BAB I

PENDAHULUAN

Perkembangan teknologi yang semakin cepat telah membawa dunia memasuki era baru,
khususnya di bidang informasi, lebih cepat dari yang pernah dibayangkan sebelumnya.
Seiring dengan pesatnya perkembangan teknologi informasi yang terjadi sekarang ini
khususnya di negara kita Indonesia, teknologi tidak lagi menjadi sesuatu yang baru, bahkan
sangat diperlukan untuk mendukung kinerja dari suatu organisasi. Saat ini, tanpa dukungan
teknologi informasi sebuah perusahaan mungkin sangat mustahil untuk dapat berkembang.
Dalam konteks ini, informasi dapat dikatakan menjadi kunci untuk mendukung dan
meningkatkan manajemen perusahaan agar dapat memenangkan persaingan yang semakin
lama akan semakin meningkat.
Salah satu metode pengelolaan teknologi informasi yang dapat digunakan adalah IT
governance yang terdapat pada COBIT. COBIT merupakan kerangka kerja yang sering
digunakan sebagai acuan bagi perusahaan untuk membangun tata kelola teknologi informasi
(IT governance) yang dipublikasikan oleh ISACA (Information System Audit and Control
Association). COBIT berfungsi memberikan manajer, auditor, dan pengguna teknologi
informasi dengan kumpulan umum tindakan, indikator, proses dan praktek terbaik untuk
membantu mereka memaksimalkan keuntungan yang diperoleh melalui penggunaan
teknologi informasi dan berkembang sesuai IT governance dan kontrol dalam sebuah
perusahaan. Di samping itu, COBIT juga dirancang agar dapat menjadi alat bantu yang dapat
memecahkan permasalahan pada IT governance dalam memahami dan mengelola resiko serta
keuntungan yang berhubungan dengan sumber daya informasi perusahaan.

1
 BAB II

COBIT AND INFORMATION TECHNOLOGY GOVERNANCE

A. Tata Kelola Teknologi Informasi (Information Technology Governance - IT

Governance)
1. Pengertian Teknologi Informasi (Information Technology-IT)
Kata Teknologi Informasi terdiri dari dua kata penyusun yaitu teknologi dan
informasi. Secara sederhana teknologi informasi adalah hasil rekayasa dan perubahan yang
dilakukan manusia terhadap proses penyampaian informasi pada saat pengiriman dan
penerimaan. Teknologi tersebut mengakibatkan penyampaian informasi dapat dilakukan
dengan lebih cepat, lebih luas sebarannya, dan lebih lama penyimpanannya.
Perkembangan teknologi informasi pada awalnya untuk membantu mempercepat
pesan bahasa suara pada jangkauannya dan juga pada jangkauan yang lebih jauh. Saat ini
teknologi informasi berkembang melalui media gambar dan video. Teknologi ini juga bisa di
simpan dengan lebih lama dan semakin lama semakin banyak yang bisa di simpan (Lulu,
2013).
2. Pengertian Tata Kelola Teknologi Informasi (Information Technology
Governance – IT Governance)
Menurut IT Governance Institute “IT governance is the responsibility of the Board of
Directors and Executive Management. It is an integral part of enterprise governance and
consist of leadership and organizational structures and processes that ensure that the
organization’s IT sustains and extends the organization’s srategy and objectives”. Dalam
definisi tersebut diterangkan bahwa IT Governance merupakan bagian dari pengelolaan
perusahaan secara keseluruhan, meliputi pimpinan, struktur organisasi dan proses, yang
digunakan untuk memastikan keberlajutan TI dalam organisasi dan pengembangan tujuan dan
strategi organisasi. Hal ini berarti lebih menitikberatkan bagaimana membantu mengatur dan
mengarahkan perilaku penggunaan TI agar sesuai dengan perilaku yang diinginkan (yaitu
perilaku yang sesuai dengan visi misi, nilai-nilai, strategi dan budaya organisasi).
Koen Brand dan Harry Boonen (2007) menyatakan bahwa IT governance adalah
sistem dimana TI dalam perusahaan diarahkan dan dikendalikan. Struktur IT governance
menentukan pembagian hak dan tanggung jawab antara peserta yang berbeda, seperti dewan,
bisnis dan manajer TI, dan menyatakan berbagai aturan dan prosedur untuk membuat
keputusan mengenai TI. Dengan melakukan hal ini, IT governance juga menyediakan
2
struktur melalui mana tujuan TI ditetapkan, dan sarana untuk mencapai tujuan-tujuan tersebut
dan memantau kinerja.
IT Governance adalah salah satu faktor yang diyakini sebagai penentu agar
pencapaian IT benar-benar mampu memberikan value bagi perusahaan. Suatu IT Governance
disebut sebagai penentu pencapaian dikarenakan IT Governance merupakan bagian dari
pengelolaan perusahaan secara keseluruhan yang terdiri dari kepemimpinan dan struktur
ogranisasi dan proses yang ada untuk memastikan kelanjutan TI organisasi dan
pengembangan strategi dan tujuan organisasi (IT Governance Institute).
IT Governance juga merupakan hal yang penting dalam perusahaan menurut Fox dan
Zonneveld. Hal ini dikarenakan ketidaksesuaian antara harapan dan realita atau kenyataan.
Direktur selalu mengharapkan manajemen untuk :
 Memberikan solusi TI dengan kualitas yang baik, tepat waktu, dan efisien.
 Pemanfaatan TI memberikan pengembalian business value.
 Pemanfaatan TI untuk meningkatkan efisiensi dan produktivitas ketika mengelola
resiko.
Ketidaksesuaian antara harapan direktur dan realita atau kenyataan yang dilakukan
manajemen, menuntut untuk diterapkannya IT Governance di dalam perusahaan. Sehingga
manajemen bisa bertindak sesuai dengan harapan direktur.
3. Proses Tata Kelola Teknologi Informasi (IT Governance)
Proses IT Governance didahului dengan menetapkan tujuan TI bagi perusahaan.
Aktifitas TI yang terjadi selalu diukur kinerjanya terhadap tujuan sehingga dapat segera
diambil keputusan perubahan aktifitas jika tidak sesuai dengan tujuan awalnya.

