COBIT FRAMEWORK

AULIA : Merah

CILA : Ungu

ANIK : Kuning

MUH : Ijo

INDAH : Hitam

1
COBIT Mission:
Untuk meneliti, mengembangkan, mempublikasikan dan mempromosikan otoritatif, up-to-date, yang diterima secara
internasional IT kerangka pengendalian tata kelola untuk diadopsi oleh perusahaan dan penggunaan sehari-hari oleh manajer
bisnis, profesional TI dan profesional jaminan

KEBUTUHAN KERANGKA PENGENDALIAN TATA IT

Sebuah kerangka kontrol untuk tata kelola TI mendefinisikan alasan tata kelola TI yang dibutuhkan,
para pemangku kepentingan dan apa yang dibutuhkan untuk mencapai.
 Mengapa
Semakin, manajemen puncak adalah menyadari dampak yang signifikan bahwa
informasi dapat memiliki pada keberhasilan perusahaan. Manajemen mengharapkan tinggi
pemahaman tentang cara TI dioperasikan dan kemungkinan yang sedang memanfaatkan
berhasil untuk keunggulan kompetitif. Secara khusus, manajemen puncak perlu tahu apakah
informasi ini dikelola oleh perusahaan sehingga:
 Kemungkinan untuk mencapai tujuannya
 cukup Tangguh untuk belajar dan beradaptasi
 bijaksana mengelola risiko yang dihadapinya
 Tepat mengenali peluang dan bertindak atas mereka

Perusahaan yang sukses memahami risiko dan mengeksploitasi manfaat IT dan menemukan
cara untuk menangani:
 Menyelaraskan strategi TI dengan strategi bisnis
 Menjamin investor dan pemegang saham bahwa 'standar
care'around karena mengurangi risiko TI dipenuhi oleh
organisasi
 strategi TI Cascading dan gol ke perusahaan
 Mendapatkan nilai dari investasi TI
 Memberikan struktur organisasi yang memfasilitasi
pelaksanaan strategi dan tujuan
 Membuat hubungan yang konstruktif dan komunikasi yang
efektif antara bisnis dan TI, dan dengan mitra eksternal
 Mengukur kinerja TI

Perusahaan tidak dapat memberikan secara efektif terhadap

kebutuhan bisnis dan pemerintahan ini tanpa mengadopsi dan
menerapkan kerangka kerja tata kelola dan kontrol untuk IT untuk:
 Membuat link dengan kebutuhan bisnis
 Membuat kinerja terhadap persyaratan ini transparan
 Mengatur kegiatannya menjadi model proses yang berlaku
umum
 Mengidentifikasi sumber daya utama untuk dimanfaatkan
 Menentukan tujuan pengendalian manajemen untuk
dipertimbangkan
Selain itu, tata kelola dan pengendalian kerangka kerja yang menjadi
bagian dari praktek manajemen TI yang baik dan enabler untuk
membangun IT governance dan memenuhi terus meningkat
persyaratan peraturan.

IT praktek yang baik telah menjadi signifikan karena sejumlah

faktor:

2
  Manajer Bisnis dan papan menuntut hasil yang lebih baik
dari investasi TI, yaitu, bahwa IT memberikan apa yang
perlu bisnis untuk meningkatkan nilai stakeholder
 Keprihatinan atas tingkat umumnya meningkat pengeluaran
IT
 Kebutuhan untuk memenuhi persyaratan peraturan untuk IT
kontrol di berbagai bidang seperti privasi dan pelaporan
keuangan (misalnya, AS Sarbanes-Oxley Act, Basel II) dan
di sektor-sektor tertentu seperti keuangan, farmasi dan
kesehatan
 Pemilihan penyedia layanan dan pengelolaan jasa
outsourcing dan akuisisi
 Semakin kompleks yang berhubungan dengan IT risiko,
seperti keamanan jaringan
 inisiatif tata kelola TI yang mencakup adopsi kerangka
kontrol dan praktek-praktek yang baik untuk membantu
memantau dan meningkatkan kegiatan TI penting untuk
meningkatkan nilai bisnis dan mengurangi risiko bisnis
 Kebutuhan untuk mengoptimalkan biaya dengan mengikuti,
mana mungkin, standar, bukan khusus dikembangkan,
pendekatan
 The tumbuh dewasa dan konsekuen penerimaan kerangka
dianggap baik, seperti COBIT, IT Infrastructure Library (ITIL), seri
ISO 27000 tentang standar yang berhubungan dengan keamanan informasi,
ISO 9001: 2000 Quality Management System-Persyaratan, Capability
Maturity Model®Integrasi (CMMI), Proyek di Terkendali
Lingkungan 2 (PRINCE2) dan Sebuah Panduan untuk
PMBOK (PMBOK)
 Kebutuhan perusahaan untuk menilai bagaimana mereka
melakukan terhadap standar yang berlaku umum dan rekan-
rekan mereka (benchmarking)
 Siapa
Sebuah kerangka tata kelola dan pengendalian kebutuhan untuk melayani
berbagai pemangku kepentingan internal dan eksternal, yang masing-masing
memiliki kebutuhan khusus:
 Stakeholders dalam perusahaan yang memiliki kepentingan dalam
menghasilkan nilai dari investasi TI :
1. Mereka yang membuat keputusan investasi
2. Mereka yang memutuskan tentang persyaratan
3. Mereka yang menggunakan layanan TI
 internal dan stakeholders eksternal yang menyediakan layanan IT :
1. Mereka yang mengelola organisasi TI dan proses
2. Mereka yang mengembangkan kemampuan
3. Mereka yang mengoperasikan layanan
 internal dan stakeholders eksternal yang memiliki tanggung jawab kontrol
/ risiko :
1. Mereka yang keamanan, privasi dan / atau tanggung jawab risiko
2. Mereka fungsi kepatuhan melakukan
3. Mereka yang membutuhkan atau menyediakan jasa asuransi

3
  Apa
Untuk memenuhi persyaratan yang tercantum dalam bagian sebelumnya, kerangka kerja untuk tata
kelola TI dan kontrol harus :
 Memberikan fokus bisnis untuk memungkinkan keselarasan antara bisnis dan TI tujuan
 Menetapkan orientasi proses untuk menentukan ruang lingkup dan luasnya cakupan,
dengan struktur didefinisikan memungkinkan navigasi yang mudah dari konten
 Jadilah umumnya diterima dengan menjadi konsisten dengan diterima IT praktek
yang baik dan standar dan independen dari teknologi yang spesifik
 Pasokan bahasa yang sama dengan satu set istilah dan definisi yang secara umum
dipahami oleh semua pemangku kepentingan
 Membantu memenuhi persyaratan peraturan dengan menjadi konsisten dengan
standar tata kelola perusahaan yang berlaku umum (misalnya, COSO) dan
mengontrol diharapkan oleh regulator dan auditor eksternal

CARA COBIT MEMENUHI KEBUTUHAN

Menanggapi kebutuhan dijelaskan pada bagian sebelumnya, COBIT kerangka diciptakan
dengan karakteristik utama menjadi bisnis yang berfokus, proses-berorientasi, kontrol berbasis dan
pengukuran-driven.

 Bisnis yang berfokus

orientasi bisnis adalah tema utama COBIT. Hal ini dirancang tidak hanya untuk dipekerjakan oleh
penyedia layanan TI, pengguna dan auditor, tetapi juga, dan yang lebih penting, untuk memberikan bimbingan yang
komprehensif untuk manajemen dan proses bisnis pemilik.

COBIT kerangka kerja didasarkan pada prinsip berikut (gambar 5):

Untuk memberikan informasi bahwa perusahaan membutuhkan untuk mencapai tujuannya, perusahaan
perlu untuk berinvestasi dalam dan mengelola dan mengendalikan sumber daya TI menggunakan satu set
terstruktur proses untuk memberikan layanan yang memberikan informasi perusahaan yang diperlukan.

Mengelola dan mengendalikan informasi adalah jantung dari COBIKerangka T dan membantu
memastikan keselarasan dengan kebutuhan bisnis.

COBIKRITERIA INFORMASI T'S

4
 Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria kontrol tertentu, yang COBIT sebut
sebagai kebutuhan bisnis untuk informasi. Berdasarkan kualitas yang lebih luas, persyaratan
fidusia dan keamanan, tujuh, tentu tumpang tindih, kriteria informasi yang berbeda
didefinisikan sebagai berikut :
 Efektivitas berkaitan dengan informasi yang relevan dan berkaitan dengan proses
bisnis serta yang disampaikan pada waktu yang tepat, benar, konsisten dan dapat
digunakan.
 Efisiensi menyangkut penyediaan informasi melalui optimal (paling produktif dan
ekonomis) penggunaan sumber daya
 Kerahasiaan menyangkut perlindungan informasi sensitif dari pengungkapan yang
tidak sah.

