COBIT (Control Objectives for Information and Related Technology) merupakan audit sistem
informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association
(ISACA) dan IT Governance Institute (ITGI) pada tahun 1992.
COBIT Framework adalah standar kontrol yang umum terhadap teknologi informasi, dengan
memberikan kerangka kerja dan kontrol terhadap teknologi informasi yang dapat diterima dan
diterapkan secara internasional.
COBIT bermanfaat bagi manajemen untuk membantu menyeimbangkan antara resiko dan
investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi. Bagi user, ini
menjadi sangat berguna untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT
yang disediakan oleh pihak internal atau pihak ketiga. Sedangkan bagi Auditor untuk mendukung atau
memperkuat opini yang dihasilkan dan memberikan saran kepada manajemen atas pengendalian
internal yang ada.
COBIT pertama kali diterbitkan pada tahun 1996, kemudian edisi kedua dari COBIT diterbitkan
pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 dan COBIT 4.0 pada tahun 2005. Kemudian COBIT
4.1 dirilis pada tahun 2007 dan saat ini COBIT yang terakhir dirilis adalah COBIT 5.0 yang dirilis pada
tahun 2012. Dalam pembahasan kali ini kami akan membahas mengenai Cobit 4.1
COBIT merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan yang dilengkapi
dengan balance scorecard dan dapat digunakan sebagai acuan model (seperti COSO) dan disejajarkan
dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.
Pada Pembahasan Kali ini kami hanya memfokuskan ke bagian domain ke 4 saja yaitu Monitor
and Evaluate
Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi seluruh
kendali-kendali yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara
berkala. Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi,
pemeriksaan internal dan eksternal. Dimana domain ME terdiri dari 4 control objectives, meliputi :
ME1 : Monitor and evaluate IT performance (Memantau dan mengevaluasi kinerja TI)
Manajemen kinerja TI yang efektif membutuhkan proses pemantauan. Proses ini mencakup
penentuan indikator kinerja yang relevan, pelaporan kinerja yang sistematis dan tepat waktu, dan
tindakan segera setelah penyimpangan. Pemantauan diperlukan untuk memastikan bahwa hal-
hal yang benar dilakukan dan sejalan dengan arahan dan kebijakan yang ditetapkan.
Proses ini bertujuan untuk mengetahui apakah organisasi sadar akan kebutuhan proses
pengawasan. Proses pengawasan ini termasuk dalam mendefinisikan indikator peforma
pengendalian yang relevan, sistematik, dan sebuah laporan yang dilakukan secara berkala serta
penanganan yang cepat saat terjadi masalah. Domain ini terbagi menjadi 6 sub-domain yaitu:
Bekerja dengan bisnis untuk menentukan serangkaian target kinerja yang seimbang
dan minta mereka disetujui oleh bisnis dan pemangku kepentingan terkait lainnya. Tetapkan
tolok ukur untuk membandingkan target, dan mengidentifikasi data yang tersedia untuk
dikumpulkan untuk mengukur target. Menetapkan proses untuk mengumpulkan data yang
tepat waktu dan akurat untuk melaporkan kemajuan terhadap target.
Tinjau kinerja secara berkala terhadap target, analisis penyebab penyimpangan apa
pun, dan lakukan tindakan perbaikan untuk mengatasi penyebab yang mendasarinya. Pada
waktu yang tepat, lakukan analisis akar masalah lintas penyimpangan.
ME2 : Monitor and evaluate internal control (Memantau dan mengevaluasi kendali
internal)
Control Objective
Memantau dan mengevaluasi efisiensi dan efektivitas kontrol tinjauan manajerial TI internal.
Identifikasi pengecualian kontrol, dan analisis dan identifikasi akar penyebabnya. Tingkatkan
pengecualian kontrol dan laporkan ke pemangku kepentingan dengan tepat. Lakukan tindakan
korektif yang diperlukan.
Mengevaluasi kelengkapan dan keefektifan kendali manajemen atas proses, kebijakan, dan
kontrak TI melalui berkelanjutan program penilaian diri.
Dapatkan, sesuai kebutuhan, jaminan lebih lanjut tentang kelengkapan dan efektivitas kontrol
internal melalui tinjauan pihak ketiga.
Menilai status kontrol internal penyedia layanan eksternal. Pastikan bahwa penyedia layanan
eksternal mematuhi hukum dan persyaratan peraturan dan kewajiban kontraktual.
