Nama: Ray Ferdian
Kelas: 3KA33
NPM: 17113333
Kelas: 3KA33
NPM: 17113333
IT Governance & Penggunaan COBIT Framework
Abstrak
Pembangunan ICT di Indonesia saat ini
sudah menerapkan IT Governance. Namun sebenarnya IT Governance adalah konsep
yang relatif baru, khususnya di kalangan praktisi ICT Indonesia. Oleh sebab
itu, diperlukan pemahaman tentang konsep dan manfaat IT Governance. Berbagai
standar seperti COBIT, ITIL, kerangka-kerja IT Governance MIT Sloan CISR, dan sebagainya
dapat digunakan sebagai referensi. Implementasinya diperlukan tahapan-tahapan
yang disesuaikan dengan kondisi SDM yang ada. Pada penelitian ini akan dibahas
IT Governance berdasarkan standar COBIT Framework. dengan tinjauan studi
pustaka berbagai literatur dan beberapa referensi dari internet sebagai sumber
informasi. Diiharapkan didapat pemahaman akan impelemtasi IT Governance dimasa globalisasi
saat ini dengan COBIT Framework sebagai salah satu alternatif yang dapat
digunakan.
Kata kunci :
ICT, IT Governance, COBIT, COBIT framework
1. Pendahuluan
Sebagian besar korporasi kecil maupun
besar memandang bahwa pengunaan TI untuk mendukung proses bisnis menjadi
sesuatu yang penting. TI bukanlah hal baru dalam dunia bisnis karena dalam
beberapa dekade terakhir ini, TI telah menjadi pendukung dalam proses bisnis
perusahaan/institusi/institusi. Pada awal pemanfaatannya TI hanya dimanfaatkan
untuk proses perhitungan tetapi seiring berkembangnya teknologi dan desakan untuk
meningkatkan proses bisnis perusahaan/institusi/institusi maka TI saat ini
digunakan untuk mendukung berbagai proses bisnis.
Kebutuhan informasi menjadi salah satu
faktor penggunaan TI, karena dengan TI kita dapat menghasilkan informasi yang
cepat, akurat, dan bisa diakses kapanpun dibutuhkan. Saat ini informasi menjadi
dasar dan pendukung dalam pengambilan keputusan, karena penggunaan TI pada saat
ini bukan hanya untuk membantu proses perhitungan tetapi penggunaan TI telah
mencapai satu titik yang sangat tinggi, yakni sebagai alat pendukung pengambilan
keputusan.
TI memungkinkan perusahaan/institusi/institusi
untuk mencapai tujuan dan sasaran bisnis. Tantangan bisnis pada saat ini adalah
peningkatan performa bisnis, peningkatan ROI, meminimalkan biaya dan waktu pada
pasar, meminimalkan resiko pada dunia bisnis yang selalu berubah. TI juga
memiliki tantangan, yakni menghubungkan bisnis dan IT, meminimalkan biaya dan
kompleksitas (kerumitan), mengoptimalisasi sumber daya dan biaya, memastikan
sebuah lingkungan TI yang stabil dan fleksibel. Apabila tantangan pada TI dapat
dihadapi dengan baik maka sasaran perusahaan/institusi dapat tercapai.
Tidak semua
perusahaan/institusi/institusi berhasil menerapkan TI. Hal ini dapat dikarenakan
tata kelola TI (IT Governance) yang kurang baik. Tata kelola TI bertujuan untuk
memastikan sasaran dan harapan dari penerapan TI tercapai. Harapan pada saat
implemetasi TI adalah:
- Mendapatkan dukungan dari stakeholder
: pimpinan, user, unit TI dan publik.
Dukungan dari stakeholder sangat penting
karena apabila tidak ada persetujuan dari pemilik dan pengguna, pemanfaatan TI
akan menjadi wacana saja. Biasanya ketiadaan dukungan dari stakeholder dapat
diakibatkan oleh ketidakpercayaan bahwa TI dapat meningkatkan keuntungan dan
proses bisnis atau karena stakeholder tidak tahu dan tidak mengerti dengan TI.
