MODUL PERKULIAHAN

Audit Teknologi
Informasi
Modul Standar untuk digunakan
dalam Perkuliahan di Universitas
Widyatama
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Teknik Sistem Informasi 11740005 Iwan Rijayana, S.Kom, M.M, M.Kom

07
Abstract Kompetensi
Mahasiswa mempelajari Frame Mahasiswa mempunyai
Work COBIT 2019 pengetahuan mengenai Framework
COBIT 2019.
 Modul 7
Frame Work COBIT 2019

Kesuksesan dan keberlangsungan bisnis saat ini banyak bertumpu pada kecepatan, kelincahan,
inovasi, dan bagaimana menciptakan pengalaman pelanggan yang terbaik. Oleh karena itu
pengelolaan I&T organisasi juga dituntut untuk bisa cepat, lincah serta mendukung inovasi dan
penyajian pengalaman pelanggan yang terbaik tersebut. Bisnis tidak dapat begitu saja dipaksakan
menggunakan aturan dan mekanisme pengelolaan I&T yang kaku dan kompleks yang akan justru
menyulitkan organisasi untuk tumbuh atau bahkan bertahan hidup. Hal inilah yang menjadi salah
satu pendorong utama dirilisnya COBIT 2019 ini.

Prinsip-Prinsip

COBIT 5 maupun COBIT 2019 sama-sama berbasis prinsip. Ini salah satu perubahan mendasar
yang dilakukan dalam lompatan rilis COBIT 4.1 ke COBIT 5. Sebagaimana kita ketahui bahwa
COBIT 5 berbasis pada lima prinsip, yaitu: (1) memenuhi kebutuhan para pemangku kepentingan
(stakeholder); (2) mencakup organisasi secara menyeluruh (end-to-end); (3) menerapkan satu
framework tunggal yang terpadu; (4) memungkinkan pendekatan yang holistik; (5) memisahkan tata
kelola dengan manajemen. Lalu bagaimana dengan COBIT 2019?
Walau sama-sama berbasis prinsip, tapi COBIT 2019 membuat 2 kelompok prinsip, yaitu prinsip
untuk:
(1) sistem tata kelola (governance system), dan
(2) prinsip untuk kerangka kerja tata kelola (governance framework).
Prinsip-prinsip yang digunakan pada COBIT 5 sebagaimana saya kutip diatas itu dalam COBIT 2019
kesemuanya masuk kedalam kelompok prinsip-prinsip untuk sistem tata kelola (governance
system). Selain kelima prinsip yang sama dengan yang digunakan COBIT 5 diatas, pada COBIT
2019 digunakan 2 prinsip tambahan yaitu: (1) penerapan sistem tata kelola yang dinamis; dan (2)
dapat disesuaikan dengan kebutuhan organisasi.
Kedua prinsip tambahan di COBIT 2019 ini menegaskan perbedaan prinsipil antara COBIT 5 dan
COBIT 2019 yang lebih dinamis dan fleksibel dengan perkembangan dan kebutuhan organisasi.
Kemudian kelompok prinsip yang kedua adalah prinsip untuk kerangka kerja tata kelolanya, dimana
pada COBIT 5 hal ini tidak disebutkan. Prinsip untuk kerangka kerja tata kelola COBIT 2019 ini ada
3, yaitu:

1. Berbasis model konseptual

2. Bersifat terbuka dan fleksibel
3. Selaras dengan standard-standard besar lainnya

Prinsip-prinsip yang menjadi basis kerangka kerja COBIT 2019 diatas semakin jelas menunjukkan
bahwa rilis terbaru dari COBIT ini tidak ingin menjadi kerangka kerja kaku dan statis yang
“memaksa” organisasi untuk mengikutinya apa adanya. Semangat keterbukaan, fleksibilitas dan
adaptabilitas jelas dinyatakan secara eksplisit dalam prinsip-prinsip di atas. Selain itu prinsip
keselarasan dengan standard-standard lain menunjukkan semangat untuk mempertahankan agar
COBIT tetap dapat dijadikan sebagai payung besar yang menaungi penerapan berbagai standard
teknis lain yang lebih spesifik.
Sistem dan Komponen Tata Kelola

