Control
Objectives for Information and Related Technology atau COBIT adalah proses yang
sedang dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian
dari Information System Audit and Control Association (ISACA) untuk membantu
perusahaan dalam mengelola sumber daya teknologi informasi.
COBIT
juga merupakan jembatan antara manajemen teknologi informasi dengan para
eksekutif bisnis atau dewan direksi. Dikatakan seperti itu karena CoBIT mampu
menjelaskan laporan dengan bahasa yang umum sehingga dapat mudah dipahami oleh
semua pihak. Salah satu alasan mengapa COBIT dapat merajalela di seluruh dunia
karena semakin besarnya perhatian dari corporate governance dan kebutuhan
perusahaan dalam menghasilkan sesuatu yang lebih dengan kondisi sumber daya
yang sedikit dan ekonomi yang sulit.
Tujuan
utama yang diharapkan dari adanya COBIT yaitu agar perusahaan mampu
meningkatkan nilai tambah dalam bidang IT dan dapat mengurangi risiko-risiko
inheren yang ada didalamnya.
Komponen-komponen
COBIT
COBIT mempunyai
komponen-komponen sebagai berikut:
a.
Executive Summary
b.
Framework
c.
Control Objective
d.
Audit Guidelines
e.
Management Guidelines
f.
Control Practices
Definisi
Pengendalian Internal menurut COBIT
Untuk pengertian
Pengendalian Internal COBIT mengadopsinya dari COSO, yaitu:
“Kebijakan,
prosedur, praktik, struktur organisasi yang dirancang untuk memberikan
keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang
tidak diinginkan dapat dicegah, dideteksi atau diperbaiki”.
Selain itu untuk tujuan
pengendalian sendiri COBIT mengadopsinya dari SAC, yaitu:
“Suatu pernyataan
atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan
mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.
Komponen tujuan
pengendalian COBIT terdiri dari 4
tujuan pengendalian tingkat tinggi yang tercermin dalam 4 domain, yaitu:
a.
Planning and Organization
b.
Acquisition & Implementation
c.
Delivery & Support
d.
Monitoring
Sudut Pandang
COBIT tentang Pengendalian Internal
a.
Pengguna Utama
COBIT dibuat untuk
digunakan oleh 3 pengguna, yaitu:
·
Manajemen, untuk membantu mereka menyeimbangkan antara risiko
dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat
diprediksi.
·
User, untuk memperoleh keyakinan atas layanan keamanan dan
pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
·
Auditor, untuk mendukung dan memperkuat opini yang dihasilkan
dan atau untuk memberikan saran kepada manajemen atas pengendalian internal
yang ada.
b.
Tujuan pengendalian internal bagi organisasi
Operasi
yang efektif dan efisien
Operasi
dapat dikatakan EFEKTIF jika informasi yang diperoleh relevan dan berkaitan
dengan proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar,
konsisten serta bermanfaat.
Dikatakan
EFISIEN jika dalam penyediaan informasi melalui sumber daya (yang paling
produktif dan ekonomis) dapat optimal.
Kerahasiaan
Menyangkut
perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak
berwenang.
Integritas
Berkaitan
dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai
dengan nilai-nilai dan harapan bisnis.
Ketersediaan
Informasi
Informasi
harus dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik sekarang
maupun dimasa yang akan datang. Hal ini juga terkait dengan pengamanan atas
sumber daya yang perlu dan adanya kemampuan yang terikat.
Pelaporan
Keuangan yang handal
Dengan
pemberian informasi keuangan yang tepat bagi manajemen untuk mengoperasikan
perusahaan dan juga untuk memenuhi kewajiban dalam membuat pelaporan keuangan.
Ketaatan
pada ketentuan hukum dan peraturan
Berhubungan
dengan pemenuhan sesuai dengan ketentuan hukum, peraturan dan perjanjian
kontrak dimana dalam hal ini proses bisnis dianggap sebagai subjek.
c.
Domain
Planning
and Organization
Domain
ini mencakup strategi serta taktik atas identifikasi bagaimana IT secara
maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu,
realisasi dari visi strategis perlu direncanakan, dikomunikasikan dan dikelola
untuk berbagai perspektif yang berbeda. Ditambah dengan pengorganisasian yang
baik dengan menempatkan infrastruktur teknologi ditempat yang semestinya.
Acquisition
& Implementation
Agar
tercapainya strategi IT, solusi IT harus diidentifikasi, dikembangkan, diimplementasikan
dan terintegrasi dengan baik ke dalam proses bisnis. Selain itu, perubahan
serta pemeliharaan sistem yang ada harus dicakup dalam domainini untuk
memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini.
Delivery
& Support
Domain
ini memberikan fokus utama pada aspek penyampaian IT. Dalam delivery and
support tercakup area-area seperti pengaplikasian aplikasi-aplikasi dalam
sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan
pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan
ini termasuk isu tentang keamanan dan pelatihan.
