Rangkuman COBIT The ISACA Framework

Pengertian COBIT - The ISACA Framework (Kerangka ISACA)

COBIT (Control Objectives for Information and Related Technology) adalah kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan perangkat yang mendukung dan memungkinkan para manager untuk menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan (control requirement), masalah teknis (technical issues) dan resiko bisnis (bussiness risk). COBIT mempermudah perkembangan peraturan yang jelas (clear policy development) dan praktik baik (good practice) untuk mengendalikan IT dalam organisasi. COBIT menekankan keputusan terhadap peraturan, membantu organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan dari kerangka COBIT.

Sejarah Perkembangan COBIT

COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap control, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, COBIT versi 4 yang lebih mengarah pada IT Governance, dan terakir dirilis adalah COBIT versi 5 pada tahun 2012 yang mengarah pada tata kelola dan menejemen untuk aset-aset perusahaan IT.

COBIT terdiri atas 4 domain, yaitu:

1. Planning and Organizing,

Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.

Langkah-langkah:
- Menetapkan rencana strategi  TI
- Menetapkan hubungan dan organisasi TI
- Mengkomunikasikan arah dan tujuan manajemen
- Mengelola sumber daya manusia
- Memastikan pemenuhan keperluan pihak eksternal
- Menaksir risiko

2. Acquisition and Implementation,

Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.

Langkah-langkah:
- Mengidentifikasi solusi terotomatisasi
- Mendapatkan dan memelihara infrastruktur teknologi
- Mengembangkan dan memelihara prosedur
- Memasang dan mengakui sistem
- Mengelola perubahan

3. Delivery and Support,

Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.

Langkah-langkah:
- Menetapkan dan mengelola tingkat pelayanan
- Mengelola pelayanan kepada pihak lain
- Memastikan pelayanan yang kontinyu
- Memastikan keamanan sistem
- Mengelola konfigurasi/susunan
- Mengelola data
- Mengelola fasilitas

4. Monitoring and Evaluation.

Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.

Langkah-langkah:
- Memonitor proses – menaksir kecukupan pengendalian internal
- Mendapatkan kepastian yang independen

Manfaat COBIT

Manfaat dalam penerapan COBIT  ini antara lain:
1. Mengelola Informasi dengan kualitas yang tinggi untuk mendukung keputusan bisnis.
2. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara efektif dan inovatif.
3. Mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi yang reliable dan efisien.
4. Mengelola resiko terkait TI pada tingkatan yang dapat diterima.
5. Mengoptimalkan biaya dari layanan dan teknologi TI.
6. Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak, dan kebijakan.

Versi-Versi dari COBIT

Sumber Gambar: http://catatanseorangwati.blogspot.com

1. COBIT versi 1 pada tahun 1996 yang menekankan pada audit.
2. COBIT versi 2 pada tahun 1998 yang menekankan pada tahap pengendalian.
3. COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, Pada tahun 2003, sebuah versi on-line menjadi tersedia.
4. COBIT versi 4 pada bulan desember 2005 dan versi 4.1 pada bulan mei 2007 lebih mengarah pada tata kelola TI.
5. COBIT versi 5 pada bulan juni 2012 yang menekankan tata kelola TI pada perusahaan.

COBIT 4.0

Cobit 4.0 memberikan fokus bisnis yang cukup kuat untuk mengatasi tanggung jawab para direktur dan pegawai. Cobit 4.0 menandai pembaharuan pertama dari isi cobit sejak dirilisnya edisi cobit ketiga di tahun 2000. Edisi pertama diterbitkan di tahun 1994. Studi kasus pelaksanaan Cobit di organisasi interasional utama misalnya Unisys, Sun microsystems dan DPR Amerika juga terdapat di cobit case studies.

“Cobit 4.0 tidak kelihatan seperti sebuah buku akademik. Ada materi yang cukup berguna pada setiap halaman”, ujar Christoper Fox, ACA. “Cobit 4.0 mampu menjadi sebuah dokumen yang sangat bermanfaat”.

Cobit 4.0 juga mencakup bimbingan bagi para direktur dan semua level manajemen dan terdiri dari empat seksi:

1. Gambaran luas mengenai eksekutif
2. Kerangka Kerja
3. Isi utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan)
4. Appendiks (pemetaan, ajuan silang dan daftar kata-kata)

COBIT 4.1

Kerangka Kerja Kerangka kerja pengendalian COBIT terdiri dari empat hal, yakni :

1. Mengaitkannya dengan tujuan organisasi,
2. Mengorganisasikan aktivitas TI ke dalam model proses,
3. Mengidentifikasi sumber daya utama TI untuk melakukan percepatan,
4. Mendefinisikan tujuan pengendalian manajemen untuk dipertimbangkan.

Sumber Gambar: https://kampuskeuangan.wordpress.com.

COBIT 4.1 mentabulasikan empat lingkup pekerjaan atau domain, proses, kriteria informasi dan sumber daya teknologi informasi menjadi 318 sasaran pengendalian (control objectives) dengan aplikasi pada tingkatan seperti apa (primer atau sekunder) serta dapat diterapkan pada sumber daya teknologi informasi yang mana.

