Apa Itu MEA Dalam COBIT 5?
Domain MEA (Monitor, Evaluate and Assess) berhubungan dengan strategi perusahaan dalam menilai kebutuhan perusahaan dan menilai apakah sistem TI saat ini masih memenuhi tujuan yang sudah dirancang dan pengendalian yang diperlukan untuk memenuhi regulasi persyaratan. Proses yang berjalan disini mencakup pemantauan dan penilaian untuk memastikan bahwa arah yang ditetapkan sudah sesuai dan dilakukan pengendalian proses oleh lembaga pengawasan independen atau lembaga alternatif lain di dalam dan luar organisasi. Pengawasan terhadap semua proses menjamin bahwa arahan atau panduan benar-benar dijalankan. Semua proses TI harus sering diukur untuk kualitas serta pemenuhannya dengan sebuah kebutuhan pengendalian. Domain ini meliputi manajemen performa, pengawasan terhadap pengendalian internal, kepatuhan terhadap peraturan dan tata kelola .
Pada domain ini terdapat tiga proses yang dapat dipraktikkan oleh sebuah organisasi dalam melakukan pengawasan, pengendalian, dan penilaian terhadap proses bisnisnya. Ketiga proses tersebut mencakup:
MEA01 Monitor, Evaluasi dan Menilai Kinerja dan Kesesuaian
MEA02 Monitor, Evaluasi dan Menilai Sistem Pengendalian Internal
MEA03 Mengevaluasi dan Menilai Kepatuhan dengan Persyaratan
Dari ketiga proses tersebut, pada artikel ini akan dibahas mengenai salah satu proses MEA yang ada pada COBIT 5 yakni pada practice ke-3 mengenai mengevaluasi dan menilai kepatuhan dengan persyaratan eksternal.
Deskripsi dan Tujuan Proses
Deskripsi: Mengevaluasi bahwa proses TI dan proses bisnis yang didukung TI sesuai dengan undang-undang, peraturan, dan persyaratan kontrak. Mendapatkan jaminan bahwa persyaratan telah diidentifikasi dan dipatuhi, dan integrasikan kepatuhan TI dengan kepatuhan perusahaan secara keseluruhan.
Tujuan: Memastikan bahwa perusahaan mematuhi semua persyaratan eksternal yang berlaku.
Monitor, Evaluate and Assess adalah memastikan bahawa kegiatan dan sistem TI yang berjalan di organisasinya tidak bertentangan dengan regulasi peraturan dan kepentingan eskternal lain yang ada.
IT Related Goals
Kepatuhan TI dan dukungan untuk kepatuhan bisnis dengan hukum dan peraturan eksternal
Metrics: Biaya ketidakpatuhan TI, jumlah masalah ketidakpatuhan terkait TI yang dilaporkan ke dewan atau menyebabkan komentar publik atau mempermalukan, jumlah masalah ketidakpatuhan yang berkaitan dengan perjanjian kontraktual dengan penyedia layanan TI, cakupan penilaian kepatuhan.
Mengelola risiko bisnis terkait TI
Metrics: Persentase proses bisnis kritis, layanan TI, dan program bisnis yang mendukung TI yang tercakup dalam penilaian risiko, jumlah insiden signifikan terkait TI yang tidak teridentifikasi dalam penilaian risiko, persentase penilaian risiko perusahaan termasuk risiko terkait TI, frekuensi pengkinian profil risiko.
Process Goals
Semua persyaratan kepatuhan eksternal diidentifikasi.
Metrics: Rata-rata jeda waktu antara identifikasi masalah kepatuhan eksternal dan penyelesaiannya, frekuensi tinjauan kepatuhan.
Persyaratan kepatuhan eksternal ditangani secara memadai
Metrics: Jumlah masalah ketidakpatuhan kritis yang teridentifikasi per tahun, persentase pemilik proses yang menandatangani, mengonfirmasi kepatuhan.
RACI Chart
RACI merupakan singkatan dari responsible, accountable, consulted dan informed. Dalam praktiknya, RACI chart merupakan spreadsheet atau tabel sederhana yang mencantumkan semua stakeholders dalam suatu proyek dan level keterlibatan mereka dalam setiap tugas yang dilambangkan dengan huruf R, A, C atau I. RACI Chart dapat digunakan untuk membantu dalam pengambilan keputusan dan membantu pihak manajemen dalam mengidentifikasikan peran dan tanggung jawab setiap stakeholders. Pembagian tugas yang jelas beserta peran dan tanggung jawabnya merupakan hal yang penting dalam suatu organisasi.
Empat parameter dalam RACI chart:
Responsible, yaitu pihak yang melakukan tugas atau pekerjaan.
Accountable, yaitu pihak penanggung jawab dan berwenang untuk memutuskan suatu permasalahan atau perkara.
Consulted, yaitu pihak yang memberikan masukan atau pendapat ketika diperlukan pada suatu tugas.
Informed, yaitu pihak yang perlu mengetahui tindakan dan hasil ataupun keputusan yang telah diambil.
Contohnya pada RACI chart MEA03.01 – Identify exteral compliance requirements. Terdapat Business Executive yang berperan sebagai pihak penanggungjawab (A). Sedangkan Business Process Owners, Compliance, Audit, Chief Information Officer, dan Pivacy Officer berperan sebagai pelaksana tugas (R). Selanjutnya tidak ada pihak yang berperan sebagai consulted dan informed.
Management Practices
MEA03.01 – Mengidentifikasi persyaratan kepatuhan eksternal.
