Pengertian COBIT

COBIT (Control Objectives for Information and Related Technology) merupakan audit sistem
informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association
(ISACA) dan IT Governance Institute (ITGI) pada tahun 1992.
COBIT Framework adalah standar kontrol yang umum terhadap teknologi informasi, dengan
memberikan kerangka kerja dan kontrol terhadap teknologi informasi yang dapat diterima dan
diterapkan secara internasional.

COBIT bermanfaat bagi manajemen untuk membantu menyeimbangkan antara resiko dan
investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi. Bagi user, ini
menjadi sangat berguna untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT
yang disediakan oleh pihak internal atau pihak ketiga. Sedangkan bagi Auditor untuk mendukung atau
memperkuat opini yang dihasilkan dan memberikan saran kepada manajemen atas pengendalian
internal yang ada.

COBIT pertama kali diterbitkan pada tahun 1996, kemudian edisi kedua dari COBIT diterbitkan
pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 dan COBIT 4.0 pada tahun 2005. Kemudian COBIT
4.1 dirilis pada tahun 2007 dan saat ini COBIT yang terakhir dirilis adalah COBIT 5.0 yang dirilis pada
tahun 2012. Dalam pembahasan kali ini kami akan membahas mengenai Cobit 4.1

Beikut Domain-domain dari cobit 4.1

1. Plan and Organize

2. Acquire adn Limplement
3. Delivery and Support
4. Monitor and Evaluate

COBIT merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan yang dilengkapi
dengan balance scorecard dan dapat digunakan sebagai acuan model (seperti COSO) dan disejajarkan
dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.

Pada Pembahasan Kali ini kami hanya memfokuskan ke bagian domain ke 4 saja yaitu Monitor
and Evaluate

Monitor and Evaluate (ME)

Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi seluruh
kendali-kendali yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara
berkala. Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi,
pemeriksaan internal dan eksternal. Dimana domain ME terdiri dari 4 control objectives, meliputi :

 ME1 : Monitor and evaluate IT performance (Memantau dan mengevaluasi kinerja TI)

Manajemen kinerja TI yang efektif membutuhkan proses pemantauan. Proses ini mencakup
penentuan indikator kinerja yang relevan, pelaporan kinerja yang sistematis dan tepat waktu, dan
tindakan segera setelah penyimpangan. Pemantauan diperlukan untuk memastikan bahwa hal-
hal yang benar dilakukan dan sejalan dengan arahan dan kebijakan yang ditetapkan.

Proses ini bertujuan untuk mengetahui apakah organisasi sadar akan kebutuhan proses
pengawasan. Proses pengawasan ini termasuk dalam mendefinisikan indikator peforma
pengendalian yang relevan, sistematik, dan sebuah laporan yang dilakukan secara berkala serta
penanganan yang cepat saat terjadi masalah. Domain ini terbagi menjadi 6 sub-domain yaitu:

1. ME1.1 Monitoring Approach

Menetapkan kerangka kerja pemantauan umum dan pendekatan untuk menentukan

ruang lingkup, metodologi dan proses yang harus diikuti untuk mengukur solusi dan
pemberian layanan TI, dan memantau kontribusi IT untuk bisnis. Mengintegrasikan kerangka
kerja dengan sistem manajemen kinerja perusahaan.

2. ME1.2 Definition and Collection of Monitoring Data

Bekerja dengan bisnis untuk menentukan serangkaian target kinerja yang seimbang
dan minta mereka disetujui oleh bisnis dan pemangku kepentingan terkait lainnya. Tetapkan
tolok ukur untuk membandingkan target, dan mengidentifikasi data yang tersedia untuk
dikumpulkan untuk mengukur target. Menetapkan proses untuk mengumpulkan data yang
tepat waktu dan akurat untuk melaporkan kemajuan terhadap target.

3. ME1.3 Monitoring Method

Menyebarkan metode pemantauan kinerja (misal Kartu skor seimbang) yang

mencatat target; menangkap pengukuran; memberikan tampilan kinerja TI yang ringkas dan
menyeluruh; dan cocok dalam sistem pemantauan perusahaan.

4. ME1.4 Performance Assessment

Tinjau kinerja secara berkala terhadap target, analisis penyebab penyimpangan apa
pun, dan lakukan tindakan perbaikan untuk mengatasi penyebab yang mendasarinya. Pada
waktu yang tepat, lakukan analisis akar masalah lintas penyimpangan.

