Disusun Oleh :
PROGRAM PASCASARJANA
MAGISTER AKUNTANSI
UNIVERSITAS RIAU
2020
DAFTAR ISI
DAFTAR ISI...................................................................................................................................1
KATA PENGANTAR....................................................................................................................2
BAB I PENDAHULUAN..............................................................................................................3
1.1 Latar Belakang................................................................................................................... 3
DAFTAR PUSTAKA................................................................................................................... 48
1
KATA PENGANTAR
Puji syukur kami panjatkan atas kehadiran Tuhan Yang Maha Esa, yang telah
memberikan berkat, anugrah dan karunia-Nya, sehingga kami dapat menyelesaikan makalah ini
dengan tepat pada waktunya.
Makalah ini dibuat sebagai tugas mata kuliah Audit Internal II. Makalah ini akan
memberikan informasi penjelasan mengenai COBIT and Information Technology Governance.
Isi dari makalah ini diharapkan dapat berguna dan dapat memberikan informasi bagi para
pembaca. Namun, kami menyadari bahwa makalah ini masih jauh dari kesempurnaan dan masih
banyak memiliki kekurangan. Oleh karena itu, kami menerima saran dan kritik untuk
penyempurnaan makalah ini.
Penyusun,
Kelompok
2
BAB I
PENDAHULUAN
3
dapat berdiri sendiri tetapi merupakan alat pendukung penting untuk mendokumentasikan dan
memahami kontrol internal COSO dan Sarbanes-Oxley (SOx). Meskipun penekanan awal CobiT
adalah pada teknologi informasi (TI), Kerangka kerja ini telah diperluas dan para profesional di
berbagai tingkatan bisnis akan mendapat manfaat dari memiliki pemahaman tentang kerangka
kerja CobiT dan penggunaannya sebagai alat untuk mendokumentasikan, meninjau, dan
memahami SOx kontrol internal. Standar dan kerangka kerja CobiT diterbitkan dan dikelola oleh
IT Governance Institute (ITGI) dan afiliasinya yang erat organisasi profesional, Information
Systems Audit and Control Association (ISACA).
Certified Information Systems Auditor (CISA) dan sertifikasi professional Certified
Information Systems Manager (CISM). ISACA awalnya dikenal sebagai EDP Auditor’s
Association (EDPAA), kelompok profesional yang dimulai pada tahun 1967 oleh auditor internal
dalam organisasi profesional, Institute of Internal Auditor (IIA), pada waktu itu kurang
memperhatikan pentingnya sistem komputer dan kontrol teknologi sebagai bagian dari kegiatan
audit internal. Seiring waktu, organisasi profesional ini memperluas fokusnya dan menjadi
ISACA, dan IIA juga telah sejak lama memiliki masalah teknologi. EDPAA, awalnya organisasi
profesional audit TI pemula, mulai mengembangkan pedoman profesional audit TI sesaat setelah
pembentukannya.
Sama seperti EDPAA berkembang menjadi ISACA dan sekarang ITGI, IT aslinya standar
audit menjadi seperangkat kontrol internal berorientasi TI yang sangat baik tujuan yang
berkembang menjadi CobiT, sekarang dalam versi 2007 versi 4.1. Dengan hampir semua proses
perusahaan saat ini dengan hal-hal yang terkait dengan IT, keseluruhan area tata kelola TI sangat
penting. Dapat dilihat di Exhibit 5.1, kerangka kerja CobiT mencakup lima area kontrol internal,
dengan sebuah penekanan pada tata kelola TI:
1. Penyelarasan strategis. Upaya harus dilakukan untuk menyelaraskan kegiatan operasi dan TI
dengan semua operasi perusahaan lainnya. Ini termasuk memastikan hubungan antara bisnis
perusahaan dan rencana TI serta mendefinisikan, memelihara, dan memvalidasi hubungan
kualitas dan nilai.
2. Nilai pengiriman. Proses harus ada untuk memastikan bahwa TI dan unit operasi lainnya
memberikan manfaat yang dijanjikan sepanjang siklus pengiriman dan menentang strategi
yang mengoptimalkan biaya, menekankan pada nilai-nilai intrinsik TI dan kegiatan terkait.
4
3. Manajemen sumber daya. Dengan penekanan pada IT, harus ada investasi optimal dan
manajemen yang tepat, TI kritis sumber daya, aplikasi, informasi, infrastruktur, dan orang-
orang. Usaha Tata kelola TI tergantung pada pengoptimalan pengetahuan dan infrastruktur.
4. Manajemen risiko. Manajemen di semua tingkatan, harus memiliki kejelasan pemahaman
tentang risiko perusahaan, persyaratan kepatuhan, dan dampak risiko yang signifikan. Baik TI
dan operasi lainnya memiliki tanggung jawab manajemen risiko mereka sendiri dan bersama
yang mungkin secara individu atau bersama-sama berdampak pada seluruh perusahaan.
5. Pengukuran kinerja. Proses harus melacak dan memantau implementasi strategi, penyelesaian
proyek, penggunaan sumber daya, kinerja proses, dan pengiriman layanan. Mekanisme tata
kelola TI harus menerjemahkan strategi implementasi menjadi tindakan untuk mencapai
tujuan.
Kelima kontrol internal CobiT ini menunjukkan berbagai macam aktivitas perusahaan
yang merupakan serangkaian area fokus yang merupakan elemen dalam kerangka CobiT dan
umumnya mewakili tata kelola TI. Beberapa perusahaan pertama kali menggunakan versi CobiT
sebelumnya untuk membantu mendokumentasikan dan mengatur SOx Section 404 persyaratan
kontrol internal setelah undang-undang itu pertama menjadi hukum. Kerangka kerja CobiT
adalah dan masih merupakan alat yang efektif untuk mendokumentasikan TI dan semua kontrol
internal lainnya. Namun, bab ini melihat kerangka kerja CobiT yang lebih baru dan versi saat ini
5
dengan perspektif yang lebih luas menggunakan CobiT untuk membantu dalam manajemen,
organisasi, dan audit proses tata kelola TI.
Bagian berikut ini memberikan deskripsi keseluruhan tentang CobiT kerangka kerja,
dalam versi 4.1 terbaru, dan elemen kunci yang menghubungkan tujuan bisnis dengan tujuan TI
melalui kontrol utama dan pengukuran yang efektif. Selain itu, bab ini akan menjelaskan
pemetaan standar CobiT. Kerangka kerja CobiT adalah mekanisme yang efektif untuk
mendokumentasikan dan memahami kontrol internal di semua tingkatan. Meskipun CobiT
pertama kali dimulai terutama sebagai satu set bahan pedoman '' audit TI ''.
6
BAB II
LANDASAN TEORI
7
otomatis. Kombinasi manajemen, pengguna TI, dan auditor semua perlu memahami proses dan
kontrol yang mendukungnya. Kombinasi ini memfokuskan tentang efektivitas dan efisiensi
proses TI dan bisnis secara keseluruhan. Prinsip-prinsip dasar CobiT menuntut adanya
persyaratan bisnis yang mendorong permintaan akan sumber daya TI dan sumber daya itu
memulai proses TI untuk mengembangkan informasi perusahaan secara berkelanjutan. Idenya
adalah masing-masing dari empat kelompok ini memiliki fokus yang berbeda mengenai
persyaratan bisnis sistem TI mereka, sumber daya pendukungnya, serta proses TI terkait.
Pengelolaan berdasarkan kualitas, biaya, dan pengiriman yang sesuai sumber daya terkait TI yang
komponen kontrolnya sama dengan tiga elemen COSO kontrol internal. Bagian ketiga dari
kerangka ini adalah proses TI yang membutuhkan tingkat kerahasiaan, ketersediaan, dan kontrol
integritas. Kontrol internal atas sumber daya TI sangat didasarkan pada saling ketergantungan
dari keempat efektivitas dan efisiensi komponen TI.
Tata kelola TI adalah konsep kunci CobiT saat ini yang tidak sama dengan elemen CobiT
sebelum SOx. Ini adalah konsep kontrol internal yang penting, dengan IT Governance Institute
memainkan peran kepemimpinan yang kuat. CobiT telah menggambarkan perannya dalam tata
kelola TI melalui pentagon-shaped diagram, menggambarkan fokus tata kelola TI CobiT area.
CobiT mendefinisikan tata kelola TI di serangkaian bidang utama mulai dari menjaga fokus pada
keberpihakan strategis hingga pentingnya pengukuran risiko dan kinerja saat mengelola sumber
daya IT. Kami akan melihat referensi ke area fokus tata kelola TI ini pentagon saat kami
menavigasi melalui kerangka kerja CobiT untuk lebih memahami kontrol internal terkait SOX.
Selain tiga kelompok proses yang saling berhubungan ini, CobiT dalam kontrol tiga
dimensi TI: sumber daya, proses, dan persyaratan bisnis. Tiga dimensi ini sesuai dengan apa yang
disebut CobiT kubus. Mirip dengan COSO framework cube, CobiT Model ini melihat kontrol TI
dari perspektif tiga dimensi. Namun, dimensi menghadap ke depan, dengan deskripsi aliran
proses yang bergambar diagram, membuat takut beberapa orang non-IT dari mempertimbangkan
penggunaan CobiT. Profesional yang tidak mengerti IT melihat diagram proses di muka kubus
CobiT harus menggunakan pendekatan ini''. Kerangka kerja CobiT berharga untuk memahami
kontrol internal SOx dan meningkatkan praktik TI tata kelola.
8
Kelima masalah kontrol internal COBIT atau bidang-bidang yang ditekankan adalah
elemen kerangka kerja dan mendefinisikan tata kelola TI. Kerangka kerja COBIT adalah alat
yang efektif untuk mendokumentasikan TI dan semua kontrol internal lainnya, Kerangka kerja
COBIT sebagai berikut:
1. Meeting
Stakeholder
5.Separating
2. Covering the
Governance
Enterprise
from
Management
COBIT
Principles
3. Applying a
4. Enabling a
Single
Holistic
Integrated
Approach
Framework
9
berupa keuangan untuk perusahaan komersial atau layanan publik untuk entitas pemerintah.
