VAL IT

Salah satu area utama dalam tata kelola TI ini adalah bagaimana organisasi dapat memperoleh nilai/manfaat yang optimal dari investasi TI. Jelas bahwa nilai/manfaat bisnis dari investasi TI tidak akan dapat terrealisasikan oleh orang-orang atau departemen TI, tapi selalunya akan diciptakan oleh bisnis melalui penggunaan IT. Oleh karena itu, maka investasi-investasi TI seharusnya mesti dipandang sebagai program bisnis, yaitu untuk membantu memberikan kemampuan yang dibutuhkan oleh organisasi untuk sukses dalam bisnisnya.

Diskusi-diskusi seputar IT Governance memperjelas kebutuhan bahwa bisnis perlu mengambil alih kepemilikan dan tanggung-jawab tata kelola TI untuk menciptakan nilai dari investasi-investasi IT. Menyadari akan pentingnya pergeseran cara pandang ini kemudian memicu pergeseran definisi dari IT Governance yang berfokus pada keterlibatan bisnis, sehingga terminologinya pun diubah dari semula IT Governance menjadi Governance of Enterprise IT (GEIT).

GEIT merupakan bagian integral dari corporate governance. GEIT mengatur sedemikian rupa sehingga baik personil bisnis maupun TI dapat menjalankan tanggung-jawabnya dalam mendukung keselarasan bisnis dengan IT serta menciptakan nilai bisnis dari investasi-investasi IT. GEIT tidak hanya mengatur tanggung-jawab IT saja tapi juga diperluas menjadi proses-proses bisnis (yang terkait IT) yang dibutuhkan dalam rangka penciptaan nilai bisnis.

Topik business value creation ini banyak menjadi agenda pembahasan di berbagai organisasi. Tak kurang juga literatur akademik dan profesional dibuat terkait bagaimana menciptakan dan menjaga agar value yang diterima bisnis dari investasi TI dapat optimal. Sebagai respon terhadap kebutuhan mengenai hal inilah kemudian ISACA meluncurkan sebuah framework yang memberi arahan bagaimana manajemen nilai ini diterapkan. Dan framewokr tersebut diberi nama Val IT

Framework Val IT yang membahas GEIT ini memiliki fokus utama pada manajemen dan penciptaan value dari IT. Framework ini dimulai dari premis bahwa penciptaan nilai dari investasi IT merupakan tanggung-jawab dari manajemen bisnis. Nah, untuk membantu manajemen bisnis dalam mengorganisasikan dan menjalankan tanggung-jawabnya tersebut, Val IT mendefinisikan 22 proses bisnis terkait IT, praktik-praktik manajemen utama yang berkaitan, panduan manajemen berikut model kematangannya

Val IT bersifat komplementer terhadap COBIT dan bahkan mengikuti struktur dan template yang sama. Val IT memiliki 22 proses yang dikelompokkan ke dalam tiga domain, yaitu:

1. Value Governance (VG) 
2. Portofolio Management (PM) 
3. Investment Management (IM) 

Domain VG membahas mengenai struktur dan proses-proses yang dibutuhkan untuk memastikan praktik-praktik manajemen nilai telah berjalan di organisasi. Domain ini mencakup keterlibatan kepemimpinan (VG1), definisi dan implementasi praktik-praktik manajemen nilai (VG2), dan integrasi manajemen nilai dengan proses-proses manajemen finansial organisasi (VG4). Domain ini juga membahas mengenai tipe-tipe portofolio dan kriteria yang perlu ditentukan oleh bisnis (VG3), bahwa monitoring tata kelola yang efektif mesti diterapkan di atas praktik-praktik manajemen nilai (VG5), dan harus ada siklus perbaikan yang berkesinambungan berdasarkan lesson learned sebelumnya (VG6). Proses-proses pada domain ini berlaku sebagai payung yang menaungi proses-proses pada domain Val IT lannya.

Domain PM membahas mengenai proses-proses yang dibutuhkan untuk mengelola seluruh portofolio investasi-investasi TI. Domain ini mengatur bahwa arahan strategis dari organisasi mesti diklarifikasi dan bahwa target portofolio mesti ditetapkan (PM1). Juga, sumber daya yang tersedia terkait dengan pendanaan (PM2) dan SDM (PM3) perlu diinventarisasi. Berdasarkan justifikasi bisnis yang detail hasil proses pada domain IM (IM1-1M5), maka kemudian program-program investasi tersebut dipilih dan dipindahkan ke portofolio aktif (PM4). Kinerja dari portofolio aktif ini perlu dimonitor secara kontinu dan dilaporkan (PM5) serta terus dioptimalisasi (PM6) berdasarkan laporan-laporan kinerja yang keluar dari proses-proses IM.

