Control Objective
for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best
practice untuk IT Governance yang dapat membantu auditor, pengguna (user),
dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol
dan masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung
tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI
dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan
bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber
daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan
standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit
karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional
auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara
dibangun chapter yang dapat mengelola para profesional tersebut.
Kerangka Kerja
COBIT
Kerangka kerja
COBIT terdiri atas beberapa arahan/pedoman, yakni:
Terdiri atas 4
tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi
dalam 4 domain, yaitu : Planning & Organization , Acquisition
& Implementation , Delivery & Support , dan Monitoring
& Evaluation.
Berisi sebanyak
318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control
objectives) untuk membantu para auditor dalam memberikan management
assurance dan/atau saran perbaikan.
Berisi arahan,
baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan,
terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
-
Sejauh mana TI
harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai
dengan manfaat yang dihasilkannya.
-
Apa saja
indikator untuk suatu kinerja yang bagus.
-
Apa saja faktor
atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical
success factors ).
-
Apa saja
risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.
-
Bagaimana dengan
perusahaan lainnya, apa yang mereka lakukan.
-
Bagaimana
mengukur keberhasilan dan bagaimana pula membandingkannya.
Manfaat dan
Pengguna COBIT
Secara manajerial
target pengguna COBIT dan manfaatnya adalah :
Untuk memastikan
manajemen mengikuti dan mengimplementasikan strategi searah dan sejalan dengan
TI.
-
Untuk mengambil
keputusan investasi TI.
-
Untuk
keseimbangan resiko dan kontrol investasi.
-
Untuk benchmark
lingkungan TI sekarang dan masa depan.
Untuk memperoleh
jaminan keamanan dan control produk dan jasa yang dibutuhkan secara internal
maupun eksternal.
-
Untuk memperkuat
opini untuk manajemen dalam control internal.
-
Untuk memberikan
saran pada control minimum yang diperlukan.
Frame Work COBIT
COBIT dikeluarkan
oleh IT Governance Institute (ITGI). COBIT digunakan untuk menjalankan
penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan
pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan maturity
model.
Lingkup kriteria
informasi yang sering menjadi perhatian dalam COBIT adalah:
Menitikberatkan
pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses
oleh sistem informasi yang dibangun.
Menitikberatkan
pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh
sistem.
Menitikberatkan
pada pengelolaan kerahasiaan informasi secara hierarkis.
Menitikberatkan
pada integritas data/informasi dalam sistem.
Menitikberatkan
pada ketersediaan data/informasi dalam sistem informasi.
Menitikberatkan
pada kesesuaian data/informasi dalam sistem informasi.
Menitikberatkan
pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Sedangkan fokus
terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada :
- Applications
- Information
- Infrastructure
- People
Dalam menyediakan
informasi yang dibutuhkan perusahaan untuk mencapai tujuan organisasi, COBIT
memiliki karakteristik :
- Business-focused
- Process-oriented
- Controls-based
- Measurement-driven
COBIT
mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34
proses yang terbagi ke dalam 4 buah domain proses, meliputi :
Domain ini
menitikberatkan pada proses perencanaan dan penyelarasan strategi
TI dengan strategi perusahaan, mencakup masalah strategi, taktik
dan identifikasi tentang bagaimana TI dapat memberikan kontribusi maksimal
terhadap pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah
organisasi yang baik dengan infrastruktur teknologi yang baik pula.
Domain ini
mencakup :
-
PO1 – Menentukan
rencana strategis
-
PO2 – Menentukan
arsitektur informasi
-
PO3 – Menentukan
arah teknologi
-
PO4 – Menentukan
proses TI, organisasi dan hubungannya
-
PO5 – Mengelola
investasi TI
-
PO6 –
Mengkomunikasikan tujuan dan arahan manajemen
-
PO7 – Mengelola
sumber daya manusia
-
PO8 – Mengelola
kualitas
-
PO9 – Menilai dan
mengelola resiko TI
-
PO10 – Mengelola
proyek
- Acquisition & Implementation.
Domain ini
berkaitan dengan implementasi solusi IT dan integrasinya dalam proses bisnis
organisasi untuk mewujudkan strategi TI, juga meliputi perubahan dan maintenance
yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem
tersebut tetap terjaga.
Domain ini
meliputi:
-
AI1 –
Mengidentifikasi solusi yang dapat diotomatisasi.
-
AI2 – Mendapatkan
dan maintenance software aplikasi.
-
AI3 – Mendapatkan
dan maintenance infrastuktur teknologi
-
AI4 – Mengaktifkan
operasi dan penggunaan
-
AI5 – Pengadaan
sumber daya IT.
-
AI6 – Mengelola
perubahan
-
AI7 – Instalasi
dan akreditasi solusi dan perubahan.
Domain ini
mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan,
pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang
berjalan.
Domain ini
meliputi :
-
DS1 – Menentukan
dan mengelola tingkat layanan.
-
DS2 – Mengelola
layanan dari pihak ketiga
-
DS3 – Mengelola
performa dan kapasitas.
-
DS4 – Menjamin
layanan yang berkelanjutan
-
DS5 – Menjamin
keamanan sistem.
-
DS6 –
Mengidentifikasi dan mengalokasikan dana.
-
DS7 – Mendidik
dan melatih pengguna
-
DS8 – Mengelola
service desk dan insiden.
-
DS9 – Mengelola
konfigurasi.
-
DS10 – Mengelola
permasalahan.
-
DS11 – Mengelola
data
-
DS12 – Mengelola
lingkungan fisik
-
DS13 – Mengelola
operasi.
- Monitoring and Evaluation.
Domain ini
berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi,
pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan
yang dilakukan.
Domain ini
meliputi:
-
ME1 – Mengawasi
dan mengevaluasi performansi TI.
-
ME2 –
Mengevaluasi dan mengawasi kontrol internal
-
ME3 – Menjamin
kesesuaian dengan kebutuhan eksternal.
-
ME4 – Menyediakan
IT Governance.
COBIT Maturity
Model
COBIT menyediakan
parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu
organisasi dengan menggunakan maturity models yang bisa digunakan untuk
penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan
(maturity level). COBIT mempunyai model kematangan (maturity models) untuk
mengontrol proses-proses IT dengan menggunakan metode penilaian (scoring)
sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari
skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non
Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5:
Optimized (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory,
2008).