 Integritas berkaitan dengan akurasi dan kelengkapan informasi serta validitasnya

sesuai dengan nilai-nilai bisnis dan harapan.
 Ketersediaan berkaitan dengan informasi yang tersedia ketika dibutuhkan oleh
proses bisnis sekarang dan di masa depan. Hal ini juga menyangkut pengamanan
sumber daya yang diperlukan dan kemampuan yang terkait.
 Kepatuhan penawaran dengan mematuhi undang-undang, peraturan dan
pengaturan kontrak yang proses bisnis tunduk, yaitu, dikenakan eksternal
kriteria bisnis serta kebijakan internal.
 Keandalan berkaitan dengan penyediaan informasi yang tepat bagi manajemen untuk
mengoperasikan entitas dan latihan fidusia dan pemerintahan tanggung jawabnya.

TUJUAN BISNIS DAN TUJUAN IT

Sementara kriteria informasi menyediakan metode umum untuk mendefinisikan

kebutuhan bisnis, mendefinisikan satu set bisnis generik dan tujuan TI menyediakan bisnis
terkait dan lebih halus dasar untuk membangun kebutuhan bisnis dan mengembangkan metrik
yang memungkinkan pengukuran terhadap tujuan-tujuan tersebut. Setiap perusahaan
menggunakan IT untuk memungkinkan inisiatif bisnis, dan ini dapat direpresentasikan sebagai
tujuan bisnis untuk TI. Lampiran I menyediakan matriks tujuan bisnis generik dan tujuan TI
dan menunjukkan bagaimana mereka memetakan dengan kriteria informasi. Contoh-contoh
generik dapat digunakan sebagai panduan untuk menentukan bisnis yang spesifik persyaratan,
tujuan dan metrik untuk perusahaan.

Jika TI adalah untuk berhasil memberikan layanan untuk mendukung strategi

perusahaan itu, harus ada kepemilikan yang jelas dan arah persyaratan oleh bisnis (pelanggan)
dan pemahaman yang jelas tentang apa yang perlu disampaikan, dan bagaimana, dengan IT
(penyedia ). Gambar 6 menggambarkan bagaimana strategi perusahaan harus diterjemahkan
oleh bisnis menjadi tujuan yang terkait dengan inisiatif IT-enabled (tujuan bisnis untuk TI).
Tujuan-tujuan ini harus mengarah pada definisi yang jelas tentang tujuan TI sendiri (tujuan
TI), yang pada gilirannya menentukan sumber daya TI dan kemampuan (arsitektur enterprise
untuk IT) yang diperlukan untuk berhasil melaksanakan IT bagian dari strategi perusahaan.1

5
Setelah gol selaras sudah ditetapkan, mereka perlu dipantau untuk memastikan bahwa
pengiriman harapan pertandingan yang sebenarnya. Hal ini dicapai dengan metrik yang
berasal dari tujuan dan ditangkap di sebuah scorecard IT.

Bagi pelanggan untuk memahami tujuan IT dan IT scorecard, semua tujuan dan metrik terkait harus
dinyatakan dalam istilah bisnis yang berarti kepada pelanggan. Ini, dikombinasikan dengan keselarasan
efektif dari hirarki tujuan, akan memastikan bahwa bisnis dapat mengkonfirmasi bahwa TI cenderung
mendukung tujuan perusahaan.

Lampiran I, Tabel Menghubungkan Tujuan dan Proses, memberikan pandangan global

bagaimana generik tujuan bisnis berhubungan dengan IT tujuan, proses TI dan kriteria
informasi. Tabel membantu menunjukkan ruang lingkup COBIT dan hubungan bisnis
secara keseluruhan antara COBIT dan perusahaan driver. Seperti gambar 6
menggambarkan, driver ini berasal dari bisnis dan dari lapisan pemerintahan dari
perusahaan, mantan lebih fokus pada fungsi dan kecepatan pengiriman, yang terakhir lebih
pada efisiensi biaya, laba atas investasi (ROI) dan kepatuhan.

SUMBER IT

Organisasi TI memberikan terhadap tujuan ini dengan satu set yang jelas dari proses yang
menggunakan keterampilan orang dan infrastruktur teknologi untuk menjalankan aplikasi
bisnis otomatis sementara memanfaatkan informasi bisnis. Sumber daya ini, bersama-sama
dengan proses, merupakan suatu arsitektur enterprise untuk IT, seperti yang ditunjukkan
pada gambar 6.

Untuk menanggapi kebutuhan bisnis untuk TI, perusahaan perlu untuk berinvestasi dalam sumber daya yang
diperlukan untuk membuat kemampuan teknis yang memadai (misalnya, perencanaan sumber daya
perusahaan [ERP] sistem) untuk mendukung kemampuan bisnis (misalnya, menerapkan supply chain) yang
dihasilkan dalam hasil yang diinginkan (misalnya, peningkatan penjualan dan keuntungan finansial).

Sumber daya TI diidentifikasi di COBIT dapat didefinisikan sebagai berikut :

 Aplikasi adalah sistem pengguna otomatis dan manual prosedur yang memproses
informasi.
 Informasi adalah data, dalam segala bentuknya, input, diproses dan output oleh
sistem informasi dalam bentuk apapun yang digunakan oleh bisnis.

6
  Infrastruktur adalah teknologi dan fasilitas (yaitu, hardware, sistem operasi, sistem
manajemen database, jaringan, multimedia, dan lingkungan yang rumah dan
mendukung mereka) yang memungkinkan pengolahan aplikasi.
 Orang-orang personil yang dibutuhkan untuk merencanakan, mengatur,
memperoleh, melaksanakan, menyampaikan, dukungan, memantau dan
mengevaluasi sistem informasi dan layanan. Mereka mungkin internal, outsourcing
atau kontrak seperti yang diperlukan.

Gambar 7 merangkum bagaimana tujuan bisnis untuk TI mempengaruhi

bagaimana sumber daya TI perlu dikelola oleh proses IT untuk
menyampaikan TI gol.

 Berorientasi proses

COBIT mendefinisikan kegiatan IT dalam model proses generik dalam waktu empat domain.
Domain ini adalah Rencana dan Mengatur, Memperoleh dan Melaksanakan, Memberikan
dan Dukungan, dan Monitor dan Evaluasi. Domain peta ke TI daerah tanggung jawab
tradisional rencana, membangun, menjalankan dan memantau.

COBIT kerangka menyediakan model proses referensi dan bahasa umum untuk semua orang
dalam suatu perusahaan untuk melihat dan mengelola kegiatan IT. Menggabungkan model
operasional dan bahasa umum untuk semua bagian dari bisnis yang terlibat dalam IT adalah
salah satu langkah yang paling penting dan awal menuju pemerintahan yang baik. Hal ini
juga menyediakan kerangka kerja untuk mengukur dan memantau kinerja IT, berkomunikasi
dengan penyedia layanan dan mengintegrasikan praktek manajemen terbaik. Sebuah model
proses mendorong kepemilikan proses, memungkinkan tanggung jawab dan akuntabilitas
untuk didefinisikan.

Untuk mengatur IT secara efektif, penting untuk menghargai kegiatan dan risiko dalam IT yang perlu dikelola.
Mereka biasanya memerintahkan ke dalam domain tanggung jawab merencanakan, membangun, menjalankan
dan memantau. Dalam COBIT kerangka, domain ini, seperti yang ditunjukkan pada gambar 8,
disebut :

7
  Merencanakan dan Mengatur (PO)-Menyediakan arah untuk pengiriman solusi (AI)
dan pelayanan (DS)
 Memperoleh dan Melaksanakan (AI)-Menyediakan solusi dan melewati mereka akan
berubah menjadi layanan
 Memberikan dan Dukungan (DS) -Receives solusi dan membuat mereka dapat
digunakan untuk pengguna akhir
 Memantau dan Mengevaluasi (ME) -Monitors semua proses untuk memastikan
bahwa arah disediakan diikuti

RENCANA DAN BERORGANISASI (PO)

Domain ini mencakup strategi dan taktik, dan menyangkut identifikasi cara TI
terbaik dapat memberikan kontribusi pada pencapaian bisnis tujuan. Realisasi dari
visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif
yang berbeda. Sebuah organisasi yang tepat serta infrastruktur teknologi harus
diletakkan di tempat. domain ini biasanya membahas pertanyaan-pertanyaan
manajemen berikut :
 Apakah IT dan strategi bisnis selaras?
 Apakah perusahaan mencapai penggunaan optimal dari sumber daya?
 Apakah setiap orang dalam organisasi memahami tujuan TI?
 Apakah IT risiko dipahami dan dikelola?
 Apakah kualitas sistem TI yang sesuai untuk kebutuhan bisnis?

AKUISISI DAN MELAKSANAKAN (AI) / ACQUIRE AND IMPLEMENT (AI)

Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan
pemeliharaan sistem yang ada ditutupi oleh domain ini untuk memastikan solusi terus memenuhi
tujuan bisnis. domain ini biasanya membahas pertanyaan-pertanyaan manajemen berikut :
 Apakah proyek baru cenderung memberikan solusi yang memenuhi
kebutuhan bisnis?
 Apakah proyek baru kemungkinan akan dikirimkan tepat waktu dan
sesuai anggaran?
 Apakah sistem baru bekerja dengan baik ketika diimplementasikan?
 perubahan Will dilakukan tanpa mengganggu operasi bisnis saat ini?

