Tentang COBIT
COBIT (Control Objectives for Information and Related Technology)
adalah sebuah proses model yang dikembangkan untuk membantu perusahaan dalam
pengelolaan sumber daya teknologi informasi (IT). Proses model ini difokuskan
pada pengendalian terhadap masing-masing dari 34 proses IT, meningkatkan
tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT.
COBIT menciptakan sebuah jembatan antara manajemen TI dan para eksekutif
bisnis. COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh
semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan
dengan semakin besarnya perhatian yang diberikan terhadap corporate
governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan
sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit.
Fokus utama dari COBIT ini adalah harapan bahwa melaui adopsi COBIT ini,
perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan
mengurangi resiko-resiko inheren yang teridentifikasi
didalamnya.
COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan
bagian dari Information Systems Audit and Control Association (ISACA).
Saat ini pengembangan terbaru dari standar ini adalah COBIT Edisi 5.0.
Manfaat yang diberikan oleh informasi dan teknologi pada perusahaan :
- Menjaga kualitas informasi
untuk mendukung pengambilan keputusan bisnis.
- Menghasilkan nilai bisnis dari
investasi pemanfaatan IT , yaitu mencapai tujuan strategis dan
merealisasikan manfaat bisnis melalui penggunaan IT yang efektif dan
inovatif.
- Mencapai keunggulan operasional
melalui penerapan teknologi yang handal dan efisien.
- Menjaga resiko yang behubungan
dengan penerapan pada tingkat yang masih bisa ditoleransi mengoptimalkan
biaya penggunaan it service dan teknologi
Komponen-Komponen COBIT
COBIT memiliki komponen-komponen
sebagai berikut :
a. Executive Summary
b. Framework
c. Control Objective
d. Audit Guidelines
e. Management Guidelines
f. Control Practices
Definisi Pengendalian Internal menurut COBIT
COBIT mengadopsi definisi
pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan struktur
organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan
organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau
dideteksi dan diperbaiki”. Sedangkan COBIT mengadaptasi definisi tujuan
pengendalian (control objective)dari SAC yaitu : “Suatu pernyataan atas
hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan
prosedur pengendalian dalam aktivitas IT tertentu”.
Komponen tujuan pengendalian (control objectives) COBIT ini
terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control
objectives ) yang tercermin dalam 4 domain, yaitu : planning
& organization , acquisition & implementation ,delivery
& support , dan monitoring.
Ringkasan Konsep Pengendalian Internal COBIT dilihat dari berbagai
sudut pandang
Pengguna Utama
COBIT di rancang untuk digunakan
oleh tiga pengguna yang berbeda yaitu :
- Manajemen : untuk membantu mereka menyeimbangkan
antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang
sering tidak dapat diprediksi.
- User : untuk memperoleh keyakinan atas layanan
keamanan dan pengendalian IT yang disediakan oleh pihak internal
atau pihak ketiga.
- Auditor : untuk medukung/memperkuat opini yang
dihasilkan dan/atau untuk memberikan saran kepada manajemen atas
pengendalian internal yang ada.
Tujuan Pengendalian Internal bagi Organisasi
Operasi yang efektif dan efisien
Keefektifan berkenaan dengan
informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis yang
ada dan juga dapat diperoleh tepat waktu, benar, konsisten, dan bermanfaat.
Sedangkan keefisienan berkaitan dengan penyediaan informasi melalui sumber daya
(yang paling produktif dan ekonomis) yang optimal.
Kerahasiaan
Menyangkut perhatian atas
perlindungan informasi yang sensitif dari pihak-pihak yang tidak berwenang.
Integritas
Berkaitan dengan akurasi dan
kelengkapan dari informasi dan juga validitasnya sesuai nilai-nilai dan harapan
bisnis.
Ketersedian
Informasi
Berkaitan dengan informasi harus
dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik sekarang maupun
di masa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya
yang perlu dan kemampuan yang terkait.
Pelaporan
keuangan yang handal
Berkaitan dengan pemberian informasi
yang tepat bagi manajemen untuk mengoperasikan perusahaan dan juga pemenuhan
kewajiban mereka untuk membuat pelaporan keuangan.
Ketaatan
terhadap ketentuan hukum dan peraturan
Terkait dengan pemenuhan sesuai
dengan ketentuan hukum, peraturan, perjanjian kontrak, dimana dalam hal ini
proses bisnis dipandang sebagai suatu subjek.
Domain
- Planning and organization
Domain ini mencakup strategi dan
taktik, dan perhatian atas identifikasi bagaimana IT secara maksimal dapat
berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi
strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai
perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta
infrastruktur teknologi harus di tempatkan di tempat yang semestinya.
- Acquisition dan implementation
Untuk merealisasikan strategi IT,
solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu,
perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini
untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sisteem
ini.
- Delivery and Support
Domain ini memberikan fokus utama
pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area
seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga,
proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan
efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga
pelatihan.
- Monitoring
Semua proses IT perlu dinilai secara
teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat
pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas
proses pengendalian dalam organisasi serta penilaian independen yang dilakukan
baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber
anternatif lainnya.
Kerangka kerja COBIT ini terdiri
atas beberapa arahan ( guidelines ), yakni:
Control
Objectives : Terdiri atas 4 tujuan pengendalian tingkat-tinggi
( high-level control objectives ) yang tercermin dalam 4
domain, yaitu: planning & organization , acquisition
& implementation , delivery & support ,
dan monitoring .
