COBIT (Control Objectives for Information and Related Technology)
adalah sebuah proses model yang dikembangkan untuk membantu perusahaan dalam
pengelolaan sumber daya teknologi informasi (IT). Proses model ini difokuskan
pada pengendalian terhadap masing-masing dari 34 proses IT, meningkatkan
tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT.
COBIT menciptakan sebuah jembatan antara manajemen TI dan para
eksekutif bisnis. COBIT mampu menyediakan bahasa yang umum sehingga dapat
dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat
dikaitkan dengan semakin besarnya perhatian yang diberikan terhadapcorporate
governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan
sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit.
Fokus utama dari COBIT ini adalah harapan bahwa melaui adopsi
COBIT ini, perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan
TI dan mengurangi resiko-resiko inheren yang teridentifikasi
didalamnya.
COBIT dikembangkan oleh IT Governance Institute (ITGI), yang
merupakan bagian dari Information Systems Audit and Control
Association (ISACA). Saat ini pengembangan terbaru dari standar ini
adalah COBIT Edisi 5.0.
Manfaat yang diberikan oleh informasi dan teknologi pada
perusahaan :
1.
Menjaga kualitas informasi untuk mendukung pengambilan keputusan
bisnis.
2.
Menghasilkan nilai bisnis dari investasi pemanfaatan IT , yaitu
mencapai tujuan strategis dan merealisasikan manfaat bisnis melalui penggunaan
IT yang efektif dan inovatif.
3.
Mencapai keunggulan operasional melalui penerapan teknologi yang
handal dan efisien.
4.
Menjaga resiko yang behubungan dengan penerapan pada tingkat
yang masih bisa ditoleransi mengoptimalkan biaya penggunaan it service dan
teknologi
Komponen-Komponen COBIT
COBIT memiliki
komponen-komponen sebagai berikut :
a. Executive Summary
b. Framework
c. Control Objective
d. Audit Guidelines
e. Management Guidelines
f. Control Practices
Definisi Pengendalian Internal menurut COBIT
COBIT mengadopsi
definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan
struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa
tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah
atau dideteksi dan diperbaiki”. Sedangkan COBIT mengadaptasi definisi tujuan
pengendalian (control objective)dari SAC yaitu : “Suatu pernyataan atas
hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan
prosedur pengendalian dalam aktivitas IT tertentu”.
Komponen tujuan pengendalian (control objectives)
COBIT ini terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level
control objectives ) yang tercermin dalam 4 domain, yaitu : planning
& organization , acquisition & implementation ,delivery
& support , dan monitoring.
Ringkasan Konsep Pengendalian Internal COBIT dilihat dari
berbagai sudut pandang
Pengguna Utama
COBIT di rancang untuk
digunakan oleh tiga pengguna yang berbeda yaitu :
·
Manajemen : untuk membantu mereka menyeimbangkan antara resiko
dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat
diprediksi.
·
User : untuk memperoleh keyakinan atas layanan keamanan dan
pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
·
Auditor : untuk medukung/memperkuat opini yang dihasilkan
dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal
yang ada.
Tujuan Pengendalian Internal bagi Organisasi
Operasi yang efektif dan efisien
Keefektifan berkenaan
dengan informasi yang diperoleh harus relevan dan berkaitan dengan proses
bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten, dan
bermanfaat. Sedangkan keefisienan berkaitan dengan penyediaan informasi melalui
sumber daya (yang paling produktif dan ekonomis) yang optimal.
Kerahasiaan
Menyangkut perhatian
atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak
berwenang.
Integritas
Berkaitan dengan
akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai nilai-nilai
dan harapan bisnis.
Ketersedian Informasi
Berkaitan dengan
informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik
sekarang maupun di masa yang akan datang. Ini juga terkait dengan pengamanan
atas sumber daya yang perlu dan kemampuan yang terkait.
Pelaporan keuangan
yang handal
Berkaitan dengan
pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan
dan juga pemenuhan kewajiban mereka untuk membuat pelaporan keuangan.