COBIT untuk pemangku kepentingan perlu ditransformasikan menjadi strategi yang dapat
ditindaklanjuti yang memenuhi kebutuhan pemangku kepentingan menjadi tujuan spesifik dan
yang disesuaikan dengan perusahaan dan TI, yang disebut COBIT sebagai tujuan yang
memungkinkan. Ini memerlukan penetapan tujuan spesifik di setiap tingkat dan di setiap area
perusahaan dalam mendukung tujuan keseluruhan dan persyaratan pemangku kepentingan,
dengan demikian secara efektif mendukung penyelarasan antara kebutuhan perusahaan dan solusi
serta layanan TI.
COBIT mendefinisikan ini sebagai proses mengidentifikasi TI dan kebutuhan manajemen
dan kemudian membangun tujuan dari kebutuhan tersebut. Ketika memulai peninjauan mengikuti
prinsip-prinsip COBIT, auditor internal harus mundur dan mengembangkan pemahaman tentang
kebutuhan keuangan, pelanggan, internal, dan perusahaan dari perusahaan. Konsep COBIT untuk
mengidentifikasi "kebutuhan" sebagai lawan dari kebutuhan untuk menetapkan tujuan, menurut
pendapat penulis ini, adalah konsep yang agak kabur. Bertanya kepada manajer IT, "Apa
kebutuhan Anda untuk meningkatkan kontrol internal organisasi Anda?" Pasti akan mendorong
mereka untuk menjawab dalam hal tujuan mereka, berpikir sebagian besar hampir sama. Namun
demikian.
COBIT selanjutnya menyarankan bahwa kebutuhan TI dan manajemen yang
teridentifikasi ini harus diformalkan dan diubah menjadi tujuan yang lebih jelas. Ini sering dapat
secara efektif dilakukan dengan menggunakan pendekatan balanced scorecard. Balanced
scorecard adalah alat penting yang harus menjadi bagian dari CBOK auditor internal. COBIT
menyarankan bahwa pertama-tama serangkaian tujuan perusahaan harus ditetapkan, diikuti oleh
latihan yang sama untuk menetapkan tujuan TI. Proses penetapan tujuan ini mencerminkan
orientasi IT COBIT yang berat meskipun ada protes sebagai alat evaluasi pengendalian internal
manajemen secara keseluruhan.
Tujuan tata kelola dari realisasi manfaat dan risiko serta optimalisasi sumber daya. Huruf
P pada pameran menunjukkan bahwa tujuannya adalah sangat penting untuk tujuan, sedangkan S
menunjukkan bahwa itu adalah kepentingan sekunder atau kurang penting. Sebagai langkah
terakhir dalam menerapkan prinsip pertama ini, COBIT menyerukan kepada tim untuk
mengimplementasikan proses ini untuk mengubah tujuan yang telah ditetapkan ini menjaditujuan
yang memungkinkan COBIT. Rangkaian sasaran COBIT ini penting untuk memungkinkan
10
definisi prioritas untuk implementasi, peningkatan, dan jaminan tata kelola TI perusahaan
berdasarkan pada tujuan strategis perusahaan dari risiko terkait. Dalam praktiknya, tujuan ini
harus membantu perusahaan untuk menentukan tujuan dan sasaran yang relevan dan nyata pada
berbagai tingkat tanggung jawab.
11
Penggerak tata kelola adalah sumber daya organisasi untuk tata kelola, seperti kerangka
kerja, prinsip, struktur, proses, dan praktik, melalui atau ke arah mana tindakan diarahkan dan
tujuan dapat dicapai. Enablers juga menyertakan sumber daya perusahaan, misalnya kemampuan
layanan (infrastruktur TI, aplikasi, dan sebagainya), orang, dan informasi. Kurangnya sumber
daya atau faktor dapat memengaruhi kemampuan perusahaan untuk menciptakan nilai.
12
Stakeholder Drivers
Influences
Stakeholder Needs
Enterprise Goals
Cascades to
IT-Related Goals
Cascades to
Enabler Goals
13
• Pemberdayaan informasi tersebar di seluruh organisasi dan mencakup semua informasi yang
diproduksi dan digunakan oleh perusahaan. Informasi diperlukan untuk menjaga agar
organisasi tetap berjalan dan diatur dengan baik, tetapi pada tingkat operasional, informasi
seringkali merupakan produk utama dari perusahaan itu sendiri.
• Layanan, infrastruktur, dan pemungkin aplikasi mencakup infrastruktur, teknologi, dan
aplikasi yang menyediakan perusahaan dengan pemrosesan dan layanan teknologiinformasi.
• Keterampilan dan kompetensi profesional pribadi diperlukan untuk berhasil menyelesaikan
semua kegiatan dan untuk membuat keputusan yang benar dan mengambil tindakankorektif.
COBIT adalah informasi, yang perlu dikelola sebagai sumber daya, dan informasi lainnya,
seperti laporan manajemen dan informasi intelijen bisnis, merupakan faktor penting untuk tata
kelola dan manajemen perusahaan. Hal ini termasuk layanan, infrastruktur, dan aplikasi serta
orang dan keterampilan dan kompetensi mereka.
Ada empat dimensi umum bagi enabler: (1) pemangku kepentingan internal, (2) tujuan pemangku
kepentingan eksternal, (3) siklus hidup enabler pemangku kepentingan, dan (4) adil.
Setiap enabler memiliki pemangku kepentingan yang memainkan peran aktif dan / atau
memiliki minat. Misalnya, proses memiliki pihak yang berbeda yang melakukan kegiatan proses
dan / atau yang memiliki kepentingan dalam hasil proses; struktur organisasi memiliki pemangku
kepentingan, masing-masing dengan peran dan minatnya sendiri yang merupakan bagian dari
struktur. Stakeholder dapat bersifat internal atau eksternal bagi perusahaan, semuanya memiliki
kepentingan dan kebutuhan mereka sendiri yang terkadang saling bertentangan. Kebutuhan
pemangku kepentingan termasuk tujuan perusahaan, yang pada gilirannya mencakup tujuan
terkait TI untuk perusahaan.
14
Processes &
Information
Culture,
Ethics
Service Capabilities
Organizatio
nal
Skills &
Competencies
Principles & Policies
15
keseluruhan. Di sebagian besar perusahaan, tata kelola adalah tanggung jawab dewan direksi di
bawah kepemimpinan CEO dan ketua.
Sering dibedakan dari tata kelola, manajemen memerlukan penggunaan sumber daya,
orang, proses, praktik secara bijaksana untuk mencapai tujuan yang diidentifikasi. Manajemen
bertanggung jawab atas pelaksanaan sesuai arahan yang ditetapkan oleh badan atau unit pemandu.
Manajemen adalah tentang perencanaan, pembangunan, pengorganisasian, dan pengendalian
kegiatan operasional agar sejalan dengan arahan yang ditetapkan oleh badan tata kelola. Dari
definisi tata kelola dan manajemen, jelas bahwa mereka terdiri dari berbagai jenis kegiatan,
dengan tanggung jawab yang berbeda; namun, mengingat peran tata kelola untuk mengevaluasi,
mengarahkan, dan memantau diperlukan serangkaian interaksi antara tata kelola dan manajemen
untuk menghasilkan sistem tata kelola yang efisien dan efektif.
Interaksi ini, menggunakan struktur enabler, ditunjukkan pada tingkat tinggi COBIT
menekankan bahwa tata kelola dan manajemen adalah jenis kegiatan yang berbeda, dengan
tanggung jawab yang berbeda. Namun, mengingat peran tata kelola untuk mengevaluasi,
mengarahkan, dan memantau diperlukan serangkaian interaksi antara tata kelola dan manajemen
untuk menghasilkan sistem tata kelola yang efisien dan efektif. Interaksi ini, menggunakan
struktur enabler, kemudian dikaitkan dengan proses peninjauan kontrol internal tertentu dari
kerangka kerja COBIT.
Kerangka kerja COBIT terdiri dari beberapa guidelines (arahan), yakni :
a. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang tercermin
dalam 4 domain, yaitu planning and organization, acquisition and implementation, delivery
and support, dan monitoring.
b. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management assurance atau saran perbaikan.
c. Management Guidelines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti dilakukan,
seperti : apa saja indicator untuk suatu kinerja yang bagus, apa saja resiko yang timbul, dan
lain-lain.
d. Maturity Models
16
Untuk memetakan status maturitas proses-proses TI (dalam skala 0 – 5).
2.1.2 Proses IT
Dimensi kerangka CobiT kedua dan yang menghadap ke depan proses TI dan terdiri dari
tiga segmen: domain, proses, dan kegiatan. Domain adalah pengelompokan proses TI yang cocok
dengan organisasi dalam bidang tanggung jawab nasional. Ada empat area domain spesifik yang
didefinisikan dalam CobiT:
1. Perencanaan dan pengorganisasian. Area domain ini mencakup strategi dan taktik yang
memungkinkan TI untuk berkontribusi dan mendukung bisnis mencapai tujuan perusahaan.
17
Jenis pesan visi strategis TI harus dikomunikasikan ke seluruh perusahaan — misi TI dan apa
yang ingin dicapai untuk semua pihak.
2. Akuisisi dan implementasi. Solusi TI perlu diidentifikasi, dikembangkan, atau diakuisisi, dan
keduanya diimplementasikan dan diintegrasikan dengan proses bisnis. Area domain ini
mencakup perubahan dan pemeliharaan dari sistem yang ada.
3. Pengiriman dan dukungan. Area domain ini mencakup pengiriman actual layanan yang
dibutuhkan, baik alat aplikasi maupun infrastruktur. Sebenarnya proses data aplikasi dan
kontrol tercakup dalam domain ini.
4. Pemantauan dan evaluasi. Area ini termasuk proses kontrol, termasuk pemantauan kualitas
dan kepatuhan, serta eksternal dan prosedur evaluasi audit internal.
Dalam organisasi TI, proses untuk mengidentifikasi dan membangun aplikasi yang baru
disebut prosedur System Development Life Cycle (SDLC), dapat dilihat sebagai bagian dari
domain implementasi CobiT dan dengan jaminan kualitas bagian dari domain pemantauan.
Deskripsi CobiT menggambarkan masing-masing bidang domain ini secara lebih rinci. Untuk
domain perencanaan dan organisasi, itu menyarankan proses spesifik berikut:
! Tetapkan rencana TI strategis.
! Tetapkan arsitektur informasi.
