PERTEMUAN KE 14

COBIT 4.1
( Control Objectives for Information and related Technology )

DI SUSUN

TIM DOSEN TKTI :

KRAUGUSTEELIANA, M.KOM, MM
ANITA MULIAWATI, S.KOM, MTI

FAKULTAS ILMU KOMPUTER

UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
JAKARTA – TA GENAP 2019 / 2020

i
 BAB XIV
COBIT 4.1

COBIT (Control Objectives for Information and Related Technology) adalah

kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan perangkat
yang mendukung dan memungkinkan para manager untuk menjembatani jarak (gap)
yang ada antara kebutuhan yang dikendalikan(control requirement), masalah teknis
(technical issues) dan resiko bisnis(bussiness risk).
Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan
bagian dari ISACA (Information Systems Audit and Control Association) pada tahun
1996. hingga saat artikel ini dimuat setidaknya sudah ada 5 versi COBIT yang sudah
diterbitkan, versi pertama diterbitkan pada tahun 1996, versi kedua tahun 1998, versi
3.0 di tahun 2000, Cobit 4.0 pada tahun 2005, CObit 4.1 tahun 2007 dan yang
terakhir ini adalah Cobit versi 5 yang di rilis baru-baru saja.
COBIT mempermudah perkembangan peraturan yang jelas (clear
policydevelopment ) dan praktik baik (good practice) untuk mengendalikan IT
dalamorganisasi. COBIT menekankan keputusan terhadap peraturan,
membantuorganisasi untuk meningkatkan nilai yang ingin dicapai dengan
penggunaanIT, memungkinkan untuk menyelaraskan dan menyederhanakan
penerapandari kerangka COBIT.

14.1 Definisi COBIT

COBIT (Control Objectives for Information and related Technology) adalah
suatu panduan standar praktek manajemen teknologi informasi dan sekumpulan
dokumentasi best practices untuk tata kelola TI yang dapat membantu auditor,
manajemen, dan pengguna untuk menjembatani pemisah (gap) antara risiko bisnis,
kebutuhan pengendalian, dan permasalahan-permasalahan teknis.
COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik
digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan
nilai serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi
penerapan IT.
COBIT berorientasi proses, dimana secara praktis COBIT dijadikan suatu
standar panduan untuk membantu mengelola suatu organisasi mencapai tujuannya
dengan memanfaatkan IT. COBIT memberikan panduan kerangka kerja yang bisa
mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat
membantu memudahkan pengambilan keputusan di level top dalam organisasi.
Menurut Campbell, COBIT merupakan suatu cara untuk menerapkan tata kelola
TI. COBIT berupa kerangka kerja yang harus digunakan oleh suatu organisasi
bersamaan dengan sumber daya lainnya untuk membentuk suatu standar yang umum
berupa panduan pada lingkungan yang lebih spesifik. Secara terstruktur, COBIT terdiri
dari seperangkat control objectives untuk bidang Teknologi Informasi, dirancang untuk
memudahkan tahapan-tahapan audit bagi auditor.
COBIT digunakan secara umum oleh mereka yang memiliki tanggung jawab
utama dalam alur proses organisasi, mereka yang organisasinya sangat bergantung
pada kualitas, kehandalan dan penguasaan teknologi informasi.
Informasi adalah sumber daya kunci bagi semua perusahaan. Diciptakan,
digunakan, disimpan, ditampilkan, dan dihancurkan dengan menggunakan teknologi
sebagai pemeran kuncinya. Teknologi menjadi bagian dari seluruh aspek bisnis dan
individu.

0
 Manfaatnya bagi perusahaan memudahkan pemeliharaan kualitas informasi
untuk mendukung keputusan bisnis. Menghasilkan nilai bisnis dari investasi yang
digerakkan TI. Pencapaian sasaran strategis dan mendapatkan manfaat-manfaat
bisnis penggunaan TI yang efektif dan inovatif. Pencapaian keunggulan operasional
melalui teknologi aplikasi yang dapat diandalkan dan efisien. Memelihara risiko-risiko
TI untuk mencapai tingkat yang dapat diterima. Mampu mengoptimalkan biaya
layanan dan teknologi TI.
Nilai bagi stakeholder didapatkan melalui tatakelola dan manajemen aset TI
yang baik. Dewan komisaris, pimpinan eksekutif dan manajemen harus menganggap
dan memperlakukan TI seperti bagian penting lainnya dari bisnis. Hukum eksternal,
regulasi, dan peningkatan kebutuhan pemenuhan kontrak berhubungan dengan
penggunaan informasi dan teknologi oleh perusahaan. Jika tidak terpenuhi, maka hal
ini dapat mengancam nilai stakeholder. Jadi semuanya harus legal dan sesuai dengan
kontrak. Cobit 5 menyediakan  sebuah framework yang komprehensif yang membantu
perusahaan untuk mencapai sasarannya dan menyampaikan nilai melalui tatakelola
dan manajemen TI perusahaan.
Control Objectives for Information and related Technology (COBIT) berguna
bagi IT users dalam memperoleh keyakinan atas kehandalan sistem aplikasi yang
dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan saat
menyusun strategic IT plan, menentukan information architecture, dan keputusan atas
procurement (pengadaan/pembelian) inventaris organisasi.

