Kamis, 02 Januari 2020

COBIT (Control Objectives for Information and related Technology)

Definisi COBIT
COBIT (Control Objectives for Information and related Technology) adalah suatu panduan standar praktek manajemen teknologi informasi dan sekumpulan dokumentasi best practices untuk tata kelola TI yang dapat membantu auditor, manajemen, dan pengguna untuk menjembatani pemisah (gap) antara risiko bisnis, kebutuhan pengendalian, dan permasalahan-permasalahan teknis.
COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan pengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaik-baiknya.
Menurut Campbell, COBIT merupakan suatu cara untuk menerapkan tata kelola TI. COBIT berupa kerangka kerja yang harus digunakan oleh suatu organisasi bersamaan dengan sumber daya lainnya untuk membentuk suatu standar yang umum berupa panduan pada lingkungan yang lebih spesifik. Secara terstruktur, COBIT terdiri dari seperangkat control objectives untuk bidang Teknologi Informasi, dirancang untuk memudahkan tahapan-tahapan audit bagi auditor.
Sejarah Perkembangan COBIT
            COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, COBIT versi 4 pada bulan Desember 2005 dan versi 4.1 pada bulan Mei 2007 lebih mengarah pada tata kelola TI, dan terakhir COBIT versi 5 pada bulan Juni 2012 yang menekankan tata kelola TI pada perusahaan.
Tujuan dan Manfaat
Dalam kerangka tata kelola perusahaan (corporate governance), tata kelola TI menjadi semakin utama dan merupakan bagian tidak terpisahkan terhadap kesuksesan penerapan tata kelola perusahaan secara menyeluruh. Tata kelola TI memastikan adanya pengukuran yang efisien dan efektif terhadap peningkatan proses bisnis perusahaan melalui struktur yang menghubungkan proses-proses TI, sumberdaya TI dan informasi ke arah dan tujuan strategis perusahaan.
Lebih jauh lagi, tata kelola TI memadukan dan melembagakan best practices dari proses perencanaan, pengelolaan, penerapan, pelaksanaan dan pendukung, serta pengawasan kinerja TI, untuk memastikan informasi perusahaan dan teknologi yang terkait lainnya benar-benar menjadi pendukung bagi pencapaian sasaran perusahaan. Dengan keterpaduan tersebut, diharapkan perusahaan mampu mendayagunakan informasi yang dimilikinya sehingga dapat mengoptimumkan segala sumber daya dan proses bisnis mereka untuk menjadi lebih kompetitif.
Dengan adanya tata kelola TI, proses bisnis perusahaan akan menjadi jauh lebih transparan, dapat dipertanggungjawabkan, serta akuntabilitas tiap fungsi atau individu semakin jelas. Tata kelola TI bukan hanya penting bagi teknis TI saja, direksi dan bahkan komisaris, yang tanggung  jawabnya terhadap investasi dan pengelolaan risiko perusahaan, adalah pihak utama yang harus memastikan bahwa perusahaannya memiliki tata kelola TI. Dengan demikian keuntungan optimum investasi TI tercapai dan sekaligus memastikan semua potensi risiko investasi TI telah diantisipasi dan dapat terkendali dengan baik. Menurut COBIT, keputusan bisnis yang baik harus didasarkan pada pengetahuan yang berasal dari informasi yang relevan, komprehensif, dan tepat waktu. Informasi seperti itu dihasilkan oleh sistem informasi yang memenuhi 7 kriteria: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kesesuaian terhadap rencana atau aturan, dan keakuratan informasi yang dihasilkan. Kunci utamanya adalah untuk mengelola bisnis yang menguntungkan pada kondisi lingkungan yang berubah pesat.
