282
Seminar dan Call For Paper Munas Aptikom Politeknik Telkom
Bandung, 9 Oktober 2010 yang merupakan bagian dari ISACA Information
Systems Audit and Control Association. 2.2
Sejarah Cobit
Cobit diciptakan untuk menyediakan model yang detail dan spesifik untuk IT governance. Berisi
standar dan regulasi ISO, EDIFACT, dan lain- lain.Codes of Conduct issued by Council of
Europe.Stándar Profesional Auditing, yaitu : COSO, IFAC, IIA, ISACA, AICPA standards, dll. Pertama
kali dipubliksikam pada bulan April 1996, edisi kedua terbit pada tahun 1998, edisi ketiga pada Juli 2000,
edisi keempat pada bulan Desember 2005 dengan versi terakhir adalah edisi 4.1 yang dikeluarkan pada
tahun 2007. Lingkup kriteria informasi yang sering menjadi
perhatian dalam COBIT adalah: • Effectiveness
Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses
oleh sistem informasi yang dibangun. • Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh
sistem. • Confidentiality
Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
• Integrity Menitikberatkan pada integritas datainformasi
dalam sistem. • Availability
Menitikberatkan pada ketersediaan datainformasi dalam sistem informasi.
• Compliance Menitikberatkan pada kesesuaian datainformasi
dalam sistem informasi. • Reliability
Menitikberatkan pada kemampuanketangguhan sistem informasi dalam pengelolaan
datainformasi.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:
• Applications • Information
• Infrastructure • People
3.
Fokus IT governance ISACA, COBIT 4.1, 2007
strategic alignment ; yang memfokuskan kepastian terhadap keterkaitan antara strategi bisnis dan TI serta
penyelarasan antara operasional teknologi itu dan bisnis.
value delivery ; mencakup hal-hal yang terkait dengan penyampaian nilai yang memastikan bahwa TI
memenuhi manfaat yang dijanjikan dengan memfokuskan pada pengoptimalan biaya dan
pembuktian nilai hakiki akan keberadaan teknologi itu sendiri.
resource management ; berkaitan dengan pengoptimalan investasi dan pengelolaan secara tepat
sumber daya TI yang kritis mencakup aplikasi, informasi, infrastruktur, dan SDM.
risk management ; atas keberadaan risiko, transparansi atas risiko yang signifikan terhadap proses bisnis serta
tanggung jawab pengelolaan risiko dalam organisasi. performance measurement ; yang berfokus pada
penelusuran dan pengawasan implementasi dari strategi, pemenuhan proyek yang berjalan,
penggunaan sumber daya, kinerja proses, dan penyampaian layanan.
Gambar 1 – FOKUS IT GOVERNANCE
4. Prinsip Dasar COBIT
Untuk menyediakan informasi yang dibutuhkan perusahaan untuk mencapai tujuan organisasi. Prinsip
dasar COBIT menggambarkan : a.
Kebutuhan Bisnis b.
Sumber Daya TI c.
Proses TI
Seminar dan Call For Paper Munas Aptikom Politeknik
Telkom Bandung, 9 Oktober 2010
283
Gambar 2 – Prinsip Dasar COBIT a
Kebutuhan Bisnis • Efektivitas
Effectiveness, menguraikan informasi yang relevan dan berhubungan
dengan proses bisnis yang disampaikan tepat pada waktunya dengan cara yang benar,
konsisten dan tepat digunakan.
• Efisiensi Efficiency, menyangkut ketentuan
informasi melalui penggunaan sumberdaya yang optimal lebih produktif dan ekonomis.
• Kerahasiaan Confidentiality, menyangkut
perlindungan informasi yang sensitif dari akses yang tidak sah.
• Integritas
Integrity, berkaitan dengan keakuratan dan kelengkapan informasi juga
keabsahannya yang sesuai dengan harapan expectation dan nilai bisnis.
• Ketersediaan Availability, berkaitan dengan
informasi yang tersedia yang diperlukan oleh proses bisnis saat ini dan yang akan datang,
juga menyangkut penjagaan sumberdaya yang perlu dan kemampuan yang terkait.
• Pemenuhan
Compliance, menguraikan pemenuhan hukum, peraturan dan persetujuan
yang bersifat kontrak dimana proses bisnisnya merupakan subyek, yakni kriteria bisnis yang
ditentukan dari luar.
• Keterandalan informasi Reliability of
Information, berkaitan dengan ketentuan informasi yang memadai bagi manajemen
untuk menjalankan dan melaksanakan keseluruhan finansialnya dan pemenuhan
laporan tanggung jawab.
b Sumber Daya TI
Sumberdaya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau diidentifikasikan
sebagai berikut : •
Data, adalah obyek-obyek dalam pengertian yang lebih luas yakni internal dan
eksternal, terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.