Gambar : Proses IT Governance (ITGI 2007)

3
IT Governance terdiri dari 5 komponen, yaitu :
a. Keselarasan strategi (strategic alignment)
Keselarasan dilakukan antara bisnis dan perencanaan TI. Keselarasan strategi
ditunjukkan dengan mendefinisikan, mempertahankan dan memvalidasi posisi nilai TI
dalam operasional perusahaan secara keseluruhan.
Proses-proses dalam keselarasan strategi meliputi perencanaan strategi bisnis yang
melibatkan TI, perencanaan strategis TI, perencanaan operasional TI, serta analisis
stakeholder yang meliputi hal layanan (kebutuhan sekarang dan yang akan datang),
harapan unjuk kerja dan kepuasan, serta resiko.
b. Penyampaian Nilai (value delivery)
Proses penyampaian nilai ini bertujuan untuk memastikan bahwa informasi yang
disampaikan melalui TI dapat memberikan manfaat sesuai dengan kebutuhan dan
dapat disampaikan dengan biaya yang lebih optimal.
Pada proses penyampaian nilai, ditekankan bahwa nilai yang diberikan oleh TI harus
selaras dengan nilai yang difokuskan oleh bisnis, dan diukur dengan cara yang secara
transparan dapat menunjukkan dampak dan kontribusi investasi TI dalam proses
pembuatan nilai (value creation) di dalam perusahaan. Prinsip utama dari nilai TI
adalah penyerahan tepat waktu, sesuai anggaran, dan memberikan manfaat seperti
yang telah diperhitungkan. Dengan demikian, proses-proses TI harus dirancang,
diterapkan, dan dioperasikan secara efektif dan efisien.
c. Manajemen Resiko (risk management)
Jika value delivery memfokuskan pada pembuatan nilai, manajemen resiko
memfokuskan pada proses-proses untuk memelihara nilai (value preservation). Untuk
itu, manajemen resiko harus menjadi proses yang berkelanjutan yang dimulai dengan
mengidentifikasi resiko (dampak pada aset, ancaman, dan kemudahan diserang), dan
dilanjutkan dengan mitigasi resiko dengan menerapkan kontrol-kontrol.
d. Pengelolaan Sumber Daya (resource management)
Manajemen sumber daya bertujuan untuk mengoptimalkan investasi dan menyusun
pengelolaan yang tepat pada sumber daya TI (aplikasi, informasi, infrastruktur dan
manusia). Dengan manajemen sumber daya yang baik, akan tersedia infrastruktur TI
yang terintegrasi dan ekonomis, teknologi baru diperkenalkan sesuai kebutuhan
bisnis, dan sistem yang obsolete diperbaharui atau digantikan. Di sini, pentingnya
sumber daya manusia dapat dikenali, memungkinkan perusahaan mendapatkan
keuntungan dari pengetahuan dan keahlian secara internal maupun eksternal.
4
 e. Pengukuran Kinerja (performance measurement)
Tanpa adanya ukuran-ukuran unjuk kinerja yang dibuat dan dimonitor, area fokus
pada proses lainnya sulit untuk mencapai hasil yang diharapkan. Proses pengukuran
kinerja meliputi aktivitas audit dan penilaian, serta pengukuran kinerja yang
berkelanjutan. Hal ini menjadi penghubung bagi fase alignment dengan menyediakan
bukti bahwa arahan yang ditetapkan telah diikuti. Pada area fokus ini, umum
digunakan IT Balanced Scorecard (IT BSC).

