COBIT
Control Objective for Information & Related Technology
(COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang
dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap
antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT
(Sasongko, 2009).
COBIT mendukung tata kelola TI dengan menyediakan kerangka
kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja
juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko
TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab
(Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap dan
menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan
oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh
negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para
profesional tersebut.
Sejarah
COBIT
COBIT pertama kali diterbitkan pada tahun 1996, kemudian
edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis
COBIT 3.0 dan COBIT 4.0 pada tahun 2005. Kemudian COBIT 4.1 dirilis pada tahun
2007 dan saat ini COBIT yang terakhir dirilis adalah COBIT 5.0 yang dirilis
pada tahun 2012.
COBIT merupakan kombinasi dari prinsip-prinsip yang telah
ditanamkan yang dilengkapi dengan balance scorecard dan dapat digunakan sebagai
acuan model (seperti COSO) dan disejajarkan dengan standar industri, seperti
ITIL, CMM, BS779, ISO 9000.
Kerangka
Kerja COBIT
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman,
yakni:
Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level
control objectives) yang terbagi dalam 4 domain, yaitu : Planning &
Organization , Acquisition & Implementation , Delivery & Support , dan
Monitoring & Evaluation.
Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat
rinci (detailed control objectives) untuk membantu para auditor dalam
memberikan management assurance dan/atau saran perbaikan.
Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa
saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan
berikut :
v Sejauh mana TI harus
bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan
manfaat yang dihasilkannya.
v Apa saja indikator
untuk suatu kinerja yang bagus.
v Apa saja faktor atau
kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success
factors ).
v Apa saja
risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.
v Bagaimana dengan
perusahaan lainnya, apa yang mereka lakukan.
v Bagaimana mengukur
keberhasilan dan bagaimana pula membandingkannya.
Manfaat dan Pengguna COBIT
Secara manajerial target pengguna COBIT dan manfaatnya adalah
:
Direktur dan Eksekutif
Untuk memastikan manajemen mengikuti dan mengimplementasikan
strategi searah dan sejalan dengan TI.
Manajemen
v Untuk mengambil
keputusan investasi TI.
v Untuk keseimbangan
resiko dan kontrol investasi.
v Untuk benchmark
lingkungan TI sekarang dan masa depan.
Pengguna
Untuk memperoleh jaminan keamanan dan control produk dan jasa
yang dibutuhkan secara internal maupun eksternal.
Auditors
v Untuk memperkuat
opini untuk manajemen dalam control internal.
v Untuk memberikan
saran pada control minimum yang diperlukan.
Kriteria
Informasi berdasarkan COBIT
Untuk memenuhi tujuan bisnis, informasi perlu memenuhi
kriteria tertentu, adapun 7 kriteria informasi yang menjadi perhatian COBIT,
yaitu sebagai berikut:
Effectiveness (Efektivitas). Informasi yang diperoleh harus
relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan
tepat waktu.
Effeciency (Efisiensi). Penyediaan informasi melalui
penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.
Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada
informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak
berwenang.
Intergrity (Integritas). Berkaitan dengan keakuratan dan
kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi
dan nilai bisnis.
Availability (Ketersediaan). Fokus terhadap ketersediaan
data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun
dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya
yang diperlukan dan terkait.
Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai
dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses
bisnis.
Reliability (Handal). Fokus pada pemberian informasi yang
tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban
mereka untuk membuat laporan keuangan
Misi Cobit
Melakukan penelitian, pengembangan, publikasi dan promosi
terhadap control objective dari teknologi informasi yang secara umum diterima
di lingkungan internasional untuk pemakaian sehari-hari oleh manager dan
auditor.
Komponen
COBIT
Framework: Mengatur tata kelola TI
tujuan dan praktek yang baik oleh TI domain dan proses, dan menghubungkan
mereka dengan kebutuhan bisnis.
Process descriptions: Sebuah proses
referensi model dan bahasa yang umum bagi semua orang dalam sebuah organisasi.
Peta proses untuk wilayah tanggung jawab merencanakan, membangun, menjalankan
dan memantau.
Control objectives: Menyediakan
satu set lengkap persyaratan tingkat tinggi untuk dipertimbangkan oleh
manajemen untuk kontrol yang efektif dari setiap proses TI.
Pedoman manajemen: Bantuan tanggung
jawab menetapkan, menyepakati tujuan, mengukur kinerja, dan menggambarkan
hubungan timbal balik dengan proses lainnya.
Maturity models: Menilai kematangan
dan kemampuan per proses dan membantu untuk mengatasi kesenjangan.
Skala maturity dari Framework COBIT
Maturity model adalah suatu metode
untuk mengukur level pengembangan manajemen proses, yang berarti adalah
mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya
pengembangan atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan
COBIT yang. Sebagai contoh adalah ada beberapa proses dan sistem kritikal yang
membutuhkan manajemen keamanan yang lebih ketat dibanding proses dan sistem
lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan
pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah
didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.
Penerapan yang tepat pada tata
kelola TI di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek
maturity (kemampuan, jangkauan dan kontrol). Peningkatan maturity akan
mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan
dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan
mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.
Maturity model dapat digunakan
untuk memetakan :
1. Status pengelolaan TI perusahaan
pada saat itu.
2. Status standart industri dalam
bidang TI saat ini (sebagai pembanding)
3. Status standart internasional
dalam bidang TI saat ini (sebagai pembanding)
4. Strategi pengelolaan TI
perusahaan (ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan)
Tingkat kemampuan pengelolaan TI
pada skala maturity dibagi menjadi 6 level :
1. Level
0 (Non-existent)
Perusahaan tidak mengetahui sama sekali
proses teknologi informasi di perusahaannya.
2. Level
1 (Initial Level)
Pada level ini, organisasi pada
umumnya tidak menyediakan lingkungan yang stabil untuk mengembangkan suatu
produk baru. Ketika suatu organisasi kelihatannya mengalami kekurangan pengalaman
manajemen, keuntungan dari mengintegrasikan pengembangan produk tidak dapat
ditentukan dengan perencanaan yang tidak efektif, respon sistem. Proses
pengembangan tidak dapat diprediksi dan tidak stabil, karena proses secara
teratur berubah atau dimodifikasi selama pengerjaan berjalan beberapa form dari
satu proyek ke proyek lain. Kinerja tergantung pada kemampuan individual atau
term dan variasi dengan keahlian yang dimilikinya.
3. Level
2 (Repeatable Level)
Pada level ini, kebijakan untuk
mengatur pengembangan suatu proyek dan prosedur dalam mengimplementasikan
kebijakan tersebut ditetapkan. Tingkat efektif suatu proses manajemen dalam
mengembangankan proyek adalah institutionalized, dengan memungkinkan organisasi
untuk mengulangi pengalaman yang berhasil dalam mengembangkan proyek
sebelumnya, walaupun terdapat proses tertentu yang tidak sama. Tingkat efektif
suatu proses mempunyai karakteristik seperti; practiced, dokumentasi, enforced,
trained, measured, dan dapat ditingkatkan. Product requirement dan dokumentasi
perancangan selalu dijaga agar dapat mencegah perubahan yang tidak diinginkan.
4. Level
3 (Defined Level)
Pada level ini, proses standar
dalam pengembangan suatu produk baru didokumentasikan, proses ini didasari pada
proses pengembangan produk yang telah diintegrasikan. Proses-proses ini
digunakan untuk membantu manejer, ketua tim dan anggota tim pengembangan
sehingga bekerja dengan lebih efektif. Suatu proses yang telah didefenisikan
dengan baik mempunyai karakteristik; readiness criteria, inputs, standar dan
prosedur dalam mengerjakan suatu proyek, mekanisme verifikasi, output dan
kriteria selesainya suatu proyek. Aturan dan tanggung jawab yang didefinisikan
jelas dan dimengerti. Karena proses perangkat lunak didefinisikan dengan jelas,
maka manajemen mempunyai pengatahuan yang baik mengenai kemajuan proyek
tersebut. Biaya, jadwal dan kebutuhan proyek dalam pengawasan dan kualitas
produk yang diawasi.
5. Level
4 (Managed Level)
Pada level ini, organisasi membuat
suatu matrik untuk suatu produk, proses dan pengukuran hasil. Proyek mempunyai
kontrol terhadap produk dan proses untuk mengurangi variasi kinerja proses
sehingga terdapat batasan yang dapat diterima. Resiko perpindahan teknologi
produk, prores manufaktur, dan pasar harus diketahui dan diatur secara
hati-hati. Proses pengembangan dapat ditentukan karena proses diukur dan
dijalankan dengan limit yang dapat diukur.
