3.5. COBIT

Posted: November 22, 2013 in Semester 5
0

COBIT (Control Objective for Information Related Tecnology)

(weber, p57) COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance.

Cobit dikenal luas sebagai standard defacto untuk kerangka kerja tata kelola TI (IT Governance) dan yang terkait dengannya. Di sisi lain standard/framework ini terus berevolusi sejak pertama kali diluncurkan di 1996 hingga rilis terakhir yaitu CobiT 5 yang diluncurkan pada Juni 2012 yang lalu. Pada setiap rilisnya, kerangka kerja ini melakukan pergeseran-pergeseran beberapa paradigma.

COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool).

COBIT  telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian dan keamanan.

COBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen COBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT.

Alat-alat tersebut yaitu :

  1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI)
  2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari tiap proses TI
  3. Model maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan

Komponen COBIT terdiri dari Executive Summary, Framework, Control Objectives, Audit Guidelines, Implemenation Tool Set, Management Guidelines

COBIT memiliki misi melakukan riset, mengembangkan, mempublikasikan, dan mempromosikan makalah-makalah, serta meng-update tatanan atau ketentuan TI controls objective yang dapat diterima umum (generally accepted control objectives) berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya.

Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi informasi (Information Technology Governance).

 

Kerangka Kerja COBIT

(Calder, p147) Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas (activities and tasks) yang diperlukan untuk mencapai hasil yang dapat diukur. Dalam Aktivitas terdapat konsep siklus hidup yang di dalamnya terdapat kebutuhan pengendalian khusus. Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas (activities and tasks) dengan keuntungan atau perubahan (pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya dikelompokan bersama kedalam domain.

Pengelompokan ini sering disebut sebagai tanggung jawab domain dalam struktur organisasi dan yang sejalan dengan siklus manajemen atau siklus hidup yang dapat diterapkan pada proses TI.

 Gambar 5. Tiga tingkat usaha pengaturan TI

Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu (1) kriteria informasi (information criteria), (2) sumberdaya TI (IT resources), dan (3) proses TI (IT processes).

Ketiga sudut pandang tersebut digambarkan dalam kubus COBIT sebagai berikut :

Gambar 6.  Kubus COBIT

Dalam kerangka kerja sebelumnya, domain diidentifikasikan dengan memakai susunan manajemen yang akan digunakan dalam kegiatan harian organisasi. Kemudian empat domain yang lebih luas diidentifikasikan, yaitu PO, AI, DS, dan ME.

Definisi keempat domain tersebut, dimasukan dalam klasifikasi tingkat tinggi sebagai berikut :

  1. PO,   domain ini mencakup level strategis dan taktis, dan konsennya pada identifikasi cara TI  yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis.
  2. AIuntuk merealisasikan strategi TI,  solusi TI yang perlu diidentifikasikan, dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam proses bisnis.
  3. DS,  domain ini menyangkut penyampaian aktual dari layanan yang diperlukan, dengan menyusun operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada pelatihan,  domain ini termasuk proses data aktual melalui sistem aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi.
  4. ME, semua proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitas dan pemenuhan kebutuhan pengendalian. Domain ini mengarahkan kesalahan manajemen pada proses pengendalian organisasi dan penjaminan independen  yang disediakan oleh audit internal dan eksternal atau diperolah dari sumber alternatif.

Proses-proses TI ini dapat diterapkan pada tingkatan yang berbeda dalam organisasi, misalnya tingkat perusahaan, tingkat fungsi dan lain-lain.

Jelas bahwa semua ukuran pengendalian perlu memenuhi kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama.

Pertama adalah tingkat tujuan pengendalian yang diterapkan secara langsung mempengaruhi kriteria informasi terkait.

Kedua adalah tingkat tujuan pengendalian yang ditetapkan hanya memenuhi tujuan pengendalian atau secara tidak langsung kriteria informasi terkait.

Blank dapat diterapkan namun kebutuhannya lebih memenuhi kriteria lain dalam proses ini atau yang lainnya.

Agar organisasi mencapai tujuannya, pengaturan TI harus dilaksanakan oleh organisasi untuk menjamin sumberdaya TI yang dijalankan oleh seperangkat proses TI

Dari pengertian IT governance dapat kita simpulkan bahwa IT governance memastikan penggunaan TI dapat diukur dan dihitung (accountable). Artinya suatu keberhasilan TI harus dapat diukur dan dihitung keberhasilannya. Governance mendefinisikan tanggung jawab dan aturan dalam penerbitan kebijakan dan membuat keputusan ketika beberapa partai terlibat dalam suatu relasi bisnis. Governance berfokus pada strategi, peningkatan performa, segi-segi ekonomi dan resolusi konflik.

