Anda di halaman 1dari 22

1.

Pemenuhan kebutuhan stakeholder


Control Objective for Information and related 2. Melindungi titik-titik penting perusahaan
Technology, disingkat COBIT, adalah suatu panduan 3. Penggunaan sebuah framework terintegrasi
standar praktik manajemen teknologi informasi. Standar 4. Memungkinkan pendekatan secara holistic
COBIT dikeluarkan oleh IT Governance Institute yang 5. Memisahkan tata kelola dengan manajemen
merupakan bagian dari ISACA. COBIT 5 merupakan
versi terbaru.
COBIT memiliki 4 cakupan domain, yaitu :
Manfaat-manfaat yang dapat diperoleh dalam COBIT TI
:
 Perencanaan dan organisasi (plan and organise)
 Pengadaan dan implementasi (acquire and
1. Dapat membantu auditor,user dengan cara
implement)
menutup kesenjangan bisnis
 Pengantaran dan dukungan (deliver and support) 2. COBIT dapat memberikan arahan yang
 Pengawasan dan evaluasi (monitor and evaluate) berorientasi pada bisnis
Maksud utama COBIT ialah menyediakan kebijakan
yang jelas dan good practice untuk IT governance,
membantu manajemen senior dalam memahami dan Sumber Penulisan/Daftar Pustaka :
mengelola risiko-risiko yang berhubungan dengan IT. https://www.kompasiana.com/dwisantoso_vcc/makalah-
manfaat-penggunaan-cobit_567fe81390fdfd5d0956ffba
COBIT menyediakan kerangka IT governance dan
petunjuk control objective yang detail untuk manajemen,
pemilik proses bisnis, user dan auditor. Cobit ~Control Objective for Information and
IT Governance Institute yang merupakan related Technology
bagian dari ISACA (Information Systems Audit and
Control Association) pada tahun 1996. hingga saat artikel
ini di muat setidaknya sudah ada 5 versi COBIT yang
sudah diterbitkan, versi pertama diterbitkan pada tahun
Control Objective for Information & Related
1996, versi kedua tahun 1998, versi 3.0 di tahun
Technology (COBIT) adalah sekumpulan
2000, COBIT 4.0 pada tahun 2005, COBIT 4.1 tahun
dokumentasi best practice untuk tata kelola TI yang dapat
2007 dan yang terakhir ini adalah COBIT versi 5 yang di
membantu auditor, pengguna, dan bagian manajemen
rilis baru-baru saja.
untuk menjembatani gap antara resiko bisnis, kebutuhan
COBIT versi 5 atau dikenal dengan nama COBIT 5
kontrol, dan masalah-masalah teknis TI. (Sasongko, 2009)
adalah edisi terbaru dari Framework COBIT ISACA
yang menyediakan penjabaran bisnis secara end-to-end
dari tatakelola teknologi informasi perusahaan untuk
menggambarkan peran utama dari informasi dan COBIT mendukung tata kelola TI dengan menyediakan
teknologi dalam menciptakan nilai perusahaan. kerangka kerja untuk memastikan keselarasan antara TI
COBIT 5 adalah sebuah versi pembaharuan yang dengan bisnis. Selain itu, kerangka kerja juga digunakan
menyatukan cara berpikir yang mutakhir di dalam teknik- untuk memaksimalkan keuntungan yang didapat serta
teknik dan tata kelola TI perusahaan. Menyediakan memastikan bahwa resiko TI dikelola secara tepat dan
prinsip-prinsip, praktek-praktek, alat-alat analisa yang sumber daya TI digunakan secara bertanggung jawab.
telah diterima secara umum untuk meningkatkan (Tanuwijaya dan Sarno, 2010)
kepercayaan dan nilai sistem-sistem informasi. COBIT 5
dibangun berdasarkan pengembangan dari COBIT 4.1
dengan mengintegrasikan Val IT dan Risk IT dari COBIT merupakan standar yang dinilai paling lengkap
ISACA, ITIL, dan standar-standar yang relevan dari ISO. dan menyeluruh sebagai framework IT audit karena
COBIT memungkinkan pengembangan kebijakan yang dikembangkan secara berkelanjutan oleh lembaga
jelas dan sangat baik digunakan untuk IT kontrol seluruh swadaya yang terdiri dari auditor-auditor profesional yang
organisasi, membantu meningkatkan kualitas dan nilai tersebar di hampir seluruh negara.
serta menyederhanakan pelaksanaan alur proses sebuah
organisasi dari sisi penerapan IT.
COBIT Maturity Models
COBIT menyediakan parameter untuk melakukan
COBIT berorientasi proses, dimana secara
penilaian terhadap proses pengelolaan TI pada suatu
praktis COBIT dijadikan suatu standar panduan untuk
organisasi dengan menggunakan maturity models.
membantu mengelola suatu organisasi mencapai
Maturity models ini dapat digunakan untuk menilai baik
tujuannya dengan memanfaatkan TI. COBIT
dari segi management awareness maupun dari
memberikan panduan kerangka kerja yang bisa
segi maturity level. Skalanya bervariasi, mulai dari non-
mengendalikan semua kegiatan organisasi secara detail
existent sampai dengan optimised. (Purwanto dan
dan jelas sehingga dapat membantu memudahkan
Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008)
pengambilan keputusan di level top dalam organisasi.
Ada 5 prinsip yang dapat saya jabarkan dalam TI
perusahaan :
1. Pemenuhan kebutuhan Stakeholder
2. Melindungi titik-titik penting perusahaan
3. Penggunaan sebuah framework terintegrasi
4. Memungkinkan pendekatan secara holistik
5. Memisahkan tatakelola dengan manajemen
COBIT adalah merupakan kerangka panduan tata kelola
TI dan atau bisa juga disebut sebagai toolset pendukung
yang bisa digunakan untuk menjembatani gap antara
kebutuhan dan bagaimana teknis pelaksanaan pemenuhan
kebutuhan tersebut dalam suatu organisasi. COBIT
memungkinkan pengembangan kebijakan yang jelas dan
sangat baik digunakan untuk IT kontrol seluruh
organisasi, membantu meningkatkan kualitas dan nilai
COBIT 5 Governance and Management Key Areas serta menyederhanakan pelaksanaan alur proses sebuah
organisasi dari sisi penerapan IT.

COBIT berorientasi proses, dimana secara


praktis COBIT dijadikan suatu standar panduan untuk
membantu mengelola suatu organisasi mencapai
tujuannya dengan memanfaatkan TI. COBIT
memberikan panduan kerangka kerja yang bisa
mengenndalikan semua kegiatan organisasi secara detail
dan jelas sehingga dapat membantu memudahkan
pengambilan keputusan di level top dalam organisasi.