B. COBIT (Control Objectives for Information and Related Technology)

1. Pengertian COBIT (Control Objectives for Information and Related Technology)
Salah satu kerangka kerja yang dapat diterapkan dalam membangun tata kelola TI
adalah COBIT, yang saat ini diterima secara internasional sebagai contoh atau pedoman
praktis dalam pengendalian informasi, TI dan resiko yang terkait. COBIT merupakan
sekumpulan dokumentasi dan panduan untuk mengimplementasikan IT Governance,
kerangka kerja yang membantu auditor, manajemen, dan pengguna (user) untuk
menjembatani pemisah (gap) antara resiko bisnis, kebutuhan kontrol, dan permasalahan-
permasalahan teknis.
COBIT memberikan arahan (guidelines) yang berorientasi pada bisnis, dan karena itu
business process owners dan manajer, termasuk juga auditor dan pengguna, diharapkan dapat
memanfaatkan arahan ini dengan sebaik-baiknya. Secara terstruktur, COBIT terdiri dari
seperangkat control objectives untuk bidang TI yang dirancang untuk memudahkan tahapan-
tahapan audit bagi auditor. (Campbell, 2005:27).
COBIT dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian
dari Information Systems Audit and Control Association (ISACA). COBIT sudah mengalami
evolusi yang cukup panjang untuk semakin baik menjadi kerangka kerja yang bisa digunakan
dalam menerapkan Governance of Enterprise IT (Van Grembergen, 2009, dalam Adikara,
2013).

5
 Gambar : Sejarah Kerangka Kerja Bisnis berdasarkan ISACA www.isaca.org/cobit

2. COBIT 5
COBIT 5 merupakan sebuah kerangka menyeluruh yang dapat membantu perusahaan
dalam mencapai tujuannya untuk tata kelola dan manajemen TI perusahaan. Secara sederhana
COBIT 5 membantu perusahaan menciptakan nilai optimal dari TI dengan cara menjaga
keseimbangan antara mendapatkan keuntungan dan mengoptimalkan tingkat resiko dan
penggunaan sumbar daya. COBIT 5 memungkinkan TI untuk dikelola dan diatur dalam cara
yang lebih menyeluruh untuk seluruh lingkup perusahaan, meliputi seluruh lingkup bisnis dan
lingkup area fungsional TI, dengan mempertimbangkan kepentingan para stakeholder internal
dan eksternal yang berhubungan dengan TI. COBIT 5 bersifat umum dan berguna untuk
segala jenis ukuran perusahaan, baik itu sektor komersial, sektor non profit atau pada sektor
pemerintahan atau publik.
a. Prinsip-Prinsip Dalam COBIT 5
COBIT 5 didasarkan pada lima prinsip kunci untuk tata kelola dan manajemen TI
perusahaan. Kelima prinsip ini memungkinkan perusahaan untuk membangun sebuah
kerangka tata kelola dan manajemen yang efektif, yang dapat mengoptimalkan investasi dan
penggunaan TI untuk mendapatkan keuntungan bagi para stakeholder.

6
 Gambar : Lima prinsip dalam COBIT 5

1) Prinsip 1 : Memenuhi Kebutuhan Stakeholder (Meeting Stakeholder Needs)

Perusahaan menciptakan nilai bagi para stakeholdernya dengan menjaga
keseimbangan antara realisasi keuntungan dan optimasi resiko dan penggunaan sumber daya.
COBIT 5 menyediakan semua proses yang dibutuhkan dan pemicu-pemicu lainnya untuk
mendukung penciptaan nilai bisnis melalui penggunaan TI. Oleh karena itu setiap perusahaan
memiliki tujuan yang berbeda, sebuah perusahaan dapat mengkustomisasi COBIT 5 agar
sesuai dengan konteks perusahaan itu sendiri melalui pengaliran tujuan (goal cascade),
menerjemahkan tujuan utama perusahaan menjadi tujuan yang dapat diatur, spesifik dan
berhubungan dengan TI, serta memetakan tujuan-tujuan tersebut menjadi proses-proses dan
praktek-praktek yang spesifik. Tata kelola berhubungan dengan negoisasi dan memutuskan di
antara beberapa kepentingan dari para stakeholder yang berbeda-beda. Oleh karena itu,
sistem tata kelola harus mempertimbangkan seluruh stakeholder ketika membuat keputusan
mengenai keuntungan, resiko, dan penugasan sumber daya. Setiap perusahaan beroperasi
dalam konteks yang berbeda-beda. Konteks tersebut ditentukan oleh faktor eksternal (pasar,
industri, geopolitik, dsb) dan faktor internal (budaya, organisasi, selera resiko, dsb), dan
memerlukan sebuah sistem tata kelola dan manajemen yang disesuaikan.
Alur tujuan dalam COBIT 5 adalah suatu mekanisme untuk menerjemahkan
kebutuhan stakeholder menjadi tujuan-tujuan spesifik pada setiap tingkatan dan setiap area
perusahaan dalam mendukung tujuan utama perusahaan dan memenuhi kebutuhan

7
stakeholder, dan hal ini secara efektif mendukung keselarasan antara kebutuhan perusahaan
dengan solusi dan layanan TI. Alur tujuan COBIT 5 digambarkan sebagai berikut :