Dalam sebuah IT governance terdapat beberapa pemangku kepentingan. Dibawah ini dapat kita lihat pemangku kepentingan dan peranan-peranannya:

  1. Board and Executive

Menentukan arah pada TI, memantau hasil dan memastikan ketepatan implementasi

  1. Business management

Menguraikan kebutuhan-kebutuhan bisnis untuk TI dan memastikan nilai-nilai tersebut dikirimkan dan resiko terkelola.

  1. IT management

Memberikan dan meningkatkan pelayanan TI seperti yang dibutuhkan pada bisnis.

  1. IT audit

Menyediakan kepastian yang independen untuk mendemonstrasikan bahwa TI menyediakan apa yang diperlukan.

  1. Risk and compliance

Mengukur kepatuhan pada aturan-aturan dan focus pada resiko yang mungkin muncul.

Kelima pemangku IT governance diatas haruslah saling bekerja sama dan berkontribusi dalam mengontrol dan mengendalikan implementasi dari TI.

IT governance memiliki 2 tujuan yang berkaitan yakni:

  1. Conformance objective( penyesuaian) – berfokus pada “corporate governance”

IT berfungsi sebagai pengiriman dan pelaporan data, dalam hal ini IT harus dapat memastikan:

Integritas informasi

Ketepatan waktu untuk mempercepat pengambilan keputusan

Menyediakan laporan untuk keperluan pimpinan

Mengotomatisasi penangkapan data.

  1. Performance objective –  berfokus pada “bisnis governance”. Meliputi

IT value delivery

Strategic Alignment of IT

IT resource management

IT risk management

IT performance management

(Moeller, p167) Tujuan dari IT governance secara umum adalah memastikan pengimplementasian IT dalam perusahaan berjalan sesuai dengan rencana strategis IT yang ditetapkan di awal dan memantau penggunaannya.

IT Governance memiliki focus pada:

  1. Strategic Alignment (kesesuaian strategi), memiliki focus dalam memastikan hubungan antara bisnis dan rencana TI; menentukan, merawat dan memvalidasikan IT value proposition; dan pada aligning IT operation.
  2. Value delivery (penyampaian nilai) adalah mengenai menjalankan value proposition  disemua bagian.
  3. Resource management, berhubungan dengan optimalisasi dari pengetahuan dan infrastuktur yang ada.
  4. Risk management, membutuhkan pengetahuan mengenai resiko oleh pimpinan.
  5. Performance measurement, elacak dan memantau implementasi terhadap strategi, penyelesaian projek, penggunaan sumber daya, dan  performa proyek

COBIT Framework

COBIT Framework berdasarkan pada pernyataan bahwa IT harus mengirimkan informasi yang dibutuhkan perusahaan untuk mencapai suatu tujuan dan sasaran.

 Gambar 7. Arah pengiriman nilai TI

Dari gambar diatas dapat kita lihat bahwa informasi digunakan untuk mencapai sasaran bisnis. Untuk menciptakan sebuah informasi yang baik dan berintegritas tinggi diperlukan penangkapan data dari proses kemudian data tersebut dilah menjadi informasi. Informasi digunakan untuk membantu proses bisnis, pengambilan keputusan, dan lain sebagainya. Bisnis proses dilakukan secara simultan sesuai untuk mencapai sasaran bisnis.

Sebuah TI yang baik adalah TI yang dapat menyediakan informasi ketika dibutuhkan, dan informasi itu benar-benar berguna untuk peningkatan efektivitas proses bisnis. Apabila TI tidak bisa mencapai tujuan dan sasarannya maka yang terjadi adalah kegagalan proyek TI. COBIT Framework membantu meluruskan TI dan bisnis dengan cara memfokuskan kebutuhan informasi pada bisnis dan mengelola sumber daya IT. COBIT menyediakan framework dan tata cara untuk mengimplementasikan IT Governance.

Prinsip dasar dari COBIT Framework adalah untuk menghubungkan ekspektasi manajemen TI dengan tanggung jawab manajemen TI. Tujuan utamanya adalah untuk memfasilitasi IT governance untuk mengirimkan nilai TI untuk menanggulangi resiko TI.

