Control Objective for Information &
Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT
Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk
menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis
IT (Sasongko, 2009). COBIT mendukung tata kelola TI dengan menyediakan kerangka
kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja
juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko
TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab
(Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap
dan menyeluruh sebagai framework IT audit karena dikembangkan secara
berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir
seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola
para profesional tersebut.
Kerangka
Kerja COBIT
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman,
yakni:
Control Objectives
Terdiri atas 4 tujuan pengendalian
tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain,
yaitu : Planning & Organization , Acquisition & Implementation ,
Delivery & Support , dan Monitoring & Evaluation.
Audit Guidelines Berisi sebanyak 318
tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk
membantu para auditor dalam memberikan management assurance dan/atau saran
perbaikan.
Management Guidelines Berisi arahan, baik
secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar
dapat menjawab pertanyaan-pertanyaan berikut :
Sejauh mana TI harus bergerak atau digunakan, dan
apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
Apa saja indikator untuk suatu kinerja yang bagus.
Apa saja faktor atau kondisi yang harus diciptakan
agar dapat mencapai sukses ( critical
success factors ).
Apa saja risiko-risiko yang timbul, apabila
kita tidak mencapai sasaran yang ditentukan.
Bagaimana dengan perusahaan lainnya, apa yang mereka
lakukan.
Bagaimana mengukur keberhasilan dan bagaimana
pula membandingkannya.
Manfaat dan Pengguna COBIT
Secara manajerial target pengguna COBIT dan manfaatnya
adalah :
Direktur
dan Eksekutif
Untuk memastikan manajemen mengikuti dan mengimplementasikan
strategi searah dan sejalan dengan TI.
Manajemen
Untuk mengambil keputusan investasi TI.
Untuk keseimbangan resiko dan kontrol
investasi.
Untuk benchmark lingkungan TI sekarang dan masa
depan.
Pengguna
Untuk memperoleh jaminan keamanan dan
control produk dan jasa yang dibutuhkan secara internal maupun eksternal.
Auditors
Untuk memperkuat opini untuk manajemen
dalam control internal.
Untuk memberikan saran pada control minimum
yang diperlukan.
Frame Work COBIT
COBIT dikeluarkan oleh IT Governance
Institute (ITGI). COBIT digunakan untuk menjalankan penentuan atas IT dan
meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit,
kinerja dan hasil metrik, faktor kesuksesan dan maturity model.
Lingkup kriteria informasi yang sering menjadi
perhatian dalam COBIT adalah:
Effectiveness
Menitikberatkan pada sejauh mana
efektifitas informasi dikelola dari data-data yang diproses oleh sistem
informasi yang dibangun.
Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi
terhadap informasi yang diproses oleh
sistem.
Confidentiality
Menitikberatkan pada pengelolaan
kerahasiaan informasi secara hierarkis.
Integrity
Menitikberatkan pada integritas
data/informasi dalam sistem.
Availability
Menitikberatkan pada ketersediaan
data/informasi dalam sistem informasi.
Compliance
Menitikberatkan pada kesesuaian
data/informasi dalam sistem informasi.
Reliability
Menitikberatkan pada kemampuan/ketangguhan sistem
informasi dalam pengelolaan data/informasi.
Sedangkan fokus terhadap pengelolaan sumber daya
teknologi informasi dalam COBIT adalah pada :
Applications
Information
Infrastructure
People
Dalam menyediakan informasi yang dibutuhkan perusahaan
untuk mencapai tujuan organisasi, COBIT memiliki karakteristik :
Business-focused
Process-oriented
Controls-based
Measurement-driven
COBIT mengelompokkan semua aktivitas bisnis
yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam 4 buah
domain proses, meliputi :
Planning & Organization .
Domain ini menitikberatkan pada proses perencanaan
dan penyelarasan strategi TI dengan
strategi perusahaan, mencakup masalah
strategi, taktik dan identifikasi tentang bagaimana TI dapat memberikan
kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi sehingga terbentuk
sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula. Domain
ini mencakup :
PO1 – Menentukan
rencana strategis
PO2 – Menentukan
arsitektur informasi
PO3 – Menentukan
arah teknologi
PO4 – Menentukan
proses TI, organisasi dan hubungannya
PO5 – Mengelola
investasi TI
PO6 –
Mengkomunikasikan tujuan dan arahan manajemen
PO7 – Mengelola
sumber daya manusia
PO8 – Mengelola
kualitas
PO9 – Menilai dan
mengelola resiko TI
PO10 – Mengelola
proyek
Acquisition & Implementation.
Domain ini berkaitan dengan implementasi
solusi IT dan integrasinya dalam proses bisnis organisasi untuk mewujudkan
strategi TI, juga meliputi perubahan dan maintenance yang dibutuhkan sistem yang
sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga.
Domain ini meliputi:
AI1 –
Mengidentifikasi solusi yang dapat diotomatisasi.
AI2 – Mendapatkan
dan maintenance software aplikasi.
AI3 – Mendapatkan
dan maintenance infrastuktur teknologi
AI4 – Mengaktifkan
operasi dan penggunaan
AI5 – Pengadaan
sumber daya IT.
AI6 – Mengelola
perubahan
AI7 – Instalasi
dan akreditasi solusi dan perubahan.
Delivery & Support .
Domain ini mencakup proses pemenuhan layanan
IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk
pengguna, dan pemenuhan proses data yang sedang berjalan.
Domain ini meliputi :
DS1 – Menentukan dan mengelola tingkat layanan.
DS2 – Mengelola layanan dari pihak ketiga
DS3 – Mengelola performa dan kapasitas.
DS4 – Menjamin layanan yang berkelanjutan
DS5 – Menjamin keamanan sistem.
DS6 – Mengidentifikasi dan mengalokasikan dana.
DS7 – Mendidik dan melatih pengguna
DS8 – Mengelola service desk dan insiden.
DS9 – Mengelola konfigurasi.
DS10 – Mengelola permasalahan.
DS11 – Mengelola data
DS12 – Mengelola lingkungan fisik
DS13 – Mengelola operasi.
Monitoring
and Evaluation .
Domain ini berfokus pada masalah
kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan
ekstern dan jaminan independent dari
proses pemeriksaan yang dilakukan. Domain
ini meliputi:
ME1 – Mengawasi dan mengevaluasi
performansi TI.
ME2 – Mengevaluasi dan mengawasi kontrol
internal
ME3 – Menjamin kesesuaian dengan
kebutuhan eksternal.
ME4 – Menyediakan IT Governance .
COBIT
Maturity Model
COBIT menyediakan parameter untuk penilaian
setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan
maturity models yang bisa digunakan untuk penilaian kesadaran pengelolaan
(management awareness) dan tingkat kematangan (maturity level). COBIT mempunyai
model kematangan (maturity models) untuk mengontrol proses-proses IT dengan
menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai
proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised
(dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial, 2: Repetable, 3: Defined,
4: Managed dan 5: Optimized (Purwanto dan Saufiah, 2010; Setiawan, 2008;
Nurlina dan Cory, 2008)
sumber:
haendra.wordpress.com/2012/06/08/pengertian-cobit/