Secara terus menerus, mengidentifikasi dan memantau perubahan hukum lokal dan internasional, peraturan dan persyaratan eksternal lainnya yang harus dipatuhi dari perspektif TI
Aktivitas yang dilakukan pada practice ini adalah:
Menugaskan tanggung jawab untuk mengidentifikasi dan memantau setiap perubahan hukum, peraturan, dan persyaratan kontrak eksternal lainnya yang relevan dengan penggunaan sumber daya TI dan pemrosesan informasi dalam bisnis dan operasi TI perusahaan.
Mengidentifikasi dan menilai semua persyaratan kepatuhan potensial dan dampaknya terhadap aktivitas TI di berbagai bidang seperti aliran data, privasi, kontrol internal, pelaporan keuangan, peraturan khusus industri, kekayaan intelektual, kesehatan dan keselamatan.
Menilai dampak persyaratan hukum dan peraturan terkait TI pada kontrak pihak ketiga yang terkait dengan operasi TI, penyedia layanan, dan mitra dagang bisnis.
Dapatkan penasihat independen, jika perlu, tentang perubahan undang-undang, peraturan, dan standar yang berlaku.
Menyimpan log terbaru dari semua persyaratan hukum, peraturan, dan kontrak yang relevan, dampaknya, dan tindakan yang diperlukan.
Menjaga daftar keseluruhan persyaratan kepatuhan eksternal yang harmonis dan terintegrasi untuk perusahaan
MEA03.02 – Mengoptimalkan respons terhadap persyaratan eksternal.
Meninjau dan menyesuaikan kebijakan, prinsip, standar, prosedur, dan metodologi untuk memastikan bahwa persyaratan hukum, peraturan, dan kontrak ditangani dan dikomunikasikan. Mempertimbangkan standar industri, kode praktik yang baik, dan panduan praktik terbaik untuk adopsi dan adaptasi.
Secara teratur meninjau dan menyesuaikan kebijakan, prinsip, standar, prosedur, dan metodologi untuk efektivitasnya dalam memastikan kepatuhan yang diperlukan dan menangani risiko perusahaan dengan menggunakan pakar internal dan eksternal, sesuai kebutuhan.
Mengkomunikasikan persyaratan baru dan yang diubah kepada semua personel yang relevan.
MEA03.03 – Mengkonfirmasi kepatuhan eksternal
Mengkonfirmasikan kepatuhan kebijakan, prinsip, standar, prosedur, dan metodologi dengan persyaratan hukum, peraturan, dan kontrak.
Aktivitas yang dilakukan pada practice ini adalah:
Secara teratur mengevaluasi kebijakan, standar, prosedur dan metodologi organisasi di semua fungsi perusahaan untuk memastikan kepatuhan terhadap persyaratan hukum dan peraturan yang relevan sehubungan dengan pemrosesan informasi.
Mengatasi kesenjangan kepatuhan dalam kebijakan, standar, dan prosedur secara tepat waktu.
Mengevaluasi proses dan aktivitas bisnis dan TI secara berkala untuk memastikan kepatuhan terhadap persyaratan hukum, peraturan, dan kontrak yang berlaku.
Meninjau secara teratur pola kegagalan kepatuhan yang berulang. Jika perlu, tingkatkan kebijakan, standar, prosedur, metodologi, serta proses dan aktivitas terkait
MEA04.04 – Mendapatkan jaminan kepatuhan eksternal
Mendapatkan dan melaporkan jaminan kepatuhan dan kepatuhan terhadap kebijakan, prinsip, standar, prosedur, dan metodologi. Konfirmasikan bahwa tindakan korektif untuk mengatasi kesenjangan kepatuhan ditutup tepat waktu.
Aktivitas yang dilakukan pada practice ini adalah:
Mendapatkan konfirmasi kepatuhan secara berkala terhadap kebijakan internal dari pemilik proses bisnis dan TI serta kepala unit.
Melakukan tinjauan internal dan eksternal secara teratur (dan, jika sesuai, independen) untuk menilai tingkat kepatuhan.
Jika diperlukan, dapatkan pernyataan dari penyedia layanan TI pihak ketiga tentang tingkat kepatuhan mereka terhadap hukum dan peraturan yang berlaku.
Jika diperlukan, dapatkan pernyataan dari mitra bisnis tentang tingkat kepatuhan mereka terhadap hukum dan peraturan yang berlaku terkait dengan transaksi elektronik antar perusahaan.
Memantau dan melaporkan masalah ketidakpatuhan dan, bila perlu, menyelidiki akar masalahnya.
Mengintegrasikan pelaporan tentang persyaratan hukum, peraturan, dan kontrak di tingkat perusahaan, yang melibatkan semua unit bisnis
Related Guidance
Sumber eksternal pada MEA03 ini tidak ada.
Referensi
ISACA. COBIT 5: Enabling Processes. 2012. www.isaca.org
Wiki.process-symphony.com. 2 Juni 2019. Portfolio Management – APO05 (COBIT 2019). Diakses pada 18 Oktober 2022, dari https://wiki.process-symphony.com.au/framework/lifecycle/process/requirements-definition-management-bai02-cobit2019/
Glints.com. 25 Januari 2021. RACI Matrix, Cara Pembagian Tugas Efektif untuk Tim yang Lebih Produktif. Diakses pada 18 Oktober 2022, dari https://glints.com/id/lowongan/raci-adalah/
Fithrotuz Zuhroh - 5026211045