Gambar : Alur tujuan dalam COBIT 5

Keterangan :
 Penggerak stakeholder rmempengaruhi kebutuhan stakeholder.
Kebutuhan stakeholder dipengaruh oleh sejumlah penggerak, diantaranya perubahan
strategi, lingkungan bisnis dan peraturan yang berubah, dan munculnya teknologi
baru.
 Kebutuhan stakeholder diturunkan menjadi tujuan perusahaan.
Tujuan-tujuan perusahaan tersebut telah dikembangkan menggunakan dimensi
Balanced Scorecard (BSD), dan BSD tersebut merepresentasikan sebuah daftar tujuan
yang umum digunakan dimana sebuah perusahaan dapat mendefinisikan untuk dirinya
sendiri. Meskipun daftar tersebut tidak lengkap menyeluruh, kebanyakan tujuan-
tujuan perusahaan tertentu dapat dipetakan secara mudah menjadi satu atau lebih
tujuan umum perusahaan. COBIT 5 mendefinisikan 17 tujuan umum yang dapat
dilihat pada gambar di bawah ini :

8
 Gambar : Tujuan Perusahaan dan Tujuan IT-related dalam COBIT 5

 Tujuan perusahaan diturunkan menjadi tujuan yang berhubungan dengan TI.

Pencapaian tujuan perusahaan memerlukan sejumlah hasil-hasil yang berhubungan
dengan TI, yang diwakili oleh tujuan-tujuan TI. Tujuan-tujuan yang berhubungan
dengan TI disusun dengan dimensi-dimensi dalam IT BSC. COBIT 5 mendefinisikan
17 tujuan yang berhubungan dengan TI.
 Tujuan TI diturunkan menjadi tujuan pemicu (enabler goal).
Mencapai tujuan TI membutuhkan penerapan yang sukses dan penggunaan sejumlah
pemicu. Pemicu meliputi proses, struktur organisasi dan informasi, dan untuk tiap
pemicu, serangkaian tujuan yang spesifik dapat didefinisikan untuk mendukung
tujuan TI.

9
 2) Prinsip 2 : Melingkupi Seluruh Perusahaan (Covering the Enterprise End-to-End)
COBIT 5 mencakup semua fungsi dan proses dalam perusahaan. COBIT 5 tidak hanya
focus pada ‘fungsi TI’, namun memperlakukan informasi dan teknologi yang berhubungan
dengannya sebagai suatu aset yang perlu ditangani oleh semua orang dalam perusahaan
seperti juga aset-aset perusahaan yang lain. COBIT 5 mempertimbangkan semua pemicu
untuk tata kelola dan manajemen yang berhubungan dengan TI agar dapat digunakan secara
menyeluruh dalam perusahaan, termasuk semua orang dan semua hal internal dan eksternal
yang berhubungan dengan tata kelola dan manajemen informasi dan TI perusahaan.
COBIT 5 mengintegrasikan tata kelola TI perusahaan kedalam tata kelola perusahaan.
Oleh karena itu, sistem tata kelola untuk TI perusahaan yang diusulkan dalam COBIT 5 ini
dapat terintegrasi secara baik ke dalam sistem tata kelola manapun. COBIT 5 meliputi semua
fungsi dan proses yang dibutuhkan untuk mengatur dan mengelola informasi perusahaan dan
teknologi dimana informasi tersebut diproses. COBIT 5 menyediakan suatu pandangan yang
menyeluruh dan sistemik pada tata kelola dan manajemen TI perusahaan, berdasarkan
sejumlah pemicu atau enabler. Pemicu-pemicu tersebut melingkupi seluruh perusahaan dari
ujung ke ujung, termasuk semua hal dan semua orang, internal dan eksternal, yang
berhubungan dengan tata kelola dan manajemen informasi dan TI perusahaan, termasuk juga
aktivitas-aktivitas dan tanggung jawab dari kedua fungsi, yaitu fungsi TI dan fungsi bisnis
selain TI.
Pendekatan yang digunakan dalam tata kelola adalah sebagai berikut :
 Pemicu Tata Kelola
Pemicu Tata Kelola adalah sumber daya organisasi untuk tata kelola, seperti kerangka
kerja, prinsip, struktur, proses, dan praktek. Sumber daya perusahaan juga termasuk
sebagai pemicu tata kelola, seperti misalnya kemampuan layanan (infrastruktur TI,
aplikasi, dsb), manusia dan informasi. Kekurangan sumber daya atau pemicu dapat
mempengaruhi kemampuan suatu perusahaan dalam menciptakan sebuah nilai.
 Ruang Lingkup Tata Kelola
Tata kelola dapat diterapkan pada seluruh perusahaan, suatu entitas, suatu aset yang
tangible maupun intangible. Maka dimungkinkan untuk dapat menentukan pandangan
yang berbeda terhadap tata kelola seperti apa sajakah yang dapat diterapkan dalam
perusahaan. Hal tersebut sangat penting menentukan ruang lingkup sistem tata kelola
dengan tepat dan baik.