• Sistem aplikasi, dipahami untuk
menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram.
• Teknologi, mencakup hardware, sistem
operasi, sistem manajemen database, jaringan networking, multimedia, dan lain- lain.
Fasilitas, adalah semua sumberdaya untuk menyimpan dan mendukung system
informasi.
• Manusia termasuk staf ahli, kesadaran dan
produktivitas untuk merencanakan, mengorganisasikan atau melaksanakan,
memperoleh, menyampaikan, mendukung dan memantau layanan sistem informasi.
c Proses TI
Framework COBIT terdiri dari 34 high-level control objective, dimana tiap-tiap IT proses
dikelompokkan dalam empat domain utama • Perencanaan dan organisasi plan and
organise • Pengadaan dan implementasi acquire and
implement • Pengantaran dan dukungan deliver and
support • Pengawasan dan evaluasi monitor and
evaluate
Gambar 3 – Empat Kelompok Domain COBIT Domain 1 : Planning and Organisation
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI
dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga
terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
Langkah-langkahnya :
• PO1 Define a strategic information
technology plan •
PO2 Define the information architecture •
PO3 Determine the technological direction
284
Seminar dan Call For Paper Munas Aptikom Politeknik Telkom
Bandung, 9 Oktober 2010 •
PO4 Define the IT organisation and relationships
• PO5 Manage the investment in information
technology •
PO6 Communicate management aims and direction
• PO7 Manage human resources
• PO8 Ensure compliance with external
requirements •
PO9 Assess risks •
PO10 Manage projects •
PO11 Manage quality Domain 2 : Acquisition and Implementation
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan
kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
Langkah-langkahnya :
• AI1 Identify automated solutions
• AI2 Acquire and maintain application
software •
AI3 Acquire and maintain technology infrastructure
• AI4 Develop and maintain IT procedures
• AI5 Install and accredit systems
• AI6 Manage changes
Domain 3 : Delivery and Support Domain ini berhubungan dengan penyampaian
layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis
sampai dengan pengadaan training. Langkah-langkahnya :
• DS1 Define and manage service levels
• DS2 Manage third-party services
• DS3 Manage performance and capacity
• DS4 Ensure continuous service
• DS5 Ensure systems security
• DS6 Identify and allocate costs
• DS7 Educate and train users
• DS8 Assist and advise customers
• DS9 Manage the configuration
• DS10 Manage problems and incidents
• DS11 Manage data
• DS12 Manage facilities
• DS13 Manage operations
Domain 4 : Monitoring Semua proses TI perlu dinilai secara teratur dan
berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.
Langkah-langkahnya : •
M1 Monitor the process •
M2 Assess internal control adequacy •
M3 Obtain independent assurance •
M4 Provide for independent audit
Gambar 4 – Kerangka Kerja COBIT Kerangka kerja COBIT memasukkan juga hal-
hal sebagai berikut: a.
Maturity Models – Untuk memetakan status maturity proses-proses IT dalam skala 0 - 5
dibandingkan dengan “the best in the class in the Industry” dan juga International best practices
b. Critical Success Factors CSFs – Arahan implementasi bagi manajemen agar dapat
melakukan kontrol-kontrol atas proses IT dalam perusahaan.
c. Key Goal Indicators KGIs – Kinerja proses- proses IT sehubungan dengan business
requirements d. Key Performance Indicators KPIs – Kinerja
proses-proses IT sehubungan dengan proses pencapaian tujuan.