Adapun tujuan dari COBIT ini sendiri adalah :
  • Diharapkan dapat membantu menemukan berbagai kebutuhan manajemen yang berkaitan dengan TI,
  • Agar dapat mengoptimalkan investasi TI,
  • Menyediakan ukuran atau kriteria ketika terjadi penyelewengan atau penyimpangan. Adapun manfaat jika tujuan tersebut tercapai adalah :
    •  Dapat membantu manajemen dalam pengambilan keputusan,
    •  Dapat mendukung pencapaian tujuan bisnis, dan
    •   Dapat meminimalisasikan adanya tindak kecurangan/ fraud yang merugikan perusahaan yang bersangkutan.
Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi secara keseluruhan, yang pada dasarnya terdiri tiga tingkat usaha tata kelola TI yang menyangkut manajemen sumber daya TI. Yaitu dari bawah, kegiatan tugas (Activities and Tasks) merupakan kegiatan yang dilakukan secara terpisah yang diperlukan untuk mencapai hasil yang dapat diukur. Dan selanjutnya kumpulan Activity and Tasks dikelompokkan ke dalam proses TI. Proses-proses TI yang memiliki permasalahan tata kelola TI yang sama akan dikelompokkan ke dalam domain. Maka konsep kerangka kerja dapat dilihat dari tiga sudut pandang, meliputi : Information Criteria, IT Resources, IT Processes, seperti terlihat pada gambar dibawah ini :
Kubus COBIT
Lingkup kriteria informasi (Information Criteria) yang menjadi perhatian dalam COBIT adalah:
  • Effectiveness : Menitikberatkan pada sejauh mana efektivitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.
  • Efficiency :Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.
  • Confidentiality : Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
  •  Integrity : Menitikberatkan pada integritas data/informasi dalam sistem informasi.
  • Availability : Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
  • Compliance : Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
  •  Reliability : Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:
  • Applications (Aplikasi)
  • Information (Informasi)
  • Infrastructure (Infrastruktur)
  • People (Manusia/Pengguna)
Empat Domain COBIT
Dalam memberikan informasi kepada dunia usaha sesuai dengan bisnis dan kebutuhan tata kelola teknologi informasi, model proses COBIT terdapat 4 (empat) domain yang di dalamnya terdapat 34 proses dan 318 control objectives, serta 1547 control practitices. Sehingga domain tersebut dapat diidentifikasikan yang terdiri dari 34 proses, yaitu (ITGI, 2007) :
Domain 1: Plan and Organize (PO) -Perencanaan dan Organisasi
Yaitu mencakup masalah mengidentifikasikan cara terbaik TI untuk memberikan kontribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. Domain PO terdiri dari 10 control objectives, meliputi :
  • PO1 : Define a strategic IT plan (menentukan perencanaan strategi TI)
  • PO2 : Define the information architecture (Menentukan Arsitektur Informasi)
  • PO3 : Determine technological direction (Menentukan Arahan Teknologi)
  • PO4 : Define the IT processes, organization and relationships (Menentukan proses-proses TI, Organisasi, dan Relasinya)
  • PO5 : Manage the IT investment (Mengelola Investasi TI)
  • PO6 : Communicate management aims and direction (Mengkomunikasikan Tujuan dan  Arah Manajemen)
  • PO7 : Manage IT human resources (Mengelola SDM TI)
  • PO8 : Manage quality human resource (Mengelola Mutu SDM)
  • PO9 : Asses and manage IT risks (Menjamin dan Mengelola Risiko-risiko TI)
  • PO10 : Manage projects (Mengelola Proyek)
Domain 2: Acquire and Implement (AI) – Akuisisi dan Implementasi
Domain ini menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah ditetapkan, harus disertai solusi-solusi TI yang sesuai solusi TI tersebut diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Dimana domain AI terdiri dari 7 control objectives, meliputi :
  • AI1 : Identify automated solutions (Mengidentifikasi otomasi solusi)
  • AI2 : Acquire and maintain application software (Memperoleh dan memelihara aplikasi perangkat lunak)
  • AI3 : Acquire and maintain technology infrastructure (Memperoleh dan memelihara teknologi infrastruktur)
