1.

Pemenuhan kebutuhan stakeholder

Control Objective for Information and related 2. Melindungi titik-titik penting perusahaan
Technology, disingkat COBIT, adalah suatu panduan 3. Penggunaan sebuah framework terintegrasi
standar praktik manajemen teknologi informasi. Standar 4. Memungkinkan pendekatan secara holistic
COBIT dikeluarkan oleh IT Governance Institute yang 5. Memisahkan tata kelola dengan manajemen
merupakan bagian dari ISACA. COBIT 5 merupakan
versi terbaru.
COBIT memiliki 4 cakupan domain, yaitu :
Manfaat-manfaat yang dapat diperoleh dalam COBIT TI
:
 Perencanaan dan organisasi (plan and organise)
 Pengadaan dan implementasi (acquire and
1. Dapat membantu auditor,user dengan cara
implement)
menutup kesenjangan bisnis
 Pengantaran dan dukungan (deliver and support) 2. COBIT dapat memberikan arahan yang
 Pengawasan dan evaluasi (monitor and evaluate) berorientasi pada bisnis
Maksud utama COBIT ialah menyediakan kebijakan
yang jelas dan good practice untuk IT governance,
membantu manajemen senior dalam memahami dan Sumber Penulisan/Daftar Pustaka :
mengelola risiko-risiko yang berhubungan dengan IT. https://www.kompasiana.com/dwisantoso_vcc/makalah-
manfaat-penggunaan-cobit_567fe81390fdfd5d0956ffba
COBIT menyediakan kerangka IT governance dan
petunjuk control objective yang detail untuk manajemen,
pemilik proses bisnis, user dan auditor. Cobit ~Control Objective for Information and
IT Governance Institute yang merupakan related Technology
bagian dari ISACA (Information Systems Audit and
Control Association) pada tahun 1996. hingga saat artikel
ini di muat setidaknya sudah ada 5 versi COBIT yang
sudah diterbitkan, versi pertama diterbitkan pada tahun
Control Objective for Information & Related
1996, versi kedua tahun 1998, versi 3.0 di tahun
Technology (COBIT) adalah sekumpulan
2000, COBIT 4.0 pada tahun 2005, COBIT 4.1 tahun
dokumentasi best practice untuk tata kelola TI yang dapat
2007 dan yang terakhir ini adalah COBIT versi 5 yang di
membantu auditor, pengguna, dan bagian manajemen
rilis baru-baru saja.
untuk menjembatani gap antara resiko bisnis, kebutuhan
COBIT versi 5 atau dikenal dengan nama COBIT 5
kontrol, dan masalah-masalah teknis TI. (Sasongko, 2009)
adalah edisi terbaru dari Framework COBIT ISACA
yang menyediakan penjabaran bisnis secara end-to-end
dari tatakelola teknologi informasi perusahaan untuk
menggambarkan peran utama dari informasi dan COBIT mendukung tata kelola TI dengan menyediakan
teknologi dalam menciptakan nilai perusahaan. kerangka kerja untuk memastikan keselarasan antara TI
COBIT 5 adalah sebuah versi pembaharuan yang dengan bisnis. Selain itu, kerangka kerja juga digunakan
menyatukan cara berpikir yang mutakhir di dalam teknik- untuk memaksimalkan keuntungan yang didapat serta
teknik dan tata kelola TI perusahaan. Menyediakan memastikan bahwa resiko TI dikelola secara tepat dan
prinsip-prinsip, praktek-praktek, alat-alat analisa yang sumber daya TI digunakan secara bertanggung jawab.
telah diterima secara umum untuk meningkatkan (Tanuwijaya dan Sarno, 2010)
kepercayaan dan nilai sistem-sistem informasi. COBIT 5
dibangun berdasarkan pengembangan dari COBIT 4.1
dengan mengintegrasikan Val IT dan Risk IT dari COBIT merupakan standar yang dinilai paling lengkap
ISACA, ITIL, dan standar-standar yang relevan dari ISO. dan menyeluruh sebagai framework IT audit karena
COBIT memungkinkan pengembangan kebijakan yang dikembangkan secara berkelanjutan oleh lembaga
jelas dan sangat baik digunakan untuk IT kontrol seluruh swadaya yang terdiri dari auditor-auditor profesional yang
organisasi, membantu meningkatkan kualitas dan nilai tersebar di hampir seluruh negara.
serta menyederhanakan pelaksanaan alur proses sebuah
organisasi dari sisi penerapan IT.
COBIT Maturity Models
COBIT menyediakan parameter untuk melakukan
COBIT berorientasi proses, dimana secara
penilaian terhadap proses pengelolaan TI pada suatu
praktis COBIT dijadikan suatu standar panduan untuk
organisasi dengan menggunakan maturity models.
membantu mengelola suatu organisasi mencapai
Maturity models ini dapat digunakan untuk menilai baik
tujuannya dengan memanfaatkan TI. COBIT
dari segi management awareness maupun dari
memberikan panduan kerangka kerja yang bisa
segi maturity level. Skalanya bervariasi, mulai dari non-
mengendalikan semua kegiatan organisasi secara detail
existent sampai dengan optimised. (Purwanto dan
dan jelas sehingga dapat membantu memudahkan
Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008)
pengambilan keputusan di level top dalam organisasi.
Ada 5 prinsip yang dapat saya jabarkan dalam TI
perusahaan :

