AULIA : Merah
CILA : Ungu
ANIK : Kuning
MUH : Ijo
INDAH : Hitam
1
COBIT Mission:
Untuk meneliti, mengembangkan, mempublikasikan dan mempromosikan otoritatif, up-to-date, yang diterima secara
internasional IT kerangka pengendalian tata kelola untuk diadopsi oleh perusahaan dan penggunaan sehari-hari oleh manajer
bisnis, profesional TI dan profesional jaminan
Sebuah kerangka kontrol untuk tata kelola TI mendefinisikan alasan tata kelola TI yang dibutuhkan,
para pemangku kepentingan dan apa yang dibutuhkan untuk mencapai.
Mengapa
Semakin, manajemen puncak adalah menyadari dampak yang signifikan bahwa
informasi dapat memiliki pada keberhasilan perusahaan. Manajemen mengharapkan tinggi
pemahaman tentang cara TI dioperasikan dan kemungkinan yang sedang memanfaatkan
berhasil untuk keunggulan kompetitif. Secara khusus, manajemen puncak perlu tahu apakah
informasi ini dikelola oleh perusahaan sehingga:
Kemungkinan untuk mencapai tujuannya
cukup Tangguh untuk belajar dan beradaptasi
bijaksana mengelola risiko yang dihadapinya
Tepat mengenali peluang dan bertindak atas mereka
Perusahaan yang sukses memahami risiko dan mengeksploitasi manfaat IT dan menemukan
cara untuk menangani:
Menyelaraskan strategi TI dengan strategi bisnis
Menjamin investor dan pemegang saham bahwa 'standar
care'around karena mengurangi risiko TI dipenuhi oleh
organisasi
strategi TI Cascading dan gol ke perusahaan
Mendapatkan nilai dari investasi TI
Memberikan struktur organisasi yang memfasilitasi
pelaksanaan strategi dan tujuan
Membuat hubungan yang konstruktif dan komunikasi yang
efektif antara bisnis dan TI, dan dengan mitra eksternal
Mengukur kinerja TI
2
Manajer Bisnis dan papan menuntut hasil yang lebih baik
dari investasi TI, yaitu, bahwa IT memberikan apa yang
perlu bisnis untuk meningkatkan nilai stakeholder
Keprihatinan atas tingkat umumnya meningkat pengeluaran
IT
Kebutuhan untuk memenuhi persyaratan peraturan untuk IT
kontrol di berbagai bidang seperti privasi dan pelaporan
keuangan (misalnya, AS Sarbanes-Oxley Act, Basel II) dan
di sektor-sektor tertentu seperti keuangan, farmasi dan
kesehatan
Pemilihan penyedia layanan dan pengelolaan jasa
outsourcing dan akuisisi
Semakin kompleks yang berhubungan dengan IT risiko,
seperti keamanan jaringan
inisiatif tata kelola TI yang mencakup adopsi kerangka
kontrol dan praktek-praktek yang baik untuk membantu
memantau dan meningkatkan kegiatan TI penting untuk
meningkatkan nilai bisnis dan mengurangi risiko bisnis
Kebutuhan untuk mengoptimalkan biaya dengan mengikuti,
mana mungkin, standar, bukan khusus dikembangkan,
pendekatan
The tumbuh dewasa dan konsekuen penerimaan kerangka
dianggap baik, seperti COBIT, IT Infrastructure Library (ITIL), seri
ISO 27000 tentang standar yang berhubungan dengan keamanan informasi,
ISO 9001: 2000 Quality Management System-Persyaratan, Capability
Maturity Model®Integrasi (CMMI), Proyek di Terkendali
Lingkungan 2 (PRINCE2) dan Sebuah Panduan untuk
PMBOK (PMBOK)
Kebutuhan perusahaan untuk menilai bagaimana mereka
melakukan terhadap standar yang berlaku umum dan rekan-
rekan mereka (benchmarking)
Siapa
Sebuah kerangka tata kelola dan pengendalian kebutuhan untuk melayani
berbagai pemangku kepentingan internal dan eksternal, yang masing-masing
memiliki kebutuhan khusus:
Stakeholders dalam perusahaan yang memiliki kepentingan dalam
menghasilkan nilai dari investasi TI :
1. Mereka yang membuat keputusan investasi
2. Mereka yang memutuskan tentang persyaratan
3. Mereka yang menggunakan layanan TI
internal dan stakeholders eksternal yang menyediakan layanan IT :
1. Mereka yang mengelola organisasi TI dan proses
2. Mereka yang mengembangkan kemampuan
3. Mereka yang mengoperasikan layanan
internal dan stakeholders eksternal yang memiliki tanggung jawab kontrol
/ risiko :
1. Mereka yang keamanan, privasi dan / atau tanggung jawab risiko
2. Mereka fungsi kepatuhan melakukan
3. Mereka yang membutuhkan atau menyediakan jasa asuransi
3
Apa
Untuk memenuhi persyaratan yang tercantum dalam bagian sebelumnya, kerangka kerja untuk tata
kelola TI dan kontrol harus :
Memberikan fokus bisnis untuk memungkinkan keselarasan antara bisnis dan TI tujuan
Menetapkan orientasi proses untuk menentukan ruang lingkup dan luasnya cakupan,
dengan struktur didefinisikan memungkinkan navigasi yang mudah dari konten
Jadilah umumnya diterima dengan menjadi konsisten dengan diterima IT praktek
yang baik dan standar dan independen dari teknologi yang spesifik
Pasokan bahasa yang sama dengan satu set istilah dan definisi yang secara umum
dipahami oleh semua pemangku kepentingan
Membantu memenuhi persyaratan peraturan dengan menjadi konsisten dengan
standar tata kelola perusahaan yang berlaku umum (misalnya, COSO) dan
mengontrol diharapkan oleh regulator dan auditor eksternal
Mengelola dan mengendalikan informasi adalah jantung dari COBIKerangka T dan membantu
memastikan keselarasan dengan kebutuhan bisnis.
4
Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria kontrol tertentu, yang COBIT sebut
sebagai kebutuhan bisnis untuk informasi. Berdasarkan kualitas yang lebih luas, persyaratan
fidusia dan keamanan, tujuh, tentu tumpang tindih, kriteria informasi yang berbeda
didefinisikan sebagai berikut :
Efektivitas berkaitan dengan informasi yang relevan dan berkaitan dengan proses
bisnis serta yang disampaikan pada waktu yang tepat, benar, konsisten dan dapat
digunakan.