Monitoring
Semua proses IT perlu dinilai
secara teratur sepanjan waktu untuk dapat menjaga kualitas dan pemenuhan atas
syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen
atas proses pengendalian dalam organisasi serta penilaian independen yang
dilakukan oleh auditor internal maupun eksternal, atau dapat diperoleh dari sumber-sumber
alternatif lainnya.
Skala maturity
dari Framework COBIT
Maturity
model adalah suatu
metode untuk mengukur level pengembangan manajemen proses, yang berarti adalah
mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya
pengembangan atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan
COBIT yang . Sebagai contoh adalah ada beberapa proses dan sistem kritikal yang
membutuhkan manajemen keamanan yang lebih ketat dibanding proses dan sistem
lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan
pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah
didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.
Penerapan
yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada
pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol).
Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi,
mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat
diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan
sumber daya TI.
Maturity model dapat digunakan untuk memetakan :
1. Status pengelolaan TI perusahaan pada saat itu.
2. Status standart industri dalam bidang TI saat
ini (sebagai pembanding)
3. status standart internasional dalam bidang TI
saat ini (sebagai pembanding)
4. strategi pengelolaan TI perusahaan (ekspetasi
perusahaan terhadap posisi pengelolaan TI perusahaan)
Tingkat kemampuan pengelolaan TI pada skala
maturity dibagi menjadi 6 level :
·
Level 0(Non-existent);
perusahaan tidak mengetahui sama sekali proses teknologi informasi di
perusahaannya
·
Level 1(Initial Level); pada
level ini, organisasi pada umumnya tidak menyediakan lingkungan yang stabil
untuk mengembangkan suatu produk baru. Ketika suatu organisasi kelihatannya
mengalami kekurangan pengalaman manajemen, keuntungan dari mengintegrasikan
pengembangan produk tidak dapat ditentukan dengan perencanaan yang tidak
efektif, respon sistem. Proses pengembangan tidak dapat diprediksi dan tidak
stabil, karena proses secara teratur berubah atau dimodifikasi selama
pengerjaan berjalan beberapa form dari satu proyek ke proyek lain. Kinerja
tergantung pada kemampuan individual atau term dan varies dengan
keahlian yang dimilikinya.
·
Level 2(Repeatable Level); pada
level ini, kebijakan untuk mengatur pengembangan suatu proyek dan prosedur
dalam mengimplementasikan kebijakan tersebut ditetapkan. Tingkat efektif suatu
proses manajemen dalam mengembangankan proyek adalah institutionalized,
dengan memungkinkan organisasi untuk mengulangi pengalaman yang berhasil dalam
mengembangkan proyek sebelumnya, walaupun terdapat proses tertentu yang tidak
sama. Tingkat efektif suatu proses mempunyai karakteristik seperti; practiced,
dokumentasi, enforced, trained, measured, dan dapat ditingkatkan. Product
requirement dan dokumentasi perancangan selalu dijaga agar dapat mencegah
perubahan yang tidak diinginkan.
·
Level
3(Defined Level); pada level ini, proses standar dalam pengembangan suatu
produk baru didokumentasikan, proses ini didasari pada proses pengembangan
produk yang telah diintegrasikan. Proses-proses ini digunakan untuk membantu
manejer, ketua tim dan anggota tim pengembangan sehingga bekerja dengan lebih
efektif. Suatu proses yang telah didefenisikan dengan baik mempunyai
karakteristik; readiness criteria, inputs, standar dan prosedur dalam
mengerjakan suatu proyek, mekanisme verifikasi, output dan kriteria selesainya
suatu proyek. Aturan dan tanggung jawab yang didefinisikan jelas dan
dimengerti. Karena proses perangkat lunak didefinisikan dengan jelas, maka
manajemen mempunyai pengatahuan yang baik mengenai kemajuan proyek tersebut.
Biaya, jadwal dan kebutuhan proyek dalam pengawasan dan kualitas produk yang
diawasi.
·
Level
4(Managed Level); Pada level ini, organisasi membuat suatu matrik untuk suatu
produk, proses dan pengukuran hasil. Proyek mempunyai kontrol terhadap produk
dan proses untuk mengurangi variasi kinerja proses sehingga terdapat batasan
yang dapat diterima. Resiko perpindahan teknologi produk, prores
manufaktur, dan pasar harus diketahui dan diatur secara hati-hati. Proses
pengembangan dapat ditentukan karena proses diukur dan dijalankan dengan limit
yang dapat diukur.
Belum ada tanggapan untuk "COBIT (Control Objectives for Information and Related Technology)"
Posting Komentar
Blogger Yang Baik Yang meninggalkan jejak berupa komentar