Pengertian COBIT
COBIT (Control
Objectives for Information and Related Technology) merupakan audit sistem
informasi dan dasar pengendalian yang dibuat oleh Information Systems
Audit and Control Association (ISACA) dan IT Governance
Institute (ITGI) pada tahun 1992.
COBIT Framework adalah
standar kontrol yang umum terhadap teknologi informasi, dengan memberikan
kerangka kerja dan kontrol terhadap teknologi informasi yang dapat diterima dan
diterapkan secara internasional.
COBIT bermanfaat bagi
manajemen untuk membantu menyeimbangkan antara resiko dan investasi
pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
Bagi user, ini menjadi sangat berguna untuk memperoleh keyakinan atas layanan
keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak
ketiga. Sedangkan bagi Auditor untuk mendukung atau memperkuat opini yang
dihasilkan dan memberikan saran kepada manajemen atas pengendalian internal
yang ada.
Sejarah
COBIT
COBIT pertama kali
diterbitkan pada tahun 1996, kemudian edisi kedua dari COBIT diterbitkan pada
tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 dan COBIT 4.0 pada tahun 2005.
Kemudian COBIT 4.1 dirilis pada tahun 2007 dan saat ini COBIT yang terakhir
dirilis adalah COBIT 5.0 yang dirilis pada tahun 2012.
COBIT merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan yang dilengkapi dengan balance scorecard dan dapat digunakan sebagai acuan model (seperti COSO) dan disejajarkan dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.
COBIT merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan yang dilengkapi dengan balance scorecard dan dapat digunakan sebagai acuan model (seperti COSO) dan disejajarkan dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.
Kriteria
Informasi berdasarkan COBIT
Untuk memenuhi tujuan
bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria informasi
yang menjadi perhatian COBIT, yaitu sebagai berikut:
- Effectiveness
(Efektivitas). Informasi yang diperoleh harus
relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan
tepat waktu.
- Effeciency
(Efisiensi). Penyediaan informasi melalui
penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.
- Confidentially
(Kerahasiaan). Berkaitan dengan proteksi pada
informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak
berwenang.
- Intergrity
(Integritas). Berkaitan dengan keakuratan dan
kelengkapan data/informasi dan tingkat validitas yang sesuai dengan
ekspetasi dan nilai bisnis.
- Availability
(Ketersediaan). Fokus terhadap ketersediaan
data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun
dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber
daya yang diperlukan dan terkait.
- Compliance
(Kepatuhan). Pemenuhan data/informasi yang
sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak
untuk proses bisnis.
- Reliability
(Handal). Fokus pada pemberian informasi
yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan
kewajiban mereka untuk membuat laporan keuangan.
Komponen
Control Objective
Berdasarkan IT
Governance Institute (2012), Framework COBIT disusun dengan karakteristik yang
berfokus pada bisnis (bussiness focused). Pada edisi keempatnya ini, COBIT
Framework terdiri dari 34 high level control objectives dan kemudian
mengelompokan proses tersebut menjadi 4 domain, keempat domain tersebut antara
lain: Plannig and Organization, Acquisition and Implementation,
Delivery and Support, dan Monitoring and Evaluation:
- Planing
and Organization (Perencanaan dan Organisasi).
Mencakup strategi, taktik dan identifikasi kontribusi terbaik TI demi
pencapaian tujuan organisasi.
- Acquire
and Implement (Pengadaan dan Implementasi).
Untuk merealisasikan strategi TI, perlu dilakukan pengidentifikasian,
pengembangan dan perolehan solusi TI, sesuai dengan yang akan
diimplementasikan dan diintegrasikan ke dalam proses bisnis.
- Delivery
and Support (Pengiriman Layanan dan Dukungan).
Domain ini fokus terhadap penyampaian jasa yang sesungguhnya diperlukan,
termasuk penyediaan layanan, manajemen keamanan dan kontinuitasnya, jasa
dukungan kepada user dan manajemen data dan fasilitas operasi.
Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri atas beberapa
arahan/pedoman, yakni:
- Control
Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi
(high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning
& Organization , Acquisition & Implementation , Delivery
& Support , dan Monitoring & Evaluation.
- Audit
Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang
bersifat rinci (detailed control objectives) untuk membantu para auditor
dalam memberikan management assurance dan/atau saran
perbaikan.
- Management
Guidelines
Berisi arahan, baik secara umum maupun spesifik,
mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab
pertanyaan-pertanyaan berikut :
-
Sejauh mana TI harus bergerak atau
digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang
dihasilkannya.
-
Apa saja indikator untuk suatu kinerja
yang bagus.
-
Apa saja faktor atau kondisi yang harus
diciptakan agar dapat mencapai sukses ( critical success factors ).
-
Apa saja risiko-risiko yang timbul,
apabila kita tidak mencapai sasaran yang ditentukan.
-
Bagaimana dengan perusahaan lainnya, apa
yang mereka lakukan.
-
Bagaimana mengukur keberhasilan dan
bagaimana pula membandingkannya.
Manfaat dan Pengguna COBIT
Secara manajerial target pengguna COBIT dan
manfaatnya adalah :
- Direktur
dan Eksekutif
Untuk memastikan manajemen mengikuti dan
mengimplementasikan strategi searah dan sejalan dengan TI.
- Manajemen
-
Untuk mengambil keputusan investasi TI.