Efisiensi menyangkut penyediaan informasi melalui optimal (paling produktif dan
ekonomis) penggunaan sumber daya
Kerahasiaan menyangkut perlindungan informasi sensitif dari pengungkapan yang
tidak sah.
5
Setelah gol selaras sudah ditetapkan, mereka perlu dipantau untuk memastikan bahwa
pengiriman harapan pertandingan yang sebenarnya. Hal ini dicapai dengan metrik yang
berasal dari tujuan dan ditangkap di sebuah scorecard IT.
Bagi pelanggan untuk memahami tujuan IT dan IT scorecard, semua tujuan dan metrik terkait harus
dinyatakan dalam istilah bisnis yang berarti kepada pelanggan. Ini, dikombinasikan dengan keselarasan
efektif dari hirarki tujuan, akan memastikan bahwa bisnis dapat mengkonfirmasi bahwa TI cenderung
mendukung tujuan perusahaan.
SUMBER IT
Organisasi TI memberikan terhadap tujuan ini dengan satu set yang jelas dari proses yang
menggunakan keterampilan orang dan infrastruktur teknologi untuk menjalankan aplikasi
bisnis otomatis sementara memanfaatkan informasi bisnis. Sumber daya ini, bersama-sama
dengan proses, merupakan suatu arsitektur enterprise untuk IT, seperti yang ditunjukkan
pada gambar 6.
Untuk menanggapi kebutuhan bisnis untuk TI, perusahaan perlu untuk berinvestasi dalam sumber daya yang
diperlukan untuk membuat kemampuan teknis yang memadai (misalnya, perencanaan sumber daya
perusahaan [ERP] sistem) untuk mendukung kemampuan bisnis (misalnya, menerapkan supply chain) yang
dihasilkan dalam hasil yang diinginkan (misalnya, peningkatan penjualan dan keuntungan finansial).
6
Infrastruktur adalah teknologi dan fasilitas (yaitu, hardware, sistem operasi, sistem
manajemen database, jaringan, multimedia, dan lingkungan yang rumah dan
mendukung mereka) yang memungkinkan pengolahan aplikasi.
Orang-orang personil yang dibutuhkan untuk merencanakan, mengatur,
memperoleh, melaksanakan, menyampaikan, dukungan, memantau dan
mengevaluasi sistem informasi dan layanan. Mereka mungkin internal, outsourcing
atau kontrak seperti yang diperlukan.
Berorientasi proses
COBIT mendefinisikan kegiatan IT dalam model proses generik dalam waktu empat domain.
Domain ini adalah Rencana dan Mengatur, Memperoleh dan Melaksanakan, Memberikan
dan Dukungan, dan Monitor dan Evaluasi. Domain peta ke TI daerah tanggung jawab
tradisional rencana, membangun, menjalankan dan memantau.
COBIT kerangka menyediakan model proses referensi dan bahasa umum untuk semua orang
dalam suatu perusahaan untuk melihat dan mengelola kegiatan IT. Menggabungkan model
operasional dan bahasa umum untuk semua bagian dari bisnis yang terlibat dalam IT adalah
salah satu langkah yang paling penting dan awal menuju pemerintahan yang baik. Hal ini
juga menyediakan kerangka kerja untuk mengukur dan memantau kinerja IT, berkomunikasi
dengan penyedia layanan dan mengintegrasikan praktek manajemen terbaik. Sebuah model
proses mendorong kepemilikan proses, memungkinkan tanggung jawab dan akuntabilitas
untuk didefinisikan.
Untuk mengatur IT secara efektif, penting untuk menghargai kegiatan dan risiko dalam IT yang perlu dikelola.
Mereka biasanya memerintahkan ke dalam domain tanggung jawab merencanakan, membangun, menjalankan
dan memantau. Dalam COBIT kerangka, domain ini, seperti yang ditunjukkan pada gambar 8,
disebut :
7
Merencanakan dan Mengatur (PO)-Menyediakan arah untuk pengiriman solusi (AI)
dan pelayanan (DS)
Memperoleh dan Melaksanakan (AI)-Menyediakan solusi dan melewati mereka akan
berubah menjadi layanan
Memberikan dan Dukungan (DS) -Receives solusi dan membuat mereka dapat
digunakan untuk pengguna akhir
Memantau dan Mengevaluasi (ME) -Monitors semua proses untuk memastikan
bahwa arah disediakan diikuti
Domain ini mencakup strategi dan taktik, dan menyangkut identifikasi cara TI
terbaik dapat memberikan kontribusi pada pencapaian bisnis tujuan. Realisasi dari
visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif
yang berbeda. Sebuah organisasi yang tepat serta infrastruktur teknologi harus
diletakkan di tempat. domain ini biasanya membahas pertanyaan-pertanyaan
manajemen berikut :
Apakah IT dan strategi bisnis selaras?
Apakah perusahaan mencapai penggunaan optimal dari sumber daya?
Apakah setiap orang dalam organisasi memahami tujuan TI?
Apakah IT risiko dipahami dan dikelola?
Apakah kualitas sistem TI yang sesuai untuk kebutuhan bisnis?
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan
pemeliharaan sistem yang ada ditutupi oleh domain ini untuk memastikan solusi terus memenuhi
tujuan bisnis. domain ini biasanya membahas pertanyaan-pertanyaan manajemen berikut :
Apakah proyek baru cenderung memberikan solusi yang memenuhi
kebutuhan bisnis?
Apakah proyek baru kemungkinan akan dikirimkan tepat waktu dan
sesuai anggaran?
Apakah sistem baru bekerja dengan baik ketika diimplementasikan?
perubahan Will dilakukan tanpa mengganggu operasi bisnis saat ini?
8
Domain ini berkaitan dengan pengiriman aktual dari layanan yang dibutuhkan, yang meliputi
pelayanan, pengelolaan keamanan dan kontinuitas, dukungan layanan untuk pengguna, dan
pengelolaan data dan fasilitas operasional. Ini biasanya membahas pertanyaan-pertanyaan
manajemen berikut:
Apakah layanan TI yang disampaikan sejalan dengan prioritas bisnis?
Apakah biaya TI dioptimalkan?
Apakah tenaga kerja dapat menggunakan sistem IT produktif dan aman?
Apakah yang memadai kerahasiaan, integritas dan ketersediaan di tempat untuk
keamanan informasi?
Semua proses TI perlu dinilai secara berkala dari waktu ke waktu untuk kualitas dan kepatuhan
mereka dengan persyaratan kontrol. domain ini membahas manajemen kinerja, pemantauan
pengendalian internal, kepatuhan terhadap peraturan dan tata kelola. Ini biasanya membahas
pertanyaan-pertanyaan manajemen berikut:
Apakah IT yang kinerja diukur untuk mendeteksi masalah sebelum terlambat?