14.2 Sejarah COBIT

COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang
menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan
pada tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada
manajemen, COBIT versi 4 pada bulan Desember 2005 dan versi 4.1 pada bulan Mei
2007 lebih mengarah pada tata kelola TI, dan terakhir COBIT versi 5 pada bulan Juni
2012 yang menekankan tata kelola TI pada perusahaan

Gambar 2.1. Sejarah Perkembangan COBIT

1
14.3 Tujuan COBIT
Tujuan dari COBIT yaitu menyediakan model dasar yang memungkinkan
pengembangan dengan aturan yang jelas dan praktek yang baik dalam mengontrol
informasi dalam suatu organisasi/perusahaan dalam mencapai tujuannya.

COBIT dapat digunakan sebagai tools yang digunakan untuk mengefektifkan

implementasi IT Governance, yakni sebagai management guideline dengan
menerapkan seluruh domain yang terdapat dalam COBIT, yakni planning and
organization (PO), acquisition and implementation (AI), delivery and support (DS) dan
monitoring and evaluate (ME).

14.4 Fungsi COBIT

COBIT memiliki fungsi untuk:
o Meningkatkan pendekatan/program audit
o Mendukung audit kerja dengan arahan audit secara rinci
o Memberikan petunjuk untuk IT governance
o Sebagai penilaian benchmark untuk kendali IS/IT
o Meningkatkan control IS/IT
o Sebagai standarisasi pendekatan/program audit

14.5 Manfaat COBIT

Manfaat dalam penerapan COBIT ini antara lain :
1. Mengelola Informasi dengan kualitas yang tinggi untuk mendukung keputusan
bisnis.
2. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara efektif
dan inovatif.
3. Mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi yang
reliable dan efisien.
4. Mengelola resiko terkait TI pada tingkatan yang dapat diterima.
5. Mengoptimalkan biaya dari layanan dan teknologi TI.
6. Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak, dan kebijakan.

14.6 Kerangka Kerja COBIT

Kerangka kerja COBIT terdiri dari tujuan pengendalian tingkat tinggi dan
struktur klasifikasi secara keseluruhan, yang pada dasarnya terdiri tiga tingkat usaha
pengaturan TI yang menyangkut manajemen sumber daya TI. Yaitu dari bawah,
kegiatan tugas (Activities and Tasks) merupakan kegiatan yang dilakukan secara
terpisah yang diperlukan untuk mencapai hasil yang dapat diukur. Dan selanjutnya
kumpulan Activity dan Tasks dikelompokkan kedalam proses TI yang memiliki
permasalahan pengelolaan TI yang sama akan dikelompokkan kedalam domain.
Maka konsep kerangka kerja dapat dilihat dari tiga sudut pandang, meliputi :
Information Criteria, IT Resources, IT Processes.

2
 Gambar 2.2. Cube COBIT (ITGI : 2007)

14.7 Cangkupan Bidang/Domain COBIT 4.1

Dalam memberikan informasi kepada dunia usaha sesuai dengan bisnis dan
kebutuhan tata kelola teknologi informasi, model proses COBIT terdapat 4 (empat)
domain yang di dalamnya terdapat 34 proses dan 318 control objectives, serta 1547
control practitices. Sehingga domain tersebut dapat diidentifikasikan yang terdiri dari
34 proses, yaitu (ITGI, 2007) :

