Minggu, 30 April 2017
COBIT
Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari ISACA (Information Systems Audit and Control Association) pada tahun 1996. hingga saat artikel ini di muat setidaknya sudah ada 5 versi COBIT yang sudah diterbitkan, versi pertama diterbitkan pada tahun 1996, versi kedua tahun 1998, versi 3.0 di tahun 2000, Cobit 4.0 pada tahun 2005, CObit 4.1 tahun 2007 dan yang terakhir ini adalah Cobit versi 5 yang di rilis baru-baru saja.
Control Objectives for Information and related Technology adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna ( user ) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis. COBIT digunakan secara umum oleh mereka yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang organisasinya sangat bergantung pada kualitas,kehandalan dan penguasaan teknologi informasi.
Control Objectives for Information and related Technology adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna ( user ) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis. COBIT digunakan secara umum oleh mereka yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang organisasinya sangat bergantung pada kualitas,kehandalan dan penguasaan teknologi informasi.
COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya
Kerangka kerja COBIT
Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.
Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:
- Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
- Apa saja indikator untuk suatu kinerja yang bagus?
- Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors )?
- Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
- Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya
Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain yang tiap-tiap domain mancakup banyak domain, yaitu:
- Planning & Organization
- Acquisition & Implementation
- Delivery & Support
- Monitoring
4 Domain Cakupan COBIT
1. Perencanaan dan Organisasi (Plan and organise)
• Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
| Plan and Organize | ||||||
| NO | KODE | PROSES | SKOR | TINGKAT MATURITY | ||
| 1 | PO1 | Menetapkan rencana Strategis TI | 3 | Define | ||
| 2 | PO2 | Menetapkan arsitektur sistem informasi | 0 | Non-Existent | ||
| 3 | PO3 | Menetapkan arah teknologi | 3 | Define | ||
| 4 | PO4 | Menetapkan proses TI, organisasi dan hubungannya | 3 | Define | ||
| 5 | PO5 | Mengatur investasi TI | 3 | Define | ||
| 6 | PO6 | Mengkomunikasikan tujuan dan arahan manajemen | 4 | Manage | ||
| 7 | PO7 | Mengelola sumberdaya manusia | 4 | Manage | ||
| 8 | PO8 | Mengatur kualitas | 3 | Define | ||
| 9 | PO9 | Menilai dan mengatur resiko TI | 0 | Non-Existent | ||
| 10 | PO10 | Mengatur Proyek | 0 | Non-Existent | ||
| Rata-rata Domain PO | 2.3 | Repeatable | ||||
2. Pengadaan dan implementasi (Acquirw and Implement)
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
| NO | KODE | PROSES | SKOR | TINGKAT MATURITY | ||
| 1 | AI1 | Identifikasi solusi-solusi otomatis | 0 | Non-Existent | ||
| 2 | AI2 | Mendapatkan dan memelihara perangkat lunak aplikasi | 3 | Define | ||
| 3 | AI3 | Mendapatkan dan memelihara infrastruktur teknologi | 3 | Define | ||
| 4 | AI4 | Menjalankan operasi dan menggunakannya | 3 | Define | ||
| 5 | AI5 | Pengadaan sumber daya TI | 3 | Define | ||
| 6 | AI6 | Mengelola perubahan | 0 | Non-Existent | ||
| 7 | AI7 | Instalasi dan akreditasi solusi serta perubahan | 0 | Non-Existent | ||
| Rata-rata Domain AI | 1.7 | Repeatable |
3. Pengantaran dan dukungan (Deliver and Support)
• Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.
| NO | KODE | PROSES | SKOR | TINGKAT MATURITY | ||
| 1 | DS1 | Menetapkan dan mengatur tingkat layanan | 0 | Non-Existent | ||
| 2 | DS2 | Pengaturan layanan dengan pihak ketiga | 3 | Define | ||
| 3 | DS3 | Mengatur kinerja dan kapasitas | 0 | Non-Existent | ||
| 4 | DS4 | Memastikan ketersediaan layanan | 3 | Define | ||
| 5 | DS5 | Memastikan keamanan sistem | 3 | Define | ||
| 6 | DS6 | Identifikasi dan biaya tambahan | 0 | Non-Existent | ||
| 7 | DS7 | Mendidik dan melatih user | 3 | Define | ||
| 8 | DS8 | Mengelola bantuan layanan dan insiden | 0 | Non-Existent | ||
| 9 | DS9 | Mengatur konfigurasi | 0 | Non-Existent | ||
| 10 | DS10 | Mengelola masalah | 0 | Non-Existent | ||
| 11 | DS11 | Mengelola data | 3 | Define | ||
| 12 | DS12 | Mengelola fasilitas | 3 | Define | ||
| 13 | DS13 | Mengelola operasi | 3 | Define | ||
| Rata-rata Domain DS | 1.6 | Repeatable |
4. Pengawasan dan evaluasi (Monitor and Evaluate)
• Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.
| Monitor and Evaluate | ||||||
| NO | KODE | PROSES | SKOR | TINGKAT MATURITY | ||
| 1 | ME1 | Monitor dan Evaluasi Kinerja TI | 3 | Define | ||
| 2 | ME2 | Monitor dan Evaluasi Pengendalian Internal | 3 | Define | ||
| 3 | ME3 | Mendapatkan jaminan independent | 0 | Non-Existent | ||
| 4 | ME4 | Penyediaan untuk tatakelola TI | 3 | Define | ||
| Rata-rata Domain ME | 2.3 | Repeatable | ||||
SUMBER :
http://cobitindo.blogspot.co.id/2011/10/sekilas-tentang-control-objective-for.html#more
