Control Objective for Information
& Related Technology (COBIT) adalah sekumpulan dokumentasi best practice
untuk IT Governance yang dapat membantu auditor, pengguna (user), dan
manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan
masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI
dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis.
Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis,
memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI
digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai
paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan
secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di
hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat
mengelola para profesional tersebut.
Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri atas beberapa
arahan/pedoman, yakni:
- Control Objectives
Terdiri atas 4 tujuan pengendalian
tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain,
yaitu : Planning & Organization , Acquisition &
Implementation , Delivery & Support , dan Monitoring &
Evaluation.
- Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan
pengendalian yang bersifat rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management assurance dan/atau
saran perbaikan.
- Management Guidelines
Berisi arahan, baik secara umum
maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat
menjawab pertanyaan-pertanyaan berikut :
v Sejauh mana TI harus
bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan
manfaat yang dihasilkannya.
v Apa saja indikator untuk
suatu kinerja yang bagus.
v Apa saja faktor atau kondisi
yang harus diciptakan agar dapat mencapai sukses ( critical success factors ).
v Apa saja risiko-risiko yang
timbul, apabila kita tidak mencapai sasaran yang ditentukan.
v Bagaimana dengan perusahaan
lainnya, apa yang mereka lakukan.
v Bagaimana mengukur
keberhasilan dan bagaimana pula membandingkannya.
Manfaat dan Pengguna COBIT
Secara manajerial target pengguna
COBIT dan manfaatnya adalah :
- Direktur dan Eksekutif
Untuk memastikan manajemen mengikuti
dan mengimplementasikan strategi searah dan sejalan dengan TI.
- Manajemen
v Untuk mengambil keputusan
investasi TI.
v Untuk keseimbangan resiko
dan kontrol investasi.
v Untuk benchmark lingkungan
TI sekarang dan masa depan.
- Pengguna
Untuk memperoleh jaminan keamanan
dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal.
- Auditors
v Untuk memperkuat opini untuk
manajemen dalam control internal.
v Untuk memberikan saran pada
control minimum yang diperlukan.
Frame Work COBIT
COBIT dikeluarkan oleh IT Governance
Institute (ITGI). COBIT digunakan untuk menjalankan penentuan atas IT dan
meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk
audit, kinerja dan hasil metrik, faktor kesuksesan dan maturity model.
Lingkup kriteria informasi yang
sering menjadi perhatian dalam COBIT adalah:
- Effectiveness
Menitikberatkan pada sejauh mana
efektifitas informasi dikelola dari data-data yang diproses oleh sistem
informasi yang dibangun.
- Efficiency
Menitikberatkan pada sejauh mana
efisiensi investasi terhadap informasi yang diproses oleh sistem.
- Confidentiality
Menitikberatkan pada pengelolaan
kerahasiaan informasi secara hierarkis.
- Integrity
Menitikberatkan pada integritas
data/informasi dalam sistem.
- Availability
Menitikberatkan pada ketersediaan
data/informasi dalam sistem informasi.
- Compliance
Menitikberatkan pada kesesuaian
data/informasi dalam sistem informasi.
- Reliability
Menitikberatkan pada
kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Sedangkan fokus terhadap pengelolaan
sumber daya teknologi informasi dalam COBIT adalah pada :
- Applications
- Information
- Infrastructure
- People
Dalam menyediakan informasi yang
dibutuhkan perusahaan untuk mencapai tujuan organisasi, COBIT memiliki
karakteristik :
- Business-focused
- Process-oriented
- Controls-based
- Measurement-driven
COBIT mengelompokkan semua aktivitas
bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam 4
buah domain proses, meliputi :
- Planning & Organization.
Domain ini menitikberatkan pada
proses perencanaan dan penyelarasan strategi TI dengan strategi
perusahaan, mencakup masalah strategi, taktik dan identifikasi tentang
bagaimana TI dapat memberikan kontribusi maksimal terhadap pencapaian tujuan
bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan
infrastruktur teknologi yang baik pula.
Domain ini mencakup :
v PO1 – Menentukan rencana
strategis
v PO2 – Menentukan arsitektur
informasi
v PO3 – Menentukan arah
teknologi
v PO4 – Menentukan proses TI,
organisasi dan hubungannya
v PO5 – Mengelola investasi TI
v PO6 – Mengkomunikasikan
tujuan dan arahan manajemen
v PO7 – Mengelola sumber daya
manusia
v PO8 – Mengelola kualitas
v PO9 – Menilai dan mengelola
resiko TI
v PO10 – Mengelola proyek
- Acquisition & Implementation.
Domain ini berkaitan dengan
implementasi solusi IT dan integrasinya dalam proses bisnis organisasi untuk
mewujudkan strategi TI, juga meliputi perubahan dan maintenance yang
dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem
tersebut tetap terjaga.
Domain ini meliputi:
v AI1 – Mengidentifikasi
solusi yang dapat diotomatisasi.
v AI2 – Mendapatkan dan maintenance
software aplikasi.
v AI3 – Mendapatkan dan maintenance
infrastuktur teknologi
v AI4 – Mengaktifkan operasi
dan penggunaan
v AI5 – Pengadaan sumber daya
IT.
v AI6 – Mengelola perubahan
v AI7 – Instalasi dan
akreditasi solusi dan perubahan.
- Delivery & Support.
Domain ini mencakup proses pemenuhan
layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan
untuk pengguna, dan pemenuhan proses data yang sedang berjalan.
Domain ini meliputi :
v DS1 – Menentukan dan
mengelola tingkat layanan.
v DS2 – Mengelola layanan dari
pihak ketiga
v DS3 – Mengelola performa dan
kapasitas.
v DS4 – Menjamin layanan yang
berkelanjutan
v DS5 – Menjamin keamanan
sistem.
v DS6 – Mengidentifikasi dan
mengalokasikan dana.
v DS7 – Mendidik dan melatih
pengguna
v DS8 – Mengelola service desk
dan insiden.
v DS9 – Mengelola konfigurasi.
v DS10 – Mengelola
permasalahan.
v DS11 – Mengelola data
v DS12 – Mengelola lingkungan
fisik
v DS13 – Mengelola operasi.
- Monitoring and Evaluation.
Domain ini berfokus pada masalah
kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan
ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan.
Domain ini meliputi:
v ME1 – Mengawasi dan
mengevaluasi performansi TI.
v ME2 – Mengevaluasi dan
mengawasi kontrol internal
v ME3 – Menjamin kesesuaian
dengan kebutuhan eksternal.
v ME4 – Menyediakan IT
Governance.
COBIT Maturity Model
COBIT menyediakan parameter untuk
penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan
menggunakan maturity models yang bisa digunakan untuk penilaian kesadaran
pengelolaan (management awareness) dan tingkat kematangan (maturity level).
COBIT mempunyai model kematangan (maturity models) untuk mengontrol
proses-proses IT dengan menggunakan metode penilaian (scoring) sehingga suatu
organisasi dapat menilai proses-proses IT yang dimilikinya dari skala
nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen,
1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized
0 comments: