282 Seminar dan Call For Paper Munas Aptikom Politeknik Telkom Bandung, 9 Oktober 2010 yang merupakan bagian dari ISACA Information Systems Audit and Control Association. 2.2 Sejarah Cobit Cobit diciptakan untuk menyediakan model yang detail dan spesifik untuk IT governance. Berisi standar dan regulasi ISO, EDIFACT, dan lain- lain.Codes of Conduct issued by Council of Europe.Stándar Profesional Auditing, yaitu : COSO, IFAC, IIA, ISACA, AICPA standards, dll. Pertama kali dipubliksikam pada bulan April 1996, edisi kedua terbit pada tahun 1998, edisi ketiga pada Juli 2000, edisi keempat pada bulan Desember 2005 dengan versi terakhir adalah edisi 4.1 yang dikeluarkan pada tahun 2007. Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah: • Effectiveness Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun. • Efficiency Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem. • Confidentiality Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis. • Integrity Menitikberatkan pada integritas datainformasi dalam sistem. • Availability Menitikberatkan pada ketersediaan datainformasi dalam sistem informasi. • Compliance Menitikberatkan pada kesesuaian datainformasi dalam sistem informasi. • Reliability Menitikberatkan pada kemampuanketangguhan sistem informasi dalam pengelolaan datainformasi. Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada: • Applications • Information • Infrastructure • People 3. Fokus IT governance ISACA, COBIT 4.1, 2007 strategic alignment ; yang memfokuskan kepastian terhadap keterkaitan antara strategi bisnis dan TI serta penyelarasan antara operasional teknologi itu dan bisnis. value delivery ; mencakup hal-hal yang terkait dengan penyampaian nilai yang memastikan bahwa TI memenuhi manfaat yang dijanjikan dengan memfokuskan pada pengoptimalan biaya dan pembuktian nilai hakiki akan keberadaan teknologi itu sendiri. resource management ; berkaitan dengan pengoptimalan investasi dan pengelolaan secara tepat sumber daya TI yang kritis mencakup aplikasi, informasi, infrastruktur, dan SDM. risk management ; atas keberadaan risiko, transparansi atas risiko yang signifikan terhadap proses bisnis serta tanggung jawab pengelolaan risiko dalam organisasi. performance measurement ; yang berfokus pada penelusuran dan pengawasan implementasi dari strategi, pemenuhan proyek yang berjalan, penggunaan sumber daya, kinerja proses, dan penyampaian layanan. Gambar 1 – FOKUS IT GOVERNANCE

4. Prinsip Dasar COBIT

Untuk menyediakan informasi yang dibutuhkan perusahaan untuk mencapai tujuan organisasi. Prinsip dasar COBIT menggambarkan : a. Kebutuhan Bisnis b. Sumber Daya TI c. Proses TI Seminar dan Call For Paper Munas Aptikom Politeknik Telkom Bandung, 9 Oktober 2010 283 Gambar 2 – Prinsip Dasar COBIT a Kebutuhan Bisnis • Efektivitas Effectiveness, menguraikan informasi yang relevan dan berhubungan dengan proses bisnis yang disampaikan tepat pada waktunya dengan cara yang benar, konsisten dan tepat digunakan. • Efisiensi Efficiency, menyangkut ketentuan informasi melalui penggunaan sumberdaya yang optimal lebih produktif dan ekonomis. • Kerahasiaan Confidentiality, menyangkut perlindungan informasi yang sensitif dari akses yang tidak sah. • Integritas Integrity, berkaitan dengan keakuratan dan kelengkapan informasi juga keabsahannya yang sesuai dengan harapan expectation dan nilai bisnis. • Ketersediaan Availability, berkaitan dengan informasi yang tersedia yang diperlukan oleh proses bisnis saat ini dan yang akan datang, juga menyangkut penjagaan sumberdaya yang perlu dan kemampuan yang terkait. • Pemenuhan Compliance, menguraikan pemenuhan hukum, peraturan dan persetujuan yang bersifat kontrak dimana proses bisnisnya merupakan subyek, yakni kriteria bisnis yang ditentukan dari luar. • Keterandalan informasi Reliability of Information, berkaitan dengan ketentuan informasi yang memadai bagi manajemen untuk menjalankan dan melaksanakan keseluruhan finansialnya dan pemenuhan laporan tanggung jawab. b Sumber Daya TI Sumberdaya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau diidentifikasikan sebagai berikut : • Data, adalah obyek-obyek dalam pengertian yang lebih luas yakni internal dan eksternal, terstruktur dan tidak terstruktur, grafik, suara dan sebagainya. • Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram. • Teknologi, mencakup hardware, sistem operasi, sistem manajemen database, jaringan networking, multimedia, dan lain- lain. Fasilitas, adalah semua sumberdaya untuk menyimpan dan mendukung system informasi. • Manusia termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan, mengorganisasikan atau melaksanakan, memperoleh, menyampaikan, mendukung dan memantau layanan sistem informasi. c Proses TI Framework COBIT terdiri dari 34 high-level control objective, dimana tiap-tiap IT proses dikelompokkan dalam empat domain utama • Perencanaan dan organisasi plan and organise • Pengadaan dan implementasi acquire and implement • Pengantaran dan dukungan deliver and support • Pengawasan dan evaluasi monitor and evaluate Gambar 3 – Empat Kelompok Domain COBIT Domain 1 : Planning and Organisation Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula. Langkah-langkahnya : • PO1 Define a strategic information technology plan • PO2 Define the information architecture • PO3 Determine the technological direction 284 Seminar dan Call For Paper Munas Aptikom Politeknik Telkom Bandung, 9 Oktober 2010 • PO4 Define the IT organisation and relationships • PO5 Manage the investment in information technology • PO6 Communicate management aims and direction • PO7 Manage human resources • PO8 Ensure compliance with external requirements • PO9 Assess risks • PO10 Manage projects • PO11 Manage quality Domain 2 : Acquisition and Implementation Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis. Langkah-langkahnya : • AI1 Identify automated solutions • AI2 Acquire and maintain application software • AI3 Acquire and maintain technology infrastructure • AI4 Develop and maintain IT procedures • AI5 Install and accredit systems • AI6 Manage changes Domain 3 : Delivery and Support Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training. Langkah-langkahnya : • DS1 Define and manage service levels • DS2 Manage third-party services • DS3 Manage performance and capacity • DS4 Ensure continuous service • DS5 Ensure systems security • DS6 Identify and allocate costs • DS7 Educate and train users • DS8 Assist and advise customers • DS9 Manage the configuration • DS10 Manage problems and incidents • DS11 Manage data • DS12 Manage facilities • DS13 Manage operations Domain 4 : Monitoring Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol. Langkah-langkahnya : • M1 Monitor the process • M2 Assess internal control adequacy • M3 Obtain independent assurance • M4 Provide for independent audit Gambar 4 – Kerangka Kerja COBIT Kerangka kerja COBIT memasukkan juga hal- hal sebagai berikut: a. Maturity Models – Untuk memetakan status maturity proses-proses IT dalam skala 0 - 5 dibandingkan dengan “the best in the class in the Industry” dan juga International best practices b. Critical Success Factors CSFs – Arahan implementasi bagi manajemen agar dapat melakukan kontrol-kontrol atas proses IT dalam perusahaan. c. Key Goal Indicators KGIs – Kinerja proses- proses IT sehubungan dengan business requirements d. Key Performance Indicators KPIs – Kinerja proses-proses IT sehubungan dengan proses pencapaian tujuan.

5. IT Governance di Sektor Publik

Pemerintahan Terkait dengan pelaksanaan UU Nomor 14 Tahun 2008 maka yang seharusnya melaksanakan tata kelola TI pada badan publik adalah pejabat pengelola informasi dan dokumentasi. Pejabat itu wajib memberikan, menyampaikan, dan menyebarluaskan informasi publik dengan cara yang mudah dijangkau, namun di sisi lain harus mengamankan informasi yang dikecualikandirahasiakan dan hanya boleh PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine the technological direction PO4 Define the IT organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage human resources PO8 Ensure compliance with external requirements PO9 Assess risks PO10 Manage projects PO11 Manage quality AI1 Identify automated solutions AI2 Acquire and mantain application software AI3 Acquire and maintain technology infrastructure AI4 Develop and maintain IT procedures AI5 Install and accredit systems AI6 Manage changes M1 Monitor the process M2 Assess internal control adequacy M3 Obtain independent assurance M4 Provide for independent audit DS1 Define service levels DS2 Manage third-party services DS3 Manage peformance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and attribute costs DS7 Educate and train users DS8 Assist and advise IT customers DS9 Manage the configuration DS10 Manage problems and incidents DS11 Manage data DS12 Manage facilities DS13 Manage operations IT RESOURCES IT RESOURCES • Data • Application systems • Technology • Facilities • People • Data • Application systems • Technology • Facilities • People PLAN AND ORGANISE PLAN AND ORGANISE ACQUIRE AND IMPLEMENT ACQUIRE AND IMPLEMENT DELIVER AND SUPPORT DELIVER AND SUPPORT IT RESOURCES IT RESOURCES • Data • Application systems • Technology • Facilities • People • Data • Application systems • Technology • Facilities • People PLAN AND ORGANISE PLAN AND ORGANISE ACQUIRE AND IMPLEMENT ACQUIRE AND IMPLEMENT DELIVER AND SUPPORT DELIVER AND SUPPORT • Effectiveness • Efficiency • Confidenciality • Integrity • Availability • Compliance • Reliability • Effectiveness • Efficiency • Confidenciality • Integrity • Availability • Compliance • Reliability Criteria • Effectiveness • Efficiency • Confidenciality • Integrity • Availability • Compliance • Reliability • Effectiveness • Efficiency • Confidenciality • Integrity • Availability • Compliance • Reliability Criteria Business Objectives MONITOR AND EVALUATE C OBI T Framework Seminar dan Call For Paper Munas Aptikom Politeknik Telkom Bandung, 9 Oktober 2010 285 diminta dengan sejumlah persyaratan Bab V, Pasal 17 dari akses pihak-pihak yang tidak terotorisasi. Bila tata kelola TI suatu organisasiinstitusi sangat terkait dengan tanggung jawab dan tindakan pengurus dan manajemen eksekutif CIOs, maka IT Governance di sektor publik pemerintahan pun terkait dengan tanggung jawab dan tindakan pejabat pengambil kebijakan dari tingkat pusat sampai tingkat daerahkota. Mereka bertanggung jawab terhadap arah strategi institusi yang di pimpin, memastikan bahwa tujuan institusi dapat tercapai dan berbagai sumber daya yang dimiliki telah dimanfaatkan dengan tepat. IT govenernance membutuhkan pengaturan yang tepat untuk memadukan strategi TI dan pemanfaatan sumberdaya. Menyadari bahwa TI terkait dengan semua aspek bisnis perusahaan, maka IT govenernance harus dilihat sama nilai pentingnya dengan standar pengelolaan bisnis dan pelayanan. IT govenernance yang efektif mampu menghasilkan keuntungan-keuntungan bisnis yang nyata misalnya reputasi, kepercayaan, dan pangsa pasara. Hal itu mampu menurunkan resiko manajemen. Semakin tinggi kebutuhan demand akan informasi tentunya produksi perangkat teknologi informasi juga akan meningkat. Vendor-vendor teknologi berlomba-lomba mengembangkan produknya dengan segala keunggulan teknologi dan harga yang kompetitif. Disisi pengguna baik individu maupun korporasi, tentunya ada hal positif yang dapat diambil dari persaingan vendor di atas, diantaranya adalah banyak pilihan yang dapat disesuaikan dengan anggaran yang ada. Disisi institusi, tentunya perubahan yang cepat terhadap teknologi informasi bisa berdampak positif dan negatif. Over investment adalah hal negatif yang dapat terjadi institusi salah dalam menetapkan, menjalankan maupun menjaga strategi bisnisnya sejalan dengan perkembangan teknologi informasi. Dampak positif akan didapatkan hanya jika institusi dapat menetapkan, menjalankan maupun menjaga strategi bisnisnya sejalan dengan perkembangan teknologi informasi. Disinilah muncul terminologi IT Governance yang banyak dibicarakan oleh korporasi maupun institusi pemerintah. IT Governance sangat diperlukan diantaranya untuk tetap menjaga investasi, meningkatkan daya saing memberikan nilai tambah, serta menjaga keberlangsungan bisnisusahapemerintahan. COBIT adalah kerangka tata IT governace framework yang banyak dipakai oleh praktisi.