COBIT 5 Governance and Management Key Areas
Berbeda dengan versi COBIT sebelumnya, COBIT versi 5
memisahkan governance dan management secara
eksplisit.
Cobit ~Control Objective for Information and
related Technology
Dikeluarkan dan disusun oleh IT Governance
Institute yang merupakan bagian dari ISACA
(Information Systems Audit and Control Association)
pada tahun 1996. hingga saat artikel ini di muat
setidaknya sudah ada 5 versi COBIT yang sudah
diterbitkan, versi pertama diterbitkan pada tahun 1996,
versi kedua tahun 1998, versi 3.0 di tahun 2000, COBIT
4.0 pada tahun 2005, COBIT 4.1 tahun 2007 dan yang
terakhir ini adalah COBIT versi 5 yang di rilis baru-baru
saja.
COBIT versi 5 atau dikenal dengan nama COBIT 5
adalah edisi terbaru dari Framework COBIT ISACA
yang menyediakan penjabaran bisnis secara end-to-end
dari tatakelola teknologi informasi perusahaan untuk
menggambarkan peran utama dari informasi dan
teknologi dalam menciptakan nilai perusahaan.
COBIT 5 adalah sebuah versi pembaharuan yang
menyatukan cara berpikir yang mutakhir di dalam teknik-
teknik dan tata kelola TI perusahaan. Menyediakan
prinsip-prinsip, praktek-praktek, alat-alat analisa yang
telah diterima secara umum untuk meningkatkan
kepercayaan dan nilai sistem-sistem informasi. COBIT 5
dibangun berdasarkan pengembangan dari COBIT 4.1
dengan mengintegrasikan Val IT dan Risk IT dari
ISACA, ITIL, dan standar-standar yang relevan dari ISO.
Cobit 5 didasarkan pada 5 prinsip kunci tatakelola dan
manajemen TI perusahaan yaitu :
1. Pemenuhan kebutuhan Stakeholder
2. Melindungi titik-titik penting perusahaan
3. Penggunaan sebuah framework terintegrasi
4. Memungkinkan pendekatan secara holistik
5. Memisahkan tatakelola dengan manajemen
COBIT adalah merupakan kerangka panduan tata kelola
TI dan atau bisa juga disebut sebagai toolset pendukung
yang bisa digunakan untuk menjembatani gap antara
kebutuhan dan bagaimana teknis pelaksanaan pemenuhan
kebutuhan tersebut dalam suatu organisasi. COBIT
memungkinkan pengembangan kebijakan yang jelas dan
sangat baik digunakan untuk IT kontrol seluruh
organisasi, membantu meningkatkan kualitas dan nilai
serta menyederhanakan pelaksanaan alur proses sebuah
organisasi dari sisi penerapan IT.
COBIT berorientasi proses, dimana secara
praktis COBIT dijadikan suatu standar panduan untuk
membantu mengelola suatu organisasi mencapai
tujuannya dengan memanfaatkan TI. COBIT
memberikan panduan kerangka kerja yang bisa
mengenndalikan semua kegiatan organisasi secara detail
dan jelas sehingga dapat membantu memudahkan
pengambilan keputusan di level top dalam organisasi.
COBIT digunakan secara umum oleh mereka yang
memiliki tanggung jawab utama dalam alur proses
organisasi, mereka yang organisasinya sangat bergantung
pada kualitas, kehandalan, dan penguasaan teknologi
informasi.
COBIT memiliki 4 Cakupan Domain :
1. Perencanaan dan Organisasi (Plan and Organize)
 Domain ini mencakup strategi dan taktik yang
menyangkut identifikasi tentang bagaimana TI
dapat memberikan kontribusi terbaik dalam
pencapaian tujuan bisnis organisasi sehingga
terbentuk sebuah organisasi yang baik dengan
infrastruktur teknologi yang baik pula.
2. Pengadaan dan implementasi (Acquire and
Implement)
 Untuk mewujudkan strategi TI, solusi TI perlu
di identifikasi, dibangun atau diperoleh dan
kemudian di implementasikan dan di
integrasikan dalam proses bisnis.
3. Pengantaran dan dukungan (Deliver and Support)
 Domain ini berhubungan dengan penyampaian
layanan yang diinginkan, yang terdiri dari
operasi pada security dan aspek
kesinambungan bisnis sampai dengan
pengadaan training.
4. Pengawasan dan evaluasi (Monitor and Evaluate)
 Semua proses TI perlu dinilai secara teratur
dan berkala bagaimana kualitas dan
kesesuaiannya dengan kebutuhan kontrol.
 CobiT dikenal luas sebagai
standard defacto untuk kerangka kerja tata
kelola TI (IT Governance) dan yang terkait
dengannya. Di sisi lain standard/framework ini
terus berevolusi sejak pertama kali diluncurkan
di 1996 hingga rilis terakhir yaitu CobiT 5 yang
 diluncurkan pada Juni 2012 yang lalu. Pada
setiap rilisnya, kerangka kerja ini melakukan
pergeseran-pergeseran beberapa paradigma.
 Kenapa berubah terus? Bukankah perubahan-
perubahan seperti ini dapat membingungkan
pihak-pihak yang akan mengadopsinya? Secara
sepintas mungkin memang iya,
tapi anyway apakah ada di dunia ini yang tidak
berubah (selain perubahan itu sendiri)?
Teknologi Informasi dan pemanfaatannya yang
berkembang dengan cepat tentunya menuntut
perubahan dalam tata cara pengelolaannya juga.
Dus, frameworknya juga perlu penyesuaian
juga. Ini jawaban pertama. Selain itu penerapan
apapun pada tataran konseptual ke dalam tataran
praktis akan selalu memunculkan titik-titik yang
dapat diperbaiki dan disempurnakan terus-
menerus. Ingat pepatah: “improvement is a
journey, not a destination.” Sehingga,
framework apapun juga perlu terus
disempurnakan. Ini jawaban kedua saya. Dan
saya kira saat ini cukup dua saja jawaban saya
terhadap pertanyaan “kenapa berubah terus”.
Pada tulisan kali ini saya ingin sedikit
menyinggung perubahan terakhir dari
framework kondang ini, yaitu dari Cobit 4.1
yang dirilis Mei 2007 ke CobiT 5 yang dirilis
Juni 2012 yang lalu.
 Ada beberapa perubahan penting yang dibawa
oleh CobiT rilis teranyar ini dibanding versi
pendahulunya. Apakah itu?
 Pertama, prinsip baru dalam tata kelola TI untuk
organisasi, Governance of Enterprise
IT (GEIT).
 CobiT 5 —sebagaimana juga Val IT dan Risk
IT—ini lebih berorientasi pada prinsip,
dibanding pada proses. Katanya
berdasarkan feedback yang masuk, menyatakan
bahwa ternyata penggunaan prinsip-prinsip itu
lebih mudah dipahami dan diterapkan dalam
konteks enterprise secara lebih efektif.
 Kedua, CobiT 5 memberi penekanan lebih
kepada Enabler. Walaupun sebenarnya CobiT
4.1 juga menyebutkan adanyaenabler–
enabler, hanya saja Cobit 4.1 tidak
menyebutnya dengan enabler. Sementara CobiT
5 menyebutkan secara spesifik ada
7 enabler dalam implementasinya. Berikut ini
adalah ketujuh enabler CobiT 5 dan
perbandingan untuk hal yang sama di CobiT
4.1:
 (1) Prinsip-prinsip, kebijakan dan kerangka
kerja. Kalau di CobiT 4.1, poin-poin ini tersebar
dalam beberapa proses-proses CobiT 4.1.
 (2) Proses-proses. Proses adalah sentral dari
CobiT 4.1.
 (3) Struktur Organisasi. Dalam CobiT 4.1,
struktur organisasi tercermin dalam RACI chart
yang mendefinisikan peran dan tanggung-jawab
para pihak dalam setiap proses.
 (4) Kultur, etika dan perilaku. Poin ini terselip
di beberapa proses CobiT 4.1
 (5) Informasi. Dalam CobiT 4.1, informasi
merupakan salah satu sumber daya TI (IT
resources).
 (6) Layanan, Infrastruktur, dan Aplikasi. Dalam
CobiT 4.1, infrastruktur dan aplikasi (disatukan
dengan layanan) merupakan sumber daya TI
juga.
 (7) Orang, keterampilan (skills) dan
kompetensi. Dalam CobiT 4.1, hanya
disebutkan “orang” sebagai salah satu sumber
daya (walau sebenarnya mencakup juga
keterampilan dan kompetensinya)
 Ketiga, CobiT 5 mendefinisikan model referensi
proses yang baru dengan tambahan domain
governance dan beberapa proses baik yang sama
sekali baru ataupun modifikasi proses lama serta
mencakup aktifitas organisasi secara end-to-
end. Selain mengkonsolidasikan CobiT 4.1, Val
IT, dan Risk IT dalam sebuah framework,
CobiT 5 juga dimutakhirkan untuk
menyelaraskan dengan best practices yang ada
seperti misalnya ITIL v3 2011 dan TOGAF.
 Keempat, seperti disinggung sebelumnya,
bahwa dalam CobiT 5 terdapat proses-proses
baru yang sebelumnya belum ada di CobiT 4.1,
serta beberapa modifikasi pada proses-proses
yang sudah ada sebelumnya di CobiT 4.1.
Secara sederhana dapat dikatakan bahwa model
referensi proses CobiT 5 ini sebenarnya
mengintegrasikan konten CobiT 4.1, Risk IT
dan Val IT. Sehingga proses-proses pada CobiT
5 ini lebih holistik, lengkap dan mencakup
aktifitas bisnis dan IT secara end-to-end.
 Sumber:
 http://manajemen-ti.com/tata-kelola-audit/197-
dulu-cobit-4-1-sekarang-cobit-5-apa-
bedanya.html
Sertifikasi CISA sangat menguntungkan untuk masa
depan di dunia IT, dengan sertifikasi ini Anda akan lebih
dipercaya sebagai auditor IT, dan peluangnya sangat besar
dalam meraih penghasilan di bidang IT Auditor, karena
pesaingnya masih sangat sedikit terutama di Indonesia.
CISA diselengarakan oleh ISACA (Information Systems
Audit and Control Association). Sertifikasi CISA sudah
berlangsung sejak tahun 1978. Pengaturan dalam ujian
CISA yang pertama dilaksanakan pada tahun 1981, dan
jumlah pendaftar selalun bertambah pada tiap tahunnya.
Hampir di atas 60.000 auditor.
Calon-calon yang akan mengikiuti sertifikasi CISA harus
melewati ujian tertulis selanjutnya harus setuju pada
aturan ISACA Professional Ethics, menyerahkan bukti
dari sedikitnya lima tahun pengalaman profesional
bidang auditing, pengedalian , atau keamanan IT dan
lainnya.
Keberhasilan dalam ujian CISA, menuntut kandidat
memiliki kesiapan khusus dan juga pengalaman yang
memadai di bidang audit sistem informasi. Untuk itu,
CISA diakui secara internasional sebagai professional
dengan pengetahuan, keterampilan, pengalaman dan
kredibilitas dengan standar leverage, mengelola
kerentanan, memastikan kepatuhan, menawarkan solusi,
kontrol lembaga dan memberikan nilai bagi perusahaan.
Baca juga
 Cara Mendapatkan Sertifikat CISA
 Sertifikasi Auditor CISA Manfaatnya Dalam
Dunia Kerja
 Berikut 9 Tips Terbaik Lulus Ujian CISA
 Penetration Testing Menyempurnakan Program
Keamanan Informasi
 Persiapan Ujian CISA
Berikut adalah daftar top tips untuk lulus Ujian CISA :
1. Kupas Tuntas CRM
ISACA menyediakan Ulasan Manual (CRM) yang
berfungsi sebagai panduan untuk ujian CISA. CRM
membahas semua rincian yang terkait dengan ujian CISA
dan mendefinisikan peran dan tanggung jawab dari suatu
sistem informasi auditor.
2. Praktik CISA Review Pertanyaan dan
Jawaban
Calon peserta dapat menggunakan sampel pertanyaan dan
jawaban untuk memahami konsep yang sulit dan
meningkatkan persiapan ujian CISA dalam mencapai
sertifikasi CISA. Pertanyaan-pertanyaan review dan
jawaban dirancang untuk memberikan gambaran dari
ujian CISA.
3. Pengalaman Dalam Sistem Informasi Audit
Untuk memenuhi syarat dalam program sertifikasi
profesional seperti CISA, sangat penting untuk
mendapatkan pengalaman di bidang praktis. IT audit yang
sama seperti jenis audit lainnya namun dengan lingkup
yang berbeda. Seorang profesional harus memiliki
gagasan tentang pemahaman proses bisnis, pemeriksaan
lingkup, perencanaan audit dan pelaporan dalam hal
industri nyata.
6. Ikut dalam Training CISA Exam
Preparation Class
Calon peserta dapat mengikuti training dalam persiapan
mengikuti ujian CISA yang diadakan oleh organisasi atau
lembaga-lembaga training. Hal ini dapat memudahkan
calon peserta dalam menangkap garis merah apa saja yang
keluar saat nanti ujian CISA dan dengan melakukan
training CISA ini calon peserta akan menambah
pertemanan dengan calon peserta lainnya yang
sebelumnya belum calon peserta kenal. Hal ini bisa
menjadi hal yang positif untuk saling share dan menjadi
rekan untuk belajar bersama.
ITGID merupakan lembaga pengembangan bidang
teknologi informasi. ITGID (Member Of Proxsis
Consulting Group) telah menandatangani Surat Perjanjian
Kerjasama Penyelenggaraan ISACA Certification Review
Course 2016, antara Proxsis dengan ISACA Chapter
Indonesia. Materi dan trainer khusus training ISACA
adalah resmi dari ISACA. Untuk informasi lebih lanjut
mengenai Training CISA dapat lihat
di: //itgid.org/training/
Untuk Persiapan Ujian Training CISAnya dapat di lihat
di https://itgid.org/cisa-exam-preparation-jakarta/
Process Assessment Model Cobit 5
Proses assessment model menurut penulis adalah
merupakan model pengukuran yang digunakan dalam
cobit 5, di cobit version 4.1 dikenal dengan cobit
maturity model. PAM di cobit 5 terbagi menjadi dua
bagian, yang pertama adalah teknik pengukuran skala
bertingkat (scale rating) yang digunakan untuk menilai
bagian yang kedua yaitu dimensi proses yang terdiri dari
5 dimensi proses EDM, APO, BAI, DSS dan MEA.

4. Jam Belajar

Menjadi seorang profesional, bisa sulit bagi calon untuk

mengelola jam belajar untuk persiapan ujian CISA.
Namun, mengelola jam belajar per bidang studi sangat
penting untuk meraih sukses dalam ujian CISA. Satu dapat
mendedikasikan 1-2 jam secara teratur untuk
meningkatkan persiapan ujian CISA menuju pilar
kesuksesan.

5. Bergabung dengan Grup dan Forum CISA

Peserta dapat bergabung dengan Grup dan

Forum CISA untuk berinteraksi dengan calon peserta
CISA ataupun alumni CISA yang sudah lulus ujian. Ada
Diposting oleh awianggara di 09.32 1 komentar
berbagai forum diskusi di sertifikasi CISA. Platform
tersebut dapat menyediakan baik pengetahuan teoritis dan Kirimkan Ini lewat EmailBlogThis!Berbagi ke
praktis tentang IS audit, dengan demikian membantu TwitterBerbagi ke FacebookBagikan ke Pinterest
meningkatkan persiapan ujian CISA menuju pencapaian
kelulusan yang lebih baik. Label: Cobit 5
Senin, 20 Januari 2014
Cobit 5 Toolkit
Assalamualaikum All,
COBIT® 5 Implementation didukung dengan tools yang
di himpun dalam sebuah file .zip, tools tersebut terdiri
dari beberapa file microsoft® office word, excel, Power
point serta Adobe PDF format.
file-file tersebut adalah:
PowerPoint presentations:
COBIT 5 Introduction—presentasi terdiri dari 44 slide
yang berisi membahas mengenai cobit 5 secara umum
COBIT 5 Executive Summary—terdiri dari 9 slide yang
berisi tentang prinsip Cobit 5 dalam mengembangakan
tatakelola yang efektif.
COBIT 5 Compare With 4.1—terdiri dari 32 slide yang
menjelaskan bagaimana hubungan cobit 5 dengan versi
Cobit pendahulunya, Val IT dan Risk IT.
COBT 5 for Information Security Introduction—terdiri
dari 33 slide presentasi yang berisi introduce panduan
bagi praktisi keamanan informasi
Jumat, 19 April 2013
COBIT 5 and Information Security Spanish—26 slide
yang menjelaskan keterhubungan Cobit 5 dengan
Business Model for Information Security (BMIS™) tapi
dalam bahasa spanyol.
COBIT 5 and GRC—terdiri dari 31 slide presentasi yang
menjelaskan tentang panduan bagaimana framework
Cobit 5 mendukung governance, risk and compliance
(GRC)
IT BSC Example—2 slide yang menggambarkan
mengenai implementasi balanced score card (BSC)
Overview of ISACA Frameworks and Guidance
Integrated Into COBIT 5—penjelasan menganai integrasi
beberapa framework (COBIT 4.1, Risk IT and Val IT)
and guidance (Board Briefing on IT Governance, 2nd
Edition, Business Model for Information Security
[BMIS], IT Assurance Framework™ [ITAF™], Taking
Governance Forward [TGF]) ke dalam Cobit 5
Berikut link download file nya
Cobit 5 toolkit
Smoga manfaat
Regards
Cobitindo
Diposting oleh awianggara di 17.49 5 komentar
Kirimkan Ini lewat EmailBlogThis!Berbagi ke
TwitterBerbagi ke FacebookBagikan ke Pinterest
Label: Cobit 5
IT Risk Management Framework by COBIT
COBIT (Control Objectives for Information and Related
Technology) merupakan standard yang dikeluarkan oleh
ITGI (The IT Governance Institute). COBIT merupakan
suatu koleksi dokumen dan framework yang
diklasifikasikan dan secara umum diterima sebagai best
practice untuk tata kelola (IT Governance), kontrol dan
jaminan TI.

Dokumen MS.Word Referensi perihal manajemen resiko secara khusus

COBIT 5 Key Audience Messages—pesan buat yang dibahas pada proses PO9 dalam COBIT. Prosesproses
membaca file-file presentasi tersebut diatas yang lain juga menjelaskan tentang manajemen resiko
namun tidak terlalu detil.
Excel file:
Process Activities—file ini berupa deskripsi lengkap
tentang semua aktivitas proses yang ada pada Cobit 5
dalam bentuk spreadsheet excel
Management Awareness Diagnostic—Daftar Proses
Cobit 5.

PDF File:
Balanced Scorecard Case Study—contoh makalah study
kasus "The case study Linking the IT Balanced
Scorecard to the Business Objectives at a Major
Canadian Financial Group was conducted by the IT
Alignment and Governance (ITAG) Research Institute at
the University of Antwerp in 2008.