10
  Peran, Aktifitas, dan Hubungan
Elemen terakhir adalah peranan, aktivitas, dan hubungan tata kelola. Hal ini
menentukan siapa yang terlibat dalam tata kelola, bagaimana mereka terlibat, apa
yang mereka lakukan dan bagaimana mereka berinteraksi dalam suatu ruang lingkup
sistem tata kelola. Dalam COBIT 5, perbedaan jelas dibuat antara aktivitas tata kelola
dan aktivitas manajemen, dan juga mengenai interaksi antar keduanya dan para pelaku
yang terlibat di dalamnya.

Gambar : Peranan, Aktifitas, dan Hubungan Tata Kelola dan Manajemen

3) Prinsip 3 : Menerapkan Suatu Kerangka Tunggal yang Terintegrasi (Applying a

Single, Integrated Network)
Ada beberapa standar dan best practices yang berhubungan dengan TI, masing-
masing menyediakan panduan dalam sebuah bagian dari aktivitas TI. COBIT 5 adalah sebuah
kerangka tunggal dan terintegrasi karena :
 COBIT 5 selaras dengan standar dan kerangka kerja lain yang relevan dan terbaru,
dan hal tersebut memungkinkan perusahaan untuk menggunakan COBIT 5 sebagai
kerangka kerja untuk tata kelola dan manajemen secara menyeluruh dan terintegrasi.
 COBIT 5 sangat lengkap menjangkau semua lingkup perusahaan, menyediakan dasar
untuk secara efektif mengintegrasikan kerangka kerja, standar, dan praktek lain yang
telah digunakan.
 COBIT 5 menyediakan sebuah arsitektur sederhana untuk menyusun bahan panduan
dan menghasilkan produk yang konsisten.
 COBIT 5 mengintegrasikan semua pengetahuan sebelumnya yang terpecah-pecah
dalam kerangka ISACA yang berbeda-beda. ISACA sebelumnya telah
mengembangkan beberapa kerangka kerja seperti COBIT, ValIT, RiskIT, BMIS,
ITAF, dan lain-lain. COBIT 5 mengintegrasikan semua pengetahuan tersebut.

11
 Gambar : Integrasi standar dan kerangka kerja lain dalam COBIT 5

4) Prinsip 4 : Menggunakan sebuah pendekatan yang menyeluruh (Enabling a

Holistic Approach)
Tata kelola dan manajemen TI perusahaan yang efektif dan efisien memerlukan suatu
pendekatan yang menyeluruh, dan melibatkan beberapa komponen yang saling berinteraksi.
COBIT 5 mendefinisikan serangkaian pemicu untuk mendukung implementasi sistem yang
komprehensif tentang tata kelola dan manajemen TI perusahaan. Pemicu adalah faktor yang
secara individual maupun kolektif mempengaruhi apakah sesuatu dapat berjalan dengan baik,
dalam kasus ini adalah apakah tata kelola dan manajemen TI perusahaan dapat berjalan
dengan baik.
COBIT 5 menjelaskan tujuh kategori pemicu, yaitu :
a) Prinsip, Kebijakan, dan Kerangka Kerja
Prinsip, kebijakan, dan kerangka kerja merupakan sarana untuk menerjemahkan
kebiasaan-kebiasaan yang diinginkan menjadi suatu panduan praktek untuk
manajemen sehari-hari.

12
b) Proses
Proses menjelaskan serangkaian aktivitas dan praktek yang teratur untuk mencapai
tujuan tertentu dan menghasilkan output dalam mendukung pencapaian tujuan TI
secara menyeluruh.
c) Struktur Organisasi
Struktur organisasi merupakan kunci untuk pengambilan keputusan dalam suatu
perusahaan.
d) Budaya, Etika, dan Kebiasaan
Budaya, etika, dan kebiasaan sering diremehkan sebagai salah satu kunci sukses
dalam aktivitas tata kelola dan manajemen.
e) Informasi
Informasi menyebar ke seluruh organisasi dan termasuk semua informasi yang
dihasilkan dan digunakan oleh perusahaan. Informasi dibutuhkan untuk menjaga agar
perusahaan dapat berjalan dan dikelola dengan baik.
f) Layanan, Infrastruktur, dan Aplikasi
Layanan, infrastruktur, dan aplikasi termasuk infrastruktur, teknologi, dan aplikasi
yang menyediakan layanan dan pengolahan teknologi informasi bagi perusahaan.
g) Manusia, Kemampuan, dan Kompetensi
Manusia, kemampuan, dan kompetensi berhubungan dengan manusia dan diperlukan
untuk keberhasilan semua aktivitas dan untuk menentukan keputusan yang tepat serta
untuk mengambil tindakan korektif.