5.1 Mengapa menggunakan Cobit

Pada dasarnya COBIT dikembangkan untuk membantu memenuhi berbagai kebutuhan manajemen terhadap informasi, dengan menjembatani kesenjangan antara resiko bisnis, kontrol dan masalah teknik. COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena membantu para direktur, eksekutif dan manager meningkatkan nilai TI serta mengecilkan resiko yang mungkin timbul. COBITs “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaaninstitusi mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi. Suatu perencanaan Audit Sistem Informasi berbasis teknologi audit IT oleh Internal Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek IT, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut. Lebih lanjut, auditor dapat menggunakan Audit Guidelines dengan menerapkan seluruh domain yang terdapat dalam COBIT, yakni planning-organization PO, acquisition-implementation AI, Delivery- support DS dan Monitoring M untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di perusahaan atau organisasi, atau objek khusus di lingkungan TI. Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko IT dengan pengendalian yang dibutuhkan IT risk management dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di isntitusi pemerintahan. COBIT terdiri atas beberapa arahanpedoman, yang dapat digunakan sebagai pedoman implementasi IT governance di sektor publik pemerintahan yang baik. Pedoman tesebut yaitu : 1. Control Objectives Terdiri atas 4 tujuan pengendalian tingkat-tinggi high-level control objectives yang tercermin dalam 4 domain, yaitu: planning organization, acquisition implementation, delivery support , dan monitoring. 2. Audit Guidelines Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci detailed control objectives untuk membantu para auditor dalam memberikan management assurance danatau saran perbaikan. 3. Management Guidelines 286 Seminar dan Call For Paper Munas Aptikom Politeknik Telkom Bandung, 9 Oktober 2010 Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut : b. Sejauh mana Anda TI harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya. c. Apa saja indikator untuk suatu kinerja yang bagus ? d. Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses critical success factors ? e. Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan ? f. Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan ? g. Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya ? Gambar 6 - Kaitan IT Governance dan COBIT

6. Good Governance

Pada akhirnya penerapan IT governance pada sektor publik pemerintahan yang baik akan membantu menciptakan good governance yang diharapkan. Kunci utama memahami good governance adalah pemahaman atas prinsip-prinsip di dalamnya. Prinsip-prinsip tersebut adalah : 1 Partisipasi Masyarakat Semua warga masyarakat mempunyai suara dalam pengambilan keputusan, baik secara langsung maupun melalui lembaga-lembaga perwakilan sah yang mewakili kepentingan mereka. Partisipasi menyeluruh tersebut dibangun berdasarkan kebebasan berkumpul dan mengungkapkan pendapat, serta kapasitas untuk berpartisipasi secara konstruktif. 2 Tegaknya Supremasi Hukum Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu, termasuk di dalamnya hukum-hukum yang menyangkut hak asasi manusia. 3 Transparansi Tranparansi dibangun atas dasar arus informasi yang bebas. Seluruh proses pemerintahan, lembaga-lembaga dan informasi perlu dapat diakses oleh pihak-pihak yang berkepentingan, dan informasi yang tersedia harus memadai agar dapat dimengerti dan dipantau. 4 Peduli pada Stakeholder Lembaga-lembaga dan seluruh proses pemerintahan harus berusaha melayani semua pihak yang berkepentingan. 5 Berorientasi pada Konsensus Tata pemerintahan yang baik menjembatani kepentingan-kepentingan yang berbeda demi terbangunnya suatu konsensus menyeluruh dalam hal apa yang terbaik bagi kelompok- kelompok masyarakat, dan bila mungkin, konsensus dalam hal kebijakan-kebijakan dan prosedur-prosedur. 6 Kesetaraan Semua warga masyarakat mempunyai kesempatan memperbaiki atau mempertahankan kesejahteraan mereka. 7 Efektifitas dan Efisiensi Proses-proses pemerintahan dan lembaga- lembaga membuahkan hasil sesuai kebutuhan warga masyarakat dan dengan menggunakan sumber-sumber daya yang ada seoptimal mungkin. 8 Akuntabilitas Para pengambil keputusan di pemerintah, sektor swasta dan organisasi-organisasi masyarakat bertanggung jawab baik kepada masyarakat maupun kepada lembaga-lembaga yang berkepentingan. Bentuk pertanggung jawaban tersebut berbeda satu dengan lainnya tergantung dari jenis organisasi yang bersangkutan. 9 Visi Strategis Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ke depan atas tata pemerintahan yang baik dan pembangunan manusia, serta kepekaan akan apa saja yang dibutuhkan untuk mewujudkan perkembangan tersebut. Selain itu mereka juga harus memiliki pemahaman atas kompleksitas kesejarahan, budaya dan sosial yang menjadi dasar bagi perspektif tersebut.