Audit
Guidelines : Berisi sebanyak 318 tujuan-tujuan pengendalian yang
bersifat rinci (detailed control objectives ) untuk membantu para
auditor dalam memberikanmanagement assurance dan/atau saran
perbaikan.
Management
Guidelines : Berisi arahan, baik secara umum maupun spesifik,
mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab
pertanyaan-pertanyaan berikut :
- Sejauh mana Anda (TI) harus
bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang
dihasilkannya.
- Apa saja indikator untuk suatu
kinerja yang bagus?
- Apa saja faktor atau kondisi
yang harus diciptakan agar dapat mencapai sukses (critical success
factors )?
- Apa saja risiko-risiko yang
timbul, apabila kita tidak mencapai sasaran yang ditentukan?
- Bagaimana dengan perusahaan
lainnya – apa yang mereka lakukan?
- Bagaimana Anda mengukur
keberhasilan dan bagaimana pula membandingkannya.
The COBIT
Framework memasukkan juga hal-hal berikut ini:
- Maturity Models – Untuk
memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan
dengan “the best in the class in the Industry” dan juga
International best practices
- Critical Success Factors (CSFs)
– Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas
proses TI.
- Key Goal Indicators (KGIs)
– Kinerja proses-proses TI sehubungan dengan business requirements
- Key Performance Indicators (KPIs)
– Kinerja proses-proses TI sehubungan denganprocess goals.
Satu dari prinsip dalam COBIT 5 ini
adalah pembedaan yang dibuat antara tata kelola (governance) dan pengelolaan
(management). Selaras dengan prinsip ini, setiap organisasi diharapkan untuk
melaksanakan sejumlah proses tata kelola dan sejumlah proses pengelolaan untuk
menyediakan tata kelola dan pengelolaan enterprise IT yang komprehensif.
Ketika mempertimbangkan proses untuk tata kelola dan pengelolaan dalam
konteks enterprise, perbedaan antara jenis-jenis proses tergantung kepada
tujuan dari proses tersebut, antara lain :
- Proses tata kelola berhubungan
dengan tujuan tata kelola, yaitu value delivery; manajemen resiko dan
penyeimbangan sumber daya; serta termasuk praktik dan aktivitas yang
dituju sesuai evaluasi pilihan strategis yang menyediakan arahan kepada IT
dan memantau outcome (hal ini sesuai dengan konsep standar ISO 38500).
- Selaras dengan definisi
pengelolaan, praktik dan aktivitas dari proses pengelolaan (management
process) melingkupi tanggung jawab area perencanaan, pembangunan,
pelaksanaan, dan pemantauan dari enterprise IT. Proses pengelolaan juga
menyediakan cakupan end-to-end dari IT.
Walau outcome kedua jenis proses
berbeda dan dimaksudkan untuk audience yang berbeda, secara internal, contohnya
dari konteks prosesnya sendiri, semua proses membutuhkan aktivitas perencanaan,
pembangunan (atau implementasi), eksekusi, dan pemantauan.
COBIT 5 tidaklah menentukan tetapi
dari penjelasan di atas jelas bahwa COBIT 5 mendukung organisasi
mengimplementasi proses tata kelola dan pengelolaan pada area yang dicakupi
seperti yang dijelaskan pada gambar di bawah.
Dalam teorinya, perusahaan dapat mengorganisasi prosesnya apabila
memungkinkan selama tujuan dasar tata kelola dan pengelolaan tercakupi.
Perusahaan kecil memiliki proses yang lebih sedikit sedangkan perusahaan yang
lebih besar atau rumit memiliki proses yang banyak. Semuanya mencakupi tujuan
yang sama. Meskipun begitu, COBIT 5 juga menyertakan sebuah model referensi
proses yang mendefinisikan dan menjelaskan secara rinci sejumlah proses tata
kelola dan pengelolaan. Model referensi proses merepresentasikan semua proses
yang secara normal ditemukan dalam sebuah perusahaan yang berhubungan dengan
kegiatan IT dengan demikian menyediakan sebuah model referensi umum yang dapat
dimengerti untuk manajer bisnis dan It yang beroperasi dan juga auditor maupun
penasehat.
Menggabungkan model operasional dan membuat sebuah bahasa umum untuk semua
bagian bisnis yang terlibat dalam kegiatan IT merupakan salah satu hal yang
paling penting dan langkah kritis menuju tata kelola yang baik (good
governance). Selain itu, model referensi proses menyediakan kerangka kerja
untuk mengukur dan memantau kinerja IT, mengomunikasikan dengan penyedia
layanan, serta menyatukan praktik-praktik pengelolaan terbaik.
Model referensi proses COBIT 5 membagi proses tata kelola dan pengelolaan
perusahaan IT ke dalam dua domain, yaitu domain tata kelola dan domain
pengelolaan.
- Domain tata kelola mengandung lima
proses tata kelola yang di dalam setiap prosesnya praktik evaluasi,
pengarahan, dan pemantauan didefinisikan.
- Domain pengelolaan ada empat
yang selaras dengan wilayah tanggung jawab perencanaan, pembangunan,
pelaksanaan, dan pemantauan.
- Dalam COBIT 5, proses-proses
juga mencakupi lingkup penuh dari kegiatan bisnis dan IT yang berhubungan
dengan tata kelola dan pengelolaaan enterprise IT. Dengan demikian membuat
model proses benar-benar enterprise-wide.
Model referensi proses COBIT 5 adalah penerus proses model COBIT 4.1 dengan
mengintegrasikan proses model Risk IT dan Val IT. Gambar di bawah menggambarkan
himpunan lengkap dari proses tata kelola dan pengelolaan dalam COBIT 5.
sumber:
Tidak ada komentar:
Posting Komentar