6. Level
5 (Optimized Level)
Pada level ini, seluruh organisasi
difokuskan pada proses peningkatan secara terus-menerus. Teknologi informasi
sudah digunakan terintegrasi untuk otomatisasi proses kerja dalam perusahaan,
meningkatkan kualitas, efektifitas, serta kemampuan beradaptasi perusahaan. Tim
pengembangan produk menganalisis kesalahan dan defects untuk menentukan penyebab
kesalahannya. Proses pengembangan melakukan evaluasi untuk mencegah kesalahan
yang telah diketahui dan defects agar tidak terjadi lagi.
Manfaat dan Pengguna COBIT
Secara manajerial target pengguna COBIT dan
manfaatnya adalah :
Direktur dan Eksekutif
Untuk memastikan manajemen
mengikuti dan mengimplementasikan strategi searah dan sejalan dengan TI.
Manajemen
1. Untuk mengambil keputusan
investasi TI.
2. Untuk keseimbangan resiko dan
kontrol investasi.
3. Untuk benchmark lingkungan TI
sekarang dan masa depan.
Pengguna
Untuk memperoleh jaminan keamanan
dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal.
Auditors
1. Untuk memperkuat opini untuk
manajemen dalam control internal.
2. Untuk memberikan saran pada
control minimum yang diperlukan.
CONTOH KASUS PADA PT TRANSINDO JAYA KOMARA,MENGGUNAKAN METODE DELIVER
&SUPPORT DOMAIN DS
Dalam memanage investasi didalam teknologinya,
PT Freeport telah mengimplementasikan Good Mining Practice dalam melakukan penambangan
dimana PT Freeport mengadopsi ketujuh aspek dari good mining practice yaitu:
penerapan teknologi penambangan yang tepat, peduli lingkungan, penerapan
prinsip konservasi, punya nilai tambah pengembangan wilayah dan masyarakat
sekitar, optimalisasi pemanfaatan logam dan mineral bagi masyarakat, dan
standarisasi pertambangan. Dalam pengelolaannya PT Freeport sangat baik dalam
mengelola teknologinya, hal ini dikarenakan teknologi merupakan hal yang
terpenting dalam PT Freeport untuk mengembangkan bisnisnya serta membantu
bisnisnya agar mendapatkan hasil yang maksimal.
Dalam memanage investasi didalam teknologinya, PT Freeport telah mengimplementasikan Good Mining Practice dalam melakukan penambangan dimana PT freeport mengadopsi ketujuh aspek dari good mining practice yaitu: penerapan teknologi penambangan yang tepat, peduli lingkungan, penerapan prinsip konservasi, punya nilai tambah pengembangan wilayah dan masyarakat sekitar, optimalisasi pemanfaatan logam dan mineral bagi masyarakat, dan standarisasi pertambangan.
Dalam memanage investasi didalam teknologinya, PT Freeport telah mengimplementasikan Good Mining Practice dalam melakukan penambangan dimana PT freeport mengadopsi ketujuh aspek dari good mining practice yaitu: penerapan teknologi penambangan yang tepat, peduli lingkungan, penerapan prinsip konservasi, punya nilai tambah pengembangan wilayah dan masyarakat sekitar, optimalisasi pemanfaatan logam dan mineral bagi masyarakat, dan standarisasi pertambangan.
DS13 Manage Operations
Kerangka Kerja ICMM untuk
Pembangunan Berkelanjutan
Melaksanakan Praktik Pertambangan
Yang Baik (Good Mining Practices) sesuai dengan komitmen kami dalam pencapaian
tujuan pembangunan berkelanjutan. Melalui good mining practices, kami berupaya
melakukan aktivitas pertambangan yang menaati aturan, terencana dengan baik,
menerapkan teknologi yang sesuai yang berlandaskan pada efektifitas dan
efisiensi, melaksanakan konservasi bahan galian, mengendalikan dan memelihara fungsi
lingkungan, menjamin keselamatan kerja, mengakomodir keinginan dan partisipasi
masyarakat, menghasilkan nilai tambah, meningkatkan kemampuan dan kesejahteraan
masyarakat sekitar.
SUMBER:
0 komentar:
Posting Komentar