14.7.1 Domain 1: Planning and Organize (PO) – Perencanaan dan Organisasi

Domain ini mencakup strategi dan taktik yang menyangkut identifikasi
tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian
tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan
infrastruktur teknologi yang baik pula. Domain ini menitikberatkan pada proses
perencanaan dan penyelarasan strategi TI dengan strategi organisasi. Domain
PO terdiri dari 10 control objectives, meliputi :
 PO1 : Define a strategic IT plan (menentukan perencanaan strategi TI)
 PO2 : Define the information architecture (Menentukan Arsitektur Informasi)
 PO3 : Determine technological direction (Menentukan Arahan Teknologi)
 PO4 : Define the IT processes, organization and relationships (Menentukan
proses-proses TI, Organisasi, dan Relasinya)
 PO5 : Manage the IT investment (Mengelola Investasi TI)
 PO6 : Communicate management aims and direction (Mengkomunikasikan
Tujuan dan Arah Manajemen)
 PO7 : Manage IT human resources (Mengelola SDM TI)
 PO8 : Manage quality human resource (Mengelola Mutu SDM)
 PO9 : Asses and manage IT risks (Menjamin dan Mengelola Risiko-risiko TI)
 PO10 : Manage projects (Mengelola Proyek)

14.7.2 Domain 2: Acquisition and Implement (AI) – Akuisisi dan Implementasi

Domain ini menitikberatkan pada proses pemilihan, pengadaan dan penerapan
TI yang digunakan. Pelaksanaan strategi yang telah ditetapkan, harus disertai
solusi-solusi TI yang sesuai solusi TI tersebut diadakan, diimplementasikan dan
diintegrasikan ke dalam proses bisnis organisasi. Dimana domain AI terdiri dari 7
control objectives, meliputi :
3
  AI1 : Identify automated solutions (Mengidentifikasi otomasi solusi)
 AI2 : Acquire and maintain application software (Memperoleh dan
memelihara aplikasi perangkat lunak)
 AI3 : Acquire and maintain technology infrastructure (Memperoleh dan
memelihara teknologi infrastruktur)
 AI4 : Enable operation and use (Mengaktifkan dan menggunakan operasi)
 AI5 : Procure IT resources (Mendapatkan Sumber Daya TI)
 AI6 : Manage changes (Mengatur Perubahan)
 AI7 : Install and accredit solutions and changes (Memasang dan
mengakreditasi solusi dan perubahan)

14.7.3 Domain 3: Delivery and Support (DS) – Penyampaian dan Dukungan

Domain ini menitikberatkan pada proses pelayanan TI dan dukungan
teknisnya yang meliputi hal keamanan sistem, kesinambungan layanan,
pelatihan dan pendidikan untuk pengguna, dan pengelolaan data yang sedang
berjalan. Dimana domain DS terdiri dari 13 control objectives, meliputi :
 DS1 : Define and manage service levels (Menentukan dan mengelola
tingkatan layanan)
 DS2 : Manage third-party services (Mengelola layanan pihak ketiga)
 DS3 : Manage performance and capacity (Mengelola kinerja dan
kemampuan)
 DS4 : Ensure continuous service (Memastikan keberlanjutan layanan)
 DS5 : Ensure systems security (memastikan keamanan sistem)
 DS6 : Identify and allocate costs (Mengidentifikasi dan mengalokasikan
biaya)
 DS7 : Educate and train users (Memberikan Diklat kepada para pengguna)
 DS8 : Manage service desk and incidents (Mengelola layanan standar dan
khusus)
 DS9 : Manage the configuration (Mengelola Konfigurasi)
 DS10 : Manage problems (Mengelola permasalahan)
 DS11 : Manage data (Mengelola Data)
 DS12 : Manage the physical environment (Mengelola lingkungan fisik)
 DS13 : Manage operations (Mengelola operasi-operasi)

14.7.4 Domain 4: Monitoring and Evaluation (ME) – Pemantauan dan Evaluasi

Domain ini menitikberatkan pada proses pengawasan pengelolaan TI
pada organisasi seluruh kendali-kendali yang diterapkan setiap proses TI harus
diawasi dan dinilai kelayakannya secara berkala. Domain ini fokus pada masalah
kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal dan
eksternal. Dimana domain ME terdiri dari 4 control objectives, meliputi :
 ME1 : Monitor and evaluate IT performance (Memantau dan mengevaluasi
kinerja TI)
 ME2 : Monitor and evaluate internal control (Memantau dan mengevaluasi
kendali internal)
 ME3 : Ensure regulatory compliance (Memastikan kepatuhan/kesesuaian
terhadap aturan)
 ME4 : Provide IT Governance (Menyediakan tata kelola TI)

Keempat domain tersebut kemudian dijabarkan menjadi 34 faktor resiko yang

harus dievaluasi jika ingin diperoleh suatu kesimpulan mengenai seberapa besar

4
 kepedulian manajemen terhadap teknologi informasi, serta bagaimana teknologi
informasi dapat memenuhi kebutuhan manajemen akan informasi.

