Control Objective for Information & Related Technology (COBIT)
adalah sekumpulan dokumentasi best practice untuk IT
Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk
menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah
teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja
untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga
memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI
dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab
(Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh
sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh
lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara.
Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional
tersebut.
Kerangka
Kerja COBIT
Kerangka
kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:
·
Control Objectives
Terdiri
atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang
terbagi dalam 4 domain, yaitu : Planning & Organization , Acquisition
& Implementation , Delivery & Support , dan Monitoring
& Evaluation.
·
Audit Guidelines
Berisi
sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed
control objectives) untuk membantu para auditor dalam memberikanmanagement
assurance dan/atau saran perbaikan.
·
Management Guidelines
Berisi
arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti
dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
v
Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang
dikeluarkan sesuai dengan manfaat yang dihasilkannya.
v
Apa saja indikator untuk suatu kinerja yang bagus.
v
Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical
success factors ).
v
Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang
ditentukan.
v
Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan.
v
Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.
Manfaat
dan Pengguna COBIT
Secara
manajerial target pengguna COBIT dan manfaatnya adalah :
·
Direktur dan Eksekutif
Untuk
memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan
sejalan dengan TI.
·
Manajemen
v
Untuk mengambil keputusan investasi TI.
v
Untuk keseimbangan resiko dan kontrol investasi.
v
Untuk benchmark lingkungan TI sekarang dan masa depan.
·
Pengguna
Untuk
memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara
internal maupun eksternal.
·
Auditors
v
Untuk memperkuat opini untuk manajemen dalam control internal.
v
Untuk memberikan saran pada control minimum yang diperlukan.
Frame
Work COBIT
COBIT dikeluarkan oleh IT Governance Institute (ITGI). COBIT
digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT.
COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil
metrik, faktor kesuksesan dan maturity model.
Lingkup
kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
·
Effectiveness
Menitikberatkan
pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses
oleh sistem informasi yang dibangun.
·
Efficiency
Menitikberatkan
pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh
sistem.
·
Confidentiality
Menitikberatkan
pada pengelolaan kerahasiaan informasi secara hierarkis.
·
Integrity
Menitikberatkan
pada integritas data/informasi dalam sistem.
·
Availability
Menitikberatkan
pada ketersediaan data/informasi dalam sistem informasi.
·
Compliance
Menitikberatkan
pada kesesuaian data/informasi dalam sistem informasi.
·
Reliability
Menitikberatkan
pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Sedangkan
fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah
pada :
·
Applications
·
Information
·
Infrastructure
·
People
Dalam
menyediakan informasi yang dibutuhkan perusahaan untuk mencapai tujuan
organisasi, COBIT memiliki karakteristik :
·
Business-focused
·
Process-oriented
·
Controls-based
·
Measurement-driven
COBIT
mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34
proses yang terbagi ke dalam 4 buah domain proses, meliputi :
·
Planning &
Organization.
Domain ini menitikberatkan pada proses perencanaan dan
penyelarasan strategi TI dengan strategi perusahaan, mencakup
masalah strategi, taktik dan identifikasi tentang bagaimana TI dapat memberikan
kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi sehingga
terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik
pula.
Domain
ini mencakup :
v
PO1 – Menentukan rencana strategis
v
PO2 – Menentukan arsitektur informasi
v
PO3 – Menentukan arah teknologi
v
PO4 – Menentukan proses TI, organisasi dan hubungannya
v
PO5 – Mengelola investasi TI
v
PO6 – Mengkomunikasikan tujuan dan arahan manajemen
v
PO7 – Mengelola sumber daya manusia
v
PO8 – Mengelola kualitas
v
PO9 – Menilai dan mengelola resiko TI
v
PO10 – Mengelola proyek
·
Acquisition &
Implementation.
Domain ini berkaitan dengan implementasi solusi IT dan
integrasinya dalam proses bisnis organisasi untuk mewujudkan strategi TI, juga
meliputi perubahan dan maintenance yang dibutuhkan sistem yang
sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga.
Domain
ini meliputi:
v
AI1 – Mengidentifikasi solusi yang dapat diotomatisasi.
v
AI2 – Mendapatkan dan maintenance software aplikasi.
v
AI3 – Mendapatkan dan maintenance infrastuktur teknologi
v
AI4 – Mengaktifkan operasi dan penggunaan
v
AI5 – Pengadaan sumber daya IT.
v
AI6 – Mengelola perubahan
v
AI7 – Instalasi dan akreditasi solusi dan perubahan.
·
Delivery & Support.
Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem,
kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan
proses data yang sedang berjalan.
Domain
ini meliputi :
v
DS1 – Menentukan dan mengelola tingkat layanan.
v
DS2 – Mengelola layanan dari pihak ketiga
v
DS3 – Mengelola performa dan kapasitas.
v
DS4 – Menjamin layanan yang berkelanjutan
v
DS5 – Menjamin keamanan sistem.
v
DS6 – Mengidentifikasi dan mengalokasikan dana.
v
DS7 – Mendidik dan melatih pengguna
v
DS8 – Mengelola service desk dan insiden.
v
DS9 – Mengelola konfigurasi.
v
DS10 – Mengelola permasalahan.
v
DS11 – Mengelola data
v
DS12 – Mengelola lingkungan fisik
v
DS13 – Mengelola operasi.
·
Monitoring and
Evaluation.
Domain ini berfokus pada masalah kendali-kendali yang diterapkan
dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari
proses pemeriksaan yang dilakukan.
Domain
ini meliputi:
v
ME1 – Mengawasi dan mengevaluasi performansi TI.
v
ME2 – Mengevaluasi dan mengawasi kontrol internal
v
ME3 – Menjamin kesesuaian dengan kebutuhan eksternal.
v
ME4 – Menyediakan IT Governance.
COBIT
Maturity Model
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik
apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models
yang bisa digunakan untuk penilaian kesadaran pengelolaan (management
awareness) dan tingkat kematangan (maturity level). COBIT mempunyai model
kematangan (maturity models) untuk mengontrol proses-proses IT dengan
menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai
proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan
optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial, 2: Repetable,
3: Defined, 4: Managed dan 5: Optimized (Purwanto dan Saufiah, 2010;
Setiawan, 2008; Nurlina dan Cory, 2008).
REFERENSI