- Pengembangan dan implementasi sistem
tepat waktu, dengan kualitas baik.
Pengembangan dan implementasi TI
merupakan sebuah proyek, oleh karena itu diperlukan sebuah manajemen projek.
Apabila manajemen proyeknya buruk maka yang terjadi adalah keterlambatan
proyek, pembengkakan biaya dan kualitas output yang buruk.
- Bukan
sekedar peningkatan efisiensi dari produktivitas tetapi mengarah pada
peningkatan efektivitas.
- Jaminan atas
kerahasiaan, kelengkapan dan ketersediaan informasi.
Informasi merupakan salah satu faktor
paling penting dalam pengambilan keputusan dalam
perusahaan/institusi/instirusi. Oleh karena itu kerahasiaan, kelengkapan dan ketersediaan
informasi pada saat dibutuhkan harus benar-benar dijaga. Aman dari segala tindakan
penyusupan yang dapat merusak, mengubah dan menghilangkan informasi. Otorisasi
harus ditentukan, siapa saja yang dapat mengakses informasi, siapa saja yang dapat
mengubah sebuah informasi, siapa yang dapat menyebarkan informasi, dan lain lain.
Otorisasi ini penting demi integritas sebuah data. TI mungkin mudah bila
disebutkan tetapi implementasinya amat susah karena pengimplementasian TI
adalah seperti merestrukturisasi sebuah organisasi secara keseluruhan. Kita
harus mengubah cara kerja setiap orang, mengubah suatu budaya yang telah
mengakar dalam perusahaan/institusi/institusi, dan lain-lain. Kenyataan yang
harus dihadapi oleh banyak perusahaan/institusi/institusi saat ini dalam
pengimplementasian TI adalah :
- TI hanya menjadi ‘concern’ dari tim
teknik, tidak memperoleh perhatian dari pemimpin Puncak
Bagi seseorang yang menduduki jabatan
sebagai direktur utama/CEO, TI hanya merupakan pekerjaan bidang teknik.
Sehingga mereka seringkali tidak menghiraukan hal mengenai TI, padahal
pengimplementasian TI membutuhkan dukungan dari top level management,
keterlibatan pengguna, serta tujuan dan sasaran dari proyek TI yang jelas.
- Kerugian financial, rusaknya reputasi.
TI mungkin dapat membawa perubahan
organisasi apabila diimplementasikan dengan benar dan sukses, tetapi apabila
gagal, maka akan berakibat pada kerugian financial dan rusaknya reputasi
perusahaan/institusi. Hal ini sangat berbahaya karena dapat membuat sebuah
perusahaan/institusi bangkrut.
- Proyek over budget, time overrun,
under specification.
Proyek TI seperti dikatakan diawal
adalah sebuah proyek yang rumit, melibatkan seluruh organisasi atau sebuah
bagian, oleh karena itu proses perencanaannya harus dilakukan dengan matang
agar tidak over budget (pembengkakan biaya), time overrun(keterlambatan), dan
under specification (spesifikasinya tidak sesuai).
- Penurunan efektivitas proyek karena
buruknya kualitas output sistem TI.
Output TI berupa informasi menjadi
informasi yang akurat dan konsisten haruslah terjamin. Karena informasi merupakan
alat pendukung keputusan.
- Pemilihan teknologi yang tidak sesuai:
terlalu canggih/kuno, kompleks/sederhana. Pemilihan teknologi yang tepat adalah
hal yang esensial karena apabila teknologi yang dipakai terlalu kuno maka
pekerjaan akan menjadi lambat sedangkan bila teknologinya canggih maka yang
terjadi ada biaya yang dikeluarkan semakin besar.
- Tingginya
tingkat kejadian insiden terkait keamanan atas asset informasi.
Informasi merupakan aset
perusahaan/institusi. Informasi penting untuk pengambilan keputusan. Oleh
karena itu otorisasi harus dianalisa dengan baik. Keberhasilan dalam
pengimplementasian TI sangat bergantung pada tata kelola TI yang baik, tata
kelola TI yang buruk dapat dilihat dibawah ini:
Gejala-gejala
- Sistem yang
tidak terintegrasi, pulaupulau aplikasi
- Buruknya
kualitas aplikasi/sistem
- Tingginya
keluhan user mengenai kinerja sistem TI
- Rendahnya
kepedulian terhadap aspek kerahasiaan teknologi dan informasi
- Rendahnya
tingkat ketersediaan informasi
- Tidak adanya
kebijakan dan prosedur tata kelola TI secara utuh.
- Dampak
negatif
- TI hanya menjadi “concern” dari tim teknikal,
tidak memperoleh perhatian dari pimpinan puncak.
- Kerugian
financial
- Rusaknya reputasi
- Proyek over
budget, time overrun, under specification
- Pemilihan
teknologi yang tidak sesuai: terlalu canggih/kuno, kompleks/sederhana.
- Buruknya
support quality.
- Tingginya
tingkat insiden terkait keamanan atas asset informasi.
Tata kelola yang efektif memerlukan
strategi perencanaan, pelaksaaan yang terarah serta pengendalian dan pemantauan
yang tepat. Dari skema gambar 1.1 dapat kita lihat dengan jelas arah
pengimplementasian TI yang tepat.
Gambar 1.1.
Ilustrasi arah pengimplementasian TI
TI merupakan jawaban atas banyak
tantangan bisnis pada saat ini. Oleh karena itu setiap proses
pengimplementasian harus mendapat perhatiaan yang maksimal. Pada penelitian ini
akan dibahas IT Governance berdasarkan standar COBIT Framework.
2. Tinjauan
Pustaka
2.1 IT
Governance
Perusahaan/institusi
dan IT Governamce
(Alvin, p35) IT Governance menyediakan
suatu stuktur yang berhubungan dengan proses TI, sumberdaya TI dan informasi
untuk strategi dan tujuan perusahaan/institusi. Cara mengintegrasikan IT
Governance dan optimalisasi perusahaan/institusi yaitu melalui perencanaan dan
pengorganisasian (PO), akuisisi dan implementasi (AI), penyampaian dan dukungan
(DS), dan pengawasan (M) kinerja TI.
IT Governance merupakan bagian
terintegrasi bagi kesuksesan pengaturan perusahaan/institusi dengan jaminan
efisiensi dan efektivitas perbaikan pengukuran dalam kaitannya dengan proses
perusahaan/institusi. IT Governance memungkinkan perusahaan/institusi untuk
memperoleh keunggulan penuh terhadap informasi, keuntungan yang maksimal,
modal, peluang dan keunggulan kompetitif dalam bersaing.
Pengaturan perusahaan/institusi
(enterprise governance) dan sistem oleh entitas diarahkan dan dikendalikan
melalui kumpulan dan arahan IT Governance. Pada saat yang sama, TI dapat
menyediakan masukan kritis, dan merupakan komponen penting bagi perencanaan
strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkan
oleh perusahaan/institusi.
Gambar 2.1
Pengaruh IT Governance terhadap perusahaan/institusi
Aktivitas perusahaan/institusi
membutuhkan informasi dari aktivitas TI dengan maksud untuk mempertemukan
tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan oleh adanya saling
ketergantungan antara perencanaan strategis dan aktivitas TI lainnya. Kegiatan
perusahaan/institusi perlu informasi dari kegiatan TI agar dapat
mengintegrasikan tujuan bisnis.
Gambar 2.2.
Aktivitas Perusahaan/institusi memerlukan Aktivitas TI
Siklus pengaturan perusahaan/institusi
dapat dijelaskan sebagai berikut : pengaturan perusahaan/institusi ditentukan
oleh praktek terbaik yang secara umum dapat diterima untuk menjamin
perusahaan/institusi mencapai tujuannya, melalui pengendalian tertentu. Dari tujuan-tujuan
ini mengalir arahan organisasi, yang mengatur kegiatan atau aktivitas perusahaan/institusi
dengan menggunakan sumberdaya perusahaan/institusi. Hasil kegiatan atau
aktivitas perusahaan/institusi diukur dan dilaporkan, memberikan masukan bagi pengendalian,
demikian seterusnya, kembali ke awal siklus.
Gambar 2.3.
Siklus pengaturan perusahaan/institusi
Siklus pengaturan TI dapat dijelaskan
sebagai berikut : pengaturan TI, di tentukanmoleh praktek terbaik yang menjamin
informasi perusahaan/institusi dan teknologi terkait mendukung tujuan
bisnisnya, sumberdaya digunakan dengan tanggung jawab dan resiko diatur secara
memadai. Praktek tersebut membentuk dasar arahan kegiatan TI yang dapat dikelompokan
kedalam PO, AI, DS dan M, dengan tujuan untuk pengaturan (memperoleh keamanan,
keandalan dan pemenuhan) dan mendapat keuntungan (meningkatkan efektivitas, dan
efisiensi). Laporan dikeluarkan melalui hasil kegiatan atau aktivitas TI, yang
diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya,
kembali ke awal siklus.
Gambar 2.4.
Siklus pengaturan TI
Agar menjamin manajemen mencapai tujuan
bisnisnya, maka harus mengatur dan mengarahkan kegiatan TI dalam mencapai
keseimbangan yang efektif antara mengatur resiko dan mendapatkan keuntungan.
Untuk melaksanakannya, manajemen perlu mengidentifikasikan kegiatan terpenting.
Selain itu, perlu juga kemampuan mengevaluasi tingkat kesiapan organisasi
terhadap praktek terbaik dan standar internasional. Untuk mendukung kebutuhan
manajemen tersebut, pedoman manajemen COBIT (COBIT Management Guidelines) telah
secara khusus mengidentifikasikan CSF, KGI, KPI dan model maturity untuk
pengaturan TI.
2.2 COBIT
(Control Objective for Information Related Tecnology)
Latar Belakang
dan Sejarah Singkat COBIT
Cobit diciptakan untuk menyediakan model
yang detail dan spesifik untuk IT governance. Berisi standar dan regulasi ISO,
EDIFACT, dan lain-lain.Codes of Conduct issued by Council of Europe.Stándar
Profesional Auditing, yaitu : COSO, IFAC, IIA, ISACA, AICPA standards, dll.
Pertama kali dipubliksikam pada bulan April 1996, edisi kedua terbit pada tahun
1998, edisi ketiga pada Juli 2000, edisi keempat pada bulan Desember 2005
dengan versi terakhir adalah edisi 4.1 yang dikeluarkan pada tahun 2007.
COBIT pada umumnya didasarkan pada
tujuan pengendalian (Control Objectives) ISACF dan telah ditingkatkan dengan teknik
internasional yang ada, professional, pengaturan, dan standar khusus industri.
Hasil tujuan pengendalian telah dikembangkan untuk aplikasi sistem informasi
yang luas pada organisasi. Istilah “pada umumnya dapatditerima dan diterapkan”
secara eksplisit digunakan dalam pengertian yang sama dengan prinsip Generally
Accepted Accounting Principles (GAAP).
Pengertian
COBIT
(weber, p57) COBIT dapat diartikan
sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan
standar terbuka untuk pengendalian terhadap teknologi informasi yang
dikembangkan dan dipromosikan oleh Institut IT Governance.
COBIT pertama sekali diperkenalkan pada
tahun 1996 adalah merupakan alat (tool) yang
disiapkan untuk mengatur teknologi informasi (IT Governance tool).
COBIT telah dikembangkan sebagai sebuah
aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek
pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi
pengelola, user, audit sistem informasi, dan pelaksana
pengendalian
dan keamanan.
COBIT, di terbitkan oleh Institut IT
Governance. Pedoman COBIT memungkinkan perusahaan/institusi untuk
mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat
diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen COBIT
yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran
dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan
TI perusahaan/institusi untuk 34 proses TI COBIT.
Alat-alat
tersebut yaitu :
1. Elemen
pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi
seluruh proses
TI)
2. Daftar
faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik
non
teknis dari
tiap proses TI
3. Model
maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi
peningkatan
kemampuan
Komponen COBIT
terdiri dari Executive Summary, Framework, Control Objectives,
Audit
Guidelines, Implemenation Tool Set, Management Guidelines
COBIT memiliki misi melakukan riset,
mengembangkan, mempublikasikan, dan mempromosikan makalah-makalah, serta
meng-update tatanan atau ketentuan TI controls objective yang dapat diterima
umum (generally accepted control objectives) berikut panduan pelengkap yang dikenal
sebagai Audit Guidelines yang memungkinkan penerapan framework dan control
objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya digunakan
oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya.
Sedangkan visi dari COBIT adalah
dijadikan COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian
teknologi informasi (Information Technology Governance).
Kerangka Kerja
COBIT
(Calder, p147) Kerangka kerja COBIT,
terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi
keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang menyangkut
manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas (activities and tasks) yang diperlukan untuk
mencapai hasil yang dapat diukur. Dalam Aktivitas terdapat konsep siklus hidup
yang di dalamnya terdapat kebutuhan pengendalian khusus. Kemudian satu lapis di
atasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas
(activities and tasks) dengan keuntungan atau perubahan (pengendalian) . Pada
tingkat yang lebih tinggi, proses biasanya dikelompokan bersama kedalam domain.
Pengelompokan ini sering disebut sebagai
tanggung jawab domain dalam struktur organisasi dan yang sejalan dengan siklus
manajemen atau siklus hidup yang dapat diterapkan pada proses TI.
Gambar 2.4.
Tiga tingkat usaha pengaturan TI
Selanjutnya, konsep kerangka kerja dapat
dilihat dari tiga sudut pandang, yaitu (1) kriteria informasi (information
criteria), (2) sumberdaya TI (IT resources), dan (3) proses TI
(IT processes).
Ketiga sudut pandang tersebut
digambarkan dalam kubus COBIT seperti terlihat pada
gambar 2.5.
Gambar 2.5.
Kubus COBIT
Dalam kerangka kerja sebelumnya, domain
diidentifikasikan dengan memakai susunan manajemen yang akan digunakan dalam
kegiatan harian organisasi. Kemudian empat domain yang lebih luas
diidentifikasikan, yaitu PO, AI, DS, dan M.
Definisi keempat domain tersebut,
dimasukan dalam klasifikasi tingkat tinggi sebagai berikut:
(1) PO (Plan and Organize), domain ini
mencakup level strategis dan taktis, dan konsennya pada identifikasi cara TI
yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis.
(2) AI (Acquire and Implement), untuk
merealisasikan strategi TI, solusi TI yang perlu diidentifikasikan, dikembangkan
atau diperlukan, juga diimplementasikan dan diintegrasikan dalam proses bisnis.
(3) DS (Deliver and Support), domain ini
menyangkut penyampaian aktual dari layanan yang diperlukan, dengan menyusun
operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada pelatihan,
domain ini termasuk proses data aktual melalui sistem aplikasi, yang sering diklasifikasikan
dalam pengendalian aplikasi.
(4) ME (Monitor and Evaluate), semua
proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitas dan pemenuhan
kebutuhan pengendalian. Domain ini mengarahkan kesalahan manajemen pada proses
pengendalian organisasi dan penjaminan independen yang disediakan oleh audit
internal dan eksternal atau diperolah dari sumber alternatif.