! Menentukan arah teknologi.
! Tetapkan organisasi dan hubungan IT.
! Kelola investasi TI.
! Komunikasikan tujuan dan arahan manajemen.
! Mengelola sumber daya manusia.
! Pastikan kepatuhan dengan persyaratan eksternal.
! Menilai risiko.
! Mengelola proyek.
! Kelola kualitas.
Proses individu adalah tingkat berikutnya ke bawah. Akhirnya, kegiatan adalah tindakan
diperlukan untuk mencapai hasil yang terukur. Aktivitas memiliki siklus hidup, sedangkan
tugasnya tersendiri. Untuk siklus hidup, kita bisa memikirkan proses SDLC di mana
menggunakan CobiT untuk menilai kontrol internal. Aplikasi baru dirancang, diimplementasikan,
18
dioperasikan dari waktu ke waktu, dan kemudian direvisi atau diganti dengan proses yang
ditingkatkan.
19
kerja CobiT, meskipun ITGI baru-baru ini menerbitkan dokumen ringkasan eksekutif berbasis
web yang menggambarkan versi terbaru mereka 4.1.4 Bagian-bagian berikut dirancang untuk
membantu menavigasi melalui kerangka kerja CobiT yang diterbitkan, dan yang lebih penting
menggunakannya untuk mengembangkan dan menilai kontrol internal perusahaan.
Meskipun setiap dimensi dari cube CobiT dapat digunakan untuk memahami lingkungan
kontrol, empat domain yang dibahas sebelumnya, dimulai dengan perencanaan dan organisasi,
adalah langkah pertama yang efektif. Berdasarkan tiga dimensi cube kontrol CobiT ini, setiap
proses TI dievaluasi melalui lima langkah navigasi sebagai berikut:
I. Kontrol [Nama Proses]
II. Yang memenuhi [daftar persyaratan bisnis]
III. Dengan berfokus pada [daftar tujuan TI penting]
IV. Dicapai dengan [daftar pernyataan kontrol]
V. Dan diukur dengan [daftar metrik kunci]
Proses lima langkah ini dapat dimulai dari angka I ke bawah atau dapat mulai dari tingkat
dasar. Dalam kedua kasus tersebut, kerangka kerja CobiT mengatakan kontrol dari setiap proses
harus dipenuhi oleh daftar persyaratan bisnis pendukung dan tujuan bisnis tersebut harus fokus
pada tujuan TI yang penting. Proses yang ditunjuk hanya akan menjadi nama yang tidak
digunakan kecuali didukung oleh bisnis spesifik dan persyaratan TI untuk mendorong dan
20
mengatur proses itu. Masing-masing persyaratan tersebut harus ditentukan oleh satu atau lebih
pernyataan kontrol dengan praktik kontrol khusus. Akhirnya, kami tidak dapat menilai apakah
masalah beroperasi secara efektif dan metrik pengukuran utama diperlukan. Meskipun penekanan
CobiT secara historis adalah pada IT, jenis analisis ini harus digunakan untuk pengendalian
internal, baik terkait IT maupun tidak.
Setiap tujuan kontrol utama dalam materi panduan CobiT yang diterbitkan didasarkan
pada kerangka navigasi. Pojok kiri atas pameran menunjukkan persyaratan bisnis. Untuk setiap
kontrol, ini dapat ditandai dengan P untuk persyaratan primer, S untuk sekunder, atau kosong jika
tidak berlaku untuk tujuan kontrol. Pojok kanan bawah mencantumkan area sumber daya TI. Jika
ada yang berlaku, mereka dicatat dengan tanda centang. Bagian diarsir atau ditandai jika mereka
adalah kepentingan utama atau sekunder.
Pusat setiap halaman memiliki ‘‘Kontrol atas proses TI dari serangkaian pernyataan yang
diselesaikan untuk setiap sasaran kontrol. Kami akan menunjukkan contoh pernyataan lengkap
saat kami meninjau domain CobiT di bagian berikut. Bagian berikut melihat navigasi CobiT di
berbagai domain yang dipilih untuk memberi manfaat bagi organisasinya. Fungsi audit internal
perusahaan, dan khususnya spesialis audit TI, seharusnya menggunakan dan memahami CobiT.
Organisasi profesional ITGI, di http://itgi.org/, juga memiliki beragam penawaran tentang
penggunaan CobiT.
COBIT membagi langkah-langkah yang diperlukan untuk mengevaluasi kontrol dan
proses TI menjadi apa yang COBIT sebut sebagai lima area domain:
1. Mengevaluasi, Mengarahkan, dan Memantau (EDM).
2. Menyelaraskan, Merencanakan, dan Mengatur (APO).
3. Membangun, Memperoleh, dan Melaksanakan (BAI).
4. Memberikan, Layanan, dan Dukungan (DSS).
5. Memantau, Mengevaluasi, dan Menilai (MEA).
Lima inisial area pengidentifikasian domain ini, seperti MEA untuk domain kelima, akan
digunakan sebagai bagian dari deskripsi elemen COBIT kami selama pengantar singkat kami
untuk COBIT di bagian selanjutnya dalam bab ini. Area domain ini selanjutnya dirangkum
menjadi peta proses keseluruhan untuk manajemen TI perusahaan, dan kami menekankan di sini
bahwa COBIT adalah alat untuk mengendalikan dan mengevaluasi semua kontrol internal
perusahaan, meskipun fokusnya terutama berorientasi pada TI.
21
Untuk setiap area domain proses ini, COBIT mendefinisikan apa yang disebutnya praktik
manajemen kunci spesifik. Misalnya, area domain Deliver, Service, and Support (DSS),
ditunjukkan pada item baris yang lebih rendah, menunjukkan enam area proses untuk domain itu,
dari DSS 01, Kelola Operasi, melalui DSS 06, Man-age Process Kontrol. Dokumentasi COBIT
kemudian latihan dengan deskripsi Proses Pengaktifan terperinci untuk masing-masing. Sebagai
contoh, COBIT memanggil Proses yang Diaktifkan DSS 04 Mengelola Kontinuitas, kemudian
berlatih hingga DSS 04.01, Menentukan Kebijakan Kontinuitas Bisnis.
Serangkaian kategori proses tujuan kontrol yang serupa telah ditetapkan untuk setiap kategori
proses COBIT. Tujuan dari proses kontrol yang terperinci tetapi cukup spesifik adalah untuk
membantu membuat kasus bisnis untuk implementasi dan peningkatan tata kelola dan manajemen
TI. Tujuan mereka adalah untuk mengenali titik nyeri yang khas dan memicu kejadian, dengan
tujuan keseluruhan menciptakan lingkungan yang tepat untuk operasi dan implementasi TI.
COBIT menetapkan satu set 17 tujuan terkait TI yang dapat dipetakan ke masing-masing
proses ini, dengan sasaran dibagi menjadi beberapa kategori yang dilabeli Korporat, Pelanggan,
Internal, dan satu yang disebut Pembelajaran dan Pertumbuhan. Sasaran terkait COBIT IT ini
kemudian dipetakan ke faktor-faktor untuk dua proses COBIT, EDM (Evaluate, Direct, and
Monitor) dan DSS (Deliver, Service, and Support). Pemetaan tentang bagaimana setiap tujuan
terkait IT didukung oleh proses terkait COBIT dan diungkapkan menggunakan skala di mana:
• P berarti koneksi utama antara tujuan terkait TI dan proses terkait COBIT, ketika ada
hubungan penting di mana proses COBIT yang ditunjuk adalah dukungan utama untuk
pencapaian tujuan terkait TI.
• S adalah singkatan dari sekunder, ketika ada hubungan yang kurang penting dan proses
COBIT adalah dukungan sekunder untuk tujuan yang berhubungan dengan IT.
• Ruang kosong di pameran mengatakan tidak ada hubungan yang kuat di sini.
Misalnya, proses COBIT DSS 07 untuk Mengelola Keamanan memiliki hubungan yang
kuat atau primer dengan tujuan terkait TI yang ditetapkan sebagai kepatuhan dan dukungan untuk
hukum dan peraturan yang terkait dengan bisnis. Proses DSS 07 yang sama juga memiliki
hubungan sekunder dengan beberapa tujuan TI lainnya, seperti nomor 7, pengiriman layanan TI
sesuai dengan persyaratan bisnis (Gambar 6.8).
Kerangka kerja COBIT mungkin tampak terlalu terlalu rinci untuk auditor internal dan
sering tampak terlalu rumit dengan berbagai tujuan dan sasaran. Nilai opsional hanya dapat
22
direalisasikan dari peningkatan COBIT jika secara efektif diadopsi dan disesuaikan dengan
lingkungan unik masing-masing perusahaan. Setiap pendekatan implementasi juga perlu
mengatasi tantangan spesifik, termasuk mengelola perubahan budaya dan perilaku.
Pedoman COBIT menekankan bahwa tata kelola dan manajemen adalah berbagai jenis
kegiatan, masing-masing dengan tanggung jawab yang berbeda. Namun, mengingat peran
pengarah tata kelola untuk mengevaluasi, mengarahkan, dan memantau serangkaian interaksi
diperlukan antara tata kelola dan manajemen untuk menciptakan sistem tata kelola yang efisien
dan efektif. Interaksi ini, menggunakan struktur enabler, kemudian diikat ke proses review
kontrol internal tertentu, kekuatan nyata dari kerangka kerja COBIT.
23
perubahan dalam lingkungan yang kompetitif, skala ekonomi untuk sistem informasi
kepegawaian dan investasi, serta sebagai peningkatan interoperabilitas platform dan aplikasi.
d. PO4 Define the IT Procceses, organisation and relationships (mendefinisikan organisasi TI
dan hubungannya)
Organisasi TI umumnya dibagi atas input, pemrosesan, dan output berhubungan dengan
aktifitas yang ada di organisasi, baik dalam tingkat organisasi, fungsi, kelompok, dan individu.
