Control Objectives for Information and related Technology ( COBIT )


Control Objectives for Information and related Technology   ( COBIT )



Tata kelola TI adalah tanggungjawab pimpinan direktur dan manajemen eksekutif. Merupakan bagian integral tata kelola perusahaan dan terdiri dari kepemimpinan dan struktur organisasi serta proses-proses yang menjamin bahwa organisasi TI dapat mendukung dan memperluas sasaran serta strategi organisasi.


Menurut Information Technology Governance Institute ( ITGI ), fokus tata kelola TI terdiri dari 5 wilayah, berikut gambar beserta penjelasannya :

1. Penyelarasan Strategi (Strategic Alignment)

Fokus dari area ini adalah untuk menjamin hubungan antara bisnis dan IT plans, yaitu untuk mendefinisikan, merawat dan mengesahkan nilai IT dan menyesuaikan operasi-operasi dari IT dengan operasi-operasi yang ada di dalam perusahaan.

2. Penyampaian Nilai (Value Delivery)

Fokus dari area ini berkaitan dengan masalah nilai, dengan melaksanakan seluruh siklus pengiriman, serta menjamin bahwa keberadaan IT memberi keuntungan dalam strategi perusahaan, melalui pengoptimalan biaya dan memberikan nilai intrinsik dari IT.

3. Pengolahan Resiko (Risk Management)

Area ini membutuhkan kesadaran akan resiko oleh senior corporate officers, di dalam pemahaman tentang resiko perusahaan, kebutuhan pelaksanaan, keterbukaan tentang resiko yang signifikan bagi perusahaan dan menanamkan tanggung jawab manajemen resiko dalam perusahaan.

4. Manajemen Sumber Daya (Resource Management)

Fokus area ini berkaitan dengan pengoptimalan investasi di dalam perusahaan dan manajemen sebelumnya dari sumber daya IT yang penting, yaitu applications, information, infrastucture dan people. Kunci isu-isu yang berhubungan dengan optimasi pengetahuan dan infrastruktur.

5. Pengukuran Kinerja (Performance Measurent)

Fokus dari area ini adalah menelusuri dan memonitor implementasi dari strategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses dan layanan pengiriman.
                                             

Sumber Daya TI
Agar proses penerapan TI dapat berjalan sesuai dengan yang diharapkan, maka diperlukan sumber daya TI yang mencukupi. Setiap proses TI memerlukan sumber daya TI yang berbeda. COBIT mengelompokkan sumber daya TI yang perlu dikelola menjadi empat kelompok, yaitu :
  1. Aplikasi merupakan mengotomasi sistem users dan prosedur manual yang digunakan dalam memproses informasi. 
  2. Informasi merupakan data dalam semua bentuknya, yang dimasukkan, diproses dan dikeluarkan sistem informasi, dalam bentuk apapun yang digunakan oleh bisnis.
  3. Infrastruktur adalah teknologi dan fasilitas (perngkat keras, sistem operasi, database managemen system, jaringan, multimedia dan pendukungnya) yang memungkinkan terlaksananya pemrosesan aplikasi.
  4. Orang merupakan staf yang dibutuhkan untuk merencanakan, mengorganisir, mendapatkan, menerapkan, menyampaikan, mendukung, mengawasi dan mengevaluasi sistem informasi dan layanannya. Mereka dapat berasal dari internal, outsource, atau kontrak jika diperlukan.

COBIT memiliki 7 kriteria informasi yang dikelompokkan berdasarkan kebutuhan bisnis perusahaan  Kriteria informasi tersebut yaitu :

