COBIT (Control Objectives for Information and related Technology)
Definisi COBIT
COBIT (Control Objectives for Information
and related Technology) adalah suatu
panduan standar praktek manajemen teknologi informasi dan sekumpulan
dokumentasi best practices untuk tata kelola
TI yang dapat membantu auditor, manajemen, dan pengguna untuk menjembatani
pemisah (gap) antara risiko bisnis,
kebutuhan pengendalian, dan permasalahan-permasalahan teknis.
COBIT dikembangkan oleh IT Governance Institute (ITGI), yang
merupakan bagian dari Information Systems Audit and Control Association (ISACA).
COBIT memberikan arahan (guidelines)
yang berorientasi pada bisnis, dan karena itu business
process owners dan manajer, termasuk
juga auditor dan pengguna, diharapkan dapat memanfaatkan arahan ini dengan
sebaik-baiknya.
Menurut Campbell, COBIT merupakan
suatu cara untuk menerapkan tata kelola TI. COBIT berupa kerangka kerja yang harus digunakan oleh suatu
organisasi bersamaan dengan sumber daya lainnya untuk membentuk suatu standar
yang umum berupa panduan pada lingkungan yang lebih spesifik. Secara
terstruktur, COBIT terdiri dari seperangkat control objectives untuk bidang Teknologi Informasi,
dirancang untuk memudahkan tahapan-tahapan audit bagi auditor.
Sejarah Perkembangan COBIT
COBIT
muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada
bidang audit,
COBIT versi 2 pada tahun 1998 yang menekankan pada tahap pengendalian, COBIT
versi 3 pada tahun 2000 yang
berorientasi kepada manajemen, COBIT versi 4 pada bulan Desember 2005 dan versi 4.1 pada bulan Mei 2007 lebih mengarah
pada tata kelola TI, dan terakhir COBIT versi 5 pada bulan Juni 2012 yang
menekankan tata kelola TI pada perusahaan (Gambar ).
Sejarah Perkembangan COBIT
Tujuan
dan Manfaat
Dalam kerangka tata kelola perusahaan (corporate governance), tata kelola
TI menjadi semakin utama dan merupakan bagian tidak terpisahkan terhadap
kesuksesan penerapan tata kelola perusahaan
secara menyeluruh. Tata kelola TI memastikan adanya pengukuran yang efisien dan
efektif terhadap peningkatan proses bisnis
perusahaan melalui struktur yang menghubungkan proses-proses TI,
sumberdaya TI dan informasi ke arah dan tujuan strategis perusahaan.
Lebih jauh lagi, tata kelola TI memadukan dan melembagakan best
practices dari proses perencanaan,
pengelolaan, penerapan, pelaksanaan dan pendukung, serta pengawasan kinerja TI,
untuk memastikan informasi perusahaan dan teknologi yang terkait lainnya benar-benar
menjadi pendukung bagi pencapaian sasaran
perusahaan. Dengan keterpaduan tersebut, diharapkan perusahaan mampu
mendayagunakan informasi yang dimilikinya sehingga dapat mengoptimumkan segala
sumber daya dan proses bisnis mereka untuk menjadi lebih kompetitif.
Dengan adanya tata kelola TI, proses
bisnis perusahaan akan menjadi jauh lebih transparan, dapat dipertanggungjawabkan, serta akuntabilitas tiap fungsi
atau individu semakin jelas. Tata kelola TI bukan hanya penting bagi teknis TI
saja, direksi dan bahkan komisaris, yang tanggung jawabnya terhadap
investasi dan pengelolaan risiko perusahaan, adalah pihak utama yang harus memastikan
bahwa perusahaannya memiliki tata kelola TI. Dengan demikian keuntungan optimum
investasi TI tercapai dan sekaligus memastikan semua potensi risiko investasi
TI telah diantisipasi dan dapat terkendali
dengan baik. Menurut COBIT, keputusan bisnis yang baik harus didasarkan pada
pengetahuan yang berasal dari informasi yang relevan, komprehensif, dan tepat
waktu. Informasi seperti itu dihasilkan oleh sistem informasi yang memenuhi 7
kriteria: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan,
kesesuaian terhadap rencana atau aturan, dan keakuratan
informasi yang dihasilkan. Kunci utamanya adalah untuk mengelola bisnis yang
menguntungkan pada kondisi lingkungan yang berubah pesat.
Adapun
tujuan dari COBIT ini sendiri adalah :
- Diharapkan dapat membantu menemukan berbagai kebutuhan manajemen yang berkaitan dengan TI,
- Agar dapat mengoptimalkan investasi TI,
- Menyediakan ukuran atau kriteria ketika terjadi penyelewengan atau penyimpangan. Adapun manfaat jika tujuan tersebut tercapai adalah :
- Dapat membantu manajemen dalam pengambilan keputusan,
- Dapat mendukung pencapaian tujuan bisnis, dan
- Dapat meminimalisasikan adanya tindak kecurangan/ fraud yang merugikan perusahaan yang bersangkutan.
Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri dari tujuan pengendalian
tingkat tinggi dan struktur klasifikasi secara keseluruhan, yang pada dasarnya terdiri tiga tingkat usaha tata kelola
TI yang menyangkut manajemen sumber daya TI. Yaitu dari bawah, kegiatan
tugas (Activities and Tasks) merupakan
kegiatan yang dilakukan secara terpisah yang diperlukan untuk mencapai hasil
yang dapat diukur. Dan selanjutnya kumpulan Activity and Tasks dikelompokkan
ke dalam proses TI. Proses-proses TI yang memiliki permasalahan tata kelola TI
yang sama akan dikelompokkan ke dalam domain. Maka
konsep kerangka kerja dapat dilihat dari tiga sudut pandang, meliputi : Information
Criteria, IT Resources, IT Processes, seperti terlihat pada gambar dibawah ini
:
Kubus COBIT
- Effectiveness : Menitikberatkan pada sejauh mana efektivitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.
- Efficiency :Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.
- Confidentiality : Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
- Integrity : Menitikberatkan pada integritas data/informasi dalam sistem informasi.
- Availability : Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
- Compliance : Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
- Reliability : Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Fokus terhadap pengelolaan sumber daya teknologi informasi
dalam COBIT adalah pada:
- Applications (Aplikasi)
- Information (Informasi)
- Infrastructure (Infrastruktur)
- People (Manusia/Pengguna)
Empat
Domain COBIT
Dalam
memberikan informasi kepada dunia usaha sesuai dengan bisnis dan kebutuhan tata
kelola teknologi informasi, model proses
COBIT terdapat 4 (empat) domain yang di dalamnya terdapat 34 proses dan 318 control objectives, serta
1547 control practitices. Sehingga domain
tersebut dapat diidentifikasikan yang terdiri dari 34 proses, yaitu
(ITGI, 2007) :
Domain
1: Plan and Organize (PO) -Perencanaan
dan Organisasi
Yaitu
mencakup masalah mengidentifikasikan cara terbaik TI untuk memberikan
kontribusi yang maksimal terhadap
pencapaian tujuan bisnis organisasi. Domain ini menitikberatkan pada proses perencanaan
dan penyelarasan strategi TI dengan strategi organisasi. Domain PO terdiri dari
10 control objectives, meliputi :
- PO1 : Define a strategic IT plan (menentukan perencanaan strategi TI)
- PO2 : Define the information architecture (Menentukan Arsitektur Informasi)
- PO3 : Determine technological direction (Menentukan Arahan Teknologi)
- PO4 : Define the IT processes, organization and relationships (Menentukan proses-proses TI, Organisasi, dan Relasinya)
- PO5 : Manage the IT investment (Mengelola Investasi TI)
- PO6 : Communicate management aims and direction (Mengkomunikasikan Tujuan dan Arah Manajemen)
- PO7 : Manage IT human resources (Mengelola SDM TI)
- PO8 : Manage quality human resource (Mengelola Mutu SDM)
- PO9 : Asses and manage IT risks (Menjamin dan Mengelola Risiko-risiko TI)
- PO10 : Manage projects (Mengelola Proyek)
Domain
2: Acquire and Implement (AI) – Akuisisi dan Implementasi
Domain ini menitikberatkan pada proses pemilihan,
pengadaan dan penerapan TI yang digunakan. Pelaksanaan
strategi yang telah ditetapkan, harus disertai solusi-solusi TI yang sesuai
solusi TI tersebut diadakan, diimplementasikan dan diintegrasikan ke dalam proses
bisnis organisasi. Dimana domain AI terdiri
dari 7 control objectives, meliputi :
- AI1 : Identify automated solutions (Mengidentifikasi otomasi solusi)
- AI2 : Acquire and maintain application software (Memperoleh dan memelihara aplikasi perangkat lunak)
- AI3 : Acquire and maintain technology infrastructure (Memperoleh dan memelihara teknologi infrastruktur)
- AI4 : Enable operation and use (Mengaktifkan dan menggunakan operasi)
- AI5 : Procure IT resources (Mendapatkan Sumber Daya TI)
- AI6 : Manage changes (Mengatur Perubahan)
- AI7 : Install and accredit solutions and changes (Memasang dan mengakreditasi solusi dan perubahan)
Domain
3: Deliver and Support (DS) – Penyampaian dan Dukungan
Domain ini menitikberatkan pada proses pelayanan TI dan
dukungan teknisnya yang meliputi hal keamanan sistem, kesinambungan layanan,
pelatihan dan pendidikan untuk pengguna, dan pengelolaan data yang sedang
berjalan. Dimana domain DS terdiri dari 13 control
objectives, meliputi :
- DS1 : Define and manage service levels (Menentukan dan mengelola tingkatan layanan)
- DS2 : Manage third-party services (Mengelola layanan pihak ketiga)
- DS3 : Manage performance and capacity (Mengelola kinerja dan kemampuan)
- DS4 : Ensure continuous service (Memastikan keberlanjutan layanan)
- DS5 : Ensure systems security (memastikan keamanan sistem)
- DS6 : Identify and allocate costs (Mengidentifikasi dan mengalokasikan biaya)
- DS7 : Educate and train users (Memberikan Diklat kepada para pengguna)
- DS8 : Manage service desk and incidents (Mengelola layanan standar dan khusus)
- DS9 : Manage the configuration (Mengelola Konfigurasi)
- DS10 : Manage problems (Mengelola permasalahan)
- DS11 : Manage data (Mengelola Data)
- DS12 : Manage the physical environment (Mengelola lingkungan fisik)
- DS13 : Manage operations (Mengelola operasi-operasi)
Domain 4: Monitor and Evaluate (ME) – Pemantauan dan Evaluasi
Domain ini menitikberatkan pada proses pengawasan
pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan setiap
proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini focus pada masalah kendali-kendali yang
diterapkan dalam organisasi, pemeriksaan
internal dan eksternal. Dimana domain ME terdiri dari 4 control
objectives, meliputi :
- ME1 : Monitor and evaluate IT performance (Memantau dan mengevaluasi kinerja TI)
- ME2 : Monitor and evaluate internal control (Memantau dan mengevaluasi kendali internal)
- ME3 : Ensure regulatory compliance (Memastikan kepatuhan/kesesuaian terhadap aturan)
- ME4 : Provide IT Governance (Menyediakan tata kelola TI)
Maka dengan melakukan kontrol terhadap 34 control objectives tersebut, organisasi dapat memperoleh keyakinan akan kelayakan tata kelola
dan kendali yang diperlukan untuk lingkungan TI. Karena COBIT dirancang
beriorientasi bisnis agar bisa digunakan banyak pihak, tetapi lebih penting
lagi adalah sebagai panduan yang komprehensif bagi manajemen dan pemilik bisnis
proses. Kebutuhan bisnis akan tercermin dari adanya kebutuhan informasi.
Dan informasi itu sendiri perlu memenuhi
kriteria pengendalian tertentu, untuk mencapai tujuan bisnis.
Kelebihan
COBIT :
- Efektif dan Efisien Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.
- Rahasia Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.
- Integritas Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi.
- Ketersediaan Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.
- Kepatuhan Nyata Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen.
Kekurangan
COBIT :
- COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional. Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu diadopsi berbagai framework tata kelola operasional seperti ITIL (The Information Technology Infrastructure Library) yang merupakan sebuah kerangka pengelolaan layanan TI yang terbagi ke dalam proses dan fungsi.
- Kerumitan penerapan. Apakah semua control objective dan detailed control objective harus diadopsi, ataukah hanya sebagian saja? Bagaimana memilihnya?
- COBIT hanya berfokus pada kendali dan pengukuran.
- COBIT kurang dalam memberikan panduan keamanan namun memberikan wawasan umum atas proses TI pada organisasi daripada ITIL misalnya.