COBIT digunakan secara umum oleh mereka yang


memiliki tanggung jawab utama dalam alur proses
organisasi, mereka yang organisasinya sangat bergantung
Berbeda dengan versi COBIT sebelumnya, COBIT versi 5 pada kualitas, kehandalan, dan penguasaan teknologi
memisahkan governance dan management secara informasi.
eksplisit.
COBIT memiliki 4 Cakupan Domain :
Cobit ~Control Objective for Information and
1. Perencanaan dan Organisasi (Plan and Organize)
related Technology
 Domain ini mencakup strategi dan taktik yang
Dikeluarkan dan disusun oleh IT Governance menyangkut identifikasi tentang bagaimana TI
Institute yang merupakan bagian dari ISACA dapat memberikan kontribusi terbaik dalam
(Information Systems Audit and Control Association) pencapaian tujuan bisnis organisasi sehingga
pada tahun 1996. hingga saat artikel ini di muat terbentuk sebuah organisasi yang baik dengan
setidaknya sudah ada 5 versi COBIT yang sudah infrastruktur teknologi yang baik pula.
diterbitkan, versi pertama diterbitkan pada tahun 1996, 2. Pengadaan dan implementasi (Acquire and
versi kedua tahun 1998, versi 3.0 di tahun 2000, COBIT Implement)
4.0 pada tahun 2005, COBIT 4.1 tahun 2007 dan yang
 Untuk mewujudkan strategi TI, solusi TI perlu
terakhir ini adalah COBIT versi 5 yang di rilis baru-baru
di identifikasi, dibangun atau diperoleh dan
saja. kemudian di implementasikan dan di
integrasikan dalam proses bisnis.
COBIT versi 5 atau dikenal dengan nama COBIT 5
3. Pengantaran dan dukungan (Deliver and Support)
adalah edisi terbaru dari Framework COBIT ISACA
yang menyediakan penjabaran bisnis secara end-to-end
dari tatakelola teknologi informasi perusahaan untuk
 Domain ini berhubungan dengan penyampaian
layanan yang diinginkan, yang terdiri dari
menggambarkan peran utama dari informasi dan
operasi pada security dan aspek
teknologi dalam menciptakan nilai perusahaan.
kesinambungan bisnis sampai dengan
COBIT 5 adalah sebuah versi pembaharuan yang
pengadaan training.
menyatukan cara berpikir yang mutakhir di dalam teknik-
4. Pengawasan dan evaluasi (Monitor and Evaluate)
teknik dan tata kelola TI perusahaan. Menyediakan
prinsip-prinsip, praktek-praktek, alat-alat analisa yang
telah diterima secara umum untuk meningkatkan
 Semua proses TI perlu dinilai secara teratur
dan berkala bagaimana kualitas dan
kepercayaan dan nilai sistem-sistem informasi. COBIT 5
kesesuaiannya dengan kebutuhan kontrol.
dibangun berdasarkan pengembangan dari COBIT 4.1
dengan mengintegrasikan Val IT dan Risk IT dari  CobiT dikenal luas sebagai
ISACA, ITIL, dan standar-standar yang relevan dari ISO. standard defacto untuk kerangka kerja tata
kelola TI (IT Governance) dan yang terkait
dengannya. Di sisi lain standard/framework ini
Cobit 5 didasarkan pada 5 prinsip kunci tatakelola dan terus berevolusi sejak pertama kali diluncurkan
manajemen TI perusahaan yaitu : di 1996 hingga rilis terakhir yaitu CobiT 5 yang
diluncurkan pada Juni 2012 yang lalu. Pada  (6) Layanan, Infrastruktur, dan Aplikasi. Dalam
setiap rilisnya, kerangka kerja ini melakukan CobiT 4.1, infrastruktur dan aplikasi (disatukan
pergeseran-pergeseran beberapa paradigma. dengan layanan) merupakan sumber daya TI
 Kenapa berubah terus? Bukankah perubahan- juga.
perubahan seperti ini dapat membingungkan  (7) Orang, keterampilan (skills) dan
pihak-pihak yang akan mengadopsinya? Secara kompetensi. Dalam CobiT 4.1, hanya
sepintas mungkin memang iya, disebutkan “orang” sebagai salah satu sumber
tapi anyway apakah ada di dunia ini yang tidak daya (walau sebenarnya mencakup juga
berubah (selain perubahan itu sendiri)? keterampilan dan kompetensinya)
Teknologi Informasi dan pemanfaatannya yang  Ketiga, CobiT 5 mendefinisikan model referensi
berkembang dengan cepat tentunya menuntut proses yang baru dengan tambahan domain
perubahan dalam tata cara pengelolaannya juga. governance dan beberapa proses baik yang sama
Dus, frameworknya juga perlu penyesuaian sekali baru ataupun modifikasi proses lama serta
juga. Ini jawaban pertama. Selain itu penerapan mencakup aktifitas organisasi secara end-to-
apapun pada tataran konseptual ke dalam tataran end. Selain mengkonsolidasikan CobiT 4.1, Val
praktis akan selalu memunculkan titik-titik yang IT, dan Risk IT dalam sebuah framework,
dapat diperbaiki dan disempurnakan terus- CobiT 5 juga dimutakhirkan untuk
menerus. Ingat pepatah: “improvement is a menyelaraskan dengan best practices yang ada
journey, not a destination.” Sehingga, seperti misalnya ITIL v3 2011 dan TOGAF.
framework apapun juga perlu terus
 Keempat, seperti disinggung sebelumnya,
disempurnakan. Ini jawaban kedua saya. Dan
bahwa dalam CobiT 5 terdapat proses-proses
saya kira saat ini cukup dua saja jawaban saya
baru yang sebelumnya belum ada di CobiT 4.1,
terhadap pertanyaan “kenapa berubah terus”.
serta beberapa modifikasi pada proses-proses
Pada tulisan kali ini saya ingin sedikit
yang sudah ada sebelumnya di CobiT 4.1.
menyinggung perubahan terakhir dari
Secara sederhana dapat dikatakan bahwa model
framework kondang ini, yaitu dari Cobit 4.1
referensi proses CobiT 5 ini sebenarnya
yang dirilis Mei 2007 ke CobiT 5 yang dirilis
mengintegrasikan konten CobiT 4.1, Risk IT
Juni 2012 yang lalu.
dan Val IT. Sehingga proses-proses pada CobiT
 Ada beberapa perubahan penting yang dibawa 5 ini lebih holistik, lengkap dan mencakup
oleh CobiT rilis teranyar ini dibanding versi aktifitas bisnis dan IT secara end-to-end.
pendahulunya. Apakah itu?
 Sumber:
 Pertama, prinsip baru dalam tata kelola TI untuk
 http://manajemen-ti.com/tata-kelola-audit/197-
organisasi, Governance of Enterprise
dulu-cobit-4-1-sekarang-cobit-5-apa-
IT (GEIT).
bedanya.html
 CobiT 5 —sebagaimana juga Val IT dan Risk
IT—ini lebih berorientasi pada prinsip,
dibanding pada proses. Katanya Sertifikasi CISA sangat menguntungkan untuk masa
berdasarkan feedback yang masuk, menyatakan depan di dunia IT, dengan sertifikasi ini Anda akan lebih
bahwa ternyata penggunaan prinsip-prinsip itu dipercaya sebagai auditor IT, dan peluangnya sangat besar
lebih mudah dipahami dan diterapkan dalam dalam meraih penghasilan di bidang IT Auditor, karena
konteks enterprise secara lebih efektif. pesaingnya masih sangat sedikit terutama di Indonesia.
 Kedua, CobiT 5 memberi penekanan lebih
kepada Enabler. Walaupun sebenarnya CobiT CISA diselengarakan oleh ISACA (Information Systems
4.1 juga menyebutkan adanyaenabler– Audit and Control Association). Sertifikasi CISA sudah
enabler, hanya saja Cobit 4.1 tidak berlangsung sejak tahun 1978. Pengaturan dalam ujian
menyebutnya dengan enabler. Sementara CobiT CISA yang pertama dilaksanakan pada tahun 1981, dan
5 menyebutkan secara spesifik ada jumlah pendaftar selalun bertambah pada tiap tahunnya.
7 enabler dalam implementasinya. Berikut ini Hampir di atas 60.000 auditor.
adalah ketujuh enabler CobiT 5 dan
perbandingan untuk hal yang sama di CobiT Calon-calon yang akan mengikiuti sertifikasi CISA harus
4.1: melewati ujian tertulis selanjutnya harus setuju pada
 (1) Prinsip-prinsip, kebijakan dan kerangka aturan ISACA Professional Ethics, menyerahkan bukti
kerja. Kalau di CobiT 4.1, poin-poin ini tersebar dari sedikitnya lima tahun pengalaman profesional
dalam beberapa proses-proses CobiT 4.1. bidang auditing, pengedalian , atau keamanan IT dan
 (2) Proses-proses. Proses adalah sentral dari lainnya.
CobiT 4.1.
 (3) Struktur Organisasi. Dalam CobiT 4.1, Keberhasilan dalam ujian CISA, menuntut kandidat
struktur organisasi tercermin dalam RACI chart memiliki kesiapan khusus dan juga pengalaman yang
yang mendefinisikan peran dan tanggung-jawab memadai di bidang audit sistem informasi. Untuk itu,
para pihak dalam setiap proses. CISA diakui secara internasional sebagai professional
 (4) Kultur, etika dan perilaku. Poin ini terselip dengan pengetahuan, keterampilan, pengalaman dan
di beberapa proses CobiT 4.1 kredibilitas dengan standar leverage, mengelola
 (5) Informasi. Dalam CobiT 4.1, informasi kerentanan, memastikan kepatuhan, menawarkan solusi,
merupakan salah satu sumber daya TI (IT kontrol lembaga dan memberikan nilai bagi perusahaan.
resources).
Baca juga 6. Ikut dalam Training CISA Exam
Preparation Class
 Cara Mendapatkan Sertifikat CISA
 Sertifikasi Auditor CISA Manfaatnya Dalam Calon peserta dapat mengikuti training dalam persiapan
Dunia Kerja mengikuti ujian CISA yang diadakan oleh organisasi atau
lembaga-lembaga training. Hal ini dapat memudahkan
 Berikut 9 Tips Terbaik Lulus Ujian CISA
calon peserta dalam menangkap garis merah apa saja yang
 Penetration Testing Menyempurnakan Program keluar saat nanti ujian CISA dan dengan melakukan
Keamanan Informasi training CISA ini calon peserta akan menambah
 Persiapan Ujian CISA pertemanan dengan calon peserta lainnya yang
sebelumnya belum calon peserta kenal. Hal ini bisa
Berikut adalah daftar top tips untuk lulus Ujian CISA : menjadi hal yang positif untuk saling share dan menjadi
rekan untuk belajar bersama.
1. Kupas Tuntas CRM
ITGID merupakan lembaga pengembangan bidang
teknologi informasi. ITGID (Member Of Proxsis
ISACA menyediakan Ulasan Manual (CRM) yang
Consulting Group) telah menandatangani Surat Perjanjian
berfungsi sebagai panduan untuk ujian CISA. CRM
Kerjasama Penyelenggaraan ISACA Certification Review
membahas semua rincian yang terkait dengan ujian CISA
Course 2016, antara Proxsis dengan ISACA Chapter
dan mendefinisikan peran dan tanggung jawab dari suatu
Indonesia. Materi dan trainer khusus training ISACA
sistem informasi auditor.
adalah resmi dari ISACA. Untuk informasi lebih lanjut
mengenai Training CISA dapat lihat
2. Praktik CISA Review Pertanyaan dan di: //itgid.org/training/
Jawaban
Untuk Persiapan Ujian Training CISAnya dapat di lihat
Calon peserta dapat menggunakan sampel pertanyaan dan di https://itgid.org/cisa-exam-preparation-jakarta/
jawaban untuk memahami konsep yang sulit dan
meningkatkan persiapan ujian CISA dalam mencapai
Process Assessment Model Cobit 5
sertifikasi CISA. Pertanyaan-pertanyaan review dan
jawaban dirancang untuk memberikan gambaran dari
ujian CISA. Proses assessment model menurut penulis adalah
merupakan model pengukuran yang digunakan dalam
cobit 5, di cobit version 4.1 dikenal dengan cobit
3. Pengalaman Dalam Sistem Informasi Audit
maturity model. PAM di cobit 5 terbagi menjadi dua
bagian, yang pertama adalah teknik pengukuran skala
Untuk memenuhi syarat dalam program sertifikasi bertingkat (scale rating) yang digunakan untuk menilai
profesional seperti CISA, sangat penting untuk bagian yang kedua yaitu dimensi proses yang terdiri dari
mendapatkan pengalaman di bidang praktis. IT audit yang 5 dimensi proses EDM, APO, BAI, DSS dan MEA.
sama seperti jenis audit lainnya namun dengan lingkup
yang berbeda. Seorang profesional harus memiliki
gagasan tentang pemahaman proses bisnis, pemeriksaan
lingkup, perencanaan audit dan pelaporan dalam hal
industri nyata.

4. Jam Belajar

Menjadi seorang profesional, bisa sulit bagi calon untuk


mengelola jam belajar untuk persiapan ujian CISA.
Namun, mengelola jam belajar per bidang studi sangat
penting untuk meraih sukses dalam ujian CISA. Satu dapat
mendedikasikan 1-2 jam secara teratur untuk
meningkatkan persiapan ujian CISA menuju pilar
kesuksesan.

5. Bergabung dengan Grup dan Forum CISA

Peserta dapat bergabung dengan Grup dan


Forum CISA untuk berinteraksi dengan calon peserta
CISA ataupun alumni CISA yang sudah lulus ujian. Ada
Diposting oleh awianggara di 09.32 1 komentar
berbagai forum diskusi di sertifikasi CISA. Platform
tersebut dapat menyediakan baik pengetahuan teoritis dan Kirimkan Ini lewat EmailBlogThis!Berbagi ke
praktis tentang IS audit, dengan demikian membantu TwitterBerbagi ke FacebookBagikan ke Pinterest
meningkatkan persiapan ujian CISA menuju pencapaian
kelulusan yang lebih baik. Label: Cobit 5
Senin, 20 Januari 2014 Overview of ISACA Frameworks and Guidance
Cobit 5 Toolkit Integrated Into COBIT 5—penjelasan menganai integrasi
Assalamualaikum All, beberapa framework (COBIT 4.1, Risk IT and Val IT)
and guidance (Board Briefing on IT Governance, 2nd
COBIT® 5 Implementation didukung dengan tools yang Edition, Business Model for Information Security
di himpun dalam sebuah file .zip, tools tersebut terdiri [BMIS], IT Assurance Framework™ [ITAF™], Taking
dari beberapa file microsoft® office word, excel, Power Governance Forward [TGF]) ke dalam Cobit 5
point serta Adobe PDF format.
file-file tersebut adalah: Berikut link download file nya
Cobit 5 toolkit
PowerPoint presentations:
COBIT 5 Introduction—presentasi terdiri dari 44 slide
yang berisi membahas mengenai cobit 5 secara umum Smoga manfaat
COBIT 5 Executive Summary—terdiri dari 9 slide yang Regards
berisi tentang prinsip Cobit 5 dalam mengembangakan Cobitindo
tatakelola yang efektif.
COBIT 5 Compare With 4.1—terdiri dari 32 slide yang Diposting oleh awianggara di 17.49 5 komentar
menjelaskan bagaimana hubungan cobit 5 dengan versi Kirimkan Ini lewat EmailBlogThis!Berbagi ke
Cobit pendahulunya, Val IT dan Risk IT. TwitterBerbagi ke FacebookBagikan ke Pinterest
COBT 5 for Information Security Introduction—terdiri
dari 33 slide presentasi yang berisi introduce panduan Label: Cobit 5
bagi praktisi keamanan informasi
Jumat, 19 April 2013
COBIT 5 and Information Security Spanish—26 slide
yang menjelaskan keterhubungan Cobit 5 dengan IT Risk Management Framework by COBIT
Business Model for Information Security (BMIS™) tapi COBIT (Control Objectives for Information and Related
dalam bahasa spanyol. Technology) merupakan standard yang dikeluarkan oleh
COBIT 5 and GRC—terdiri dari 31 slide presentasi yang ITGI (The IT Governance Institute). COBIT merupakan
menjelaskan tentang panduan bagaimana framework suatu koleksi dokumen dan framework yang
Cobit 5 mendukung governance, risk and compliance diklasifikasikan dan secara umum diterima sebagai best
(GRC) practice untuk tata kelola (IT Governance), kontrol dan
IT BSC Example—2 slide yang menggambarkan jaminan TI.
mengenai implementasi balanced score card (BSC)

Dokumen MS.Word Referensi perihal manajemen resiko secara khusus


COBIT 5 Key Audience Messages—pesan buat yang dibahas pada proses PO9 dalam COBIT. Prosesproses
membaca file-file presentasi tersebut diatas yang lain juga menjelaskan tentang manajemen resiko
namun tidak terlalu detil.
Excel file:
Process Activities—file ini berupa deskripsi lengkap
tentang semua aktivitas proses yang ada pada Cobit 5
dalam bentuk spreadsheet excel
Management Awareness Diagnostic—Daftar Proses
Cobit 5.

PDF File:
Balanced Scorecard Case Study—contoh makalah study
kasus "The case study Linking the IT Balanced
Scorecard to the Business Objectives at a Major
Canadian Financial Group was conducted by the IT
Alignment and Governance (ITAG) Research Institute at
the University of Antwerp in 2008.