Apakah manajemen memastikan bahwa pengendalian internal yang efektif dan
efisien?
Dapat IT kinerja dihubungkan kembali ke tujuan bisnis?
Apakah yang memadai kerahasiaan, integritas dan ketersediaan kontrol di tempat
untuk keamanan informasi?
Di empat domain tersebut, COBIT telah mengidentifikasi 34 proses TI yang umumnya
digunakan (lihat gambar 22 untuk daftar lengkap). Sementara sebagian besar perusahaan
telah menyelenggarakan program, membangun, menjalankan dan memantau tanggung jawab
untuk IT, dan sebagian besar memiliki proses kunci yang sama, beberapa akan memiliki
struktur proses yang sama atau menerapkan semua 34 COBIproses T. COBIT menyediakan
daftar lengkap proses yang dapat digunakan untuk memverifikasi kelengkapan kegiatan dan
tanggung jawab; Namun, mereka tidak perlu semua berlaku, dan, bahkan lebih, mereka dapat
dikombinasikan seperti yang dipersyaratkan oleh masing-masing perusahaan.
Untuk setiap 34 proses ini, link dibuat untuk tujuan bisnis dan TI yang didukung. Informasi tentang
bagaimana tujuan dapat diukur, apa kegiatan kunci dan point utama yang, dan siapa yang bertanggung
jawab untuk mereka juga disediakan.
Kontrol berbasis
COBIT mendefinisikan tujuan pengendalian untuk semua 34 proses, serta proses menyeluruh
dan kontrol aplikasi.
Kontrol didefinisikan sebagai kebijakan, prosedur, praktek dan struktur organisasi yang
dirancang untuk memberikan keyakinan memadai bahwa tujuan bisnis akan dicapai dan acara
yang tidak diinginkan akan dicegah atau dideteksi dan dikoreksi.
tujuan pengendalian TI memberikan satu set lengkap persyaratan tingkat tinggi untuk
dipertimbangkan oleh manajemen untuk kontrol yang efektif dari setiap proses TI. Mereka:
Apakah laporan tindakan manajerial untuk meningkatkan nilai atau mengurangi risiko
Terdiri dari kebijakan, prosedur, praktek dan struktur organisasi
Apakah yang dirancang untuk memberikan keyakinan memadai bahwa tujuan bisnis
akan dicapai dan acara yang tidak diinginkan akan dicegah atau dideteksi dan
dikoreksi
manajemen perusahaan perlu membuat pilihan relatif terhadap tujuan pengendalian ini dengan :
9
Memilih orang-orang yang berlaku
Memutuskan pada mereka yang akan dilaksanakan
Memilih bagaimana menerapkan mereka (frekuensi, span, otomatisasi, dll)
Menerima risiko tidak menerapkan mereka yang mungkin berlaku
Bimbingan dapat diperoleh dari model kontrol standar yang ditunjukkan pada gambar 9. Ini
mengikuti prinsip-prinsip jelas dalam analogi ini: Ketika suhu kamar (standar) untuk sistem
pemanas (proses) diatur, sistem akan terus memeriksa (membandingkan) ruangan sekitar suhu
(kontrol informasi) dan akan sinyal (tindakan) sistem pemanas untuk memberikan lebih atau
kurang panas.
Tujuan pengendalian diidentifikasi oleh dua karakter referensi domain (PO, AI, DS dan ME)
ditambah sejumlah proses dan sejumlah tujuan kontrol. Selain tujuan kontrol, masing-masing
COBIProses T memiliki persyaratan kontrol generik yang diidentifikasi oleh PCN, untuk
nomor kontrol proses. Mereka harus dipertimbangkan bersama-sama dengan tujuan kontrol
proses untuk memiliki pandangan lengkap persyaratan kontrol.
10
pelaksanaan yang efektif dari setiap proses TI dan. Memastikan bahwa mereka terkait dengan
tujuan bisnis dan didukung oleh metrik yang sesuai.
Menetapkan pemilik untuk setiap proses IT, dan jelas mendefinisikan peran dan tanggung
jawab dari pemilik proses. Termasuk, misalnya, tanggung jawab untuk desain proses, interaksi
dengan proses lainnya, akuntabilitas untuk hasil akhir, pengukuran kinerja proses dan
identifikasi peluang perbaikan.
Desain dan membangun setiap proses IT utama seperti bahwa itu adalah berulang dan
konsisten menghasilkan hasil yang diharapkan. Menyediakan untuk urutan logis tapi fleksibel
dan scalable kegiatan yang akan mengarah pada hasil yang diinginkan dan cukup gesit untuk
menangani pengecualian dan keadaan darurat. Menggunakan proses yang konsisten, di mana
mungkin, dan penjahit hanya ketika tidak dapat dihindari.
Mendefinisikan kegiatan kunci dan kiriman akhir proses. Menetapkan dan mengkomunikasikan
peran dan tanggung jawab ambigu untuk pelaksanaan yang efektif dan efisien dari kegiatan
utama dan dokumentasi mereka serta akuntabilitas untuk kiriman proses akhir.
Mengidentifikasi satu set metrik yang memberikan wawasan ke dalam hasil dan kinerja proses.
Menetapkan target yang mencerminkan pada tujuan proses dan indikator kinerja yang
memungkinkan pencapaian tujuan proses. Mendefinisikan bagaimana data yang akan
diperoleh. Bandingkan pengukuran sebenarnya untuk target dan mengambil tindakan atas
penyimpangan, di mana diperlukan. Menyelaraskan metrik, target dan metode dengan TI
pendekatan pemantauan kinerja secara keseluruhan.
Kontrol yang efektif mengurangi risiko, meningkatkan kemungkinan pengiriman nilai dan
meningkatkan efisiensi karena akan ada lebih sedikit kesalahan dan pendekatan manajemen
yang lebih konsisten.
Selain itu, COBIT memberikan contoh untuk setiap proses yang ilustratif, tapi tidak
preskriptif atau lengkap, dari:
Selain menghargai apa yang diperlukan kontrol, pemilik proses perlu memahami masukan apa
yang mereka butuhkan dari orang lain dan apa yang orang lain butuhkan dari proses mereka.
COBIT menyediakan contoh generik input kunci dan output untuk setiap proses, termasuk
persyaratan TI eksternal. Ada beberapa output yang input ke semua proses lainnya, ditandai
sebagai 'ALL'in tabel output, tetapi mereka tidak disebutkan sebagai masukan dalam semua
proses, dan biasanya mencakup standar kualitas dan persyaratan metrik, kerangka proses IT,
peran didokumentasikan dan tanggung jawab, kerangka kontrol TI perusahaan, kebijakan TI,
dan peran personil dan tanggung jawab.
Memahami peran dan tanggung jawab untuk setiap proses adalah kunci untuk pemerintahan
yang efektif. COBIT menyediakan grafik RACI untuk setiap proses. Akuntabel berarti 'uang
berhenti here'-ini adalah orang yang memberikan arahan dan kewenangan suatu kegiatan.
Tanggung jawab tersebut diberikan untuk orang yang mendapat tugas dilakukan. Dua peran
lain (dikonsultasikan dan memberitahu) memastikan bahwa setiap orang yang perlu terlibat
dan mendukung proses.
Kontrol umum adalah kontrol tertanam dalam proses TI dan layanan. Contohnya termasuk:
Sistem pengembangan
Manajemen perubahan
Keamanan
12
operasi Komputer
Kontrol tertanam dalam aplikasi proses bisnis yang sering disebut sebagai kontrol aplikasi.
Contohnya termasuk :
Kelengkapan
Akurasi
Validitas
Otorisasi
Pemisahan tugas
Oleh karena itu, tanggung jawab untuk kontrol aplikasi yang end-to-end tanggung jawab
bersama antara bisnis dan TI, tetapi sifat dari perubahan tanggung jawab sebagai berikut :
bisnis bertanggung jawab untuk benar :
1. Tentukan kebutuhan fungsional dan kontrol
2. Gunakan layanan otomatis
IT bertanggung jawab untuk:
1. otomatis dan melaksanakan bisnis fungsional dan kontrol persyaratan
2. Menetapkan kontrol untuk menjaga integritas kontrol aplikasi
Oleh karena itu, COBIproses IT T menutupi umum mengontrol IT, tetapi hanya aspek-aspek
pengembangan kontrol aplikasi; tanggung jawab untuk definisi dan penggunaan operasional
dengan bisnis.
13
Memastikan bahwa sumber dokumen yang disiapkan oleh petugas yang berwenang dan
berkualitas mengikuti prosedur yang ditetapkan, dengan memperhitungkan pembagian
tugas yang memadai mengenai originasi dan persetujuan dokumen-dokumen ini.
Kesalahan dan kelalaian dapat diminimalkan melalui desain form input yang baik.
Mendeteksi kesalahan dan penyimpangan sehingga mereka dapat dilaporkan dan
diperbaiki.
Menetapkan bahwa input data dilakukan pada waktu yang tepat oleh staf yang
berwenang dan berkualitas. Koreksi dan resubmission data yang keliru masukan harus
dilakukan tanpa mengorbankan tingkat otorisasi transaksi asli. Apabila diperlukan untuk
rekonstruksi, mempertahankan dokumen sumber asli untuk jumlah waktu yang tepat.
Memastikan bahwa transaksi yang akurat, lengkap dan valid. Memvalidasi data yang
masukan, dan mengedit atau mengirim kembali untuk koreksi sebagai dekat dengan titik
originasi mungkin.
Menjaga integritas dan validitas data sepanjang siklus pengolahan. Deteksi transaksi
yang keliru tidak mengganggu proses transaksi yang sah.
Menetapkan prosedur dan tanggung jawab terkait untuk memastikan output yang
ditangani dengan cara yang berwenang, dikirim ke penerima yang tepat, dan dilindungi
selama transmisi; verifikasi, deteksi dan koreksi akurasi output terjadi; dan bahwa
informasi yang diberikan dalam output digunakan.
Sebelum melewati data transaksi antara aplikasi internal dan bisnis / fungsi operasional
(di atau di luar perusahaan), memeriksa untuk tepat menangani, keaslian asal dan
integritas konten. Menjaga keaslian dan integritas selama transmisi atau transportasi.
Sebuah kebutuhan dasar bagi setiap perusahaan adalah untuk memahami status sistem TI
sendiri dan untuk memutuskan apa tingkat manajemen dan mengendalikan perusahaan harus
menyediakan. Untuk menentukan tingkat yang tepat, manajemen harus bertanya pada diri
sendiri: Seberapa jauh kita harus pergi, dan biaya dibenarkan oleh manfaat?
Memperoleh pandangan objektif dari tingkat kinerja suatu perusahaan sendiri tidak mudah. Apa
yang harus diukur dan bagaimana? Perusahaan perlu untuk mengukur di mana mereka berada
dan di mana perbaikan diperlukan, dan menerapkan kit alat manajemen untuk memantau
perbaikan ini. COBIT berhubungan dengan masalah ini dengan menyediakan:
model Maturity untuk memungkinkan pembandingan dan identifikasi perbaikan
kemampuan yang diperlukan
14
gol Kinerja dan metrik untuk proses IT, menunjukkan bagaimana proses memenuhi
bisnis dan TI tujuan dan digunakan untuk mengukur kinerja proses internal
berdasarkan prinsip-prinsip balanced scorecard
gol Kegiatan untuk memungkinkan kinerja proses yang efektif
MODEL KEMATANGAN
15
Hal ini karena ketika menilai kematangan menggunakan COBImodel T, itu akan sering terjadi
bahwa beberapa implementasi akan berada di tempat pada tingkat yang berbeda bahkan jika
tidak lengkap atau cukup. Kekuatan ini dapat dibangun di atas untuk lebih meningkatkan
kedewasaan. Sebagai contoh, beberapa bagian dari proses dapat didefinisikan dengan baik, dan,
bahkan jika itu tidak lengkap, akan menyesatkan untuk mengatakan proses ini tidak
didefinisikan sama sekali.
Menggunakan model jatuh tempo dikembangkan untuk masing-masing COBIT 34 proses TI,
manajemen dapat mengidentifikasi :
Kinerja yang sebenarnya dari perusahaan-mana perusahaan saat ini
Status saat ini industri-Perbandingan
Target perusahaan untuk perbaikan-mana perusahaan ingin menjadi
jalur pertumbuhan yang diperlukan antara 'as-is'and 'to-be'
Untuk membuat hasil dengan mudah dapat digunakan dalam briefing manajemen, di mana mereka akan
disajikan sebagai sarana untuk mendukung kasus bisnis untuk rencana masa depan, sebuah metode presentasi
grafis perlu disediakan (gambar 12).