ME2.7 Remedial Actions
Identifikasi, mulai, lacak, dan terapkan tindakan perbaikan yang timbul dari penilaian dan
pelaporan kontrol.
pada tahap ini kita melakukan identifikasi perusahaan atau objek audit mengenai kepatuhan
terhadap kontrak dan peraturan terhadap klien yang sudah menjadi kesepakatan bersama
Pada Tahap ini kita melihat bagaimana objek audit dapat mengoptimalisasi respon terhadap
persyaratan external
pada tahap ini kita menguji kembali kepatuhan objek audit terhadap kepatuhan permintaan
klien
pada tahap ini objek diminta untuk memberikan jaminan terhadap klien
Membangun kerangka kerja tata kelola yang efektif termasuk mendefinisikan struktur
organisasi, proses, kepemimpinan, peran dan tanggung jawab untuk memastikan bahwa
investasi perusahaan TI selaras serta disampaikan sesuai dengan strategi perusahaan dan
tujuannya.Kontrol atas proses TI dengan Menyediakan tata kelola TI yang memenuhi
persyaratan bisnis bagi TI untuk mengintegrasikan tata kelola TI dengan tujuan tata kelola
perusahaan serta mematuhi undang-undang, peraturan, dan kontrak.
Dengan berfokus pada penyusunan laporan kepada dewan/client tentang strategi, kinerja
dan risiko TI, dan menanggapi persyaratan tata kelola sesuai dengan arahan dewan.
Dicapai dengan membangun kerangka kerja tata kelola TI yang diintegrasikan ke dalam tata
kelola perusahaan dan memperoleh jaminan independen atas status tata kelola TI.
Dan diukur dengan Frekuensi dewan melaporkan TI kepada pemangku kepentingan
(termasuk maturTIy), Frekuensi pelaporan dari TI ke dewan (termasuk maturTIy) dan
frekuensi tinjauan independen kepatuhan TI.
1. ME4.1 Establishment of an TI Governance Framework
a. Menentukan, menetapkan dan menyelaraskan kerangka tata kelola teknologi
informasi dengan tata kelola perusahaan secara keseluruhan.
b. Mengkonfirmasikan bahwa kerangka tata kelola teknologi informasi memiliki
kepatuhan terhadap hukum dan sejalan dengan peraturan, serta menegaskan
pelaksaan, strategi dan tujuan dari perusahaan.
2. ME4.2 Strategic Alignment
a. Memastikan pemahaman yang sama antara bisnis dan teknologi informasi mengenai
strategi bisnis.
b. Memperjelas peran teknologi informasi dalam mendukung bisnis, menuliskannya dalam
daftar aturan dan sistem kerja.
c. Memastikan kepecayaan antara fungsi teknologi informasi dan bisnis dapat saling
mendukung.
d. Teknologi informasi dapat memberikan dampak perkembangan dan kemudahan dalam
menjalankan bisnis.
e. Dan antara manajamen eksekutif dapat memberikan komTImen terhadap pengembangan
teknologi informasi.
3. ME4.3 Value Delivery
a. Mengelola investasi teknologi informasi dan aset teknologi informasi lainnya dan
memastikan teknologi informasi dapat mendukung strategi perusahaan dan tujuan
dengan sangat maksimal.
b. Memastikan dengan layanan baru dapat meningkatkan efisiensi dan peningkatan
responsivTIas untuk permintaan pelanggan.
c. Mengelola portfolio dengan benar dan seluruh asset teknologi informasi dikelola dengan
benar sehingga dapat mengoptimasi biaya.
4. ME4.4 Resource Management
a. Mengawasi investasi, penggunaan dan alokasi sumber daya teknologi informasi melalui
penilaian secara reguler dan memastikan sumber daya yang tepat dan sejalan dengan
tujuan strategis saat ini dan masa depan.
5. ME4.5 Risk Management
a. Mendefinisikan kebutuhan client/perusahaan serta resiko yang akan dihadapi.
b. Memastikan dengan tepat kepada c;lient/perusahaan akan resiko TI yang akan dihadapi
sesuai dengan perkiraan mereka.
c. Menanamkan rasa tanggung jawab manajemen risiko ke dalam organisasi dan
memastikan bahwa bisnis dan TI harus teratur di nilai dan di laporkan terkaTI risiko TI dan
dampaknya.
d. Posisi risiko TI di perusahaan TIu transparan bagi semua pemangku kepentingan.
6. ME4.6 Performance Measurement
a. Konfirmasikan bahwa sasaran TI yang disepakati telah dipenuhi atau dilampaui, atau
sedang menuju sasaran TI yang diharapkan.
b. Jika tujuan yang disepakati terlewatkan atau kemajuan tidak seperti yang diharapkan,
lakukan tindakan dengan memanajemen perbaikan TI.
c. Laporkan portofolio, program, dan kinerja TI yang relevan, untuk memungkinkan senioe
manajemen atau meninjau kemajuan perusahaan ke arah tujuan yang telah diidentifikasi.
7. ME4.7 Independent Assurance
Dapatkan jaminan independen (internal atau eksternal) tentang kesesuaian TI dengan
undang-undang atau peraturan yang relevan, kebijakan, standar, dan prosedur organisasi,
praktik yang dTIerima secara umum dan kinerja TI yang efektif dan efisien
MATURITY MODEL
Manajemen proses Memantau dan mengevaluasi kinerja TI yang memenuhi persyaratan bisnis
untuk TI transparansi dan pemahaman biaya TI, manfaat, strategi, kebijakan, dan tingkat layanan
sesuai dengan persyaratan tata kelola adalah: