Latar
Belakang dan Sejarah Singkat COBIT
(Isaca, p76) COBIT edisi
keempat merupakan versi terakhir dari tujuan pengendalian untuk informasi dan
teknologi terkait, release pertama diluncurkan oleh yayasan ISACF pada tahun
1996. COBIT edisi kedua, merefleksikan suatu peningkatan sejumlah dokumen
sumber, revisi pada tingkat tinggi dan tujuan pengendalian rinci dan tambahan
seperangkat alat implementasi (implementation tool set),
yang telah dipublikasikan pada tahun 1998. COBIT pada edisi ke tiga ditandai
dengan masuknya penerbit utama baru COBIT yaitu Institut IT Governance.
Institut IT Governance
dibentuk oleh ISACA dan yayasan terkait pada tahun 1998 dan memberikan
pemahaman lebih dan mengadopsi prinsip-prinsip pengaturan TI. Melalui
penambahan pedoman manajemen (management guidelines) untuk COBIT edisi
ketiga dan fokusnya diperluas dan ditingkatkan pada IT Governance. Institut
IT Governance mengambil peranan yang penting dalam pengembangan publikasi.
COBIT pada umumnya
didasarkan pada tujuan pengendalian (Control Objectives) ISACF dan telah
ditingkatkan dengan teknik internasional yang ada, professional, pengaturan,
dan standar khusus industri. Hasil tujuan pengendalian telah dikembangkan untuk
aplikasi sistem informasi yang luas pada organisasi. Istilah “pada umumnya
dapat diterima dan diterapkan” secara eksplisit digunakan dalam pengertian yang
sama dengan prinsip Generally Accepted Accounting Principles (GAAP).
Pengertian COBIT
(weber, p57) COBIT dapat
diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan
merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang
dikembangkan dan dipromosikan oleh Institut IT Governance.
COBIT pertama sekali
diperkenalkan pada tahun 1996, merupakan
alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT
Governance tool).
COBIT telah
dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar
yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah
kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana
pengendalian dan keamanan.
COBIT, di terbitkan oleh
Institut IT Governance. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan
pengaturan TI secara efektif dan pada dasarnya dapat diterapkan di seluruh
organisasi. Khususnya, komponen pedoman manajemen COBIT yang berisi sebuah
respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan
pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur
kemampuan TI perusahaan untuk 34 proses TI COBIT.
Alat-alat tersebut yaitu :
1. Elemen
pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh
proses TI)
2. Daftar
faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik
non teknis dari tiap proses TI
3. Model
maturity untuk membantu dalam benchmarking dan pengambilan
keputusan bagi peningkatan kemampuan .
Komponen COBIT terdiri dari Executive Summary,
Framework, Control Objectives, Audit Guidelines, Implemenation Tool Set,
Management Guidelines
COBIT memiliki misi melakukan riset,
mengembangkan, mempublikasikan, dan mempromosikan makalah-makalah, serta meng-update tatanan
atau ketentuan TI controls objective yang dapat diterima umum
(generally accepted control objectives) berikut panduan pelengkap yang
dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control
objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut
selanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam
menjalankan profesinya.
Sedangkan visi dari COBIT adalah dijadikan
COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi
informasi (Information Technology Governance).
Kerangka Kerja COBIT
(Calder, p147) Kerangka
kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur
klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan
TI yang menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan
dan tugas (activities
and tasks) yang
diperlukan untuk mencapai hasil yang dapat diukur.Dalam Aktivitas terdapat
konsep siklus hidup yang di dalamnya terdapat kebutuhan pengendalian khusus.
Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari
kegiatan dan tugas (activities and tasks) dengan
keuntungan atau perubahan (pengendalian) alami. Pada tingkat yang lebih tinggi,
proses biasanya dikelompokan bersama kedalam domain.
Pengelompokan ini sering
disebut sebagai tanggung jawab domain dalam struktur organisasi dan yang
sejalan dengan siklus manajemen atau siklus hidup yang dapat diterapkan pada
proses TI.
Selanjutnya, konsep
kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu (1) kriteria
informasi (information criteria),
(2) sumberdaya TI (IT resources), dan (3) proses TI (IT
processes).
Dalam kerangka kerja sebelumnya, domain
diidentifikasikan dengan memakai susunan manajemen yang akan digunakan dalam
kegiatan harian organisasi. Kemudian empat domain yang lebih luas
diidentifikasikan, yaitu PO, AI, DS, dan M.
Definisi keempat domain tersebut, dimasukan
dalam klasifikasi tingkat tinggi sebagai berikut :
(a) PO,
domain ini mencakup level strategis dan taktis, dan konsennya pada identifikasi
cara TI yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis.
(b) AI, untuk
merealisasikan strategi TI, solusi TI yang perlu diidentifikasikan,
dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam
proses bisnis.
(c) DS, domain
ini menyangkut penyampaian aktual dari layanan yang diperlukan, dengan menyusun
operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada
pelatihan, domain ini termasuk proses data aktual melalui sistem
aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi.
(d) M, semua proses TI perlu
dinilai secara teratur atas suatu waktu untuk kualitas dan pemenuhan kebutuhan
pengendalian. Domain ini mengarahkan kesalahan manajemen pada proses
pengendalian organisasi dan penjaminan independen yang disediakan oleh
audit internal dan eksternal atau diperolah dari sumber alternatif.
Proses-proses TI ini dapat diterapkan pada
tingkatan yang berbeda dalam organisasi, misalnya tingkat perusahaan, tingkat
fungsi dan lain-lain.
Jelas bahwa semua ukuran pengendalian perlu
memenuhi kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama.
a) Pertama
adalah tingkat tujuan pengendalian yang diterapkan secara langsung mempengaruhi
kriteria informasi terkait.
b) Kedua
adalah tingkat tujuan pengendalian yang ditetapkan hanya memenuhi tujuan
pengendalian atau secara tidak langsung kriteria informasi terkait.
c) Blank
dapat diterapkan namun kebutuhannya lebih memenuhi kriteria lain dalam proses
ini atau yang lainnya.
Agar organisasi mencapai
tujuannya, pengaturan TI harus dilaksanakan oleh organisasi untuk menjamin
sumberdaya TI yang dijalankan oleh seperangkat proses TI.
Tidak ada komentar:
Posting Komentar