COBIT
menciptakan sebuah jembatan antara manajemen TI dan para eksekutif bisnis.
COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua
pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan
semakin besarnya perhatian yang diberikan terhadap corporate governance dan
kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit
meskipun ketika terjadi kondisi ekonomi yang sulit.
Fokus utama
dari COBIT ini adalah harapan bahwa melaui adopsi COBIT ini, perusahaan akan
mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi
resiko-resiko inheren yang teridentifikasi didalamnya.
COBIT
dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian
dari Information Systems Audit and Control Association (ISACA).
Saat ini pengembangan terbaru dari standar ini adalah COBIT Edisi 5.0.
Manfaat yang
diberikan oleh informasi dan teknologi pada perusahaan :
- Menjaga kualitas informasi untuk mendukung pengambilan keputusan bisnis.
- Menghasilkan nilai bisnis dari investasi pemanfaatan IT , yaitu mencapai tujuan strategis dan merealisasikan manfaat bisnis melalui penggunaan IT yang efektif dan inovatif.
- Mencapai keunggulan operasional melalui penerapan teknologi yang handal dan efisien.
- Menjaga resiko yang behubungan dengan penerapan pada tingkat yang masih bisa ditoleransi mengoptimalkan biaya penggunaan it service dan teknologi
Komponen-Komponen
COBIT
COBIT
memiliki komponen-komponen sebagai berikut :
a. Executive
Summary
b. Framework
c. Control
Objective
d. Audit
Guidelines
e.
Management Guidelines
f. Control
Practices
Definisi
Pengendalian Internal menurut COBIT
COBIT
mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan
praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang
wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan
dapat dicegah atau dideteksi dan diperbaiki”. Sedangkan COBIT mengadaptasi
definisi tujuan pengendalian (control objective)dari SAC yaitu : “Suatu
pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan
mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.
Komponen
tujuan pengendalian (control objectives) COBIT ini
terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control
objectives ) yang tercermin dalam 4 domain, yaitu : planning
& organization , acquisition & implementation ,delivery
& support , dan monitoring.
Ringkasan
Konsep Pengendalian Internal COBIT dilihat dari berbagai sudut pandang
Pengguna
Utama
COBIT di
rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :
- Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
- User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
- Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.
Tujuan
Pengendalian Internal bagi Organisasi
Operasi yang
efektif dan efisien
Keefektifan
berkenaan dengan informasi yang diperoleh harus relevan dan berkaitan dengan
proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten,
dan bermanfaat. Sedangkan keefisienan berkaitan dengan penyediaan informasi
melalui sumber daya (yang paling produktif dan ekonomis) yang optimal.
Kerahasiaan
Menyangkut
perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak
berwenang.
Integritas
Berkaitan
dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai
nilai-nilai dan harapan bisnis.
Ketersedian
Informasi
Berkaitan
dengan informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses
bisnis baik sekarang maupun di masa yang akan datang. Ini juga terkait dengan
pengamanan atas sumber daya yang perlu dan kemampuan yang terkait.
Pelaporan
keuangan yang handal
Berkaitan
dengan pemberian informasi yang tepat bagi manajemen untuk mengoperasikan
perusahaan dan juga pemenuhan kewajiban mereka untuk membuat pelaporan
keuangan.
Ketaatan
terhadap ketentuan hukum dan peraturan
Terkait
dengan pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian kontrak,
dimana dalam hal ini proses bisnis dipandang sebagai suatu subjek.
Domain
- Planning and organization
Domain ini
mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT
secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu,
realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola
untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang
baik serta infrastruktur teknologi harus di tempatkan di tempat yang
semestinya.
- Acquisition dan implementation
Untuk merealisasikan
strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu,
perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini
untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sisteem
ini.
- Delivery and Support
Domain ini
memberikan fokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini
mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan
hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT
tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah
keamanan dan juga pelatihan.
- Monitoring
Semua proses
IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan
pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya
pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian
independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh
dari sumber-sumber anternatif lainnya.
Kerangka
kerja COBIT ini terdiri atas beberapa arahan ( guidelines ),
yakni:
Control
Objectives : Terdiri atas
4 tujuan pengendalian tingkat-tinggi ( high-level control
objectives ) yang tercermin dalam 4 domain, yaitu: planning
& organization , acquisition & implementation , delivery
& support , dan monitoring .
Audit
Guidelines : Berisi
sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed
control objectives ) untuk membantu para auditor dalam memberikanmanagement
assurance dan/atau saran perbaikan.
