Sabtu, 16 Desember 2017

COBIT [Control Objectives for Information and Related Technology]

Sejarah COBIT


COBIT merupakan singkatan dari Control Objectives for Information and Related Technology, dipublikasikan oleh Information Systems Audit and Control Foundation di tahun 1996 dan diupdate pada tahun 1998 dan 2000. COBIT berisi kerangka kerja pengendalian internal yang secara spesifik berkaitan dengan teknologi informasi. Misi dari COBIT adalah melakukan penelitian, mengembangkan, mempublikasikan, dan mempromosikan sebuah kumpulan pengendalian terhadap teknologi informasi yang otoritatif, terbaru, dan diterima secara internasional untuk kebutuhan manajer bisnis dan auditor. 

COBIT berisi perangkat evaluasi IT yang menyeluruh tentang hampir semua standar utama yang pada umumnya diterima di seluruh dunia tentang kendali dan IT. Dalam perkembangannya COBIT mengambil standar dari International Organization for Standarization (ISO); Electronic Data Interchange for Administration, Commerce, and Trade (EDIFACT); Council of Europe; Organization for Economic Cooperation and Development (OECD); ISACA; Information Technology Security Evaluation Criteria (ITSEC); Trusted Computer Security Evaluation Criteria (TCSEC); COSO; United States General Accounting Office (GAO); International Federation of Accountants (IFAC); IIA; American Institute of Certified Public Accountants (AICPA); CICA; European Security Forum (ESF); Infosec Business Advisory Group (IBAG); National Institute of Standars and Technology (NIST); dan the Department of Trade and Industry (DTI) of the United Kingdom.

Pengertian  COBIT


COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh IT Governance Institute. COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool). COBIT di terbitkan oleh IT Governance Institute. COBIT dengan komponen pedoman manajemen yang berisi respon kerangka kerja untuk pengukuran dan pengendalian teknologi informasi dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan teknologi informasi perusahaan dengan menggunakan 34 proses TI COBIT. Alat-alat tersebut yaitu [6]:
1.      Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI)
2.      Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas praktek terbaik non teknis dari tiap  proses TI
3.      Model Maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan.


COBIT terdiri atas enam volume: Executive Summary, Framework, Control Objectives, Audit Guidelines, Management Guidelines, dan Implementation Tool Set. Paket COBIT juga muncul dalam bentuk diskete dan CDROM yang berisi slide powerpoint di dalam Implementation Tool Set

Kerangka Kerja COBIT


Di dalam kerangka kerja COBIT (seperti pada gambar II.5.), terdapat tujuh persyaratan informasi bisnis, atau kriteria: effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability. COBIT kemudian menspesifikasikan sumber daya IT yang harus disediakan untuk memberikan kebutuhan bisnis oleh proses bisnis, yaitu: people, application systems, technology,facilities, dan data. 

COBIT mengelompokan aktivitas individual di dalam lingkungan IT kedalam 34 proses dan kemudian mengelompokan proses tersebut menjadi 4 domain. Keempat domain tersebut adalah: Planning and Organization (11 proses), Acquisition and Implementation (6 proses), Delivery and Support (13 proses), dan Monitoring (4 proses). Pada edisi ketiga, COBIT melakukan cross reference dari setiap 34 proses ke dalam 318 kendali objektif (perhatikan gambar 1)
Gambar 1. COBIT Framework

COBIT kemudian mengidentifikasikan aplikasi dan beserta tingkatannya (primary atau secondary) dari tujuh kriteria informasi untuk setiap 34 proses IT. COBIT memetakan lima sumber daya IT yang dapat diaplikasikan untuk tiap proses IT.

COBIT memberikan sebuah template audit guideline untuk membantu proses evaluasi dan pengujian dari kendali objektif. Pendekatan umum tersebut adalah: mendapatkan (obtain) pemahaman tentang proses, evaluasi (evaluate) kendali, menilai (assess) kepatuhan, dan memperkirakan (substantiate) risiko dari kendali objektif yang tidak terpenuhi. Template diaplikasikan untuk tiap 34 proses, dengan detail audit guideline yang spesifik untuk setiap proses.

Berikut ini dijelaskan 4 domain dari COBIT adalah sebagai berikut :