Secara keseluruhan, 34 proses di ataslah yang digunakan sebagai panduan

dalam menangani masalah tata kelola IT atau pembuatan IT strategic plan, meskipun
dalam prakteknya tidak mesti menggunakan 34 proses tersebut karena proses-proses
tersebut menyesuaikan dengan kondisi organisasi.

Gambar 2.3. Domain COBIT

14.8 Kriteria Informasi Berdasarkan COBIT

Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu,
adapun 7 kriteria informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:
1. Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan
dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.
2. Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya
(yang paling produktif dan ekonomis) yang optimal.
3. Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting
dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.
4. Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan
data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.
5. Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika
diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang.
Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.
6. Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan
ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.
7. Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen
untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk
membuat laporan keuangan.

Dalam menyediakan informasi yang dibutuhkan perusahaan untuk mencapai

tujuan organisasi, COBIT memiliki karakteristik :
• Business-focused
5
 • Process-oriented
• Controls-based
• Measurement-driven

Fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT

adalah pada:
 Applications (Aplikasi)
 Information (Informasi)
 Infrastructure (Infrastruktur)
 People (Manusia/Pengguna)

Secara manajerial target pengguna COBIT dan manfaatnya adalah :

 Direktur dan Eksekutif
Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi
searah dan sejalan dengan TI.
 Manajemen
- Untuk mengambil keputusan investasi TI.
- Untuk keseimbangan resiko dan kontrol investasi.
- Untuk benchmark lingkungan TI sekarang dan masa depan.
 Pengguna
Untuk memperoleh jaminan keamanan dan control produk dan jasa yang
dibutuhkan secara internal maupun eksternal.
 Auditors
- Untuk memperkuat opini untuk manajemen dalam control internal.
- Untuk memberikan saran pada control minimum yang diperlukan.

14.9 Skala Maturity Dari Framework COBIT 4.1

Maturity model adalah suatu metode untuk mengukur level pengembangan
manajemen proses, yang berarti adalah mengukur sejauh mana kapabilitas
manajemen tersebut. Seberapa bagusnya pengembangan atau kapabilitas
manajemen tergantung pada tercapainya tujuan-tujuan COBIT yang. Sebagai contoh
adalah ada beberapa proses dan sistem kritikal yang membutuhkan manajemen
keamanan yang lebih ketat dibanding proses dan sistem lain yang tidak begitu kritikal.
Di sisi lain, derajat dan kepuasan pengendalian yang dibutuhkan untuk diaplikasikan
pada suatu proses adalah didorong pada selera resiko Enterprise dan kebutuhan
kepatuhan yang diterapkan.
Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise,
tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan
kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi,
mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat
diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan
sumber daya TI.
Maturitymodel dapat digunakan untuk memetakan :
1. Status pengelolaan TI perusahaan pada saat itu.
2. Status standart industri dalam bidang TI saat ini (sebagai pembanding)
3. Status standart internasional dalam bidang TI saat ini (sebagai pembanding)
4. Strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi
pengelolaan TI perusahaan)

Tingkat kemampuan pengelolaan TI pada skala maturity dibagi menjadi 6 level :

