Managing Control Object For IT (COBIT) Sebagai Framework IT Governance

Ryan Alamsyah – 2101678844

Managing Control Object For IT (COBIT) Sebagai Framework IT Governance

Setelah membahas sedikit artikel mengenai Standar Framework Pada Proses Pengelolaan IT Governance Dan Audit Sistem Informasi serta melakukan perbandingan antara beberapa Framework, maka di sini saya hendak membahas khusus mengenai Managing Control Object For IT atau COBIT


COBIT

COBIT merupakan a set of best practice (framework) bagi pengelolaan teknologi informasi (IT management). COBIT disusun oleh The IT Governance Institute (ITGI) dan Information System Audit and Control Association (ISACA) pada tahun 1992. Edisi pertama dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line dikeluarkan tahun 2003) dan saat ini adalah edisi keempat pada desember 2005. Paket COBIT secara lengkap terdiri dari : executive summary, ramework, control objectives, audit guidelines, implementation tool set serta management guidelines yang sangat berguna dan dibutuhkan oleh auditor, para IT users, dan para manajer, seperti ditunjukkan pada gambar 1.0 berikut:

 

COBIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalah-masalah teknis TI. COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT controls issuesCOBIT berguna bagi IT users karena memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan investasi di bidang TI serta infrastrukturnya, menyusun strategic IT plan, menentukan information architecture,dan keputusan atas procurement (pengadaan/pembelian) mesin. Untuk lebih jelasnya dapat dilihat pada gambar 1.1.

 

 

COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan IT Governance pada suatu perusahaan. COBIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara risiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI, serta menyediakan referensi best business practices yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif, yang dapat digambarkan melalui gambar 1.2 kerangka kerja tujuan control teknologi informasi di bawah ini:

 

 

COBIT mendukung manajemen dalam mengoptimumkan investasi TI-nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau risiko akan atau sedang terjadi. Manajemen harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumberdaya TI perusahaan. Sumberdaya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan dan keandalan informasi (effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability).

 

Kriteria kerja COBIT meliputi :

Efektifitas Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan

benar, konsisten, dapat dipercaya dan tepat waktu.

Efisiensi Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal.
Kerahasiaan Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.
Integritas Berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai

bisnis.

Ketersediaan Berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.
Kepatuhan Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.
Keakuratan informasi Berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan

keuangan dan kelengkapan laporan pertanggungjawaban.

 

Dalam kerangka corporate governance, IT governance menjadi semakin utama dan merupakan bagian tidak terpisahkan terhadap kesuksesan penerapan corporate governance secara menyeluruh. IT governance memastikan adanya pengukuran yang efisien dan efektif terhadap peningkatan proses bisnis perusahaan melalui struktur yang menggunakan proses-proses TI, sumberdaya TI dan informasi ke arah dan tujuan strategis perusahaan. Lebih jauh lagi, IT governance memadukan dan melembagakan best practices dari proses perencanaan, pengelolaan, penerapan, pelaksanaan dan pendukung , serta pengawasan kinerja TI, untuk memastikan informasi perusahaan dan teknologi yang terkait yang terkait lainnya benar-benar menjadi pendukung bagi pencapaian sasaran perusahaan. Dengan keterpaduan tersebut, diharapkan perusahaan mampu mendayagunakan informasi yang dimilikinya sehingga dapat mengoptimumkan segala sumberdaya dan proses bisnis mereka untuk menjadi lebih kompetitif.

Dengan adanya IT governance, proses bisnis perusahaan akah menjadi jauh lebih transparan, tanggungjawab serta akuntabilitas setiap fungsi/individu semakin jelas. IT governance bukan hanya penting bagi teknisi TI saja, direksi dan bahkan komisaris, yang bertanggungjawab terhadap investasi dan pengelolaan risiko perusahaan adalah pihak utama yang harus memastikan bahwa perusahaannya memiliki IT governance. Dengan demikian keuntungan optimum investasi TI tercapai, dan sekaligus memastikan semua potensi risiko investasi TI telah diantisipasi dan dapat terkendali dengan baik.

COBIT mendefiniskan Control objective TI sebagai pernyataan mengenai hasil atau tujuan yang harus dicapai melalui penerapan prosedur kendali dalam aktivitas TI tertentu. Pada edisi keempat ini COBIT framework terdiri dari 34 high level control objectives dikelompokkan dalam 4 domain utama:

  1. Planning & Organisation.

Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan.