FAQs—terdiri dari 15 pertanyaan dan jawaban seputar


Cobit 5 Gambar Framework Manajemen Resiko COBIT

Framework Overview (laminate)—terdiri dari 11 gambar


yang menggambarkan framework Cobit 5 Resiko adalah segala hal yang mungkin berdampak pada
kemampuan organisasi dalam mencapai tujuantujuannya.
‘Where Have All the Control Objectives Gone?’— Framework manajemen resiko TI dengan menggunakan
sebuah artikel penunjang COBIT (lihat gambar) terdiri dari :
Proses untuk menilai seberapa sering resiko terjadi atau
seberapa besar dampak dari resiko (tabel 2.2). Dampak
1. Penetapan Objektif resiko terhadap bisnis (business impact) bisa berupa :
dampak terhadap financial, menurunnya reputasi
Kriteria informasi dari COBIT dapat digunakan sebagai
disebabkan sistem yang tidak aman, terhentinya operasi
dasar dalam mendefinisikan objektif TI. Terdapat tujuh
bisnis, kegagalan aset yang dapat dinilai (sistem dan
kriteria informasi dari COBIT yaitu : effectiveness,
data), dan penundaan proses pengambilan keputusan.
efficiency, confidentiality, integrity, availability,
compliance, dan reliability.

Sedangkan kecenderungan (likelihood) terjadinya resiko


dapat disebabkan oleh sifat alami dari bisnis, struktur dan
2. Identifikasi Resiko
budaya organisasi, sifat alami dari sistem (tertutup atau
terbuka, teknologi baru dan lama), dan kendali-kendali
yang ada. Proses penilaian resiko bisa berupa resiko yang
TABEL KEJADIAN (EVENTS) YANG tidak dapat dipisahkan (inherent risks) dan sisa resiko
MENGGANGU PENCAPAIAN OBJEKTIF (residual risks).
PERUSAHAAN :

TABEL TINGKATAN BESARNYA DAMPAK


RESIKO DAN FREKUENSI TERJADINYA RESIKO

4. Respon Resiko

Untuk melakukan respon terhadap resiko adalah dengan


menerapkan kontrol objektif yang sesuai dalam
melakukan manajemen resiko. Jika sisa resiko masih
melebihi resiko yang dapat diterima (acceptable risks),
maka diperlukan respon resiko tambahan. Proses-proses
pada framework COBIT (dari 34 Control Objectives)
yang sesuai untuk manajemen resiko adalah :
Identifikasi resiko merupakan proses untuk mengetahui
resiko. Sumber resiko bisa berasal dari : • PO1 (Define a Stretegic IT Plan) dan PO9
(Assess and Manage Risks)
• Manusia, proses dan teknologi
• AI6 (Manages Change)
• Internal (dari dalam perusahaan) dan eksternal(dari
luar perusahaan) • DS5 (Ensure System and Security) dan DS11
(Manage Data)
• Bencana (hazard), ketidakpastian (uncertainty) dan
kesempatan (opportunity). • ME1 (Monitor and Evaluate IT Performance)

Dari ketiga sumber resiko tersebut dapat diketahui


kejadian-kejadian yang dapat mengganggu perusahaan
dalam mencapai objektifnya (lihat tabel event diatas). 5. Monitor Resiko

Setiap langkah dimonitor untuk menjamin bahwa resiko


dan respon berjalan sepanjang waktu.
3. Penilaian Resiko
sumber http://wwardhanu.blogspot.com/2010/12/model- 7 AI7 Instalasi dan akreditasi solusi serta perubahan
framework-it-management-risk-by.html
Rata-rata Domain AI

Diposting oleh awianggara di 04.05 0 komentar

Kirimkan Ini lewat EmailBlogThis!Berbagi ke


TwitterBerbagi ke FacebookBagikan ke Pinterest

Label: IT strategic plan

Rabu, 13 Februari 2013 Delivery and Support


34 Domain Proses COBIT
Berikut adalah 34 Domain Proses COBIT, Skor dan NO KODE PROSES
tingkat Maturity dari tiap proses :
1 DS1 Menetapkan dan mengatur tingkat layanan

Plan and Organize 2 DS2 Pengaturan layanan dengan pihak ketiga

3 DS3 Mengatur kinerja dan kapasitas


TINGKAT
NO KODE PROSES SKOR
4 DS4 MATURITY
Memastikan ketersediaan layanan
1 PO1 Menetapkan rencana Strategis TI 5 DS5 3
Memastikan Define sistem
keamanan
2 PO2 Menetapkan arsitektur sistem informasi 6 DS6 0 dan biaya
Identifikasi Non-Existent
tambahan
3 PO3 Menetapkan arah teknologi 7 DS7 3 dan melatih
Mendidik Defineuser

4 PO4 Menetapkan proses TI, organisasi dan hubungannya 8 DS8 3 bantuan


Mengelola Define
layanan dan insiden
5 PO5 Mengatur investasi TI 9 DS9 3 konfigurasi
Mengatur Define

6 PO6 Mengkomunikasikan tujuan dan arahan manajemen 10 DS10 4 masalah


Mengelola Manage

7 PO7 Mengelola sumberdaya manusia 11 DS11 4 data Manage


Mengelola
8 PO8 Mengatur kualitas 12 DS12 3 fasilitas
Mengelola Define

9 PO9 Menilai dan mengatur resiko TI 13 DS13 0 operasi


Mengelola Non-Existent

10 PO10 Mengatur Proyek 0 DomainNon-Existent


Rata-rata DS
Rata-rata Domain PO 2.3 Repeatable

Monitor and Evaluate

Acquire and Iimplement NO KODE PROSES

TINGKAT
NO KODE PROSES 1 ME1 MonitorSKOR
dan Evaluasi Kinerja TI
MATURITY

1 AI1 Identifikasi solusi-solusi otomatis 2 ME2 Monitor0dan Evaluasi Pengendalian Internal


Non-Existent

2 AI2 3
Mendapatkan dan memelihara perangkat lunak aplikasi ME3 Mendapatkan
3 jaminan
Defineindependent

3 AI3 Mendapatkan dan memelihara infrastruktur teknologi4 ME4 Penyediaan


3 untukDefine
tatakelola TI

4 AI4 Menjalankan operasi dan menggunakannya Rata-rata


3 DomainDefine
ME

5 AI5 Pengadaan sumber daya TI 3 Define

6 AI6 Mengelola perubahan Diposting oleh awianggara di 07.2209 komentar


Non-Existent
Kirimkan Ini lewat EmailBlogThis!Berbagi ke
TwitterBerbagi ke FacebookBagikan ke Pinterest
Label: Kamu perlu tau Cobit disini Level 2(Repeatable Level); pada level ini, kebijakan untuk
mengatur pengembangan suatu proyek dan prosedur
Minggu, 01 Januari 2012 dalam mengimplementasikan kebijakan tersebut
Skala maturity dari Framework COBIT ditetapkan. Tingkat efektif suatu proses manajemen dalam
mengembangankan proyek adalah institutionalized,
Maturity model adalah suatu metode untuk mengukur dengan memungkinkan organisasi untuk mengulangi
level pengembangan manajemen proses, yang berarti pengalaman yang berhasil dalam mengembangkan proyek
adalah mengukur sejauh mana kapabilitas manajemen sebelumnya, walaupun terdapat proses tertentu yang tidak
tersebut. Seberapa bagusnya pengembangan atau sama. Tingkat efektif suatu proses mempunyai
kapabilitas manajemen tergantung pada tercapainya karakteristik seperti; practiced, dokumentasi, enforced,
tujuan-tujuan COBIT yang . Sebagai contoh adalah ada trained, measured, dan dapat ditingkatkan. Product
beberapa proses dan sistem kritikal yang membutuhkan requirement dan dokumentasi perancangan selalu dijaga
manajemen keamanan yang lebih ketat dibanding proses agar dapat mencegah perubahan yang tidak diinginkan.
dan sistem lain yang tidak begitu kritikal. Di sisi lain,
derajat dan kepuasan pengendalian yang dibutuhkan
untuk diaplikasikan pada suatu proses adalah didorong
pada selera resiko Enterprise dan kebutuhan kepatuhan Level 3(Defined Level); pada level ini, proses standar dalam
yang diterapkan. pengembangan suatu produk baru didokumentasikan,
proses ini didasari pada proses pengembangan produk
Penerapan yang tepat pada tata kelola TI di suatu yang telah diintegrasikan. Proses-proses ini digunakan
lingkungan Enterprise, tergantung pada pencapaian tiga untuk membantu manejer, ketua tim dan anggota tim
aspek maturity (kemampuan, jangkauan dan kontrol). pengembangan sehingga bekerja dengan lebih efektif.
Peningkatan maturity akan mengurangi resiko dan Suatu proses yang telah didefenisikan dengan baik
meningkatkan efisiensi, mendorong berkurangnya mempunyai karakteristik; readiness criteria, inputs,
kesalahan dan meningkatkan kuantitas proses yang dapat standar dan prosedur dalam mengerjakan suatu proyek,
diperkirakan kualitasnya dan mendorong efisiensi biaya mekanisme verifikasi, output dan kriteria selesainya suatu
terkait dengan penggunaan sumber daya TI. proyek. Aturan dan tanggung jawab yang didefinisikan
jelas dan dimengerti. Karena proses perangkat lunak
didefinisikan dengan jelas, maka manajemen mempunyai
Maturity model dapat digunakan untuk memetakan :
pengatahuan yang baik mengenai kemajuan proyek
1. Status pengelolaan TI perusahaan pada saat itu.
tersebut. Biaya, jadwal dan kebutuhan proyek dalam
2. Status standart industri dalam bidang TI saat ini pengawasan dan kualitas produk yang diawasi.
(sebagai pembanding)

3. status standart internasional dalam bidang TI saat ini


Level 4(Managed Level); Pada level ini, organisasi membuat
(sebagai pembanding)
suatu matrik untuk suatu produk, proses dan pengukuran
4. strategi pengelolaan TI perusahaan (ekspetasi hasil. Proyek mempunyai kontrol terhadap produk dan
perusahaan terhadap posisi pengelolaan TI perusahaan) proses untuk mengurangi variasi kinerja proses sehingga
terdapat batasan yang dapat diterima. Resiko perpindahan
Tingkat kemampuan pengelolaan TI pada skala maturity teknologi produk, prores manufaktur, dan pasar harus
dibagi menjadi 6 level : diketahui dan diatur secara hati-hati. Proses
pengembangan dapat ditentukan karena proses diukur dan
dijalankan dengan limit yang dapat diukur.
Level 0(Non-existent); perusahaan tidak mengetahui sama
sekali proses teknologi informasi di perusahaannya

Level 5(Optimized Level); Pada level ini, seluruh organisasi


Level 1(Initial Level); pada level ini, organisasi pada difokuskan pada proses peningkatan secara terus-
umumnya tidak menyediakan lingkungan yang stabil menerus. Teknologi informasi sudah digunakan
untuk mengembangkan suatu produk baru. Ketika suatu terintegrasi untuk otomatisasi proses kerja dalam
organisasi kelihatannya mengalami kekurangan perusahaan, meningkatkan kualitas, efektifitas, serta
pengalaman manajemen, keuntungan dari kemampuan beradaptasi perusahaan. Tim pengembangan
mengintegrasikan pengembangan produk tidak dapat produk menganalisis kesalahan dan defects untuk
ditentukan dengan perencanaan yang tidak efektif, respon menentukan penyebab kesalahannya. Proses
sistem. Proses pengembangan tidak dapat diprediksi dan pengembangan melakukan evaluasi untuk mencegah
tidak stabil, karena proses secara teratur berubah atau kesalahan yang telah diketahui dan defects agar tidak
dimodifikasi selama pengerjaan berjalan beberapa form terjadi lagi.
dari satu proyek ke proyek lain. Kinerja tergantung pada
kemampuan individual atau term dan varies dengan
keahlian yang dimilikinya.
Sumber : http://hanif720.blogspot.com/
Diposting oleh awianggara di 18.04 4 komentar sekilas tentang Control Objective for Information and
related Technology (COBIT)
Kirimkan Ini lewat EmailBlogThis!Berbagi ke Bagi kamu yang sama sekali baru mengenal COBIT
TwitterBerbagi ke FacebookBagikan ke Pinterest ,berikut overviewnya,langsung saja.
Label: Maturity model

Jumat, 28 Oktober 2011 COBIT~Control Objective for Information and


Langkah awal dalam penerapan COBIT related Technology
Masalah tata kelola IT dalam sebuah organisasi bisa
dibilang masalah yang gampang-gampang susah,
mengapa saya bilang begitu karena persoalan tata kelola
IT bisa jadi sangat subyektif sekaligus obyektif pula. Dikeluarkan dan disusun oleh IT Governance Institute
disebut subyektif ketika persoalan IT tersebut dilakukan yang merupakan bagian dari ISACA (Information
oleh seorang yang berpengalaman maka itu kemungkinan Systems Audit and Control Association) pada tahun
akan menjadi sangat mudah sebaliknya jika dilakukan 1996. hingga saat artikel ini di muat setidaknya sudah
oleh orang yang sama sekali tidak mengerti, maka itu ada 5 versi COBIT yang sudah diterbitkan, versi pertama
akan menjadi masalah yang besar. diterbitkan pada tahun 1996, versi kedua tahun 1998,
versi 3.0 di tahun 2000, Cobit 4.0 pada tahun 2005,
CObit 4.1 tahun 2007 dan yang terakhir ini adalah Cobit
Baca selengkapnya »
versi 5 yang di rilis baru-baru saja.
Diposting oleh awianggara di 09.56 5 komentar

Kirimkan Ini lewat EmailBlogThis!Berbagi ke


TwitterBerbagi ke FacebookBagikan ke Pinterest COBIT adalah merupakan kerangka panduan tata kelola
TI dan atau bisa juga disebut sebagai toolset pendukung
Label: Langkah awal dalam penerapan COBIT
yang bisa digunakan untuk menjembatani gap antara
Rabu, 26 Oktober 2011 kebutuhan dan bagaimana teknis pelaksanaan pemenuhan
sekilas tentang Control Objective for Information and kebutuhan tersebut dalam suatu organisasi. COBIT
related Technology (COBIT) memungkinkan pengembangan kebijakan yang jelas dan
Bagi kamu yang sama sekali baru mengenal COBIT sangat baik digunakan untuk IT kontrol seluruh
,berikut overviewnya,langsung saja. organisasi, membantu meningkatkan kualitas dan nilai
serta menyederhanakan pelaksanaan alur proses sebuah
organisasi dari sisi penerapan IT.