MEMBERIKAN DAN DUKUNGAN (DS)

8
 Domain ini berkaitan dengan pengiriman aktual dari layanan yang dibutuhkan, yang meliputi
pelayanan, pengelolaan keamanan dan kontinuitas, dukungan layanan untuk pengguna, dan
pengelolaan data dan fasilitas operasional. Ini biasanya membahas pertanyaan-pertanyaan
manajemen berikut:
 Apakah layanan TI yang disampaikan sejalan dengan prioritas bisnis?
 Apakah biaya TI dioptimalkan?
 Apakah tenaga kerja dapat menggunakan sistem IT produktif dan aman?
 Apakah yang memadai kerahasiaan, integritas dan ketersediaan di tempat untuk
keamanan informasi?

MONITOR DAN EVALUASI (ME)

Semua proses TI perlu dinilai secara berkala dari waktu ke waktu untuk kualitas dan kepatuhan
mereka dengan persyaratan kontrol. domain ini membahas manajemen kinerja, pemantauan
pengendalian internal, kepatuhan terhadap peraturan dan tata kelola. Ini biasanya membahas
pertanyaan-pertanyaan manajemen berikut:
 Apakah IT yang kinerja diukur untuk mendeteksi masalah sebelum terlambat?
 Apakah manajemen memastikan bahwa pengendalian internal yang efektif dan
efisien?
 Dapat IT kinerja dihubungkan kembali ke tujuan bisnis?
 Apakah yang memadai kerahasiaan, integritas dan ketersediaan kontrol di tempat
untuk keamanan informasi?
Di empat domain tersebut, COBIT telah mengidentifikasi 34 proses TI yang umumnya
digunakan (lihat gambar 22 untuk daftar lengkap). Sementara sebagian besar perusahaan
telah menyelenggarakan program, membangun, menjalankan dan memantau tanggung jawab
untuk IT, dan sebagian besar memiliki proses kunci yang sama, beberapa akan memiliki
struktur proses yang sama atau menerapkan semua 34 COBIproses T. COBIT menyediakan
daftar lengkap proses yang dapat digunakan untuk memverifikasi kelengkapan kegiatan dan
tanggung jawab; Namun, mereka tidak perlu semua berlaku, dan, bahkan lebih, mereka dapat
dikombinasikan seperti yang dipersyaratkan oleh masing-masing perusahaan.

Untuk setiap 34 proses ini, link dibuat untuk tujuan bisnis dan TI yang didukung. Informasi tentang
bagaimana tujuan dapat diukur, apa kegiatan kunci dan point utama yang, dan siapa yang bertanggung
jawab untuk mereka juga disediakan.

 Kontrol berbasis

COBIT mendefinisikan tujuan pengendalian untuk semua 34 proses, serta proses menyeluruh
dan kontrol aplikasi.

PROSES PERLU KONTROL

Kontrol didefinisikan sebagai kebijakan, prosedur, praktek dan struktur organisasi yang
dirancang untuk memberikan keyakinan memadai bahwa tujuan bisnis akan dicapai dan acara
yang tidak diinginkan akan dicegah atau dideteksi dan dikoreksi.

tujuan pengendalian TI memberikan satu set lengkap persyaratan tingkat tinggi untuk
dipertimbangkan oleh manajemen untuk kontrol yang efektif dari setiap proses TI. Mereka:
 Apakah laporan tindakan manajerial untuk meningkatkan nilai atau mengurangi risiko
 Terdiri dari kebijakan, prosedur, praktek dan struktur organisasi
 Apakah yang dirancang untuk memberikan keyakinan memadai bahwa tujuan bisnis
akan dicapai dan acara yang tidak diinginkan akan dicegah atau dideteksi dan
dikoreksi

manajemen perusahaan perlu membuat pilihan relatif terhadap tujuan pengendalian ini dengan :
9
  Memilih orang-orang yang berlaku
 Memutuskan pada mereka yang akan dilaksanakan
 Memilih bagaimana menerapkan mereka (frekuensi, span, otomatisasi, dll)
 Menerima risiko tidak menerapkan mereka yang mungkin berlaku

Bimbingan dapat diperoleh dari model kontrol standar yang ditunjukkan pada gambar 9. Ini
mengikuti prinsip-prinsip jelas dalam analogi ini: Ketika suhu kamar (standar) untuk sistem
pemanas (proses) diatur, sistem akan terus memeriksa (membandingkan) ruangan sekitar suhu
(kontrol informasi) dan akan sinyal (tindakan) sistem pemanas untuk memberikan lebih atau
kurang panas.

Manajemen operasional menggunakan proses untuk mengatur dan mengelola kegiatan IT

yang sedang berlangsung. COBIT menyediakan model proses generik yang mewakili semua
proses biasanya ditemukan dalam fungsi IT, menyediakan model referensi umum dipahami
operasional TI dan bisnis manajer. Untuk mencapai pemerintahan yang efektif, kontrol harus
dilaksanakan oleh manajer operasional dalam kerangka kontrol ditetapkan untuk semua
proses IT. Sejak COBItujuan pengendalian TI T yang diselenggarakan oleh proses IT,
kerangka memberikan link yang jelas antara persyaratan tata kelola TI, proses TI dan kontrol
TI.

Masing-masing dari COBIproses IT T memiliki deskripsi proses dan sejumlah tujuan

pengendalian. Secara keseluruhan, mereka adalah karakteristik proses yang dikelola dengan
baik.

Tujuan pengendalian diidentifikasi oleh dua karakter referensi domain (PO, AI, DS dan ME)
ditambah sejumlah proses dan sejumlah tujuan kontrol. Selain tujuan kontrol, masing-masing
COBIProses T memiliki persyaratan kontrol generik yang diidentifikasi oleh PCN, untuk
nomor kontrol proses. Mereka harus dipertimbangkan bersama-sama dengan tujuan kontrol
proses untuk memiliki pandangan lengkap persyaratan kontrol.

Tujuan Proses PC1 dan Tujuan

Mendefinisikan dan berkomunikasi spesifik, terukur, dapat ditindaklanjuti, realistis,

berorientasi pada hasil yang tepat waktu tujuan (SMARRT) proses dan tujuan untuk

10
pelaksanaan yang efektif dari setiap proses TI dan. Memastikan bahwa mereka terkait dengan
tujuan bisnis dan didukung oleh metrik yang sesuai.

Kepemilikan Proses PC2

Menetapkan pemilik untuk setiap proses IT, dan jelas mendefinisikan peran dan tanggung
jawab dari pemilik proses. Termasuk, misalnya, tanggung jawab untuk desain proses, interaksi
dengan proses lainnya, akuntabilitas untuk hasil akhir, pengukuran kinerja proses dan
identifikasi peluang perbaikan.

Proses PC3 Repeatability

Desain dan membangun setiap proses IT utama seperti bahwa itu adalah berulang dan
konsisten menghasilkan hasil yang diharapkan. Menyediakan untuk urutan logis tapi fleksibel
dan scalable kegiatan yang akan mengarah pada hasil yang diinginkan dan cukup gesit untuk
menangani pengecualian dan keadaan darurat. Menggunakan proses yang konsisten, di mana
mungkin, dan penjahit hanya ketika tidak dapat dihindari.

Peran dan Tanggung Jawab PC4

Mendefinisikan kegiatan kunci dan kiriman akhir proses. Menetapkan dan mengkomunikasikan
peran dan tanggung jawab ambigu untuk pelaksanaan yang efektif dan efisien dari kegiatan
utama dan dokumentasi mereka serta akuntabilitas untuk kiriman proses akhir.

PC5 Kebijakan, Rencana dan Prosedur

Mendefinisikan dan mengkomunikasikan bagaimana semua kebijakan, rencana dan prosedur

yang mendorong proses IT didokumentasikan, Ulasan, dipelihara, disetujui, disimpan,
dikomunikasikan dan digunakan untuk pelatihan. Menetapkan tanggung jawab untuk setiap
kegiatan dan, pada waktu yang tepat, meninjau apakah mereka dieksekusi dengan benar.
Memastikan bahwa kebijakan, rencana dan prosedur dapat diakses, benar, dipahami dan up to
date.

PC6 Peningkatan Kinerja Proses

Mengidentifikasi satu set metrik yang memberikan wawasan ke dalam hasil dan kinerja proses.
Menetapkan target yang mencerminkan pada tujuan proses dan indikator kinerja yang
memungkinkan pencapaian tujuan proses. Mendefinisikan bagaimana data yang akan
diperoleh. Bandingkan pengukuran sebenarnya untuk target dan mengambil tindakan atas
penyimpangan, di mana diperlukan. Menyelaraskan metrik, target dan metode dengan TI
pendekatan pemantauan kinerja secara keseluruhan.

Kontrol yang efektif mengurangi risiko, meningkatkan kemungkinan pengiriman nilai dan
meningkatkan efisiensi karena akan ada lebih sedikit kesalahan dan pendekatan manajemen
yang lebih konsisten.