5. ME1.5 Board and Executive Reporting

Mengembangkan laporan manajemen senior tentang kontribusi TI untuk bisnis,

khususnya dalam hal kinerja portofolio perusahaan, program investasi yang didukung TI, dan
solusi dan kinerja yang dihasilkan oleh masing-masing program. Termasuk dalam laporan
status sejauh mana tujuan yang direncanakan telah dicapai, sumber daya yang dianggarkan
digunakan, tetapkan target kinerja terpenuhi dan risiko yang teridentifikasi dimitigasi.
Mengantisipasi tinjauan manajemen senior dengan menyarankan tindakan perbaikan untuk
penyimpangan besar. Berikan laporan kepada manajemen senior, dan mintalah umpan balik
dari tinjauan manajemen.
 6. ME1.6 Remedial Actions

Identifikasi dan mulai tindakan perbaikan berdasarkan pemantauan kinerja, penilaian

dan pelaporan. Ini termasuk tindak lanjut dari semua pemantauan, pelaporan dan penilaian
melalui:

 Peninjauan, negosiasi dan penetapan tanggapan manajemen

 Penugasan tanggung jawab untuk perbaikan

 Pelacakan hasil tindakan yang dilakukan

 ME2 : Monitor and evaluate internal control (Memantau dan mengevaluasi kendali
internal)

Menetapkan program pengendalian internal yang efektif untuk TI membutuhkan

proses pemantauan yang terdefinisi dengan baik. Proses ini mencakup pemantauan dan
pelaporan pengecualian kontrol, hasil penilaian sendiri dan ulasan pihak ketiga. Manfaat
utama dari pemantauan pengendalian internal adalah memberikan jaminan mengenai operasi
yang efektif dan efisien dan kepatuhan terhadap hukum dan peraturan yang berlaku.

Control Objective

ME2 Monitor and Evaluate Internal Control

ME2.1 Monitoring of Internal Control Framework

Secara terus-menerus memantau, membandingkan, dan meningkatkan lingkungan kendali TI

dan kerangka kerja kendali untuk memenuhi tujuan organisasi.

ME2.2 Supervisory Review

Memantau dan mengevaluasi efisiensi dan efektivitas kontrol tinjauan manajerial TI internal.

ME2.3 Control Exceptions

Identifikasi pengecualian kontrol, dan analisis dan identifikasi akar penyebabnya. Tingkatkan
pengecualian kontrol dan laporkan ke pemangku kepentingan dengan tepat. Lakukan tindakan
korektif yang diperlukan.

ME2.4 Control Self-assessment

Mengevaluasi kelengkapan dan keefektifan kendali manajemen atas proses, kebijakan, dan
kontrak TI melalui berkelanjutan program penilaian diri.

ME2.5 Assurance of Internal Control

Dapatkan, sesuai kebutuhan, jaminan lebih lanjut tentang kelengkapan dan efektivitas kontrol
internal melalui tinjauan pihak ketiga.

ME2.6 Internal Control at Third Parties

Menilai status kontrol internal penyedia layanan eksternal. Pastikan bahwa penyedia layanan
eksternal mematuhi hukum dan persyaratan peraturan dan kewajiban kontraktual.
 ME2.7 Remedial Actions

Identifikasi, mulai, lacak, dan terapkan tindakan perbaikan yang timbul dari penilaian dan
pelaporan kontrol.

 ME3 : Ensure regulatory compliance (Memastikan kepatuhan/kesesuaian terhadap aturan)

Domain ME 3 menjelaskan mengenai kepatuhan perusahaan terhadap

undang-undang dan peraturan persyaratan kontrak. Proses ini meliputi
identifikasi persyaratan kepatuhan, mengoptimalkan dan mengevaluasi respon,
memperoleh jaminan bahwa persyaratan telah dipenuhi dan pada akhirnya,
mengintegrasikan pelaporan kepatuhan TI dengan bisnis
 ME 3.1 Identification of External Legal, Regulatory and Contractual Compliance
Requirements

pada tahap ini kita melakukan identifikasi perusahaan atau objek audit mengenai kepatuhan
terhadap kontrak dan peraturan terhadap klien yang sudah menjadi kesepakatan bersama

 ME 3.2 Optimisation of Response to External Requirements

Pada Tahap ini kita melihat bagaimana objek audit dapat mengoptimalisasi respon terhadap
persyaratan external

 ME 3.3 Evaluation of Compliance With External Requirements

pada tahap ini kita menguji kembali kepatuhan objek audit terhadap kepatuhan permintaan
klien