COBIT~Control Objective for Information and


related Technology Cobit berorientasi proses, dimana secara praktis Cobit
dijadikan suatu standar panduan untuk membantu
mengelola suatu organisasi mencapai tujuannya dengan
memanfaatkan TI. Cobit memberikan panduan kerangka
Dikeluarkan dan disusun oleh IT Governance Institute
kerja yang bisa mengenndalikan semua kegiatan
yang merupakan bagian dari ISACA (Information
organisasi secara detail dan jelas sehingga dapat
Systems Audit and Control Association) pada tahun
membantu memudahkan pengambilan keputusan di level
1996. hingga saat artikel ini di muat setidaknya sudah
top dalam organisasi.
ada 5 versi COBIT yang sudah diterbitkan, versi pertama
diterbitkan pada tahun 1996, versi kedua tahun 1998,
versi 3.0 di tahun 2000, Cobit 4.0 pada tahun 2005,
CObit 4.1 tahun 2007 dan yang terakhir ini adalah Cobit siapa saja yang menggunakan COBIT?, COBIT
versi 5 yang di rilis baru-baru saja. digunakan secara umum oleh mereka yang memiliki
tanggung jawab utama dalam alur proses organisasi,
mereka yang organisasinya sangat bergantung pada
kualitas,kehandalan dan penguasaan teknologi informasi.
COBIT adalah merupakan kerangka panduan tata kelola
TI dan atau bisa juga disebut sebagai toolset pendukung
yang bisa digunakan untuk menjembatani gap antara
kebutuhan dan bagaimana teknis pelaksanaan pemenuhan Cobit memiliki 4 Cakupan Domain :
kebutuhan tersebut dalam suatu organisasi. COBIT
memungkinkan pengembangan kebijakan yang jelas dan
sangat baik digunakan untuk IT kontrol seluruh 1. Perencanaan dan Organisasi (Plan and organise)
organisasi, membantu meningkatkan kualitas dan nilai
serta menyederhanakan pelaksanaan alur proses sebuah • Domain ini mencakup strategi dan taktik yang
organisasi dari sisi penerapan IT. menyangkut identifikasi tentang bagaimana TI dapat
memberikan kontribusi terbaik dalam pencapaian tujuan
bisnis organisasi sehingga terbentuk sebuah organisasi
yang baik dengan infrastruktur teknologi yang baik pula.
2. Pengadaan dan implementasi (Acquirw and COBIT dirancang terdiri dari 34 control objective yang
implement) tercermin di dalam 4 domain (IT Governance Institute,
• Untuk mewujudkan strategi TI, solusi TI perlu 2007)
diidentifikasi, dibangun atau diperoleh dan kemudian
diimplementasikan dan diintegrasikan dalam proses
bisnis.

3. Pengantaran dan dukungan (Deliver and Support)


• Domain ini berhubungan dengan penyampaian layanan
yang diinginkan, yang terdiri dari operasi pada security
dan aspek kesinambungan bisnis sampai dengan
pengadaan training.

4. Pengawasan dan evaluasi (Monitor and Evaluate)


• Semua proses TI perlu dinilai secara teratur dan berkala
bagaimana kualitas dan kesesuaiannya dengan kebutuhan
kontrol.

COBIT 5 adalah – Teknologi Informasi dapat membantu


membuat keputusan pada tingkatan manajerial, akan tetapi (Hariyanto, 2013) Menjelaskan mengenai domain terbagi
penerapan Teknologi Informasi membutuhkan biaya yang dalam 34 Control Objective:
cukup besar dengan resiko kegagalan yang tidak
kecil. Untuk membuat penerapan Teknologi Informasi di  Pengertian COBIT 5 dan Fungsinya for
dalam perusahaan dapat digunakan secara maksimal, Information Security
maka dibutuhkan pemahaman yang tepat mengenai  5 Prinsip Yang Mendasari COBIT 5
konsep dasar dari sistem yang berlaku, teknologi yang
 Sertifikasi Auditor CISA Manfaatnya Dalam
dimanfaatkan, aplikasi yang digunakan dan pengelolaan
Dunia Kerja
serta pengembangan sistem yang dilakukan pada
perusahaan tersebut.  TOGAF Adalah Kerangka yang Lebih Mudah
Beradaptasi Dengan Organisasi Perusahaan
COBIT 5 adalah a set of best practice (framework) bagi
pengelolaan teknologi informasi (IT management) yang 1. Plan and Organise (PO), Secara umum domain ini
secara lengkap terdiri dari: executive summary, meliputi strategi dan taktik, serta identifikasi bagaimana
framework, control objectives, audit guidelines, TI dapat berkontribusi terhadap pencapaian sasaran bisnis.
implementation tool set serta management Domain ini dibagi ke dalam 10 fase dalam prosesnya,
guidelines yang sangat berguna untuk proses sistem yaitu:
informasi strategis.
 PO1: Mendefinisikan rencana strategis TI
 PO2: Mendefinisikan arsitektur informasi
 PO3: Menentukan arahan teknologi
 PO4: Mendefinisikan proses TI, organisasi dan
keterhubungannya
 PO5: Melelola investasi TI
 PO6: Mengkomunikasikan tujuan dan arahan
manajemen
 PO7: Mengelola sumber daya TI
 PO8: Mengelola kualitas
 PO9: Menaksir dan mengelola resiko TI
 PO10: Mengelola proyek

2. Acquire and Implement (AI), Domain ini


menggambarkan bagaimana perubahan dan pemeliharaan
dari sistem yang ada selaras dengan sasaran bisnis.
Domain AI terbagi menjadi tujuh proses TI yang dapat
Control Objectives for Information and related
dilihat pada tabel berikut:
Technology (COBIT) berguna bagi IT users dalam
memperoleh keyakinan atas kehandalan sistem aplikasi
yang dipergunakan. Sedangkan para manajer memperoleh  AI1: Mengidentifikasi Solusi Otomatis
manfaat dalam keputusan saat menyusun strategic IT plan,  AI2: Memperoleh dan Memelihara Software
menentukan information architecture, dan keputusan atas Aplikasi
procurement (pengadaan/pembelian) inventaris  AI3: Memperoleh dan Memlihara Infrastruktur
organisasi. Teknologi
 AI4: Memungkinkan Operasional dan Pengertian COBIT 5 – Informasi merupakan sumber daya
Penggunaan utama bagi enterprise. Teknologi memegang peranan
 AI5: Memenuhi Sumber Daya TI penting yang dapat meningkatkan fungsi informasi pada
enterprise, sosial, publik dan lingkungan bisnis. COBIT 5
 AI6: Mengelola Perubahan
memberikan layanan kerangka kerja secara komprehensif
 AI7: Instalasi dan Akreditasi Solusi beserta untuk membantu pemerintah dan manajemen IT dalam
Perubahannya sebuah perusahaan mencapai tujuan yang diharapkan.
COBIT 5 for Information Security yang digambarkan
3. Deliver and Support (DS), Domain ini mencakup pada gambar 1 merupakan bagian dari COBIT 5 secara
penyampaian hasil aktual dari layanan yang diminta, utuh, dimana fokus pada COBIT 5 for Information
termasuk pengelolaan kelancaran dan keamanan, Security lebih ditekankan pada keamanan informasi dan
dukungan layanan terhadap pengguna serta pengelolaan memberikan gambaran secara detil dan praktikal tentang
data dan operasional fasilitas, yang meliputi: panduan bagi para profesional keamanan informasi dan
orang-orang yang merupakan bagian dari enterprise yang
memiliki ketertarikan di bidang keamanan informasi.
 DS1: Mengidentifikasi dan Mengelola Tingkat
Secara umum, saya dapat mengatakan pengertian COBIT
Layanan
5 adalah sebuah framework atau kerangka kerja yang
 DS2: Mengelola Layanan Pihak Ketiga memberikan layanan kepada enterprise, baik itu sebuah
 DS3: Mengelola Kinerja dan Kapasitas perusahaan, organisasi, maupun pemerintahan dalam
 DS4: Memastikan Layanan yang Berkelanjutan mengelola dan memanajemen aset atau sumber daya IT
 DS5: Memastikan Keamanan Sistem untuk mencapai tujuan enterprise tersebut.
 DS6: Mengidentifikasi dan Mengalokasikan
Biaya
 DS7: Mendidik dan Melatih Pengguna
 DS8: Mengelola service desk
 DS9: Mengelola Konfigurasi
 DS10: Mengelola Permasalahan
 DS11: Mengelola Data
 DS12: Mengelola Lingkungan Fisik
 DS13: Mengelola Operasi

Gambar 1. Cobit 5 Framework


4. Monitor and Evaluate (ME), Domain ini terkait
dengan kinerja manajemen, kontrol internal, pemenuhan
terhadap aturan serta menyediakan tata kelola. Fungsi Pada COBIT 5, proses-proses seperti APO13 Manage
doman ini sendiri adalah untuk memastikan seluruh proses Security, DSS04 Manage Continuity dan DSS05 Manage
TI dapat dikontrol secara periodik yang bermaksud untuk Security Services memberikan panduan dasar
menjaga kualitas dan pemenuhan kebutuhan pasar. mengidentifikasi, mengoperasikan dan memonitor sistem
Berbeda dari domain yang lain, ME hanya terdiri dari 4 untuk manajemen keamanan secara umum. Gambaran
proses TI, yaitu: mengenai proses-proses tersebut dapat dilihat pada
Gambar 2 berikut ini.
 ME1: Mengawasi dan Mengevaluasi Kinerja TI
Baca:
 ME2: Mengawasi dan Mengevaluasi Kontrol
Internal
 ME3: Memastikan Pemenuhan terhadap  Manfaat Sertifikasi CISA Dalam Dunia Kerja
Kebutuhan Eksternal  Benarkah Penetration Testing Kunci Keamanan
 ME4: Menyediakan Tata Kelola TI Perusahaan?

Implementasi COBIT dipercaya dapat membantu


perusahaan dalam hal meningkatkan pendekatan/program
audit, mendukung audit kerja dengan arahan audit secara
rinci, memberikan petunjuk untuk IT governance, sebagai
penilaian benchmark untuk kendali IS/IT, meningkatkan
control IS/IT, dan sebagai standarisasi
pendekatan/program audit.