5. IT Governance di Sektor Publik
Pemerintahan Terkait dengan pelaksanaan UU Nomor 14 Tahun
2008 maka yang seharusnya melaksanakan tata kelola TI pada badan publik adalah pejabat pengelola
informasi dan dokumentasi. Pejabat itu wajib memberikan, menyampaikan, dan menyebarluaskan
informasi publik dengan cara yang mudah dijangkau, namun di sisi lain harus mengamankan informasi
yang dikecualikandirahasiakan dan hanya boleh
PO1 Define a strategic IT plan PO2 Define the information architecture
PO3 Determine the technological direction PO4 Define the IT organisation and relationships
PO5 Manage the IT investment PO6 Communicate management aims and direction
PO7 Manage human resources PO8 Ensure compliance with external requirements
PO9 Assess risks PO10 Manage projects
PO11 Manage quality
AI1 Identify automated solutions AI2 Acquire and mantain application software
AI3 Acquire and maintain technology infrastructure AI4 Develop and maintain IT procedures
AI5 Install and accredit systems AI6 Manage changes
M1 Monitor the process M2 Assess internal control adequacy
M3 Obtain independent assurance M4 Provide for independent audit
DS1 Define service levels DS2 Manage third-party services
DS3 Manage peformance and capacity DS4 Ensure continuous service
DS5 Ensure systems security DS6 Identify and attribute costs
DS7 Educate and train users DS8 Assist and advise IT customers
DS9 Manage the configuration DS10 Manage problems and incidents
DS11 Manage data DS12 Manage facilities
DS13 Manage operations
IT RESOURCES
IT RESOURCES
• Data • Application systems
• Technology • Facilities
• People • Data
• Application systems • Technology
• Facilities • People
PLAN AND ORGANISE
PLAN AND ORGANISE
ACQUIRE AND IMPLEMENT
ACQUIRE AND IMPLEMENT
DELIVER AND SUPPORT
DELIVER AND SUPPORT
IT RESOURCES
IT RESOURCES
• Data • Application systems
• Technology • Facilities
• People • Data
• Application systems • Technology
• Facilities • People
PLAN AND ORGANISE
PLAN AND ORGANISE
ACQUIRE AND IMPLEMENT
ACQUIRE AND IMPLEMENT
DELIVER AND SUPPORT
DELIVER AND SUPPORT
• Effectiveness • Efficiency
• Confidenciality • Integrity
• Availability • Compliance
• Reliability • Effectiveness
• Efficiency • Confidenciality
• Integrity • Availability
• Compliance • Reliability
Criteria
• Effectiveness • Efficiency
• Confidenciality • Integrity
• Availability • Compliance
• Reliability • Effectiveness
• Efficiency • Confidenciality
• Integrity • Availability
• Compliance • Reliability
Criteria
Business Objectives
MONITOR AND EVALUATE
C
OBI
T Framework
Seminar dan Call For Paper Munas Aptikom Politeknik
Telkom Bandung, 9 Oktober 2010
285
diminta dengan sejumlah persyaratan Bab V, Pasal 17 dari akses pihak-pihak yang tidak terotorisasi.
Bila tata kelola TI suatu organisasiinstitusi sangat terkait dengan tanggung jawab dan tindakan
pengurus dan manajemen eksekutif CIOs, maka IT Governance di sektor publik pemerintahan pun
terkait dengan tanggung jawab dan tindakan pejabat pengambil kebijakan dari tingkat pusat sampai tingkat
daerahkota. Mereka bertanggung jawab terhadap arah strategi institusi yang di pimpin, memastikan bahwa
tujuan institusi dapat tercapai dan berbagai sumber daya yang dimiliki telah dimanfaatkan dengan tepat.
IT govenernance membutuhkan pengaturan yang tepat untuk memadukan strategi TI dan pemanfaatan
sumberdaya. Menyadari bahwa TI terkait dengan semua aspek bisnis perusahaan, maka IT
govenernance harus dilihat sama nilai pentingnya dengan standar pengelolaan bisnis dan pelayanan. IT
govenernance yang efektif mampu menghasilkan keuntungan-keuntungan bisnis yang nyata misalnya
reputasi, kepercayaan, dan pangsa pasara. Hal itu mampu menurunkan resiko manajemen.
Semakin tinggi kebutuhan demand akan informasi tentunya produksi perangkat teknologi
informasi juga akan meningkat. Vendor-vendor teknologi berlomba-lomba mengembangkan
produknya dengan segala keunggulan teknologi dan harga yang kompetitif. Disisi pengguna baik individu
maupun korporasi, tentunya ada hal positif yang dapat diambil dari persaingan vendor di atas, diantaranya
adalah banyak pilihan yang dapat disesuaikan dengan anggaran yang ada.
Disisi institusi, tentunya perubahan yang cepat terhadap teknologi informasi bisa berdampak positif
dan negatif. Over investment adalah hal negatif yang dapat terjadi institusi salah dalam menetapkan,
menjalankan maupun menjaga strategi bisnisnya sejalan dengan perkembangan teknologi informasi.
Dampak positif akan didapatkan hanya jika institusi dapat menetapkan, menjalankan maupun menjaga
strategi bisnisnya sejalan dengan perkembangan teknologi informasi. Disinilah muncul terminologi IT
Governance
yang banyak dibicarakan oleh korporasi maupun institusi pemerintah.
IT Governance sangat diperlukan diantaranya untuk tetap menjaga investasi, meningkatkan daya
saing memberikan nilai tambah, serta menjaga keberlangsungan
bisnisusahapemerintahan. COBIT adalah kerangka tata IT governace framework yang banyak dipakai
oleh praktisi.
5.1 Mengapa menggunakan Cobit
Pada dasarnya COBIT dikembangkan untuk membantu memenuhi berbagai kebutuhan manajemen
terhadap informasi, dengan menjembatani kesenjangan antara resiko bisnis, kontrol dan masalah
teknik. COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena
membantu para direktur, eksekutif dan manager meningkatkan nilai TI serta mengecilkan resiko yang
mungkin timbul.