FAQs—terdiri dari 15 pertanyaan dan jawaban seputar

Cobit 5 Gambar Framework Manajemen Resiko COBIT

Framework Overview (laminate)—terdiri dari 11 gambar

yang menggambarkan framework Cobit 5 Resiko adalah segala hal yang mungkin berdampak pada
kemampuan organisasi dalam mencapai tujuantujuannya.
‘Where Have All the Control Objectives Gone?’— Framework manajemen resiko TI dengan menggunakan
sebuah artikel penunjang COBIT (lihat gambar) terdiri dari :

1. Penetapan Objektif
Kriteria informasi dari COBIT dapat digunakan sebagai
dasar dalam mendefinisikan objektif TI. Terdapat tujuh
kriteria informasi dari COBIT yaitu : effectiveness,
efficiency, confidentiality, integrity, availability,
compliance, dan reliability.
2. Identifikasi Resiko
TABEL KEJADIAN (EVENTS) YANG
MENGGANGU PENCAPAIAN OBJEKTIF
PERUSAHAAN :
Identifikasi resiko merupakan proses untuk mengetahui
resiko. Sumber resiko bisa berasal dari :
• Manusia, proses dan teknologi
• Internal (dari dalam perusahaan) dan eksternal(dari
luar perusahaan)
• Bencana (hazard), ketidakpastian (uncertainty) dan
kesempatan (opportunity).
Dari ketiga sumber resiko tersebut dapat diketahui
kejadian-kejadian yang dapat mengganggu perusahaan
dalam mencapai objektifnya (lihat tabel event diatas).
3. Penilaian Resiko
Proses untuk menilai seberapa sering resiko terjadi atau
seberapa besar dampak dari resiko (tabel 2.2). Dampak
resiko terhadap bisnis (business impact) bisa berupa :
dampak terhadap financial, menurunnya reputasi
disebabkan sistem yang tidak aman, terhentinya operasi
bisnis, kegagalan aset yang dapat dinilai (sistem dan
data), dan penundaan proses pengambilan keputusan.
Sedangkan kecenderungan (likelihood) terjadinya resiko
dapat disebabkan oleh sifat alami dari bisnis, struktur dan
budaya organisasi, sifat alami dari sistem (tertutup atau
terbuka, teknologi baru dan lama), dan kendali-kendali
yang ada. Proses penilaian resiko bisa berupa resiko yang
tidak dapat dipisahkan (inherent risks) dan sisa resiko
(residual risks).
TABEL TINGKATAN BESARNYA DAMPAK
RESIKO DAN FREKUENSI TERJADINYA RESIKO
4. Respon Resiko
Untuk melakukan respon terhadap resiko adalah dengan
menerapkan kontrol objektif yang sesuai dalam
melakukan manajemen resiko. Jika sisa resiko masih
melebihi resiko yang dapat diterima (acceptable risks),
maka diperlukan respon resiko tambahan. Proses-proses
pada framework COBIT (dari 34 Control Objectives)
yang sesuai untuk manajemen resiko adalah :
• PO1 (Define a Stretegic IT Plan) dan PO9
(Assess and Manage Risks)
• AI6 (Manages Change)
• DS5 (Ensure System and Security) dan DS11
(Manage Data)
• ME1 (Monitor and Evaluate IT Performance)
5. Monitor Resiko
Setiap langkah dimonitor untuk menjamin bahwa resiko
dan respon berjalan sepanjang waktu.
 sumber http://wwardhanu.blogspot.com/2010/12/model- 7 AI7 Instalasi dan akreditasi solusi serta perubahan
framework-it-management-risk-by.html
Rata-rata Domain AI

Diposting oleh awianggara di 04.05 0 komentar

Kirimkan Ini lewat EmailBlogThis!Berbagi ke

TwitterBerbagi ke FacebookBagikan ke Pinterest

Label: IT strategic plan

Rabu, 13 Februari 2013 Delivery and Support

34 Domain Proses COBIT
Berikut adalah 34 Domain Proses COBIT, Skor dan NO KODE PROSES
tingkat Maturity dari tiap proses :
1 DS1 Menetapkan dan mengatur tingkat layanan

Plan and Organize 2 DS2 Pengaturan layanan dengan pihak ketiga

3 DS3 Mengatur kinerja dan kapasitas

TINGKAT
NO KODE PROSES SKOR
4 DS4 MATURITY
Memastikan ketersediaan layanan
1 PO1 Menetapkan rencana Strategis TI 5 DS5 3
Memastikan Define sistem
keamanan
2 PO2 Menetapkan arsitektur sistem informasi 6 DS6 0 dan biaya
Identifikasi Non-Existent
tambahan
3 PO3 Menetapkan arah teknologi 7 DS7 3 dan melatih
Mendidik Defineuser

4 PO4 Menetapkan proses TI, organisasi dan hubungannya 8 DS8 3 bantuan

Mengelola Define
layanan dan insiden
5 PO5 Mengatur investasi TI 9 DS9 3 konfigurasi
Mengatur Define

