COBIT DAN SEJARAH PERKEMBANGANNYA
Pengertian COBIT it sendiri adalah(Control Objectives for Information and related Technology)suatu panduan standar praktek manajemen teknologi informasi dan sekumpulan
dokumentasi best practices untuk tata
kelola TI yang dapat membantu auditor, manajemen, dan pengguna untuk
menjembatani pemisah (gap) antara risiko
bisnis, kebutuhan pengendalian, dan permasalahan-permasalahan teknis.
Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.1 merupakan versi terbaru.
COBIT dikembangkan oleh IT Governance Institute (ITGI), yang
merupakan bagian dari Information Systems
Audit and Control Association (ISACA). COBIT memberikan arahan (guidelines) yang berorientasi pada
bisnis, dan karena itu business process
owners dan manajer, termasuk juga auditor dan pengguna, diharapkan dapat
memanfaatkan arahan ini dengan sebaik-baiknya.
Menurut Campbell, COBIT
merupakan suatu cara untuk menerapkan tata kelola TI. COBIT berupa kerangka
kerja yang harus digunakan oleh suatu organisasi bersamaan dengan sumber daya
lainnya untuk membentuk suatu standar yang umum berupa panduan pada lingkungan
yang lebih spesifik. Secara terstruktur, COBIT terdiri dari seperangkat control objectives untuk bidang
Teknologi Informasi, dirancang untuk memudahkan tahapan-tahapanaudit bagi auditor.
COBIT memiliki 4 cakupan domain, yaitu :
- Perencanaan dan organisasi (plan and organise)
- Pengadaan dan implementasi (acquire and implement)
- Pengantaran dan dukungan (deliver and support)
- Pengawasan dan evaluasi (monitor and evaluate)
Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola risiko-risiko yang berhubungan dengan IT.
COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.
COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko.
COBIT ini juga mencakup bimbingan bagi para direktur dan semua level manajemen dan terdiri atas empat seksi:
- Gambaran luas mengenai eksekutif
- Kerangka kerja
- Isi utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan)
- Appendiks (pemetaan, ajuan silang dan daftar kata-kata)
Sejarah
Perkembangan COBIT
COBIT muncul pertama kali pada tahun 1996 yaitu
COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998
yang menekankan pada tahap pengendalian, COBIT versi 3 pada tahun 2000 yang
berorientasi kepada manajemen, COBIT versi 4 pada bulan Desember 2005 dan versi
4.1 pada bulan Mei 2007 lebih mengarah pada tata kelola TI, dan terakhir COBIT
versi 5 pada bulan Juni 2012 yang menekankan tata kelola TI pada perusahaan
(Gambar 2.1).
Kerangka
Kerja COBIT
Kerangka kerja COBIT
terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi secara
keseluruhan, yang pada dasarnya terdiri tiga tingkat usaha tata kelola TI yang
menyangkut manajemen sumber daya TI. Yaitu dari bawah, kegiatan tugas (Activities and Tasks) merupakan kegiatan
yang dilakukan secara terpisah yang diperlukan untuk mencapai hasil yang dapat
diukur. Dan selanjutnya kumpulan Activity
and Tasks dikelompokkan kedalam proses TI. Proses-proses TI yang memiliki
permasalahan tata kelola TI yang sama akan dikelompokkan kedalam domain. Maka
konsep kerangka kerja dapat dilihat dari tiga sudut pandang, meliputi : Information Criteria, IT Resources, IT Processes, seperti terlihat pada gambar dibawah ini :
Lingkup kriteria informasi
(Information Criteria) yang menjadi
perhatian dalam COBIT adalah:
Ø Effectiveness:Menitikberatkan
pada sejauh mana efektivitas informasi dikelola dari data-data yang diproses
oleh sistem informasi yang dibangun.
Ø Efficiency:Menitikberatkan
pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh
sistem.
Ø Confidentiality:Menitikberatkan
pada pengelolaan kerahasiaan informasi secara hierarkis.
Ø Integrity:
Menitikberatkan pada integritas data/informasi dalam sistem informasi.
Ø Availability:Menitikberatkan
pada ketersediaan data/informasi dalam sistem informasi.
Ø Compliance:Menitikberatkan
pada kesesuaian data/informasi dalam sistem informasi.
Ø Reliability:Menitikberatkan
pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Fokus terhadap pengelolaan
sumber daya teknologi informasi dalam COBIT adalah pada:
Ø Applications
(Aplikasi)
Ø Information
(Informasi)
Ø Infrastructure
(Infrastruktur)
Ø People
(Manusia/Pengguna)
Dalam memberikan informasi
kepada dunia usaha sesuai dengan bisnis dan kebutuhan tata kelola teknologi
informasi, model proses COBIT terdapat 4 (empat) domain yang didalamnya
terdapat 34proses dan 318 control
objectives, serta 1547 control
practitices. Sehingga domain tersebut dapat diidentifikasikan yang terdiri
dari 34 proses, yaitu (ITGI, 2007) :
Domain 1: Plan and
organize (PO) – Perencanaan dan Organisasi
Yaitu mencakup masalah
mengidentifikasikan cara terbaik TI untuk memberikan kontribusi yang maksimal
terhadap pencapaian tujuan bisnis organisasi. Domain ini menitikberatkan pada
proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi.