 ME 3.4 Positive Assurance of Compliance

pada tahap ini objek diminta untuk memberikan jaminan terhadap klien

 ME 3.5 Integrated Reportin

pada tahap ini adanya pelaporan yang terpada dari objek audit terhadap klien mengenai
proses yang sudah di lakukan

 ME4 : Provide IT Governance (Menyediakan tata kelola TI)

Membangun kerangka kerja tata kelola yang efektif termasuk mendefinisikan struktur
organisasi, proses, kepemimpinan, peran dan tanggung jawab untuk memastikan bahwa
investasi perusahaan TI selaras serta disampaikan sesuai dengan strategi perusahaan dan
tujuannya.Kontrol atas proses TI dengan Menyediakan tata kelola TI yang memenuhi
persyaratan bisnis bagi TI untuk mengintegrasikan tata kelola TI dengan tujuan tata kelola
perusahaan serta mematuhi undang-undang, peraturan, dan kontrak.

Dengan berfokus pada penyusunan laporan kepada dewan/client tentang strategi, kinerja
dan risiko TI, dan menanggapi persyaratan tata kelola sesuai dengan arahan dewan.
Dicapai dengan membangun kerangka kerja tata kelola TI yang diintegrasikan ke dalam tata
kelola perusahaan dan memperoleh jaminan independen atas status tata kelola TI.
Dan diukur dengan Frekuensi dewan melaporkan TI kepada pemangku kepentingan
(termasuk maturTIy), Frekuensi pelaporan dari TI ke dewan (termasuk maturTIy) dan
frekuensi tinjauan independen kepatuhan TI.
1. ME4.1 Establishment of an TI Governance Framework
a. Menentukan, menetapkan dan menyelaraskan kerangka tata kelola teknologi
informasi dengan tata kelola perusahaan secara keseluruhan.
b. Mengkonfirmasikan bahwa kerangka tata kelola teknologi informasi memiliki
kepatuhan terhadap hukum dan sejalan dengan peraturan, serta menegaskan
pelaksaan, strategi dan tujuan dari perusahaan.
2. ME4.2 Strategic Alignment
a. Memastikan pemahaman yang sama antara bisnis dan teknologi informasi mengenai
strategi bisnis.
b. Memperjelas peran teknologi informasi dalam mendukung bisnis, menuliskannya dalam
daftar aturan dan sistem kerja.
c. Memastikan kepecayaan antara fungsi teknologi informasi dan bisnis dapat saling
mendukung.
d. Teknologi informasi dapat memberikan dampak perkembangan dan kemudahan dalam
menjalankan bisnis.
e. Dan antara manajamen eksekutif dapat memberikan komTImen terhadap pengembangan
teknologi informasi.
3. ME4.3 Value Delivery
a. Mengelola investasi teknologi informasi dan aset teknologi informasi lainnya dan
memastikan teknologi informasi dapat mendukung strategi perusahaan dan tujuan
dengan sangat maksimal.
b. Memastikan dengan layanan baru dapat meningkatkan efisiensi dan peningkatan
responsivTIas untuk permintaan pelanggan.
c. Mengelola portfolio dengan benar dan seluruh asset teknologi informasi dikelola dengan
benar sehingga dapat mengoptimasi biaya.
4. ME4.4 Resource Management
a. Mengawasi investasi, penggunaan dan alokasi sumber daya teknologi informasi melalui
penilaian secara reguler dan memastikan sumber daya yang tepat dan sejalan dengan
tujuan strategis saat ini dan masa depan.
5. ME4.5 Risk Management
a. Mendefinisikan kebutuhan client/perusahaan serta resiko yang akan dihadapi.
b. Memastikan dengan tepat kepada c;lient/perusahaan akan resiko TI yang akan dihadapi
sesuai dengan perkiraan mereka.
 c. Menanamkan rasa tanggung jawab manajemen risiko ke dalam organisasi dan
memastikan bahwa bisnis dan TI harus teratur di nilai dan di laporkan terkaTI risiko TI dan
dampaknya.
d. Posisi risiko TI di perusahaan TIu transparan bagi semua pemangku kepentingan.
6. ME4.6 Performance Measurement
a. Konfirmasikan bahwa sasaran TI yang disepakati telah dipenuhi atau dilampaui, atau
sedang menuju sasaran TI yang diharapkan.
b. Jika tujuan yang disepakati terlewatkan atau kemajuan tidak seperti yang diharapkan,
lakukan tindakan dengan memanajemen perbaikan TI.
c. Laporkan portofolio, program, dan kinerja TI yang relevan, untuk memungkinkan senioe
manajemen atau meninjau kemajuan perusahaan ke arah tujuan yang telah diidentifikasi.
7. ME4.7 Independent Assurance
Dapatkan jaminan independen (internal atau eksternal) tentang kesesuaian TI dengan
undang-undang atau peraturan yang relevan, kebijakan, standar, dan prosedur organisasi,
praktik yang dTIerima secara umum dan kinerja TI yang efektif dan efisien

MATURITY MODEL

Manajemen proses Memantau dan mengevaluasi kinerja TI yang memenuhi persyaratan bisnis
untuk TI transparansi dan pemahaman biaya TI, manfaat, strategi, kebijakan, dan tingkat layanan
sesuai dengan persyaratan tata kelola adalah:

 0 Tidak ada ketika organisasi tidak memiliki pemantauan proses diimplementasikan.

TI tidak secara independen melakukan pemantauan proyek atau proses. Laporan yang
berguna, tepat waktu dan akurat tidak tersedia. Kebutuhan akan tujuan proses yang
dipahami dengan jelas tidak diakui.
 1 Awal / Ad Hoc ketika Manajemen mengakui kebutuhan untuk mengumpulkan dan
menilai informasi tentang proses pemantauan. Pengumpulan standar dan proses
penilaian belum diidentifikasi. Pemantauan dilaksanakan dan metrik dipilih
berdasarkan kasus per kasus, sesuai dengan kebutuhan proyek dan proses TI tertentu.
Pemantauan umumnya dilaksanakan secara reaktif terhadap insiden yang telah
menyebabkan kerugian atau rasa malu bagi organisasi. Fungsi akuntansi memantau
ukuran keuangan dasar untuk TI.
 2 Diulang tetapi Intuitif saat Pengukuran dasar yang akan dipantau diidentifikasi.
Metode dan teknik pengumpulan dan penilaian ada, tetapi prosesnya tidak diadopsi
di seluruh organisasi. Interpretasi hasil pemantauan didasarkan pada keahlian
individu kunci. Alat terbatas dipilih dan diimplementasikan untuk mengumpulkan
informasi, tetapi pertemuan itu tidak didasarkan pada pendekatan yang
direncanakan.
 3 Didefinisikan ketika Manajemen berkomunikasi dan melembagakan proses
pemantauan standar. Program pendidikan dan pelatihan untuk pemantauan
dilaksanakan. Basis pengetahuan formal tentang informasi kinerja historis
dikembangkan. Penilaian masih dilakukan pada proses TI individu dan tingkat proyek
 dan tidak terintegrasi di antara semua proses. Alat untuk memantau proses TI dan
tingkat layanan didefinisikan. Pengukuran kontribusi fungsi layanan informasi
terhadap kinerja organisasi didefinisikan, menggunakan kriteria keuangan dan
operasional tradisional. Pengukuran kinerja spesifik TI, pengukuran non-keuangan,
pengukuran strategis, pengukuran kepuasan pelanggan dan tingkat layanan
didefinisikan. Kerangka kerja didefinisikan untuk mengukur kinerja.
 4 Dikelola dan Diukur ketika Manajemen menentukan toleransi di mana proses harus
beroperasi. Pelaporan hasil pemantauan sedang distandarisasi dan dinormalisasi. Ada
integrasi metrik di semua proyek dan proses TI. Sistem pelaporan manajemen
organisasi TI diformalkan. Alat otomatis adalah organisasi yang terintegrasi dan
dimanfaatkan untuk mengumpulkan dan memantau informasi operasional pada
aplikasi, sistem dan proses. Manajemen dapat mengevaluasi kinerja berdasarkan
kriteria yang disepakati yang disetujui oleh para pemangku kepentingan. Pengukuran
fungsi TI selaras dengan tujuan organisasi.
 5 Dioptimalkan ketika proses peningkatan kualitas berkelanjutan dikembangkan
untuk memperbarui standar dan kebijakan pemantauan organisasi dan
menggabungkan praktik-praktik baik industri. Semua proses pemantauan
dioptimalkan dan mendukung tujuan organisasi secara luas. Metrik berbasis bisnis
secara rutin digunakan untuk mengukur kinerja dan diintegrasikan ke dalam kerangka
kerja penilaian strategis, seperti IT balanced scorecard. Pemantauan proses dan
pendesainan ulang yang berkelanjutan konsisten dengan rencana peningkatan proses
bisnis seluruh organisasi. Pembandingan terhadap industri dan pesaing utama
diformalkan, dengan kriteria perbandingan yang dipahami dengan baik.