6 PO6 Mengkomunikasikan tujuan dan arahan manajemen 10 DS10 4 masalah

Mengelola Manage

7 PO7 Mengelola sumberdaya manusia 11 DS11 4 data Manage

Mengelola
8 PO8 Mengatur kualitas 12 DS12 3 fasilitas
Mengelola Define

9 PO9 Menilai dan mengatur resiko TI 13 DS13 0 operasi

Mengelola Non-Existent

10 PO10 Mengatur Proyek 0 DomainNon-Existent

Rata-rata DS
Rata-rata Domain PO 2.3 Repeatable

Monitor and Evaluate

Acquire and Iimplement NO KODE PROSES

TINGKAT
NO KODE PROSES 1 ME1 MonitorSKOR
dan Evaluasi Kinerja TI
MATURITY

1 AI1 Identifikasi solusi-solusi otomatis 2 ME2 Monitor0dan Evaluasi Pengendalian Internal

Non-Existent

2 AI2 3
Mendapatkan dan memelihara perangkat lunak aplikasi ME3 Mendapatkan
3 jaminan
Defineindependent

3 AI3 Mendapatkan dan memelihara infrastruktur teknologi4 ME4 Penyediaan

3 untukDefine
tatakelola TI

4 AI4 Menjalankan operasi dan menggunakannya Rata-rata

3 DomainDefine
ME

5 AI5 Pengadaan sumber daya TI 3 Define

6 AI6 Mengelola perubahan Diposting oleh awianggara di 07.2209 komentar

Non-Existent
Kirimkan Ini lewat EmailBlogThis!Berbagi ke
TwitterBerbagi ke FacebookBagikan ke Pinterest
 Label: Kamu perlu tau Cobit disini
Minggu, 01 Januari 2012
Skala maturity dari Framework COBIT
Maturity model adalah suatu metode untuk mengukur
level pengembangan manajemen proses, yang berarti
adalah mengukur sejauh mana kapabilitas manajemen
tersebut. Seberapa bagusnya pengembangan atau
kapabilitas manajemen tergantung pada tercapainya
tujuan-tujuan COBIT yang . Sebagai contoh adalah ada
beberapa proses dan sistem kritikal yang membutuhkan
manajemen keamanan yang lebih ketat dibanding proses
dan sistem lain yang tidak begitu kritikal. Di sisi lain,
derajat dan kepuasan pengendalian yang dibutuhkan
untuk diaplikasikan pada suatu proses adalah didorong
pada selera resiko Enterprise dan kebutuhan kepatuhan
yang diterapkan.
Penerapan yang tepat pada tata kelola TI di suatu
lingkungan Enterprise, tergantung pada pencapaian tiga
aspek maturity (kemampuan, jangkauan dan kontrol).
Peningkatan maturity akan mengurangi resiko dan
meningkatkan efisiensi, mendorong berkurangnya
kesalahan dan meningkatkan kuantitas proses yang dapat
diperkirakan kualitasnya dan mendorong efisiensi biaya
terkait dengan penggunaan sumber daya TI.
Maturity model dapat digunakan untuk memetakan :
1. Status pengelolaan TI perusahaan pada saat itu.
2. Status standart industri dalam bidang TI saat ini
(sebagai pembanding)
3. status standart internasional dalam bidang TI saat ini
(sebagai pembanding)
4. strategi pengelolaan TI perusahaan (ekspetasi
perusahaan terhadap posisi pengelolaan TI perusahaan)
Tingkat kemampuan pengelolaan TI pada skala maturity
dibagi menjadi 6 level :
Level 0(Non-existent); perusahaan tidak mengetahui sama
sekali proses teknologi informasi di perusahaannya
Level 1(Initial Level); pada level ini, organisasi pada
umumnya tidak menyediakan lingkungan yang stabil
untuk mengembangkan suatu produk baru. Ketika suatu
organisasi kelihatannya mengalami kekurangan
pengalaman manajemen, keuntungan dari
mengintegrasikan pengembangan produk tidak dapat
ditentukan dengan perencanaan yang tidak efektif, respon
sistem. Proses pengembangan tidak dapat diprediksi dan
tidak stabil, karena proses secara teratur berubah atau
dimodifikasi selama pengerjaan berjalan beberapa form
dari satu proyek ke proyek lain. Kinerja tergantung pada
kemampuan individual atau term dan varies dengan
keahlian yang dimilikinya.
Sumber : http://hanif720.blogspot.com/
Level 2(Repeatable Level); pada level ini, kebijakan untuk
mengatur pengembangan suatu proyek dan prosedur
dalam mengimplementasikan kebijakan tersebut
ditetapkan. Tingkat efektif suatu proses manajemen dalam
mengembangankan proyek adalah institutionalized,
dengan memungkinkan organisasi untuk mengulangi
pengalaman yang berhasil dalam mengembangkan proyek
sebelumnya, walaupun terdapat proses tertentu yang tidak
sama. Tingkat efektif suatu proses mempunyai
karakteristik seperti; practiced, dokumentasi, enforced,
trained, measured, dan dapat ditingkatkan. Product
requirement dan dokumentasi perancangan selalu dijaga
agar dapat mencegah perubahan yang tidak diinginkan.
Level 3(Defined Level); pada level ini, proses standar dalam
pengembangan suatu produk baru didokumentasikan,
proses ini didasari pada proses pengembangan produk
yang telah diintegrasikan. Proses-proses ini digunakan
untuk membantu manejer, ketua tim dan anggota tim
pengembangan sehingga bekerja dengan lebih efektif.
Suatu proses yang telah didefenisikan dengan baik
mempunyai karakteristik; readiness criteria, inputs,
standar dan prosedur dalam mengerjakan suatu proyek,
mekanisme verifikasi, output dan kriteria selesainya suatu
proyek. Aturan dan tanggung jawab yang didefinisikan
jelas dan dimengerti. Karena proses perangkat lunak
didefinisikan dengan jelas, maka manajemen mempunyai
pengatahuan yang baik mengenai kemajuan proyek
tersebut. Biaya, jadwal dan kebutuhan proyek dalam
pengawasan dan kualitas produk yang diawasi.
Level 4(Managed Level); Pada level ini, organisasi membuat
suatu matrik untuk suatu produk, proses dan pengukuran
hasil. Proyek mempunyai kontrol terhadap produk dan
proses untuk mengurangi variasi kinerja proses sehingga
terdapat batasan yang dapat diterima. Resiko perpindahan
teknologi produk, prores manufaktur, dan pasar harus
diketahui dan diatur secara hati-hati. Proses
pengembangan dapat ditentukan karena proses diukur dan
dijalankan dengan limit yang dapat diukur.
Level 5(Optimized Level); Pada level ini, seluruh organisasi
difokuskan pada proses peningkatan secara terus-
menerus. Teknologi informasi sudah digunakan
terintegrasi untuk otomatisasi proses kerja dalam
perusahaan, meningkatkan kualitas, efektifitas, serta
kemampuan beradaptasi perusahaan. Tim pengembangan
produk menganalisis kesalahan dan defects untuk
menentukan penyebab kesalahannya. Proses
pengembangan melakukan evaluasi untuk mencegah
kesalahan yang telah diketahui dan defects agar tidak
terjadi lagi.
 Diposting oleh awianggara di 18.04 4 komentar
Kirimkan Ini lewat EmailBlogThis!Berbagi ke
TwitterBerbagi ke FacebookBagikan ke Pinterest
Label: Maturity model
Jumat, 28 Oktober 2011
Langkah awal dalam penerapan COBIT
Masalah tata kelola IT dalam sebuah organisasi bisa
dibilang masalah yang gampang-gampang susah,
mengapa saya bilang begitu karena persoalan tata kelola
IT bisa jadi sangat subyektif sekaligus obyektif pula.
disebut subyektif ketika persoalan IT tersebut dilakukan
oleh seorang yang berpengalaman maka itu kemungkinan
akan menjadi sangat mudah sebaliknya jika dilakukan
oleh orang yang sama sekali tidak mengerti, maka itu
akan menjadi masalah yang besar.
Baca selengkapnya »
Diposting oleh awianggara di 09.56 5 komentar
Kirimkan Ini lewat EmailBlogThis!Berbagi ke
TwitterBerbagi ke FacebookBagikan ke Pinterest
Label: Langkah awal dalam penerapan COBIT
Rabu, 26 Oktober 2011
sekilas tentang Control Objective for Information and
related Technology (COBIT)
Bagi kamu yang sama sekali baru mengenal COBIT
,berikut overviewnya,langsung saja.
COBIT~Control Objective for Information and
related Technology
Dikeluarkan dan disusun oleh IT Governance Institute
yang merupakan bagian dari ISACA (Information
Systems Audit and Control Association) pada tahun
1996. hingga saat artikel ini di muat setidaknya sudah
ada 5 versi COBIT yang sudah diterbitkan, versi pertama
diterbitkan pada tahun 1996, versi kedua tahun 1998,
versi 3.0 di tahun 2000, Cobit 4.0 pada tahun 2005,
CObit 4.1 tahun 2007 dan yang terakhir ini adalah Cobit
versi 5 yang di rilis baru-baru saja.
COBIT adalah merupakan kerangka panduan tata kelola
TI dan atau bisa juga disebut sebagai toolset pendukung
yang bisa digunakan untuk menjembatani gap antara
kebutuhan dan bagaimana teknis pelaksanaan pemenuhan
kebutuhan tersebut dalam suatu organisasi. COBIT
memungkinkan pengembangan kebijakan yang jelas dan
sangat baik digunakan untuk IT kontrol seluruh
organisasi, membantu meningkatkan kualitas dan nilai
serta menyederhanakan pelaksanaan alur proses sebuah
organisasi dari sisi penerapan IT.
sekilas tentang Control Objective for Information and
related Technology (COBIT)
Bagi kamu yang sama sekali baru mengenal COBIT
,berikut overviewnya,langsung saja.
COBIT~Control Objective for Information and
related Technology
Dikeluarkan dan disusun oleh IT Governance Institute
yang merupakan bagian dari ISACA (Information
Systems Audit and Control Association) pada tahun
1996. hingga saat artikel ini di muat setidaknya sudah
ada 5 versi COBIT yang sudah diterbitkan, versi pertama
diterbitkan pada tahun 1996, versi kedua tahun 1998,
versi 3.0 di tahun 2000, Cobit 4.0 pada tahun 2005,
CObit 4.1 tahun 2007 dan yang terakhir ini adalah Cobit
versi 5 yang di rilis baru-baru saja.
COBIT adalah merupakan kerangka panduan tata kelola
TI dan atau bisa juga disebut sebagai toolset pendukung
yang bisa digunakan untuk menjembatani gap antara
kebutuhan dan bagaimana teknis pelaksanaan pemenuhan
kebutuhan tersebut dalam suatu organisasi. COBIT
memungkinkan pengembangan kebijakan yang jelas dan
sangat baik digunakan untuk IT kontrol seluruh
organisasi, membantu meningkatkan kualitas dan nilai
serta menyederhanakan pelaksanaan alur proses sebuah
organisasi dari sisi penerapan IT.
Cobit berorientasi proses, dimana secara praktis Cobit
dijadikan suatu standar panduan untuk membantu
mengelola suatu organisasi mencapai tujuannya dengan
memanfaatkan TI. Cobit memberikan panduan kerangka
kerja yang bisa mengenndalikan semua kegiatan
organisasi secara detail dan jelas sehingga dapat
membantu memudahkan pengambilan keputusan di level
top dalam organisasi.
siapa saja yang menggunakan COBIT?, COBIT
digunakan secara umum oleh mereka yang memiliki
tanggung jawab utama dalam alur proses organisasi,
mereka yang organisasinya sangat bergantung pada
kualitas,kehandalan dan penguasaan teknologi informasi.
Cobit memiliki 4 Cakupan Domain :
1. Perencanaan dan Organisasi (Plan and organise)
• Domain ini mencakup strategi dan taktik yang
menyangkut identifikasi tentang bagaimana TI dapat
memberikan kontribusi terbaik dalam pencapaian tujuan
bisnis organisasi sehingga terbentuk sebuah organisasi
yang baik dengan infrastruktur teknologi yang baik pula.
2. Pengadaan dan implementasi (Acquirw and
implement)
• Untuk mewujudkan strategi TI, solusi TI perlu
diidentifikasi, dibangun atau diperoleh dan kemudian
diimplementasikan dan diintegrasikan dalam proses
bisnis.
3. Pengantaran dan dukungan (Deliver and Support)
• Domain ini berhubungan dengan penyampaian layanan
yang diinginkan, yang terdiri dari operasi pada security
dan aspek kesinambungan bisnis sampai dengan
pengadaan training.
4. Pengawasan dan evaluasi (Monitor and Evaluate)
• Semua proses TI perlu dinilai secara teratur dan berkala
bagaimana kualitas dan kesesuaiannya dengan kebutuhan
kontrol.
COBIT 5 adalah – Teknologi Informasi dapat membantu
membuat keputusan pada tingkatan manajerial, akan tetapi
penerapan Teknologi Informasi membutuhkan biaya yang
cukup besar dengan resiko kegagalan yang tidak
kecil. Untuk membuat penerapan Teknologi Informasi di
dalam perusahaan dapat digunakan secara maksimal,
maka dibutuhkan pemahaman yang tepat mengenai
konsep dasar dari sistem yang berlaku, teknologi yang
dimanfaatkan, aplikasi yang digunakan dan pengelolaan
serta pengembangan sistem yang dilakukan pada
perusahaan tersebut.
COBIT 5 adalah a set of best practice (framework) bagi
pengelolaan teknologi informasi (IT management) yang
secara lengkap terdiri dari: executive summary,
framework, control objectives, audit guidelines,
implementation tool set serta management
guidelines yang sangat berguna untuk proses sistem
informasi strategis.
Control Objectives for Information and related
Technology (COBIT) berguna bagi IT users dalam
memperoleh keyakinan atas kehandalan sistem aplikasi
yang dipergunakan. Sedangkan para manajer memperoleh
manfaat dalam keputusan saat menyusun strategic IT plan,
menentukan information architecture, dan keputusan atas
procurement (pengadaan/pembelian) inventaris
organisasi.
COBIT dirancang terdiri dari 34 control objective yang
tercermin di dalam 4 domain (IT Governance Institute,
2007)
(Hariyanto, 2013) Menjelaskan mengenai domain terbagi
dalam 34 Control Objective:
 Pengertian COBIT 5 dan Fungsinya for
Information Security
 5 Prinsip Yang Mendasari COBIT 5
 Sertifikasi Auditor CISA Manfaatnya Dalam
Dunia Kerja
 TOGAF Adalah Kerangka yang Lebih Mudah
Beradaptasi Dengan Organisasi Perusahaan
1. Plan and Organise (PO), Secara umum domain ini
meliputi strategi dan taktik, serta identifikasi bagaimana
TI dapat berkontribusi terhadap pencapaian sasaran bisnis.
Domain ini dibagi ke dalam 10 fase dalam prosesnya,
yaitu:
 PO1: Mendefinisikan rencana strategis TI
 PO2: Mendefinisikan arsitektur informasi
 PO3: Menentukan arahan teknologi
 PO4: Mendefinisikan proses TI, organisasi dan
keterhubungannya
 PO5: Melelola investasi TI
 PO6: Mengkomunikasikan tujuan dan arahan
manajemen
 PO7: Mengelola sumber daya TI
 PO8: Mengelola kualitas
 PO9: Menaksir dan mengelola resiko TI
 PO10: Mengelola proyek
2. Acquire and Implement (AI), Domain ini
menggambarkan bagaimana perubahan dan pemeliharaan
dari sistem yang ada selaras dengan sasaran bisnis.
Domain AI terbagi menjadi tujuh proses TI yang dapat
dilihat pada tabel berikut:
 AI1: Mengidentifikasi Solusi Otomatis
 AI2: Memperoleh dan Memelihara Software
Aplikasi
 AI3: Memperoleh dan Memlihara Infrastruktur
Teknologi
  AI4: Memungkinkan Operasional dan
Penggunaan
 AI5: Memenuhi Sumber Daya TI
 AI6: Mengelola Perubahan
 AI7: Instalasi dan Akreditasi Solusi beserta
Perubahannya
3. Deliver and Support (DS), Domain ini mencakup
penyampaian hasil aktual dari layanan yang diminta,
termasuk pengelolaan kelancaran dan keamanan,
dukungan layanan terhadap pengguna serta pengelolaan
data dan operasional fasilitas, yang meliputi:
 DS1: Mengidentifikasi dan Mengelola Tingkat
Layanan
 DS2: Mengelola Layanan Pihak Ketiga
 DS3: Mengelola Kinerja dan Kapasitas
 DS4: Memastikan Layanan yang Berkelanjutan
 DS5: Memastikan Keamanan Sistem
 DS6: Mengidentifikasi dan Mengalokasikan
Biaya
 DS7: Mendidik dan Melatih Pengguna
 DS8: Mengelola service desk
 DS9: Mengelola Konfigurasi
 DS10: Mengelola Permasalahan
 DS11: Mengelola Data
 DS12: Mengelola Lingkungan Fisik
 DS13: Mengelola Operasi
Pengertian COBIT 5 – Informasi merupakan sumber daya
utama bagi enterprise. Teknologi memegang peranan
penting yang dapat meningkatkan fungsi informasi pada
enterprise, sosial, publik dan lingkungan bisnis. COBIT 5
memberikan layanan kerangka kerja secara komprehensif
untuk membantu pemerintah dan manajemen IT dalam
sebuah perusahaan mencapai tujuan yang diharapkan.
COBIT 5 for Information Security yang digambarkan
pada gambar 1 merupakan bagian dari COBIT 5 secara
utuh, dimana fokus pada COBIT 5 for Information
Security lebih ditekankan pada keamanan informasi dan
memberikan gambaran secara detil dan praktikal tentang
panduan bagi para profesional keamanan informasi dan
orang-orang yang merupakan bagian dari enterprise yang
memiliki ketertarikan di bidang keamanan informasi.
Secara umum, saya dapat mengatakan pengertian COBIT
5 adalah sebuah framework atau kerangka kerja yang
memberikan layanan kepada enterprise, baik itu sebuah
perusahaan, organisasi, maupun pemerintahan dalam
mengelola dan memanajemen aset atau sumber daya IT
untuk mencapai tujuan enterprise tersebut.

Gambar 1. Cobit 5 Framework

4. Monitor and Evaluate (ME), Domain ini terkait
dengan kinerja manajemen, kontrol internal, pemenuhan
terhadap aturan serta menyediakan tata kelola. Fungsi
doman ini sendiri adalah untuk memastikan seluruh proses
TI dapat dikontrol secara periodik yang bermaksud untuk
menjaga kualitas dan pemenuhan kebutuhan pasar.
Berbeda dari domain yang lain, ME hanya terdiri dari 4
proses TI, yaitu:
 ME1: Mengawasi dan Mengevaluasi Kinerja TI
 ME2: Mengawasi dan Mengevaluasi Kontrol
Internal
 ME3: Memastikan Pemenuhan terhadap
Kebutuhan Eksternal
 ME4: Menyediakan Tata Kelola TI
Pada COBIT 5, proses-proses seperti APO13 Manage
Security, DSS04 Manage Continuity dan DSS05 Manage
Security Services memberikan panduan dasar
mengidentifikasi, mengoperasikan dan memonitor sistem
untuk manajemen keamanan secara umum. Gambaran
mengenai proses-proses tersebut dapat dilihat pada
Gambar 2 berikut ini.
Baca:
 Manfaat Sertifikasi CISA Dalam Dunia Kerja
 Benarkah Penetration Testing Kunci Keamanan
Perusahaan?

Implementasi COBIT dipercaya dapat membantu

perusahaan dalam hal meningkatkan pendekatan/program
audit, mendukung audit kerja dengan arahan audit secara
rinci, memberikan petunjuk untuk IT governance, sebagai
penilaian benchmark untuk kendali IS/IT, meningkatkan
control IS/IT, dan sebagai standarisasi
pendekatan/program audit.