Ketaatan terhadap
ketentuan hukum dan peraturan
Terkait dengan
pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian kontrak, dimana
dalam hal ini proses bisnis dipandang sebagai suatu subjek.
Domain
1.
Planning and organization
Domain ini mencakup
strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara
maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu,
realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola
untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang
baik serta infrastruktur teknologi harus di tempatkan di tempat yang
semestinya.
2.
Acquisition dan implementation
Untuk merealisasikan
strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu,
perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini
untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sisteem
ini.
3.
Delivery and Support
Domain ini memberikan
fokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup
area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya,
dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut
dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan
dan juga pelatihan.
4.
Monitoring
Semua proses IT perlu
dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan
atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan
manajemen atas proses pengendalian dalam organisasi serta penilaian independen
yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari
sumber-sumber anternatif lainnya.
Kerangka kerja COBIT
ini terdiri atas beberapa arahan ( guidelines ), yakni:
Control Objectives : Terdiri atas 4 tujuan pengendalian
tingkat-tinggi ( high-level control objectives ) yang
tercermin dalam 4 domain, yaitu: planning & organization , acquisition
& implementation , delivery & support ,
dan monitoring .
Audit Guidelines : Berisi sebanyak 318 tujuan-tujuan pengendalian
yang bersifat rinci (detailed control objectives ) untuk membantu
para auditor dalam memberikanmanagement assurance dan/atau saran
perbaikan.
Management Guidelines : Berisi arahan, baik secara umum maupun
spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab
pertanyaan-pertanyaan berikut :
·
Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang
dikeluarkan sesuai dengan manfaat yang dihasilkannya.
·
Apa saja indikator untuk suatu kinerja yang bagus?
·
Apa saja faktor atau kondisi yang harus diciptakan agar dapat
mencapai sukses (critical success factors )?
·
Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai
sasaran yang ditentukan?
·
Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
·
Bagaimana Anda mengukur keberhasilan dan bagaimana pula
membandingkannya.
The COBIT Framework memasukkan juga hal-hal berikut ini:
·
Maturity Models – Untuk memetakan status maturity
proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in
the class in the Industry” dan juga International best practices
·
Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen
agar dapat melakukan kontrol atas proses TI.
·
Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan
dengan business requirements
·
Key Performance Indicators (KPIs) – Kinerja
proses-proses TI sehubungan denganprocess goals.
Satu dari prinsip dalam COBIT 5 ini adalah pembedaan yang dibuat
antara tata kelola (governance) dan pengelolaan (management). Selaras dengan
prinsip ini, setiap organisasi diharapkan untuk melaksanakan sejumlah proses
tata kelola dan sejumlah proses pengelolaan untuk menyediakan tata kelola dan
pengelolaan enterprise IT yang komprehensif.
Ketika mempertimbangkan proses untuk tata
kelola dan pengelolaan dalam konteks enterprise, perbedaan antara jenis-jenis
proses tergantung kepada tujuan dari proses tersebut, antara lain :
1.
Proses tata kelola berhubungan dengan tujuan tata kelola, yaitu
value delivery; manajemen resiko dan penyeimbangan sumber daya; serta termasuk
praktik dan aktivitas yang dituju sesuai evaluasi pilihan strategis yang
menyediakan arahan kepada IT dan memantau outcome (hal ini sesuai dengan konsep
standar ISO 38500).
2.
Selaras dengan definisi pengelolaan, praktik dan aktivitas dari
proses pengelolaan (management process) melingkupi tanggung jawab area
perencanaan, pembangunan, pelaksanaan, dan pemantauan dari enterprise IT.
Proses pengelolaan juga menyediakan cakupan end-to-end dari IT.
Walau outcome kedua jenis proses berbeda dan
dimaksudkan untuk audience yang berbeda, secara internal, contohnya dari
konteks prosesnya sendiri, semua proses membutuhkan aktivitas perencanaan,
pembangunan (atau implementasi), eksekusi, dan pemantauan.
COBIT 5 tidaklah menentukan tetapi dari
penjelasan di atas jelas bahwa COBIT 5 mendukung organisasi mengimplementasi
proses tata kelola dan pengelolaan pada area yang dicakupi seperti yang
dijelaskan pada gambar di bawah.
Dalam teorinya, perusahaan dapat
mengorganisasi prosesnya apabila memungkinkan selama tujuan dasar tata kelola
dan pengelolaan tercakupi. Perusahaan kecil memiliki proses yang lebih sedikit
sedangkan perusahaan yang lebih besar atau rumit memiliki proses yang banyak. Semuanya
mencakupi tujuan yang sama. Meskipun begitu, COBIT 5 juga menyertakan sebuah
model referensi proses yang mendefinisikan dan menjelaskan secara rinci
sejumlah proses tata kelola dan pengelolaan. Model referensi proses
merepresentasikan semua proses yang secara normal ditemukan dalam sebuah
perusahaan yang berhubungan dengan kegiatan IT dengan demikian menyediakan
sebuah model referensi umum yang dapat dimengerti untuk manajer bisnis dan It
yang beroperasi dan juga auditor maupun penasehat.
Menggabungkan model operasional dan membuat
sebuah bahasa umum untuk semua bagian bisnis yang terlibat dalam kegiatan IT
merupakan salah satu hal yang paling penting dan langkah kritis menuju tata
kelola yang baik (good governance). Selain itu, model referensi proses menyediakan
kerangka kerja untuk mengukur dan memantau kinerja IT, mengomunikasikan dengan
penyedia layanan, serta menyatukan praktik-praktik pengelolaan terbaik.
Model referensi proses COBIT 5 membagi proses
tata kelola dan pengelolaan perusahaan IT ke dalam dua domain, yaitu domain
tata kelola dan domain pengelolaan.
1.
Domain tata kelola mengandung lima proses tata kelola yang di
dalam setiap prosesnya praktik evaluasi, pengarahan, dan pemantauan
didefinisikan.
2.
Domain pengelolaan ada empat yang selaras dengan wilayah
tanggung jawab perencanaan, pembangunan, pelaksanaan, dan pemantauan.
3.
Dalam COBIT 5, proses-proses juga mencakupi lingkup penuh dari
kegiatan bisnis dan IT yang berhubungan dengan tata kelola dan pengelolaaan
enterprise IT. Dengan demikian membuat model proses benar-benar
enterprise-wide.
Model referensi proses COBIT 5 adalah penerus
proses model COBIT 4.1 dengan mengintegrasikan proses model Risk IT dan Val IT.
Gambar di bawah menggambarkan himpunan lengkap dari proses tata kelola dan
pengelolaan dalam COBIT 5.
STUDI KASUS
ANALISA KESENJANGAN TATA KELOLA TEKNOLOGI INFORMASI UNTUK PROSES
PENGELOLAAN DATA MENGGUNAKAN COBIT (STUDI KASUS BADAN PEMERIKSA KEUANGAN
REPUBLIK INDONESIA)
Tata kelola teknologi informasi (IT governance) memiliki cangkupan
definisi luas yang meliputi sistem informasi, teknologi dan komunikasi, bisnis
dan hukum serta isu lain yang melibatkan seluruh komponen perusahaan antara
lain; pemilik kepentingan (stakeholder),
pengguna teknologi informasi bahkan pemeriksa sistem informasi/teknologi
informasi. Secara umum tata kelola teknologi informasi adalah upaya menjamin
pengelolaan teknologi informasi agar mendukung bahkan selaras dengan strategi
bisnis suatu perusahaan atau organisasi yang dilakukan oleh direksi, manajemen
eksekutif dan manajemen teknologi informasi.
FRAMEWORK
COBIT
Secara keseluruhan konsep framework COBIT digambarkan sebagai
sebuah kubus tiga dimensi yang terdiri dari: (1) kebutuhan bisnis, (2) sumber
daya teknologi informasi dan (3) proses teknologi informasi.
Gambar 1.
Konsep Kerangka Kerja COBIT (IT Governance Institute, 2007) MODEL KEMATANGAN
Model kematangan (maturity model) digunakan sebagai alat untuk melakukan benchmarking dan self-assessment oleh manajemen teknologi informasi secara lebih efisien. Model kematangan untuk
pengelolaan dan kontrol pada proses teknologi informasi didasarkan pada metoda
evaluasi perusahaan atau organisasi, sehingga dapat mengevaluasi sendiri, mulai
dari level 0 (non-existent) hingga
level 5 (optimised).
Tabel 1. Maturity
Model
Beberapa cara yang umum dilakukan dalam
melaksanakan penilaian maturity
diantaranya adalah (Guldentops, 2003):
a. Pendekatan
multidisiplin kelompok orang yang mendiskusikan dan menghasilkan kesepakatan
level maturity kondisi sekarang,
b. Dekomposisi
deskripsi maturity menjadi beberapa pernyataan sehingga manajemen dapat
memberikan tingkat persetujuannya,
c.
Penggunaan atribut matriks
sebagaimana didokumentasikan dalam COBIT’s
Management Guidelines dan memberikan
nilai masing-masing atribut dari setiap proses.
METODOLOGI
Urutan
langkah-langkah penelitian penyelesaian masalah sebagai berikut:
Penelitian
Pemilihan Proses Terkait Dengan Pengelolaan Data
Pemilihan proses dilakukan untuk
memfokuskan penelitian yang akan dilakukan. Pemilihan proses mengacu pada
proses pengelolaan data di COBIT serta proses yang terkait dengan pengendalian
atas proses tersebut. Berdasarkan acuan
pemilihan tersebut, maka penelitian ini difokuskan
pada proses mengelola data (DS11) dan proses memastikan keamanan sistem (DS5).
Pengumpulan Data
Proses pengumpulan data yang
dilakukan adalah melakukan wawancara dan kuesioner. Responden wawancara dan
kuesioner yang dipilih adalah responden yang mewakili tabel RACI pada proses
pengolahan data (IT Governance Institute, 2007).
HASIL PENELITIAN DAN PEMBAHASAN
Penilaian tingkat kematangan (maturity level ) dilakukan dengan
mempertimbangkan nilai indek kematangan (maturity
index) pada 6 (enam) atribut kematangan COBIT yang meliputi:
a. Awareness and Communication (AC),
b.
Policies, Standards and Procedures (PSP),
c. Tools and Automation (TA),
d.
Skill and Expertise (SE),
e. Responsibilities and Accountabilities (RA),
f. Goal Setting and Measurement (GSM).
Indek
Kematangan =
|
∑ Indek
Kematangan Atribut
|
|
6
|
||
Dengan
kriteria indek penilaian:
Tabel 2.
Representasi Indek Kematangan
Indek Kematangan
|
Level Kematangan
|
||
0
|
– 0,50
|
0
|
- Non-Existent
|
0,51
|
– 1,50
|
1
|
- Initial /
ad Hoc
|
1,51
|
– 2,50
|
2
|
- Repeatable
But Intuitive
|
2,51
|
– 3,50
|
3
|
- Defined
Process
|
3,51
|
– 4,50
|
4
|
- Managed
and Measurable
|
4,51
|
– 5,00
|
5
|
- Optimized
|
Indek kematangan atribut diperoleh dari perhitungan
total pilihan jawaban kuesioner dengan rumus dan pembobotan pilihan jawaban
sebagai berikut:
Indek
Kematangan Atribut =
|
∑ (Total
Jawaban x Bobot)
|
||
Jumlah
Responden
|
|||
Analisa Kesenjangan
Berdasarkan hasil analisis
tingkat kematangan tata kelola teknologi informasi pada proses pengelolaan data
di Badan Pemeriksa Keuangan Republik saat ini (as-is), maka dapat diketahui bahwa tingkat kematangan tersebut
diidentifikasikan berada pada level 2. Sedangkan tingkat kematangan yang
ditetapkan sebagai acuan (to-be)
dalam tata kelola teknologi informasi pada pengelolaan data di Badan Pemeriksa
Keuangan Republik Indonesia diidentifikasikan pada level 5.
Gambar 4.
Diagram Rising Star Tingkat Kematangan
As-Is dan To-Be
Dengan atribut kematangan sebagai
berikut:
Strategi Perbaikan
Proses perbaikan tata kelola teknologi informasi di
Badan Pemeriksa Keuangan Republik Indonesia untuk menghilangkan kensenjangan (gap) antara kondisi saat ini (as-is) dengan kondisi yang diharapkan (to-be) dilakukan dengan strategi sebagai
berikut:
1.
Proses perbaikan dilakukan secara
bertahap untuk mencapai tingkat kematangan level 5 (optimized).
2. Atribut
dengan tingkat kematangan saat ini (as-is)
berada pada level 2 (repeatable but intuitive) yakni atribut AC, PSP,
SE, RA dan GSM untuk kegiatan memastikan keamanan
sistem (DS5) serta atribut AC, PSP, RA dan GSM untuk kegiatan mengelola data
(DS11) mendapat prioritas utama untuk dilakukan perbaikan tata kelola teknologi
informasi sehingga tercapai keseimbangan tingkat kematangan untuk semua atribut
yakni semua atribut memiliki tingkat kematangan saat ini yang sama yakni level
3 (defined process).
3.
Setelah tercapai kondisi
kesimbangan tingkat kematangan saat ini untuk semua atribut, maka dilakukan
langkah perbaikan tata kelola teknologi informasi untuk semua atribut secara
bersama-sama menuju tingkat kematangan level 4 (managed and measurable).
4.
Setelah tercapai tingkat
kematangan level 4 untuk semua atribut, maka dilakukan langkah perbaikan yang
berkelanjutan pada semua atribut secara bersama-sama untuk mencapai tingkat
kematangan tata kelola teknologi informasi yang diharapkan yakni tingkat
kematangan level 5 (optimized).
Gambar 7.
Strategi Pencapaian Tingkat Kematangan Yang Diharapkan (To-Be)
KESIMPULAN
Kesimpulan
tata kelola teknologi informasi pada proses pengolahan data di
Badan
Pemeriksa Keuangan Republik Indonesia:
1. Tata
kelola teknologi informasi pada proses pengelolaan data di Badan Pemeriksa
Keuangan Republik Indonesia saat ini secara umum telah cukup baik. Hal ini
ditunjukan dengan atribut tingkat kematangan tata kelola teknologi informasi
yang sebagian besar berada pada tingkat kematangan level 2 (repeatable but intuitive) dan level 3 (defined process).
2. Ekspetasi
terhadap tata kelola teknologi informasi yang semakin baik oleh Badan Pemeriksa
Keuangan Republik Indonesia. Hal ini ditunjukan dengan keinginan pencapaian
tingkat kematangan tata kelola teknologi informasi pada level 5 (optimized).
3.
Agar proses perbaikan tata kelola
teknologi informasi menuju tingkat kematangan yang diharapkan dapat optimal,
maka diperlukan strategi proses perbaikan tata kelola teknologi informasi yakni
perbaikan tata kelola teknologi informasi dilakukan secara bertahap.
SUMBER
https://haendra.wordpress.com/2012/06/08/pengertian-cobit/
http://www.pendidikanmu.com/2015/05/apa-yang-anda-ketahui-tentang-cobit.html
digilib.its.ac.id/.../ITS-Master-9872-analisa-kesenjangan-tata-keloloa-teknologi-informasi
https://id.wikipedia.org/wiki/COBIT
searchsecurity.techtarget.com/definition/COBIT
https://www.itgovernance.co.uk/cobit
https://id.wikipedia.org/wiki/COBIT
searchsecurity.techtarget.com/definition/COBIT
https://www.itgovernance.co.uk/cobit
Tidak ada komentar:
Posting Komentar