Selain itu, COBIT memberikan contoh untuk setiap proses yang ilustratif, tapi tidak
preskriptif atau lengkap, dari:

 input Generik dan output

 Kegiatan dan pedoman tentang peran dan tanggung jawab dalam (RACI) grafik
Bertanggung Jawab, Akuntabel, Dikonsultasikan dan Informed
11
  aktivitas Key tujuan (hal yang paling penting untuk dilakukan)
 Metrik

Selain menghargai apa yang diperlukan kontrol, pemilik proses perlu memahami masukan apa
yang mereka butuhkan dari orang lain dan apa yang orang lain butuhkan dari proses mereka.
COBIT menyediakan contoh generik input kunci dan output untuk setiap proses, termasuk
persyaratan TI eksternal. Ada beberapa output yang input ke semua proses lainnya, ditandai
sebagai 'ALL'in tabel output, tetapi mereka tidak disebutkan sebagai masukan dalam semua
proses, dan biasanya mencakup standar kualitas dan persyaratan metrik, kerangka proses IT,
peran didokumentasikan dan tanggung jawab, kerangka kontrol TI perusahaan, kebijakan TI,
dan peran personil dan tanggung jawab.

Memahami peran dan tanggung jawab untuk setiap proses adalah kunci untuk pemerintahan
yang efektif. COBIT menyediakan grafik RACI untuk setiap proses. Akuntabel berarti 'uang
berhenti here'-ini adalah orang yang memberikan arahan dan kewenangan suatu kegiatan.
Tanggung jawab tersebut diberikan untuk orang yang mendapat tugas dilakukan. Dua peran
lain (dikonsultasikan dan memberitahu) memastikan bahwa setiap orang yang perlu terlibat
dan mendukung proses.

BISNIS DAN IT KONTROL

Sistem perusahaan itu kontrol internal dampak TI pada tiga tingkatan :

 Pada tingkat manajemen eksekutif, tujuan bisnis ditetapkan, kebijakan ditetapkan dan
keputusan dibuat tentang bagaimana untuk menyebarkan dan mengelola sumber daya
perusahaan untuk menjalankan strategi perusahaan. Pendekatan secara keseluruhan
untuk tata kelola dan kontrol didirikan oleh dewan dan dikomunikasikan di seluruh
perusahaan. Lingkungan pengendalian TI diarahkan oleh ini tingkat atas set tujuan
dan kebijakan.
 Pada tingkat proses bisnis, kontrol diterapkan untuk kegiatan bisnis tertentu.
Kebanyakan proses bisnis yang otomatis dan terintegrasi dengan sistem aplikasi IT,
sehingga banyak dari kontrol pada tingkat ini yang otomatis juga. Kontrol ini dikenal
sebagai kontrol aplikasi. Namun, beberapa kontrol dalam proses bisnis tetap sebagai
prosedur manual, seperti otorisasi untuk transaksi, pemisahan tugas dan rekonsiliasi
manual. Oleh karena itu, kontrol pada tingkat proses bisnis adalah kombinasi dari
kontrol manual dioperasikan oleh bisnis dan bisnis dan aplikasi otomatis kontrol.
Kedua adalah tanggung jawab bisnis untuk mendefinisikan dan mengelola, meskipun
kontrol aplikasi membutuhkan fungsi IT untuk mendukung desain dan pengembangan
mereka.
 Untuk mendukung proses bisnis, TI menyediakan layanan TI, biasanya dalam layanan
bersama untuk banyak proses bisnis, karena banyak pembangunan dan operasional
proses IT disediakan untuk seluruh perusahaan, dan banyak dari infrastruktur TI
disediakan sebagai layanan umum (misalnya, jaringan, database, sistem operasi dan
penyimpanan). Yang diterapkan untuk semua kegiatan layanan TI kontrol dikenal
sebagai IT kontrol umum. Keandalan operasi ini kontrol umum diperlukan untuk
ketergantungan untuk ditempatkan di kontrol aplikasi. Sebagai contoh, manajemen
perubahan yang buruk bisa membahayakan (sengaja atau sengaja) keandalan
pemeriksaan integritas otomatis.

IT KONTROL UMUM DAN KONTROL APLIKASI

Kontrol umum adalah kontrol tertanam dalam proses TI dan layanan. Contohnya termasuk:
 Sistem pengembangan
 Manajemen perubahan
 Keamanan
12
  operasi Komputer
Kontrol tertanam dalam aplikasi proses bisnis yang sering disebut sebagai kontrol aplikasi.
Contohnya termasuk :
 Kelengkapan
 Akurasi
 Validitas
 Otorisasi
 Pemisahan tugas

COBIT mengasumsikan desain dan implementasi pengendalian aplikasi otomatis menjadi

tanggung jawab IT, tercakup dalam Acquire dan Melaksanakan domain, berdasarkan
kebutuhan bisnis didefinisikan dengan menggunakan COBIKriteria informasi T, seperti yang
ditunjukkan pada gambar 10. operasional pengelolaan dan pengendalian tanggung jawab untuk
kontrol aplikasi tidak dengan IT, tapi dengan pemilik proses bisnis.

Oleh karena itu, tanggung jawab untuk kontrol aplikasi yang end-to-end tanggung jawab
bersama antara bisnis dan TI, tetapi sifat dari perubahan tanggung jawab sebagai berikut :
 bisnis bertanggung jawab untuk benar :
1. Tentukan kebutuhan fungsional dan kontrol
2. Gunakan layanan otomatis
 IT bertanggung jawab untuk:
1. otomatis dan melaksanakan bisnis fungsional dan kontrol persyaratan
2. Menetapkan kontrol untuk menjaga integritas kontrol aplikasi
Oleh karena itu, COBIproses IT T menutupi umum mengontrol IT, tetapi hanya aspek-aspek
pengembangan kontrol aplikasi; tanggung jawab untuk definisi dan penggunaan operasional
dengan bisnis.

Daftar berikut menyediakan satu set direkomendasikan tujuan pengendalian aplikasi.

Mereka diidentifikasi oleh ACN, untuk nomor kontrol aplikasi.

AC1 Sumber Persiapan Data dan Otorisasi

13
 Memastikan bahwa sumber dokumen yang disiapkan oleh petugas yang berwenang dan
berkualitas mengikuti prosedur yang ditetapkan, dengan memperhitungkan pembagian
tugas yang memadai mengenai originasi dan persetujuan dokumen-dokumen ini.
Kesalahan dan kelalaian dapat diminimalkan melalui desain form input yang baik.
Mendeteksi kesalahan dan penyimpangan sehingga mereka dapat dilaporkan dan
diperbaiki.

Pengumpulan Data AC2 Sumber dan Masuk

Menetapkan bahwa input data dilakukan pada waktu yang tepat oleh staf yang
berwenang dan berkualitas. Koreksi dan resubmission data yang keliru masukan harus
dilakukan tanpa mengorbankan tingkat otorisasi transaksi asli. Apabila diperlukan untuk
rekonstruksi, mempertahankan dokumen sumber asli untuk jumlah waktu yang tepat.

AC3 Akurasi, Kelengkapan dan Keaslian Cek

Memastikan bahwa transaksi yang akurat, lengkap dan valid. Memvalidasi data yang
masukan, dan mengedit atau mengirim kembali untuk koreksi sebagai dekat dengan titik
originasi mungkin.

AC4 Pengolahan Integritas dan Validitas

Menjaga integritas dan validitas data sepanjang siklus pengolahan. Deteksi transaksi
yang keliru tidak mengganggu proses transaksi yang sah.

AC5 Keluaran Ulasan, Rekonsiliasi dan Penanganan Kesalahan

Menetapkan prosedur dan tanggung jawab terkait untuk memastikan output yang
ditangani dengan cara yang berwenang, dikirim ke penerima yang tepat, dan dilindungi
selama transmisi; verifikasi, deteksi dan koreksi akurasi output terjadi; dan bahwa
informasi yang diberikan dalam output digunakan.

AC6 Transaksi Otentikasi dan Integritas

Sebelum melewati data transaksi antara aplikasi internal dan bisnis / fungsi operasional
(di atau di luar perusahaan), memeriksa untuk tepat menangani, keaslian asal dan
integritas konten. Menjaga keaslian dan integritas selama transmisi atau transportasi.

 Pengukuran-driven/ MEASUREMENT DRIVEN

Sebuah kebutuhan dasar bagi setiap perusahaan adalah untuk memahami status sistem TI
sendiri dan untuk memutuskan apa tingkat manajemen dan mengendalikan perusahaan harus
menyediakan. Untuk menentukan tingkat yang tepat, manajemen harus bertanya pada diri
sendiri: Seberapa jauh kita harus pergi, dan biaya dibenarkan oleh manfaat?