IT Governance Indonesia ( ITGID ) merupakan lembaga

pengembangan bidang teknologi informasi, ITGID siap
membantu perusahaan anda mencapai tujuan yang
diharapkan, dengan mengadakan Pelatihan COBIT 5.
Untuk informasi lebih lengkap dapat lihat
di: https://itgid.org/training/
Gambar 2. Proses Manajemen IT pada COBIT 5
Tujuan utama pengembangan COBIT 5 for Information
Security:
Menggambarkan keamanan informasi pada enterprise
termasuk:
 Responsibilities terhadap fungsi IT pada
keamanan informasi.
 Aspek-aspek yang akan meningkatkan
efektivitas kepemimpinan dan manajemen
keamanan informasi seperti struktur organisasi,
aturan-aturan dan kultur.
 Hubungan dan jaringan keamanan informasi
terhadap tujuan enterprise.
Memenuhi kebutuhan enterprise untuk:
 Menjaga risiko keamanan pada level yang
berwenang dan melindungi informasi terhadap
orang yang tidak berkepentingan atau tidak
berwenang untuk melakukan modifikasi yang
dapat mengakibatkan kekacauan.
 Memastikan layanan dan sistem secara
berkelanjutan dapat digunakan oleh internal dan
eksternal stakeholders.
 Mengikuti hukum dan peraturan yang relevan.
Sebagai tambahan, pengembangan COBIT 5 for
Information Security untuk memberikan fakta bahwa
keamanan informasi merupakan salah satu aspek penting
dalam operasional sehari-hari pada enterprise.
Pengertian Keamanan Informasi
ISACA mendefinisikan keamanan informasi sebagai:
“Ensures that within the enterprise, information is
protected against disclosure to unauthorised users
(confidentiality), improper modification (integrity) and
non-access when required (availability).”
 Confidentiality berarti menjaga hak akses dan
penggunaan wewenang untuk melindungi
privacy dan kepemilikan informasi.
 Integrity berarti menjaga informasi dari
modifikasi atau perusakan dan termasuk
memastikan bahwa informasi yang ada
merupakan informasi asli dan tidak ada
penolakan (non-repudiation) jika akan dilakuan
pembuktian terhadap sistem.
 Availability berarti memastikan dalam hal
waktu dan kehandalan dalam mengakses dan
menggunakan informasi agar selalu tersedia.
Meskipun terdapat beberapa definisi yang berbeda,
definisi menurut ISACA di atas merupakan definisi dasar
dari keamanan informasi yang mengakomodir aspek
confidentiality, integrity dan availability (CIA). Konsep
CIA sendiri merupakan konsep yang telah diakui secara
global. Cobit 5 for Information Security didasari pada
prinsip yang terdapat pada kerangka kerja (framework)
COBIT 5 yang dapat digambarkan pada gambar 3 berikut.
Baca Juga:

Keunggulan
 Pentingnya Implementasi COBIT bagi IT
Perusahaan
Menggunakan COBIT 5 for Information Secutiry
 Mau Menjadi Professional IT Auditor, Saatnya
memberikan sejumlah kemampuan yang berhubungan
Sertifikasi CISA!
dengan keamanan informasi untuk perusahaan sehingga
dapat menghasilkan manfaat perusahaan seperti:

 Mengurangi kompleksitas dan meningkatkan

efektivitas biaya karena integrasi yang lebih
baik dan lebih mudah.
 Meningkatkan kepuasan pengguna.
 Meningkatkan integrasi keamanan informasi
dalam perusahaan.
 Menginformasikan risiko keputusan dan risk
awareness.
 Meningkatkan pencegahan, deteksi dan
pemulihan.
 Mengurangi insiden (dampak) keamanan
informasi. Gambar 3. Prinsip COBIT 5
 Meningkatkan dukungan untuk inovasi dan
daya saing. Prinsip COBIT 5
 Meningkatkan pengelolaan biaya yang
berhubungan dengan fungsi keamanan Prinsip 1. Meeting Stakeholder Needs
informasi.
 Pemahaman yang lebih baik dari keamanan Keberadaan sebuah perusahaan untuk menciptakan nilai
informasi. kepada stakeholdernya – termasuk stakeholders untuk
keamanan informasi – didasarkan pada pemeliharaan
Keamanan Informasi keseimbangan antara realisasi keuntungan dan
optimalisasi risiko dan penggunaan sumber daya yang
ada. Optimalisasi risiko dianggap paling relevan untuk
keamanan informasi. Setiap perusahaan memiliki tujuan
yang berbeda-beda sehingga perusahaan tersebut harus
mampu menyesuaikan atau melakukan customize COBIT
5 ke konteks perusahaan yang dimiliki.
Prinsip 2. Covering the Enterprise End-to-End
COBIT 5 mengintegrasikan IT enterprise pada organisasi
pemerintahan dengan cara:
 Mengakomodasi seluruh fungsi dan proses yang
terdapat pada enterprise. COBIT 5 tidak hanya
fokus pada ‘fungsi IT’, namun termasuk pada
pemeliharaan informasi dan teknologi terkait
sebagai aset layaknya aset-aset yang terdapat
pada enterprise.
 Mengakomodasi seluruh stakeholders, fungsi
dan proses yang relevan dengan keamanan
informasi.
Prinsip 3. Applying a Single, Integrated Network
COBIT 5 dapat disesuaikan dengan standar dan
framework lain, serta mengizinkan perusahaan untuk
menggunakan standar dan framework lain sebagai lingkup
manajemen kerangka kerja untuk IT enterprise. COBIT 5
for Information Security membawa pengetahuan dari versi
ISACA sebelumnya seperti COBIT, BMIS, Risk IT, Val
IT dengan panduan dari standar ISO/IEC 27000 yang
merupakan standar ISF untuk keamanan informasi dan
U.S. National Institute of Standars and Technology
(NIST) SP800-53A.
Prinsip 4. Enabling a Holistic Approach
Pemerintahan dan manajemen perusahaan IT yang efektif
dan efisien membutuhkan pendekatan secara holistik atau
menyeluruh. COBIT 5 mendefinisikan kumpulan pemicu
yang disebut enabler untuk mendukung implementasi
pemerintahan yang komprehensif dan manajemen sistem
perusahaan IT dan informasi. Enablers adalah faktor
individual dan kolektif yang mempengaruhi sesuatu agar
dapat berjalan atau bekerja. Kerangka kerja COBIT 5
mendefinisikan 7 kategori enablers yang dapat dilihat
pada gambar 4 berikut.
Gambar 4. COBIT 5 Enabler
7 enablers yang digunakan pada COBIT 5 meliputi:
1. Principles, Policies and Frameworks
2. Processes
3. Organisational Strucutres
4. Culture, Ethics and Behaviour
5. Information
6. Services, Infrastructure and Applications
7. People, Skills and Competencies
Prinsip 5. Separating Governance from Management
COBIT 5 dengan tegas membedakan pemerintahan dan
manajemen. Kedua disiplin ini memiliki tipe aktivitas
yang berbeda, membutuhkan struktur organisasi yang
berbeda dan memiliki tujuan yang berbeda. COBIT 5
melihat perbedaan tersebut berdasarkan sudut pandang
berikut.
Pada praktiknya, terdapat perbedaan roles dari keamanan
informasi pemerintahan dan manajemen yang dapat
digambarkan pada gambar 2 dimana terdapat proses-
proses yang dilakukan pemerintahan dan proses-proses
yang dilakukan manajemen. Masing-masing memiliki
responsibilities atau tanggung jawab yang berbeda.
Penggunaan COBIT 5 Enablers pada Praktik
Implementasi Keamanan Informasi
Secara umum, COBIT 5 mendefinisikan enablers ke
dalam dimensi yang dapat dilihat pada gambar 5.
Pendefinisian enablers dalam bentuk dimensi ini akan
memberikan cara sederhana dan terstruktur agar dapat
dengan mudah memanajemen interaksi yang kompleks.
Gambar 5. COBIT 5 Enablers: General
Gambaran implementasi dari ketujuh enabler (Principles,
Policies and Frameworks, Processes, Organisational
Strucutres, Culture, Ethics and Behaviour,
Information, Services, Infrastructure and Applications,
People, Skills and Competencies) pada COBIT 5 secara
umum digambarkan pada gambar 5. Aktivitas-aktivitas
spesifiknya dapat dilihat pada buku panduan detil dari
COBIT 5 for Information Security (Appendix A-H).
Sebagai contoh, salah satu enabler pada panduan tersebut
dapat dilihat pada rincian berikut.
DSS01 Manage Operations
Roles dan Struktur Keamanan Informasi
Pada beberapa tipikal enterprise, roles dan struktur
keamanan informasi dapat digambarkan pada gambar 6.
Baris 1, 2 dan 3 merupakan roles dan struktur yang biasa
ditemukan.
Pada praktiknya, masing-masing roles/structure pada
gambar 6 di atas akan memiliki:
 Composition – Kemampuan yang harus dimiliki
oleh seluruh anggota organisasi.
 Mandate, Operating Principles, Span of Control
and Authority Level
 High-level RACI Chart – Tingkat
Responsibilities, Accountable, Consulted dan
Informed.
 Inputs/Outputs
Sebagai tambahan, secara spesifik roles keamanan
informasi dapat dibuat tergantung dengan kondisi
enterprise. Contohnya, tipikal roles pada tim keamanan
informasi adalah:
 Administrator Keamanan Informasi
 Arsitek Keamanan Informasi
 Auditor Keamanan Informasi
Kesimpulan
COBIT 5 Framework merupakan kerangka kerja yang
dapat digunakan sebuah organisasi, pemerintahan,
perusahaan atau enterprise untuk membantu mencapai
tujuan yang diingingkan. Pada COBIT 5 sendiri terdapat
bagian yang khusus membahas tentang Kemanan
Informasi yang dikenal dengan nama COBIT 5 for
Information Security dimana dapat memberikan panduan
secara komprehensif kepada perusahaan terkait aspek
keamanan informasi pada sebuah perusahaan.
IT Governance Indonesia ( ITGID ) merupakan lembaga
pengembangan bidang teknologi informasi, ITGID siap
membantu perusahaan anda mencapai tujuan yang
diharapkan, dengan mengadakan Pelatihan COBIT 5.
Untuk informasi lebih lengkap dapat lihat
di: https://itgid.org/training/
Sertifikasi CISA sangat menguntungkan untuk masa
depan di dunia IT, dengan sertifikasi ini Anda akan lebih
dipercaya sebagai auditor IT, dan peluangnya sangat besar
dalam meraih penghasilan di bidang IT Auditor, karena
pesaingnya masih sangat sedikit terutama di Indonesia.
CISA diselengarakan oleh ISACA (Information Systems
Audit and Control Association). Sertifikasi CISA sudah
berlangsung sejak tahun 1978. Pengaturan dalam ujian
CISA yang pertama dilaksanakan pada tahun 1981, dan
jumlah pendaftar selalun bertambah pada tiap tahunnya.
Hampir di atas 60.000 auditor.
Calon-calon yang akan mengikiuti sertifikasi CISA harus
melewati ujian tertulis selanjutnya harus setuju pada
aturan ISACA Professional Ethics, menyerahkan bukti
dari sedikitnya lima tahun pengalaman profesional
bidang auditing, pengedalian , atau keamanan IT dan
lainnya.
Keberhasilan dalam ujian CISA, menuntut kandidat
memiliki kesiapan khusus dan juga pengalaman yang
memadai di bidang audit sistem informasi. Untuk itu,
CISA diakui secara internasional sebagai professional
dengan pengetahuan, keterampilan, pengalaman dan
kredibilitas dengan standar leverage, mengelola
kerentanan, memastikan kepatuhan, menawarkan solusi,
kontrol lembaga dan memberikan nilai bagi perusahaan.
Baca juga
 Cara Mendapatkan Sertifikat CISA
 Sertifikasi Auditor CISA Manfaatnya Dalam
Dunia Kerja
 Berikut 9 Tips Terbaik Lulus Ujian CISA
 Penetration Testing Menyempurnakan Program
Keamanan Informasi
 Persiapan Ujian CISA
Berikut adalah daftar top tips untuk lulus Ujian CISA :
1. Kupas Tuntas CRM
ISACA menyediakan Ulasan Manual (CRM) yang
berfungsi sebagai panduan untuk ujian CISA. CRM
membahas semua rincian yang terkait dengan ujian CISA
dan mendefinisikan peran dan tanggung jawab dari suatu
sistem informasi auditor.
2. Praktik CISA Review Pertanyaan dan
Jawaban
Calon peserta dapat menggunakan sampel pertanyaan dan
jawaban untuk memahami konsep yang sulit dan
meningkatkan persiapan ujian CISA dalam mencapai
sertifikasi CISA. Pertanyaan-pertanyaan review dan
jawaban dirancang untuk memberikan gambaran dari
ujian CISA.
ITGID merupakan lembaga pengembangan bidang
teknologi informasi. ITGID (Member Of Proxsis
Consulting Group) telah menandatangani Surat Perjanjian
Kerjasama Penyelenggaraan ISACA Certification Review
Course 2016, antara Proxsis dengan ISACA Chapter
Indonesia. Materi dan trainer khusus training ISACA
adalah resmi dari ISACA. Untuk informasi lebih lanjut
mengenai Training CISA dapat lihat
di: //itgid.org/training/
Untuk Persiapan Ujian Training CISAnya dapat di lihat
di https://itgid.org/cisa-exam-preparation-jakarta/

3. Pengalaman Dalam Sistem Informasi Audit

Untuk memenuhi syarat dalam program sertifikasi

profesional seperti CISA, sangat penting untuk
mendapatkan pengalaman di bidang praktis. IT audit yang
sama seperti jenis audit lainnya namun dengan lingkup
yang berbeda. Seorang profesional harus memiliki
gagasan tentang pemahaman proses bisnis, pemeriksaan
lingkup, perencanaan audit dan pelaporan dalam hal
industri nyata.

