-IT GOVERNANCE-
COBIT (Control Objectives for Information and
Related Technology) merupakan audit sistem informasi dan dasar pengendalian
yang dibuat oleh Information Systems Audit and Control Association (ISACA)
dan IT Governance Institute (ITGI) pada tahun 1992.
COBIT Framework merupakan standar kontrol yang umum di dunia
teknologi informasi, dengan memberikan kerangka kerja dan kontrol terhadap
teknologi informasi yang dapat diterima dan diterapkan secara internasional.
COBIT dirancang untuk digunakan oleh tiga pengguna
berbeda yaitu :
1. Manajemen
Dengan penerapan COBIT, manajemen dapat terbantu
dalam proses penyeimbangan resiko dan pengendalian investasi dalam lingkungan
IT yang tidak dapat diprediksi.
2. Pengguna
Pengguna dapat menggunakan COBIT untuk memperoleh
keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak
internal atau pihak ketiga.
3. Auditor
Dengan penerapan COBIT, auditor dapat memperoleh
dukungan dalam opini yang dihasilkan dan/atau untuk memberikan saran kepada
manajemen atas pengendalian internal yang ada.
COBIT berorientasi proses dan dijadikan standar
panduan untuk mengelola organisasi atau perusahaan dalam mencapai tujuannya
dengan memanfaatkan IT. Adapun aspek yang mendasari COBIT adalah kebutuhan
bisnis (Business Requierement), sumber daya TI (IT Resources),
Proses TI (IT Processes), dan Kriteria Informasi (Information).
1. Kebutuhan bisnis suatu organisasi atau
perusahaan harus memenuhi kebutuhan akan informasi dalam hal kualitas (quality),
kepercayaan (fiduciary) dan keamanan (security) yang
diuraikan pada kriteria informasi sesuai COBIT sebagai berikut:
a. Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses
bisnis, konsisten dapat dipercaya, dan tepat waktu.
b. Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling
produktif dan ekonomis) yang optimal.
c. Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang
tidak memiliki hak otorisasi/tidak berwenang.
d. Integrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat
validitas yang sesuai dengan ekspetasi dan nilai bisnis.
e. Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam
proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait
dengan pengamanan atas sumber daya yang diperlukan dan terkait.
f. Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum,
peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.
g. Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk
mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan
keuangan.
2. Sumber daya TI dalam COBIT dapat dijabarkan sebagai
berikut :
a. Data. obyek-obyek dalam
pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan
tidak terstruktur, grafik, suara dan sebagainya.
b. Sistem aplikasi, dipahami untuk menyimpulkan atau
meringkas, baik prosedur manual maupun yang terprogram.
c. Teknologi, mencakup hardware,
sistem operasi, sistem manajemen database, jaringan (networking), multimedia,
dan lain- lain.
d. Fasilitas, semua sumber daya untuk
menyimpan dan mendukung system informasi.
e. Manusia, termasuk staf ahli, kesadaran dan
produktivitas untuk merencanakan, mengorganisasikan atau melaksanakan,
memperoleh, menyampaikan, mendukung dan memantau layanan sistem informasi.
3. Proses TI terdiri
dari tiga segmen, yaitu domain, proses, dan aktivitas.
COBIT mengelompokkan semua aktivitas bisnis yang
terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam empat buah
domain proses, meliputi :
a. Plan
and Organise (10 proses)
Meliputi strategi dan taktik yang berkaitan dengan
identifikasi pemanfaatan IT yang dapat memberikan kontribusi dalam pencapaian
tujuan bisnis.
Proses dalam domain ini adalah :
· Menetapkan rencana strategis TI
· Menetapkan susunan informasi
· Menetapkan kebijakan teknologi
· Menetapkan hubungan dan organisasi
TI
· Mengelola investasi IT
· Mengkomunikasikan arah dan tujuan
manajemen
· Mengelola sumberdaya manusia
b. Acquire
and Implement (7 proses)
Merupakan domain proses yang merealisasikan
strategi IT, serta solusi – solusi IT yang diperlukan untuk diterapkan pada
proses bisnis organisasi. Pada domain ini pula dilakukan pengelolaan perubahan
terhadap sistem eksisting untuk menjamin proses yang berkesinambungan.