Pada COBIT 5 kita mengenal ada 7 enabler yang perlu diperhatikan agar dapat mencapai obyektif
tata kelola yaitu penciptaan nilai (value creation) dari TI. Pada COBIT 2019 ini, ketujuh enabler
tersebut disebut sebagai komponen tata kelola, yaitu:

1. Proses
2. Struktur Organisasi
3. Prinsip-prinsip, kebijakan dan kerangka kerja
4. Informasi
5. Kultur, etik, dan kebiasaan
6. SDM, keterampilan dan kompetensi
7. Layanan, infrastruktur dan aplikasi.
Komponen sistem tata kelola dari COBIT 2019 (sumber: ISACA)
Adapun untuk supaya I&T dapat berkontribusi mendukung pencapaian tujuan organisasi, maka
sejumlah obyektif tata kelola dan manajemen mesti dapat dicapai terlebih dahulu. COBIT 2019
mendefinisikan sebuah COBIT Core Model yang terdiri atas obyektif tata kelola dan manajemen
tersebut yang dapat dijadikan model acuan. Hal yang “menarik” disini adalah bahwa model acuan
untuk obyektif tata kelola dan manajemen yang didefinisikan pada COBIT 2019 itu sangat mirip
dengan model acuan proses (Process Reference Model) dari COBIT 5, dengan beberapa
penambahan dan modifikasi. Silahkan amati pada gambar COBIT 2019 Core Model di bawah ini:

COBIT 2019 Core Model, Governance & Management Objectives (sumber: ISACA)
Beberapa catatan penting yang perlu digaris bawahi dari COBIT 2019 Core Model diatas antara lain
adalah:

1. Baik COBIT 2019 Core Model maupun COBIT 5 Process Reference Model menggunakan
pengelompokan yang sama, yaitu terdiri atas 1 domain tata kelola dan 4 domain
manajemen.
2. Ada perbedaan pembahasaan pada setiap item pada model COBIT 2019 dibandingkan
COBIT 5. Kalau pada COBIT 5 masing-masing item adalah nama proses. Sedangkan pada
COBIT 2019, item-item tersebut dinamai dengan obyektif yang diharapkan jika proses
tersebut dilakukan dengan baik. Misalnya pada COBIT 5, proses EDM01 itu dinamakan
dengan “Ensure Governance Framework Setting and Maintenance”. Sementara pada COBIT
2019, item EDM01 itu adalah “Ensured Governance Framework Setting and Maintenance”.
3. Setiap item obyektif tata kelola dan manajemen pada COBIT 2019 Core Model
berkorespondensi dengan 1 proses (dengan nama yang mirip seperti contoh di atas). Hanya
saja pada COBIT 2019 ini setiap obyektif tata kelola dan manajemen itu tidak hanya terkait
dengan proses, tapi dapat berkaitan dengan beberapa komponen tata kelola yang lain (yang
ada 7 komponen, termasuk diantaranya proses).
4. Jika membandingkan COBIT 2019 core model dengan COBIT 5 process reference model,
terdapat beberapa tambahan obyektif baru yang pada COBIT belum ada atau tergabung di
proses lain. Sehingga secara total pada COBIT 2019 ada 40 obyektif tata kelola dan
manajemen, sedangkan pada COBIT 5 hanya ada 37 proses. Beberapa obyektif baru pada
COBIT 2019 yang belum ada prosesnya pada COBIT 5 adalah sebagai berikut:
1. APO14- Managed Data.
2. BAI01- Managed Programs (pada COBIT 5 digabung dengan manage projects)
3. BAI11- Managed Projects (pada COBIT 5 digabung dengan manage programs)
4. MEA04- Managed Assurance

Komponen-komponen sistem tata kelola COBIT 2019 ini ada 2 (dua) macam. Ada yang bersifat
generik, seperti yang dijelaskan pada COBIT core model serta penerapan prinsip-prinsip. Walaupun
ia dapat diterapkan pada kondisi apapun, namun pada umumnya membutuhkan kustomisasi juga
ketika akan diterapkan. Disamping yang bersifat generik, ada juga komponen sistem tata kelola
yang bersifat varian. Komponen ini walaupun berbasis pada komponen yang generik tapi ia sudah
dimodifikasi sedemikian rupa untuk tujuan atau konteks tertentu dalam sebuah area fokus tertentu.
Misalnya untuk fokus keamanan informasi, DevOps, atau pemenuhan regulasi tertentu.
Itulah sebagian dari perbedaan (dan persamaan) antara COBIT 2019 dengan COBIT 5. Pada intinya
COBIT 2019 ini dirilis untuk merespon tuntutan dunia yang begitu cepat berubah dan yang
karenanya sulit untuk menggunakan sistem dan tata cara yang lama dalam pengelolaan I&T nya.

