Tentang COBIT
COBIT (Control Objectives for Information and
Related Technology) adalah sebuah proses model yang dikembangkan untuk
membantu perusahaan dalam pengelolaan sumber daya teknologi informasi (IT).
Proses model ini difokuskan pada pengendalian terhadap masing-masing dari 34
proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi
ekspektasi bisnis dari IT.
COBIT menciptakan sebuah jembatan antara manajemen TI dan
para eksekutif bisnis. COBIT mampu menyediakan bahasa yang umum sehingga dapat
dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat
dikaitkan dengan semakin besarnya perhatian yang diberikan terhadapcorporate
governance dan kebutuhan perusahaan agar mampu berbuat lebih
dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang
sulit.
Fokus utama dari COBIT ini adalah harapan bahwa melaui
adopsi COBIT ini, perusahaan akan mampu meningkatkan nilai tambah melalui
penggunaan TI dan mengurangi resiko-resiko inheren yang
teridentifikasi didalamnya.
COBIT dikembangkan oleh IT Governance Institute (ITGI),
yang merupakan bagian dari Information Systems Audit and Control
Association (ISACA). Saat ini pengembangan terbaru dari standar ini
adalah COBIT Edisi 5.0.
Manfaat yang diberikan oleh informasi dan teknologi pada
perusahaan :
Menjaga kualitas informasi untuk mendukung pengambilan
keputusan bisnis.
Menghasilkan nilai bisnis dari investasi pemanfaatan IT ,
yaitu mencapai tujuan strategis dan merealisasikan manfaat bisnis melalui
penggunaan IT yang efektif dan inovatif.
Mencapai keunggulan operasional melalui penerapan teknologi
yang handal dan efisien.
Menjaga resiko yang behubungan dengan penerapan pada
tingkat yang masih bisa ditoleransi mengoptimalkan biaya penggunaan it service
dan teknologi
Komponen-Komponen COBIT
COBIT memiliki komponen-komponen sebagai berikut :
a. Executive Summary
b. Framework
c. Control Objective
d. Audit Guidelines
e. Management Guidelines
f. Control Practices
Definisi Pengendalian Internal
menurut COBIT
COBIT mengadopsi definisi pengendalian dari COSO yaitu :
“Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk
memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan
hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”.
Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control
objective)dari SAC yaitu : “Suatu pernyataan atas hasil yang
diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur
pengendalian dalam aktivitas IT tertentu”.
Komponen tujuan pengendalian (control
objectives) COBIT ini terdiri atas 4 tujuan pengendalian tingkat-tinggi
( high-level control objectives ) yang tercermin dalam 4
domain, yaitu : planning & organization , acquisition
& implementation ,delivery & support , dan monitoring.
Ringkasan Konsep Pengendalian
Internal COBIT dilihat dari berbagai sudut pandang
Pengguna Utama
COBIT di rancang untuk digunakan oleh tiga pengguna yang
berbeda yaitu :
Manajemen : untuk membantu mereka menyeimbangkan antara
resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak
dapat diprediksi.
User : untuk memperoleh keyakinan atas layanan keamanan dan
pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
Auditor : untuk medukung/memperkuat opini yang dihasilkan
dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal
yang ada.
Tujuan Pengendalian Internal bagi
Organisasi
Operasi yang efektif dan efisien
Keefektifan berkenaan dengan informasi yang diperoleh harus
relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat diperoleh
tepat waktu, benar, konsisten, dan bermanfaat. Sedangkan keefisienan berkaitan
dengan penyediaan informasi melalui sumber daya (yang paling produktif dan
ekonomis) yang optimal.
Kerahasiaan
Menyangkut perhatian atas perlindungan informasi yang
sensitif dari pihak-pihak yang tidak berwenang.
Integritas
Berkaitan dengan akurasi dan kelengkapan dari informasi dan
juga validitasnya sesuai nilai-nilai dan harapan bisnis.
Ketersedian Informasi
Berkaitan dengan informasi harus dapat tersedia ketika
dibutuhkan oleh suatu proses bisnis baik sekarang maupun di masa yang akan
datang. Ini juga terkait dengan pengamanan atas sumber daya yang perlu dan
kemampuan yang terkait.
Pelaporan keuangan yang handal
Berkaitan dengan pemberian informasi yang tepat bagi
manajemen untuk mengoperasikan perusahaan dan juga pemenuhan kewajiban mereka
untuk membuat pelaporan keuangan.
Ketaatan terhadap ketentuan hukum dan
peraturan
Terkait dengan pemenuhan sesuai dengan ketentuan hukum,
peraturan, perjanjian kontrak, dimana dalam hal ini proses bisnis dipandang
sebagai suatu subjek.
Domain
Planning and organization
Domain ini mencakup strategi dan taktik, dan perhatian atas
identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian
tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan,
dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir,
sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di
tempatkan di tempat yang semestinya.
Acquisition dan implementation
Untuk merealisasikan strategi IT, solusi TI perlu
diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan
terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan
sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus
hidup akan terus berlangsung untuk sistem-sisteem ini.
Delivery and Support
Domain ini memberikan fokus utama pada aspek
penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti
pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses
dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan
efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.
Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang
waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini
menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam
organisasi serta penilaian independen yang dilakukan baik auditor internal
maupun eksternal atau diperoleh dari sumber-sumber anternatif lainnya.
Kerangka kerja COBIT ini terdiri atas beberapa arahan
( guidelines ), yakni:
Control Objectives : Terdiri atas 4 tujuan
pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4
domain, yaitu: planning & organization , acquisition
& implementation , delivery & support , dan monitoring .