Memperoleh pandangan objektif dari tingkat kinerja suatu perusahaan sendiri tidak mudah. Apa
yang harus diukur dan bagaimana? Perusahaan perlu untuk mengukur di mana mereka berada
dan di mana perbaikan diperlukan, dan menerapkan kit alat manajemen untuk memantau
perbaikan ini. COBIT berhubungan dengan masalah ini dengan menyediakan:
 model Maturity untuk memungkinkan pembandingan dan identifikasi perbaikan
kemampuan yang diperlukan

14
  gol Kinerja dan metrik untuk proses IT, menunjukkan bagaimana proses memenuhi
bisnis dan TI tujuan dan digunakan untuk mengukur kinerja proses internal
berdasarkan prinsip-prinsip balanced scorecard
 gol Kegiatan untuk memungkinkan kinerja proses yang efektif

MODEL KEMATANGAN

manajer senior di perusahaan perusahaan dan masyarakat semakin diminta untuk

mempertimbangkan seberapa baik IT dikelola. Menanggapi ini, kasus bisnis membutuhkan
pengembangan untuk perbaikan dan mencapai tingkat yang tepat dari manajemen dan kontrol
atas infrastruktur informasi. Sementara beberapa akan berpendapat bahwa ini bukan hal yang
baik, mereka perlu mempertimbangkan keseimbangan biaya-manfaat dan pertanyaan-
pertanyaan terkait:
 Apakah rekan-rekan industri kami lakukan, dan bagaimana kita ditempatkan dalam
kaitannya dengan mereka?
 Apa yang dapat diterima praktik industri yang baik, dan bagaimana kita ditempatkan
sehubungan dengan praktik ini?
 Berdasarkan perbandingan tersebut, kita bisa dikatakan cukup lakukan?
 Bagaimana kita mengidentifikasi apa yang perlu dilakukan untuk mencapai tingkat
yang memadai manajemen dan kontrol atas proses TI kami?
Ini bisa sulit untuk memasok jawaban yang bermakna untuk pertanyaan ini. manajemen TI
adalah terus-menerus mencari untuk pembandingan dan penilaian diri alat dalam menanggapi
kebutuhan untuk mengetahui apa yang harus dilakukan dengan cara yang efisien. Mulai dari
COBIproses T, pemilik proses harus dapat secara bertahap patokan terhadap bahwa tujuan
kontrol. Ini menanggapi tiga kebutuhan:
1. Ukuran relatif dari mana perusahaan adalah
2. cara untuk efisien memutuskan mana harus pergi
3. Sebuah alat untuk mengukur kemajuan terhadap tujuan
pemodelan jatuh tempo untuk manajemen dan kontrol atas proses TI didasarkan pada metode
untuk mengevaluasi organisasi, sehingga dapat dinilai dari tingkat kematangan tidak ada (0)
untuk dioptimalkan (5). Pendekatan ini berasal dari model jatuh tempo bahwa Software
Engineering Institute (SEI) yang ditetapkan untuk kematangan kemampuan pengembangan
perangkat lunak. Meskipun konsep pendekatan SEI diikuti, COBIimplementasi T berbeda
jauh dari aslinya SEI, yang berorientasi pada prinsip-prinsip rekayasa perangkat lunak
produk, organisasi berjuang untuk keunggulan di daerah-daerah dan penilaian formal tingkat
kematangan sehingga pengembang perangkat lunak dapat 'bersertifikat'. dalam COBIT, definisi
generik disediakan untuk COBIT skala kematangan, yang mirip dengan CMM tetapi ditafsirkan
untuk sifat COBIproses manajemen TI T. Sebuah model tertentu disediakan dari skala generik
ini untuk masing-masing COBIT 34 proses. Apapun model, timbangan tidak boleh terlalu
granular, seperti yang akan membuat sistem sulit untuk menggunakan dan menyarankan presisi
yang tidak dibenarkan karena pada umumnya, tujuannya adalah untuk mengidentifikasi di mana
isu-isu dan bagaimana untuk menetapkan prioritas untuk perbaikan. Tujuannya bukan untuk
menilai tingkat kepatuhan terhadap tujuan pengendalian.
Tingkat kematangan dirancang sebagai profil dari proses TI bahwa perusahaan akan mengakui
sebagai deskripsi dari kemungkinan negara saat ini dan masa depan. Mereka tidak dirancang
untuk digunakan sebagai model threshold, di mana seseorang tidak dapat pindah ke tingkat
yang lebih tinggi tanpa memenuhi semua kondisi dari tingkat yang lebih rendah. dengan
COBImodel jatuh tempo T, tidak seperti pendekatan SEI CMM asli, tidak ada niat untuk
mengukur tingkat tepat atau mencoba untuk menyatakan bahwa tingkat telah tepat terpenuhi.
ACOBIpenilaian T jatuh tempo kemungkinan akan menghasilkan profil di mana kondisi
yang relevan dengan beberapa tingkat kematangan akan terpenuhi, seperti yang ditunjukkan
pada contoh grafik pada gambar 11.

15
Hal ini karena ketika menilai kematangan menggunakan COBImodel T, itu akan sering terjadi
bahwa beberapa implementasi akan berada di tempat pada tingkat yang berbeda bahkan jika
tidak lengkap atau cukup. Kekuatan ini dapat dibangun di atas untuk lebih meningkatkan
kedewasaan. Sebagai contoh, beberapa bagian dari proses dapat didefinisikan dengan baik, dan,
bahkan jika itu tidak lengkap, akan menyesatkan untuk mengatakan proses ini tidak
didefinisikan sama sekali.

Menggunakan model jatuh tempo dikembangkan untuk masing-masing COBIT 34 proses TI,
manajemen dapat mengidentifikasi :
 Kinerja yang sebenarnya dari perusahaan-mana perusahaan saat ini
 Status saat ini industri-Perbandingan
 Target perusahaan untuk perbaikan-mana perusahaan ingin menjadi
 jalur pertumbuhan yang diperlukan antara 'as-is'and 'to-be'

Untuk membuat hasil dengan mudah dapat digunakan dalam briefing manajemen, di mana mereka akan
disajikan sebagai sarana untuk mendukung kasus bisnis untuk rencana masa depan, sebuah metode presentasi
grafis perlu disediakan (gambar 12).

Perkembangan representasi grafis didasarkan pada deskripsi model kematangan generik yang
ditunjukkan pada gambar 13.

16
COBIT adalah suatu kerangka kerja yang dikembangkan untuk manajemen proses TI dengan
fokus yang kuat pada kontrol. skala ini harus praktis untuk menerapkan dan cukup mudah
dimengerti. Topik manajemen proses TI secara inheren kompleks dan subjektif dan, oleh
karena itu, terbaik didekati melalui penilaian difasilitasi bahwa meningkatkan kesadaran,
menangkap konsensus yang luas dan memotivasi peningkatan. Penilaian ini dapat dilakukan
baik terhadap deskripsi tingkat kematangan secara keseluruhan atau dengan lebih tepat
terhadap setiap pernyataan individu dari deskripsi. Either way, keahlian dalam proses
perusahaan itu dikaji diperlukan.

Keuntungan dari pendekatan model jatuh tempo adalah bahwa hal itu relatif mudah bagi
manajemen untuk menempatkan diri pada skala dan menghargai apa yang terlibat jika
ditingkatkan kinerja diperlukan. skala termasuk 0 karena sangat mungkin bahwa ada proses ada
sama sekali. The 0-5 skala didasarkan pada skala kematangan sederhana yang menunjukkan
bagaimana proses berevolusi dari kemampuan tidak ada untuk kemampuan dioptimalkan.

Namun, kemampuan manajemen proses adalah tidak sama dengan kinerja proses. Kemampuan
yang diperlukan, sebagaimana ditentukan oleh bisnis dan TI tujuan, mungkin tidak perlu
diterapkan pada tingkat yang sama di seluruh lingkungan TI, misalnya, tidak konsisten atau
hanya sejumlah sistem atau unit. pengukuran kinerja, seperti yang tercakup dalam paragraf
berikutnya, adalah penting dalam menentukan apa kinerja aktual perusahaan adalah untuk
proses TI.

Meskipun kemampuan diterapkan dengan benar sudah mengurangi risiko, perusahaan masih
perlu menganalisis kontrol yang diperlukan untuk memastikan risiko yang dimitigasi dan nilai
diperoleh sejalan dengan risk appetite dan tujuan bisnis. Kontrol ini dipandu oleh COBItujuan
pengendalian T. Lampiran III menyediakan model tempo pada pengendalian internal yang
menggambarkan kematangan suatu perusahaan relatif terhadap pembentukan dan kinerja
pengendalian internal. Seringkali analisis ini dimulai dalam menanggapi driver eksternal, tetapi
idealnya harus dilembagakan seperti yang didokumentasikan oleh COBIT memproses PO6
Berkomunikasi tujuan manajemen dan arah dan ME2 Memantau dan mengevaluasi
pengendalian internal.

Kemampuan, cakupan dan kontrol semua dimensi kematangan proses, seperti digambarkan
pada Gambar 14.

17
Model jatuh tempo adalah cara untuk mengukur seberapa baik mengembangkan proses
manajemen, yaitu, bagaimana mampu mereka sebenarnya. Bagaimana dikembangkan dengan
baik atau mampu mereka harus terutama tergantung pada tujuan TI dan kebutuhan bisnis yang
mendasari mereka mendukung. Berapa banyak dari kemampuan yang sebenarnya digunakan
sebagian besar tergantung pada kembalinya suatu perusahaan ingin dari investasi. Misalnya,
akan ada proses yang penting dan sistem yang membutuhkan lebih banyak dan lebih ketat
manajemen keamanan daripada yang lain yang kurang penting. Di sisi lain, tingkat dan
kecanggihan kontrol yang perlu diterapkan dalam proses lebih didorong oleh risk appetite
perusahaan dan persyaratan kepatuhan yang berlaku.