Gambar : Tujuh Kategori Pemicu dalam COBIT 5

13
 Setiap perusahaan harus selalu mempertimbangkan bahwa pemicu-pemicu tersebut
saling berhubungan satu dengan yang lainnya. Masing-masing pemicu memerlukan input dari
pemicu yang lain untuk dapat berfungsi secara efektif, misalnya proses memerlukan
informasi, struktur organisasi memerlukan kemampuan dan kebiasaan. Masing-masing
pemicu juga memberikan output yang bermanfaat bagi pemicu yang lain, misalnya proses
menghasilkan informasi, kemampuan dan kebiasaan untuk membuat proses tersebut efisien.
5) Prinsip 5 : Pemisahan Tata kelola Dari Manajemen (Separating Governance from
Management)
Kerangka COBIT 5 memuat suatu perbedaan yang jelas antara tata kelola dan
manajemen. Dua disiplin yang berbeda ini juga meliputi aktivitas yang berbeda, memerlukan
struktur organisasi yang berbeda dan melayani tujuan yang berbeda pula.
Kunci perbedaan antara tata kelola dan manajemen menurut COBIT 5 adalah:
 Tata kelola menjamin kebutuhan stakeholder, kondisi-kondisi, dan pilihan-pilihan
selalu dievaluasi untuk menentukan tujuan perusahaan yang seimbang dan disepakati
untuk dicapai, menentukan arah melalui penentuan prioritas dan pengambilan
keputusan, dan memantau pemenuhan unjuk kerja terhadap tujuan dan arah yang
disepakati. Pada kebanyakan perusahaan, tata kelola secara menyeluruh adalah
tanggung jawab para direksi di bawah pimpinan seorang chairperson. Tanggung
jawab tata kelola yang lebih spesifik dapat didelegasikan kepada sebuah struktur
organisasi khusus pada sebuah tingkatan yang lebih memerlukannya, biasanya pada
perusahaan yang besar dan kompleks.
 Manajemen bertugas untuk merencanakan, membangun, menjalankan, dan memantau
aktivitas dalam rangka penyelarasan dengan arah perusahaan yang telah ditentukan
oleh badan pengelola (tata kelola), untuk mencapai tujuan perusahaan. Pada
kebanyakan perusahaan, manajemen adalah tanggung jawab manajemen eksekutif
dibawah pimpinan seorang CEO.
Berdasarkan definisi tata kelola dan manajemen di atas, jelas terlihat bahwa keduanya
meliputi aktivitas-aktivitas yang berbeda dengan tanggung jawab yang berbeda.
Bagaimanapun juga, berdasarkan peranan tata kelola untuk mengevaluasi, mengarahkan, dan
memantau diperlukan suatu interaksi antara tata kelola dan manajemen untuk menghasilkan
sistem tata kelola yang efektif dan efisien.

14
 Gambar : Area Kunci Tata kelola dan Manajemen dalam COBIT

b. Model Referensi Proses Dalam COBIT 5

Dalam COBIT 5 terdapat suatu model referensi proses yang menentukan dan
menjelaskan secara detail mengenai proses tata kelola dan manajemen. Model tersebut
mewakili semua proses yang biasa ditemukan dalam perusahaan yang berhubungan dengan
aktivitas TI, serta menyediakan model sebagai referensi yang mudah dipahami dalam
operasional TI dan oleh manajer bisnis. Model proses yang diberikan merupakan suatu model
yang lengkap dan menyeluruh, tapi bukan merupakan satu-satunya model proses yang
mungkin digunakan. Setiap perusahaan harus menentukan rangkaian prosesnya sendiri sesuai
dengan situasinya yang spesifik.
Model referensi proses dalam COBIT 5 membagi proses tata kelola dan manajemen
TI perusahaan menjadi dua domain proses utama, yaitu :
1) Tata Kelola, memuat lima proses tata kelola, dimana akan ditentukan praktek-praktek
dalam setiap proses Evaluate, Direct, dan Monitor (EDM).
2) Manajemen, memuat empat domain, sejajar dengan area tanggung jawab dari Plan,
Build, Run, and Monitor (PBRM), dan menyediakan ruang lingkup TI yang
menyeluruh dari ujung ke ujung. Domain ini merupakan evolusi dari domain dan
struktur proses dalam COBIT 4.1., yaitu :
 Penyelarasan, Perencanaan, dan Pengaturan (Align, Plan, and Organize-APO)
 Membangun, Memperoleh, dan Mengimplementasikan (Build, Acquare, and
Implement-BAI)

15
  Mengirimkan, Layanan, dan Dukungan (Deliver, Service and Support-DSS)
 Pengawasan, Evaluasi, dan Penilaian (Monitor, Evaluate, and Assess-MEA)
Model proses referensi dalam COBIT 5 adalah suksesor dari model proses COBIT
4.1, dengan mengintegrasikan model proses dari RiskIT dan ValIT. Secara total ada 37 proses
tata kelola dan manajemen dalam COBIT 5.

Gambar : Model Referensi Proses dalam COBIT 5

c. Model Kapabilitas Proses Dalam COBIT 5

Para pengguna COBIT 4.1, RiskIT, dan ValIT mungkin sudah mengenal adanya model
kematangan proses dalam kerangka-kerangka tersebut. Model tersebut digunakan untuk
mengukur tingkat kematangan proses yang berhubungan dengan TI dalam suatu perusahaan,
untuk mendefinisikan persyaratan tingkat kematangan, dan untuk menentukan celah di antara
tingkat-tingkat kematangan serta bagaimana untuk meningkatkan proses dalam rangka untuk
mencapai tingkatan kematangan yang diinginkan. Sedangkan pada COBIT 5, dikenalkan

16
adanya model kapabilitas proses, yang berdasarkan pada ISO/IEC 15504, standar mengenai
Software Engineering dan Process Assessment. Model ini mengukur kinerja tiap-tiap proses
tata kelola (EDM-based) atau proses manajemen (PBRM-based), dan dapat mengidentifikasi
area-area yang perlu untuk ditingkatkan performansinya. Model ini berbeda dengan model
proses maturity dalam COBIT 4.1, baik itu pada desain maupun penggunaannya.

