Sejarah COBIT
COBIT merupakan singkatan dari Control Objectives for Information and Related Technology,
dipublikasikan oleh Information Systems
Audit and Control Foundation di tahun 1996 dan diupdate pada tahun 1998 dan
2000. COBIT berisi kerangka kerja pengendalian internal yang secara spesifik
berkaitan dengan teknologi informasi. Misi dari COBIT adalah melakukan
penelitian, mengembangkan, mempublikasikan, dan mempromosikan sebuah kumpulan
pengendalian terhadap teknologi informasi yang otoritatif, terbaru, dan
diterima secara internasional untuk kebutuhan manajer bisnis dan auditor.
COBIT berisi perangkat evaluasi IT
yang menyeluruh tentang hampir semua standar utama yang pada umumnya diterima
di seluruh dunia tentang kendali dan IT. Dalam perkembangannya COBIT mengambil
standar dari International Organization
for Standarization (ISO); Electronic
Data Interchange for Administration, Commerce, and Trade (EDIFACT); Council of Europe; Organization for Economic
Cooperation and Development (OECD); ISACA; Information Technology Security Evaluation Criteria (ITSEC); Trusted Computer Security Evaluation
Criteria (TCSEC); COSO; United States
General Accounting Office (GAO); International
Federation of Accountants (IFAC); IIA; American
Institute of Certified Public Accountants (AICPA); CICA; European Security Forum (ESF); Infosec Business Advisory Group (IBAG); National Institute of Standars and
Technology (NIST); dan the Department
of Trade and Industry (DTI) of the
United Kingdom.
Pengertian COBIT
COBIT dapat diartikan sebagai tujuan pengendalian untuk
informasi dan teknologi terkait dan merupakan standar terbuka untuk
pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan
oleh IT Governance Institute. COBIT
pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur
teknologi informasi (IT Governance tool).
COBIT di terbitkan oleh IT Governance
Institute. COBIT dengan komponen pedoman manajemen yang berisi respon
kerangka kerja untuk pengukuran dan pengendalian teknologi informasi dengan
menyediakan alat-alat untuk menilai dan mengukur kemampuan teknologi informasi
perusahaan dengan menggunakan 34 proses TI COBIT. Alat-alat tersebut yaitu [6]:
1. Elemen
pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh
proses TI)
2. Daftar
faktor kritis kesuksesan (CSF) yang disediakan secara ringkas praktek terbaik
non teknis dari tiap proses TI
3. Model
Maturity untuk membantu dalam benchmarking dan pengambilan keputusan
bagi peningkatan kemampuan.
COBIT terdiri atas enam volume: Executive Summary, Framework, Control Objectives, Audit Guidelines,
Management Guidelines, dan Implementation
Tool Set. Paket COBIT juga muncul dalam bentuk diskete dan CDROM yang
berisi slide powerpoint di dalam Implementation
Tool Set .
Kerangka Kerja COBIT
Di dalam kerangka kerja COBIT (seperti pada gambar II.5.),
terdapat tujuh persyaratan informasi bisnis, atau kriteria: effectiveness, efficiency, confidentiality,
integrity, availability, compliance,
dan reliability. COBIT kemudian
menspesifikasikan sumber daya IT yang harus disediakan untuk memberikan
kebutuhan bisnis oleh proses bisnis, yaitu: people,
application systems, technology,facilities, dan data.
COBIT mengelompokan aktivitas individual di dalam
lingkungan IT kedalam 34 proses dan kemudian mengelompokan proses tersebut
menjadi 4 domain. Keempat domain tersebut adalah: Planning and Organization (11
proses), Acquisition and Implementation
(6 proses), Delivery and Support (13 proses), dan Monitoring (4 proses).
Pada edisi ketiga, COBIT melakukan cross
reference dari setiap 34 proses ke dalam 318 kendali objektif (perhatikan
gambar 1)
Gambar 1. COBIT Framework
COBIT kemudian mengidentifikasikan aplikasi dan beserta
tingkatannya (primary atau secondary) dari tujuh kriteria informasi
untuk setiap 34 proses IT. COBIT memetakan lima sumber daya IT yang dapat
diaplikasikan untuk tiap proses IT.
COBIT memberikan sebuah template audit guideline untuk
membantu proses evaluasi dan pengujian dari kendali objektif. Pendekatan umum
tersebut adalah: mendapatkan (obtain)
pemahaman tentang proses, evaluasi (evaluate)
kendali, menilai (assess) kepatuhan,
dan memperkirakan (substantiate)
risiko dari kendali objektif yang tidak terpenuhi. Template diaplikasikan untuk
tiap 34 proses, dengan detail audit
guideline yang spesifik untuk setiap proses.
Berikut ini dijelaskan 4 domain dari
COBIT adalah sebagai berikut :
1)
Planning
& Organisasion (PO), mencakup masalah strategi, taktik, dan
identifikasi cara terbaik TI untuk memberikan kontribusi maksimal terhadap
pencapaian tujuan bisnis organisasi. Realisasi strategi perlu direncanakan,
dikomunikasikan dan dikelola dengan berbagai sudut pandang yang berbeda.
Implementasi strategi harus disertai infrastruktur yang memadai dan dapat
mendukung kegiatan bisnis organisasi.
2)
Acquisition
& Implementation (AI), realisasi strategi yang telah ditetapkan harus
disertai solusi-solusi TI yang sesuai, kemudian solusi TI tersebut diadakan
diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Domain
ini juga meliputi perubahan dan perawatan yang dibutuhkan sistem yang sedang
berjalan, untuk memastikan daur hidup sistem tersebut tetap terjaga.
3)
Delivery
& Support (DS), mencakup proses pemenuhan layanan TI, keamanan sistem,
kontinuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemrosesan
data yang sedang berjalan.
4)
Monitoring
(M), untuk menjaga kualitas dan ketaatan terhadap kendali yang diterapkan,
seluruh proses IT harus diawasi dan dinilai kelayakannya secara regular. Domain
ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi,
pemeriksaan intern dan ekstern (internal
& external audit) dan jaminan independent
dari proses pemeriksaan yang dilakukan.
Tiga puluh empat proses COBIT
PLANNING AND ORGANISATION (PO)
|
1.
PO1-Menetapkan Rencana StrategisTeknologi Informasi (Define a Strategic IT Plan)
2.
PO2-Menetapkan Arsitektur Informasi (define the Informastion Architecture)
3.
PO3-Menetapkan Arah Teknologi (Determine
Technological Direction)
4.
PO4-Menetapkan Organisasi IT dan Hubungannya (Define the IT Organisation and Relationships)
5.
PO5-Mengatur InvestasiIT (Manage
the IT Investment)
6.
PO6-Mengkomunikasikan Tujuan dan Arahan Manajemen (Communicate Management Aims and Direction)
7.
PO7-Mengelola Sumberdaya Manusia (Manage
Human Resources)
8.
PO8-Memastikan Kesesuaian dengan kebutuhan-kebutuhan eksternal (Ensure Compliance with External
Requirements)
9.
PO9-Menilai Resiko (Assess Risks)
10.
PO10-Mengatur Peoyek (Manage
Projects)
11.
PO11-Mengatur Kualitas (Manage
Quality)
|
|
ACQUISITION AND IMPLEMENTATION (AI)
|
|
12. AI1-Identifikasi solusi-solusi
otomatisasi (Identify Automated
Solutions)
13. AI2-Memperoleh dan memlihara
perangkat lunak aplikasi (Acquire and
Maintain Application Software)
14. AI3-Memperoleh dan memelihara
infrastruktur Teknologi (Acquire and
Maintain Technology Infrastructure)
15. AI4-Mengembangkan dan memelihara
prosedur (Develop and Maintain
Procedures)
16. AI5-Instalasi dan pengakuan sistem
(Install and Accredit Systems)
17. AI6-Mengatur Perubahan (Manage Changes)
|
|
DELIVERY AND SUPPORT (DS)
|
|
18. DS1-Menetapkan dan mengatur tingkat
pelayanan (Define & Manage Service
Levels)
19. DS2-Mengelola layanan pihak ke tiga
(Manage Third-Party Services)
20. DS3-Mengelola kapasistas dan
kinerja (Manage performance &
Capacity)
21. DS4-Menjamin layanan berkelanjutan
(Ensure Continuous service)
22. DS5-Menjamin keamanan sistem (Ensure System Security)
23. DS6-Mengidentifikasikan dan
mengalokasikan biaya (Identify &
Allocate Cost)
24. DS7-Mendidik dan melatih user (Educate & Train Users)
25. DS8-Membantu dan memberikan masukan
kepada pelanggan (Assist and Advise
Customers)
26. DS9-Mengelola konfigurasi (Manage the Configuration)
27. DS10-Mengelola kegiatan dan
permasalahan (Manage problems and
Incidents)
28. DS11-Mengelola Data (Manage Data)
29. DS12-Mengelola Fasilitas (Manage Facility)
30. DS13-Mengelola Operasi (Manage Operations)
|
|
MONITORING
|
|
31. M1-Mengawasi proses (Monitor the Processes)
32. M2-Menilai kecukupan pengendalian
internal (Assess Internal Control
Adequacy)
33. M3-Memperoleh jaminan Independen (Obtain Independent Assurance)
34. M4-Menyediakan Audit Independen (Provide for Independent Audit)
|
COBIT menetapkan informasi yang baik dan dibutuhkan oleh
bisnis dalam perusahaan haruslah informasi yang mengandung kriteria-kriteria
berikut dan ada pada gambar II.6 [5] :
1. Efektivitas
Informasi yang relevan terhadap proses bisnis, misal :
informasi dikirimkan dengan cara tepat waktu, benar, dapat dipakai dan
konsisten.
2. Efisiensi
Berhubungan dengan informasi yang optimal
terhadap penggunaan sumber daya.
3. Kerahasiaan
Berhubungan dengan perlindungan terhadap informasi yang
sensitip dari penyalahgunaan.
4. Integritas
Berhubungan dengan kelengkapan dan ketelitian informasi
seperti halnya kebenaran terhadap satuan nilai-nilai bisnis.
5. Ketersediaan
Berhubungan dengan informasi yang tersedia ketika
diperlukan oleh proses bisnis, dan ada berhubungan dengan perlindungan sumber
daya.
6. Pemenuhan
Berhubungan dengan pengaturan yang sesuai
bagi proses bisnis adalah pokok.
7. Keandalan
Informasi
Berhubungan dengan sistem yang menyediakan informasi untuk
manajemen yang sesuai dengan pengoperasiannya, misalnya : pelaporan keuangan
kepada para pemakai informasi keuangan.
