COBIT (Control
Objectives for Information and Related Technology)
Tentang COBIT
COBIT (Control Objectives for Information
and Related Technology) adalah sebuah proses model yang dikembangkan untuk
membantu perusahaan dalam pengelolaan sumber daya teknologi informasi (IT).
Proses model ini difokuskan pada pengendalian terhadap masing-masing dari 34
proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi
ekspektasi bisnis dari IT.
COBIT menciptakan sebuah jembatan antara
manajemen TI dan para eksekutif bisnis. COBIT mampu menyediakan bahasa yang
umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di
seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan
terhadapcorporate governance dan kebutuhan perusahaan agar mampu
berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi
ekonomi yang sulit.
Fokus utama dari COBIT ini adalah harapan
bahwa melaui adopsi COBIT ini, perusahaan akan mampu meningkatkan nilai tambah
melalui penggunaan TI dan mengurangi resiko-resiko inheren yang
teridentifikasi didalamnya.
COBIT dikembangkan oleh IT Governance
Institute (ITGI), yang merupakan bagian dari Information Systems Audit
and Control Association (ISACA). Saat ini pengembangan terbaru dari
standar ini adalah COBIT Edisi 5.0.
Manfaat yang diberikan oleh informasi dan
teknologi pada perusahaan :
1. Menjaga kualitas
informasi untuk mendukung pengambilan keputusan bisnis.
2. Menghasilkan nilai
bisnis dari investasi pemanfaatan IT , yaitu mencapai tujuan strategis dan
merealisasikan manfaat bisnis melalui penggunaan IT yang efektif dan inovatif.
3. Mencapai keunggulan
operasional melalui penerapan teknologi yang handal dan efisien.
4. Menjaga resiko yang
behubungan dengan penerapan pada tingkat yang masih bisa ditoleransi
mengoptimalkan biaya penggunaan it service dan teknologi
Komponen-Komponen
COBIT
COBIT memiliki komponen-komponen sebagai berikut :
a. Executive Summary
b. Framework
c. Control Objective
d. Audit Guidelines
e. Management Guidelines
f. Control Practices
Definisi
Pengendalian Internal menurut COBIT
COBIT mengadopsi definisi pengendalian dari COSO yaitu :
“Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk
memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan
hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”.
Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control
objective)dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan
atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian
dalam aktivitas IT tertentu”.
Komponen tujuan pengendalian (control objectives) COBIT ini terdiri atas 4 tujuan
pengendalian tingkat-tinggi ( high-level control objectives )
yang tercermin dalam 4 domain, yaitu : planning &
organization , acquisition & implementation ,delivery
& support , dan monitoring.
Ringkasan Konsep
Pengendalian Internal COBIT dilihat dari berbagai sudut pandang
Pengguna Utama
COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda
yaitu :
·
Manajemen : untuk membantu mereka menyeimbangkan antara resiko
dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat
diprediksi.
·
User : untuk memperoleh keyakinan atas layanan keamanan dan
pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
·
Auditor : untuk medukung/memperkuat opini yang dihasilkan
dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal
yang ada.
Tujuan Pengendalian
Internal bagi Organisasi
Operasi yang efektif
dan efisien
Keefektifan berkenaan dengan informasi yang diperoleh harus
relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat diperoleh
tepat waktu, benar, konsisten, dan bermanfaat. Sedangkan keefisienan berkaitan
dengan penyediaan informasi melalui sumber daya (yang paling produktif dan
ekonomis) yang optimal.
Kerahasiaan
Menyangkut perhatian atas perlindungan informasi yang sensitif
dari pihak-pihak yang tidak berwenang.
Integritas
Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga
validitasnya sesuai nilai-nilai dan harapan bisnis.
Ketersedian Informasi
Berkaitan dengan informasi harus dapat tersedia ketika
dibutuhkan oleh suatu proses bisnis baik sekarang maupun di masa yang akan
datang. Ini juga terkait dengan pengamanan atas sumber daya yang perlu dan
kemampuan yang terkait.
Pelaporan keuangan yang handal
Berkaitan dengan pemberian informasi yang tepat bagi manajemen
untuk mengoperasikan perusahaan dan juga pemenuhan kewajiban mereka untuk
membuat pelaporan keuangan.
Ketaatan terhadap ketentuan hukum dan
peraturan
Terkait dengan pemenuhan sesuai dengan ketentuan hukum,
peraturan, perjanjian kontrak, dimana dalam hal ini proses bisnis dipandang
sebagai suatu subjek.
Domain
a. Planning and
organization
Domain ini mencakup strategi dan taktik, dan perhatian atas
identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian
tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan,
dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir,
sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di
tempatkan di tempat yang semestinya.
b.
Acquisition dan implementation
Untuk merealisasikan strategi IT, solusi TI perlu
diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan
terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan
sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus
hidup akan terus berlangsung untuk sistem-sisteem ini.
c.
Delivery and Support
Domain ini memberikan fokus utama pada aspek
penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti
pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses
dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan
efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.
Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu
untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini
menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam
organisasi serta penilaian independen yang dilakukan baik auditor internal
maupun eksternal atau diperoleh dari sumber-sumber anternatif lainnya.
Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ),
yakni:
Control Objectives
: Terdiri atas 4 tujuan
pengendalian tingkat-tinggi ( high-level control objectives )
yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition
& implementation , delivery & support ,
dan monitoring .
Audit Guidelines
: Berisi sebanyak 318
tujuan-tujuan pengendalian yang bersifat rinci (detailed control
objectives ) untuk membantu para auditor dalam memberikanmanagement
assurance dan/atau saran perbaikan.