Timbangan model kematangan akan membantu para profesional menjelaskan kepada manajer
mana IT memproses kekurangan manajemen eksis dan menetapkan target untuk mana mereka
perlu. Tingkat kematangan yang tepat akan dipengaruhi oleh tujuan bisnis perusahaan,
lingkungan operasi dan praktek industri. Secara khusus, tingkat kematangan manajemen akan
tergantung pada ketergantungan perusahaan pada TI, kecanggihan teknologi dan, yang paling
penting, nilai informasinya.

Sebuah titik acuan strategis bagi perusahaan untuk meningkatkan pengelolaan dan
pengendalian TI proses-proses dapat ditemukan dengan melihat muncul standar internasional
dan praktik terbaik di kelasnya. Praktek-praktek yang muncul dari hari ini mungkin menjadi
tingkat yang diharapkan dari kinerja besok dan, karena itu, berguna untuk perencanaan di
mana suatu perusahaan ingin menjadi dari waktu ke waktu.

Model jatuh tempo dibangun mulai dari model kualitatif generik (lihat gambar 13) yang
prinsip dari atribut berikut ditambahkan secara meningkat melalui tingkat:
 Kesadaran dan komunikasi
 Kebijakan, rencana dan prosedur
 Alat dan otomatisasi
 Kemampuan dan keahlian
 Tanggung jawab dan akuntabilitas
 Penentuan tujuan dan pengukuran

Tabel atribut kematangan yang ditunjukkan pada gambar 15 daftar karakteristik bagaimana
proses TI dikelola dan menjelaskan bagaimana mereka berevolusi dari tidak ada ke proses
dioptimalkan. atribut ini dapat digunakan untuk penilaian yang lebih komprehensif, analisis
kesenjangan dan perencanaan perbaikan.

18
Singkatnya, model kematangan memberikan profil generik tahap melalui mana perusahaan
berevolusi untuk pengelolaan dan pengendalian proses TI. Mereka :
 Satu set persyaratan dan aspek memungkinkan pada tingkat kematangan yang
berbeda
 Sebuah skala di mana perbedaan dapat dibuat terukur dengan cara yang mudah
 Sebuah skala yang cocok untuk perbandingan pragmatis
 Dasar untuk menetapkan sebagai-adalah dan to-be posisi
 Dukungan untuk analisis gap untuk menentukan apa yang perlu dilakukan untuk
mencapai tingkat yang dipilih
 Secara bersama-sama, pandangan tentang bagaimana TI dikelola dalam perusahaan

COBImodel T jatuh tempo fokus pada jatuh tempo, tetapi belum tentu pada cakupan dan
kedalaman kontrol. Mereka bukan angka yang berjuang, mereka juga tidak dirancang untuk
menjadi dasar formal untuk sertifikasi dengan tingkat diskrit yang menciptakan ambang batas
yang sulit untuk menyeberang. Namun, mereka dirancang untuk selalu berlaku, dengan
tingkat yang memberikan deskripsi suatu perusahaan dapat mengenali sebaik pas proses nya.
Tingkat yang tepat ditentukan oleh jenis perusahaan, lingkungan dan strategi.

Cakupan, kedalaman kontrol, dan bagaimana kemampuan digunakan dan disebarkan adalah
keputusan biaya-manfaat. Sebagai contoh, tingkat tinggi manajemen keamanan mungkin harus
difokuskan hanya pada sistem perusahaan yang paling kritis. Contoh lain akan menjadi pilihan
antara manual review mingguan dan kontrol otomatis terus menerus.

Akhirnya, sementara tingkat yang lebih tinggi kematangan peningkatan kontrol atas proses,
perusahaan masih perlu untuk menganalisis, berdasarkan risiko dan nilai driver, yang
mengendalikan mekanisme itu harus diterapkan. Bisnis dan TI tujuan generik didefinisikan dalam
kerangka kerja ini akan membantu dengan analisis ini. Mekanisme kontrol dipandu oleh COBIT
tujuan pengendalian dan fokus pada apa yang dilakukan dalam proses; model jatuh tempo
terutama fokus pada seberapa baik proses dikelola. Lampiran III menyediakan model jatuh
tempo generik yang menunjukkan status lingkungan pengendalian internal dan pembentukan
pengendalian internal dalam suatu perusahaan.

Sebuah lingkungan pengendalian diterapkan dengan benar dicapai ketika semua tiga aspek
kedewasaan (kemampuan, cakupan dan kontrol) telah ditangani. Meningkatkan jatuh tempo
mengurangi risiko dan meningkatkan efisiensi, yang mengarah ke kesalahan yang lebih
sedikit, proses lebih dapat diprediksi dan penggunaan biaya-sumber daya yang efisien.

PENGUKURAN KINERJA

Tujuan dan metrik didefinisikan dalam COBIT pada tiga tingkatan :

 tujuan TI dan metrik yang mendefinisikan apa bisnis mengharapkan dari TI dan
bagaimana mengukurnya
 tujuan Proses dan metrik yang mendefinisikan apa proses TI harus menyampaikan
untuk mendukung TI tujuan dan bagaimana mengukurnya
 tujuan Aktivitas dan metrik yang menetapkan apa yang harus terjadi di dalam proses
untuk mencapai kinerja yang diperlukan dan bagaimana mengukurnya

19
 Kesadaran Kebijakan, Alat dan Kema Tanggung Menetapka
dan
1 Pengakuan dari Ada ad Rencana
hoc pendekatan untukBeberapa
Otomasi alat Keterampilan
mpuan yang TidakJawab ada dan definisi n Tujuan
Tujuan yang tidak dan
kebutuhan
Komunika untuk dan
proses dan praktek. mungkin ada; dibutuhkan
dan untuk Akuntabilita
akuntabilitas dan jelas danPengukuran
tidak ada
prosessi ini muncul. Prosedur penggunaan proses keahli
yang tidak tanggung
s jawab. Orang pengukuran
Proses dan kebijakan didasarkan pada alat an
diidentifikasi. mengambil kepemilikan berlangsung.
Ada komunikasi yang tidak terdefinisi. desktop standar. masalah berdasarkan
Ada kesadaran
2 sporadis proses yang sama dan pendekatan persyaratan
Sebuah rencana Seorang individu Beberapa penetapan tujuan
masalah. terjadi; beberapa langkah-
akan kebutuhan umum muncul, namun umum untuk
Tidak ada pendekatan keterampilan
pelatihan tidak ada dan mengasumsikan
inisiatif mereka sendiri/
untuk bertindak. sebagian besar intuitif menggunakan minimum tanggung
secara reaktif. jawabnya langkah keuangan
karena keahlian yang direncanakan
alat-alat yang ada untuk tidak ada pelatihan
diidentifikasi untuk dan biasanya ditetapkan tetapi hanya
Manajemen individu. penggunaan alat.
tetapi didasarkan formal terjadi.
daerah-daerah kritis. bertanggung jawab, diketahui oleh manajemen
mengkomunikasikan pada solusi yang bahkan jika ini tidak senior. Ada pemantauan
masalah secara Beberapa aspek dari proses dikembangkan Pelatihan diberikan secara resmi konsisten di daerah
keseluruhan. yang berulang karena oleh individu dalam menanggapi disepakati. Ada terpencil.
3 Ada pemahaman Penggunaan
keahlian individu,
praktek dan Sebuah
kunci. rencana telah persyaratan bukan atas
kebutuhan, keterampilan tanggung
kebingungan proses
jawabtentang Beberapa tujuan efektivitas
tentang yang
beberapa muncul.
baik dokumentasi dan didefinisikan untuk didefinisikan
dasar rencana yangdan dan tanggung jawabakuntabilitas
bila dan langkah-langkah yang
kebutuhan untuk pemahaman Vendor
informal digunakan alatdan telah disepakati, dan
didokumentasikan untuk didefinisikan
terjadi masalah, dan dan ditetapkan, tetapi tidak
bertindak. Proses,
kebijakankebijakan dan
dan prosedur standarisasi
mungkin alattelah untuk pelatihan
semua daerah. informal pemilik proses telah dikomunikasikan, dan ada
prosedur yang ditetapkan budaya menyalahkan
mungkin ada. diperoleh,
mengotomatisasi namun tentang pekerjaan diidentifikasi.
cenderung Pemilik hubungan yang jelas dengan
Manajemen lebih dan didokumentasikan proses.
mungkin tidak Sebuah
terjadi. rencana proses tidak mungkin tujuan bisnis. proses
formal dan terstruktur untuk semua kegiatan pelatihan formal telah untuk eksis.
diterapkan dengan untuk memiliki otoritas pengukuran muncul, tetapi