1)          Planning & Organisasion (PO), mencakup masalah strategi, taktik, dan identifikasi cara terbaik TI untuk memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi. Realisasi strategi perlu direncanakan, dikomunikasikan dan dikelola dengan berbagai sudut pandang yang berbeda. Implementasi strategi harus disertai infrastruktur yang memadai dan dapat mendukung kegiatan bisnis organisasi.
2)          Acquisition & Implementation (AI), realisasi strategi yang telah ditetapkan harus disertai solusi-solusi TI yang sesuai, kemudian solusi TI tersebut diadakan diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Domain ini juga meliputi perubahan dan perawatan yang dibutuhkan sistem yang sedang berjalan, untuk memastikan daur hidup sistem tersebut tetap terjaga.
3)          Delivery & Support (DS), mencakup proses pemenuhan layanan TI, keamanan sistem, kontinuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemrosesan data yang sedang berjalan.
4)          Monitoring (M), untuk menjaga kualitas dan ketaatan terhadap kendali yang diterapkan, seluruh proses IT harus diawasi dan dinilai kelayakannya secara regular. Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern (internal & external audit) dan jaminan independent dari proses pemeriksaan yang dilakukan. 
Tiga puluh empat proses COBIT 
PLANNING AND ORGANISATION (PO)
1.                  PO1-Menetapkan Rencana StrategisTeknologi Informasi (Define a Strategic IT Plan)
2.                  PO2-Menetapkan Arsitektur Informasi (define the Informastion Architecture)
3.                  PO3-Menetapkan Arah Teknologi (Determine Technological Direction)
4.                  PO4-Menetapkan Organisasi IT dan Hubungannya (Define the IT Organisation and Relationships)
5.                  PO5-Mengatur InvestasiIT (Manage the IT Investment)
6.                  PO6-Mengkomunikasikan Tujuan dan Arahan Manajemen (Communicate Management Aims and Direction)
7.                  PO7-Mengelola Sumberdaya Manusia (Manage Human Resources)
8.                  PO8-Memastikan Kesesuaian dengan kebutuhan-kebutuhan eksternal (Ensure Compliance with External Requirements)
9.                  PO9-Menilai Resiko (Assess Risks)
10.              PO10-Mengatur Peoyek (Manage Projects)
11.              PO11-Mengatur Kualitas (Manage Quality)
ACQUISITION AND IMPLEMENTATION (AI)
12.   AI1-Identifikasi solusi-solusi otomatisasi (Identify Automated Solutions)
13.   AI2-Memperoleh dan memlihara perangkat lunak aplikasi (Acquire and Maintain Application Software)
14.   AI3-Memperoleh dan memelihara infrastruktur Teknologi (Acquire and Maintain Technology Infrastructure)
15.   AI4-Mengembangkan dan memelihara prosedur (Develop and Maintain Procedures)
16.   AI5-Instalasi dan pengakuan sistem (Install and Accredit Systems)
17.   AI6-Mengatur Perubahan (Manage Changes)
DELIVERY AND SUPPORT (DS)
18.   DS1-Menetapkan dan mengatur tingkat pelayanan (Define & Manage Service Levels)
19.   DS2-Mengelola layanan pihak ke tiga (Manage Third-Party Services)
20.   DS3-Mengelola kapasistas dan kinerja (Manage performance & Capacity)
21.   DS4-Menjamin layanan berkelanjutan (Ensure Continuous service)
22.   DS5-Menjamin keamanan sistem (Ensure System Security)
23.   DS6-Mengidentifikasikan dan mengalokasikan biaya (Identify & Allocate Cost)
24.   DS7-Mendidik dan melatih user (Educate & Train Users)
25.   DS8-Membantu dan memberikan masukan kepada pelanggan (Assist and Advise Customers)
26.   DS9-Mengelola konfigurasi (Manage the Configuration)
27.   DS10-Mengelola kegiatan dan permasalahan (Manage problems and Incidents)
28.   DS11-Mengelola Data (Manage Data)
29.   DS12-Mengelola Fasilitas (Manage Facility)
30.   DS13-Mengelola Operasi (Manage Operations)
MONITORING
31.   M1-Mengawasi proses (Monitor the Processes)
32.   M2-Menilai kecukupan pengendalian internal (Assess Internal Control Adequacy)
33.   M3-Memperoleh jaminan Independen (Obtain Independent Assurance)
34.   M4-Menyediakan Audit Independen (Provide for Independent Audit)

COBIT menetapkan informasi yang baik dan dibutuhkan oleh bisnis dalam perusahaan haruslah informasi yang mengandung kriteria-kriteria berikut dan ada pada gambar II.6 [5] :
1.      Efektivitas
Informasi yang relevan terhadap proses bisnis, misal : informasi dikirimkan dengan cara tepat waktu, benar, dapat dipakai dan konsisten.
2.      Efisiensi
Berhubungan dengan informasi yang optimal terhadap penggunaan sumber daya.
3.      Kerahasiaan
Berhubungan dengan perlindungan terhadap informasi yang sensitip dari penyalahgunaan.
4.      Integritas
Berhubungan dengan kelengkapan dan ketelitian informasi seperti halnya kebenaran terhadap satuan nilai-nilai bisnis.
5.      Ketersediaan
Berhubungan dengan informasi yang tersedia ketika diperlukan oleh proses bisnis, dan ada berhubungan dengan perlindungan sumber daya.
6.      Pemenuhan
Berhubungan dengan pengaturan yang sesuai bagi proses bisnis adalah pokok.
7.      Keandalan Informasi
Berhubungan dengan sistem yang menyediakan informasi untuk manajemen yang sesuai dengan pengoperasiannya, misalnya : pelaporan keuangan kepada para pemakai informasi keuangan.