Organisasi TI berhubungan dengan aktifitas-aktifitas yang dilakukan di organisasi, baik data
transaksi siklus pendapatan, siklus pengeluaran, siklus manajemen sumber daya manusia, dan
siklus konversi. Data transaksi dan data non transaksi tersebut digunakan sebagai bahan untuk
membuat keputusan oleh pihak internal dan eksternal.
e. PO5 Manage the IT Investment (mengelola investasi TI)
Tujuan pengelolaan investasi untuk keberlangsungan bisnis, memperbaiki efisiensi dan
efektifitas, keunggulan kompetitif, dan meningkatkan infrastruktur. Dalam mengelola
investasi TI diperlukan strategi yang meliputi teori option real dan teori ketergantungan
sumber daya.
f. PO6 Communicate management aims and direction (mengkomunikasikan tujuan dan arah
manajemen)
Perencanaan dan organisasi informasi agar tujuan dan arah komunikasi manajemen cepat,
tepat dan memiliki komunikasi baik yang bersifat upward, donward, horisontal maupun
vertikal. Dengan adanya kecepatan dan ketepatan arah dan tujuan informasi tersebut akan
dihasilkan keputusan yang efektif.
g. PO7 Manage the IT human resources (mengelola SDM)
Dalam organisasi yang paling sulit adalah mengelola SDM karena mengelola SDM mencakup
sifat, sikap, dan perilaku manusia yang ada di organisasi. Dengan adanya penggunaan TI akan
merubah sifat, sikap, dan perilaku SDM yang ada di organisasi, selain adanya penentangan
terhadap penggunaan TI di dalam organisasi. Ini dikarenakan teknologi akan merubah strategi
yang berdampak pada struktur dan budaya organisasi serta mengakibatkan perubahan pada
sifat, sikap, dan perilaku individu yang ada di organisasi.
h. PO8 Manage Quality (mengelola kualitas)
24
Kualitas yang dihasilkan harus sesuai dengan kebutuhan pihak internal dan eksternal
perusahaan. Dalam mengelola kualitas yang perlu diperhatikan selain kevaliditasan dan
keabsahan informasi juga kecepatan dan ketepatan informasi tersebut.
i. PO9 Assess and manage IT Risk (Menilai dan Mengelola Risiko TI)
Mengkaji resiko yang berkaitan dengan TI meliputi sistem, pengembangan sistem dan
keamanan sistem juga resiko yang berkaitan dengan resiko pengamanan tempat dari
kerusakan yang disebabkan oleh manusia yang disengaja atau tidak disengaja maupun oleh
faktor alam. Penggunaan TI seharusnya juga memfokuskan pada faktor-faktor yang dapat
mengindikasikan perubahan pada tiga tipe resiko, yaitu resiko melekat, resiko pengendalian,
dan resiko struktur pengendalian.
j. PO10 Manage Projects (mengelola proyek)
Dalam mengelola proyek harus disesuaikan apakah perencanaan dan organisasi yang
dijadwalkan sesuai dengan pelaksanaan yang dikerjakan.
Ini semua adalah konsep tingkat tinggi sehingga banyak manajer berdebat, mereka
memiliki rencana strategis, telah mendefinisikan arsitektur informasi mereka, atau memenuhi
semua tujuan PO tingkat tinggi ini. Namun, CobiT melakukan latihan ke masing-masing area
tujuan kontrol ini dengan lebih rinci. Menggunakan PO1 pada mendefinisikan rencana strategis
sebagai contoh, ada enam tujuan yang lebih rinci:
PO1.1: Manajemen Nilai TI
PO1.2: Penyelarasan Bisnis-TI
PO1.3: Penilaian Kinerja Saat Ini
PO1.4: Rencana Strategis TI
PO1.5: Rencana Taktis IT PO1.6:
Manajemen Portofolio TI
Penomoran di sini penting karena materi pedoman CobiT merujuk masing-masing tujuan
ini dan dalam hal referensi untuk input dan output mereka. Materi panduan memberikan deskripsi
tingkat tinggi untuk masing-masing tujuan. Untuk PO1.4 tentang rencana strategis, materi
panduan menyatakan:
“Untuk perusahaan yang strategis, inco-operasi dengan pemangku kepentingan yang relevan,
bagaimana TI akan berkontribusi pada tujuan strategis perusahaan (sasaran) dan terkait biaya dan
risiko. Hal ini akan menunjukkan bahwa saya akan mendukung program investasi dan
25
penyampaian layanan operasional yang dimungkinkan oleh TI. Ini mendefinisikan bagaimana
tujuan akan dipenuhi dan langkah-langkah dan menerima sign-off formal dari para pemangku
kepentingan. Rencana strategis TI harus mencakup investasi/anggaran operasional, sumber
pendanaan, strategi sumber, strategi akuisisi, dan persyaratan hukum dan peraturan. Rencana
strategis harus cukup rinci untuk memungkinkan definisi rencana TI taktis”.
Paragraf ini adalah contoh dari salah satu tujuan kontrol yang diuraikan di seluruh
pedoman CobiT. Itu tidak memberi tahu profesional bagaimana caranya menulis rencana strategis
TI tetapi memberikan panduan yang sangat baik untuk membangun rencana seperti itu, terlepas
dari ukuran atau status perusahaan. Peran CobiT membantu auditor internal, tujuan audit tersebut
dapat dikembangkan dengan tujuan kontrol dan mengembangkan area tinjauan audit tersebut.
Untuk setiap tujuan CobiT, materi panduan berisi grafik RACI yang mendukung. Alat
yang berkembang dari inisiatif kualitas pada tahun 1960-an, bagan atau model RACI adalah alat
yang baik untuk mengidentifikasi peran dan tanggung jawab. Dengan menggunakan format
spreadsheet, kegiatan diidentifikasi dalam kolom samping dan dengan fungsi atau deskripsi posisi
dalam sel di bagian atas. Responsible, Accountable, Consulted and/or Informed (RACI) Chart
adalah matriks yang menggambarkan peran berbagai pihak dalam penyelesaian suatu pekerjaan
dalam suatu proyek atau proses bisnis. Matriks ini sangat bermanfaat dalam menjelaskan peran
dan tanggung jawab antar bagian didalam suatu proyek atau proses. Berikut ini penjelasan dari
RACI Chart antara lain :
R = Responsible (Pelaksana) = Orang yang melakukan pekerjaan untuk mencapai tugas.
A = Accountable (Penanggungjawab) = Orang yang bertanggungjawab.
C = Consulted (Penasehat) = Orang yang dimintai pendapat tentang suatu pekerjaan.
I = Informed (Terinformasi) = Orang yang selalu mendapatkan informasi tentang kemajuan
pekerjaan.
Format bagan ini dapat berguna di banyak bidang untuk membantu mengidentifikasi
tanggung jawab di luar area. RACI chart diadaptasi dari CobiT, pada tujuan PO1 untuk
menentukan rencana TI strategis. Turun kolom tanggung jawab dalam contoh ini, Pemilik proses
bisnis bertanggung jawab untuk menganalisis program portofolio, diinformasikan pada proses
untuk membangun rencana strategis, dan bertindak sebagai konsultan pada kegiatan lain untuk
tujuan kontrol ini. Jenis grafik RACI ini muncul dalam panduan yang diterbitkan untuk masing-
masing tujuan kontrol CobiT.
26
Materi CobiT juga diakhiri dengan analisis ringkasan tujuan kontrol tersebut. Ini adalah
serangkaian pertimbangan berbasis metrik yang menguraikan tujuan kegiatan untuk tujuan
kontrol tertentu yang diukur dengan seperangkat indikator kinerja utama (KPI), yang mendorong
tujuan proses diukur dengan indikator tujuan utama terkait. Yang terakhir mendorong tujuan TI
yang diukur dengan indikator tujuan utama TI. Proses dan serangkaian dokumentasi CobiT
pendukung ini akan dijelaskan saat kami meninjau tujuan kontrol CobiT lainnya.
Untuk tujuan kontrol utama PO, materi panduan membahas masing-masing tujuan kontrol
di sini dengan cara yang sama dan mengikuti pendekatan yang sama. Untuk setiap tujuan, CobiT
menguraikan atau menyarankan pendekatan review kontrol tingkat tinggi. Sebagai contoh, PO3.5
objektif pada arsitektur TI memerlukan fungsi tersebut. Panduan yang penting, tetapi banyak
sumber daya TI yang lebih kecil tidak memiliki sumber daya untuk membangun fungsi formal.
Pedoman yang baik, tetapi manajer yang menggunakan CobiT dan auditor yang mengevaluasi
kepatuhan harus selalu ingat bahwa ini adalah serangkaian materi panduan praktik terbaik tetapi
bukan standar atau persyaratan wajib.
27
tersebut dapat juga dilakukan pembaruan, baik dengan pengembangan sendiri atau melalui
pihak pembuat software tersebut.
c. AI3 Acquire and maintain technology infratructure (memperoleh dan memelihara
infrastruktur teknologi)
Dalam mencari infrastruktur teknologi perlu diperhatikan harga, keandalan, kesesuaian, dan
keawetan serta mudah dalam memelihara infrastruktur tersebut.
d. AI4 Enable operation and use (Memungkinkan operasi dan penggunaan)
Penyediaan pengetahuan tentang sistem baru memerlukan produksi dokumentasi dan manual
bagi pengguna dan TI dan menyediakan pelatihan untuk memastikan penggunaan yang tepat
serta pengoperasian aplikasi dan infrastruktur.
e. AI5 Procure IT resources (Mendapatkan sumber daya TI)
Sumber daya, termasuk orang-orang, hardware, software dan jasa TI perlu dibeli. Hal ini
memerlukan definisi dan penegakan prosedur pengadaan, pemilihan vendor, pengaturan
kontrak, dan akuisisi itu sendiri untuk memastikan bahwa organisasi memiliki semua sumber
daya yang diperlukan secara tepat waktu dan hemat biaya.
f. AI6 Manage Changes (mengelola perubahan)
Akuisisi dan implementasi yang dijalankan tidak selamanya sesuai dengan kebutuhan
perusahaan yang selalu dinamis, kompleks, dan selalu berkembang. Untuk itu perlu
melakukan pengelolaan perubahan, baik pada solusi penanganan masalah, pencarian dan
pemelihara software aplikasi dan infrastruktur prosedur serta pengakreditasian sistem.
g. AI7 Install and accredit sulotions and changes (menginstal dan mengakreditasi sistem dan
perubahannya)
Dalam melakukan penginstalan terhadap sistem yang baru harus dilihat dan dibaca petunjuk
untuk melakukan hal tersebut. Kehati-hatian dan ketelitian juga perlu diperhatikan dalam
penginstalan, upayakan membaca semua perintah yang ada jangan hanya menekan tombol ya
atau lanjut pada setiap perintah yang muncul. Sistem yang diterapkan apakah sistem yang
terintegrasi seperti Entrerprise Resource Planning (ERP) ataukah sistem yang memerlukan
pengembangan bagian perbagian sesuai dengan kebutuhan organisasi. Untuk
pengakreditasian sistem, biasanya dilakukan oleh pihak yang mengeluarkan sistem tersebut.