-
Untuk keseimbangan resiko dan kontrol
investasi.
-
Untuk benchmark lingkungan TI sekarang
dan masa depan.
- Pengguna
Untuk memperoleh jaminan keamanan dan control produk
dan jasa yang dibutuhkan secara internal maupun eksternal.
- Auditors
-
Untuk memperkuat opini untuk manajemen
dalam control internal.
-
Untuk memberikan saran pada control
minimum yang diperlukan.
Frame Work COBIT
COBIT dikeluarkan oleh
IT Governance Institute (ITGI). COBIT digunakan untuk menjalankan penentuan
atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan
pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan
dan maturity model.
Lingkup kriteria informasi yang sering menjadi
perhatian dalam COBIT adalah:
- Effectiveness
Menitikberatkan pada sejauh mana efektifitas
informasi dikelola dari data-data yang diproses oleh sistem informasi yang
dibangun.
- Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi
terhadap informasi yang diproses oleh sistem.
- Confidentiality
Menitikberatkan pada pengelolaan kerahasiaan
informasi secara hierarkis.
- Integrity
Menitikberatkan pada integritas data/informasi dalam
sistem.
- Availability
Menitikberatkan pada ketersediaan data/informasi
dalam sistem informasi.
- Compliance
Menitikberatkan pada kesesuaian data/informasi dalam
sistem informasi.
- Reliability
Menitikberatkan pada kemampuan/ketangguhan sistem
informasi dalam pengelolaan data/informasi.
Sedangkan fokus terhadap pengelolaan sumber daya
teknologi informasi dalam COBIT adalah pada :
- Applications
- Information
- Infrastructure
- People
Dalam menyediakan informasi yang dibutuhkan
perusahaan untuk mencapai tujuan organisasi, COBIT memiliki karakteristik :
- Business-focused
- Process-oriented
- Controls-based
- Measurement-driven
COBIT mengelompokkan semua aktivitas bisnis yang
terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam 4 buah domain
proses, meliputi :
- Planning
& Organization.
Domain ini menitikberatkan pada proses perencanaan
dan penyelarasan strategi TI dengan strategi perusahaan, mencakup
masalah strategi, taktik dan identifikasi tentang bagaimana TI dapat memberikan
kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi sehingga
terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik
pula.
Domain ini mencakup :
o
PO1 – Menentukan rencana strategis
o
PO2 – Menentukan arsitektur informasi
o
PO3 – Menentukan arah teknologi
o
PO4 – Menentukan proses TI, organisasi
dan hubungannya
o
PO5 – Mengelola investasi TI
o
PO6 – Mengkomunikasikan tujuan dan
arahan manajemen
o
PO7 – Mengelola sumber daya manusia
o
PO8 – Mengelola kualitas
o
PO9 – Menilai dan mengelola resiko TI
o
PO10 – Mengelola proyek
- Acquisition
& Implementation.
Domain ini berkaitan
dengan implementasi solusi IT dan integrasinya dalam proses bisnis organisasi
untuk mewujudkan strategi TI, juga meliputi perubahan dan maintenance yang
dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem
tersebut tetap terjaga.
Domain ini meliputi:
o
AI1 – Mengidentifikasi solusi yang dapat
diotomatisasi.
o
AI2 – Mendapatkan dan maintenance software
aplikasi.
o
AI3 – Mendapatkan dan maintenance infrastuktur
teknologi
o
AI4 – Mengaktifkan operasi dan
penggunaan
o
AI5 – Pengadaan sumber daya IT.
o
AI6 – Mengelola perubahan
o
AI7 – Instalasi dan akreditasi solusi
dan perubahan.
- Delivery
& Support.
Domain ini mencakup
proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan
dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan.
Domain ini meliputi :
o
DS1 – Menentukan dan mengelola tingkat
layanan.
o
DS2 – Mengelola layanan dari pihak
ketiga
o
DS3 – Mengelola performa dan kapasitas.
o
DS4 – Menjamin layanan yang
berkelanjutan
o
DS5 – Menjamin keamanan sistem.
o
DS6 – Mengidentifikasi dan mengalokasikan
dana.
o
DS7 – Mendidik dan melatih pengguna
o
DS8 – Mengelola service desk dan
insiden.
o
DS9 – Mengelola konfigurasi.
o
DS10 – Mengelola permasalahan.
o
DS11 – Mengelola data
o
DS12 – Mengelola lingkungan fisik
o
DS13 – Mengelola operasi.
- Monitoring
and Evaluation.
Domain ini berfokus
pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan
intern dan ekstern dan jaminan independent dari proses pemeriksaan yang
dilakukan.
Domain ini meliputi:
o
ME1 – Mengawasi dan mengevaluasi
performansi TI.
o
ME2 – Mengevaluasi dan mengawasi kontrol
internal
o
ME3 – Menjamin kesesuaian dengan
kebutuhan eksternal.
o
ME4 – Menyediakan IT Governance.
COBIT Maturity Model
COBIT menyediakan
parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu
organisasi dengan menggunakan maturity models yang bisa digunakan untuk
penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan
(maturity level). COBIT mempunyai model kematangan (maturity models) untuk
mengontrol proses-proses IT dengan menggunakan metode penilaian (scoring)
sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari
skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non
Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5:
Optimized (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory,
2008).
Tidak ada komentar:
Posting Komentar