1. Lingkup pekerjaan (domain) yang meliputi empat hal sebagai berikut:
- Merencanakan dan mengorganisasikan,
- Memperoleh dan mengimplementasikan,
- Melaksanakan dan mendukung,
- Memonitor dan mengevaluasi.
2. Proses yang berjumlah 34, terdiri dari PO1 sampai PO10 (indikator Plan dan Organize), AI1 sampai AI7 (indikator Acquire dan Implement), DS1 sampai DS13 (indikator Direct dan Support), serta ME1 sampai ME4 (indikator Monitor dan Evaluate).
3. Kriteria informasi, yang meliputi tujuh hal berikut ini: COBIT menetapkan standar penilaian terhadap sumber daya teknologi informasi dengan kriteria sebagai berikut:
- Efektivitas: untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu.
- Efisiensi: memfokuskan pada ketentuan informasi melalui pengunaan sumber daya yang optimal.
- Kerahasiaan: memfokuskan proteksi terhadap informasi yang penting dari yang tidak memiliki otorisasi.
- Integritas: berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.
- Ketersediaan: berhubungan dengan informasi yang tersedian ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.
- Kepatuhan: sesuai menurut hukum, peraturan, dan rencana perjanjian untuk proses bisnis.
- Keakuratan informasi: berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan dan kelengkapan laporan pertanggung jawaban.
4. Sumber daya teknologi informasi,meliputi: Sistem aplikasi, Informasi, Infrastruktur, dan Personil.

COBIT 5

Ada beberapa perubahan penting yang dibawa oleh CobiT rilis teranyar ini dibanding versi pendahulunya

1. Pertama, prinsip baru dalam tata kelola TI untuk organisasi, Governance of Enterprise IT (GEIT).
CobiT 5 sebagaimana juga Val IT dan Risk IT—ini lebih berorientasi pada prinsip, dibanding pada proses. Katanya berdasarkan feedback yang masuk, menyatakan bahwa ternyata penggunaan prinsip-prinsip itu lebih mudah dipahami dan diterapkan dalam konteks enterprise secara lebih efektif.
2. Kedua, COBIT 5 memberi penekanan lebih kepada Enabler. Walaupun sebenarnya COBIT 4.1 juga menyebutkan adanya enabler–enabler, hanya saja COBIT 4.1 tidak menyebutnya dengan enabler. Sementara COBIT 5 menyebutkan secara spesifik ada 7 enabler dalam implementasinya. Berikut ini adalah ketujuh enabler COBIT 5 dan perbandingan untuk hal yang sama di COBIT 4.1:
- Prinsip-prinsip, kebijakan dan kerangka kerja. Kalau di COBIT 4.1, poin-poin ini tersebar dalam beberapa proses-proses COBIT 4.1.
- Proses-proses. Proses adalah sentral dari COBIT 4.1.
- Struktur Organisasi. Dalam COBIT 4.1, struktur organisasi tercermin dalam RACI chart yang mendefinisikan peran dan tanggung-jawab para pihak dalam setiap proses.
- Kultur, etika dan perilaku. Poin ini terselip di beberapa proses COBIT 4.1
- Informasi. Dalam COBIT 4.1, informasi merupakan salah satu sumber daya TI (IT resources).
- Layanan, Infrastruktur, dan Aplikasi. Dalam COBIT 4.1, infrastruktur dan aplikasi (disatukan dengan layanan) merupakan sumber daya TI juga.
- Orang, keterampilan (skills) dan kompetensi. Dalam COBIT 4.1, hanya disebutkan “orang” sebagai salah satu sumber daya (walau sebenarnya mencakup juga keterampilan dan kompetensinya)
3. Ketiga, COBIT 5 mendefinisikan model referensi proses yang baru dengan tambahan domain governance dan beberapa proses baik yang sama sekali baru ataupun modifikasi proses lama serta mencakup aktifitas organisasi secara end-to-end. Selain mengkonsolidasikan COBIT 4.1, Val IT, dan Risk IT dalam sebuah framework, COBIT 5 juga dimutakhirkan untuk menyelaraskan dengan best practices yang ada seperti misalnya ITIL v3 2011 dan TOGAF.
4. Keempat, dalam COBIT 5 terdapat proses-proses baru yang sebelumnya belum ada di COBIT 4.1, serta beberapa modifikasi pada proses-proses yang sudah ada sebelumnya di COBIT 4.1. Secara sederhana dapat dikatakan bahwa model referensi proses COBIT 5 ini sebenarnya mengintegrasikan konten COBIT 4.1, Risk IT dan Val IT. Sehingga proses-proses pada COBIT 5 ini lebih holistik, lengkap dan mencakup aktifitas bisnis dan IT secara end-to-end.

Kelebihan COBIT

1. Efektif dan Efisien
2. Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.
3. Rahasia
4. Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.
5. Integritas
6. Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi.
7. Ketersediaan
8. Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.
9. Kepatuhan Nyata
10. Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen.

Kekurangan COBIT

1. COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional.  Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu diadopsi berbagai framework tata kelola operasional seperti ITIL (The Information Technology Infrastructure Library) yang merupakan sebuah kerangka pengelolaan layanan TI yang terbagi ke dalam proses dan fungsi.
2. Kerumitan penerapan.  Apakah semua control objective dan detailed control objective harus diadopsi, ataukah hanya sebagian saja? Bagaimana memilihnya?
3. COBIT hanya berfokus pada kendali dan pengukuran.
4. COBIT kurang dalam memberikan panduan keamanan namun memberikan wawasan umum atas proses TI pada organisasi daripada ITIL misalnya.