  1. Efektivitas berkaitan dengan informasi yang relevan dan berhubungan dengan proses bisnis, seperti halnya penyampaian yang tepat waktu, benar, konsisten, tepat guna.
  2. Efisiensi berhubungan dengan penyediaan informasi melalui penggunaan sumber daya secara optimal (produktif dan ekonomi).
  3. Kerahasiaan berkaitan dengan pengamanan informasi yang penting dari acaman/gangguan pihak yang tidak bertanggung jawab.
  4. Integritas berkaitan dengan ketepatan dan kelengkapan informasi, seperti halnya keabsahannya berdasarkan nilai dan harapan bisnis.
  5. Ketersediaan berkaitan dengan ketersediaan informasi yang diperlukan proses bisnis saat ini dan yang akan datang. Selain itu juga berhubungan dengan pengamanan sumber daya dan kemampuan yang diperlukan.
  6. Kepatuhan berhubungan dengan kepatuhan pada hukum, regulasi, perjanjian kontrak, ukum, regulasi dan kesepakatan kontrak untuk menjadikan proses bisnis sebagai prioritas, yaitu kriteria bisnis eksternal seperti halnya kebijakan internal.
  7. Kehandalan berhubungan ketentuan informasi yang tepat bagi manajemen untuk  mengoperasikan entitas dan menjalankan fiduciary dan tanggung jawab tata kelola.



Maturity Models (Model Kematangan) 

Penilaian kemampuan proses berdasarkan model kematangan COBIT adalah bagian kunci dari implementasi pengelolaan TI. Setelah mengidentifikasikan proses TI dan kontrol TI yang vital, kemudian dengan memodelkan kematangan (maturity models) akan diketahui gap yang ada dalam kemampuan perusahaan, untuk kemudian diidentifikasikan dan ditujukkan kepada pihak manajemen. Rencana-rencana kegiatan akan dapat dikembangkan untuk membawa proses-proses tersebut sampai pada target tingkat kemampuan yang dinginkan. Tingkat kematangan dirancang sebagai profil dari proses TI yang akan diakui oleh pihak perusahaan sebagai penjelasan yang memungkinkan dari kondisi sekarang dan kondisi di masa yang akan datang. Secara grafik metode peresentasi yang dibutuhkan untuk menjelaskan tingkat tingkat kematangan perusahaan dalam pengelolaan TI-nya dapat dilihat pada Gambar berikut :



Critical Success Factors

Critical Success Factors (CSF) berfungsi sebagai panduan bagi manajemen dalam menerapkan kendali untuk TI dan proses-prosesnya. CSF merupakan aktivitas yang dapat bersifat strategis, teknis, organisasional, proses atau kebiasaan prosedural. CSF umumnya terkait dengan kemampuan dan keahlian serta harus bersifat singkat, terfokus dan berorientasi pada tindakan, serta mempengaruhi sumberdaya yang sangat penting dalam sebuah proses.

Pengukuran Kinerja
Pencapaian dan metrik didefinisikan dalam COBIT pada tiga tingkatan :

  1. Ukuran dan pencapaian TI, yang mendefinisikan apa yang diharapkan bisnis dari TI (mengukur TI  dari perspektif bisnis).
  2. Pencapaian proses dan ukuran yang mendefinisikan proses apa yang harus diberikan untuk mendukung objektif TI.
  3. Ukuran kinerja proses (untuk mengukur seberapa baik proses dilakukan untuk menunjukkan jika pencapaian kemungkinan besar terpenuhi).

Kematangan dimodelkan untuk pihak manajemen dan digunakan untuk mengontrol
proses TI berdasarkan metode evaluasi dari perusahaan, sehingga dapat digunakan untuk
menilai dirinya dimulai dari level no-existent (0) hingga ke level optimised (5). Maturity
models yang ada pada COBIT dapat dilihat di bawah ini :

0 Non- Existent

Sama sekali tidak ada proses yang dapat dikenali. Perusahaan bahkan tidak mengenal jika ada persoalan yang perlu diperhatikan.

1 Initial

Adanya kejadian yang diketahui, dan dipandang sebagai persoalan yang perlu ditangani oleh perusahaan. Belum adanya proses standar; pendekatan yang dilakukan bersifat ad-hoc, cenderung diselesaikan oleh perorangan dan per kasus. Pengelolaan yang dilakukan tidak terorganisir

2 Repeatable

Proses telah berkembang, dimana prosedur yang sama dilakukan oleh orang yang berbeda. Belum ada komunikasi atau pelatihan formal terhadap prosedur standar dan tanggung jawab diserahkan kepada individu.  Terdapat kepercayaan yang tinggi pada kemampuan individu, sehingga kesalahan sangat mungkin terjadi.