20
dalam komunikasinya. kunci. Alat
benar, yang digunakan
dan bahkan dikembangkan, tetapi penuh untuk tidak diterapkan secara
4 Ada pemahaman Proses ini suara dan untuk
Alat tujuan
dilaksanakan
mungkin shelfware.dasar persyaratan formal
pelatihan keterampilan tanggung
melaksanakan proses
jawabtanggung Efisiensi
konsisten. IT ide balanced dan
tentang lengkap; praktik terbaik sesuai
mereka, tetapi dengan
mungkin secara
masih rutin berdasarkan
diperbarui danjawab. akuntabilitas efektivitas
scorecard sedangdiukur dan
diadopsi,
persyaratan internal yang rencana
tidak semua standar,sesuai inisiatif individual.
untuk semua bidang, diterima dan bekerja dikomunikasikan
seperti aplikasi intuitif dan
penuh. diterapkan. dan
denganbeberapa
rencanatelahyang kemampuan dipastikan dengan cara yang terkait dengan
sesekali analisis akar tujuan
terintegrasi
telah disepakati,
dengan dan untuk semua memungkinkan bisnis
penyebab. dan rencana
teknik komunikasi Semua aspek dari alat
mungkin lain yangtidak daerah kritis, dan pemilik proses untuk strategis TI. IT
matang diterapkan proses terkait.
terintegrasi satu sama sertifikasi sepenuhnya debit / Balanced Scorecard
dan alat komunikasi didokumentasikan lain. didorong. tanggung jawabnya. diimplementasikan
standar yang dan berulang. Alat yang Budaya pahala di di beberapa daerah
Gambar 15-Kematangan Atribut Tabel

digunakan.
5 Ada maju, ke kebijakan
praktik memiliki
terbaik digunakan
set alat standar dalam yang teknik
organisasipelatihan matang pemilik
formal tempat yang
proses dengan
Ada sistem pengecualian
pengukuran
depan disetujui
eksternal dan ditandatangani
dan bidang utama
digunakan di untuk seluruh yang
mendorongditerapkan sesuai memotivasi
perbaikan diberdayakan tindakan
untuk dicatat
kinerja yang terintegrasi oleh
yang
pemahaman oleh manajemen. standar
standar yang mengotomatisasi
perusahaan. dengan
terus-menerus positif.
rencana membuat keputusan manajemen
menghubungkan dan
kinerja
persyaratan. untuk
diterapkan. pengelolaan proses pelatihan,
keterampilan,dan berbagi dan
berdasarkan mengambil analisis
untuk tujuan bisnis TI akar
oleh
mengembangkan Alat
dan sepenuhnya
memantau pengetahuan didorong.
pada tujuan pribadi dan tindakan. Penerimaan penyebab
aplikasi sedang
global IT balanced
komunikasi proaktif dan
dokumentasimemelihara
proses terintegrasi
kegiatan kritisdengandan Semua
organisasi yang
ahli jelas.domain tanggung jawab telah standar.
scorecard. perbaikan
Pengecualian
isu berdasarkan tren berevolusi
proses untuk dan alur alat terkait
kontrol. lainnya internal terlibat, dan mengalir ke bawah di terus-menerus
secara global dan konsisten
ada, teknik kerja otomatis. Proses,
prosedur yang untuk mengaktifkan Pelatihan
efektivitasdan pendidikan seluruh organisasi muncul.
dicatat oleh manajemen dan
komunikasi dewasa kebijakandiadopsi dan prosedur
dan dukungan end-to-end dari rencana
dukungan praktik pelatihan
terbaik secara konsisten. analisis akar penyebab
yang diterapkan, dan yang diikuti. standar dan dari proses. eksternal
dinilai. dan penggunaan diterapkan. perbaikan terus-
alat-alat komunikasi terintegrasi untuk konsep terdepan dan menerus adalah
yang terintegrasi memungkinkan end-to- Alat yang digunakan teknik.
untuk mendukung jalan hidup.
yang digunakan. end manajemen dan berbagi pengetahuan adalah
perbaikan. perbaikan proses dan budaya perusahaan, dan sistem
secara otomatis berbasis pengetahuan sedang
Gol didefinisikan top-down di bahwa tujuan bisnis akan menentukan sejumlah tujuan IT untuk
mendukungnya. Sebuah gol IT dicapai oleh satu proses atau interaksi sejumlah proses. Oleh
karena itu, tujuan TI membantu menentukan tujuan proses yang berbeda. Pada gilirannya,
setiap tujuan proses membutuhkan sejumlah kegiatan, sehingga membentuk tujuan kegiatan.
Gambar 16 memberikan contoh bisnis, TI, proses dan aktivitas hubungan tujuan.

Istilah KGI dan KPI, yang digunakan dalam versi sebelumnya dari COBIT, telah diganti dengan dua
jenis metric :
1. Hasil tindakan, indikator tujuan sebelumnya key (KGIs), menunjukkan apakah tujuan
telah dipenuhi. Ini dapat diukur hanya setelah fakta dan, karena itu, disebut 'indikator lag'.
2. Indikator kinerja, indikator kinerja sebelumnya kunci (KPI), menunjukkan apakah tujuan
kemungkinan akan bertemu. Mereka dapat diukur sebelum hasilnya jelas dan, karena itu,
disebut 'indikator memimpin'.

Gambar 17 memberikan kemungkinan tujuan atau hasil tindakan untuk contoh yang
digunakan.

Langkah-langkah outome dari tingkat yang lebih rendah menjadi indikator kinerja untuk
tingkat yang lebih tinggi. Sesuai contoh pada gambar 16, merupakan ukuran hasil yang
menunjukkan bahwa deteksi dan resolusi akses yang tidak sah pada target juga akan
menunjukkan bahwa itu akan lebih mungkin bahwa layanan TI dapat menolak dan pulih dari
serangan. Artinya, ukuran hasil telah menjadi indikator kinerja untuk tujuan-tingkat yang lebih
tinggi. Gambar 18 menggambarkan bagaimana ukuran hasil misalnya menjadi metrik kinerja.

21
ukuran hasil menentukan langkah-langkah yang menginformasikan manajemen-setelah fakta-
apakah IT fungsi, proses atau kegiatan telah mencapai tujuannya. Ukuran hasil dari fungsi TI
sering dinyatakan dalam kriteria informasi:
 Ketersediaan informasi yang diperlukan untuk mendukung kebutuhan bisnis
 Tidak adanya integritas dan kerahasiaan risiko
 Biaya-efisiensi proses dan operasi
 Konfirmasi kehandalan, efektivitas dan kepatuhan

Indikator kinerja menentukan langkah-langkah yang menentukan seberapa baik bisnis, TI fungsi atau
proses TI tampil di memungkinkan tujuan yang akan dicapai. Mereka adalah indikator utama apakah
tujuan kemungkinan akan tercapai, sehingga mengemudi tujuan-tingkat yang lebih tinggi. Mereka sering
mengukur ketersediaan kemampuan yang tepat, praktek dan keterampilan, dan hasil dari kegiatan yang
mendasari. Sebagai contoh, sebuah layanan yang disampaikan oleh IT adalah tujuan untuk IT tapi
indikator kinerja dan kemampuan untuk bisnis. Inilah sebabnya mengapa indikator kinerja kadang-
kadang disebut sebagai driver kinerja, terutama dalam Scorecard seimbang.

Oleh karena itu, metrik disediakan keduanya merupakan ukuran hasil dari fungsi IT, IT
memproses atau kegiatan tujuan mereka mengukur, serta indikator kinerja mengemudi bisnis-
tingkat yang lebih tinggi, fungsi atau IT IT tujuan proses.

Gambar 19 mengilustrasikan hubungan antara bisnis, TI, proses dan aktivitas tujuan,
dan metrik yang berbeda. Dari kiri atas ke kanan atas, tujuan cascade diilustrasikan.
Berikut tujuannya adalah ukuran hasil untuk tujuan. Panah kecil menunjukkan bahwa
metrik yang sama adalah indikator kinerja untuk tujuan-tingkat yang lebih tinggi.

22
 Contoh yang diberikan adalah dari DS5 Memastikan keamanan sistem. COBIT menyediakan
metrik hanya sampai IT gol hasil sebagaimana digambarkan oleh garis putus-putus.
Sementara mereka juga indikator kinerja untuk tujuan bisnis untuk TI, COBIT tidak
menyediakan ukuran hasil tujuan bisnis.

Bisnis dan TI tujuan yang digunakan dalam tujuan dan metrik bagian COBIT, termasuk hubungan
mereka, disediakan dalam I. lampiran Untuk setiap proses TI di COBIT, tujuan dan metrik disajikan, seperti yang
tercantum dalam angka 20.

Metrik telah dikembangkan dengan karakteristik berikut dalam pikiran :

 Wawasan-to-upaya rasio tinggi (yaitu, wawasan kinerja dan pencapaian tujuan
dibandingkan dengan upaya untuk menangkap mereka)
 Sebanding internal (misalnya, persen terhadap dasar atau nomor dari waktu ke waktu)
 Sebanding eksternal terlepas dari ukuran perusahaan atau industri
 Lebih baik memiliki beberapa metrik yang baik (bahkan mungkin menjadi salah satu
yang sangat baik yang dapat dipengaruhi dengan cara yang berbeda) dari daftar
panjang metrik kualitas rendah
 Mudah untuk mengukur, tidak menjadi bingung dengan target

 COBIT Kerangka Model

COBIT kerangka, oleh karena itu, mengikat persyaratan bisnis untuk informasi dan
pemerintahan dengan tujuan fungsi layanan TI. COBIT model proses memungkinkan
23
 kegiatan TI dan sumber daya yang mendukung mereka harus dikelola dengan baik dan
dikendalikan berdasarkan COBItujuan pengendalian T, dan selaras dan dimonitor
menggunakan COBItujuan dan metrik T, seperti digambarkan pada Gambar 21.