Proses-proses TI ini dapat diterapkan
pada tingkatan yang berbeda dalam organisasi, misalnya tingkat
perusahaan/institusi, tingkat fungsi dan lain-lain.
Jelas bahwa semua ukuran pengendalian
perlu memenuhi kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang
sama.
a) Pertama adalah tingkat tujuan
pengendalian yang diterapkan secara langsung mempengaruhi kriteria informasi
terkait.
b) Kedua adalah tingkat tujuan
pengendalian yang ditetapkan hanya memenuhi tujuan pengendalian atau secara
tidak langsung kriteria informasi terkait.
c) Blank dapat diterapkan namun
kebutuhannya lebih memenuhi kriteria lain dalam proses ini atau yang lainnya. Agar
organisasi mencapai tujuannya, pengaturan TI harus dilaksanakan oleh organisasi
untuk menjamin sumberdaya TI yang dijalankan oleh seperangkat proses TI.
3. Pembahasan
3.1 IT
Governance
Dari pengertian IT governance dapat kita
simpulkan bahwa IT governance memastikan penggunaan TI dapat diukur dan
dihitung (accountable). Artinya suatu keberhasilan TI harus dapat diukur dan
dihitung keberhasilannya. Governance mendefinisikan tanggung jawab dan aturan
dalam penerbitan kebijakan dan membuat keputusan ketika beberapa partai
terlibat dalam suatu relasi bisnis. Governance berfokus pada strategi,
peningkatan performa, segi-segi ekonomi dan resolusi konflik
Dalam sebuah IT governance terdapat
beberapa pemangku kepentingan. Dibawah ini dapat kita lihat pemangku
kepentingan dan peranan-peranannya:
• Board and
Executive
Menentukan
arah pada TI, memantau hasil dan memastikan ketepatan implementasi
• Business
management
Menguraikan
kebutuhan-kebutuhan bisnis untuk TI dan memastikan nilai-nilai tersebut
dikirimkan dan
resiko terkelola.
• IT
management
Memberikan dan
meningkatkan pelayanan TI seperti yang dibutuhkan pada bisnis.
• IT audit
Menyediakan
kepastian yang independen untuk mendemonstrasikan bahwa TI
menyediakan
apa yang diperlukan.
• Risk and
compliance
Mengukur
kepatuhan pada aturan-aturan dan focus pada resiko yang mungkin muncul.
Kelima pemangku IT governance diatas haruslah saling bekerja sama dan
berkontribusi
dalam mengontrol dan mengendalikan implementasi dari TI. IT governance
memiliki 2
tujuan yang berkaitan yakni:
1. Conformance
objective( penyesuaian) – berfokus pada “corporate governance”
2. IT
berfungsi sebagai pengiriman dan pelaporan data, dalam hal ini IT harus dapat
memastikan:
- Integritas
informasi
- Ketepatan
waktu untuk mempercepat pengambilan keputusan
- Menyediakan
laporan untuk keperluan pimpinan
-
Mengotomatisasi penangkapan data.
Performance
objective - berfokus pada “bisnis governance”
- IT value
delivery
- Strategic
Alignment of IT
- IT resource
management
- IT risk
management
- IT
performance management
(Moeller, p167) Tujuan dari IT
governance secara umum adalah memastikan pengimplementasian IT dalam
perusahaan/institusi berjalan sesuai dengan rencana strategis IT yang
ditetapkan di awal dan memantau penggunaannya.
IT Governance
memiliki focus pada:
- Strategic
alignment, memiliki focus dala memastikan hubungan antara bisnis dan rencana
TI; menentukan, merawat dan memvalidasikan IT value proposition; dan pada
aligning IT operation.
- Value
delivery, adalah mengenai menjalankan value proposition disemua bagian.
- Resource management, berhubungan
dengan optimalisasi dari pengetahuan dan infrastuktur yang ada.
- Risk
management, membutuhkan pengetahuan mengenai resiko oleh pimpinan.