3 Defined
Prosedur sudah standard dan terdokumentasi dan dikomunikasikan melalui pelatihan. Tetapi pelaksanaannya  diserahkan pada individu untuk mengikuti proses tersebut, sehingga penyimpangan tidak mungkin akan diketahui. Prosedurnya belum sempurna, namun sekedar formalitas atas praktek yang ada.

4 Managed

Memungkinkan untuk memonitor dan mengukur kepatuhan terhadap prosedur, serta mengambil tindakan atas  ketidakefektifan proses yang terjadi. Proses meningkat secara konstan dan memberikan praktek yang baik.  tomasi dan tool digunakan dengan cara terbatas dan terpecah-pecah.

5 Optimised

Proses diperbaiki pada tingkat praktek terbaik, didasarkan pada hasil peningkatan berkelanjutan dan pemodelan maturity dengan perusahaan lain. TI digunakan dengan cara terintegrasi untuk mengotomasi workflow, menyediakan tool untuk meningkatkan kualitas dan efektifitas, sehingga perusahaan dapat beradaptasi dengan cepat.


COBIT menggunakan 2 jenis ukuran yaitu

indikator pencapaian dan indkator kinerja. Indikator pencapaian pada tingkat yang lebih rendah menjadi indikator kinerja pada tingkatan yang lebih tinggi

  • Key Goal Indicators (KGI)  mendefinisikan pengukuran yang menginformasikan kepada manajemen setelah terjadinya fakta apabila suatu proses TI telah mencapai kebutuhan bisnisnya, biasanya dinyatakan berkaitan dengan kriteria informasi berikut ini:
        a. Ketersediaan informasi yang diperlukan untuk mendukung kebutuhan bisnis.                        
        b. Tidak adanya integritas dan resiko kerahasiaan.
        c. Efisiensi biaya proses dan operasi.
        d. Konfirmasi kehandalan, efektivitas dan kepatuhan.

  • Key Performance Indicators (KPI) mendefinisikan pengukuran yang menentukan seberapa baik proses-proses TI dilakukan. Hal ini mengindikasikan kemungkinan terpenuhinya pencapaian. KPI disamping merupakan indikator terpenuhinya pencapaian dan juga merupakan indikator kapabilitas, praktek dan keahlian yang baik. KPI mengukur pencapaian aktivitas yang merupakan tindakan yang harus diambil pemilik proses untuk mencapai proses yang efektif

Langkah-Langkah Untuk Mengatasi

Gap Kematangan Proses TI Langkah-langkah untuk mengatasi perbedaan (gap) tingkat kematangan merupakan tindakan-tindakan yang perlu dilakukan pada setiap proses TI yang memiliki tingkat kematangan saat ini (current maturity level) di bawah tingkat kematangan yang diharapkan (expected maturity level) yaitu proses Langkah-langkah perbaikan tata kelola TI sistem informasi akademik diarahkan menuju tingkat kematangan 3-defined process yang dilakukan pada proses-proses yang mempunyai nilai tingkat kematangan saat ini lebih kecil daripada tingkat kematangan yang diharapkan, yaitu proses TI selain DS3, DS11, DS13 dan ME1 dengan membuat prosedur sudah standar, mendokumentasikan dan mengkomunikasikan melalui pelatihan. Tetapi pelaksanaannya diserahkan pada individu untuk mengikuti proses tersebut, sehingga penyimpangan tidak mungkin akan diketahui. Prosedurnya belum sempurna,namun sekedar formalitas atas praktek yang ada. Berikut ini adalah langkah-langkah dapat dilakukan untuk mengatasi gap tingkat kematangan pada proses-proses tata kelola TI melalui kegiatan-kegiatan