IT Governance Indonesia ( ITGID ) merupakan lembaga


pengembangan bidang teknologi informasi, ITGID siap
membantu perusahaan anda mencapai tujuan yang
diharapkan, dengan mengadakan Pelatihan COBIT 5.
Untuk informasi lebih lengkap dapat lihat
di: https://itgid.org/training/
Gambar 2. Proses Manajemen IT pada COBIT 5
Tujuan utama pengembangan COBIT 5 for Information Pengertian Keamanan Informasi
Security:
ISACA mendefinisikan keamanan informasi sebagai:
Menggambarkan keamanan informasi pada enterprise
termasuk: “Ensures that within the enterprise, information is
protected against disclosure to unauthorised users
 Responsibilities terhadap fungsi IT pada (confidentiality), improper modification (integrity) and
keamanan informasi. non-access when required (availability).”
 Aspek-aspek yang akan meningkatkan
efektivitas kepemimpinan dan manajemen  Confidentiality berarti menjaga hak akses dan
keamanan informasi seperti struktur organisasi, penggunaan wewenang untuk melindungi
aturan-aturan dan kultur. privacy dan kepemilikan informasi.
 Hubungan dan jaringan keamanan informasi  Integrity berarti menjaga informasi dari
terhadap tujuan enterprise. modifikasi atau perusakan dan termasuk
memastikan bahwa informasi yang ada
Memenuhi kebutuhan enterprise untuk: merupakan informasi asli dan tidak ada
penolakan (non-repudiation) jika akan dilakuan
pembuktian terhadap sistem.
 Menjaga risiko keamanan pada level yang
 Availability berarti memastikan dalam hal
berwenang dan melindungi informasi terhadap
waktu dan kehandalan dalam mengakses dan
orang yang tidak berkepentingan atau tidak
menggunakan informasi agar selalu tersedia.
berwenang untuk melakukan modifikasi yang
dapat mengakibatkan kekacauan.
 Memastikan layanan dan sistem secara Meskipun terdapat beberapa definisi yang berbeda,
berkelanjutan dapat digunakan oleh internal dan definisi menurut ISACA di atas merupakan definisi dasar
eksternal stakeholders. dari keamanan informasi yang mengakomodir aspek
confidentiality, integrity dan availability (CIA). Konsep
 Mengikuti hukum dan peraturan yang relevan.
CIA sendiri merupakan konsep yang telah diakui secara
global. Cobit 5 for Information Security didasari pada
Sebagai tambahan, pengembangan COBIT 5 for prinsip yang terdapat pada kerangka kerja (framework)
Information Security untuk memberikan fakta bahwa COBIT 5 yang dapat digambarkan pada gambar 3 berikut.
keamanan informasi merupakan salah satu aspek penting
dalam operasional sehari-hari pada enterprise.
Baca Juga:

Keunggulan
 Pentingnya Implementasi COBIT bagi IT
Perusahaan
Menggunakan COBIT 5 for Information Secutiry
 Mau Menjadi Professional IT Auditor, Saatnya
memberikan sejumlah kemampuan yang berhubungan
Sertifikasi CISA!
dengan keamanan informasi untuk perusahaan sehingga
dapat menghasilkan manfaat perusahaan seperti:

 Mengurangi kompleksitas dan meningkatkan


efektivitas biaya karena integrasi yang lebih
baik dan lebih mudah.
 Meningkatkan kepuasan pengguna.
 Meningkatkan integrasi keamanan informasi
dalam perusahaan.
 Menginformasikan risiko keputusan dan risk
awareness.
 Meningkatkan pencegahan, deteksi dan
pemulihan.
 Mengurangi insiden (dampak) keamanan
informasi. Gambar 3. Prinsip COBIT 5
 Meningkatkan dukungan untuk inovasi dan
daya saing. Prinsip COBIT 5
 Meningkatkan pengelolaan biaya yang
berhubungan dengan fungsi keamanan Prinsip 1. Meeting Stakeholder Needs
informasi.
 Pemahaman yang lebih baik dari keamanan Keberadaan sebuah perusahaan untuk menciptakan nilai
informasi. kepada stakeholdernya – termasuk stakeholders untuk
keamanan informasi – didasarkan pada pemeliharaan
Keamanan Informasi keseimbangan antara realisasi keuntungan dan
optimalisasi risiko dan penggunaan sumber daya yang
ada. Optimalisasi risiko dianggap paling relevan untuk 1. Principles, Policies and Frameworks
keamanan informasi. Setiap perusahaan memiliki tujuan 2. Processes
yang berbeda-beda sehingga perusahaan tersebut harus 3. Organisational Strucutres
mampu menyesuaikan atau melakukan customize COBIT 4. Culture, Ethics and Behaviour
5 ke konteks perusahaan yang dimiliki. 5. Information
6. Services, Infrastructure and Applications
Prinsip 2. Covering the Enterprise End-to-End 7. People, Skills and Competencies

COBIT 5 mengintegrasikan IT enterprise pada organisasi Prinsip 5. Separating Governance from Management
pemerintahan dengan cara:
COBIT 5 dengan tegas membedakan pemerintahan dan
manajemen. Kedua disiplin ini memiliki tipe aktivitas
 Mengakomodasi seluruh fungsi dan proses yang
yang berbeda, membutuhkan struktur organisasi yang
terdapat pada enterprise. COBIT 5 tidak hanya
berbeda dan memiliki tujuan yang berbeda. COBIT 5
fokus pada ‘fungsi IT’, namun termasuk pada
melihat perbedaan tersebut berdasarkan sudut pandang
pemeliharaan informasi dan teknologi terkait
berikut.
sebagai aset layaknya aset-aset yang terdapat
pada enterprise.
 Mengakomodasi seluruh stakeholders, fungsi
dan proses yang relevan dengan keamanan
informasi.

Prinsip 3. Applying a Single, Integrated Network

COBIT 5 dapat disesuaikan dengan standar dan


framework lain, serta mengizinkan perusahaan untuk
menggunakan standar dan framework lain sebagai lingkup Pada praktiknya, terdapat perbedaan roles dari keamanan
manajemen kerangka kerja untuk IT enterprise. COBIT 5 informasi pemerintahan dan manajemen yang dapat
for Information Security membawa pengetahuan dari versi digambarkan pada gambar 2 dimana terdapat proses-
ISACA sebelumnya seperti COBIT, BMIS, Risk IT, Val proses yang dilakukan pemerintahan dan proses-proses
IT dengan panduan dari standar ISO/IEC 27000 yang yang dilakukan manajemen. Masing-masing memiliki
merupakan standar ISF untuk keamanan informasi dan responsibilities atau tanggung jawab yang berbeda.
U.S. National Institute of Standars and Technology
(NIST) SP800-53A.
Penggunaan COBIT 5 Enablers pada Praktik
Implementasi Keamanan Informasi
Prinsip 4. Enabling a Holistic Approach
Secara umum, COBIT 5 mendefinisikan enablers ke
Pemerintahan dan manajemen perusahaan IT yang efektif dalam dimensi yang dapat dilihat pada gambar 5.
dan efisien membutuhkan pendekatan secara holistik atau Pendefinisian enablers dalam bentuk dimensi ini akan
menyeluruh. COBIT 5 mendefinisikan kumpulan pemicu memberikan cara sederhana dan terstruktur agar dapat
yang disebut enabler untuk mendukung implementasi dengan mudah memanajemen interaksi yang kompleks.
pemerintahan yang komprehensif dan manajemen sistem
perusahaan IT dan informasi. Enablers adalah faktor
individual dan kolektif yang mempengaruhi sesuatu agar
dapat berjalan atau bekerja. Kerangka kerja COBIT 5
mendefinisikan 7 kategori enablers yang dapat dilihat
pada gambar 4 berikut.

Gambar 5. COBIT 5 Enablers: General

Gambaran implementasi dari ketujuh enabler (Principles,


Policies and Frameworks, Processes, Organisational
Strucutres, Culture, Ethics and Behaviour,
Information, Services, Infrastructure and Applications,
People, Skills and Competencies) pada COBIT 5 secara
Gambar 4. COBIT 5 Enabler umum digambarkan pada gambar 5. Aktivitas-aktivitas
spesifiknya dapat dilihat pada buku panduan detil dari
COBIT 5 for Information Security (Appendix A-H).
7 enablers yang digunakan pada COBIT 5 meliputi:
Sebagai contoh, salah satu enabler pada panduan tersebut Kesimpulan
dapat dilihat pada rincian berikut.
COBIT 5 Framework merupakan kerangka kerja yang
DSS01 Manage Operations dapat digunakan sebuah organisasi, pemerintahan,
perusahaan atau enterprise untuk membantu mencapai
tujuan yang diingingkan. Pada COBIT 5 sendiri terdapat
bagian yang khusus membahas tentang Kemanan
Informasi yang dikenal dengan nama COBIT 5 for
Information Security dimana dapat memberikan panduan
secara komprehensif kepada perusahaan terkait aspek
keamanan informasi pada sebuah perusahaan.

IT Governance Indonesia ( ITGID ) merupakan lembaga


pengembangan bidang teknologi informasi, ITGID siap
membantu perusahaan anda mencapai tujuan yang
diharapkan, dengan mengadakan Pelatihan COBIT 5.
Untuk informasi lebih lengkap dapat lihat
di: https://itgid.org/training/

Sertifikasi CISA sangat menguntungkan untuk masa


depan di dunia IT, dengan sertifikasi ini Anda akan lebih
dipercaya sebagai auditor IT, dan peluangnya sangat besar
dalam meraih penghasilan di bidang IT Auditor, karena
pesaingnya masih sangat sedikit terutama di Indonesia.

CISA diselengarakan oleh ISACA (Information Systems


Roles dan Struktur Keamanan Informasi Audit and Control Association). Sertifikasi CISA sudah
berlangsung sejak tahun 1978. Pengaturan dalam ujian
Pada beberapa tipikal enterprise, roles dan struktur CISA yang pertama dilaksanakan pada tahun 1981, dan
keamanan informasi dapat digambarkan pada gambar 6. jumlah pendaftar selalun bertambah pada tiap tahunnya.
Baris 1, 2 dan 3 merupakan roles dan struktur yang biasa Hampir di atas 60.000 auditor.
ditemukan.
Calon-calon yang akan mengikiuti sertifikasi CISA harus
melewati ujian tertulis selanjutnya harus setuju pada
aturan ISACA Professional Ethics, menyerahkan bukti
dari sedikitnya lima tahun pengalaman profesional
bidang auditing, pengedalian , atau keamanan IT dan
lainnya.

Keberhasilan dalam ujian CISA, menuntut kandidat


memiliki kesiapan khusus dan juga pengalaman yang
memadai di bidang audit sistem informasi. Untuk itu,
Pada praktiknya, masing-masing roles/structure pada
CISA diakui secara internasional sebagai professional
gambar 6 di atas akan memiliki:
dengan pengetahuan, keterampilan, pengalaman dan
kredibilitas dengan standar leverage, mengelola
 Composition – Kemampuan yang harus dimiliki kerentanan, memastikan kepatuhan, menawarkan solusi,
oleh seluruh anggota organisasi. kontrol lembaga dan memberikan nilai bagi perusahaan.
 Mandate, Operating Principles, Span of Control
and Authority Level Baca juga
 High-level RACI Chart – Tingkat
Responsibilities, Accountable, Consulted dan
Informed.  Cara Mendapatkan Sertifikat CISA
 Inputs/Outputs  Sertifikasi Auditor CISA Manfaatnya Dalam
Dunia Kerja
 Berikut 9 Tips Terbaik Lulus Ujian CISA
Sebagai tambahan, secara spesifik roles keamanan
informasi dapat dibuat tergantung dengan kondisi
 Penetration Testing Menyempurnakan Program
Keamanan Informasi
enterprise. Contohnya, tipikal roles pada tim keamanan
informasi adalah:  Persiapan Ujian CISA

Berikut adalah daftar top tips untuk lulus Ujian CISA :


 Administrator Keamanan Informasi
 Arsitek Keamanan Informasi
 Auditor Keamanan Informasi 1. Kupas Tuntas CRM
ISACA menyediakan Ulasan Manual (CRM) yang ITGID merupakan lembaga pengembangan bidang
berfungsi sebagai panduan untuk ujian CISA. CRM teknologi informasi. ITGID (Member Of Proxsis
membahas semua rincian yang terkait dengan ujian CISA Consulting Group) telah menandatangani Surat Perjanjian
dan mendefinisikan peran dan tanggung jawab dari suatu Kerjasama Penyelenggaraan ISACA Certification Review
sistem informasi auditor. Course 2016, antara Proxsis dengan ISACA Chapter
Indonesia. Materi dan trainer khusus training ISACA
2. Praktik CISA Review Pertanyaan dan adalah resmi dari ISACA. Untuk informasi lebih lanjut
Jawaban mengenai Training CISA dapat lihat
di: //itgid.org/training/
Calon peserta dapat menggunakan sampel pertanyaan dan
jawaban untuk memahami konsep yang sulit dan Untuk Persiapan Ujian Training CISAnya dapat di lihat
meningkatkan persiapan ujian CISA dalam mencapai di https://itgid.org/cisa-exam-preparation-jakarta/
sertifikasi CISA. Pertanyaan-pertanyaan review dan
jawaban dirancang untuk memberikan gambaran dari
ujian CISA.