Gambar : Model Kapabilitas Proses dalam COBIT 5

Ada enam tingkatan kapabilitas yang dapat dicapai oleh masing-masing proses, yaitu :
1) Incomplete Process – Proses tidak lengkap
Proses tidak diimplementasikan atau gagal mencapai tujuannya. Pada tingkatan ini,
hanya ada sedikit bukti atau bahkan tidak ada bukti adanya pencapaian sistematik dari
tujuan proses tersebut.
2) Performed Process – Proses dijalankan (satu atribut)
Proses yang diimplementasikan berhasil mencapai tujuannya.

17
 3) Managed Process – Proses teratur (dua atribut)
Proses yang telah dijalankan seperti di atas telah diimplementasikan dalam cara yang
lebih teratur (direncanakan, dipantau, dan disesuaikan), dan produk yang dihasilkan
telah ditetapkan, dikendalikan, dan dijaga dengan baik.
4) Established Process – Proses tetap (dua atribut)
Proses di atas telah diimplementasikan menggunakan proses tertentu yang telah
ditetapkan, yang mampu mencapai outcome yang diharapkan.
5) Predictable Process – Proses yang dapat diprediksi (dua atribut)
Proses di atas telah dijalankan dalam batasan yang ditentukan untuk mencapai
outcome proses yang diharapkan.
6) Optimising Process – Proses Optimasi (dua atribut)
Proses di atas terus ditingkatkan secara berkelanjutan untuk memenuhi tujuan bisnis
saat ini dan masa depan.

C. Audit Sistem Informasi

Audit sistem informasi (SI) merupakan proses pengumpulan dan evaluasi bukti-bukti
untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik
organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi
secara efektif, serta menggunakan sumber daya secara efisien (Weber, 1999). Audit SI adalah
bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara
menyeluruh. Audit SI ini dapat berjalan bersama-sama dengan audit financial dan audit
internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis.
Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan
sekarang audit SI secara umum merupakan proses pengumpulan dan evaluasi dari semua
kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit SI adalah audit
komputer yang banyak dipakai untuk menentukan apakah asset sistem informasi perusahaan
itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya
(Hermanto, Reza dan Noverdi, 2009)
Ruang lingkup audit sistem informasi adalah sebagai audit operasional terhadap
fungsi sistem informasi (IT governance). Tujuannya untuk melakukan assessment terhadap
efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem informasi suatu organisasi.
Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar
mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada
organisasi tersebut. Misalnya, bahwa application sofware yang telah ada dianalisis dan
18
didesain dengan baik, telah diimplementasikan dengan security features yang memadai
(Budiono, 2010).
Tujuan audit sistem informasi menurut Weber (1999), terbagi menjadi 4 yaitu :
a) Meningkatkan keamanan aset-aset perusahaan
Aset yang berhubungan dengan sistem informasi antara lain : perangkat keras,
perangkat lunak, manusia, network, dan infrastruktur lainnya.
b) Meningkatkan integritas data
Integritas data menggambarkan kesesuaian data audit dengan kenyataan yang ada
dalam perusahaan. Hal ini dimaksudkan agar perusahaan menggambarkan
perusahaan apa adanya.
c) Meningkatkan efektivitas sistem
Sistem informasi yang dikembangkan dalam perusahaan harus mencapai tujuan
yang diinginkan. Sistem yang dibuat harus efektif dan tepat sesuai dengan
kebutuhan pengguna dalam perusahaan.
d) Meningkatkan efisiensi
Sistem informasi dapat dikatakan efisien jika menggunakan input seminimal
mungkin untuk menghasilkan output yang dibutuhkan.
Audit SI/TI dalam kerangka kerja COBIT yang lebih sering disebut dengan istilah IT
Assurance ini, bukan hanya dapat memberikan evaluasi terhadap keadaan tata kelola TI di
sebuah organisasi, tetapi dapat juga memberikan masukan yang dapat digunakan untuk
perbaikan pengelolaannya di masa yang akan datang. Menurut Weber (2000) dalam Gultom
(2012) terdapat beberapa alasan penting mengapa audit SI perlu dilakukan, antara lain:
a) Kerugian akibat kehilangan data
Data merupakan asset yang sangat berharga bagi setiap perusahaan. Jika data hilang
karena unsur kesengajaan ataupun tanpa kesengajaan akan mengakibatkan kerugian
besar bagi perusahaan.
b) Kesalahan dalam pengambilan keputusan
Keputusan yang dibuat pihak manajemen bisa terbantu dengan adanya bantuan SI.
Misalnya penggunaan Decision Support System (DSS) sudah banyak diterapkan di
perusahaan untuk membantu pihak manajemen dalam menentukan
keputusan/kebijakan yang harus dijalankan, sehingga keputusan tersebut akan
menghasilkan kinerja yang lebih baik dari bagian TI.