1. Level 0 (Non-existent)

6
 Perusahaan tidak mengetahui sama sekali proses teknologi informasi di
perusahaannya.
2. Level 1 (Initial Level)
Pada level ini, organisasi pada umumnya tidak menyediakan lingkungan yang
stabil untuk mengembangkan suatu produk baru. Ketika suatu organisasi
kelihatannya mengalami kekurangan pengalaman manajemen, keuntungan dari
mengintegrasikan pengembangan produk tidak dapat ditentukan dengan
perencanaan yang tidak efektif, respon sistem. Proses pengembangan tidak dapat
diprediksi dan tidak stabil, karena proses secara teratur berubah atau dimodifikasi
selama pengerjaan berjalan beberapa form dari satu proyek ke proyek lain. Kinerja
tergantung pada kemampuan individual atau term dan variasi dengan keahlian yang
dimilikinya. 
3. Level 2 (Repeatable Level)
Pada level ini, kebijakan untuk mengatur pengembangan suatu proyek dan
prosedur dalam mengimplementasikan kebijakan tersebut ditetapkan. Tingkat
efektif suatu proses manajemen dalam mengembangankan proyek
adalah institutionalized, dengan memungkinkan organisasi untuk mengulangi
pengalaman yang berhasil dalam mengembangkan proyek sebelumnya, walaupun
terdapat proses tertentu yang tidak sama. Tingkat efektif suatu proses mempunyai
karakteristik seperti;practiced, dokumentasi, enforced, trained, measured, dan
dapat ditingkatkan. Product requirement dan dokumentasi perancangan selalu
dijaga agar dapat mencegah perubahan yang tidak diinginkan. 
4. Level 3 (Defined Level)
Pada level ini, proses standar dalam pengembangan suatu produk baru
didokumentasikan, proses ini didasari pada proses pengembangan produk yang
telah diintegrasikan. Proses-proses ini digunakan untuk membantu manejer, ketua
tim dan anggota tim pengembangan sehingga bekerja dengan lebih efektif. Suatu
proses yang telah didefenisikan dengan baik mempunyai karakteristik; readiness
criteria, inputs, standar dan prosedur dalam mengerjakan suatu proyek, mekanisme
verifikasi, output dan kriteria selesainya suatu proyek. Aturan dan tanggung jawab
yang didefinisikan jelas dan dimengerti. Karena proses perangkat lunak
didefinisikan dengan jelas, maka manajemen mempunyai pengatahuan yang baik
mengenai kemajuan proyek tersebut. Biaya, jadwal dan kebutuhan proyek dalam
pengawasan dan kualitas produk yang diawasi. 
5. Level 4 (Managed Level)
Pada level ini, organisasi membuat suatu matrik untuk suatu produk, proses
dan pengukuran hasil. Proyek mempunyai kontrol terhadap produk dan proses
untuk mengurangi variasi kinerja proses sehingga terdapat batasan yang dapat
diterima. Resiko perpindahan teknologi produk, prores manufaktur, dan pasar harus
diketahui dan diatur secara hati-hati. Proses pengembangan dapat ditentukan
karena proses diukur dan dijalankan dengan limit yang dapat diukur.
6. Level 5 (Optimized Level)
Pada level ini, seluruh organisasi difokuskan pada proses peningkatan
secara terus-menerus. Teknologi informasi sudah digunakan terintegrasi untuk
otomatisasi proses kerja dalam perusahaan, meningkatkan kualitas, efektifitas,
serta kemampuan beradaptasi perusahaan. Tim pengembangan produk
menganalisis kesalahan dandefects untuk menentukan penyebab kesalahannya.
Proses pengembangan melakukan evaluasi untuk mencegah kesalahan yang telah
diketahui dan defects agar tidak terjadi lagi.

14.10 Kelebihan dan kekurangan COBIT

14.10.1 Kelebihan COBIT
7
  Efektif dan Efisien
Berhubungan dengan informasi yang relevan dan berkenaan dengan
proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar,
konsisten, dan berguna.
 Rahasia
Proteksi terhadap informasi yang sensitif dari akses yang tidak
bertanggung jawab.
 Integritas
Berhubungan dengan ketepatan dan kelengkapan dari sebuah
informasi.
 Ketersediaan
Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh
proses bisnis sekarang dan masa depan.
 Kepatuhan Nyata
Berhubungan dengan penyediaan informasi yang sesuai untuk
manajemen.

14.10.2 Kekurangan COBIT:

 COBIT hanya memberikan panduan kendali dan tidak memberikan
panduan implementasi operasional. Dalam memenuhi kebutuhan COBIT
dalam lingkungan operasional, maka perlu diadopsi berbagai framework
tata kelola operasional seperti ITIL (The Information Technology
Infrastructure Library) yang merupakan sebuah kerangka pengelolaan
layanan TI yang terbagi ke dalam proses dan fungsi.
 Kerumitan penerapan. Apakah semua control objective dan detailed
control objective harus diadopsi, ataukah hanya sebagian saja?
Bagaimana memilihnya?
 COBIT hanya berfokus pada kendali dan pengukuran.
 COBIT kurang dalam memberikan panduan keamanan namun
memberikan wawasan umum atas proses TI pada organisasi daripada
ITIL misalnya.