Untuk itu, perlu dipertimbangkan apakah dalam pembelian dan penggunaan sistem hanya
memerlukan satu kali pengakreditasian atau dalam jangka waktu berkala.
28
Masing-masing tujuan terperinci dalam domain ini mencakup prosedur kontrol atas
implementasi alat baru. Sementara penekanannya pada perangkat lunak, konsep kontrol internal
dapat diterapkan pada akuisisi dan implementasi banyak perangkat perusahaan baru.
Meskipun tidak memungkinkan cakupan lengkap dari setiap tujuan kontrol, kami akan
memeriksa AI6 tentang mengelola perubahan sebagai contoh bagaimana CobiT menggunakan
kerangka dasarnya untuk menguraikan pentingnya area kontrol ini. Misalnya, sebelumnya telah
menguraikan lima langkah proses CobiT untuk mengevaluasi tujuan kontrol. AI6 tentang
mengelola perubahan dijelaskan sebagai berikut:
I. Kontrol atas proses TI mengelola perubahan.
II. Itu memenuhi kebutuhan bisnis untuk TI dalam menanggapi kebutuhan bisnis sejalan dengan
strategi bisnis, sambil mengurangi solusi dan cacat pengiriman dan pengerjaan ulang.
III. Dengan berfokus pada pengontrolan penilaian dampak, otorisasi, dan implementasi semua
perubahan pada infrastruktur TI, aplikasi, dan solusi teknis, meminimalkan kesalahan karena
spesifikasi permintaan yang tidak lengkap dan menghentikan implementasi dari perubahan
yang tidak sah.
IV. Dicapai oleh:
• Menentukan dan mengomunikasikan prosedur, termasuk perubahan darurat.
• Menilai, memprioritaskan, dan mengesahkan perubahan.
• Melacak status dan melaporkan perubahan.
V. Dan diukur dengan:
• Jumlah gangguan atau kesalahan data yang disebabkan oleh spesifikasi yang tidak akurat
atau penilaian dampak yang tidak lengkap.
• Pengerjaan ulang aplikasi atau infrastruktur yang disebabkan oleh spesifikasi perubahan
yang tidak memadai.
• Persen perubahan yang mengikuti proses kontrol perubahan internal.
Serangkaian pernyataan ini, diambil dari pedoman CobiT, menjelaskan persyaratan
kontrol dan pengukuran untuk mencapai tujuan kontrol. Bahan pedoman CobiT memiliki
seperangkat pernyataan yang serupa untuk setiap tujuan kontrol. Ini berguna ketika mencoba
memahami karakteristik masing-masing kontrol dengan lebih baik.
Materi panduan yang sama melihat bagaimana masing-masing tujuan kontrol
berhubungan dengan dua sisi lain dari kubus CobiT. Untuk AI6 ini, Kelola Perubahan, tujuan
29
kontrol ini menunjukkan bahwa pada sumber daya IT, semuanya penting atau memiliki tanda
centang dalam memahami tujuan kontrol ini. Artinya, objek kontrol berdampak pada Aplikasi,
Informasi, Infrastruktur, dan Orang-orang. Beralih ke sisi kiri atas dimensi persyaratan bisnis
lembar navigasi, materi panduan menunjukkan apakah mereka penting, primer, sekunder, atau
tidak penting. Untuk AI6 ini contoh tujuan kontrol, efektivitas persyaratan bisnis, efisiensi,
integritas, dan ketersediaan. adalah primer, sedangkan keandalan adalah kepentingan sekunder.
Ada dua yang utama, kerahasiaan dan kepatuhan, tidak dianggap signifikan terhadap tujuan
kontrol ini.
Untuk setiap tujuan kontrol, yang menunjukkan bahwa untuk tujuan kontrol AI6 ini,
Penyampaian nilai, merupakan hal yang terpenting dengan manajemen sumber daya sekunder.
Profesional yang bekerja dengan salah satu tujuan pengendalian CobiT biasanya dapat
menyimpulkan mengapa bidang tata kelola TI tertentu telah ditetapkan sebagai signifikansi
primer atau sekunder.
30
efisien dan proses manajemen masalah untuk melaporkan dan menyelesaikan masalah-masalah
tersebut. Pada tahap pengiriman dan dukungan terdiri atas 13 bagian, dimana ketiga belas bagian
tersebut membuat pengiriman dan dukungan sesuai dengan apa yang diinginkan. Sasaran kontrol
CobiT DS mencakup:
a. DS1 Define and manage service levels (menentukan dan mengelola tingkat layanan)
Untuk menentukan dan mengelola layanan perlu diperhatikan siapa yang melakukan,
ditujukan kepada siapa, dan bagaimana penentuan dan pengelolaan layanan serta berapa biaya
yang dikeluarkan.
b. DS2 Manage third-party services (mengelola layanan pihak ketiga)
Dalam hal ini, perlu dilihat sampai seberapa jauh dan seberapa banyak pengelolaan layanan
yang akan diberikan. Pengelolaan layanan pihak ketiga diusahakan dapat memuaskan sesuai
kebutuhannya sehingga pengelolaan layanan pihak ketiga tersebut dapat berlanjut secara terus
menerus.
c. DS3 Manage performance and capacity (mengelola performa dan kapasitas)
Performa TI dan yang berkaitan dengan TI selalu diupayakan yang terbaik dan kapasitas yang
berkenaan dengan penggunaan dan pengelolaan TI selalu ditingkatkan disesuaikan dengan
kebutuhan organisasi maupun pihak di luar organisasi.
d. DS4 Ensure Contuous System (menyakinkan keberlanjutan sistem)
Sistem yang akan digunakan dalam mendukung peningkatan kinerja organisasi diupayakan
keberlanjutannya. Untuk itu, dalam memilih dan menerapkan sistem perlu dilihat apakah
sistem tersebut kompabilitas dan dapat digunakan lebih lanjut.
e. DS5 Ensure system security (memastikan keamanan sistem)
Keamanan sistem merupakan salah satu titik yang krusial dikarenakan semua data dan
informasi yang ada tercakup dalam sistem tersebut. Keamanan sistem yang baik adalah
keamanan sistem yang terintegrasi.
f. DS6 Identify and allocate costs (identifikasi dan alokasi biaya)
Dalam pengiriman dan dukungan untuk menghasilkan informasi identifikasi TI dan yang
berkaitan dengan TI harus sesuai dengan kebutuhan organisasi. Alokasi biaya harus
diperhitungkan dengan cermat dan cerdas sehingga sesuai dengan alokasi yang timbul
berkenaan dengan penggunaan TI dan yang berkaitan dengan TI.
g. DS7 Educate and train users (mendidik dan melatih pengguna)
31
Untuk mendidik dan melatih pengguna perlu diperhatikan jenjang pendidikan pengguna,
pelibatan pengguna dalam penggunaan maupun pengembangan sistem, kemampuan teknis
pengguna, ukuran organisasi, dukungan manajemen, formalisasi pengembangan sistem
informasi, program pendidikan dan pelatihan pengguna, serta komite pengarah. Dengan
memperhatikan hal tersebut, diharapkan akan adanya kepuasan penguna sistem informasi dan
pengguna sistem.
h. DS8 Manage service desk and incidents
Service desk diperlukan untuk merespon secara tepat waktu dan efektif untuk melayani
pertanyaan dan masalah pengguna TI yang dirancang dan pelaksanaan yang lebih baik serta
proses manajemen insiden termasuk menyiapkan fungsi service desk dengan pendaftaran,
analisa penyebab insiden dan resolusi. Manfaat bisnis meliputi peningkatan produktivitas
melalui resolusi yang cepat dari permintaan pengguna. Selain itu, bisnis dapat mengatasi
penyebab insiden melalui pelaporan yang efektif.
i. DS9 Manage the konfiguration (mengelola konfirugasi)
Dalam mengelola konfirugasi harus disesuaikan dengan kemampuan dan kebutuhan
pengguna internal dan kecepatan dalam menanggapi tuntutan pihak eksternal. Untuk itu
konfirugasi sistem dan jaringan perlu diperhatikan untuk memenuhi hal tersebut.
j. DS10 Manage problems (mengelola masalah)
Setiap timbul permasalahan harus cepat ditangani dan dikelola agar tidak menyebabkan
penurunan kinerja organisasi secara keseluruhan. Mengelola masalah berkaitan dengan TI
tidak begitu susah yang sulit adalah mengelola masalah dengan pengguna TI tersebut.
k. DS11 Manage data (mengelola data)
Langkah-langkah mengelola data adalah dengan melakukan penginputan pada sumber data,
pengumpulan data, pemeliharaan data, pengendalian data dan menghasilkan data kepada
pengguna. Dalam pemeliharaan data melibatkan langkah-langkah pengklasifikasian,
pemindahan atau penggandaan, penyortiran, penggelompokkan, penggabungan, penghitungan,
peringkasan, dan perbandingan.
l. DS12 Manage the phisycal enviroment (mengelola lingkungan fisik)
Perlindungan untuk peralatan komputer dan personil membutuhkan fasilitas fisik yang
dirancang dan dikelola dengan baik. Proses pengelolaan lingkungan fisik meliputi
pendefinisian persyaratan situs fisik, memilih fasilitas yang tepat dan merancang proses yang
32
efektif untuk memantau faktor lingkungan dan mengelola akses fisik. Manajemen yang
efektif dari lingkungan fisik mengurangi gangguan bisnis dari kerusakan peralatan komputer
dan personil.
m. DS13 Manage operations (mengelola operasi)
Pada penggunaan TI, operasi yang berkaitan dengan sistem dan prosedur dikelola dengan
baik. Dengan adanya pengelolaan sistem dan prosedur yang baik, informasi yang dihasilkan
dari penggunaan TI akan handal dan valid selain meminimalisir dan meniadakan resiko
berkaitan dengan pengelolaan operasi tersebut.