Management
Guidelines : Berisi
arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti
dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
- Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
- Apa saja indikator untuk suatu kinerja yang bagus?
- Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors )?
- Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
- Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
- Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.
The COBIT
Framework memasukkan
juga hal-hal berikut ini:
- Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices
- Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
- Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements
- Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan denganprocess goals.
Satu dari
prinsip dalam COBIT 5 ini adalah pembedaan yang dibuat antara tata kelola
(governance) dan pengelolaan (management). Selaras dengan prinsip ini, setiap
organisasi diharapkan untuk melaksanakan sejumlah proses tata kelola dan
sejumlah proses pengelolaan untuk menyediakan tata kelola dan pengelolaan
enterprise IT yang komprehensif.
Ketika mempertimbangkan proses untuk tata kelola dan
pengelolaan dalam konteks enterprise, perbedaan antara jenis-jenis proses
tergantung kepada tujuan dari proses tersebut, antara lain :
- Proses tata kelola berhubungan dengan tujuan tata kelola, yaitu value delivery; manajemen resiko dan penyeimbangan sumber daya; serta termasuk praktik dan aktivitas yang dituju sesuai evaluasi pilihan strategis yang menyediakan arahan kepada IT dan memantau outcome (hal ini sesuai dengan konsep standar ISO 38500).
- Selaras dengan definisi pengelolaan, praktik dan aktivitas dari proses pengelolaan (management process) melingkupi tanggung jawab area perencanaan, pembangunan, pelaksanaan, dan pemantauan dari enterprise IT. Proses pengelolaan juga menyediakan cakupan end-to-end dari IT.
Walau outcome kedua jenis proses berbeda dan
dimaksudkan untuk audience yang berbeda, secara internal, contohnya dari
konteks prosesnya sendiri, semua proses membutuhkan aktivitas perencanaan,
pembangunan (atau implementasi), eksekusi, dan pemantauan.
COBIT 5 tidaklah menentukan tetapi dari penjelasan di
atas jelas bahwa COBIT 5 mendukung organisasi mengimplementasi proses tata
kelola dan pengelolaan pada area yang dicakupi seperti yang dijelaskan pada
gambar di bawah.
Dalam teorinya, perusahaan dapat mengorganisasi
prosesnya apabila memungkinkan selama tujuan dasar tata kelola dan pengelolaan
tercakupi. Perusahaan kecil memiliki proses yang lebih sedikit sedangkan
perusahaan yang lebih besar atau rumit memiliki proses yang banyak. Semuanya
mencakupi tujuan yang sama. Meskipun begitu, COBIT 5 juga menyertakan sebuah
model referensi proses yang mendefinisikan dan menjelaskan secara rinci
sejumlah proses tata kelola dan pengelolaan. Model referensi proses
merepresentasikan semua proses yang secara normal ditemukan dalam sebuah perusahaan
yang berhubungan dengan kegiatan IT dengan demikian menyediakan sebuah model
referensi umum yang dapat dimengerti untuk manajer bisnis dan It yang
beroperasi dan juga auditor maupun penasehat.
Menggabungkan model operasional dan membuat sebuah
bahasa umum untuk semua bagian bisnis yang terlibat dalam kegiatan IT merupakan
salah satu hal yang paling penting dan langkah kritis menuju tata kelola yang
baik (good governance). Selain itu, model referensi proses menyediakan kerangka
kerja untuk mengukur dan memantau kinerja IT, mengomunikasikan dengan penyedia
layanan, serta menyatukan praktik-praktik pengelolaan terbaik.
Model referensi proses COBIT 5 membagi proses tata
kelola dan pengelolaan perusahaan IT ke dalam dua domain, yaitu domain tata
kelola dan domain pengelolaan.
- Domain tata kelola mengandung lima proses tata kelola yang di dalam setiap prosesnya praktik evaluasi, pengarahan, dan pemantauan didefinisikan.
- Domain pengelolaan ada empat yang selaras dengan wilayah tanggung jawab perencanaan, pembangunan, pelaksanaan, dan pemantauan.
- Dalam COBIT 5, proses-proses juga mencakupi lingkup penuh dari kegiatan bisnis dan IT yang berhubungan dengan tata kelola dan pengelolaaan enterprise IT. Dengan demikian membuat model proses benar-benar enterprise-wide.
Model referensi proses COBIT 5 adalah penerus proses
model COBIT 4.1 dengan mengintegrasikan proses model Risk IT dan Val IT. Gambar
di bawah menggambarkan himpunan lengkap dari proses tata kelola dan pengelolaan
dalam COBIT 5.
sumber:
Tidak ada komentar:
Posting Komentar