Perkembangan representasi grafis didasarkan pada deskripsi model kematangan generik yang
ditunjukkan pada gambar 13.
16
COBIT adalah suatu kerangka kerja yang dikembangkan untuk manajemen proses TI dengan
fokus yang kuat pada kontrol. skala ini harus praktis untuk menerapkan dan cukup mudah
dimengerti. Topik manajemen proses TI secara inheren kompleks dan subjektif dan, oleh
karena itu, terbaik didekati melalui penilaian difasilitasi bahwa meningkatkan kesadaran,
menangkap konsensus yang luas dan memotivasi peningkatan. Penilaian ini dapat dilakukan
baik terhadap deskripsi tingkat kematangan secara keseluruhan atau dengan lebih tepat
terhadap setiap pernyataan individu dari deskripsi. Either way, keahlian dalam proses
perusahaan itu dikaji diperlukan.
Keuntungan dari pendekatan model jatuh tempo adalah bahwa hal itu relatif mudah bagi
manajemen untuk menempatkan diri pada skala dan menghargai apa yang terlibat jika
ditingkatkan kinerja diperlukan. skala termasuk 0 karena sangat mungkin bahwa ada proses ada
sama sekali. The 0-5 skala didasarkan pada skala kematangan sederhana yang menunjukkan
bagaimana proses berevolusi dari kemampuan tidak ada untuk kemampuan dioptimalkan.
Namun, kemampuan manajemen proses adalah tidak sama dengan kinerja proses. Kemampuan
yang diperlukan, sebagaimana ditentukan oleh bisnis dan TI tujuan, mungkin tidak perlu
diterapkan pada tingkat yang sama di seluruh lingkungan TI, misalnya, tidak konsisten atau
hanya sejumlah sistem atau unit. pengukuran kinerja, seperti yang tercakup dalam paragraf
berikutnya, adalah penting dalam menentukan apa kinerja aktual perusahaan adalah untuk
proses TI.
Meskipun kemampuan diterapkan dengan benar sudah mengurangi risiko, perusahaan masih
perlu menganalisis kontrol yang diperlukan untuk memastikan risiko yang dimitigasi dan nilai
diperoleh sejalan dengan risk appetite dan tujuan bisnis. Kontrol ini dipandu oleh COBItujuan
pengendalian T. Lampiran III menyediakan model tempo pada pengendalian internal yang
menggambarkan kematangan suatu perusahaan relatif terhadap pembentukan dan kinerja
pengendalian internal. Seringkali analisis ini dimulai dalam menanggapi driver eksternal, tetapi
idealnya harus dilembagakan seperti yang didokumentasikan oleh COBIT memproses PO6
Berkomunikasi tujuan manajemen dan arah dan ME2 Memantau dan mengevaluasi
pengendalian internal.
Kemampuan, cakupan dan kontrol semua dimensi kematangan proses, seperti digambarkan
pada Gambar 14.
17
Model jatuh tempo adalah cara untuk mengukur seberapa baik mengembangkan proses
manajemen, yaitu, bagaimana mampu mereka sebenarnya. Bagaimana dikembangkan dengan
baik atau mampu mereka harus terutama tergantung pada tujuan TI dan kebutuhan bisnis yang
mendasari mereka mendukung. Berapa banyak dari kemampuan yang sebenarnya digunakan
sebagian besar tergantung pada kembalinya suatu perusahaan ingin dari investasi. Misalnya,
akan ada proses yang penting dan sistem yang membutuhkan lebih banyak dan lebih ketat
manajemen keamanan daripada yang lain yang kurang penting. Di sisi lain, tingkat dan
kecanggihan kontrol yang perlu diterapkan dalam proses lebih didorong oleh risk appetite
perusahaan dan persyaratan kepatuhan yang berlaku.
Timbangan model kematangan akan membantu para profesional menjelaskan kepada manajer
mana IT memproses kekurangan manajemen eksis dan menetapkan target untuk mana mereka
perlu. Tingkat kematangan yang tepat akan dipengaruhi oleh tujuan bisnis perusahaan,
lingkungan operasi dan praktek industri. Secara khusus, tingkat kematangan manajemen akan
tergantung pada ketergantungan perusahaan pada TI, kecanggihan teknologi dan, yang paling
penting, nilai informasinya.
Sebuah titik acuan strategis bagi perusahaan untuk meningkatkan pengelolaan dan
pengendalian TI proses-proses dapat ditemukan dengan melihat muncul standar internasional
dan praktik terbaik di kelasnya. Praktek-praktek yang muncul dari hari ini mungkin menjadi
tingkat yang diharapkan dari kinerja besok dan, karena itu, berguna untuk perencanaan di
mana suatu perusahaan ingin menjadi dari waktu ke waktu.
Model jatuh tempo dibangun mulai dari model kualitatif generik (lihat gambar 13) yang
prinsip dari atribut berikut ditambahkan secara meningkat melalui tingkat:
Kesadaran dan komunikasi
Kebijakan, rencana dan prosedur
Alat dan otomatisasi
Kemampuan dan keahlian
Tanggung jawab dan akuntabilitas
Penentuan tujuan dan pengukuran
Tabel atribut kematangan yang ditunjukkan pada gambar 15 daftar karakteristik bagaimana
proses TI dikelola dan menjelaskan bagaimana mereka berevolusi dari tidak ada ke proses
dioptimalkan. atribut ini dapat digunakan untuk penilaian yang lebih komprehensif, analisis
kesenjangan dan perencanaan perbaikan.
18
Singkatnya, model kematangan memberikan profil generik tahap melalui mana perusahaan
berevolusi untuk pengelolaan dan pengendalian proses TI. Mereka :
Satu set persyaratan dan aspek memungkinkan pada tingkat kematangan yang
berbeda
Sebuah skala di mana perbedaan dapat dibuat terukur dengan cara yang mudah
Sebuah skala yang cocok untuk perbandingan pragmatis
Dasar untuk menetapkan sebagai-adalah dan to-be posisi
Dukungan untuk analisis gap untuk menentukan apa yang perlu dilakukan untuk
mencapai tingkat yang dipilih
Secara bersama-sama, pandangan tentang bagaimana TI dikelola dalam perusahaan
COBImodel T jatuh tempo fokus pada jatuh tempo, tetapi belum tentu pada cakupan dan
kedalaman kontrol. Mereka bukan angka yang berjuang, mereka juga tidak dirancang untuk
menjadi dasar formal untuk sertifikasi dengan tingkat diskrit yang menciptakan ambang batas
yang sulit untuk menyeberang. Namun, mereka dirancang untuk selalu berlaku, dengan
tingkat yang memberikan deskripsi suatu perusahaan dapat mengenali sebaik pas proses nya.
Tingkat yang tepat ditentukan oleh jenis perusahaan, lingkungan dan strategi.
Cakupan, kedalaman kontrol, dan bagaimana kemampuan digunakan dan disebarkan adalah
keputusan biaya-manfaat. Sebagai contoh, tingkat tinggi manajemen keamanan mungkin harus
difokuskan hanya pada sistem perusahaan yang paling kritis. Contoh lain akan menjadi pilihan
antara manual review mingguan dan kontrol otomatis terus menerus.
Akhirnya, sementara tingkat yang lebih tinggi kematangan peningkatan kontrol atas proses,
perusahaan masih perlu untuk menganalisis, berdasarkan risiko dan nilai driver, yang
mengendalikan mekanisme itu harus diterapkan. Bisnis dan TI tujuan generik didefinisikan dalam
kerangka kerja ini akan membantu dengan analisis ini. Mekanisme kontrol dipandu oleh COBIT
tujuan pengendalian dan fokus pada apa yang dilakukan dalam proses; model jatuh tempo
terutama fokus pada seberapa baik proses dikelola. Lampiran III menyediakan model jatuh
tempo generik yang menunjukkan status lingkungan pengendalian internal dan pembentukan
pengendalian internal dalam suatu perusahaan.
Sebuah lingkungan pengendalian diterapkan dengan benar dicapai ketika semua tiga aspek
kedewasaan (kemampuan, cakupan dan kontrol) telah ditangani. Meningkatkan jatuh tempo
mengurangi risiko dan meningkatkan efisiensi, yang mengarah ke kesalahan yang lebih
sedikit, proses lebih dapat diprediksi dan penggunaan biaya-sumber daya yang efisien.
PENGUKURAN KINERJA
19
Kesadaran Kebijakan, Alat dan Kema Tanggung Menetapka
dan
1 Pengakuan dari Ada ad Rencana
hoc pendekatan untukBeberapa
Otomasi alat Keterampilan
mpuan yang TidakJawab ada dan definisi n Tujuan
Tujuan yang tidak dan
kebutuhan
Komunika untuk dan
proses dan praktek. mungkin ada; dibutuhkan
dan untuk Akuntabilita
akuntabilitas dan jelas danPengukuran
tidak ada
prosessi ini muncul. Prosedur penggunaan proses keahli
yang tidak tanggung
s jawab. Orang pengukuran
Proses dan kebijakan didasarkan pada alat an
diidentifikasi. mengambil kepemilikan berlangsung.
Ada komunikasi yang tidak terdefinisi. desktop standar. masalah berdasarkan
Ada kesadaran
2 sporadis proses yang sama dan pendekatan persyaratan
Sebuah rencana Seorang individu Beberapa penetapan tujuan
masalah. terjadi; beberapa langkah-
akan kebutuhan umum muncul, namun umum untuk
Tidak ada pendekatan keterampilan
pelatihan tidak ada dan mengasumsikan
inisiatif mereka sendiri/
untuk bertindak. sebagian besar intuitif menggunakan minimum tanggung
secara reaktif. jawabnya langkah keuangan
karena keahlian yang direncanakan
alat-alat yang ada untuk tidak ada pelatihan
diidentifikasi untuk dan biasanya ditetapkan tetapi hanya
Manajemen individu. penggunaan alat.
tetapi didasarkan formal terjadi.
daerah-daerah kritis. bertanggung jawab, diketahui oleh manajemen
mengkomunikasikan pada solusi yang bahkan jika ini tidak senior. Ada pemantauan
masalah secara Beberapa aspek dari proses dikembangkan Pelatihan diberikan secara resmi konsisten di daerah
keseluruhan. yang berulang karena oleh individu dalam menanggapi disepakati. Ada terpencil.
3 Ada pemahaman Penggunaan
keahlian individu,
praktek dan Sebuah
kunci. rencana telah persyaratan bukan atas
kebutuhan, keterampilan tanggung
kebingungan proses
jawabtentang Beberapa tujuan efektivitas
tentang yang
beberapa muncul.
baik dokumentasi dan didefinisikan untuk didefinisikan
dasar rencana yangdan dan tanggung jawabakuntabilitas
bila dan langkah-langkah yang
kebutuhan untuk pemahaman Vendor
informal digunakan alatdan telah disepakati, dan
didokumentasikan untuk didefinisikan
terjadi masalah, dan dan ditetapkan, tetapi tidak
bertindak. Proses,
kebijakankebijakan dan
dan prosedur standarisasi
mungkin alattelah untuk pelatihan
semua daerah. informal pemilik proses telah dikomunikasikan, dan ada
prosedur yang ditetapkan budaya menyalahkan
mungkin ada. diperoleh,
mengotomatisasi namun tentang pekerjaan diidentifikasi.
cenderung Pemilik hubungan yang jelas dengan
Manajemen lebih dan didokumentasikan proses.
mungkin tidak Sebuah
terjadi. rencana proses tidak mungkin tujuan bisnis. proses
formal dan terstruktur untuk semua kegiatan pelatihan formal telah untuk eksis.
diterapkan dengan untuk memiliki otoritas pengukuran muncul, tetapi
20
dalam komunikasinya. kunci. Alat
benar, yang digunakan
dan bahkan dikembangkan, tetapi penuh untuk tidak diterapkan secara
4 Ada pemahaman Proses ini suara dan untuk
Alat tujuan
dilaksanakan
mungkin shelfware.dasar persyaratan formal
pelatihan keterampilan tanggung
melaksanakan proses
jawabtanggung Efisiensi
konsisten. IT ide balanced dan
tentang lengkap; praktik terbaik sesuai
mereka, tetapi dengan
mungkin secara
masih rutin berdasarkan
diperbarui danjawab. akuntabilitas efektivitas
scorecard sedangdiukur dan
diadopsi,
persyaratan internal yang rencana
tidak semua standar,sesuai inisiatif individual.
untuk semua bidang, diterima dan bekerja dikomunikasikan
seperti aplikasi intuitif dan
penuh. diterapkan. dan
denganbeberapa
rencanatelahyang kemampuan dipastikan dengan cara yang terkait dengan
sesekali analisis akar tujuan
terintegrasi
telah disepakati,
dengan dan untuk semua memungkinkan bisnis
penyebab. dan rencana
teknik komunikasi Semua aspek dari alat
mungkin lain yangtidak daerah kritis, dan pemilik proses untuk strategis TI. IT
matang diterapkan proses terkait.
terintegrasi satu sama sertifikasi sepenuhnya debit / Balanced Scorecard
dan alat komunikasi didokumentasikan lain. didorong. tanggung jawabnya. diimplementasikan
standar yang dan berulang. Alat yang Budaya pahala di di beberapa daerah
Gambar 15-Kematangan Atribut Tabel
digunakan.