- Performance measurement, melacak dan
memantau implementasi terhadap strategi, penyelesaian projek, penggunaan sumber daya,
dan performa proyek
3.2 COBIT Framework
(ISACA) COBIT Framework berdasarkan pada
pernyataan bahwa IT harus mengirimkan informasi yang dibutuhkan
perusahaan/institusi untuk mencapai suatu tujuan dan sasaran.
Gambar 3.1:
Arah pengiriman nilai TI
Dari gambar diatas dapat kita lihat
bahwa informasi digunakan untuk mencapai sasaran bisnis. Untuk menciptakan
sebuah informasi yang baik dan berintegritas tinggi diperlukan penangkapan data
dari proses kemudian data tersebut dilah menjadi informasi. Informasi digunakan
untuk membantu proses bisnis, pengambilan keputusan, dan lain sebagainya.
Bisnis proses dilakukan secara simultan sesuai untuk mencapai sasaran bisnis.
Sebuah TI yang baik adalah TI yang dapat
menyediakan informasi ketika dibutuhkan, dan informasi itu benar-benar berguna
untuk peningkatan efektivitas proses bisnis. Apabila TI tidak bisa mencapai
tujuan dan sasarannya maka yang terjadi adalah kegagalan proyek TI. COBIT
Framework membantu meluruskan TI dan bisnis dengan cara memfokuskan kebutuhan
informasi pada bisnis dan mengelola sumber daya IT. COBIT menyediakan framework
dan tata cara untuk mengimplementasikan IT Governance.
Prinsip dasar dari COBIT Framework
adalah untuk menghubungkan ekspektasi manajemen TI dengan tanggung jawab
manajemen TI. Tujuan utamanya adalah untuk memfasilitasi IT governance untuk
mengirimkan nilai TI untuk menanggulangi resiko TI.
Gambar 3.2:
Hubungan antara Informasi dan Proses Bisnis
(Alvin, p189) Informasi adalah hasil
pemrosesan data dari IT resources dan IT proses. Dalam sebuah tata kelola TI
yang baik informasi yang dihasilkan harus berintegritas dan dapat mendukung
proses bisnis. Pada skema diatas adalah skema hubungan informasi dan proses
bisnis.
COBIT
menjelaskan siklus hidup IT dengan 4 domain:
- Perencanaan
dan pengorganisasian
- Pengumpulan
dan implemen
- Pengiriman
dan dukungan
- Pemantauan
dan evaluasi
Pada domain perencanaan dan
pengorganisasian strategi dan taktik diformulasikan, mengidentifikasi bagaimana TI dapat membeikan
kontribusi yang besar dalam mencapai sasaran bisnis, merencanakan ,
mengkomunikasian dan mengatur realisasi dari visi strategi, dan mengimplementasikan
infrastruktur organisasi dan teknologi.
Hal-hal yang
dilakukan dalam perencanaan dan pengorganisasian:
- Menentukan
strategi perencanaan TI.
-
Mendefinisikan struktur informasi.
- Menentukan
arah teknologi.
- Menentukan
proses TI, organisasi dan relasi.
-
Mengkomunikasikan sasaran dan arah manajemen.
- Mengatur
sumber daya manusia TI
- Mengatur
kualitas
- Menilai dan
mengatur resiko
- Mengatur
proyek.
Pada domain kedua yakni pengumpulan dan
implement, sasaran yang ingin dicapai adalah mengindentifikasi, mengembangkan
atau mengumpulkan, mengimplementasi dan mengintegrasikan solusi TI. Perubahan
dalam dan mengelola sistem yang ada. Hal-hal yang dilakukan dalam domain ini
adalah:
-
Mengidentifikasi solusi otomatisasi
- Mengumpulkan
dan merawat aplikasi software
-
Memperbolehkan operasi dan penggunaan
- Mendapatkan
sumber daya IT
- Mengatur
perubahan
-
Menginstalasi dan mengakui solusi dan perubahan
Pada domain ketiga ini, yakni pengiriman
dan dukungan. Sasaran yang inigin dicapai adalah pengiriman dari kebutuhan
pelayanan, manajemen keamanan, kontinuitas, data dan fasilitas operasional, dan
dukungan pelayanan untuk pengguna. Hal-hal yang dilakukan dalam domain ini
adalah:
-
Mendefinisikan dan mengatur level pelayanan
- Mengatur
pelayanan pihak ketiga
- Mengatur
performa dan kapasitas
- Memastikan
kontinuitas pelayanan
- Memastikan
keamanan sistem.