Langkah – langkah domain ini
adalah :
· Mengidentifikasi solusi terotomatisasi
· Mendapatkan dan memelihara
software aplikasi
· Mendapatkan dan memelihara
infrastruktur teknologi
· Mengembangkan dan memelihara
prosedur
· Memasang dan mengakui sistem
· Mengelola perubahan
c. Delivery and
Support (13 proses)
Domain ini berfokus utama pada aspek penyampaian
atau pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian
aplikasi – aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan
yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien.
Proses dukungan ini termasuk isu atau masalah keamanan dan juga pelatihan.
Proses dalam domain ini
adalah :
· Menetapkan dan mengelola tingkat
pelayanan
· Mengelola pelayanan kepada pihak
lain
· Mengelola kinerja dan kapasitas
· Memastikan pelayanan yang kontinyu
· Memastikan keamanan sistem
d. Monitor and Evaluate
(4 proses)
Merupakan domain yang memberikan pandangan bagi
pihak manejemen berkaitan dengan kualitas dan kepatuhan dari proses yang
berlangsung dengan kendali-kendali yang diisyaratkan.
Proses dalam domain ini sebagai
berikut :
· Memonitor proses
· Menaksir kecukupan pengendalian
internal
· Mendapatkan kepastian yang
independen
-RISK MANAGEMENT-
Pada COBIT, secara khusus dibahas mengenai
manajemen resiko pada proses PO9
Resiko adalah segala hal yang mungkin berdampak
pada kemampuan organisasi dalam mencapai tujuannya. Framework manajemen resiko
TI dengan menggunakan COBIT terdiri dari:
1. Penetapan Objektif
Kriteria informasi dari COBIT dapat digunakan
sebagai dasar dalam mendefinisikan objektif TI.
2. Identifikasi Resiko
Identifikasi resiko merupakan proses untuk
mengetahui resiko. Sumber resiko bisa berasal dari :
• Manusia, proses dan teknologi
• Internal (dari dalam perusahaan) dan
eksternal (dari luar perusahaan)
• Bencana (hazard), ketidakpastian
(uncertainty) dan kesempatan (opportunity).
Dari ketiga sumber resiko tersebut dapat diketahui
kejadian-kejadian yang dapat mengganggu perusahaan dalam mencapai objektifnya.
3. Penilaian Resiko
Penilaian resiko merupakan proses untuk menilai
seberapa sering resiko terjadi atau seberapa besar dampak dari resiko. Dampak
resiko terhadap bisnis (business impact) bisa berupa: dampak terhadap
financial, menurunnya reputasi disebabkan sistem yang tidak aman, terhentinya
operasi bisnis, kegagalan aset yang dapat dinilai (sistem dan data), dan
penundaan proses pengambilan keputusan.
Sedangkan kecenderungan (likelihood) terjadinya
resiko dapat disebabkan oleh sifat alami dari bisnis, struktur dan budaya
organisasi, sifat alami dari sistem (tertutup atau terbuka, teknologi baru dan
lama), dan kendali-kendali yang ada. Proses penilaian resiko bisa berupa resiko
yang tidak dapat dipisahkan (inherent risks) dan sisa resiko (residual risks).
4. Respon Resiko
Untuk melakukan respon terhadap resiko adalah
dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen
resiko. Jika sisa resiko masih melebihi resiko yang dapat diterima (acceptable
risks), maka diperlukan respon resiko tambahan. Proses-proses pada framework
COBIT (dari 34 Control Objectives) yang sesuai untuk manajemen resiko adalah :
•
PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage Risks)
•
AI6 (Manages Change)
•
DS5 (Ensure System and Security) dan DS11 (Manage Data)
•
ME1 (Monitor and Evaluate IT Performance)
5. Monitor Resiko
Setiap langkah dimonitor untuk menjamin bahwa
resiko dan respon berjalan sepanjang waktu.
REFERENSI