Domain PO terdiri dari 10 control
objectives, meliputi :
Ø PO1
: Define
a strategic IT plan (menentukan perencanaan strategi TI)
Ø PO2
: Define
the information architecture (Menentukan Arsitektur Informasi)
Ø PO3
: Determine
technological direction (Menentukan Arahan Teknologi)
Ø PO4
: Define
the IT processes, organization and relationships (Menentukan proses-proses
TI, Organisasi, dan Relasinya)
Ø PO5
: Manage
the IT investment (Mengelola Investasi TI)
Ø PO6
: Communicate
management aims and direction (Mengkomunikasikan Tujuan dan Arah Manajemen)
Ø PO7
: Manage
IT human resources (Mengelola SDM TI)
Ø PO8
: Manage
quality human resource (Mengelola Mutu SDM)
Ø PO9
: Asses
and manage IT risks (Menjamin dan Mengelola Risiko-risiko TI)
Ø PO10
: Manage
projects (Mengelola Proyek)
Domain 2: Acquire
and Implement (AI)– Akuisisi dan Implementasi
Domain ini menitikberatkan
pada proses pemilihan, pengadaan dan penerapan TI yang digunakan. Pelaksanaan
strategi yang telah ditetapkan, harus disertai solusi-solusi TI yang sesuai
solusi TI tersebut diadakan, diimplementasikan dan diintegrasikan kedalam
proses bisnis organisasi. Dimana domain AI terdiri dari 7 control objectives, meliputi :
Ø AI1
: Identify automated solutions (Mengidentifikasi otomasi solusi)
Ø AI2
: Acquire and maintain application software (Memperoleh dan
memelihara aplikasi perangkat lunak)
Ø AI3
: Acquire and maintain technology infrastructure (Memperoleh dan
memelihara teknologi infrastruktur)
Ø AI4
: Enable operation and use (Mengaktifkan dan menggunakan operasi)
Ø AI5
: Procure IT resources (Mendapatkan Sumber Daya TI)
Ø AI6
: Manage changes (Mengatur Perubahan)
Ø AI7
: Install and accredit solutions and changes (Memasang dan
mengakreditasi solusi dan perubahan)
Domain 3: Deliver
and Support (DS) – Penyampaian dan Dukungan
Domain ini menitikberatkan
pada proses pelayanan TI dan dukungan teknisnya yang meliputi hal keamanan
sistem, kesinambungan layanan,pelatihan dan pendidikan untuk pengguna, dan
pengelolaan data yang sedang berjalan. Dimana domain DS terdiri dari 13 control objectives, meliputi :
Ø DS1
: Define
and manage service levels (Menentukan dan mengelola tingkatan layanan)
Ø DS2
: Manage
third-party services (Mengelola layanan pihak ketiga)
Ø DS3
: Manage
performance and capacity (Mengelola kinerja dan kemampuan)
Ø DS4
: Ensure
continuous service (Memastikan keberlanjutan layanan)
Ø DS5
: Ensure
systems security (memastikan keamanan sistem)
Ø DS6
: Identify
and allocate costs (Mengidentifikasi dan mengalokasikan biaya)
Ø DS7
: Educate
and train users (Memberikan Diklat kepada para pengguna)
Ø DS8
: Manage
service desk and incidents (Mengelola layanan standar dan khusus)
Ø DS9
: Manage
the configuration (Mengelola Konfigurasi)
Ø DS10
: Manage
problems (Mengelola permasalahan)
Ø DS11
: Manage
data (Mengelola Data)
Ø DS12
: Manage
the physical environment (Mengelola lingkungan fisik)
Ø DS13
: Manage
operations (Mengelola operasi-operasi)
Domain 4:Monitor
and Evaluate (ME) – Pemantauan dan Evaluasi
Domain ini menitikberatkan
pada proses pengawasan pengelolaan TI pada organisasi seluruh kendali-kendali
yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara
berkala. Domain ini fokus pada masalah kendali-kendali yang diterapkan dalam
organisasi, pemeriksaan internal dan eksternal. Dimana domain ME terdiri dari 4
control objectives, meliputi :
Ø ME1
: Monitor
and evaluate IT performance (Memantau dan mengevaluasi kinerja TI)
Ø ME2
: Monitor
and evaluate internal control (Memantau dan mengevaluasi kendali internal)
Ø ME3
: Ensure
regulatory compliance (Memastikan kepatuhan/kesesuaian terhadap aturan)
Ø ME4
: Provide
IT Governance (Menyediakan tata kelola TI)
Maka dengan melakukan
kontrol terhadap 34 control objectives
tersebut, organisasi dapat memperoleh
keyakinan akan kelayakan tata kelola dan kendali yang diperlukan untuk
lingkungan TI. Karena COBIT dirancang beriorientasi bisnis agar bisa
digunakan banyak pihak, tetapi lebih penting lagi adalah sebagai panduan yang
komprehensif bagi manajemen dan pemilik bisnis proses. Kebutuhan bisnis akan
tercermin dari adanya kebutuhan informasi. Dan informasi itu sendiri perlu
memenuhi kriteria pengendalian tertentu, untuk mencapai tujuan bisnis.
No comments:
Post a Comment