Pada COBIT 2019, terminologi IT (Information Technology) diubah menjadi I&T (Information &
Technology). Walaupun hal ini sebenarnya seperti kembali ke “khittah” COBIT yang merupakan
sejak awal merupakan singkatan dari Control OBjective for Information and related Technology).
latar belakang kemunculan COBIT 2019, menggantikan rilis pendahulunya COBIT 5 yang sudah
berumur hampir 7 tahun. Bahwa COBIT 2019 ini terbit sebagai tuntutan zaman yang mendorong
setiap organisasi untuk dapat bergerak cepat, dinamis, lincah dan penuh inovasi serta lebih dekat
dengan pelanggannya. Sehingga Bisnis pun sulit untuk dipaksa untuk menggunakan aturan
I&T( Informasi dan Teknologi) yang kaku dan tidak fleksibel sesuai dengan kebutuhan organisasi.
Oleh karena itu prinsip penting yang mendasari COBIT 2019 ini dibandingkan pendahulunya adalah
dimasukkannya prinsip seperti kedinamisan, customizable, terbuka, sampai dengan keselarasannya
dengan standard-standard besar lainnya. Hal baru yang ditawarkan dalam COBIT 2019 ini yaitu
yang terkait dengan sistem dan komponen tata kelola TI. Pada tulisan kali ini akan dilanjutkan untuk
hal-hal baru lainnya yang ditawarkan oleh COBIT 2019 dibanding rilis sebelumnya.

Focus Area

COBIT 2019 memperkenalkan terminologi baru yaitu Focus Area. Apakah itu? Focus area ini
sebenarnya adalah sebuah topik, domain atau permasalahan tata kelola tertentu yang dapat
disolusikan dengan sekumpulan “obyektif tata kelola dan manajemen”
Jadi kita bisa mendefinisikan sebuah fokus area tertentu sesuai kebutuhan, dan kemudian memilih
obyektif-obyektif tata kelola dan manajemen berikut komponen-komponen yang relevan saja.
Contoh focus area ini misalnya adalah usaha kecil menengah (UKM), transformasi digital,
keamanan siber, Cloud Komputasi, privasi, DevOps, dan sebagainya.
Sebuah focus area dapat berisi kombinasi antara komponen-komponen yang bersifat generik
maupun varian.
Jumlah focus area yang dapat dibuat bisa tak terbatas. Bergantung pada kebutuhan. Hal inilah yang
menyebabkan COBIT 2019 disebut open-ended. Focus area baru dapat terus ditambahkan
sepanjang terdapat kebutuhan untuk itu atau sepanjang para pakar atau praktisi bersedia
berkontribusi pada model COBIT yang open-ended ini.

Faktor Desain COBIT 2019

Hal menarik lain dari rilis COBIT terbaru ini adalah diperkenalkannya apa yang disebut dengan
faktor desain (design factors). Disini COBIT 2019 menjelaskan faktor-faktor penting yang perlu
diperhatikan dalam merancang sebuah sistem tata kelola organisasi dan memposisikannya untuk
suksesnya pemanfaatan informasi dan teknologi.
COBIT 2019 mendefinisikan beberapa faktor desain seperti dalam diagram berikut:
Faktor-faktor desain dalam COBIT 2019
Pada gambar diatas selain disebutkan 11 faktor desain secara spesifik, juga dimunculkan ada
“Future Factors” yang artinya di kemudian hari bisa saja ada tambahan-tambahan faktor lain yang
perlu dipertimbangkan selain dari faktor-faktor yang sudah disebutkan saat ini.
Apa maksud dari masing-masing faktor desain diatas? Berikut adalah penjelasan singkat dari
masing-masing faktor tersebut di atas:

1. Strategi Organisasi (Enterprise Strategy)

Setiap organisasi atau perusahaan tentu memiliki strategi yang berbeda-beda. Ada yang
mengutamakan pertumbuhan, ada yang mengutamakan inovasi/diferensiasi, ada yang
mengutamakan cost leadership, ada yang mengutamakan stabilitas layanan, dan sebagainya.
Tentunya pilihan-pilihan strategi tersebut akan menjadi pertimbangan penting dalam mendesain
sistem tata kelola yang tepat untuk masing-masing organisasi/perusahaan tersebut.