14.11 Bagaimana COBIT membantu organisasi memenuhi dalam Regulatory &

Compliance ?
Banyak organisasi yang membutuhkan bantuan guna memenuhi persyaratan
kinerja dan kepatuhan atau compliance. Sebuah perusahaan konsultan di Uni Emirat Arab
bekerja dengan tiga organisasi yang berbeda untuk membantu setiap organisasi yang
bertemu dengan tata kelola, risiko dan kepatuhan persyaratan (GRC). Organisasi
termasuk sebuah organisasi pemerintah (5,000-plus karyawan dengan anggota staf TI
170-plus), lembaga keuangan besar (8,000-plus karyawan, beroperasi di 3 negara dengan
anggota staf TI 250-plus) dan konglomerat besar (25,000-plus karyawan, beroperasi di 10
negara dengan anggota staf TI 200-plus).
Konsultan ditentukan bahwa cara terbaik untuk membantu nasabah-nasabah
tersebut bergerak dari mana mereka adalah untuk memenuhi syarat-syarat GRC adalah
dengan menggunakan COBIT 5. Gambar 1 menunjukkan kebutuhan dari klien dan
mengapa COBIT 5 bertekad untuk menjadi kerangka terbaik untuk mempekerjakan.
Setiap organisasi memiliki prioritas yang perlu diperhatikan. Beberapa isu-isu lebih penting
yang umum untuk semua organisasi 3 adalah:
 Memenuhi persyaratan kepatuhan terhadap peraturan
 Melakukan end-to-end proses penilaian kemampuan untuk mengidentifikasi kekuatan,
kelemahan, dan area membutuhkan perbaikan
 Mengembangkan kerangka kerja manajemen risiko
8
  Paling penting, kebutuhan untuk membawa semua fungsi individu didalamnya menjadi
umum, terintegrasi model
Salah satu organisasi telah menggunakan COBIT 4.1 selama 3 tahun, dan
bermigrasi ke COBIT 5 juga bagian dari persyaratan. Yang mana COBIT 5 merupakan
sebagai proses pedoman  dan model penilaian kemampuan, lalu COBIT 4.1 dan Risk IT
yang digunakan untuk memenuhi kebutuhan klien.

14.11 Studi Kasus Pemanfaatan Cobit Sebagai Framework Audit Ti Di Pertamina

Teknologi informasi memiliki peranan penting bagi setiap organisasi baik
lembaga pemerintah maupun perusahaan yang memanfaatkan teknologi informasi
pada kegiatan bisnisnya, serta merupakan salah satu faktor dalam mencapai tujuan
organisasi. Peran TI akan optimal jika pengelolaan TI maksimal. Pengelolaan TI
yang maksimal akan dilaksanakan dengan baik dengan menilai keselarasan antara
penerapan TI dengan kebutuhan organisasi sendiri.
Semua kegiatan yang dilakukan pasti memiliki risiko, begitu juga dengan
pengelolaan TI. Pengelolaan TI yang baik pasti mengidentifikasikan segala bentuk
risiko dari penerapan TI dan penanganan dari risiko-risiko yang akan dihadapi. Untuk
itu organisasi memerlukan adanya suatu penerapan berupa Tata Kelola TI (IT
Governance) (Herawan, 2012).
Pemanfaatan dan pengelolaan Teknologi Informasi (TI) sekarang ini sudah
menjadi perhatian di semua bidang dikarenakan nilai aset yang tinggi yang
mempengaruhi secara langsung kegiatan dan proses bisnis. Kinerja TI terhadap
otomasi pada sebuah organisasi perlu selalu diawasi dan dievaluasi secara berkala
agar seluruh mekanisme manajemen TI berjalan sesuai dengan perencanaan,
tujuan, serta proses bisnis organisasi. Selain itu, kegiatan pengawasan dan evaluasi
tersebut juga diperlukan dalam upaya pengembangan yang berkelanjutan agar TI
bisa berkontribusi dengan maksimal di lingkungan kerja organisasi.
COBIT (Control Objectives for Information and Related Technology) adalah
standar internasional untuk tata kelola TIyang dikembangkan oleh ISACA
(Information System and Control Association) dan ITGI (IT Governance Institute)
yang bisa dijadikan model pengelolaan TI mulai dari tahap perencanaan hingga
evaluasi. (Wibowo, 2008).

2.18.1 Contoh penerapan COBIT di PT Pertamina

Sejalan dengan perkembangan komponen elektronik yang sangat
cepat, perkembangan TI juga menjadi semakin cepat. Hal tersebut
mempunyai pengaruh dalam perkembangan industri perminyakan yang ada di
Indonesia. Pertamina yang merupakan Industri sekaligus perusahaaan
perminyakan yang terbesar di Indonesia sangat membutuhkan teknologi
Informasi demi kemajuan perusahaannnya. Oleh karena itu, untuk
mewujudkan hal itu, pertamina menerapkan metode COBIT dalam
mengembangkan TI-nya.
Untuk mengukur seberapa jauh keselarasan antara proses bisnis,
aplikasi, dan strategi bisnis perusahaan, maka perlu dilakukan audit sistem
informasi dengan standar COBIT 4.1. Standar COBIT dipilih karena dapat
memberikan gambaran paling detail mengenai strategi dan pengaturan proses
TI yang mendukung strategi bisnis.