Management
Guidelines : Berisi arahan, baik secara umum maupun spesifik, mengenai apa
saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan
berikut :
§ Sejauh mana Anda (TI)
harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang
dihasilkannya.
§ Apa saja indikator
untuk suatu kinerja yang bagus?
§ Apa saja faktor atau
kondisi yang harus diciptakan agar dapat mencapai sukses (critical success
factors )?
§ Apa saja risiko-risiko
yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
§ Bagaimana dengan
perusahaan lainnya – apa yang mereka lakukan?
§ Bagaimana Anda
mengukur keberhasilan dan bagaimana pula membandingkannya.
The COBIT Framework memasukkan juga
hal-hal berikut ini:
§ Maturity Models – Untuk memetakan
status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan
dengan “the best in the class in the Industry” dan juga International
best practices
§ Critical Success
Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan
kontrol atas proses TI.
§ Key Goal
Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business
requirements
§
Key Performance Indicators (KPIs) – Kinerja
proses-proses TI sehubungan denganprocess goals.
Satu dari prinsip dalam COBIT 5 ini adalah
pembedaan yang dibuat antara tata kelola (governance) dan pengelolaan
(management). Selaras dengan prinsip ini, setiap organisasi diharapkan untuk melaksanakan
sejumlah proses tata kelola dan sejumlah proses pengelolaan untuk menyediakan
tata kelola dan pengelolaan enterprise IT yang komprehensif.
Ketika
mempertimbangkan proses untuk tata kelola dan pengelolaan dalam konteks
enterprise, perbedaan antara jenis-jenis proses tergantung kepada tujuan dari
proses tersebut, antara lain :
1.
Proses tata kelola berhubungan dengan tujuan tata kelola, yaitu
value delivery; manajemen resiko dan penyeimbangan sumber daya; serta termasuk
praktik dan aktivitas yang dituju sesuai evaluasi pilihan strategis yang
menyediakan arahan kepada IT dan memantau outcome (hal ini sesuai dengan konsep
standar ISO 38500).
2.
Selaras dengan definisi pengelolaan, praktik dan aktivitas dari
proses pengelolaan (management process) melingkupi tanggung jawab area
perencanaan, pembangunan, pelaksanaan, dan pemantauan dari enterprise IT.
Proses pengelolaan juga menyediakan cakupan end-to-end dari IT.
Walau outcome kedua
jenis proses berbeda dan dimaksudkan untuk audience yang berbeda, secara internal,
contohnya dari konteks prosesnya sendiri, semua proses membutuhkan aktivitas
perencanaan, pembangunan (atau implementasi), eksekusi, dan pemantauan.
COBIT 5 tidaklah
menentukan tetapi dari penjelasan di atas jelas bahwa COBIT 5 mendukung organisasi
mengimplementasi proses tata kelola dan pengelolaan pada area yang dicakupi
seperti yang dijelaskan pada gambar di bawah.
Dalam teorinya,
perusahaan dapat mengorganisasi prosesnya apabila memungkinkan selama tujuan
dasar tata kelola dan pengelolaan tercakupi. Perusahaan kecil memiliki proses
yang lebih sedikit sedangkan perusahaan yang lebih besar atau rumit memiliki
proses yang banyak. Semuanya mencakupi tujuan yang sama. Meskipun begitu, COBIT
5 juga menyertakan sebuah model referensi proses yang mendefinisikan dan
menjelaskan secara rinci sejumlah proses tata kelola dan pengelolaan. Model
referensi proses merepresentasikan semua proses yang secara normal ditemukan
dalam sebuah perusahaan yang berhubungan dengan kegiatan IT dengan demikian
menyediakan sebuah model referensi umum yang dapat dimengerti untuk manajer
bisnis dan It yang beroperasi dan juga auditor maupun penasehat.
Menggabungkan model
operasional dan membuat sebuah bahasa umum untuk semua bagian bisnis yang
terlibat dalam kegiatan IT merupakan salah satu hal yang paling penting dan
langkah kritis menuju tata kelola yang baik (good governance). Selain itu,
model referensi proses menyediakan kerangka kerja untuk mengukur dan memantau
kinerja IT, mengomunikasikan dengan penyedia layanan, serta menyatukan
praktik-praktik pengelolaan terbaik.
Model referensi proses
COBIT 5 membagi proses tata kelola dan pengelolaan perusahaan IT ke dalam dua
domain, yaitu domain tata kelola dan domain pengelolaan.
1.
Domain tata kelola mengandung lima proses tata kelola yang di
dalam setiap prosesnya praktik evaluasi, pengarahan, dan pemantauan
didefinisikan.
2.
Domain pengelolaan ada empat yang selaras dengan wilayah
tanggung jawab perencanaan, pembangunan, pelaksanaan, dan pemantauan.
3.
Dalam COBIT 5, proses-proses juga mencakupi lingkup penuh dari
kegiatan bisnis dan IT yang berhubungan dengan tata kelola dan pengelolaaan
enterprise IT. Dengan demikian membuat model proses benar-benar
enterprise-wide.
Model referensi proses
COBIT 5 adalah penerus proses model COBIT 4.1 dengan mengintegrasikan proses
model Risk IT dan Val IT. Gambar di bawah menggambarkan himpunan lengkap dari
proses tata kelola dan pengelolaan dalam COBIT 5.
http://billymerkava.blogspot.com/2013/01/apa-yang-anda-ketahui-mengenai-cobit.html
Tidak ada komentar:
Posting Komentar