4. Jam Belajar
Prinsip COBIT 5 – Enabler adalah segala sesuatu yang
dapat membantu pencapaian tujuan dari perusahaan.
Menjadi seorang profesional, bisa sulit bagi calon untuk COBIT 5 mendefinisikan 7 kategori enabler :
mengelola jam belajar untuk persiapan ujian CISA.
Namun, mengelola jam belajar per bidang studi sangat
1. Prinsip, aturan dan kerangka kerja (principles,
penting untuk meraih sukses dalam ujian CISA. Satu dapat
policies and framework)
mendedikasikan 1-2 jam secara teratur untuk
2. Proses-proses (processes)
meningkatkan persiapan ujian CISA menuju pilar
3. Struktur organisasi (organisational structures)
kesuksesan.
4. Budaya, etika dan perilaku (culture, ethics and
behaviour)
5. Bergabung dengan Grup dan Forum CISA 5. Informasi (information)
6. Layanan, infrastruktur dan aplikasi (Service,
Peserta dapat bergabung dengan Grup dan infrastructure and application)
Forum CISA untuk berinteraksi dengan calon peserta 7. Orang, keahlian dan kompetensi (people, skills
CISA ataupun alumni CISA yang sudah lulus ujian. Ada and competencies)
berbagai forum diskusi di sertifikasi CISA. Platform
tersebut dapat menyediakan baik pengetahuan teoritis dan Baca:
praktis tentang IS audit, dengan demikian membantu
meningkatkan persiapan ujian CISA menuju pencapaian
kelulusan yang lebih baik.  Pengertian COBIT 5 dan Fungsinya for
Information Security
 ISO 27001 Sebagai Ikon Standarasi
6. Ikut dalam Training CISA Exam
Manajemen Keamanan Informasi
Preparation Class

COBIT 5 didasari oleh 5 prinsip kunci dalam menjalankan

Calon peserta dapat mengikuti training dalam persiapan
governance dan management suatu IT enterprise. Kelima
mengikuti ujian CISA yang diadakan oleh organisasi atau
prinsip COBIT 5 tersebut yaitu :
lembaga-lembaga training. Hal ini dapat memudahkan
calon peserta dalam menangkap garis merah apa saja yang
keluar saat nanti ujian CISA dan dengan melakukan  Prinsip COBIT 5 pertama : Meeting
training CISA ini calon peserta akan menambah stakeholder needs
pertemanan dengan calon peserta lainnya yang COBIT 5 terdiri atas proses-proses dan enabler
sebelumnya belum calon peserta kenal. Hal ini bisa untuk mendukung penciptaan nilai bisnis
menjadi hal yang positif untuk saling share dan menjadi melalui penerapan IT. Sebuah perusahaan dapat
rekan untuk belajar bersama. menyesuaikan COBIT 5 dengan konteks
perusahaan tersebut .
  Prinsip COBIT 5 kedua : Covering the
enterprise end-to-end
COBIT 5 mengintegrasikan pengelolaan IT
perusahaan terhadap tatakelola perusahaan. Hal
ini dimungkinkan karena
 COBIT 5 mencakup seluruh fungsi
dan proses yang ada di perusahaan.
COBIT 5 tidak hanya fokus pada
fungsi IT, tapi menjadi teknologi dan
informasi tersebut sebagai aset yang
berhubungan dengan aset-aset lain
yang dikelola semua orang di dalam
sebuah perusahaan.
 COBIT 5 mempertimbangkan seluruh
enabler dari governance dan
management terkait IT dalam sudut
pandang perusahaan dan end-to-end.
Artinya COBIT 5 Adalah suatu cabang dari tatakelola perusahaan yang
mempertimbangkan seluruh entitas di
perusahaan sebagai bagian yang
saling mempengaruhi.
 Prinsip COBIT 5 ketiga : Applying a single,
integrated framework
COBIT 5 selaras dengan standar-standar terkait
yang biasanya memberi panduan untuk sebagian
dari aktivitas IT. COBIT 5 adalah framework
yang membahas high level terkait governance
dan management dari IT perusahaan. COBIT 5
menyediakan panduan high level dan panduan
detailnya disediakan oleh standar-standar terkait
lainnya.
Baca Juga:
 Manfaat Sertifikasi CISA Dalam Dunia Kerja
 Benarkah Penetration Testing Kunci Keamanan
Perusahaan?
 Prinsip COBIT 5 keempat: Enabling a
holistic approach
Governance dan management IT perusahaan
yang efektif dan efisien membutuhkan
pendekatan yang bersifat menyeluruh, yaitu
mempertimbangkan komponen-
komponen yang saling berinteraksi. COBIT 5
mendefiniskan sekumpulan enabler untuk
mendukung implementasi governance dan
management sistem IT perusahaan secara
komprehensif.
 Prinsip COBIT 5 kelima : Separating
governance from management
COBIT 5 memberikan pemisahan yang jelas
antara management dan governance. Kedua hal
ini meliputi aktivitas yang
berbeda,membutuhkan struktur organisasi yang
berbeda dan melayani tujuan yang berbeda.
Menurut COBIT 5, governance memastikan
kebutuhan, kondisi dan pilihan dari stakeholder
dievaluasi untuk menentukan objektif dari
perusahaan yang akan disepakati untuk dicapai.
Governance memberikan arah bagi penentuan
prioritas dan pengambilan keputusan. Selain itu,
governance juga me-monitor kinerja dan
kesesuaian terhadap objektif yang telah
disepakati.
Sementara, management meliputi aktivitas
merencanakan, membangun, menjalankan dan
me-monitor aktivitas yang diselaraskan dengan
arahan yang ditetapkan oleh organisasi
governance untuk mencapai objektif dari
perusahaan.
IT Governance Indonesia ( ITGID ) merupakan lembaga
pengembangan bidang teknologi informasi, ITGID siap
membantu perusahaan anda untuk mengimplementasikan
COBIT 5, dengan mengadakan Pelatihan COBIT 5.
Untuk informasi lebih lengkap dapat lihat
di: https://itgid.org/training/
Tata KelolaTeknologiInformasi
Definisitatakelola TI
terfokus pada Sistem/Teknologi informasi serta
manajemen Kinerja dan risikonya.
Tata kelola TI
adalahstrukturkebijakanatauprosedurdankumpulanproses
yang yang
bertujuanuntukmemastikankesesuaianpenerapan TI
dengandukungannyaterhadappencapaiantujuaninstitusi,
dengancaramengoptimalkankeuntungandankesempatan
yang ditawarkan TI,
mengendalikanpenggunaanterhadapsumberdaya TI
danmengelolaresiko-resikoterkait TI
Tatakelolateknologiinformasibukanbidang
yangterpisahdaripengelolaanperusahan,
melainkanmerupakankomponenpengelolaanperusahaanse
carakeseluruhan,
dengantanggungjawabutamasebagaiberikut:
1. Memastikan kepentingan stakeholder diikutsertakan
dalampenyusunanstrategiperusahaan.
2. Memberikan arahan kepada proses-proses yang
menerapkanstrategiperusahaan.
3. Memastikan proses-proses tersebut menghasilkan
keluaran yang terukur.
4. Memastikanadanyainformasimengenaihasil yang
diperolehdanmengukurnya.
5. Memastikan keluaran yg dihasilkan sesuai
dgnygdiharap
Pentingnya Tata Kelola TI
Di lingkungan yang
sudahmemanfaatkanTeknologiInformasi (TI), tatakelola
TI menjadihalpenting yang harusdiperhatikan. Hal
inidikarenakanekspektasidanrealitasseringkalitidaksesuai.
Pihakshareholder perusahaanselaluberharap agar
perusahaandapat :
1. Memberikansolusi TI dengankualitas yang bagus,
tepatwaktu, dansesuaidengananggaran.
2. Menguasaidnmenggunakan TI
untukmendatangkankeuntungan.
3. Menerapkan TI
untukmeningkatkanefisiensidanproduktifitassambilmena
nganirisiko TI.
Pengabaian Tata Kelola TI
Tata kelola TI yang
dilakukansecaratidakefektifakanmenjadiawalterjadinyape
ngalamanburuk dihadapiperusahaan, yang
memicumunculnyafenomenainvestasi TI yang
tidakdiharapkan, seperti:
1. Kerugianbisnis, berkurangnyareputasi,
danmelemahnyaposisikompetisi.
2. Tenggangwaktu yang terlampaui, biayalebihtinggidari
yang diperkirakan, dankualitaslebihrendahdari yang
telahdiantisipasi.
3.
Efisiensidanprosesintiperusahaanterpengaruhsecaranegati
folehrendahnyakualitaspenggunaan TI.
4. Kegagalandariinisiatif TI
untukmelahirkaninovasiataumemberikankeuntungan
yang dijanjikan
Manfaat Tata kelola TI
adalahuntukmengaturpenggunaan TI,
danmemastikankinerja TI
sesuaidengantujuan/fokusutama area tatakelola TI
Fokus utama Area Tata Kelola TI
Strategic alignment
 Memastikan adanya hubungan perencanaan
organisasi dan TI dengan cara menetapkan,
memelihara, serta menyesuaikan operasional
TI dengan operasional organisasi.
Value delivery
Fokusdenganmelaksanakan proses TI agar supaya proses
tersebutsesuaidengansiklusnya,
mulaidarimenjalankanrencana, memastikan TI
dapatmemberikanmanfaat yang diharapkan,
mengoptimalkanpenggunaanbiayasehinggapadaakhirnya
TI dapatmencapaihasil yang diinginkan
Resource management
Fokuspadakegiatan yang
dapatmengoptimalkandanmengelolasumberdaya TI, yang
terdiridariaplikasi, informasi, infrastruktur,
dansumberdayamanusia
Risk management
Untuk melaksanakan pengelolaan terhadap risiko,
dibutuhkan
kesadarananggotaorganisasidalammemahamiadanyarisik
o, kebutuhan organisasi, dan risiko – risiko signifikan
yang dapat terjadi,
sertamenanamkantanggungjawabdalammengelolarisiko
yang ada di organisasi.
Performance measurement
Mengikuti dan mengawasi jalannya pelaksanaan rencana,
pelaksanaan proyek, pemanfaaatan sumber daya, kinerja
poses, penyampaian layanan sampai dengan pencapaian
hasil TI
MODEL TATAKELOLA TEKNOLOGI
INFORMASI
1. The IT Infrastructure Library (ITIL)
ITIL dikembangkanoleh The Office of Government
Commerce (OGC)
suatubadandibawahpemerintahInggris,
denganbekerjasamadengan The IT Service Management
Forum (itSMF) dan British
Standard Institute (BSI)
ITIL merupakansuatu framework pengelolaanlayanan TI
(IT Service
Management – ITSM) yang
sudahdiadopsisebagaistandarindustripengembanganindus
triperangkatlunakdidunia.
MODEL TATAKELOLA TEKNOLOGI
INFORMASI
ITSM memfokuskandiripada 3 (tiga) tujuanutama, yaitu:
1. Menyelaraskanlayanan TI dengankebutuhansekarang
dan akan datang dari bisnis dan pelanggannya.
2. Memperbaiki kualitas layanan-layanan TI.
3.
Mengurangibiayajangkapanjangdaripengelolaanlayanan-
layanantersebut
Standar ITIL berfokuskepadapelayanancustomer, dan
sama sekali tidak menyertakan proses penyelarasan
strategi perusahaan terhadap strategi TI yang
dikembangkan.
MODEL TATAKELOLA TEKNOLOGI
INFORMASI
2. ISO/IEC 17799
ISO/IEC 17799 dikembangkanolehThe International
Organization for Standardization (ISO) dan
The International Electrotechnical Commission (IEC)
ISO/IEC 17799 bertujuanmemperkuat 3 (tiga) element
dasarkeamananinformasi, yaitu:
1. Confidentiality –
memastikanbahwainformasihanyadapatdiaksesoleh yang
berhak.
2. Integrity –
menjagaakurasidanselesainyainformasidanmetodepemros
esan.
3. Availability – memastikanbahwa user yang terotorisasi
mendapatkan akses kepada informasi danaset yang
terhubungdengannyaketikamemerlukannya
MODEL TATAKELOLA TEKNOLOGI
INFORMASI
3. COSO
COSO merupakankependekandari Committee of
Sponsoring Organization of the TreadwayCommission,
sebuah organisasi di Amerika yang
berdedikasidalammeningkatkankualitaspelaporanfinansia
lmencakupetikabisnis, kontrol internal dancorporate
governance
MODEL TATAKELOLA TEKNOLOGI
INFORMASI
COSO framework terdiridari 3 dimensiyaitu:
3. 1. Komponenkontrol COSO
COSO mengidentifikasi 5 komponenkontrol yang
diintegrasikan dan dijalankan dalam semua unit bisnis,
danakanmembantumencapaisasarankontrol internal:
a. Monitoring.
b. Information and communications.
c. Control activities.
d. Risk assessment.
e. Control environment.
MODEL TATAKELOLA TEKNOLOGI
INFORMASI
3.2. Sasarankontrol internal
Sasaran kontrol internal dikategorikan menjadi beberapa
area sebagaiberikut:
a. Operations – efisisensi dan efektifitas operasi dalam
mencapai sasaran bisnis yang juga meliputi tujuan
performansi dan keuntungan.
b. Financial reporting –
persiapanpelaporananggaranfinansial yang
dapatdipercaya.
c. Compliance – pemenuhanhukumdanaturanyang
dapatdipercaya.
MODEL TATAKELOLA TEKNOLOGI
INFORMASI
3.3. Unit/AktifitasTerhadapOrganisasi
Dimensi ini mengidentifikasikan unit/aktifitas pada
organisasi yang menghubungkankontrol internal.
Kontrol internal menyangkutkeseluruhanorganisasidan
semua bagian-bagiannya. Kontrol internal
seharusnyadiimplementasikanterhadap unit-unit
danaktifitasorganisasi.
MODEL TATAKELOLA TEKNOLOGI
INFORMASI
4. Control Objectives for Information and related
Technology (COBIT)
COBIT Framework dikembangkanoleh IT Governance
Institute, sebuahorganisasi yang melakukanstuditentang
model pengelolaan TI yang berbasisdiAmerikaSerikat
COBIT Framework terdiriatas 4 domain utama:
1. Planning & Organisation.
2. Acquisition & Implementation.
3. Delivery & Support.
4. Monitoring.
MODEL TATAKELOLA TEKNOLOGI
INFORMASI
1. Planning & Organisation.
Domain ini menitikberatkan pada proses perencanaan
dan penyelarasan strategi TI dengan strategi perusahaan.
2. Acquisition & Implementation.
Domain ini menitikberatkan pada proses pemilihan,
pengadaaan dan penerapan teknologi informasi yang
digunakan.
3. Delivery & Support.
Domain ini menitikberatkan pada proses pelayanan TI
dan dukungan teknisnya.
4. Monitoring.
Domain ini menitikberatkan pada proses pengawasan
pengelolaan TI pada organisasi.
MODEL TATAKELOLA TEKNOLOGI
INFORMASI
COBIT mempunyai model kematangan (maturity
models), untuk mengontrol proses-proses TI dengan
menggunakan metode penilaian (scoring) sehingga suatu
organisasi dapat menilai proses-proses TI yang
dimilikinya dari skala non-existent sampai dengan
optimised (dari 0 sampai 5).
MODEL TATAKELOLA TEKNOLOGI
INFORMASI
COBIT jugamempunyaiukuran-
ukuranlainnyasebagaiberikut:
1. Critical Success Factors (CSF) – mendefinisian
2. Key Goal Indicators (KGI) – mendefinisikan
3. Key Performance Indicators (KPI) – mendefinisikan
Critical Success Factors (CSF) –
mendefinisian hal-hal atau kegiatan penting yang dapat
digunakan manajemen untuk dapat mengontrol proses-
proses TI di organisasinya.
2. Key Goal Indicators (KGI) –
Mendefinisikanukuran-ukuran yang akan memberikan
gambaran kepada manajemen apakah proses-proses TI
yang adatelahmemenuhikebutuhanprosesbisnis yang ada.
KGI biasanyaberbentukkriteriainformasi:
a. Ketersediaaninformasi yang
diperlukandalammendukungkebutuhanbisnis.
b. Tidakadanyaresikointegritasdankerahasiaandata.
c. Efisiensibiayadariproses dan operasiyang dilakukan.
d. Konfirmasireliabilitas, efektifitas, dan compliance.
3. Key Performance Indicators (KPI) –
mendefinisikanukuran-ukuranuntukmenentukankinerja
proses-proses TI dilakukanuntukmewujudkantujuan yang
telah ditentukan. KPI biasanya berupa indikator
kapabilitas, pelaksanaan, dan kemampuan sumberdaya
TI.
Pemberitahuan:
Mulai 1 Juli 2018 sudah dilakukan penerapan
aturan pembatasan nilai sesuai Perpres 16/2018
dimana PP maksimal pemesanan ePurchasing s/d 200jt
rupiah, sedangkan PPK melakukan ePurchasing di atas
200jt rupiah.
Ongkos kirim bersifat at cost (sesuai dengan jumlah
pengeluaran riil yang tercantum dalam invoice).
Apabila produk sudah tayang dan penyedia bermaksud
mengubah data produk (tambah lampiran, ubah masa
berlaku produk, dll), harap menyampaikan Surat
Permohonan kepada Direktur Pengembangan Sistem
Katalog disertai alasan/penjelasan detail untuk
permohonan tersebut untuk dibukakan akses Edit
produknya.
Bagi Penyedia Katalog Elektronik yang akan unggah data
produk barang/jasa dan harga, harap
diperhatikan bahwa produk barang/jasa sudah ada dalam
SK Penetapan Produk/Lampiran Kontrak
Katalog dan Tanggal Harga menggunakan Tanggal SK
Penetapan Produk/Lampiran Kontrak Katalog.
Pembuatan akun Faskes Swasta peserta JKN dikoordinir
oleh Kemenkes. Faskes Swasta Peserta JKN yang telah
memiliki akun ePurchasing hanya dapat membeli di
Komoditas Obat 2018 saja.
Ajukan Surat Permohonan Perpanjangan Kontrak
Katalog dalam waktu maksimal 6 s/d 3 bulan sebelum
Masa Kontrak Katalog berakhir.
Apa itu sirup?
SiRUP adalah aplikasi Sistem Informasi Rencana Umum
Pengadaan berbasis Web (Web based) yang fungsinya
sebagai sarana atau alat untuk mengumumkan
RUP.SiRUP bertujuan untuk mempermudah pihak
PA/KPA dalam mengumumkan RUPnya. ... Aplikasi dan
Database SIRUP ter-cetralized pada satu server milik
LKPP.
Rencana Umum Pengadaan (RUP)
adalah Rencana yang berisi kegiatan dan
anggaran Pengadaan Barang/Jasa yang akan dibiayai
oleh Kementerian/Lembaga/Satuan Kerja Perangkat
Daerah/Institusi lainnya (K/L/D/I) sendiri dan/atau
dibiayai berdasarkan kerja sama antar K/L/D/I secara
pembiayaan bersama (co-financing).
Apa itu sikap di LKPP?
Sistem Informasi Kinerja Penyedia (SIKaP)
... SiKAP atau yang biasa juga disebut Vendor
Management System (VMS) merupakan sebuah
subsistem dari Sistem Pengadaan secara Elektronik yang
digunakan untuk mengelola data/informasi mengenai
riwayat kinerja dan/ data kualifikasi penyedia barang/jasa
yang dikembangkan oleh LKPP.28 Jan 201
Apa itu SIKaP di LKPP?
Sistem Informasi Kinerja Penyedia (SIKaP)
... SiKAP atau yang biasa juga disebut Vendor
Management System (VMS) merupakan sebuah
subsistem dari Sistem Pengadaan secara Elektronik yang
digunakan untuk mengelola data/informasi mengenai
riwayat kinerja dan/ data kualifikasi penyedia barang/jasa
yang dikembangkan oleh LKPP.28 Jan 2015
LPSE itu apa ya?
Layanan Pengadaan Secara Elektronik (LPSE) adalah
suatu unit yang melayani proses pengadaan barang/jasa
yang dilaksanakan secara elektronik. LPSE akan
menjalankan fungsi sebagai berikut : Mengelola sistem
e-Procurement. Menyediakan pelatihan kepada
PPK/Panitia dan Penyedia barang/jasa.
Apa yang dimaksud dengan e procurement?
E-procurement merupakan sistem pengadaan barang
atau jasa dengan menggunakan media elektronik seperti
internet atau jaringan komputer. E-
procurement diterapkan dalam proses pembelian dan
penjualan secara online supaya lebih efisien dan efektif.
Katalog Elektronik (E-Catalogue) adalah sistem
informasi elektronik yang memuat daftar, jenis,
spesifikasi teknis dan harga Barang/Jasa tertentu dari
berbagai Penyedia Barang/Jasa Pemerintah. ... E-
Purchasing adalah tata cara pembelian Barang/Jasa
melalui sistem katalog elektronik. Apa yang dimaksud
dengan e tendering?
mesin pencari (search engine) pengumuman tender yang
sedang aktif/berjalan dan produk barang/jasa dari
eCatalogue.