2. Tujuan/Sasaran Organisasi (Enterprise Goals)

Strategi bisnis yang ditetapkan oleh organisasi/perusahaan yang dijelaskan diatas tentunya akan
diturunkan lebih lanjut menjadi tujuan dan sasaran organisasi/perusahaan. Dalam COBIT,
tujuan/sasaran organisasi tersebut distrukturkan menggunakan kerangka Balanced Scorecard yang
terdiri atas 4 perspektif: finansial, pelanggan, proses internal, dan pembelajaran dan pertumbuhan).

3. Profil Risiko (Risk Profile)

Identifikasi jenis-jenis risiko terkait informasi dan teknologi yang mungkin dihadapi oleh organisasi
dan mengindikasikan area-area risiko yang melampaui risk appetite organisasi.
Faktor Desain Profil Risiko (Kategori Risiko TI)

4. Permasalahan-permasalahan terkait Informasi dan Teknologi (I&T-related Issues)

Dalam melakukan asesmen risiko terhadap informasi dan teknologi, perlu pula dilakukan analisis
terkait isu terkait Informasi dan Teknologi mana yang dihadapi oleh setiap risiko tersebut.

5. Lanskap Ancaman (Threat Landscape)

Tipikal ancaman yang dihadapi oleh organisasi juga menjadi salah satu faktor desain sistem tata
kelola yang tepat.

6. Kebutuhan kepatuhan (Compliance Requirements)

Kebutuhan atau tuntutan kepatuhan yang harus dipenuhi oleh organisasi merupakan salah satu
faktor desain yang perlu diperhatikan.

7. Peran dari TI (Role of IT)

Peran TI bagi organisasi merupakan salah satu faktor desain penting yang harus dipertimbangkan
dalam desain sistem tata kelola. Apakah TI di perusahaan tersebut masih diposisikan sebagai
support, misalnya, sehingga dianggap tidak begitu krusial bagi keberjalanan dan kelangsungan
bisnis? Atau TI sudah dipandang sebagai strategis dimana TI bersifat kritikal bagi bisnis organisasi
baik untuk saat ini atau masa depan.

8. Model pengalihan daya TI (Sourcing Model for IT)

Model pengalihan daya TI yang diterapkan di organisasi juga akan mempengaruhi desain sistem
tata kelola yang tepat untuk diterapkan di organisasi tersebut. Hal ini karena setiap organisasi dapat
menggunakan layanan TI dengan beberapa model seperti outsourcing, cloud, insourced, atau
hybrid.

9. Metode implementasi TI (IT Implementation Methods)

Metode implementasi TI yang diterapkan di organisasi juga perlu dipertimbangkan dalam desain
sistem tata kelola TI. Terdapat beberapa tipe metode implementasi TI seperti Agile, DevOps,
Traditional, dan Hybrid.

10. Strategi adopsi teknologi (Technology Adoption Strategy)

Strategi adopsi teknologi yang umumnya dianut oleh organisasi/perusahaan juga perlu
dipertimbangkan dalam mendesain sistem tata kelola yang tepat. Apakah misalnya perusahaan
tersebut umumnya selalu ingin mengadopsi teknologi baru sesegera mungkin (first mover), atau ia
menunggu yang lain menerapkan teknologi tersebut baru dia ikuti (follower), atau merupakan tipe
perusahaan yang sangat lambat dalam pengadopsian teknologi baru.

11. Ukuran Organisasi (Enterprise Size)

Faktor yang juga sangat penting dalam desain sistem tata kelola ini adalah besar kecilnya
organisasi/perusahaan tersebut. Ukuran besar kecil organisasi yang umum digunakan antara lain
adalah menggunakan ukuran jumlah karyawan tetap yang dipekerjakannya.