Berikut ini domain PO dan ME dalam audit di PT Pertamina :

PO1 : Strategic IT Plan and Direction
Pra-implementasi
9
1. Pencanangan visi dan misi di bidang teknologi informasi.
2. Penyusunan rencana strategis di bidang teknologi informasi yang sejalan
(align) dengan strategi bisnis Perusahaan.
3. Penyusunan rancangan dan desain teknis.
4. Penjabaran rancangan dan desain teknis teknologi informasi ke dalam
konstruksi sistem secara fisik dan fungsional.
Implementasi
1. Perencanaan yang matang.
2. Pelatihan dan pengembangan SDM.
3. Pembakuan/standardisasi mutu layanan.
4. Evaluasi dan pengendalian sistem.
5. Penerapan sistem penanganan darurat (disaster recovery planning atau
contingency planning).
Tahap Pengembangan
1. Penyusunan master plan pembangunan dan pengembangan teknologi
informasi.
2. Penerapan Executive Information System dan/atau Decision Support
System.
3. Penggunaan satu Enterprise Resources Planning (ERP) sebagai back
office system, dan aplikasi ekstensi lainnya.
Tahap Pengendalian
1. Mempunyai prosedur dan indikator yang tepat untuk mengukur efektivitas
pengelolaan TI.
2. Mempunyai prosedur baku dalam menangani permasalahan teknologi
informasi yang terjadi.
3. Melakukan pemantauan secara berkala.
4. Membuat laporan secara berkala kepada Direksi mengenai kinerja
teknologi informasi.
5. Bersama-sama fungsi pemakai menetapkan tingkat layanan yang
disepakati (service level agreement) dan di-review secara berkala.

PO2 : Define the Information Architecture

PT PERTAMINA bekerjasama dengan INKOM LIPI, untuk pembuatan
PANDUAN TEKNOLOGI INFORMASI PERTAMINA (PTIP).
1. Sistem informasi umum dimana jaringan ini ditujukan untuk keperluan
masyarakat umum yang memerlukan informasi baik berupa Teletex,
videotex, electronic mail, berita, dll. Dalam sistem ini sarana yang
digunakan adalah melalui sarana umum, dapat melalui telepon ataupun
pemancar radio dan televisi.
2. Otomasi Kantor dalam sebuah kantor yang menggunakan fasilitas Digital
PABX (sentral telepon digital), jaringan komputer, dll, untuk menunjang
operasi kantor.
3. Otomasi industri. Semua aktititas dalam suatu industri didatakan dan
dikendalikan dengan komputer, sehingga hasil perencanaan, hasil produksi,
distribusi pemasaran, dll, dapat dicapai dengan optimum.
4. Decision Support System (DSS). Dengan dukungan sudah adanya data
(informasi) yang terintegrasi dapat dibuat suatu program untuk
pengembangan data dan untuk analisis yang kemudian dapat dibuat
simulasi untuk pengambilan keputusan. Hal ini akan sangat membantu para
manajer dalam pengambilan keputusan.

10
5. Expert System. Dengan adanya jaringan dan peralatan yang dapat
dilakukan secara otomatis, berkembanglah program-program yang dapat
memberikan kesimpulan

PO3 : Determine Technological Direction

Teknologi Informasi yang diterapkan di perusahaan PT Pertamina
sudah canggih, semua sistem informasi sudah terintegrasi. Salah satu
contohnya yaitu penggunaan SAP yang menghabiskan biaya puluhan juta
Dollar.

PO4 : Define the IT Processes, Organization and Relationships

Perusahaan PT Pertamina memiliki divisi sendiri , yaitu divisi TI yang
menangani pembangunan TI di perusahaan.

PO5 : Manage the IT Investment

PT Pertamina dalam mengembangkan TI-nya rela menggelontorkan
jutaan Dollar. Seperti contohnya pada penerapan SAP yang sudah dijelaskan
sebelumnya.

PO6 : Communicate Management Aims and Direction

PT Pertamina dalam upaya untuk meningkatkan nilai perusahaan
sesuai dengan aturan dalam RUPS, memfasilitasi pertemuan anak
perusahaan PT Pertamina (Persero), baik yang core business maupun non
core business.