3. Pengalaman Dalam Sistem Informasi Audit

Untuk memenuhi syarat dalam program sertifikasi


profesional seperti CISA, sangat penting untuk
mendapatkan pengalaman di bidang praktis. IT audit yang
sama seperti jenis audit lainnya namun dengan lingkup
yang berbeda. Seorang profesional harus memiliki
gagasan tentang pemahaman proses bisnis, pemeriksaan
lingkup, perencanaan audit dan pelaporan dalam hal
industri nyata.

4. Jam Belajar
Prinsip COBIT 5 – Enabler adalah segala sesuatu yang
dapat membantu pencapaian tujuan dari perusahaan.
Menjadi seorang profesional, bisa sulit bagi calon untuk COBIT 5 mendefinisikan 7 kategori enabler :
mengelola jam belajar untuk persiapan ujian CISA.
Namun, mengelola jam belajar per bidang studi sangat
1. Prinsip, aturan dan kerangka kerja (principles,
penting untuk meraih sukses dalam ujian CISA. Satu dapat
policies and framework)
mendedikasikan 1-2 jam secara teratur untuk
2. Proses-proses (processes)
meningkatkan persiapan ujian CISA menuju pilar
3. Struktur organisasi (organisational structures)
kesuksesan.
4. Budaya, etika dan perilaku (culture, ethics and
behaviour)
5. Bergabung dengan Grup dan Forum CISA 5. Informasi (information)
6. Layanan, infrastruktur dan aplikasi (Service,
Peserta dapat bergabung dengan Grup dan infrastructure and application)
Forum CISA untuk berinteraksi dengan calon peserta 7. Orang, keahlian dan kompetensi (people, skills
CISA ataupun alumni CISA yang sudah lulus ujian. Ada and competencies)
berbagai forum diskusi di sertifikasi CISA. Platform
tersebut dapat menyediakan baik pengetahuan teoritis dan Baca:
praktis tentang IS audit, dengan demikian membantu
meningkatkan persiapan ujian CISA menuju pencapaian
kelulusan yang lebih baik.  Pengertian COBIT 5 dan Fungsinya for
Information Security
 ISO 27001 Sebagai Ikon Standarasi
6. Ikut dalam Training CISA Exam
Manajemen Keamanan Informasi
Preparation Class

COBIT 5 didasari oleh 5 prinsip kunci dalam menjalankan


Calon peserta dapat mengikuti training dalam persiapan
governance dan management suatu IT enterprise. Kelima
mengikuti ujian CISA yang diadakan oleh organisasi atau
prinsip COBIT 5 tersebut yaitu :
lembaga-lembaga training. Hal ini dapat memudahkan
calon peserta dalam menangkap garis merah apa saja yang
keluar saat nanti ujian CISA dan dengan melakukan  Prinsip COBIT 5 pertama : Meeting
training CISA ini calon peserta akan menambah stakeholder needs
pertemanan dengan calon peserta lainnya yang COBIT 5 terdiri atas proses-proses dan enabler
sebelumnya belum calon peserta kenal. Hal ini bisa untuk mendukung penciptaan nilai bisnis
menjadi hal yang positif untuk saling share dan menjadi melalui penerapan IT. Sebuah perusahaan dapat
rekan untuk belajar bersama. menyesuaikan COBIT 5 dengan konteks
perusahaan tersebut .
 Prinsip COBIT 5 kedua : Covering the merencanakan, membangun, menjalankan dan
enterprise end-to-end me-monitor aktivitas yang diselaraskan dengan
COBIT 5 mengintegrasikan pengelolaan IT arahan yang ditetapkan oleh organisasi
perusahaan terhadap tatakelola perusahaan. Hal governance untuk mencapai objektif dari
ini dimungkinkan karena perusahaan.
 COBIT 5 mencakup seluruh fungsi
dan proses yang ada di perusahaan. IT Governance Indonesia ( ITGID ) merupakan lembaga
COBIT 5 tidak hanya fokus pada pengembangan bidang teknologi informasi, ITGID siap
fungsi IT, tapi menjadi teknologi dan membantu perusahaan anda untuk mengimplementasikan
informasi tersebut sebagai aset yang COBIT 5, dengan mengadakan Pelatihan COBIT 5.
berhubungan dengan aset-aset lain Untuk informasi lebih lengkap dapat lihat
yang dikelola semua orang di dalam di: https://itgid.org/training/
sebuah perusahaan.
 COBIT 5 mempertimbangkan seluruh Tata KelolaTeknologiInformasi
enabler dari governance dan
management terkait IT dalam sudut Definisitatakelola TI
pandang perusahaan dan end-to-end.
Artinya COBIT 5 Adalah suatu cabang dari tatakelola perusahaan yang
mempertimbangkan seluruh entitas di terfokus pada Sistem/Teknologi informasi serta
perusahaan sebagai bagian yang manajemen Kinerja dan risikonya.
saling mempengaruhi.
Tata kelola TI
 Prinsip COBIT 5 ketiga : Applying a single,
adalahstrukturkebijakanatauprosedurdankumpulanproses
integrated framework
yang yang
COBIT 5 selaras dengan standar-standar terkait
bertujuanuntukmemastikankesesuaianpenerapan TI
yang biasanya memberi panduan untuk sebagian
dengandukungannyaterhadappencapaiantujuaninstitusi,
dari aktivitas IT. COBIT 5 adalah framework
dengancaramengoptimalkankeuntungandankesempatan
yang membahas high level terkait governance
yang ditawarkan TI,
dan management dari IT perusahaan. COBIT 5
mengendalikanpenggunaanterhadapsumberdaya TI
menyediakan panduan high level dan panduan
danmengelolaresiko-resikoterkait TI
detailnya disediakan oleh standar-standar terkait
lainnya. Tatakelolateknologiinformasibukanbidang
yangterpisahdaripengelolaanperusahan,
Baca Juga: melainkanmerupakankomponenpengelolaanperusahaanse
carakeseluruhan,
dengantanggungjawabutamasebagaiberikut:
 Manfaat Sertifikasi CISA Dalam Dunia Kerja
 Benarkah Penetration Testing Kunci Keamanan 1. Memastikan kepentingan stakeholder diikutsertakan
Perusahaan? dalampenyusunanstrategiperusahaan.
 Prinsip COBIT 5 keempat: Enabling a
holistic approach 2. Memberikan arahan kepada proses-proses yang
Governance dan management IT perusahaan menerapkanstrategiperusahaan.
yang efektif dan efisien membutuhkan 3. Memastikan proses-proses tersebut menghasilkan
pendekatan yang bersifat menyeluruh, yaitu keluaran yang terukur.
mempertimbangkan komponen-
komponen yang saling berinteraksi. COBIT 5 4. Memastikanadanyainformasimengenaihasil yang
mendefiniskan sekumpulan enabler untuk diperolehdanmengukurnya.
mendukung implementasi governance dan
management sistem IT perusahaan secara 5. Memastikan keluaran yg dihasilkan sesuai
komprehensif. dgnygdiharap
 Prinsip COBIT 5 kelima : Separating
Pentingnya Tata Kelola TI
governance from management
COBIT 5 memberikan pemisahan yang jelas Di lingkungan yang
antara management dan governance. Kedua hal sudahmemanfaatkanTeknologiInformasi (TI), tatakelola
ini meliputi aktivitas yang TI menjadihalpenting yang harusdiperhatikan. Hal
berbeda,membutuhkan struktur organisasi yang inidikarenakanekspektasidanrealitasseringkalitidaksesuai.
berbeda dan melayani tujuan yang berbeda. Pihakshareholder perusahaanselaluberharap agar
Menurut COBIT 5, governance memastikan perusahaandapat :
kebutuhan, kondisi dan pilihan dari stakeholder
dievaluasi untuk menentukan objektif dari 1. Memberikansolusi TI dengankualitas yang bagus,
perusahaan yang akan disepakati untuk dicapai. tepatwaktu, dansesuaidengananggaran.
Governance memberikan arah bagi penentuan
prioritas dan pengambilan keputusan. Selain itu, 2. Menguasaidnmenggunakan TI
governance juga me-monitor kinerja dan untukmendatangkankeuntungan.
kesesuaian terhadap objektif yang telah
disepakati.
Sementara, management meliputi aktivitas
3. Menerapkan TI mengoptimalkanpenggunaanbiayasehinggapadaakhirnya
untukmeningkatkanefisiensidanproduktifitassambilmena TI dapatmencapaihasil yang diinginkan
nganirisiko TI.
Resource management

Fokuspadakegiatan yang
Pengabaian Tata Kelola TI dapatmengoptimalkandanmengelolasumberdaya TI, yang
terdiridariaplikasi, informasi, infrastruktur,
Tata kelola TI yang dansumberdayamanusia
dilakukansecaratidakefektifakanmenjadiawalterjadinyape
ngalamanburuk dihadapiperusahaan, yang Risk management
memicumunculnyafenomenainvestasi TI yang
tidakdiharapkan, seperti: Untuk melaksanakan pengelolaan terhadap risiko,
dibutuhkan
1. Kerugianbisnis, berkurangnyareputasi, kesadarananggotaorganisasidalammemahamiadanyarisik
danmelemahnyaposisikompetisi. o, kebutuhan organisasi, dan risiko – risiko signifikan
yang dapat terjadi,
2. Tenggangwaktu yang terlampaui, biayalebihtinggidari sertamenanamkantanggungjawabdalammengelolarisiko
yang diperkirakan, dankualitaslebihrendahdari yang yang ada di organisasi.
telahdiantisipasi.
Performance measurement
3.
Efisiensidanprosesintiperusahaanterpengaruhsecaranegati Mengikuti dan mengawasi jalannya pelaksanaan rencana,
folehrendahnyakualitaspenggunaan TI. pelaksanaan proyek, pemanfaaatan sumber daya, kinerja
poses, penyampaian layanan sampai dengan pencapaian
4. Kegagalandariinisiatif TI hasil TI
untukmelahirkaninovasiataumemberikankeuntungan
yang dijanjikan MODEL TATAKELOLA TEKNOLOGI
INFORMASI

1. The IT Infrastructure Library (ITIL)


Manfaat Tata kelola TI
ITIL dikembangkanoleh The Office of Government
adalahuntukmengaturpenggunaan TI, Commerce (OGC)
danmemastikankinerja TI suatubadandibawahpemerintahInggris,
sesuaidengantujuan/fokusutama area tatakelola TI denganbekerjasamadengan The IT Service Management
Forum (itSMF) dan British
Fokus utama Area Tata Kelola TI
Standard Institute (BSI)

ITIL merupakansuatu framework pengelolaanlayanan TI


(IT Service

Management – ITSM) yang


sudahdiadopsisebagaistandarindustripengembanganindus
triperangkatlunakdidunia.

MODEL TATAKELOLA TEKNOLOGI


INFORMASI

ITSM memfokuskandiripada 3 (tiga) tujuanutama, yaitu:

1. Menyelaraskanlayanan TI dengankebutuhansekarang
dan akan datang dari bisnis dan pelanggannya.
Strategic alignment 2. Memperbaiki kualitas layanan-layanan TI.

 Memastikan adanya hubungan perencanaan 3.


organisasi dan TI dengan cara menetapkan, Mengurangibiayajangkapanjangdaripengelolaanlayanan-
layanantersebut
memelihara, serta menyesuaikan operasional
TI dengan operasional organisasi. Standar ITIL berfokuskepadapelayanancustomer, dan
sama sekali tidak menyertakan proses penyelarasan
strategi perusahaan terhadap strategi TI yang
Value delivery dikembangkan.