COBITs “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT
dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaaninstitusi mengoptimalkan
investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi
apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi.
Suatu perencanaan Audit Sistem Informasi berbasis teknologi audit IT oleh Internal Auditor,
dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas
ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek IT,
dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.
Lebih lanjut, auditor dapat menggunakan Audit Guidelines dengan menerapkan seluruh domain yang
terdapat dalam COBIT, yakni planning-organization PO, acquisition-implementation AI, Delivery-
support DS dan Monitoring M untuk merancang prosedur audit.
Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri,
kondisi TI di perusahaan atau organisasi, atau objek khusus di lingkungan TI. Selain dapat digunakan oleh
Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko IT
dengan pengendalian yang dibutuhkan IT risk management dan juga referensi utama yang sangat
membantu dalam penerapan IT Governance di isntitusi pemerintahan.
COBIT terdiri atas beberapa arahanpedoman, yang dapat digunakan sebagai pedoman implementasi
IT governance di sektor publik pemerintahan yang baik. Pedoman tesebut yaitu :
1. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi high-level control objectives yang tercermin
dalam 4 domain, yaitu: planning organization, acquisition implementation, delivery
support , dan monitoring.
2. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci detailed control objectives
untuk membantu para auditor dalam memberikan management assurance danatau saran perbaikan.
3. Management Guidelines
286
Seminar dan Call For Paper Munas Aptikom Politeknik Telkom
Bandung, 9 Oktober 2010 Berisi arahan, baik secara umum maupun
spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab
pertanyaan-pertanyaan berikut :
b. Sejauh mana Anda TI harus bergerak, dan
apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
c. Apa saja indikator untuk suatu kinerja yang
bagus ? d.
Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses
critical success factors ? e.
Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang
ditentukan ? f.
Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan ?
g. Bagaimana Anda mengukur keberhasilan
dan bagaimana pula membandingkannya ?
Gambar 6 - Kaitan IT Governance dan COBIT
6. Good Governance
Pada akhirnya penerapan IT governance pada sektor publik pemerintahan yang baik akan
membantu menciptakan good governance yang diharapkan. Kunci utama memahami good
governance adalah pemahaman atas prinsip-prinsip di dalamnya. Prinsip-prinsip tersebut adalah :
1 Partisipasi Masyarakat
Semua warga masyarakat mempunyai suara dalam pengambilan keputusan, baik secara
langsung maupun melalui lembaga-lembaga perwakilan sah yang mewakili kepentingan
mereka. Partisipasi menyeluruh tersebut dibangun berdasarkan kebebasan berkumpul dan
mengungkapkan pendapat, serta kapasitas untuk berpartisipasi secara konstruktif.
2 Tegaknya Supremasi
Hukum Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu, termasuk di
dalamnya hukum-hukum yang menyangkut hak asasi manusia.
3 Transparansi
Tranparansi dibangun atas dasar arus informasi yang bebas. Seluruh proses pemerintahan,
lembaga-lembaga dan informasi perlu dapat diakses oleh pihak-pihak yang berkepentingan,
dan informasi yang tersedia harus memadai agar dapat dimengerti dan dipantau.
4 Peduli pada Stakeholder
Lembaga-lembaga dan seluruh proses pemerintahan harus berusaha melayani semua
pihak yang berkepentingan. 5
Berorientasi pada Konsensus Tata pemerintahan yang baik menjembatani
kepentingan-kepentingan yang berbeda demi terbangunnya suatu konsensus menyeluruh
dalam hal apa yang terbaik bagi kelompok- kelompok masyarakat, dan bila mungkin,
konsensus dalam hal kebijakan-kebijakan dan prosedur-prosedur.
6 Kesetaraan
Semua warga masyarakat mempunyai kesempatan memperbaiki atau mempertahankan
kesejahteraan mereka. 7
Efektifitas dan Efisiensi Proses-proses pemerintahan dan lembaga-
lembaga membuahkan hasil sesuai kebutuhan warga masyarakat dan dengan menggunakan
sumber-sumber daya yang ada seoptimal mungkin.
8 Akuntabilitas
Para pengambil keputusan di pemerintah, sektor swasta dan organisasi-organisasi masyarakat
bertanggung jawab baik kepada masyarakat maupun kepada lembaga-lembaga yang
berkepentingan. Bentuk pertanggung jawaban tersebut berbeda satu dengan lainnya tergantung
dari jenis organisasi yang bersangkutan.
9 Visi Strategis
Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ke depan atas tata
pemerintahan yang baik dan pembangunan manusia, serta kepekaan akan apa saja yang
dibutuhkan untuk mewujudkan perkembangan tersebut. Selain itu mereka juga harus memiliki
pemahaman atas kompleksitas kesejarahan, budaya dan sosial yang menjadi dasar bagi
perspektif tersebut.