  1. Acquisition & Implementation.

Domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan teknologi informasi yang digunakan.

  1. Delivery & Support.

Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya.

  1. Monitoring.

Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi.

 

 

Masing-masing domain terdiri dari high-level control-objectives sebagai berikut:

 

Domain Planning & Organization   
1.     PO1     Define a Strategic TI Plan
2.     PO2     Define the Information Architecture
3.     PO3     Determine Technological Direction
4.     PO4     Define the TI Organisation and Relationships
5.     PO5     Manage the TI Investment
6.     PO6     Communicate Management Aims and Direction
7.     PO7     Manage IT Human Resources
8.     PO8     Manage Quality
9.     PO9     Assess and Manage IT Risks
10. PO10   Manage Projects
 

 

 

Domain Acquisition & Implementation       

1.     AI1      Identify Automated Solutions
2.     AI2      Acquire and Maintain Application Software
3.     AI3      Acquire and Maintain Technology Infrastructure
4.     AI4      Enable Operation and use
5.     AI5      Procure IT Resources
6.     AI6      Manage Changes
7.     AI7      Install and Accredit Solutions and changes
Domain Delivery & Support 
1.     DS1     Define and Manage Service Levels
2.     DS2     Manage Third-party Services
3.     DS3     Manage Performance and Capacity
4.     DS4     Ensure Continous Services
5.     DS5     Ensure System Security
6.     DS6     Indentify and Allocate Cost
7.     DS7     Educate and Train Users
8.     DS8     Manage Service desk and incidents
9.     DS9     Manage the Configurations
10. DS10   Manage Problems
11. DS11   Manage Data
12. DS12   Manage the Physical Environment
13. DS13   Manage Operations
 

Domain Monitoring  

1.     M1       Monitor and Evaluate IT Performance
2.     M2       Monitor and Evaluate Internal Control
3.     M3       Ensure Compliance with external requirements
4.     M4       Provide IT Governance

 

COBIT mempunyai model kematangan (maturity models)  untuk mengontrol proses-proses TI dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-existent sampai dengan optimised (dari 0 sampai 5). Maturity models ini akan memetakan:

 

  1. Current status dari organisasi – untuk melihat posisi organisasi saat ini.
  2. Currentstatus dari kebanyakan industri saat ini – sebagai perbandingan.
  3. Current status dari standar internasional – sebagai perbandingan tambahan.
  4. Strategi organisasi dalam rangka perbaikan – level yang ingin dicapai oleh organisasi.

 

 

Selain itu, COBIT juga mempunyai ukuran-ukuran lainnya sebagai berikut :

 

  1. Critical Success Factors(CSF) – mendefinisian hal-hal atau kegiatan penting yang dapat digunakan manajemen untuk dapat mengontrol proses-proses TI di organisasinya.
  2. Key Goal Indicators(KGI) – mendefinisikan ukuran-ukuran yang akan memberikan gambaran kepada manajemen apakah proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis yang ada.

 

 

KGI biasanya berbentuk kriteria informasi:

  • Ketersediaan informasi yang diperlukan dalam mendukung kebutuhan bisnis.
  • Tidak adanya risiko integritas dan kerahasiaan data.
  • Efisiensi biaya dari proses dan operasi yang dilakukan.
  • Konfirmasi reliabilitas, efektifitas, dan compliance.

 

 

Berikut ini adalah dasar penetapan maturity models :

Tabel 1.1 Dasar Penetapan Maturity Models

Level Pengertian & Kesadaran Pelatihan & Komunikasi Proses & Aktivitas Ketaatan Keahlian
1 Pengenalan Komunikasi Jarang Proses dan Aktivitas bersifat Ad hoc
2 Kesadaran Komunikasi pada keseluruhan masalah Proses serupa/umum tapi berdasarkan institusi Tidak dilakukan pemantauan
3 Mengerti kebutuhan untuk bertindak Pelatihan informal berdasarkan institusi individu Aktivitas telah didefinisikan dan didokumentasikan Pemantauan mulai dilakukan tidak secara konsisten Terlibatnya spesialis IT pada proses bisnis
4 Mengerti kebutuhan secara penuh Pelatihan formal dengan program yang diatur Terdapat kepemilikan & tanggung jawab pada aktivitas Pemantauan dilakukan pada beberapa area Terlibatnya spesialis dari semua internal domain
5 Pengertian yang lebih baik dan ke depan Pelatihan dan komunikasi menggunakan konsep leading edge Diterapkan aktivitas yang mendukung kegiatan eksternal Pemantauan dilakukan di seluruh area Terlibatnya spesialis ekternal industri

 

 

Penjelasan untuk Tingkat Maturity dapat dilihat pada Tabel 1.2 di bawah ini.