Audit Guidelines : Berisi sebanyak 318
tujuan-tujuan pengendalian yang bersifat rinci (detailed
control objectives ) untuk membantu para auditor dalam memberikanmanagement
assurance dan/atau saran perbaikan.
Management Guidelines : Berisi arahan, baik
secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama
agar dapat menjawab pertanyaan-pertanyaan berikut :
Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI
yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
Apa saja indikator untuk suatu kinerja yang bagus?
Apa saja faktor atau kondisi yang harus diciptakan agar
dapat mencapai sukses (critical success factors )?
Apa saja risiko-risiko yang timbul, apabila kita tidak
mencapai sasaran yang ditentukan?
Bagaimana dengan perusahaan lainnya – apa yang mereka
lakukan?
Bagaimana Anda mengukur keberhasilan dan bagaimana pula
membandingkannya.
The COBIT Framework memasukkan juga hal-hal
berikut ini:
Maturity Models – Untuk memetakan status
maturity proses-proses TI (dalam skala 0 – 5) dibandingkan
dengan “the best in the class in the Industry” dan juga International
best practices
Critical Success Factors (CSFs) – Arahan
implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
Key Goal Indicators (KGIs) – Kinerja
proses-proses TI sehubungan dengan business requirements
Key
Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan denganprocess
goals.
Satu dari prinsip dalam COBIT 5 ini adalah pembedaan yang
dibuat antara tata kelola (governance) dan pengelolaan (management). Selaras
dengan prinsip ini, setiap organisasi diharapkan untuk melaksanakan sejumlah
proses tata kelola dan sejumlah proses pengelolaan untuk menyediakan tata
kelola dan pengelolaan enterprise IT yang komprehensif.
Ketika mempertimbangkan proses untuk tata kelola dan
pengelolaan dalam konteks enterprise, perbedaan antara jenis-jenis proses
tergantung kepada tujuan dari proses tersebut, antara lain :
Proses tata kelola
berhubungan dengan tujuan tata kelola, yaitu value delivery; manajemen resiko
dan penyeimbangan sumber daya; serta termasuk praktik dan aktivitas yang dituju
sesuai evaluasi pilihan strategis yang menyediakan arahan kepada IT dan memantau
outcome (hal ini sesuai dengan konsep standar ISO 38500).
Selaras dengan definisi
pengelolaan, praktik dan aktivitas dari proses pengelolaan (management process)
melingkupi tanggung jawab area perencanaan, pembangunan, pelaksanaan, dan
pemantauan dari enterprise IT. Proses pengelolaan juga menyediakan cakupan end-to-end
dari IT.
Walau outcome kedua jenis proses berbeda dan dimaksudkan
untuk audience yang berbeda, secara internal, contohnya dari konteks prosesnya
sendiri, semua proses membutuhkan aktivitas perencanaan, pembangunan (atau
implementasi), eksekusi, dan pemantauan.
COBIT 5 tidaklah menentukan tetapi dari penjelasan di atas
jelas bahwa COBIT 5 mendukung organisasi mengimplementasi proses tata kelola
dan pengelolaan pada area yang dicakupi seperti yang dijelaskan pada gambar di
bawah.
Dalam teorinya, perusahaan dapat mengorganisasi prosesnya
apabila memungkinkan selama tujuan dasar tata kelola dan pengelolaan tercakupi.
Perusahaan kecil memiliki proses yang lebih sedikit sedangkan perusahaan yang
lebih besar atau rumit memiliki proses yang banyak. Semuanya mencakupi tujuan
yang sama. Meskipun begitu, COBIT 5 juga menyertakan sebuah model referensi
proses yang mendefinisikan dan menjelaskan secara rinci sejumlah proses tata
kelola dan pengelolaan. Model referensi proses merepresentasikan semua proses
yang secara normal ditemukan dalam sebuah perusahaan yang berhubungan dengan
kegiatan IT dengan demikian menyediakan sebuah model referensi umum yang dapat
dimengerti untuk manajer bisnis dan It yang beroperasi dan juga auditor maupun
penasehat.
Menggabungkan model operasional dan membuat sebuah bahasa
umum untuk semua bagian bisnis yang terlibat dalam kegiatan IT merupakan salah
satu hal yang paling penting dan langkah kritis menuju tata kelola yang baik
(good governance). Selain itu, model referensi proses menyediakan kerangka
kerja untuk mengukur dan memantau kinerja IT, mengomunikasikan dengan penyedia
layanan, serta menyatukan praktik-praktik pengelolaan terbaik.
Model referensi proses COBIT 5 membagi proses tata kelola
dan pengelolaan perusahaan IT ke dalam dua domain, yaitu domain tata kelola dan
domain pengelolaan.
Domain tata kelola
mengandung lima proses tata kelola yang di dalam setiap prosesnya praktik
evaluasi, pengarahan, dan pemantauan didefinisikan.
Domain pengelolaan ada
empat yang selaras dengan wilayah tanggung jawab perencanaan, pembangunan,
pelaksanaan, dan pemantauan.
Dalam COBIT 5,
proses-proses juga mencakupi lingkup penuh dari kegiatan bisnis dan IT yang
berhubungan dengan tata kelola dan pengelolaaan enterprise IT. Dengan demikian
membuat model proses benar-benar enterprise-wide.
Model referensi proses COBIT 5 adalah penerus proses model
COBIT 4.1 dengan mengintegrasikan proses model Risk IT dan Val IT. Gambar di
bawah menggambarkan himpunan lengkap dari proses tata kelola dan pengelolaan
dalam COBIT 5.