Pasal 1 angka 39, E-Tendering adalah tata cara

pemilihan Penyedia Barang/Jasa yang dilakukan secara
terbuka dan dapat diikuti oleh semua Penyedia
Barang/Jasa yang terdaftar pada sistem pengadaan secara
elektronik dengan cara menyampaikan 1 (satu) kali
penawaran dalam waktu yang telah ditentukan.15 Mei
2014
Apa yang dimaksud dengan procurement?
Procurement adalah suatu istilah yang mencakup
seluruh kegiatan yang dilakukan oleh Owner dalam
mewujudkan pengadaan, baik barang, peralatan dan
mesin-mesin maupun bangunan/konstruksi maupun
perbaikan atau perawatan atas aset yang dimiliki.
E-purchasing adalah tata cara pembelian barang/jasa
melalui sistem katalog elektronik. Kontrak payung yang
dilakukan dalam epurchasing adalah perjanjian antara
LKPP dan penyedia. PPK tidak perlu membuat HPS,
harga di epurchasingmenjadi HPS dalam pengadaan.7
Jan 2013
K/L/D/I adalah singkatan
Kementerian/Lembaga/Satuan Kerja
Perangkat Daerah/Institusi yang merupakan istilah Apa itu swakelola?
dalam pengadaan barang/jasa pemerintah untuk Swakelola merupakan kegiatan Pengadaan Barang/Jasa
instansi/institusi yang dimana pekerjaannya direncanakan, dikerjakan dan/atau
diawasi sendiri oleh K/L/D/I sebagai penanggung jawab
anggaran, instansi pemerintah lain, dan/atau kelompok
INAPROC - Portal Pengadaan Nasional adalah pintu masyarakat.
gerbang sistem informasi elektronik yang terkait dengan
informasi Pengadaan Barang/Jasa secara ...
Dari pengertian ini terlihat bahwa swakelola bersifat
mandiri dan dikerjakan oleh diri sendiri, bukan melalui
penyedia. Jadi, apabila tetap menggunakan penyedia
LPSE - Inaproc barang/jasa, misalnya toko, kontraktor, konsultan, tenaga
ahli dari swasta, PT, CV, dan lain-lain, maka itu bukanlah
swakelola.
menggunakan Anggaran Pendapatan dan Belanja Negara
(APBN) dan/atau Anggaran Pendapatan dan Belanja Swakelola bukan berarti dikelola sendiri. Bukan berarti
diberikan uang, kemudian beli sendiri ke toko. Karena
Daerah (APBD). INAPROC kalau sudah membeli ke toko, artinya sudah menggunakan
INAPROC - Portal Pengadaan Nasional adalah pintu penyedia, dimana toko inilah yang menjadi penyedianya.

gerbang sistem informasi elektronik yang terkait dengan

informasi Pengadaan Barang/Jasa secara nasional yang
dibangun dan dikelola oleh Lembaga Kebijakan
Pengadaan Barang/Jasa Pemerintah - Republik Indonesia.
Portal ini menjadi tempat penayangan rencana pengadaan
Dibawah ini adalah kasus yang sering terjadi:
Sebuah sekolah, diberikan bantuan dana dari APBN atau
APBD untuk pengadaan meubelair sejumlah Rp. 300 Juta.
Dalam petunjuk teknis (juknis) disebutkan bahwa
pengadaannya dilaksanakan dengan cara “swakelola”
sesuai ketentuan peraturan perundang-undangan.