Proses-proses pada domain IM ini sudah bekerja pada level individual suatu investasi IT tertentu. Lima proses pertama dalam domain ini fokus pada munculnya peluang-peluang investasi baru di organisasi (IM1) dan pembuatan justifikasi bisnis yang rinci (IM5) untuk peluang-peluang yang sudah disetujui, termasuk analisis terhadap aksi-aksi yang dapat dilakukan (IM2), pendefinisian rencana detail program (IM3) dan analisis cost-benefit secara keseluruhan (IM4). Setelah persetujuan terhadap justifikasi bisnis rinci (PM4), program-program investasi baru diluncurkan (IM6) dan dimonitor (IM8) dan, jika perlu, justifikasi bisnis dapat juga diupdate (IM9). Semua program investasi perlu ada masa akhir berlakunya (IM10), yaitu ketika disepakati bahwa nilai bisnis yang diharapkan dari investasi telah dapat tercapai atau sebaliknya jika jelas-jelas tidak akan dapat tercapai. Selain itu perubahan pada portofolio operasional IT, sebagai hasil dari program investasi, perlu dimasukkan ke dalam portofolio layanan-layanan IT, aset atau sumber dayanya (IM7).

RISK IT

Resiko adalah bagian alami dari cakupan bisnis. Jika dibiarkan , ketidakpastian dapat menyebar dengan cepat. Jika dikelola secara efektif, kerugian dapat dihindari dan manfaat yang diperoleh.

Risk IT adalah suatu framework yang didasarkan pada seperangkat prinsip-prinsip penuntun untuk pengelolaan yang efektif dari risk IT. Framework pelengkap COBIT, suatu framework komprehensif untuk tata kelola dan pengendalian usaha solusi berbasis IT dan layanan.

Sedangkan COBIT menyediakan satu set kontrol untuk mengurangi resiko IT, Risk IT menyediakan suatu framework bagi perusahaan untuk mengidentifikasi, mengatur, dan mengelola resiko IT. Sederhananya, COBIT menyediakan sarana pengelolaan resiko, Risk IT menyediakan resiko akhir. Perusahaan yang telah mengadopsi (atau berencana untuk mengadopsi) COBIT sebagai IT Governance Framework mereka dapat menggunakan Risk IT untuk meningkatkan Manajemen Resiko.

Prinsip Risk IT

Kerangka Risk IT adalah tentang Risk IT - Risk bisnis terkait dengan penggunaan IT. Sambungan ke bisnis didirikan pada prinsip-prinsip yang kerangka dibangun. Berikut adalah prinsip Risk IT, antara lain:

Selalu terhubung ke tujuan bisnis; 

Sejalan manajemen Risk bisnis terkait IT-dengan Risk perusahaan secara keseluruhan manajemen (ERM) - jika berlaku, yaitu, jika ERM diimplementasikan di perusahaan; 

Menyeimbangkan biaya dan manfaat dari Risk IT mengelola; 

Meningkatkan komunikasi yang adil dan terbuka Risk IT; 

Menetapkan nada yang tepat dari atas sementara mendefinisikan dan menegakkan pribadi akuntabilitas untuk beroperasi dalam tingkat toleransi yang dapat diterima dan didefinisikan dengan baik; 

ITAF (Information Technology Assurance Framework)

ITAF adalah sebuah Framework Praktek Profesional Audit / jaminan SI yang bertujuan sebagai sumber daya pendidikan untuk para profesional yang bekerja pada bidang audit/ jaminan SI.
ITAF merupakan model referensi yang komprehensif dan baik penerapannya dikarenakan:

1. Menetapkan standar audit dan jaminan peran dan tanggung jawab profesional SI ; pengetahuan dan keterampilan; dan ketekunan, perilaku. 
2. Mendefinisikan istilah dan konsep spesifik untuk jaminan SI. 
3. Memberikan bimbingan dan alat-alat dan teknik pada perencanaan, desain, pelaksanaan dan pelaporan SI audit dan jaminan tugas 

ITAF difokuskan kepada materi ISACA dan menyediakan satu sumber di mana audit dan jaminan SI profesional dapat mencari bimbingan, penelitian kebijakan dan prosedur, mendapatkan program audit dan jaminan, dan mengembangkan laporan yang efektif.
ITAF 2nd Edition dimasukkan dalam pedoman audit dan jaminan ISACA pada 1 November 2013, sedangkan 3rd Edition sendiri dimasukan pada 1 September 2014 yang akan dipakai sebagai pedoman baru dan akan di index didalam framework.