PO7 : Manage IT Human Resource

Manajemen TI di PT Pertamina:
1. Perencanaan Tenaga Kerja.
2. Pemenuhan Kebutuhan Tenaga Kerja.
3. Seleksi dan Program Orientasi.
4. Penempatan Pekerja.
Untuk divisi TI di PT Pertamina diketuai oleh Kepala Divisi yang
memimpin anggotanya. Kepala Divisi ini ada di setiap anak perusahaan.

PO8 : Manage Quality

PT Pertamina sangat seruis dalam mengembangkan TI di
perusahaannya. Ini dibuktikan dengan diraihnya sertifikat ISO 20000:2005 dari
Badan Sertifikasi TUV atas pengelolaan ICT Pertamina bertepatan dengan
hari ulang tahun ke-53.
Domain ME :
ME1 : Evaluate IT Process
Sejak 4 Juni 2010 lalu, deretan aplikasi front-end bertambah lagi
dengan kehadiran Aplikasi Web Mutasi. Aplikasi yang dikembangkan
secara inhouse ini merupakan kerjasama HR Corporate Function dan
CSS dalam membuat terobosan efisiensi proses penerbitan SK Mutasi
hingga update data di SAP.

ME2 : Internal Control

11
 GO LIVE REMEDY. Sebagai bukti keseriusan memberikan
pelayanan terbaik bagi seluruh jajaran di lingkungan Kantor Pusat,
Divisi Sistem Bisnis dan Teknologi (SBTI) layanan dalam COBIT, yaitu
Manage Service Desk Incident, Manage Problem, Manage Service
Levels, serta Monitor and Evaluated IT Performance.

ME4 : Kebijakan umum

 Teknologi Informasi yang dibangun harus memiliki nilai yang sangat
strategis dalam mendukung terciptanya produk atau jasa perusahaan
yang unggul dan kompetitif.
 Investasi teknologi informasi harus mempertimbangkan aspek
keuntungan berupa pengurangan biaya dan kemudahan
memperoleh informasi.
 Fungsi teknologi informasi menerapkan mekanisme penjaminan
mutu (Quality Assurance) untuk memastikan bahwa perangkat-
perangkat dan sistem yang digunakan dalam teknologi informasi
telah berada pada kualitas dan tingkat layanan yang diharapkan.
(Fanani, 2012)

DAFTAR PUSTAKA
12
Adisutrisno, Dwisetyo. 2018. Pengertian COBIT dan contoh kasusnya. Dalam
http://dwisetyoadi28.blogspot.com/2018/11/pengertian-cobit-dan-contoh-
kasusnya.html. Diakses pada tanggal 13 Februari 2019.
C., Puri Faisal, dkk. 2013. Audit Sistem Informasi. Dalam
https://www.scribd.com/doc/153084837/Makalah-COBIT. Diakses pada tanggal 12
Februari 2019.
D., Lorrie Luellig J., dan Jake Frazier. 2013. A COBIT Approach to Regulatory Compliance
and Defensible Disposal. Dalam
https://www.isaca.org/Journal/archives/2013/Volume-5/Pages/A-COBIT-Approach-
to-Regulatory-Compliance-and-Defensible-Disposal.aspx. Diakses pada tanggal 12
Februari 2019.
ITGID. 2016. Pentingnya Implementasi COBIT bagi IT Perusahaan. Dalam
https://itgid.org/cobit-5-adalah/. Diakses pada tanggal 13 Februari 2019.
Rahmadiansyah, Dudi. 2012. Cobit 5 : (Hanya) untuk Tatakelola dan Manajemen
Teknologi Informasi Perusahaan. Dalam
https://blogs.itb.ac.id/dudi4studi/2012/10/03/cobit-5-hanya-untuk-tatakelola-dan-
manajemen-teknologi-informasi-perusahaan/. Diakses pada 12 Februari 2019.
Riadi, Muchlisin. 2017. Pengertian, Sejarah dan Komponen COBIT. Dalam
https://www.kajianpustaka.com/2014/02/pengertian-sejarah-dan-komponen-
cobit.html. Diakses pada tanggal 13 Februari 2019.
S., Franky Manaex M., dkk. 2016. COBIT 5. Dalam
http://frankysilalahi.blogspot.com/2016/11/makalah-cobit-5-access-control-cobit.html.
Diakses pada tanggal 12 Februari 2019.
Setianingsih, Okti. 2017. COBIT (CONTROL OBJECTIVES FOR INFORMATION AND
RELATED TECHNOLOGY). Dalam
http://oktisetianingsih.blogspot.com/2017/04/cobit-control-objectives-for.html .
Diakses pada tanggal 13 Februari 2019.

13