Tabel 1.2 Tingkat Maturity

Tingkat Maturity
Level 0 Tidak ada (Non-existent), organisasi belum mengenal isu permasalahan yang harus diarahkan atau diselesaikan. Setiap proses atau masalah yang ada tidak terdefinisi dengan jelas.
Level 1 Inisialisasi (Initial), organisasi telah memiliki bukti telah mengenal permasalan-permasalahan yang ada namun perlu diarahkan. Secara umum organisasi belum memiliki standar pengelolaan yang terorganisir dan terdokumentasi dengan baik sehingga perlu ada pendekatan yang dilakukan untuk tiap individu yang terkait dalam organisasi.
Level 2 Dapat diulang (Repetable), level ini sudah mengalami perkembangan, sudah ada prosedur untuk menjalankan proses yang didefinisikan, namun belum ada pelatihan formal dan prosedur komunikasi yang standar. Tanggung jawab dan

kepercayaan diberikan pada tiap individu tanpa ada standar baku pengopersian sehingga kadang terjadi kesalahan.

Level 3 Ditetapkan (Defined), sudah ada prosedur yang memiliki standar dan didokumentasikan dengan baik, sudah ada pelatihan formal untuk mengkomunikasikan prosedur dan kebijakan yang dibuat. Namun pada tahap implementasinya masih tergantung pada individu apakah mau melakukan prosedur yang ditetapkan atau tidak. Prosedur yang dibuat masih terbatas pada bentuk formalisasi dari praktek yang ada.
Level 4 Diatur (Managed), prosedur dan kebijakan yang ada sudah dilakukan secara efektif, dapat dipantau dan diukur sehingga apabila terjadi kesalahan sudah memiliki sederetan prosedur untuk tindakan perbaikan yang akan dilakukan. Perbaikan dilakukan secara konsisten dan memberikan praktek dan hasil terbaik. Sudah digunakan peralatan dan teknologi namun belum otomasi dan

masih terbatas.

Level 5 Dioptimalkan (optimized), proses yang dilakukan telah dilakukan upaya perbaikan yang berkelanjutan sehingga menghasilkan proses dan hasil yang terbaik. Sudah ada penggunaan teknologi informasi yang terintegrasi untuk melakukan otomatisasi dilingkungan organisasi, sudah tersedia alat dan pendukung lainnya yang dapat meningkatkan kualitas dan efektifitas kinerja,dan organisasi sudah stabil dan dapat beradaptasi dengan baik.

Sumber : COBIT 4.1, 2008

 

Selain itu, COBIT juga mempunyai ukuran-ukuran lainnya sebagai berikut :

 

  • Critical Success Factors (CSF) – mendefinisian hal-hal atau kegiatan penting yang dapat digunakan manajemen untuk dapat mengontrol proses-proses TI di organisasinya dan faktor yang dibutuhkan untuk tercapainya kesuksesan yang optimal.
  • Key Goal Indicators (KGI) – mendefinisikan ukuran-ukuran yang akan memberikan gambaran kepada manajemen apakah proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis yang ada. KGI biasanya berbentuk kriteria informasi:

 

  1. Ketersediaan informasi yang diperlukan dalam mendukung kebutuhan bisnis.
  2. Tidak adanya risiko integritas dan kerahasiaan data.
  3. Efisiensi biaya dari proses dan operasi yang dilakukan.
  4. Konfirmasi reliabilitas, efektifitas, dan compliance.

 

 

 

  1. Key Performance Indicators(KPI) – mendefinisikan ukuran-ukuran untuk menentukan kinerja proses-proses TI dilakukan untuk mewujudkan tujuan yang telah ditentukan. KPI biasanya berupa indikator-indikator kapabilitas, pelaksanaan, dan kemampuan sumber daya TI.