dan pengumuman pengadaan oleh Kementerian,

Lembaga, Pemerintah Daerah, dan Instansi. Disamping
itu, portal ini memuat atau memberi akses dan tautan
kepada seluruh Layanan Pengadaan Secara Elektronik,
Katalog Barang untuk e-Purchasing, dan Daftar Hitam
Penyedia Barang/Jasa. Portal ini juga dilengkapi dengan
Karena melihat juknis ini, maka Kepala Sekolah segera
mencairkan anggaran yang telah diterima melalui
rekening sekolah, kemudian mendatangi toko meubelair
terdekat dari beberapa toko yang ada, kemudian
membelanjakan semua uang tersebut untuk membeli
meubelair untuk sekolahnya. Ini dengan alasan bahwa
yang namanya swakelola adalah “dikelola sendiri.”
Pemahaman ini adalah pemahaman yang tidak benar.
Kalau sudah membutuhkan penyedia, itu berarti sudah
bukan swakelola lagi, dan pemilihan penyedianya harus
menggunakan metode pemilihan penyedia. Beberapa
metode pemilihan penyedia adalah pelelangan umum,
pelelangan sederhana atau pemilihan langsung.
Mengapa Swakelola yang dipilih?
Pelaksanaan pengadaan dapat dilakukan secara swakelola
apabila memenuhi salah satu dari kondisi yang tertuang
dalam Pasal 26 Ayat 2 Perpres Nomor 54 Tahun 2010 dan
perubahannya berikut ini:
1. pekerjaan yang bertujuan untuk meningkatkan
kemampuan dan/atau memanfaatkan kemampuan
teknis sumber daya manusia, serta sesuai dengan
tugas dan fungsi K/L/D/I;
2. pekerjaan yang operasi dan pemeliharaannya
memerlukan partisipasi langsung masyarakat
setempat atau dikelola oleh K/L/D/I. Yang dimaksud
dengan partisipasi langsung masyarakat setempat
antara lain pekerjaan pemeliharaan saluran irigasi
tersier, pemeliharaan hutan/tanah ulayat, atau
pemeliharaan saluran/jalan desa;
3. pekerjaan yang dilihat dari segi besaran, sifat, lokasi
atau pembiayaannya tidak diminati oleh Penyedia
Barang/Jasa, misalnya pelaksanaan pengadaan di
daerah konflik;
4. pekerjaan yang secara rinci/detail tidak dapat
dihitung/ ditentukan terlebih dahulu, sehingga
apabila dilaksanakan oleh Penyedia Barang/Jasa
akan menimbulkan ketidakpastian dan risiko yang
besar;
5. penyelenggaraan diklat, kursus, penataran, seminar,
lokakarya atau penyuluhan;
6. pekerjaan untuk proyek percontohan (pilot project)
dan survei yang bersifat khusus untuk pengembangan
teknologi/ metode kerja yang belum dapat
dilaksanakan oleh Penyedia Barang/Jasa;
7. pekerjaan survei, pemrosesan data (misalnya sensus
dan statistik), perumusan kebijakan pemerintah,
pengujian di laboratorium dan pengembangan sistem
tertentu;
8. pekerjaan yang bersifat rahasia bagi K/L/D/I yang
bersangkutan. Yang dimaksud dengan pekerjaan
yang bersifat rahasia adalah pekerjaan yang berkaitan
dengan kepentingan negara yang tidak boleh
diketahui dan dimanfaatkan oleh pihak-pihak yang
tidak berhak, antara lain pembuatan soal-soal ujian
negara. Disini dilihat bahwa yang bersifat rahasia
adalah pembuatan soalnya, bukan pencetakannya.
Yang perlu diingat, bahwa walaupun kondisi tersebut
terpenuhi, artinya pelaksanaan pengadaan dapat
dilakukan dengan cara swakelola, di dalamnya bisa saja
terdapat penyedia barang/jasa.
Misalnya, dalam pelaksanaan penyelenggaraan diklat,
kursus, penataran, seminar, lokakarya atau penyuluhan,
seluruh kegiatan memang dilaksanakan secara swakelola.
Panitia berasal dari K/L/D/I sendiri, perencanaan
dilaksanakan sendiri, juga pengawasan dilaksanakan
sendiri. Namun, apabila membutuhkan jasa katering,
dimana katering tersebut disediakan oleh perusahaan
makanan, maka hal ini tetap menggunakan penyedia, dan
untuk memilihnya wajib menggunakan metode pemilihan
penyedia yang sesuai. Artinya, apabila pelaksanaan
lokakarya membutuhkan katering yang bernilai di atas 200
Juta, maka tetap dilakukan pelelangan. Apabila
dilaksanakan di hotel, maka dapat dilakukan penunjukan
langsung dengan tata cara yang sesuai dengan aturan
pengadaan barang/jasa.
Kapan Penetapan Swakelola atau Penyedia
dilakukan?
Pemilihan metode pengadaan dilakukan pada saat
penyusunan rencana umum pengadaan dan dilaksanakan
sebelum penyusunan anggaran. Metode ini sudah harus
tertuang dalam Kerangka Acuan Kerja (KAK) atau Term
of Reference (TOR) yang disusun sebagai persyaratan
untuk penyusunan anggaran.
Hal ini karena konsekwensi dari metode tersebut
berujung kepada struktur anggaran yang akan
dimasukkan dalam rencana kerja dan anggaran tahun
berikutnya.
Misalnya, apabila pelaksanaan lokakarya akan dilakukan
dengan cara swakelola, maka dalam KAK dan Rencana
Anggaran Biaya (RAB) sudah harus diuraikan tugas dan
fungsi masing-masing pihak yang akan terlibat. Kemudian
RAB ini dimasukkan sebagai bagian dari dokumen
anggaran. Dalam dokumen aanggaran juga sudah terurai
komponen akomodasi dan konsumsi, honorarium panitia,
narasumber, Alat Tulis Kantor (ATK), dan berbagai
pernak-pernik lainnya. Namun apabila hendak
menggunakan penyedia, maka dalam RAB walaupun
diuraikan secara detail, namun dalam dokumen anggaran
hanya dimasukkan dalam 1 mata anggaran secara
gelondongan. Rincian RAB akan berubah menjadi rincian
HPS yang sifatnay rahasia, sedangkan total RAB menjadi
total anggaran yang masih harus disusun HPS-nya dan
kemudian dilakukan pemilihan terhadap penyedia
menggunakan metode pemilihan yang sesuai (Pelelangan,
Penunjukan Langsung, atau Pengadaan Langsung).
Dalam Aplikasi Sistem Informasi Rencana Umum
Pengadaan (SIRUP) yang dikembangkan oleh LKPP juga
sudah membagi metode pengadaan sejak awal, sehingga
tidak ada lagi pertanyaan setelah dokumen anggaran
diterima, “ini dilaksanakan dengan cara swakelola atau
penyedia yah?”
Siapa saja pelaksana swakelola?
Berdasarkan Pasal 26 Ayat 1 Perpres Normo 54 Tahun
2010 dan perubahannya, pelaksana swakelola ada 3, yaitu
K/L/D/I penanggung jawab anggaran, Instansi Pemerintah
lain, dan Kelompok Masyarakat.
Apabila pelaksana swakelola adalah K/L/D/I penanggung
jawab anggaran, maka perencanaan, pelaksanaan, dan
pengawasan dilakukan sendiri oleh K/L/D/I tersebut.
Contohnya, pengangkutan sampah dilakukan oleh Dinas
Kebersihan, atau lokakarya yang dilakukan oleh
Kementerian Pendidikan, dan kegiatan-kegiatan lainnya.
Namun seperti yang disampaikan pada tulisan di atas,
apabila dalam pelaksanaan kegiatan membutuhkan
penyedia, maka metode pemilihan penyedia sesuai
Perpres juga tetap harus dilaksanakan.
Pelaksana kedua adalah instansi pemerintah lain. Yang
perlu digarisbawahi adalah, pelaksana wajib berupa
instansi pemerintah, bukan swasta dan bukan juga instansi
yang “mengaku-ngaku pemerintah.” Contoh instansi
pemerintah adalah Perguruan Tinggi Negeri, Lembaga
Negara, atau Institusi Pemerintah seperti BPPT,
Bakosurtanal, dan lain-lain.
Apabila pengadaan dilaksanakan oleh instansi
pemerintah, maka anggaran biaya yang digunakan harus
tunduk kepada acuan pemerintah juga. Misalnya untuk
honorarium, maka harus tunduk kepada aturan
Kementerian Keuangan mengenai standar biaya masukan
atau acuan dari instansi terkait. Konsultan yang berasal
dari Perguruan Tinggi, harus mau dibayar menggunakan
acuan tersebut, tidak bisa menggunakan acuan konsultan
swasta. Apabila hendak dibayar senilai konsultan swasta,
maka harus cuti di luar tanggungan negara terlebih dahulu
kemudian terjun secara penuh melaksanakan pekerjaan
konsultan.
Dalam penyusunan KAK dan Anggaran, Pengguna
Anggaran (PA) dapat langsung menetapkan instansi
pemerintah yang menjadi target dan sasaran kerjasama.
Hal ini didahului dengan penandatanganan Memorandum
of Understanding (MoU) terlebih dahulu sebagai landasan
legal kerjasama. Sehingga nama instansi pemerintah
pelaksana swakelola dapat dimunculkan dalam dokumen
anggaran.
Bagaimana cara memilih pelaksana pengadaan?
Tahapan awal yang harus dilaksanakan untuk memilih
pelaksana pengadaan adalah dengan memetakan antara
identifikasi kebutuhan dengan kemampuan K/L/D/I dalam
melaksanakan pengadaan tersebut.
Misalnya, dalam identifikasi kebutuhan ditemukan
kegiatan untuk pelaksanaan pengadaan komputer, maka
yang pertama dipetakan adalah, apakah pengadaan
tersebut memenuhi kriteria Pasal 26 Ayat 2 Perpres
Nomor 54 Tahun 2010 dan perubahannya yang sudah
dijelaskan diatas? Apabila iya, maka dilaksanakan dengan
cara swakelola. Apabila tidak , maka dilaksanakan oleh
penyedia barang/jasa. Apabila dilaksanakan dengan cara
swakelola, maka harus dipetakan lagi siapa yang akan
melaksanakan, apakah K/L/D/I penanggung jawab
anggaran, instansi pemerintah lain, atau kelompok
masyarakat.
Tahapan berikutnya adalah memetakan komponen
kegiatan dan biaya yang dibutuhkan untuk melaksanakan
pengadaan sesuai dengan pelaksana pengadaan yang telah
ditetapkan sebelumnya.
Dalam penyusunan anggaran, apabila pelaksanaan
pengadaan dilakukan secara swakelola, maka mata
anggaran serta jenis kegiatan dapat diuraikan secara rinci.
Sedangkan apabila dilaksanakan oleh penyedia
barang/jasa, maka mata anggaran dapat digabungkan
menjadi satu. Perincian dapat dilakukan apabila memang
jenis barangnya membutuhkan perincian berdasarkan
aturan keuangan.
Akhir kata, jangan memilih swakelola atau penyedia
setelah dokumen anggaran ditetapkan, tetapi pilihlah pada
saat perencanaan pengadaan.
Inaproc Pengumuman Pengadaan Nasional merupakan
daftar yang berisi pengumuman pengadaan yang di
lelangkan melalui Layanan Pengadaan Secara
Elektronik ..

Hal ini mencegah kebingungan tentang instansi mana

yang dapat diajak kerjasama saat anggaran telah tersedia?
Semua sudah harus direncanakan dan dipersiapkan
sebelumnya.

Demikian juga dengan pelaksana swakelola yang berasal

dari kelompok masyarakat. Target kelompok masyarakat
pelaksana swakelola sudah harus dipersiapkan
sebelumnya dan harus dipastikan bahwa kolompok
masyarakat tersebut mampu melaksanakan pekerjaan.
Jangan sampai kelompok nelayan yang tidak memiliki
pengetahuan mengenai konstruksi, diminta untuk
membangun dermaga ber-tiang pancang.

Intinya adalah, seluruh target pelaksana sudah harus

dituangkan dalam perencanaan, bukan “tiba masa tiba
akal.”