  • AI4 : Enable operation and use (Mengaktifkan dan menggunakan operasi)
  • AI5 : Procure IT resources (Mendapatkan Sumber Daya TI)
  • AI6 : Manage changes (Mengatur Perubahan)
  • AI7 : Install and accredit solutions and changes (Memasang dan mengakreditasi solusi dan perubahan)
Domain 3: Deliver and Support (DS) – Penyampaian dan Dukungan
Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya yang meliputi hal keamanan sistem, kesinambungan layanan, pelatihan dan pendidikan untuk pengguna, dan pengelolaan data yang sedang berjalan. Dimana domain DS terdiri dari 13 control objectives, meliputi :
  • DS1 : Define and manage service levels (Menentukan dan mengelola tingkatan layanan)
  • DS2 : Manage third-party services (Mengelola layanan pihak ketiga)
  • DS3 : Manage performance and capacity (Mengelola kinerja dan kemampuan)
  • DS4 : Ensure continuous service (Memastikan keberlanjutan layanan)
  • DS5 : Ensure systems security (memastikan keamanan sistem)
  • DS6 : Identify and allocate costs (Mengidentifikasi dan mengalokasikan biaya)
  • DS7 : Educate and train users (Memberikan Diklat kepada para pengguna)
  • DS8 : Manage service desk and incidents (Mengelola layanan standar dan khusus)
  • DS9 : Manage the configuration (Mengelola Konfigurasi)
  • DS10 : Manage problems (Mengelola permasalahan)
  • DS11 : Manage data (Mengelola Data)
  • DS12 : Manage the physical environment (Mengelola lingkungan fisik)
  • DS13 : Manage operations (Mengelola operasi-operasi)
Domain 4: Monitor and Evaluate (ME) – Pemantauan dan Evaluasi
Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini focus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal dan eksternal. Dimana domain ME terdiri dari 4 control objectives, meliputi :
  • ME1 : Monitor and evaluate IT performance (Memantau dan mengevaluasi kinerja TI)
  • ME2 : Monitor and evaluate internal control  (Memantau dan mengevaluasi kendali internal)
  • ME3 : Ensure regulatory compliance (Memastikan kepatuhan/kesesuaian terhadap aturan)
  • ME4 : Provide IT Governance (Menyediakan tata kelola TI)
Maka dengan melakukan kontrol terhadap 34 control objectives tersebut, organisasi dapat memperoleh keyakinan akan kelayakan tata kelola dan kendali yang diperlukan untuk lingkungan TI. Karena COBIT dirancang beriorientasi bisnis agar bisa digunakan banyak pihak, tetapi lebih penting lagi adalah sebagai panduan yang komprehensif bagi manajemen dan pemilik bisnis proses. Kebutuhan bisnis akan tercermin dari adanya kebutuhan informasi. Dan informasi itu sendiri perlu memenuhi kriteria pengendalian tertentu, untuk mencapai tujuan bisnis.
Kelebihan COBIT :
  • Efektif dan Efisien Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.
  • Rahasia Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.
  • Integritas Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi.
  • Ketersediaan Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.
  • Kepatuhan Nyata Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen.
Kekurangan COBIT :
  • COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional. Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu diadopsi berbagai framework tata kelola operasional seperti ITIL (The Information Technology Infrastructure Library) yang merupakan sebuah kerangka pengelolaan layanan TI yang terbagi ke dalam proses dan fungsi.
  • Kerumitan penerapan. Apakah semua control objective dan detailed control objective harus diadopsi, ataukah hanya sebagian saja? Bagaimana memilihnya?
  • COBIT hanya berfokus pada kendali dan pengukuran.
  •  COBIT kurang dalam memberikan panduan keamanan namun memberikan wawasan umum atas proses TI pada organisasi daripada ITIL misalnya.
Sumber: https://www.academia.edu/9709688/TUGAS_MATA_KULIAH_AUDIT_DAN_EVALUASI_TEKNOLOGI_INFORMASI_COBIT_Control_Objectives_for_Information_and_related_Technology_Chief_Information_Officer_Magister_Teknologi_Informasi
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)