Fokusdenganmelaksanakan proses TI agar supaya proses MODEL TATAKELOLA TEKNOLOGI


tersebutsesuaidengansiklusnya, INFORMASI
mulaidarimenjalankanrencana, memastikan TI
dapatmemberikanmanfaat yang diharapkan, 2. ISO/IEC 17799
ISO/IEC 17799 dikembangkanolehThe International MODEL TATAKELOLA TEKNOLOGI
Organization for Standardization (ISO) dan INFORMASI
The International Electrotechnical Commission (IEC) 3.3. Unit/AktifitasTerhadapOrganisasi
ISO/IEC 17799 bertujuanmemperkuat 3 (tiga) element
dasarkeamananinformasi, yaitu: Dimensi ini mengidentifikasikan unit/aktifitas pada
organisasi yang menghubungkankontrol internal.
1. Confidentiality –
memastikanbahwainformasihanyadapatdiaksesoleh yang Kontrol internal menyangkutkeseluruhanorganisasidan
berhak. semua bagian-bagiannya. Kontrol internal
seharusnyadiimplementasikanterhadap unit-unit
2. Integrity – danaktifitasorganisasi.
menjagaakurasidanselesainyainformasidanmetodepemros
esan. MODEL TATAKELOLA TEKNOLOGI
INFORMASI
3. Availability – memastikanbahwa user yang terotorisasi
mendapatkan akses kepada informasi danaset yang 4. Control Objectives for Information and related
terhubungdengannyaketikamemerlukannya
Technology (COBIT)
MODEL TATAKELOLA TEKNOLOGI
INFORMASI COBIT Framework dikembangkanoleh IT Governance
Institute, sebuahorganisasi yang melakukanstuditentang
3. COSO model pengelolaan TI yang berbasisdiAmerikaSerikat

COSO merupakankependekandari Committee of COBIT Framework terdiriatas 4 domain utama:


Sponsoring Organization of the TreadwayCommission,
sebuah organisasi di Amerika yang 1. Planning & Organisation.
berdedikasidalammeningkatkankualitaspelaporanfinansia
2. Acquisition & Implementation.
lmencakupetikabisnis, kontrol internal dancorporate
governance 3. Delivery & Support.
MODEL TATAKELOLA TEKNOLOGI 4. Monitoring.
INFORMASI
MODEL TATAKELOLA TEKNOLOGI
COSO framework terdiridari 3 dimensiyaitu: INFORMASI
3. 1. Komponenkontrol COSO 1. Planning & Organisation.
COSO mengidentifikasi 5 komponenkontrol yang Domain ini menitikberatkan pada proses perencanaan
diintegrasikan dan dijalankan dalam semua unit bisnis, dan penyelarasan strategi TI dengan strategi perusahaan.
danakanmembantumencapaisasarankontrol internal:
2. Acquisition & Implementation.
a. Monitoring.
Domain ini menitikberatkan pada proses pemilihan,
b. Information and communications. pengadaaan dan penerapan teknologi informasi yang
digunakan.
c. Control activities.
3. Delivery & Support.
d. Risk assessment.
Domain ini menitikberatkan pada proses pelayanan TI
e. Control environment.
dan dukungan teknisnya.

4. Monitoring.
MODEL TATAKELOLA TEKNOLOGI Domain ini menitikberatkan pada proses pengawasan
INFORMASI pengelolaan TI pada organisasi.
3.2. Sasarankontrol internal MODEL TATAKELOLA TEKNOLOGI
INFORMASI
Sasaran kontrol internal dikategorikan menjadi beberapa
area sebagaiberikut: COBIT mempunyai model kematangan (maturity
a. Operations – efisisensi dan efektifitas operasi dalam models), untuk mengontrol proses-proses TI dengan
mencapai sasaran bisnis yang juga meliputi tujuan menggunakan metode penilaian (scoring) sehingga suatu
performansi dan keuntungan. organisasi dapat menilai proses-proses TI yang
dimilikinya dari skala non-existent sampai dengan
b. Financial reporting – optimised (dari 0 sampai 5).
persiapanpelaporananggaranfinansial yang
dapatdipercaya. MODEL TATAKELOLA TEKNOLOGI
INFORMASI
c. Compliance – pemenuhanhukumdanaturanyang
dapatdipercaya.
COBIT jugamempunyaiukuran- Ajukan Surat Permohonan Perpanjangan Kontrak
ukuranlainnyasebagaiberikut: Katalog dalam waktu maksimal 6 s/d 3 bulan sebelum
Masa Kontrak Katalog berakhir.
1. Critical Success Factors (CSF) – mendefinisian

2. Key Goal Indicators (KGI) – mendefinisikan

3. Key Performance Indicators (KPI) – mendefinisikan

Critical Success Factors (CSF) –

mendefinisian hal-hal atau kegiatan penting yang dapat


digunakan manajemen untuk dapat mengontrol proses-
proses TI di organisasinya.

2. Key Goal Indicators (KGI) –

Mendefinisikanukuran-ukuran yang akan memberikan


gambaran kepada manajemen apakah proses-proses TI
yang adatelahmemenuhikebutuhanprosesbisnis yang ada.
KGI biasanyaberbentukkriteriainformasi:

a. Ketersediaaninformasi yang
Apa itu sirup?
diperlukandalammendukungkebutuhanbisnis.
SiRUP adalah aplikasi Sistem Informasi Rencana Umum
b. Tidakadanyaresikointegritasdankerahasiaandata. Pengadaan berbasis Web (Web based) yang fungsinya
sebagai sarana atau alat untuk mengumumkan
c. Efisiensibiayadariproses dan operasiyang dilakukan. RUP.SiRUP bertujuan untuk mempermudah pihak
PA/KPA dalam mengumumkan RUPnya. ... Aplikasi dan
d. Konfirmasireliabilitas, efektifitas, dan compliance. Database SIRUP ter-cetralized pada satu server milik
LKPP.
3. Key Performance Indicators (KPI) – Rencana Umum Pengadaan (RUP)
mendefinisikanukuran-ukuranuntukmenentukankinerja adalah Rencana yang berisi kegiatan dan
proses-proses TI dilakukanuntukmewujudkantujuan yang anggaran Pengadaan Barang/Jasa yang akan dibiayai
telah ditentukan. KPI biasanya berupa indikator oleh Kementerian/Lembaga/Satuan Kerja Perangkat
kapabilitas, pelaksanaan, dan kemampuan sumberdaya Daerah/Institusi lainnya (K/L/D/I) sendiri dan/atau
TI. dibiayai berdasarkan kerja sama antar K/L/D/I secara
pembiayaan bersama (co-financing).
Pemberitahuan: Apa itu sikap di LKPP?
Sistem Informasi Kinerja Penyedia (SIKaP)
Mulai 1 Juli 2018 sudah dilakukan penerapan ... SiKAP atau yang biasa juga disebut Vendor
aturan pembatasan nilai sesuai Perpres 16/2018 Management System (VMS) merupakan sebuah
dimana PP maksimal pemesanan ePurchasing s/d 200jt subsistem dari Sistem Pengadaan secara Elektronik yang
rupiah, sedangkan PPK melakukan ePurchasing di atas digunakan untuk mengelola data/informasi mengenai
200jt rupiah. riwayat kinerja dan/ data kualifikasi penyedia barang/jasa
yang dikembangkan oleh LKPP.28 Jan 201
Ongkos kirim bersifat at cost (sesuai dengan jumlah
Apa itu SIKaP di LKPP?
pengeluaran riil yang tercantum dalam invoice).
Sistem Informasi Kinerja Penyedia (SIKaP)
Apabila produk sudah tayang dan penyedia bermaksud ... SiKAP atau yang biasa juga disebut Vendor
mengubah data produk (tambah lampiran, ubah masa Management System (VMS) merupakan sebuah
berlaku produk, dll), harap menyampaikan Surat subsistem dari Sistem Pengadaan secara Elektronik yang
Permohonan kepada Direktur Pengembangan Sistem digunakan untuk mengelola data/informasi mengenai
Katalog disertai alasan/penjelasan detail untuk riwayat kinerja dan/ data kualifikasi penyedia barang/jasa
permohonan tersebut untuk dibukakan akses Edit yang dikembangkan oleh LKPP.28 Jan 2015
produknya. LPSE itu apa ya?
Layanan Pengadaan Secara Elektronik (LPSE) adalah
Bagi Penyedia Katalog Elektronik yang akan unggah data suatu unit yang melayani proses pengadaan barang/jasa
produk barang/jasa dan harga, harap yang dilaksanakan secara elektronik. LPSE akan
diperhatikan bahwa produk barang/jasa sudah ada dalam menjalankan fungsi sebagai berikut : Mengelola sistem
SK Penetapan Produk/Lampiran Kontrak e-Procurement. Menyediakan pelatihan kepada
Katalog dan Tanggal Harga menggunakan Tanggal SK PPK/Panitia dan Penyedia barang/jasa.
Penetapan Produk/Lampiran Kontrak Katalog. Apa yang dimaksud dengan e procurement?
E-procurement merupakan sistem pengadaan barang
Pembuatan akun Faskes Swasta peserta JKN dikoordinir atau jasa dengan menggunakan media elektronik seperti
oleh Kemenkes. Faskes Swasta Peserta JKN yang telah internet atau jaringan komputer. E-
memiliki akun ePurchasing hanya dapat membeli di procurement diterapkan dalam proses pembelian dan
Komoditas Obat 2018 saja. penjualan secara online supaya lebih efisien dan efektif.
Katalog Elektronik (E-Catalogue) adalah sistem
informasi elektronik yang memuat daftar, jenis,
spesifikasi teknis dan harga Barang/Jasa tertentu dari
berbagai Penyedia Barang/Jasa Pemerintah. ... E- mesin pencari (search engine) pengumuman tender yang
Purchasing adalah tata cara pembelian Barang/Jasa sedang aktif/berjalan dan produk barang/jasa dari
melalui sistem katalog elektronik. Apa yang dimaksud
dengan e tendering? eCatalogue.

Pasal 1 angka 39, E-Tendering adalah tata cara


pemilihan Penyedia Barang/Jasa yang dilakukan secara
terbuka dan dapat diikuti oleh semua Penyedia
Barang/Jasa yang terdaftar pada sistem pengadaan secara
elektronik dengan cara menyampaikan 1 (satu) kali
penawaran dalam waktu yang telah ditentukan.15 Mei
2014
Apa yang dimaksud dengan procurement?
Procurement adalah suatu istilah yang mencakup
seluruh kegiatan yang dilakukan oleh Owner dalam
mewujudkan pengadaan, baik barang, peralatan dan
mesin-mesin maupun bangunan/konstruksi maupun
perbaikan atau perawatan atas aset yang dimiliki.
E-purchasing adalah tata cara pembelian barang/jasa
melalui sistem katalog elektronik. Kontrak payung yang
dilakukan dalam epurchasing adalah perjanjian antara
LKPP dan penyedia. PPK tidak perlu membuat HPS,
harga di epurchasingmenjadi HPS dalam pengadaan.7
Jan 2013
K/L/D/I adalah singkatan
Kementerian/Lembaga/Satuan Kerja
Perangkat Daerah/Institusi yang merupakan istilah Apa itu swakelola?
dalam pengadaan barang/jasa pemerintah untuk Swakelola merupakan kegiatan Pengadaan Barang/Jasa
instansi/institusi yang dimana pekerjaannya direncanakan, dikerjakan dan/atau
diawasi sendiri oleh K/L/D/I sebagai penanggung jawab
anggaran, instansi pemerintah lain, dan/atau kelompok
INAPROC - Portal Pengadaan Nasional adalah pintu masyarakat.
gerbang sistem informasi elektronik yang terkait dengan
informasi Pengadaan Barang/Jasa secara ...
Dari pengertian ini terlihat bahwa swakelola bersifat
mandiri dan dikerjakan oleh diri sendiri, bukan melalui
penyedia. Jadi, apabila tetap menggunakan penyedia
LPSE - Inaproc barang/jasa, misalnya toko, kontraktor, konsultan, tenaga
ahli dari swasta, PT, CV, dan lain-lain, maka itu bukanlah
swakelola.
menggunakan Anggaran Pendapatan dan Belanja Negara
(APBN) dan/atau Anggaran Pendapatan dan Belanja Swakelola bukan berarti dikelola sendiri. Bukan berarti
diberikan uang, kemudian beli sendiri ke toko. Karena
Daerah (APBD). INAPROC kalau sudah membeli ke toko, artinya sudah menggunakan
INAPROC - Portal Pengadaan Nasional adalah pintu penyedia, dimana toko inilah yang menjadi penyedianya.