Tujuan pengendalian ini mewakili bidang penting dari operasi IT yang belum mendapat
perhatian yang memadai oleh auditor internal atau anggota manajemen lainnya. Bahan CobiT
melihat ini dalam format umum yang sama untuk meringkas bagaimana setiap tujuan kontrol
dicapai dan diukur serta hubungan dan saling ketergantungan di ketiga sisi kubus CobiT.
Banyak dari area tujuan kontrol ini belum mendapatkan perhatian yang memadai dalam
banyak tinjauan kontrol internal sebelum SOx Section 404. Tujuan COSO membahas kontrol
internal pada tingkat tinggi tetapi tidak membahas masalah-masalah kontrol internal terkait
manajemen layanan yang lebih terperinci. Sasaran kontrol CobiT DS10 untuk manajemen
masalah adalah contoh:
“Efektif menangani masalah manajemen meminta identifikasi dan klasifikasi masalah, analisis
dan penyelesaian masalah. Proses pengelolaan masalah ini mencakup rekomendasi untuk
perbaikan, pemeliharaan, dan peninjauan status tindakan korektif. Proses manajemen masalah
yang efektif meningkatkan tingkat layanan, mengurangi biaya, dan meningkatkan kenyamanan
dan kepuasan pelanggan”.
Pengguna TI dan auditor internal telah mengalami masalah dan frustrasi selama bertahun-
tahun dengan berbagai sistem dan aplikasi. Fungsi-fungsi TI yang tidak sensitif sering tidak
melakukan pekerjaan yang sesuai untuk menyelesaikan masalah yang dilaporkan. Selain itu, jika
aplikasi benar-benar gagal, akan ada upaya yang kuat untuk mengembalikannya ke dalam operasi,
tetapi masalah yang lebih kecil dan kurang kritis akan diselesaikan dengan pertimbangan dalam
pembaruan berikutnya.
Materi panduan CobiT yang diterbitkan mengaitkan tujuan kontrol ini dengan orang lain
yang memberikan input dan juga output. Misalnya saja tujuannya AI6 tentang perubahan
otorisasi, DS8 untuk pelaporan insiden, DS9 untuk manajemen konfigurasi TI, dan DS13 pada
33
log kesalahan semua memberikan input ke tujuan kontrol DS10. Tujuan kami bukan untuk
mereproduksi konten lengkap dari tujuan kontrol CobiT yang diterbitkan tetapi untuk memberi
pembaca rasa untuk pendekatannya. Di sini dan untuk semua domain dan tujuan, CobiT
menyediakan cara yang kuat untuk melihat kontrol internal terkait TI dan hubungannya.
Kami telah membahas bagaimana setiap kontrol CobiT memiliki serangkaian tujuan
kontrol terperinci, memiliki input dan output tujuan kontrol lainnya, dan memiliki grafik fungsi
penyeimbang RACI dan tanggung jawab untuk setiap kontrol. Selain itu, materi kerangka kerja
CobiT memiliki bagian Sasaran dan Metrik untuk setiap sasaran kontrol. Sasaran dan diagram
metrik ini untuk tujuan kontrol manajemen masalah DS10. Setiap tujuan kontrol CobiT memiliki
serangkaian analisis yang sangat berguna. Contoh manajemen masalah, ada tiga tujuan atau
metrik pengukuran yang disarankan yang harus dipertimbangkan. Salah satunya adalah
melakukan analisis sebab-akibat masalah yang dilaporkan. Sasaran penting yang terkadang
terlewatkan, bagan RACI terkait menyoroti bahwa manajer masalah bertanggung jawab atas
kegiatan ini melalui konsultasi dengan orang lain.
Di bawah setiap tujuan kegiatan adalah tabel indikator kinerja utama yang menggerakkan
serangkaian tujuan proses. Dengan konten spesifik yang berbeda untuk setiap kontrol CobiT,
jenis analisis ini menyediakan semua pihak dengan pengaturan yang baik untuk mengukur kinerja
area kontrol dan menetapkan metrik untuk menilai pencapaian tujuan-tujuan ini. Analisis ini
untuk tujuan kontrol yang dipilih dari manajemen masalah adalah contoh dari materi CobiT.
Banyak operasi TI memiliki beberapa jenis fungsi help-desk untuk melaporkan dan
menyelesaikan masalah. Di sini, kami memiliki beberapa saran untuk jenis tindakan dan metrik
yang dapat digunakan untuk mengevaluasi pencapaian tujuan kontrol ini.
Tabel tujuan dan sasaran yang serupa serta tujuan kontrol terperinci ada untuk setiap
tujuan kontrol. Ini adalah standar atau persyaratan yang mirip dengan standar audit SOx di bawah
AS5, atau standar praktik profesional audit internal. Namun, CobiT menyediakan bahan panduan
yang sangat baik untuk membangun dan kemudian mengukur kontrol internal yang efektif.
34
memberikan peluang pada periode mendatang. Area domain ini mencakup area jaminan kualitas
yang secara tradisional lebih umum di bidang manufaktur dan operasi lainnya daripada di bidang
TI. Meskipun tidak dibahas dalam materi panduan CobiT, karya perintis W. Edwards Deming
menyediakan cara untuk mempertimbangkan area domain CobiT ini.
Sebagai konsultan yang membantu membangun kembali Jepang setelah Perang Dunia II,
Deming mengembangkan standar kualitas dan pendekatan yang membantu Jepang menetapkan
praktik kualitas yang sekarang digunakan di seluruh dunia saat ini. Di antara pendekatan lain,
Deming mengembangkan pendekatan sistem kualitas yang menyatakan agar proses bisnis
dianalisis dan diukur untuk mengidentifikasi sumber variasi yang menyebabkan produk
menyimpang dari persyaratan pelanggan. Dia mengusulkan agar setiap proses bisnis ditempatkan
dalam lingkaran umpan balik yang berkelanjutan sehingga manajer dapat mengidentifikasi dan
mengubah bagian-bagian dari proses yang membutuhkan perbaikan. Ini harus menjadi siklus
berkelanjutan yang tidak pernah berakhir di mana kita harus selalu memantau kinerja proses saat
ini dan mengambil tindakan untuk mengimplementasikan peningkatan pada proses itu. Deming
menyebut ini siklus Plan, Do, Check, Act (PDCA). Langkah-langkahnya adalah:
Langkah 1. Rencanakan: Proses bisnis harus dirancang atau direvisi untuk meningkatkan hasil.
Langkah 2. Lakukan: Terapkan untuk merencanakan dan mengukur kinerjanya.
Langkah 3. Periksa: Nilai pengukuran dan laporkan hasilnya.
Langkah 4. Bertindak: Tentukan perubahan yang diperlukan untuk meningkatkan hasil.
Meskipun fokus Deming adalah pada produksi industri, konsepnya telah diteruskan dan
sangat sesuai untuk lingkungan bisnis saat ini termasuk operasi TI dan pemantauan kontrol
internal SOx. Mengikuti format yang sama dengan domain CobiT lainnya, pada tahap
pemantauan terdiri atas empat bagian. Adapun bagian-bagian tersebut yaitu :
a. ME1 Monitor and evaluate IT Performance (memonitor dan mengavaluasi kinerja TI)
Pemonitoran proses dilakukan tidak hanya pada saat tahap input, pemrosesan dan output tetapi
juga dilakukan pada saat pra input dan pasca output. Pemonitoran ini bertujuan agar teknologi
yang dilakukan berjalan dengan baik, selain itu bila ada permasalahan dapat teratasi dengan
cepat dan tepat.
b. ME2 Monitor and evaluate internal control (mengawasi dan mengavaluasi kelayakan kontrol
internal)
35
Kelayakan kontrol internal bertujuan untuk mencapai tujuan pengendalian internal. Adapun
tujuan pengendalian internal adalah adanya keefektifan dan keefisienan pada operasi,
reliabilitas pada pelaporan, dan kepatuhan dengan undang-undang dan regulasi yang ada.
Untuk itu kelayakan internal meliputi struktur pengendalian internal yang terdiri atas
lingkungan pengendalian, penilaian resiko, pengendalian aktifitas, informasi dan komunikasi
serta pemantauan. Kelayakan internal selalu dilakukan evaluasi secara berkala.
c. ME3 Ensure compliance with external requirments (Memastikan Kepatuhan dengan
Kebutuhan External)
Pengawasan kepatuhan yang efektif mengharuskan pembentukan proses review untuk
memastikan kepatuhan terhadap hukum, peraturan dan persyaratan kontrak. Proses ini meliputi
identifikasi persyaratan kepatuhan, mengoptimalkan, mengevaluasi respon, memperoleh
jaminan bahwa persyaratan telah dipenuhi dan mengintegrasikan pelaporan kepatuhan TI.
d. Provide IT governance (Menyediakan Tata Kelola)
Pembuatan kerangka kerja tata kelola yang efektif termasuk menetapkan struktur organisasi,
proses, kepemimpinan, peran dan tanggung jawab untuk memastikan bahwa investasi TI yang
dilakukan selaras dan disampaikan sesuai dengan strategi dan tujuan perusahaan.
Mengikuti format yang sama dengan domain CobiT lainnya, area ini harus menjadi minat
khusus untuk auditor, spesialis kontrol internal, dan anggota dari perusahaan baru yang mungkin
berada di luar operasi IT. Kontrol bahan untuk ME2 tentang pemantauan dan evaluasi kontrol
internal adalah contoh yang baik dari kekuatan CobiT. Ini menyatakan bahwa proses pemantauan
dan evaluasi pengendalian internal dicapai dengan sistem kendali TI yang tertanam dalam
kerangka proses TI, dengan memantau dan melaporkan efektivitas pengendalian internal ini, dan
dengan melaporkan pengecualian kepada manajemen untuk tindakan korektif.
Ini proses Deming PDCA yang dibahas, dan harus diukur dengan:
• Jumlah pelanggaran kontrol internal.
• Jumlah inisiatif peningkatan kontrol.
• Jumlah dan cakupan penilaian mandiri kontrol.
Seperti sebagian besar kerangka kerja CobiT, materi ini berfokus pada kontrol TI, tetapi
banyak dari konsep ini dapat digeneralisasikan ke keseluruhan proses peninjauan kontrol internal.
Ukuran penilaian diri kontrol mengacu pada proses tinjauan internal yang sedang berlangsung
36
tentang kelengkapan dan efektivitas kontrol internal. Banyak fungsi audit internal menggunakan
jenis proses penilaian ini.
Tujuan Monitor dan Evaluasi Pengendalian Internal ini memiliki tujuh tujuan pendukung
yang terperinci. Kontrol terperinci dijelaskan sebagai berikut:
ME2.1: Pemantauan Kerangka Kontrol Internal. Melakukan pengawasan lingkungan dan kontrol
pekerjaan. Penilaian menggunakan praktik industri dan tanda tangan digunakan untuk
meningkatkan kerangka kerja kendali TI.
ME2.2: Tinjauan Pengawasan. Memantau dan melaporkan efektivitas kontrol internal atas TI
melalui tinjauan pengawasan, misalnya, kepatuhan terhadap kebijakan dan standar, keamanan
informasi, kontrol perubahan, dan kontrol yang ditetapkan dalam perjanjian tingkat layanan.
ME2.3: Kontrol Pengecualian. Catat informasi mengenai kontrol dan mengarah pada analisis
penyebab mendasar dan tindakan korektif. Manajemen harus memutuskan hal mana yang harus
dikomunikasikan kepada individu yang bertanggung jawab dan hal mana yang harus ditingkatkan.
Manajemen juga bertanggung jawab untuk memberi tahu pihak-pihak yang terkena dampak.
ME2.4: Kontrol Penilaian Diri. Mengevaluasi kelengkapan dan keefektifan kontrol internal
manajemen atas proses, kebijakan, dan kontrak TI melalui melanjutkan program penilaian diri.
ME2.5: Jaminan Pengendalian Internal. Sesuai kebutuhan, jaminan lebih lanjut tentang
kelengkapan dan keefektifan pengendalian internal melalui peninjauan pihak ketiga oleh fungsi
kepatuhan perusahaan, audit internal, konsultan luar, atau badan sertifikasi.
ME2.6: Kontrol Internal di Pihak Ketiga. Menilai status kontrol internal masing-masing penyedia
eksternal internal. Pastikan bahwa penyedia layanan eksternal mematuhi persyaratan hukum dan
peraturan dan kewajiban kontrak.
ME2.7: Tindakan Perbaikan. Identifikasi dan mulai tindakan perbaikan berdasarkan penilaian
dan pelaporan kontrol. Ini termasuk tindak lanjut dari semua penilaian termasuk: (1) peninjauan,
negosiasi, dan pembentukan tanggapan manajemen, (2) penugasan tanggung jawab untuk
remediasi atau penerimaan risiko, dan (3) melacak hasil dari tindakan yang diambil.
Sasaran kontrol CobiT ini digambarkan secara rinci tetapi memberikan celah untuk
berbagai prosedur kontrol yang bahkan lebih terperinci. Misalnya, ME2.1 tentang pemantauan
kerangka kontrol internal memerlukan auditor internal atau spesialis kontrol internal lainnya
37
untuk mengembangkan prosedur kontrol terperinci, yang disebut program audit. Mereka biasanya
akan menghasilkan program atau langkah tes.
Tujuan kontrol ini, serta semua yang lain dalam dokumentasi CobiT, memiliki bagian
untuk menilai kematangan setiap kontrol internal. Istilah kematangan di sini mengacu pada
Capability Maturity Model (CMM), ukuran penilaian lima tingkat yang dirancang dan
dikembangkan oleh Carnegie Mellon University. Model ini telah menetapkan level kapan kontrol
dapat dinilai, dari level CMM 1 yang tidak ada, hingga level 2 dari kontrol awal atau ad-hoc, dan
ke level 5, disebut kontrol yang dioptimalkan. Bahan panduan CobiT menilai masing-masing
kontrolnya terhadap ukuran CMM. Sebagai contoh, CobiT mendefinisikan bahwa suatu
perusahaan akan berada pada level 3, kontrol proses yang ditentukan untuk ME2, Memantau dan
Mengevaluasi Kontrol Internal, ketika manajemen mendukung dan telah melakukan pemantauan
kontrol internal. Pedoman selanjutnya mengatakan bahwa kebijakan dan prosedur seharusnya
dikembangkan untuk memproses dan melaporkan kegiatan pemantauan pengendalian internal.
Untuk mencapai tingkat CMM ini, program pendidikan dan pemantauan perusahaan untuk
pemantauan pengendalian internal seharusnya telah ditentukan dan diluncurkan.
Materi CobiT memiliki serangkaian panduan tingkat CMM untuk masing-masing kontrol
internalnya. Meskipun dirangkum pada tingkat yang sangat tinggi, pedoman model ini
memungkinkan organisasi menilai kinerjanya sehubungan dengan masing-masing kontrol
internal CobiT.
38
merupakan karakteristik proses yang dikelola secara baik. Kontrol TI secara umum adalah
kontrol yang tertanam dalam proses dan layanan TI contohnya pengembangan sistem, perubahan
manajemen dan operasi komputer, sedangkan kontrol aplikasi adalah kontrol yang terdapat dalam
aplikasi proses bisnis seperti kelengkapan, akurasi, validitas, otorisasi dan pembagian tugas.
COBIT menganggap desain dan implementasi pengendalian aplikasi otomatis menjadi tanggung
jawab TI, yang tercakup dalam domain Acquire and Implement, berdasarkan kebutuhan bisnis
yang didefinisikan dengan menggunakan kriteria informasi COBIT.
39
• 1 Initial (inisialisasi), sudah ada beberapa inisiatif mekanisme perencanaan, tata kelola,
dan pengawasan sejumlah IT Governance yang dilakukan, namun sifatnya masih ad hoc,
sporadis, tidak kosisten, belum formal, dan reaktif.
• 2 Repeatable (dapat diulang), kondisi dimana organisasi telah memiliki kebiasaan yang
terpola untuk merencanakan dan mengelola IT Governance dan dilakukan secara
berulang-ulang secara reaktif, namun belum melibatkan prosedur dan dokumen formal.
• 3 Defined (ditetapkan), pada tahapan ini organisasi telah memiliki mekanisme dan
prosedur yang jelas mengenai tata cara dan manajemen IT Governance, dan telah
terkomunikasikan dan tersosialisasikan dengan baik di seluruh jajaran manajemen.
• 4 Managed (diatur), merupakan kondisi dimana manajemen organisasi telah menerapkan
sejumlah indikator pengukuran kinerja kuantitatif untuk memonitor efektivitas
pelaksanaan manajemen IT Governance.
• 5 Optimised (dioptimalisasi), level tertinggi ini diberikan kepada organisasi yang telah
berhasil menerapkan prinsip-prinsip governance secara utuh dan mengacu best practice,
dimana secara utuh telah diterapkan prinsip-prinsip governance, seperti transparency,
accountability, responsibility, dan fairness.
Dengan adanya maturity level model, maka organisasi dapat mengetahui posisi
kematangannya saat ini, dan secara terus menerus serta berkesinambungan harus berusaha
untuk meningkatkan levelnya sampai tingkat tertinggi agar aspek governance terhadap
teknologi informasi dapat berjalan secara efektif. Untuk pengukuran tingkat maturity level
perprosesnya dapat dilihat di COBIT 4.1.
b. Key Goal Indicators (KGI)
KGI merupakan ukuran yang digunakan untuk menunjukan pencapaian tujuan dari kendali
yang diterapkan pada setiap proses TI. KGI dinyatakan dalam bentuk kriteria informasi :
1. Ketersediaan informasi yang dibutuhkan untuk mendukung kebutuhan bisnis (avaibility).
2. Integritas dan keamanan sistem (Integrity and confidentiality).
3. Efisiensi biaya dari proses dan operasi yang dilakukan (Cost efficiency).
4. Tingkat kehandalan, efektifitas proses dan ketaatan terhadap prosedur, hukum dan
regulasi (reliability, effectiveness and compliance).
c. Key Performance Indicators (KPI)
40
KPI merupakan ukuran yang digunakan untuk menunjukkan kinerja setiap proses TI. KPI
merupakan lead indikator, KPI diukur pada saat proses berjalan (before the fact). KGI fokus
pada hasil dan proses, sedangkan KPI fokus pada bagaimana proses tersebut dijalankan. KPI
dan KGI merupakan ukuran-ukuran yang digunakan untuk mengukur CSF. Berbeda dengan
KGI yang berorientasi pada kebutuhan bisnis, KPI berorientasi pada pengelolaan dan
penggunaan sumber daya TI. Sama halnya dengan KGI, KPI sering dinyatakan dalam bentuk
angka atau persen.
41
eksternal organisasi harus melakukan tinjauan triwulanan terbatas untuk menentukan apakah ada
modifikasi signifikan terhadap struktur kontrol internal atau perubahan kontrol internal atas
pelaporan keuangan.
Baik kontrol internal COSO dan CobiT menggunakan kerangka kerja tiga dimensi untuk
menggambarkan lingkungan kontrol internal mereka. Mereka mirip, tetapi dengan sedikit
perbedaan klasifikasi dan terminologi. Larangan 5.9 menunjukkan bagaimana peta kerja CobiT
untuk menyusun model COSO internal kontrol. Ini menunjukkan bahwa kita dapat menggunakan
tujuan utama CobiT, mulai dari Perencanaan dan Organisasi hingga Pemantauan dan Evaluasi,
dan menggunakan panduan tujuan kontrol untuk masing-masing untuk memahami dan
mengevaluasi kontrol internal melalui lima komponen kontrol internal COSO. Proses aktual,
kemudian melakukan pekerjaan kepatuhan Bagian 404 sangat mirip dengan yang diuraikan pada
penilaian Bagian 404. Apakah mempertimbangkan kontrol internal COSO secara umum atau
menggunakan CobiT, seperti auditor internal, bergerak melalui proses dari perencanaan untuk
melakukan penilaian risiko dan melaporkan, mendokumentasikan, dan mengevaluasi kontrol
internal.
Karena CobiT dalam audit, desain, dan proses sistem TI, materi dokumentasi dan panduan
ini sangat bergantung pada desain sistem dan praktik rekayasa perangkat lunak. Misalnya,
dokumentasi untuk setiap tujuan kontrol CobiT menjelaskan cara menilai kontrol tersebut dalam
hal Capability Maturity Model (CMM) yang direferensikan sebelumnya, suatu pendekatan untuk
melihat organisasi dan proses dalam jangka waktu relatif seperti apakah proses ad hoc,
didefinisikan dan didokumentasikan, atau bahkan lebih baik.
Pengendalian ini dapat diandalkan untuk memberikan kontrol yang baik untuk menilai
kontrol internal atas tujuan kontrol CobiT individu atau seluruh organisasi. Suatu penilaian
pengendalian internal, misalnya, menemukan tahap 0, lingkungan kontrol tidak ada. Ini
menyiratkan kurangnya proses kontrol yang dapat dikenali dan ketidakmampuan untuk
memenuhi persyaratan Bagian 404 di tingkat mana pun. Ini adalah situasi yang ekstrem, dan jika
auditor internal adalah bagian dari organisasi yang tampaknya memiliki atribut penilaian tahap 0,
Harus ada pemberitahuan jika kontrolnya lemah. Pada dasarnya, penilai kontrol internal harus
berharap untuk temukan setidaknya tahap 2 dan tahap 3. Di bawah tahap 3, kontrol dan kebijakan
serta prosedur terkait harus ada dan didokumentasikan secara memadai pada tingkat yang
memadai bagi manajemen untuk dapat menegaskan kecukupan kontrol ini.
42
Dengan SOx, semakin meningkatnya penekanan pada tata kelola TI, dan kekritisan TI
dalam sebagian besar pengendalian internal, CobiT telah melalui beberapa edisi hingga edisi 4.1
yang direferensikan sebelumnya. Asosiasi IT Governance yang disponsori oleh CobiT telah
melakukan pekerjaan yang luar biasa dengan menerbitkan publikasi yang memetakan kerangka
kerja CobiT ke standar lain dan kerangka kerja praktik. Sebagai contoh, ada studi yang sangat
rinci memetakan kerangka kerja CobiT untuk persyaratan audit SOx. Materi ulasan CobiT
Section 404 yang diterbitkan ini, dan juga dari versi CobiT sebelumnya, melakukan pekerjaan
yang sangat baik untuk mencocokkan tujuan kontrol TI dan CobiT dengan lima komponen COSO.
Berdasarkan pedoman CobiT yang diterbitkan. Misalnya, tujuan CobiT AI6 tentang Mengelola
Perubahan di bawah domain kontrol Acquire and Implement berdampak pada komponen COSO
dari Kegiatan dan Pemantauan Kontrol. Sasaran kontrol terperinci CobiT yang dipublikasikan
aktual akan mengikat ke masing-masing komponen COSO ini. Ada hubungan erat antara tujuan
dan komponen kontrol CobiT dan COSO ini.
Tujuan kontrol CobiT akan memberikan dukungan yang kuat untuk auditor internal atau
orang lain yang ingin menggunakan CobiT untuk melakukan peninjauan penilaian kontrol
internal SOx Bagian 404. Sementara konsep dapat digunakan di area kontrol internal,
penekanannya adalah pada aplikasi dan proses TI. Bagi organisasi, pemahaman dan penilaian
kontrol internal yang terkait dengan IT adalah bidang utama untuk mencapai kepatuhan SOx.
CobiT telah ada, banyak yang melihatnya hanya sebagai alat audit sistem informasi khusus dan
bukan bantuan yang lebih umum untuk pekerjaan audit internal lainnya. Meskipun penekanannya
pada TI, semua auditor internal harus mengeksplorasi dan mempertimbangkan menggunakan
kerangka kerja CobiT sebagai alat untuk membantu dengan persyaratan kepatuhan SOx saat ini.
2.4 Penelitian mengenai Penilaian Tata Kelola Teknologi Informasi pada Sistem
Logistik PT XYZ Berdasarkan COBIT (Ruslam et al., 2018)
2.4.1 Latar Belakang
PT XYZ merupakan salah satu perusahaan yang bergerak dibidang solusi jasa logistik. PT
XYZ mampu memberikan total solusi dari menyediakan hardware, software, network hingga
melakukan planning-developing-operating. Solusi yang diberikan oleh PT XYZ antara lain
pertukaran dokumen elektronis dan informasi, integrasi sistem logistik, menyediakan sistem
untuk kegiatan operasional pelaku logistik seperti pelabuhan, bandara, terminal, gudang,
43
transportasi serta menyediakan sistem informasi e-payment dan e-billing untuk jasa logistik.
Struktur bisnis ILCS adalah C2B2B2G, yaitu berhubungan dengan customer secara langsung,
korporasi, dan juga dengan pemerintah. Partner PT XYZ adalah para pelaku di bidang logistik
dan agensi pemerintah. PT XYZ mengintegrasikan sistem, sehingga seluruh kegiatan operasional
dalam bidang logistik dapat terhubung dan berjalan dengan lebih baik. PT XYZ hadir dengan 6
(enam) Produk Portofolio yang terdiri dari Logistics Community Solution, Logistics EBPP
(Electronic Bill Presentment and Payment), Port Wide Solution, Logistics Solution and
Automation, E-Trade, dan Logistics Support Service.
Dalam penyediaan layanan logistik, terdapat permasalahan-permasalahan yang berakar
pada kurangnya fungsi tata kelola Teknologi Informasi (TI). Permasalahan-permasalahan tersebut
antara lain pengelolaan dokumen logistik, keamanan informasi logistik, belum adanya tim
Quality Assurance yang independen, kontrol terhadap versi aplikasi yang digunakan. Selain itu,
belum tersedia system analist yang menguasai aplikasi/produk tertentu yang sifatnya Managed
Operation menjadi salah satu permasalahan yang perlu dipecahkan.
Penelitian ini membahas penilaian tata kelola Teknologi Informasi (TI) sesuai kerangka
kerja COBIT pada sistem logistik PT XYZ. Domain pada penelitian ini mencakup: Perencanaan
dan Pengorganisasian (PO), Pengadaan dan Implementasi (AI), Penyampaian Layanan dan
Dukungan (DS), dan Monitor dan Evaluasi (ME) (ITGI, 2007). Dengan adanya penelitian ini
diharapkan dapat memberikan rekomendasi perbaikan tata kelola teknologi informasi
berdasarkan COBIT 4.1, yang sesuai dengan kebutuhan bisnis PT XYZ.
44
tersebut menyebabkan penerapan COBIT 5 memerlukan perencanaan yang baik, tidak dapat
dilakukan serta-merta di PT XYZ yang sebelumnya telah menerapkan COBIT 4.1. Oleh karena
itu, dalam penelitian ini digunakan COBIT 4.1.
45
6. Perusahaan harus memperoleh dan mengelola keterampilan TI guna menanggapi strategi TI.
7. Perusahaan harus mengintegrasikan applikasi dan solusi teknologi kedalam proses bisnis.
8. Perusahaan harus memastikan transparansi dan pemahaman dari biaya, manfaat, strategi,
kebijakan dan tingkat layanan TI.
9. Perusahaan harus memastikan penggunaan dan performa yang layak dari solusi teknologi dan
aplikasi.
10. Perusahaan harus memperhitungkan dan melindungi semua aset TI.
11. Perusahaan harus Mengoptimalkan infrastruktur, sumber daya dan kemampuan TI.
12. Perusahaan harus mengurangi solusi dan pelayanan yang tidak baik.
13. Perusahaan harus memastikan informasi yang penting dan rahasia aman dari pihak yang tidak
seharusnya mengakses.
14. Perusahaan harus memastikan bahwa transaksi bisnis terotomatisasi dan perpindahan data
dapat dipercaya.
15. Perusahaan harus memastikanlayanan dan infrastruktur TI dapat tahan dan pulih dari
kegagalan yang disebabkan oleh kesalahan, serangan yang disengaja maupun bencana alam.
16. Perusahaan harus memastikan pengaruh terhadap bisnis minimal saat terjadi gangguan
layanan TI atau perubahan TI.
17. Perusahaan harus memastikan layanan tersedia sebagaimana dibutuhkan.
18. Perusahaan harus memastikan pennyelesaian proyek tepat waktu dan tepat anggaran, sesuai
dengan standar mutu.
19. Perusahaan harus mengelola integritas informasi dan pemrosesan infrastruktur
46
3. Meningkatkan orientasi dan layanan pelanggan.
4. Menawarkan produk dan layanan yang kompetitif.
5. Memastikan ketersediaan dan keberlangsungan layanan.
6. Menciptakan ketangkasan dalam memberi tanggapan terhadap perubahan kebutuhan.
7. Mencapai optimasi biaya dalam penyampaian layanan.
8. Memperoleh informasi yang dapat diandalkan dan berguna untuk pengambilan keputusan
strategis.
9. Meningkatkan dan menjaga kegunaan proses bisnis.
10. Memperkecil biaya proses.
11. Menghasilkan kepatuhan terhadap hukum eksternal, peraturan dan kontrak.
12. Menghasilkan kepatuhan terhadap kebijakan internal.
13. Mengelola perubahan bisnis.
14. Meningkatkan dan mengelola produktifitas operasional dan pegawai.
15. Mengelola inovasi produk dan bisnis.
16. Memperoleh dan memelihara orang-orang yang terampil dan yang memiliki motivasi.
2.4.6 Kesimpulan
Berdasarkan hasil analisis data dengan framework COBIT 4.1, dapat disimpulkan bahwa
rekomendasi yang diberikan mencakup rekomendasi perbaikan akar masalah, rekomendasi
perbaikan tingkat maturitas, rekomendasi IT Goals, dan rekomendasi Business Goals; yang
berasal dari 4 (empat) domain dalam COBIT 4.1, yaitu: Perencanaan dan Pengorganisasian (PO),
Pengadaan dan Implementasi (AI), Penyampaian Layanan dan Dukungan (DS), dan Monitor dan
Evaluasi (ME).. Saran untuk PT XYZ adalah menyusun rencana pelaksanaan tindakan perbaikan
sesuai dengan kemampuan organisasi.
47
DAFTAR PUSTAKA
Moeller, Robert R. 2016. Brink’s Modern Internal Auditing: A Common Body of Knowledge,
Eighth Edition. Canada: John Wiley & Sons Inc.
48