COBIT (Control Objectives for Information dan related Technology)

Latar Belakang dan Sejarah Singkat COBIT

COBIT edisi ketiga adalah merupakan versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait, release pertama diluncurkan oleh yayasan ISACF pada tahun 1996. COBIT edisi kedua, merefleksikan suatu peningkatan sejumlah dokumen sumber, revisi pada tingkat tinggi dan tujuan pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set), yang telah dipublikasikan pada tahun 1998. COBIT edisi ke tiga ditandai dengan masuknya penerbit utama baru COBIT yaitu Institut IT Governance.

Institut IT Governance dibentuk oleh ISACA dan yayasan terkait pada tahun 1998 dan memberikan pemahaman lebih dan mengadopsi prinsip-prinsip pengaturan TI. Melalui penambahan pedoman manajemen (management guidelines) untuk COBIT edisi ketiga dan fokusnya diperluas dan ditingkatkan pada IT Governance. Institut IT Governance mengambil peranan yang penting dalam pengembangan publikasi.

COBIT pada umumnya didasarkan pada tujuan pengendalian (Control Objectives) ISACF dan telah ditingkatkan dengan teknik internasional yang ada, professional, pengaturan, dan standar khusus industri. Hasil tujuan pengendalian telah dikembangkan untuk aplikasi sistem informasi yang luas pada organisasi. Istilah “pada umumnya dapat diterima dan diterapkan” secara eksplisit digunakan dalam pengertian yang sama dengan prinsip Generally Accepted Accounting Principles (GAAP).

COBIT (Control Objectives for Information dan related Technology) merupakan a set of best practice (framework) bagi pengelolaan teknologi informasi ( IT management ). COBIT disusun oleh The IT Governance Institute (ITGI) dan Information System Audit and Control Association (ISACA) pada tahun 1992. Edisipertama dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line dikeluarkan tahun 2003) dan saat ini adalah edisi keempat pada Desember 2005. Paket COBIT secara lengkap terdiri dari : executive summary, framework, control objectives, audit guidelines, implementation tool set serta management guidelines yang sangat berguna dan dibutuhkan oleh auditor, para IT users, dan para manajer, pada gambar 1 berikut :

Gambar 1. Hubungan antara komponen COBIT

(ITGI, Audit Guidelines, 2008)

COBIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalah-masalah teknis TI. COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT controls issues. COBIT berguna bagi IT users karena memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan investasi di bidang TI serta infrastrukturnya, menyusun strategic IT Plan, menentukan information architecture,dan keputusan atas procurement (pengadaan / pembelian) mesin. Untuk lebih jelasnya dapat dilihat pada gambar 2.

Gambar 2. Produk Keluarga COBIT Framework

(ITGI, Audit Guidelines, 2008)

COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan IT Governance pada suatu perusahaan. COBIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara risiko bisnis, kebutuhan control dan masalahmasalah teknis TI, serta menyediakan referensi best business practices yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif, yang dapat digambarkan melalui gambar  3 kerangka kerja tujuan control teknologi informasi di bawah ini:

Gambar 3  Kerangka Kerja Tujuan Kontrol Teknologi Informasi

COBIT mendukung manajemen dalam mengoptimumkan investasi TI-nya melalui ukuranukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau risiko akan atau sedang terjadi. Manajemen harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas control individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumberdaya TI perusahaan. Sumberdaya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis terhadap : efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan dan keandalan informasi (effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability). Kriteria kerja COBIT meliputi :

 

Dalam kerangka corporate governance, IT governance menjadi semakin utama dan merupakan bagian tidak terpisahkan terhadap kesuksesan penerapan corporate governance secara menyeluruh.

IT governance memastikan adanya pengukuran yang efisien dan efektif terhadap peningkatan proses bisnis perusahaan melalui struktur yang menggunakan proses-proses TI, sumberdaya TI dan informasi ke arah dan tujuan strategis perusahaan. Lebih jauh lagi, IT governance memadukan dan melembagakan best practices dari proses perencanaan, pengelolaan, penerapan, pelaksanaan dan pendukung , serta pengawasan kinerja TI, untuk memastikan informasi perusahaan dan teknologi yang terkait yang terkait lainnya benar-benar menjadi pendukung bagi pencapaian sasaran perusahaan. Dengan keterpaduan tersebut, diharapkan perusahaan mampu mendayagunakan informasi yang dimilikinya sehingga dapat mengoptimumkan segala sumberdaya dan proses bisnis mereka untuk menjadi lebih kompetitif. Dengan adanya IT governance, proses bisnis perusahaan akah menjadi jauh lebih transparan, tanggungjawab serta akuntabilitas setiap fungsi/individu semakin jelas. IT governance bukan hanya penting bagi teknisi TI saja, direksi dan bahkan komisaris, yang bertanggungjawab terhadap investasi dan pengelolaan risiko perusahaan adalah pihak utama yang harus memastikan bahwa perusahaannya memiliki IT governance. Dengan demikian keuntungan optimum investasi TI tercapai, dan sekaligus memastikan semua potensi risiko investasi TI telah diantisipasi dan dapat terkendali dengan baik. COBIT mendefiniskan Control objective TI sebagai pernyataan mengenai hasil atau tujuan yang harus dicapai melalui penerapan prosedur kendali dalam aktivitas TI tertentu. Pada edisi keempat ini COBIT framework terdiri dari 34 high level control objectives dikelompokkan dalam 4 domain utama:

1. Planning & Organisation.

Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan.

2. Acquisition & Implementation.

Domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan teknologi informasi yang digunakan. Delivery & Support. Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya.

4. Monitor & Evaluate.

Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi.

Gambar 4 COBIT Framework

(COBIT 4.1 Excerp, Executive Summary Framework, 2008)

Dari gambar 4 dapat dilihat bahwa masing-masing domain terdiri dari high-level control-objectives sebagai berikut:

Domain Planning & Organization

1 PO1 Define a Strategic IT Plan

2 PO2 Define the information architecture

3 PO3 Determine technological direction

4 PO4 Determine the IT organisation and relationships

5 PO5 Manage the IT investment

6 PO6 Communicate management aims and direction

7 PO7 Manage IT human resources

8 PO8 Manage quality

9 PO9 Assess and Manage IT Risks

10 PO10 Manage Projects

Domain Acquisition & Implementation

1 AI1 Identify automated solutions

2 AI2 Acquire and maintain application software

3 AI3 Acquire and maintain Technology Infrastructure

4 AI4 Enable operation and use

5 AI5 Procure IT Resources

6 AI6 Manage change

7 AI7 Install and accredit solutions and change

Domain Delivery & Support

1 DS1 Define and manage service levels

2 DS2 Manages third party services

3 DS3 Manage performances and capacity

4 DS4 Ensure continuous services

5 DS5 Ensure system security

6 DS6 Identify and allocate cost

7 DS7 Educate and training users

8 DS8 Manage service desks and incidents

9 DS9 Manage the configurations

10 DS10 Manage problems

11 DS11 Manage data

12 DS12 Manage the physical environment

13 DS13 Manage operations

Domain Monitor & Evaluate

1 ME1 Monitor and evaluate IT Performance

2 ME2 Monitor and evaluate internal control

3 ME3 Ensure compliance with external requirements

4 ME4 Provide IT Governance

COBIT mempunyai maturity models untuk mengontrol proses-proses TI dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-existent sampai dengan optimised (dari 0 sampai 5).

Gambar 5 COBIT Framework Maturity Model

(COBIT 4.1 Excerp, Executive Summary Framework, 2008)

Pendekatan ini diambil berdasarkan maturity model software engineering institute. Terhadap tingkatan dalam model ini dikembangkan untuk tiap 34 proses COBIT, berikut ini adalah keterangan untuk status dari tiap organisasi yang sudah dipetakan :

Berikut ini adalah dasar penetapan maturity models :

Tabel 1 Dasar Penetapan Maturity Models

Sumber : COBIT 4.1, 2008

Penjelasan untuk Tingkat Maturity dapat dilihat pada Tabel 2 di bawah ini.

Selain itu, COBIT juga mempunyai ukuran-ukuran lainnya sebagai berikut :

1. Critical Success Factors (CSF) – mendefinisian hal-hal atau kegiatan penting yang dapat digunakan manajemen untuk dapat mengontrol proses-proses TI di organisasinya dan faktor yang dibutuhkan untuk tercapainya kesuksesan yang optimal.

Gambar 6 Key Goal Indicator

2. Key Goal Indicators (KGI) – mendefinisikan ukuran-ukuran yang akan memberikan gambaran kepada manajemen apakah proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis yang ada. KGI biasanya berbentuk kriteria informasi:

a. Ketersediaan informasi yang diperlukan dalam mendukung kebutuhan bisnis.

b. Tidak adanya risiko integritas dan kerahasiaan data.

c. Efisiensi biaya dari proses dan operasi yang dilakukan.

d. Konfirmasi reliabilitas, efektifitas, dan compliance.

3. Key Performance Indicators (KPI) – mendefinisikan ukuran-ukuran untuk menentukan kinerja proses-proses TI dilakukan untuk mewujudkan tujuan yang telah ditentukan. KPI biasanya berupa indikator-indikator kapabilitas, pelaksanaan, dan kemampuan sumber daya TI. Pada tahun 2012 COBIT dari versi 4.1 berkembang menjadi COBIT versi 5. 

Gambar 7 Key Performance Indicator

Semoga bisa bermanfaat.