COBIT

COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya. Cobit adalah merupakan a set of best practies (framework) bagi pengelolaan teknologi informasi (IT management). Cobit disusun oleh oleh IT Governace Institute (ITGI) dan Infomation Systems Audit and Control Association (ISACA), tepatnya Information Systems Audit and ControFoundations(ISACF) pada tahun 1992. edisi pertamanya dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line dikeluarkan tahun 2003) dan saat ini adalah edisi keempat pada desember 2005. COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah generally applicable and accepted digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP). Sedang, COBITs good practices mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi. Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut. COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT controls issues. COBIT berguna bagi para IT user karena memperoleh keyakinan atas kehandalan system aplikasi yang dipergunakan. Sedangfkan para manager memperoleh manfaat dalam keputusan investasi di bidang IT serta Infrastruktur nya, menyusun strategic IT Plan, menentukan Information Architecture, dan keputusan atas procurement ( pengadaan/pembelian) mesin. Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi

Anda, atau objek khusus di lingkungan TI. Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di perusahaan. COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan IT Governance pada suatu perusahaan. COBIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT, serta menyediakan referensi best business practices yang mencakup keseluruhan IT dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktifitasaktifitas logis yang dapat dikelola serta dikendalikan secara sfektif. COBIT mendukung manajemen dalam mengoptimalkan investasi TI nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau resiko akan atau sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan. Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasian, keterpaduan, ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalan informasi. Berikut Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni: Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu: o Rencana dan Atur Rencana dan Atur domain mencakup penggunaan teknologi informasi & cara terbaik dan dapat digunakan dalam sebuah perusahaan untuk membantu perusahaan mencapai tujuan dan sasaran. Ia juga menyoroti organisasi dan infrastruktur TI adalah formulir untuk mengambil untuk mencapai hasil yang optimal dan yang paling menghasilkan keuntungan dari penggunaan IT.Tabel berikut ini berisi proses TI dalam Perencanaan dan Organisasi domain.

Tabel 1: Proses TI dalam Perencanaan dan Organisasi domain o Melaksanakan dan memperoleh Melaksanakan dan yang memperoleh domain mencakup mengidentifikasi TI persyaratan,memperoleh teknologi, dan menerapkan itu dalam perusahaan saat ini proses bisnis. Domain ini juga alamat perkembangan rencana pemeliharaan bahwa perusahaan harus mengadopsi untuk memperpanjang kehidupan sebuah sistem TI dan komponennya. Tabel berikut ini berisi proses TI dalam mendapatkan dan Melaksanakan domain.

Table 2: proses TI dalam memperoleh dan Melaksanakan domain. o Memberikan dan Dukungan Memberikan Dukungan dan yang berfokus pada domain pengiriman aspek teknologi informasi. Meliputi daerah-daerah seperti

eksekusi aplikasi di dalam sistem TI dan hasil, serta, dukungan yang memungkinkan proses yang efektif dan efisien pelaksanaan sistem TI ini. Mendukung proses ini termasuk masalah keamanan dan pelatihan. Tabel berikut ini berisi proses TI dalam Memberikan Dukungan dan domain.

Tabel 3: proses TI dalam Memberikan Dukungan dan domain. o Memantau dan Evaluasi Memantau dan Evaluasi yang domain berurusan dengan strategi perusahaan dalam menilai kebutuhan perusahaan dan apakah sistem TI yang sekarang masih memenuhi tujuan yang telah dirancang dan kontrol yang diperlukan untuk mematuhi peraturan persyaratan. Pemantauan juga mencakup isu yang independen penilaian terhadap efektivitas sistem IT dalam kemampuan untuk memenuhi tujuan-tujuan bisnis perusahaan dan pengendalian proses oleh auditor internal dan eksternal. Tabel berikut ini berisi proses TI dalam domain Memantau dan Evaluasi.

Tabel 4: Tabel proses TI dalam domain Memantau dan Evaluasi.

Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaanpertanyaan berikut: o Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya? o Apa saja indikator untuk suatu kinerja yang bagus? o Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors )? o Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan? o Bagaimana dengan perusahaan lainnya apa yang mereka lakukan? o Bagaimana Anda mengukur keberhasilan dan bagaimana pula

membandingkannya.

Berikut ini adalah gambaran keseluruhan dari kerangka kerja COBIT

Gambar 1 : Kerangka Kerja COBIT Berikut ini adalah Kriteria informasi dari COBIT : Efektivitas Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis sperti penyampaian informasi dengan benar, konsisten dapat dipercaya dan tepat waktu. Efesiensi Memfokuskan pada ketentuan informasi melalui penggunaan sumberdaya yang optimal. Kerahasian Integritas Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi. Berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.

Ketersediaan

Berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang

Kepatuhan

Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis Berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggung jawaban.

Keakuratan Informasi

COBIT adalah singkatan dari Control Objective for IT. COBIT ini singkatnya merupakan framework manajemen untuk menentukan IT process yang cocok di sebuah perusahaan. Sedangkan HABIT yang maksudkan adalah framework manajemen baik untuk PRIBADI maupun organisasi yang ditawarkan oleh Stephen Covey dalam bukunya 7 Habits of Effective People dan dilanjutkan dalam buku 8th Habit. Dalam 7 Habits, Stephen Covey menegaskan bahwa organisasi bisa maju dan

berkembang adalah organisasi yang mission statementnya dilakukan oleh semua pihak. Tidak hanya dari atas kebawah. Dalam bukunya 8th habit, Stephen membagi perkembangan peradaban menjadi beberapa tingkatan era. Dari berburu, bertani, industri, dan akhirnya kebijaksanaan. Sampai abad ke 20 banyak perusahaan masih menerapkan pola pikir industrial dimana manusia lebih rendah daripada mesin. jika membeli mesin adalah investasi, namun membeli (baca menggaji) pekerja adalah beban. Tak pelak lagi hal ini mendorong banyak pemikiran yang menjadikan buruh dan pemilik modal sebagai pihak yang tak pernah bisa akur. Pola pikir dalam manajemen pun lebih banyak memberikan reward dan punishment. Kontrol diberlakukan secara ketat. Namun hal itu diakhiri pada abad ke 21 dimana kreatifitas menjadi sokoguru utama perusahaan. Covey menjelaskan bahwa berorientasi hasil jauh lebih baik daripada berorientasi proses. Biarkan bawahan anda yang mengembangkan. Kontrol pada hasil, bukan pada proses. Sekilas ada perbedaan besar jika filosofi COBIT dan HABIT diterapkan dalam proses manajemen IT. Meskipun IT sendiri adalah benda, jaringan, infrastruktur, IT juga memiliki brainware atau manusia pelaksana. Yang lebih penting lagi adalah informasi yang terkandung dalam IT tersebut. Beberapa perusahaan mungkin menganggap keberadaan IT sangat tidak signifikan terhadap proses bisnisnya. Namun jika informasi yang terkandung dalam IT adalah informasi marketing, SDM, finansial, bisa dibayangkan apa yang terjadi jika infrastruktur IT perusahaan tersebut hancur. COBIT menekankan kontrol yang ketat, sementara HABIT menekankan keleluasaan untuk mencapai hasil. Hal inilah yang mungkin menyebabkan

banyak perusahaan di dunia menerapkan prosedur IT yang hanya pada skala berulang-ulang namun intuitive. Namun bukan berarti control tidak diperlukan. Dalam kasus jari 3 milyar, seorang buruh menang menuntut perusahaannya karena jarinya terpotong gerinda yang perusahaannya tidak memiliki SOP menjalankan gerinda. Prosedur bisa dianalogikan sebagai rambu-rambu. Sama seperti pagar yang membatasi jalan. Namun pagar saja tidak cukup. jangan sampai pagar tersebut membelenggu kreatifitas sang sopir sehingga sopir tersebut ragu-ragu untuk memberikan idenya sehingga mempercepat jalan mencapai tujuan. Buatlah pagar hanya di pinggir jalan-jalan. Dalam hal ini HABIT bisa berperan membuat sang sopir kreatif dan COBIT menjaga agar kreatifitas menjadi tidak berbahaya.