Untuk mencapai kepatuhan secara menyeluruh (end to end) dalam penerapan / implementasi dokumen tata kelola TI didalam aset-aset / proses TI menjadi hal yang tentu saja diidamkan bagi para pelaku di bidang TI. Harapannya ketika dapat menerapkan secara menyeluruh tentunya dapat berdampak positif terhadap peningkatan proses bisnis serta kinerja layanan TI. Namun tidak dapat dipungkiri bahwa terdapat berbagai kendala yang dihadapi dilapangan ketika implementasi hendak dilakukan. Kendalanya pun beragam, seperti kondisi infrastruktur TI yang saat ini tidak memungkinkan untuk mengikuti standar kepatuhan, proses bisnis, hingga kultur saat ini yang hidup didalam Departemen TI yang menjadi kendala dalam penerapan standar kepatuhan.
Dengan dihadapkan berbagai kendala yang dapat menghambat diterapkannya standar kepatuhan terhadap dokumen tata kelola TI, tentunya dapat diakomodir melalui penerapan pengecualian (exception) ketika menyusun dokumen tata kelola TI. Mengapa diperlukan bagian pengecualian? Agar penerapan standar kepatuhan dapat berjalan berdampingan dengan proses bisnis yang berlaku saat ini. Namun, dengan adanya penerapan pengecualian harus dilakukan secara hati-hati, diketahui, disadari dan disetujui oleh seluruh pihak yang terlibat dalam proses bisnis yang terkait. Mengapa? Agar proses pengecualian ini tidak menjadi shortcut / wayout yang dapat dieksploitasi oleh sebagian pihak dengan alasan keberlangsungan bisnis proses dan kinerja layanan TI.
Dalam penyusunan pengecualian dalam dokumen tata kelola, perlu diterapkan beberapa kontrol yang dapat digunakan untuk mencegah eksploitasi proses pengecualian. Adapun kontrol-kontrol tersebut adalah sebagai berikut:
Risk Register
Dengan memasukkan proses yang mendapatkan pengecualian ke dalam risk register, diharapkan seluruh pihak yang terlibat menyadari adanya risiko yang akan timbul jika proses tersebut diterapkan pengecualian, walaupun tindakan yang akan dilakukan terhadap risiko tersebut adalah menerima (accept). Pemilik risiko diharapkan mengisikan formulir risk acceptance yang menjelaskan perihal risiko yang akan ditimbulkan ketika memberikan pengecualian terhadap proses tersebut yang dilanjutkan dengan dilakukannya proses peninjauan dan persetujuan oleh pihak-pihak yang terlibat. Sehingga jika dikemudian hari risiko tersebut terjadi, maka diharapkan seluruh pihak yang terlibat telah menerima risiko tersebut dan tidak melakukan pointing finger ke salah satu pihak.
Analisa Kontrol Tambahan Lainnya
Lakukan analisa tambahan perihal kontrol-kontrol apa saja yang sudah diterapkan saat ini yang dapat mengurangi besaran dampak yang akan ditimbulkan jika risiko akibat pengecualian ini terjadi dengan mempertimbangkan parameter-parameter tambahan, seperti attack vector yang terkait didalamnya. Selanjutnya, hasil analisa tersebut disampaikan kepada pihak-pihak yang terlibat untuk dilakukan proses peninjauan dan persetujuan.
Timeline Mitigasi
Ada kalanya timeline antara penerapan kepatuhan dengan pengembangan aset-aset TI tidak sesuai yang disebabkan oleh banyak faktor. Untuk menyelaraskan hal tersebut, pemilik risiko dapat menyertakan timeline mitigasi yang hendak dilakukan agar implementasi kepatuhan dapat dilakukan secara menyeluruh. Dengan adanya timeline tersebut, menandakan bahwa pemiliki risiko menyadari adanya risiko dan berkomitmen untuk memitigasi risiko tersebut berdasarkan timeline yang telah dibuat. Selama timeline tersebut belum dipenuhi, maka proses pengecualian dapat diterapkan hingga batas waktu yang ditentukan.
Penerapan pengecualian (exception) tidak dapat dilepaskan dari proses bisnis TI yang disebabkan karena ketidakmampuan proses bisnis TI yang saat ini berjalan untuk menyelaraskan dirinya dengan standar kepatuhan. Namun, seyogyanya penerapan pengecualian (exception) dapat digunakan secara sementara hingga ketidakmampuan tersebut berubah menjadi kemampuan proses bisnis TI untuk berjalan selaras dengan standar kepatuhan.