Gambar 8. Hubungan antara Informasi dan Proses Bisnis

(Alvin, p189) Informasi adalah hasil pemrosesan data dari IT resources dan IT proses. Dalam sebuah tata kelola TI yang baik informasi yang dihasilkan harus berintegritas dan dapat mendukung proses bisnis. Pada skema diatas adalah skema hubungan informasi dan proses bisnis.

COBIT menjelaskan siklus hidup IT dengan 4 domain:

  1. Perencanaan dan pengorganisasian
  2. Pengumpulan dan implemen
  3. Pengiriman dan dukungan
  4. Pemantauan dan evaluasi

Pada domain perencanaan dan pengorganisasian strategi dan taktik diformulasikan, mengidentifikasi bagaimana TI dapat memberikan kontribusi yang besar dalam mencapai sasaran bisnis, merencanakan, mengkomunikasian dan mengatur realisasi dari visi strategi, dan mengimplementasikan infrastruktur organisasi dan teknologi.

Hal-hal yang dilakukan dalam perencanaan dan pengorganisasian:

  1. Menentukan strategi perencanaan TI.
  2. Mendefinisikan struktur informasi.
  3. Menentukan arah teknologi.
  4. Menentukan proses TI, organisasi dan relasi.
  5. Mengkomunikasikan sasaran dan arah manajemen.
  6. Mengatur sumber daya manusia TI
  7. Mengatur kualitas
  8. Menilai dan mengatur resiko
  9. Mengatur proyek.

Pada domain kedua yakni pengumpulan dan implement sasaran yang ingin dicapai adalah mengindentifikasi, mengembangkan atau mengumpulkan, mengimplementasi dan mengintegrasikan solusi TI. Perubahan dalam dan mengelola sistem yang ada.

Hal-hal yang dilakukan dalam domain ini adalah:

  1. Mengidentifikasi solusi otomatisasi
  2. Mengumpulkan dan merawat aplikasi software
  3. Memperbolehkan operasi dan penggunaan
  4. Mendapatkan sumber daya IT
  5. Mengatur perubahan
  6. Menginstalasi dan mengakui solusi dan perubahan

Pada domain ketiga ini, yakni pengiriman dan dukungan. Sasaran yang inigin dicapai adalah pengiriman dari kebutuhan pelayanan, manajemen keamanan, kontinuitas, data dan fasilitas operasional, dan dukungan pelayanan untuk pengguna.

Hal-hal yang dilakukan dalam domain ini adalah:

  1. Mendefinisikan dan mengatur level pelayanan
  2. Mengatur pelayanan pihak ketiga
  3. Mengatur performa dan kapasitas
  4. Memastikan kontinuitas pelayanan
  5. Memastikan keamanan sistem.
  6. Mengidentifikasi dan alokasi biaya
  7. Mengajari penggunaan sistem kepada user
  8. Mengatur service desk dan incidents
  9. Mengatur konfigurasi
  10. Mengatur masalah
  11. Mengatur data
  12. Mengatur lingkungan fisik
  13. Mengatur operasi

(Calder, p177) Sasaran pada domain pemantauan dan evaluasi adalah manajemen performa, memantau pengendalian internal, mengontrol kepatuhan, dan penguasaan.

Hal-hal yang dilakukan dalam domain ini adalah:

  1. Memantau dan mengevaluasi performa TI
  2. Memantau dan mengevaluasi pengendalian internal
  3. Memastikan kepatuhan dari tuntutan
  4. Menyediakan IT Governance

(Calder,h.180) COBIT memiliki criteria informasi yang baik, yakni:

  1. Efektif dan Efisiensi

Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.

  1. Rahasia

Proteksi terhadap informasi yang sensitive dari akses yang tidak bertanggung jawab.

  1. Integritas

Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi.

  1. Ketersediaan

Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.

  1. Kepatuhan
  2. Nyata

Sumber: http://manajemen-ti.com/tata-kelola-audit/197-dulu-cobit-4-1-sekarang-cobit-5-apa-bedanya.html

https://www.google.com/#q=related:learn-cobit.blogspot.com/2010/10/apa-itu-cobit.html+apa+yang+dimaksud+COBIT

http://sigma.ac.id/tata-kelola-teknologi-informasi-menggunakan-cobit.html

Leave a comment