Untuk meringkas, sumber daya TI dikelola oleh proses TI untuk mencapai tujuan yang merespon kebutuhan
bisnis TI. Ini adalah prinsip dasar dari COBIKerangka T, seperti yang digambarkan oleh COBIT
kubus (gambar 22).

Secara lebih rinci, secara keseluruhan COBIKerangka T dapat ditampilkan secara grafis,
seperti yang digambarkan dalam gambar 23, dengan COBImodel proses T dari empat domain
yang mengandung 34 proses generik, mengelola sumber daya TI untuk menyampaikan
informasi kepada bisnis sesuai dengan bisnis dan pemerintahan persyaratan.

 COBIT Umum Akseptabilitas / Penerimaan Umum COBIT

COBIT didasarkan pada analisis dan harmonisasi standar TI yang ada dan praktek yang baik
dan sesuai dengan yang berlaku umum prinsip-prinsip tata kelola. Hal ini diposisikan pada
tingkat tinggi, didorong oleh kebutuhan bisnis, meliputi berbagai kegiatan TI, dan
berkonsentrasi pada apa yang harus dicapai bukan bagaimana untuk mencapai pemerintahan
yang efektif, manajemen dan kontrol. Oleh karena itu, bertindak sebagai integrator dari
24
praktik tata kelola TI dan menarik bagi manajemen eksekutif; bisnis dan manajemen TI;
pemerintahan, jaminan dan keamanan profesional; dan IT mengaudit dan kontrol profesional.
Hal ini dirancang untuk menjadi pelengkap, dan digunakan bersama-sama dengan, standar
lain dan praktik yang baik.

Pelaksanaan praktik yang baik harus konsisten dengan tata kelola dan kontrol kerangka kerja
perusahaan itu, sesuai untuk organisasi, dan terintegrasi dengan metode lain dan praktek-
praktek yang sedang digunakan. Standar dan praktek yang baik adalah bukan obat mujarab.
efektivitas mereka tergantung pada bagaimana mereka telah dilaksanakan dan terus up to date.
Mereka adalah paling berguna bila diterapkan sebagai seperangkat prinsip dan sebagai titik
awal untuk menjahit prosedur tertentu. Untuk menghindari praktek menjadi shelfware,
manajemen dan staf harus memahami apa yang harus dilakukan, bagaimana melakukannya dan
mengapa penting.

Untuk mencapai keselarasan dari praktik yang baik untuk kebutuhan bisnis, disarankan bahwa COBIT
digunakan pada tingkat tertinggi, menyediakan kerangka kerja pengendalian secara
keseluruhan berdasarkan model proses TI yang seharusnya umum jas setiap perusahaan.
praktik tertentu dan standar yang meliputi daerah diskrit dapat dipetakan sampai ke COBIT
kerangka, sehingga memberikan hirarki bahan bimbingan.

COBIT menarik bagi pengguna yang berbeda :

 manajemen-Untuk Executive memperoleh nilai dari investasi TI dan risiko
keseimbangan dan investasi kontrol dalam lingkungan TI sering tak terduga
 manajemen-Untuk Bisnis memperoleh keyakinan pada manajemen dan pengendalian
layanan TI yang disediakan oleh pihak internal atau ketiga
 manajemen TI-Untuk memberikan layanan TI bahwa bisnis memerlukan untuk
mendukung strategi bisnis dalam dikontrol dan cara dikelola
 Auditor-Untuk memperkuat pendapat mereka dan / atau memberikan saran kepada
manajemen tentang pengendalian internal

COBIT telah dikembangkan dan dipertahankan oleh, lembaga riset independen tidak-untuk-
profit, menggambar pada keahlian dari anggota asosiasi afiliasinya ini, pakar industri, dan
kontrol dan keamanan profesional. isinya didasarkan pada penelitian yang sedang
berlangsung dalam IT praktek yang baik dan terus dipertahankan, menyediakan sumber daya
yang obyektif dan praktis untuk semua jenis pengguna.

COBIT berorientasi pada tujuan dan ruang lingkup tata kelola TI, memastikan bahwa
kerangka kontrol komprehensif, sejalan dengan prinsip-prinsip tata kelola perusahaan dan,
oleh karena itu, diterima dewan, manajemen eksekutif, auditor dan regulator. Dalam lampiran
II, pemetaan disediakan menunjukkan bagaimana COBItujuan pengendalian T memetakan ke
lima bidang fokus tata kelola TI dan kegiatan pengendalian COSO.

25
Gambar 24 merangkum bagaimana berbagai elemen dari COBIT kerangka peta ke area
fokus tata kelola TI.

26
 CARA MENGGUNAKAN BUKU

COBIT Kerangka Navigasi

Untuk masing-masing COBIT proses TI, deskripsi disediakan, bersama-sama dengan tujuan
utama dan metrik dalam bentuk air terjun (gambar

27
Ikhtisar Core COBIKomponen T / Ikhtisar Komponen COBIT Inti

COBIT kerangka diisi dengan komponen inti berikut, yang disediakan dalam sisa publikasi
ini dan diselenggarakan oleh 34 proses TI, memberikan gambaran lengkap tentang
bagaimana mengontrol, mengelola dan mengukur setiap proses. Setiap proses tercakup dalam
empat bagian, dan setiap bagian merupakan kira-kira satu halaman, sebagai berikut:

 Bagian 1 (gambar 25) berisi deskripsi proses meringkas tujuan proses, dengan proses
deskripsi diwakili di air terjun. Halaman ini juga menunjukkan pemetaan proses untuk
kriteria informasi, sumber daya TI dan TI area fokus pemerintahan dengan cara P
untuk menunjukkan hubungan primer dan S untuk menunjukkan sekunder.
 Bagian 2 berisi tujuan pengendalian untuk proses ini.
 Bagian 3 berisi input proses dan output, RACI chart, tujuan dan metrik.
 Bagian 4 berisi model jatuh tempo untuk proses tersebut.

Cara lain untuk melihat konten kinerja proses adalah:

 Proses input apa yang perlu pemilik proses dari orang lain.
 Tujuan pengendalian proses deskripsi menggambarkan apa pemilik proses perlu
dilakukan.
 Proses output adalah apa pemilik proses harus memberikan.
 Tujuan dan metrik menunjukkan bagaimana proses harus diukur.
 Bagan RACI mendefinisikan apa yang harus didelegasikan dan kepada siapa.
 Model jatuh tempo menunjukkan apa yang harus dilakukan untuk memperbaiki.

Peran dalam grafik RACI dikategorikan untuk semua proses sebagai :

 Chief Executive Officer (CEO)
 petugas keuangan kepala (CFO)
 eksekutif Bisnis
 Informasi Kepala petugas (CIO)
 Proses Bisnis pemilik
 operasi Kepala
 Kepala arsitek
 pengembangan Kepala
 administrasi TI Kepala (untuk perusahaan besar, kepala fungsi seperti sumber daya
manusia, anggaran dan pengawasan internal)
 Petugas manajemen proyek (PMO) atau fungsi
 Kepatuhan, audit, risiko dan keamanan (kelompok dengan tanggung jawab kontrol
tetapi tidak operasional tanggung jawab IT)

Proses tertentu tertentu memiliki peran khusus tambahan khusus untuk proses, misalnya, meja
layanan / manager insiden untuk DS8.

Perlu dicatat bahwa sementara bahan yang dikumpulkan dari ratusan ahli, berikut penelitian
yang ketat dan review, input, output, tanggung jawab, metrik dan tujuan yang ilustratif tetapi
tidak preskriptif atau lengkap. Mereka menyediakan dasar pengetahuan ahli dari mana masing-
masing perusahaan harus memilih apa yang efisien dan efektif berlaku untuk itu berdasarkan
strategi perusahaan, tujuan dan kebijakan.

Pengguna dari COBIKomponen T

Manajemen dapat menggunakan COBIbahan T untuk mengevaluasi proses TI menggunakan

tujuan bisnis dan tujuan TI rinci dalam Lampiran I untuk mengklarifikasi tujuan dari proses
TI dan model proses kedewasaan untuk menilai kinerja aktual.
28
Pelaksana dan auditor dapat mengidentifikasi persyaratan kontrol berlaku dari tujuan
pengendalian dan tanggung jawab dari kegiatan dan grafik RACI terkait.
Semua pengguna potensial bisa mendapatkan keuntungan dari menggunakan COBIT konten
sebagai pendekatan secara keseluruhan untuk mengelola dan mengatur IT, bersama-sama
dengan standar yang lebih rinci seperti :
 ITIL untuk pengiriman layanan
 CMM untuk pengiriman solusi
 ISO 17799 untuk keamanan informasi
 PMBOK atau PRINCE2 untuk manajemen proyek

29
30
31
32
33
34
35
36