5 Ada maju, ke kebijakan
praktik memiliki
terbaik digunakan
set alat standar dalam yang teknik
organisasipelatihan matang pemilik
formal tempat yang
proses dengan
Ada sistem pengecualian
pengukuran
depan disetujui
eksternal dan ditandatangani
dan bidang utama
digunakan di untuk seluruh yang
mendorongditerapkan sesuai memotivasi
perbaikan diberdayakan tindakan
untuk dicatat
kinerja yang terintegrasi oleh
yang
pemahaman oleh manajemen. standar
standar yang mengotomatisasi
perusahaan. dengan
terus-menerus positif.
rencana membuat keputusan manajemen
menghubungkan dan
kinerja
persyaratan. untuk
diterapkan. pengelolaan proses pelatihan,
keterampilan,dan berbagi dan
berdasarkan mengambil analisis
untuk tujuan bisnis TI akar
oleh
mengembangkan Alat
dan sepenuhnya
memantau pengetahuan didorong.
pada tujuan pribadi dan tindakan. Penerimaan penyebab
aplikasi sedang
global IT balanced
komunikasi proaktif dan
dokumentasimemelihara
proses terintegrasi
kegiatan kritisdengandan Semua
organisasi yang
ahli jelas.domain tanggung jawab telah standar.
scorecard. perbaikan
Pengecualian
isu berdasarkan tren berevolusi
proses untuk dan alur alat terkait
kontrol. lainnya internal terlibat, dan mengalir ke bawah di terus-menerus
secara global dan konsisten
ada, teknik kerja otomatis. Proses,
prosedur yang untuk mengaktifkan Pelatihan
efektivitasdan pendidikan seluruh organisasi muncul.
dicatat oleh manajemen dan
komunikasi dewasa kebijakandiadopsi dan prosedur
dan dukungan end-to-end dari rencana
dukungan praktik pelatihan
terbaik secara konsisten. analisis akar penyebab
yang diterapkan, dan yang diikuti. standar dan dari proses. eksternal
dinilai. dan penggunaan diterapkan. perbaikan terus-
alat-alat komunikasi terintegrasi untuk konsep terdepan dan menerus adalah
yang terintegrasi memungkinkan end-to- Alat yang digunakan teknik.
untuk mendukung jalan hidup.
yang digunakan. end manajemen dan berbagi pengetahuan adalah
perbaikan. perbaikan proses dan budaya perusahaan, dan sistem
secara otomatis berbasis pengetahuan sedang
Gol didefinisikan top-down di bahwa tujuan bisnis akan menentukan sejumlah tujuan IT untuk
mendukungnya. Sebuah gol IT dicapai oleh satu proses atau interaksi sejumlah proses. Oleh
karena itu, tujuan TI membantu menentukan tujuan proses yang berbeda. Pada gilirannya,
setiap tujuan proses membutuhkan sejumlah kegiatan, sehingga membentuk tujuan kegiatan.
Gambar 16 memberikan contoh bisnis, TI, proses dan aktivitas hubungan tujuan.
Istilah KGI dan KPI, yang digunakan dalam versi sebelumnya dari COBIT, telah diganti dengan dua
jenis metric :
1. Hasil tindakan, indikator tujuan sebelumnya key (KGIs), menunjukkan apakah tujuan
telah dipenuhi. Ini dapat diukur hanya setelah fakta dan, karena itu, disebut 'indikator lag'.
2. Indikator kinerja, indikator kinerja sebelumnya kunci (KPI), menunjukkan apakah tujuan
kemungkinan akan bertemu. Mereka dapat diukur sebelum hasilnya jelas dan, karena itu,
disebut 'indikator memimpin'.
Gambar 17 memberikan kemungkinan tujuan atau hasil tindakan untuk contoh yang
digunakan.
Langkah-langkah outome dari tingkat yang lebih rendah menjadi indikator kinerja untuk
tingkat yang lebih tinggi. Sesuai contoh pada gambar 16, merupakan ukuran hasil yang
menunjukkan bahwa deteksi dan resolusi akses yang tidak sah pada target juga akan
menunjukkan bahwa itu akan lebih mungkin bahwa layanan TI dapat menolak dan pulih dari
serangan. Artinya, ukuran hasil telah menjadi indikator kinerja untuk tujuan-tingkat yang lebih
tinggi. Gambar 18 menggambarkan bagaimana ukuran hasil misalnya menjadi metrik kinerja.
21
ukuran hasil menentukan langkah-langkah yang menginformasikan manajemen-setelah fakta-
apakah IT fungsi, proses atau kegiatan telah mencapai tujuannya. Ukuran hasil dari fungsi TI
sering dinyatakan dalam kriteria informasi:
Ketersediaan informasi yang diperlukan untuk mendukung kebutuhan bisnis
Tidak adanya integritas dan kerahasiaan risiko
Biaya-efisiensi proses dan operasi
Konfirmasi kehandalan, efektivitas dan kepatuhan
Indikator kinerja menentukan langkah-langkah yang menentukan seberapa baik bisnis, TI fungsi atau
proses TI tampil di memungkinkan tujuan yang akan dicapai. Mereka adalah indikator utama apakah
tujuan kemungkinan akan tercapai, sehingga mengemudi tujuan-tingkat yang lebih tinggi. Mereka sering
mengukur ketersediaan kemampuan yang tepat, praktek dan keterampilan, dan hasil dari kegiatan yang
mendasari. Sebagai contoh, sebuah layanan yang disampaikan oleh IT adalah tujuan untuk IT tapi
indikator kinerja dan kemampuan untuk bisnis. Inilah sebabnya mengapa indikator kinerja kadang-
kadang disebut sebagai driver kinerja, terutama dalam Scorecard seimbang.
Oleh karena itu, metrik disediakan keduanya merupakan ukuran hasil dari fungsi IT, IT
memproses atau kegiatan tujuan mereka mengukur, serta indikator kinerja mengemudi bisnis-
tingkat yang lebih tinggi, fungsi atau IT IT tujuan proses.
Gambar 19 mengilustrasikan hubungan antara bisnis, TI, proses dan aktivitas tujuan,
dan metrik yang berbeda. Dari kiri atas ke kanan atas, tujuan cascade diilustrasikan.
Berikut tujuannya adalah ukuran hasil untuk tujuan. Panah kecil menunjukkan bahwa
metrik yang sama adalah indikator kinerja untuk tujuan-tingkat yang lebih tinggi.
22
Contoh yang diberikan adalah dari DS5 Memastikan keamanan sistem. COBIT menyediakan
metrik hanya sampai IT gol hasil sebagaimana digambarkan oleh garis putus-putus.
Sementara mereka juga indikator kinerja untuk tujuan bisnis untuk TI, COBIT tidak
menyediakan ukuran hasil tujuan bisnis.
Bisnis dan TI tujuan yang digunakan dalam tujuan dan metrik bagian COBIT, termasuk hubungan
mereka, disediakan dalam I. lampiran Untuk setiap proses TI di COBIT, tujuan dan metrik disajikan, seperti yang
tercantum dalam angka 20.
Untuk meringkas, sumber daya TI dikelola oleh proses TI untuk mencapai tujuan yang merespon kebutuhan
bisnis TI. Ini adalah prinsip dasar dari COBIKerangka T, seperti yang digambarkan oleh COBIT
kubus (gambar 22).
Secara lebih rinci, secara keseluruhan COBIKerangka T dapat ditampilkan secara grafis,
seperti yang digambarkan dalam gambar 23, dengan COBImodel proses T dari empat domain
yang mengandung 34 proses generik, mengelola sumber daya TI untuk menyampaikan
informasi kepada bisnis sesuai dengan bisnis dan pemerintahan persyaratan.
COBIT didasarkan pada analisis dan harmonisasi standar TI yang ada dan praktek yang baik
dan sesuai dengan yang berlaku umum prinsip-prinsip tata kelola. Hal ini diposisikan pada
tingkat tinggi, didorong oleh kebutuhan bisnis, meliputi berbagai kegiatan TI, dan
berkonsentrasi pada apa yang harus dicapai bukan bagaimana untuk mencapai pemerintahan
yang efektif, manajemen dan kontrol. Oleh karena itu, bertindak sebagai integrator dari
24
praktik tata kelola TI dan menarik bagi manajemen eksekutif; bisnis dan manajemen TI;
pemerintahan, jaminan dan keamanan profesional; dan IT mengaudit dan kontrol profesional.
Hal ini dirancang untuk menjadi pelengkap, dan digunakan bersama-sama dengan, standar
lain dan praktik yang baik.
Pelaksanaan praktik yang baik harus konsisten dengan tata kelola dan kontrol kerangka kerja
perusahaan itu, sesuai untuk organisasi, dan terintegrasi dengan metode lain dan praktek-
praktek yang sedang digunakan. Standar dan praktek yang baik adalah bukan obat mujarab.
efektivitas mereka tergantung pada bagaimana mereka telah dilaksanakan dan terus up to date.
Mereka adalah paling berguna bila diterapkan sebagai seperangkat prinsip dan sebagai titik
awal untuk menjahit prosedur tertentu. Untuk menghindari praktek menjadi shelfware,
manajemen dan staf harus memahami apa yang harus dilakukan, bagaimana melakukannya dan
mengapa penting.
Untuk mencapai keselarasan dari praktik yang baik untuk kebutuhan bisnis, disarankan bahwa COBIT
digunakan pada tingkat tertinggi, menyediakan kerangka kerja pengendalian secara
keseluruhan berdasarkan model proses TI yang seharusnya umum jas setiap perusahaan.
praktik tertentu dan standar yang meliputi daerah diskrit dapat dipetakan sampai ke COBIT
kerangka, sehingga memberikan hirarki bahan bimbingan.
COBIT telah dikembangkan dan dipertahankan oleh, lembaga riset independen tidak-untuk-
profit, menggambar pada keahlian dari anggota asosiasi afiliasinya ini, pakar industri, dan
kontrol dan keamanan profesional. isinya didasarkan pada penelitian yang sedang
berlangsung dalam IT praktek yang baik dan terus dipertahankan, menyediakan sumber daya
yang obyektif dan praktis untuk semua jenis pengguna.
COBIT berorientasi pada tujuan dan ruang lingkup tata kelola TI, memastikan bahwa
kerangka kontrol komprehensif, sejalan dengan prinsip-prinsip tata kelola perusahaan dan,
oleh karena itu, diterima dewan, manajemen eksekutif, auditor dan regulator. Dalam lampiran
II, pemetaan disediakan menunjukkan bagaimana COBItujuan pengendalian T memetakan ke
lima bidang fokus tata kelola TI dan kegiatan pengendalian COSO.
25
Gambar 24 merangkum bagaimana berbagai elemen dari COBIT kerangka peta ke area
fokus tata kelola TI.
26
CARA MENGGUNAKAN BUKU
27
Ikhtisar Core COBIKomponen T / Ikhtisar Komponen COBIT Inti
COBIT kerangka diisi dengan komponen inti berikut, yang disediakan dalam sisa publikasi
ini dan diselenggarakan oleh 34 proses TI, memberikan gambaran lengkap tentang
bagaimana mengontrol, mengelola dan mengukur setiap proses. Setiap proses tercakup dalam
empat bagian, dan setiap bagian merupakan kira-kira satu halaman, sebagai berikut:
Bagian 1 (gambar 25) berisi deskripsi proses meringkas tujuan proses, dengan proses
deskripsi diwakili di air terjun. Halaman ini juga menunjukkan pemetaan proses untuk
kriteria informasi, sumber daya TI dan TI area fokus pemerintahan dengan cara P
untuk menunjukkan hubungan primer dan S untuk menunjukkan sekunder.
Bagian 2 berisi tujuan pengendalian untuk proses ini.
Bagian 3 berisi input proses dan output, RACI chart, tujuan dan metrik.
Bagian 4 berisi model jatuh tempo untuk proses tersebut.
Proses tertentu tertentu memiliki peran khusus tambahan khusus untuk proses, misalnya, meja
layanan / manager insiden untuk DS8.
Perlu dicatat bahwa sementara bahan yang dikumpulkan dari ratusan ahli, berikut penelitian
yang ketat dan review, input, output, tanggung jawab, metrik dan tujuan yang ilustratif tetapi
tidak preskriptif atau lengkap. Mereka menyediakan dasar pengetahuan ahli dari mana masing-
masing perusahaan harus memilih apa yang efisien dan efektif berlaku untuk itu berdasarkan
strategi perusahaan, tujuan dan kebijakan.
29
30
31
32
33
34
35
36