diperlukan

Aktivitas:

1. Tetapkan tanggung jawab untuk mengidentifikasi dan memantau setiap perubahan hukum, peraturan, dan persyaratan kontrak eksternal lainnya yang relevan dengan penggunaan sumber daya TI dan pemrosesan informasi dalam bisnis dan operasi TI perusahaan.

2. Identifikasi dan nilai semua persyaratan kepatuhan potensial dan dampaknya terhadap aktivitas TI di berbagai bidang seperti aliran data, privasi, kontrol internal, pelaporan keuangan, peraturan khusus industri, kekayaan intelektual, kesehatan dan keselamatan.

3. Nilai dampak persyaratan hukum dan peraturan terkait TI pada kontrak pihak ketiga yang terkait dengan operasi TI, penyedia layanan, dan mitra dagang bisnis.

4. Dapatkan penasihat independen, jika perlu, tentang perubahan hukum, peraturan, dan standar yang berlaku.

5. Pertahankan log terbaru dari semua persyaratan hukum, peraturan, dan kontrak yang relevan, dampaknya, dan tindakan yang diperlukan.

6. Pertahankan daftar keseluruhan persyaratan kepatuhan eksternal yang harmonis dan terintegrasi untuk perusahaan.

MEA03.02 Optimise response to external requirements

Tinjau dan sesuaikan kebijakan, prinsip, standar, prosedur dan metodologi untuk memastikan bahwa persyaratan hukum, peraturan dan kontrak ditangani dan dikomunikasikan. Pertimbangkan standar industri, kode praktik yang baik, dan panduan praktik yang baik untuk adopsi dan adaptasi.

Output:

• APO01.07, APO01.08: Kebijakan, prinsip, prosedur, dan standar yang diperbarui

• EDM01.01, All APO, All BAI, All DSS, All MEA: Komunikasi tentang persyaratan kepatuhan yang diubah

Aktivitas:

1. Secara teratur tinjau dan sesuaikan kebijakan, prinsip, standar, prosedur, dan metodologi untuk efektivitasnya dalam memastikan kepatuhan yang diperlukan dan menangani risiko perusahaan dengan menggunakan pakar internal dan eksternal, sebagaimana diperlukan.

2. Komunikasikan persyaratan baru dan yang diubah kepada semua personel yang relevan.

MEA03.03 Confirm external compliance

Konfirmasi kepatuhan kebijakan, prinsip, standar, prosedur dan metodologi dengan persyaratan hukum, peraturan dan kontrak.

Input:

• BAI05.06: Hasil audit kepatuhan

• BAI09.05: Hasil audit lisensi terpasang

• BAI10.05: Penyimpangan lisensi

• DSS01.04: Laporan polis asuransi

Output:

• MEA02.08: Kesenjangan kepatuhan yang teridentifikasi

• EDM01.03: Konfirmasi kepatuhan

Aktivitas:

1. Secara teratur evaluasi kebijakan, standar, prosedur, dan metodologi organisasi di semua fungsi perusahaan untuk memastikan kepatuhan terhadap persyaratan hukum dan peraturan yang relevan terkait dengan pemrosesan informasi.

2. Atasi kesenjangan kepatuhan dalam kebijakan, standar dan prosedur secara tepat waktu.

3. Secara berkala evaluasi proses dan aktivitas bisnis dan TI untuk memastikan kepatuhan terhadap persyaratan hukum, peraturan, dan kontrak yang berlaku.

4. Tinjau secara teratur untuk pola berulang kegagalan kepatuhan. Jika perlu, perbaiki kebijakan, standar, prosedur, metodologi, dan proses serta aktivitas terkait.

MEA03.04 Obtain assurance of external compliance

Dapatkan dan laporkan jaminan kepatuhan dan kepatuhan terhadap kebijakan, prinsip, standar, prosedur, dan metodologi. Konfirmasikan bahwa tindakan korektif untuk mengatasi kesenjangan kepatuhan ditutup tepat waktu.

Input:

• EDM05.02: Aturan untuk memvalidasi dan menyetujui laporan wajib

• EDM05.03: Penilaian efektivitas pelaporan

Output:

• EDM01.03: Laporan jaminan kepatuhan

• EDM01.03, MEA02.07: Laporan masalah ketidakpatuhan dan akar penyebabnya

Aktivitas:

1. Dapatkan konfirmasi reguler tentang kepatuhan terhadap kebijakan internal dari pemilik bisnis dan proses TI serta kepala unit.

2. Lakukan tinjauan internal dan eksternal secara teratur (dan, jika perlu, independen) untuk menilai tingkat kepatuhan.

3. Jika diperlukan, dapatkan pernyataan dari penyedia layanan TI pihak ketiga tentang tingkat kepatuhan mereka terhadap hukum dan peraturan yang berlaku.

4. Jika diperlukan, dapatkan pernyataan dari mitra bisnis tentang tingkat kepatuhan mereka terhadap undang-undang dan peraturan yang berlaku terkait dengan transaksi elektronik antar perusahaan.

5. Pantau dan laporkan masalah ketidakpatuhan dan, jika perlu, selidiki akar masalahnya.

6. Integrasikan pelaporan tentang persyaratan hukum, peraturan, dan kontrak di tingkat perusahaan, yang melibatkan semua unit bisnis.

A

a