19
c) Resiko kebocoran data
Pengolahan data yang baik akan mengurangi tingkat kebocoran data kepada pihak
yang tidak memiliki kepentingan. Kebocoran data di perusahaan bisa diminimalkan
dengan cara menerapkan sistem pengolahan dan dokumentasi data yang benar.
d) Penyalahgunaan komputer
Banyak orang pintar tetapi ada yang menggunakan kepintaran tersebut untuk
mengganggu SI pihak lain. Misalnya hacker atau cracker adalah contoh orang pintar
yang menyalahgunakan komputer untuk mengganggu sistem pihak lain.
e) Kerugian akibat kesalahan proses perhitungan
Kesalahan perhitungan data biasanya terjadi saat terjadi perubahan sistem lama ke
sistem yang baru. Sangat sulit untuk mengetahui kesalahan perhitungan data akibat
pergantian sistem. Seandainya bisa, akan membutuhkan waktu yang relatif lama.
f) Tingginya nilai investasi TI
Tata kelola TI yang tidak menerapkan perencanaan yang matang biasanya akan
membutuhkan biaya yang besar dan kemungkinan manfaat yang didapat dari investasi
tersebut tidak optimal.

20
 BAB III
KESIMPULAN

Tata kelola teknologi informasi (IT governance) merupakan bagian dari pengelolaan
perusahaan secara keseluruhan, meliputi pimpinan, struktur organisasi dan proses, yang
digunakan untuk memastikan keberlajutan TI dalam organisasi dan pengembangan tujuan dan
strategi organisasi. Salah satu kerangka kerja yang dapat diterapkan dalam membangun tata
kelola TI adalah COBIT. COBIT juga digunakan sebagai kerangka kerja untuk melakukan
audit sistem informasi. COBIT merupakan sekumpulan dokumentasi dan panduan untuk
mengimplementasikan IT Governance, kerangka kerja yang membantu auditor, manajemen,
dan pengguna (user) untuk menjembatani pemisah (gap) antara resiko bisnis, kebutuhan
kontrol, dan permasalahan-permasalahan teknis.
COBIT sudah mengalami evolusi yang cukup panjang untuk semakin baik menjadi
kerangka kerja yang bisa digunakan dalam menerapkan Governance of Enterprise IT (COBIT
5). COBIT 5 memungkinkan TI untuk dikelola dan diatur dalam cara yang lebih menyeluruh
untuk seluruh lingkup perusahaan, meliputi seluruh lingkup bisnis dan lingkup area
fungsional TI, dengan mempertimbangkan kepentingan para stakeholder internal dan
eksternal yang berhubungan dengan TI. Audit SI/TI dalam kerangka kerja COBIT yang lebih
sering disebut dengan istilah IT Assurance, bukan hanya dapat memberikan evaluasi terhadap
keadaan tata kelola TI di sebuah organisasi, tetapi dapat juga memberikan masukan yang
dapat digunakan untuk perbaikan pengelolaannya di masa yang akan datang.

21
 DAFTAR PUSTAKA

Adikara, Fransiskus, 2013. Implementasi Tata Kelola Teknologi Informasi Perguruan Tinggi
Berdasarkan COBIT 5 Pada Laboratorium Rekayasa Perangkat Lunak Universitas Esa
Unggul, Seminar Nasional Sistem Informasi Indonesia, 2-4 Desember 2013.
Anas, AkhirDiraja, 2013. Audit Tata Kelola Sistem Kepegawaian Dinas Tenaga Kerja dan
Transmigrasi Provinsi Sumatera Selatan Dengan Kerangka COBIT Versi 5, Skripsi.
Budiono, Gatut, 2010. Audit Kinerja Sistem Informasi Manajemen Pemeliharaan Unit
Pembangkit Listrik Berbasis COBIT Domain, Jurnal EECCIS Vol. IV, No. 1, Juni
2010.
Gultom, Manorang, 2012. Audit Tata kelola Teknologi Informasi Pada PTPN 13 Pontianak
Menggunakan Framework COBIT, Socioscientia Jurnal Ilmu-Ilmu Sosial Februari
2012, Volume 4 Nomor 1.
Hermanto, Fatra Reza dan Noverdi, 2009. Audit Teknologi Sistem Informasi Bank XYZ.
Lulu W, Yohana Dewi, 2013. Analisa Teori IT Governance Menggunakan COBIT 5, Jurnal
Teknik Elektro dan Komputer Vol. I, No. I, April 2013, 99-106.
Weber, Ron. 1999. Information System Control and Audit. Prentice-Hall, Inc. New Jersey.
http://agraandhyka.blogspot.com/2014/03/cobit-control-objectives-for.html

22