gerbang sistem informasi elektronik yang terkait dengan


Dibawah ini adalah kasus yang sering terjadi:
informasi Pengadaan Barang/Jasa secara nasional yang
dibangun dan dikelola oleh Lembaga Kebijakan Sebuah sekolah, diberikan bantuan dana dari APBN atau
APBD untuk pengadaan meubelair sejumlah Rp. 300 Juta.
Pengadaan Barang/Jasa Pemerintah - Republik Indonesia.
Dalam petunjuk teknis (juknis) disebutkan bahwa
pengadaannya dilaksanakan dengan cara “swakelola”
Portal ini menjadi tempat penayangan rencana pengadaan sesuai ketentuan peraturan perundang-undangan.

dan pengumuman pengadaan oleh Kementerian,


Karena melihat juknis ini, maka Kepala Sekolah segera
Lembaga, Pemerintah Daerah, dan Instansi. Disamping mencairkan anggaran yang telah diterima melalui
rekening sekolah, kemudian mendatangi toko meubelair
itu, portal ini memuat atau memberi akses dan tautan
terdekat dari beberapa toko yang ada, kemudian
kepada seluruh Layanan Pengadaan Secara Elektronik, membelanjakan semua uang tersebut untuk membeli
meubelair untuk sekolahnya. Ini dengan alasan bahwa
Katalog Barang untuk e-Purchasing, dan Daftar Hitam yang namanya swakelola adalah “dikelola sendiri.”
Penyedia Barang/Jasa. Portal ini juga dilengkapi dengan
Pemahaman ini adalah pemahaman yang tidak benar. dilakukan dengan cara swakelola, di dalamnya bisa saja
Kalau sudah membutuhkan penyedia, itu berarti sudah terdapat penyedia barang/jasa.
bukan swakelola lagi, dan pemilihan penyedianya harus
menggunakan metode pemilihan penyedia. Beberapa
metode pemilihan penyedia adalah pelelangan umum, Misalnya, dalam pelaksanaan penyelenggaraan diklat,
pelelangan sederhana atau pemilihan langsung. kursus, penataran, seminar, lokakarya atau penyuluhan,
seluruh kegiatan memang dilaksanakan secara swakelola.
Panitia berasal dari K/L/D/I sendiri, perencanaan
Mengapa Swakelola yang dipilih? dilaksanakan sendiri, juga pengawasan dilaksanakan
Pelaksanaan pengadaan dapat dilakukan secara swakelola sendiri. Namun, apabila membutuhkan jasa katering,
apabila memenuhi salah satu dari kondisi yang tertuang dimana katering tersebut disediakan oleh perusahaan
dalam Pasal 26 Ayat 2 Perpres Nomor 54 Tahun 2010 dan makanan, maka hal ini tetap menggunakan penyedia, dan
perubahannya berikut ini: untuk memilihnya wajib menggunakan metode pemilihan
penyedia yang sesuai. Artinya, apabila pelaksanaan
lokakarya membutuhkan katering yang bernilai di atas 200
1. pekerjaan yang bertujuan untuk meningkatkan Juta, maka tetap dilakukan pelelangan. Apabila
kemampuan dan/atau memanfaatkan kemampuan dilaksanakan di hotel, maka dapat dilakukan penunjukan
teknis sumber daya manusia, serta sesuai dengan langsung dengan tata cara yang sesuai dengan aturan
tugas dan fungsi K/L/D/I; pengadaan barang/jasa.

2. pekerjaan yang operasi dan pemeliharaannya Kapan Penetapan Swakelola atau Penyedia
memerlukan partisipasi langsung masyarakat dilakukan?
setempat atau dikelola oleh K/L/D/I. Yang dimaksud Pemilihan metode pengadaan dilakukan pada saat
dengan partisipasi langsung masyarakat setempat penyusunan rencana umum pengadaan dan dilaksanakan
antara lain pekerjaan pemeliharaan saluran irigasi sebelum penyusunan anggaran. Metode ini sudah harus
tersier, pemeliharaan hutan/tanah ulayat, atau tertuang dalam Kerangka Acuan Kerja (KAK) atau Term
pemeliharaan saluran/jalan desa; of Reference (TOR) yang disusun sebagai persyaratan
untuk penyusunan anggaran.
3. pekerjaan yang dilihat dari segi besaran, sifat, lokasi
atau pembiayaannya tidak diminati oleh Penyedia Hal ini karena konsekwensi dari metode tersebut
Barang/Jasa, misalnya pelaksanaan pengadaan di berujung kepada struktur anggaran yang akan
daerah konflik; dimasukkan dalam rencana kerja dan anggaran tahun
berikutnya.
4. pekerjaan yang secara rinci/detail tidak dapat
dihitung/ ditentukan terlebih dahulu, sehingga Misalnya, apabila pelaksanaan lokakarya akan dilakukan
apabila dilaksanakan oleh Penyedia Barang/Jasa dengan cara swakelola, maka dalam KAK dan Rencana
akan menimbulkan ketidakpastian dan risiko yang Anggaran Biaya (RAB) sudah harus diuraikan tugas dan
besar; fungsi masing-masing pihak yang akan terlibat. Kemudian
RAB ini dimasukkan sebagai bagian dari dokumen
anggaran. Dalam dokumen aanggaran juga sudah terurai
5. penyelenggaraan diklat, kursus, penataran, seminar,
komponen akomodasi dan konsumsi, honorarium panitia,
lokakarya atau penyuluhan;
narasumber, Alat Tulis Kantor (ATK), dan berbagai
pernak-pernik lainnya. Namun apabila hendak
6. pekerjaan untuk proyek percontohan (pilot project) menggunakan penyedia, maka dalam RAB walaupun
dan survei yang bersifat khusus untuk pengembangan diuraikan secara detail, namun dalam dokumen anggaran
teknologi/ metode kerja yang belum dapat hanya dimasukkan dalam 1 mata anggaran secara
dilaksanakan oleh Penyedia Barang/Jasa; gelondongan. Rincian RAB akan berubah menjadi rincian
HPS yang sifatnay rahasia, sedangkan total RAB menjadi
total anggaran yang masih harus disusun HPS-nya dan
7. pekerjaan survei, pemrosesan data (misalnya sensus kemudian dilakukan pemilihan terhadap penyedia
dan statistik), perumusan kebijakan pemerintah, menggunakan metode pemilihan yang sesuai (Pelelangan,
pengujian di laboratorium dan pengembangan sistem Penunjukan Langsung, atau Pengadaan Langsung).
tertentu;
8. pekerjaan yang bersifat rahasia bagi K/L/D/I yang
bersangkutan. Yang dimaksud dengan pekerjaan Dalam Aplikasi Sistem Informasi Rencana Umum
yang bersifat rahasia adalah pekerjaan yang berkaitan Pengadaan (SIRUP) yang dikembangkan oleh LKPP juga
dengan kepentingan negara yang tidak boleh sudah membagi metode pengadaan sejak awal, sehingga
diketahui dan dimanfaatkan oleh pihak-pihak yang tidak ada lagi pertanyaan setelah dokumen anggaran
tidak berhak, antara lain pembuatan soal-soal ujian diterima, “ini dilaksanakan dengan cara swakelola atau
negara. Disini dilihat bahwa yang bersifat rahasia penyedia yah?”
adalah pembuatan soalnya, bukan pencetakannya.
Siapa saja pelaksana swakelola?
Yang perlu diingat, bahwa walaupun kondisi tersebut Berdasarkan Pasal 26 Ayat 1 Perpres Normo 54 Tahun
terpenuhi, artinya pelaksanaan pengadaan dapat 2010 dan perubahannya, pelaksana swakelola ada 3, yaitu
K/L/D/I penanggung jawab anggaran, Instansi Pemerintah Bagaimana cara memilih pelaksana pengadaan?
lain, dan Kelompok Masyarakat. Tahapan awal yang harus dilaksanakan untuk memilih
pelaksana pengadaan adalah dengan memetakan antara
identifikasi kebutuhan dengan kemampuan K/L/D/I dalam
Apabila pelaksana swakelola adalah K/L/D/I penanggung melaksanakan pengadaan tersebut.
jawab anggaran, maka perencanaan, pelaksanaan, dan
pengawasan dilakukan sendiri oleh K/L/D/I tersebut.
Contohnya, pengangkutan sampah dilakukan oleh Dinas Misalnya, dalam identifikasi kebutuhan ditemukan
Kebersihan, atau lokakarya yang dilakukan oleh kegiatan untuk pelaksanaan pengadaan komputer, maka
Kementerian Pendidikan, dan kegiatan-kegiatan lainnya. yang pertama dipetakan adalah, apakah pengadaan
Namun seperti yang disampaikan pada tulisan di atas, tersebut memenuhi kriteria Pasal 26 Ayat 2 Perpres
apabila dalam pelaksanaan kegiatan membutuhkan Nomor 54 Tahun 2010 dan perubahannya yang sudah
penyedia, maka metode pemilihan penyedia sesuai dijelaskan diatas? Apabila iya, maka dilaksanakan dengan
Perpres juga tetap harus dilaksanakan. cara swakelola. Apabila tidak , maka dilaksanakan oleh
penyedia barang/jasa. Apabila dilaksanakan dengan cara
swakelola, maka harus dipetakan lagi siapa yang akan
Pelaksana kedua adalah instansi pemerintah lain. Yang melaksanakan, apakah K/L/D/I penanggung jawab
perlu digarisbawahi adalah, pelaksana wajib berupa anggaran, instansi pemerintah lain, atau kelompok
instansi pemerintah, bukan swasta dan bukan juga instansi masyarakat.
yang “mengaku-ngaku pemerintah.” Contoh instansi
pemerintah adalah Perguruan Tinggi Negeri, Lembaga
Negara, atau Institusi Pemerintah seperti BPPT, Tahapan berikutnya adalah memetakan komponen
Bakosurtanal, dan lain-lain. kegiatan dan biaya yang dibutuhkan untuk melaksanakan
pengadaan sesuai dengan pelaksana pengadaan yang telah
ditetapkan sebelumnya.
Apabila pengadaan dilaksanakan oleh instansi
pemerintah, maka anggaran biaya yang digunakan harus
tunduk kepada acuan pemerintah juga. Misalnya untuk Dalam penyusunan anggaran, apabila pelaksanaan
honorarium, maka harus tunduk kepada aturan pengadaan dilakukan secara swakelola, maka mata
Kementerian Keuangan mengenai standar biaya masukan anggaran serta jenis kegiatan dapat diuraikan secara rinci.
atau acuan dari instansi terkait. Konsultan yang berasal Sedangkan apabila dilaksanakan oleh penyedia
dari Perguruan Tinggi, harus mau dibayar menggunakan barang/jasa, maka mata anggaran dapat digabungkan
acuan tersebut, tidak bisa menggunakan acuan konsultan menjadi satu. Perincian dapat dilakukan apabila memang
swasta. Apabila hendak dibayar senilai konsultan swasta, jenis barangnya membutuhkan perincian berdasarkan
maka harus cuti di luar tanggungan negara terlebih dahulu aturan keuangan.
kemudian terjun secara penuh melaksanakan pekerjaan
konsultan.
Akhir kata, jangan memilih swakelola atau penyedia
setelah dokumen anggaran ditetapkan, tetapi pilihlah pada
Dalam penyusunan KAK dan Anggaran, Pengguna saat perencanaan pengadaan.
Anggaran (PA) dapat langsung menetapkan instansi
pemerintah yang menjadi target dan sasaran kerjasama.
Hal ini didahului dengan penandatanganan Memorandum Inaproc Pengumuman Pengadaan Nasional merupakan
of Understanding (MoU) terlebih dahulu sebagai landasan daftar yang berisi pengumuman pengadaan yang di
legal kerjasama. Sehingga nama instansi pemerintah lelangkan melalui Layanan Pengadaan Secara
pelaksana swakelola dapat dimunculkan dalam dokumen Elektronik ..
anggaran.

Hal ini mencegah kebingungan tentang instansi mana


yang dapat diajak kerjasama saat anggaran telah tersedia?
Semua sudah harus direncanakan dan dipersiapkan
sebelumnya.

Demikian juga dengan pelaksana swakelola yang berasal


dari kelompok masyarakat. Target kelompok masyarakat
pelaksana swakelola sudah harus dipersiapkan
sebelumnya dan harus dipastikan bahwa kolompok
masyarakat tersebut mampu melaksanakan pekerjaan.
Jangan sampai kelompok nelayan yang tidak memiliki
pengetahuan mengenai konstruksi, diminta untuk
membangun dermaga ber-tiang pancang.

Intinya adalah, seluruh target pelaksana sudah harus


dituangkan dalam perencanaan, bukan “tiba masa tiba
akal.”