-
Mengidentifikasi dan alokasi biaya
- Mengajari
penggunaan sistem kepada user
- Mengatur
service desk dan incidents
- Mengatur
konfigurasi
- Mengatur
masalah
- Mengatur
data
- Mengatur
lingkungan fisik
- Mengatur
operasi
(Calder, p177) Sasaran pada domain
pemantauan dan evaluasi adalah manajemen performa, memantau pengendalian
internal, mengontrol kepatuhan, dan penguasaan. Hal-hal yang dilakukan dalam
domain ini adalah:
- Memantau dan
mengevaluasi performa TI
- Memantau dan
mengevaluasi pengendalian internal
- Memastikan
kepatuhan dari tuntutan
- Menyediakan
IT Governance
(Calder, p
180) COBIT memiliki criteria informasi yang baik, yakni:
- Efektif dan
Efisiensi
- Berhubungan
dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan
sebaik mungkin
informasi dikirim tepat waktu, benar, konsisten, dan berguna.
- Rahasia
- Proteksi
terhadap informasi yang sensitive dari akses yang tidak bertanggung jawab.
- Integritas
- Berhubungan
dengan ketepatan dan kelengkapan dari sebuah informasi.
- Ketersediaan
- Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.
- Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.
- Kepatuhan
- Nyata
- Berhubungan dengan penyediaan informasi yang sesuah untuk manajemen
- Berhubungan dengan penyediaan informasi yang sesuah untuk manajemen
COBIT adalah sebuah framework yang
sangat baik dan sederhana untuk menerapkan IT Governance pada sebuah
implementasi TI. Banyak perusahaan/institusi telah menggunakan COBIT seperti
Prudential, Harley Davidson, dll.
4. Kesimpulan
dan Saran
- IT
Governance pada intinya adalah serangkaian kegiatan pengambilan keputusan dan penentuan kerangka kerja akuntabilitas
yang tepat dalam penggunaan TI pada suatu organisasi/institusi.
- Prinsip dasar dari COBIT Framework adalah untuk menghubungkan ekspektasi manajemen TI dengan tanggung jawab manajemen TI. Tujuan utamanya adalah untuk memfasilitasi IT governance untuk mengirimkan nilai TI untuk menanggulangi resiko TI.
5. Daftar
Pustaka
Alvin A,
Arens, James K.Loebbecke, 2003, Auditing, Edisi Indonesia, Jakarta.
Calder, Alan
and Watkins, Steve. (2008). ITGOVERNANCE - A Manager’s Guide to Data
Security and
ISO27001/ISO 27002. Kogan Page. United States.
Information
System Audit and Control Association (ISACA). (2003), IS Standards,
Guidelines and
Procedures for Auditing and Control Professionals. United States.
IT Governance
Institute, 2007, Executive Summary Framework, COBIT Ver. 4.1 Excerpt,
http://www.isaca.org.
Moeller, Robert R, 2008. Effective
Auditing with AS5, CobiT, and ITIL. John Wiley & Sons, Inc. Canada.
Weber,
Ron,1999, Information Systems Control and Audit, The University of Queensland,
Prentice Hall.
Weill, Peter
and Ross, Jeanne W,2000, IT Governance - How Top Performers Manage IT
Decision
Rights for Superior Results. Harvard Business School Press. United States.
http://ejournal.unsri.ac.id/index.php/jsi/article/view/725