DS10:Mengatur permasalahan

Tingkat kematangan yang dituju : 3-Defined Process, maka langkah yang harus dilakukan adalah :
  1. Pemenuhan terhadap kebutuhan bisnis dengan menjamin kepuasan end user melalui pemberian layanan dan level layanan, mengurangi penyelesaian dan penyampaian.
  2. Memfokuskan pada merekam, melacak dan menyelesaikan masalah operasional, menyelidiki akar masalah bagi semua permasalahan yang ada, dan mendefinisikan penyelesaian bagi identifikasi masalah pengoperasian.
  3. Hal tersebut dapat dicapai dengan :
  1. Melaksanakan analisa akar masalah untuk pelaporan
  2. Menganalisa trend
  3.  mengambil alih masalah dan perkembangan penyelesaian masalah
  4. indikator keberhasilannya diukur melalui :
  • Jumlah masalah yang berakibat pada bisnis
  • Persentase jumlah masalah yang terselesaikan dalam waktu yang telah ditetapkan
  • Frekuensi laporan atau update masalah secara terus menerus, yang didasarkan pada maslah terberat  
5. Aktifitas yang perlu dilakukan dengan :

      • Manajemen memberikan dukungan dalam bentuk penyediaan anggaran bagi staf dan pelatihan.
      • Melakukan standarisasi penyelesaian masalah dan proses peningkatannya.
      • Membuat tim untuk mencatat dan penelusuran masalah serta penyelesaiannya, menggunakan alat yang ada tanpa sentralisasi.
      • Menyebarluaskan informasi di antara staf secara proaktif dan bersifat formal
      • Manajemen meninjau insiden dan menganalisa identifikasi permasalahan, serta pemecahannya.
ME4:Menyediakan tata kelola TI
Tingkat kematangan yang dituju : 3-Defined Process, maka langkah yang harus dilakukan adalah :
  1. Pemenuhan terhadap kebutuhan bisnis dengan mengintegrasikan tata kelola IT dan tata kelola perusahaan dan melengkapinya dengan hukum dan peraturan.
  2. Memfokuskan pada penyiapkan laporan stratergi IT, kemampuan dan resiko serta merespon kebutuhan tata kelola yang sesuai dengan arahan
  3. Hal tersebut dapat dicapai dengan :
    • Menetapkan sebuah kerangka kerja IT yang terintegrasi dengan tata kelola perusahaan
    • Mendapatkan kepastian yang independen atas status tata kelola
  4. Indikator keberhasilannya diukur melalui :
    • Banyaknya laporan IT dibuat untuk stakeholders 
    • Banyaknya laporan IT kepada atasan
    • Banyaknya kajian independen terhadap pemenuhan IT
  5. Aktifitas yang perlu dilakukan dengan :
    • Manajemen audit mengidentifikasi dan memahami inisiatif dan lingkungan TI.
    • Manajemen TI melakukan audit independen.
    • Kontrak untuk fungsi audit TI dibuat oleh manajemen senior dan dilanjutkan dengan memberikan kebebasan dan otoritas dari fungsi audit.
    • Merencanakan dan mengelola audit.
    • Menetapkan staf audit mematuhi standar audit.
    • Membuat rencana penggunaan perangkat standar untuk melakukan otomasi dalam melakukan audit independen.
    • Menetapkan tanggungjawab untuk melakukan audit independen serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab.
    • Melakukan resolusi atas komentar audit.
    • Melakukan penjaminan kualitas dilakukan untuk memastikan bahwa pelaksanaan telah sesuai dengan standar audit yang dapat diterapkan dan untuk meningkatkan efektivitas dari aktivitas fungsi audit.

Pustaka : IT Governance Institute, “COBIT 4.0”, 2005.

               COBIT® 3rd Edition Audit Guidelines July 2000

Penulis : Number Three, Never Forget ~ Sebuah blog yang menyediakan berbagai macam informasi

Artikel Control Objectives for Information and related Technology ( COBIT ) ini dipublish oleh Number Three, Never Forget pada hari Minggu, 16 Juni 2013. Semoga artikel ini dapat bermanfaat.Terimakasih atas kunjungan Anda silahkan tinggalkan komentar.sudah ada 0 komentar: di postingan Control Objectives for Information and related Technology ( COBIT )
 

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)