Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.

com

BAB 1: KERANGKA COBIT

Dalam beberapa tahun terakhir, menjadi semakin jelas bahwa ada kebutuhan akan kerangka acuan untuk
mengembangkan dan mengelola pengendalian internal dan tingkat keamanan yang sesuai dalam teknologi
informasi (TI). Penerapan TI telah menjadi pusat strategi dan proses bisnis banyak entitas. Dengan demikian,
organisasi yang sukses memerlukan apresiasi dan pemahaman dasar tentang risiko dan kendala TI di semua
tingkatan dalam perusahaan untuk mencapai arah yang efektif dan kontrol yang memadai. COBIT (Tujuan
Kontrol untuk Informasi dan Teknologi terkait) menyediakan kerangka kerja kontrol dan keamanan untuk TI.
Kerangka kerja COBIT dijelaskan dalam bab ini.

KONTEKS COBIT: MUNCULNYA PERUSAHAAN DAN TATA KELOLANYA

Teknologi informasi merupakan faktor penting dalam mencapai kesuksesan dalam ekonomi informasi dan penting bagi
manajemen operasional dan keuangan suatu entitas. Akibatnya, tata kelola perusahaan dan tata kelola TI tidak lagi dapat
dianggap sebagai disiplin ilmu yang terpisah dan berbeda. Tata kelola perusahaan yang efektif memfokuskan keahlian dan
pengalaman individu dan kelompok di tempat yang paling produktif, memantau dan mengukur kinerja, dan memberikan
jaminan untuk masalah kritis. TI, yang telah lama dianggap hanya sebagai penggerak strategi perusahaan, kini harus
dianggap sebagai bagian integral dari strategi itu.

Tata kelola TI menyediakan struktur yang menghubungkan proses TI, sumber daya TI, dan informasi dengan strategi dan
tujuan perusahaan. Tata kelola TI mengintegrasikan dan melembagakan cara optimal untuk merencanakan dan mengatur,
memperoleh dan mengimplementasikan, memberikan dan mendukung, serta memantau dan mengevaluasi kinerja TI. Tata
kelola TI merupakan bagian integral dari keberhasilan tata kelola perusahaan dengan memastikan peningkatan terukur
yang efisien dan efektif dalam proses perusahaan terkait. Tata kelola TI memungkinkan perusahaan untuk mengambil
keuntungan penuh dari informasinya, sehingga memaksimalkan manfaat, memanfaatkan peluang dan mendapatkan
keunggulan kompetitif.

Melihat interaksi proses tata kelola perusahaan dan TI secara lebih rinci (gambar 1), tata kelola perusahaan, sistem
di mana entitas diarahkan dan dikendalikan, mendorong dan menetapkan tata kelola TI. Pada saat yang sama, TI
harus memberikan masukan penting untuk, dan merupakan komponen penting dari, rencana strategis. TI
sebenarnya dapat mempengaruhi peluang strategis yang digariskan oleh perusahaan
Perusahaan yang dikelola dengan baik menerapkan praktik terbaik yang diterima secara umum untuk memastikan
bahwa perusahaan mencapai tujuan strategis dan operasionalnya. Mencapai tujuan tersebut mengharuskan entitas
untuk mengambil beberapa tingkat risiko—tidak ada imbalan tanpa beberapa tingkat risiko. Entitas melembagakan
kontrol atas strategi dan operasi untuk mengelola risikonya dan membantu pencapaian tujuan dan strateginya. Dari
tujuan ini mengalir arah organisasi, yang menentukan aktivitas perusahaan tertentu, dengan menggunakan sumber
daya perusahaan. Hasil kegiatan perusahaan diukur dan dilaporkan, memberikan masukan untuk revisi konstan dan
pemeliharaan kontrol, memulai siklus lagi

Manajemen TI juga diatur oleh praktik terbaik untuk memastikan bahwa informasi perusahaan dan teknologi terkait
mendukung tujuan bisnisnya, sumber dayanya digunakan secara bertanggung jawab, dan risikonya dikelola dengan tepat.
Praktik-praktik ini membentuk dasar untuk arah kegiatan TI, yang dapat dicirikan sebagai merencanakan dan mengatur,
memperoleh dan mengimplementasikan, menyampaikan dan mendukung, dan memantau dan mengevaluasi, untuk tujuan
ganda mengelola risiko (untuk mendapatkan keamanan, keandalan, dan kepatuhan) dan mewujudkan manfaat
(meningkatkan efektivitas dan efisiensi). Laporan dikeluarkan tentang hasil kegiatan TI, yang diukur terhadap berbagai
praktik dan kontrol, dan kemudian siklus dimulai lagi. Siklus ini diilustrasikan pada gambar 2.

Mengingat perubahan yang sedang berlangsung ini, pengembangan kerangka kerja untuk tujuan pengendalian TI ini dan
penelitian terapan lanjutan dalam pengendalian TI, berdasarkan kerangka kerja ini, merupakan landasan untuk kemajuan yang
efektif di bidang informasi dan pengendalian teknologi terkait.

Model kontrol bisnis keseluruhan, seperti COSO (Committee of Sponsoring Organizations of the Treadway
Commission, Internal Control—Integrated Framework, 1992, COSO Enterprise Risk Management Framework,
2004) di AS, Turnbull di Inggris, CoCo di Kanada dan King di Afrika Selatan telah dikembangkan dan
diterbitkan. Selain itu, ada sejumlah model kontrol khusus TI, seperti Kode Etik Keamanan dari Departemen
Perdagangan dan Industri (DTI), Inggris, Pedoman Kontrol Teknologi Informasi dari Canadian Institute of
Chartered Accountants (CICA), Kanada, dan Buku Pegangan Keamanan dari Institut Nasional Standar dan
Teknologi (NIST), AS. Namun, model kontrol terfokus ini tidak menyediakan model kontrol yang komprehensif
dan dapat digunakan atas TI yang mendukung
proses bisnis. Tujuan COBIT adalah untuk menjembatani kesenjangan ini dengan menyediakan landasan yang terkait erat
dengan tujuan bisnis sambil berfokus pada TI

Yang paling terkait erat dengan COBIT dari perspektif TI adalah Prinsip dan Kriteria SysTrustTM untuk
keandalan sistem. SysTrust adalah penerbitan resmi dari Komite Eksekutif Layanan Jaminan dari American
Institute of Certified Public Accountants (AICPA) di AS dan Dewan Pengembangan Layanan Jaminan CICA di
Kanada, sebagian didasarkan pada tujuan pengendalian COBIT. SysTrust dirancang untuk meningkatkan
kenyamanan manajemen, pelanggan dan mitra bisnis dengan sistem yang mendukung bisnis atau aktivitas
tertentu. Layanan SysTrust mengharuskan akuntan publik memberikan layanan jaminan di mana ia
mengevaluasi dan menguji apakah suatu sistem dapat diandalkan ketika diukur terhadap empat prinsip
penting: ketersediaan, keamanan, integritas, dan pemeliharaan. Model kontrol dan tata kelola lainnya
dipetakan pada Gambar 3; mereka termasuk Perpustakaan Infrastruktur TI (ITIL), Pedoman Pengendalian
Teknologi Informasi (ITCG), ISO9000, laporan Organisasi Internasional untuk Standardisasi (laporan tentang
Pengendalian Internal—Kerangka Kerja Terpadu, disponsori oleh COSO) dan Kriteria Pengendalian (CoCo),
diterbitkan oleh CICA.

Fokus utama COBIT adalah pengembangan kebijakan yang jelas dan praktik yang baik untuk keamanan dan
kontrol di TI untuk dukungan di seluruh dunia oleh organisasi komersial, pemerintah dan profesional. Tujuan
utamanya adalah pengembangan tujuan pengendalian terutama dari tujuan bisnis dan perspektif kebutuhan.
Pendekatan ini sesuai dengan perspektif COSO, yang pertama dan terutama merupakan kerangka kerja
manajemen untuk pengendalian internal. Selanjutnya, tujuan dan pedoman audit dikembangkan dari
perspektif tujuan pengendalian (sertifikasi informasi keuangan, sertifikasi tindakan pengendalian internal,
efisiensi dan efektivitas, dll.).

Apa yang Dipikirkan oleh Chief Finance Officer (CFO) dari Perusahaan Energi tentang COBIT

Sebuah perusahaan energi AS mengadopsi COBIT sebagai tanggapan terhadap peraturan Sarbanes-Oxley. Itu telah
mencari struktur, dan alih-alih mengembangkan kerangka kontrolnya sendiri, ia lebih suka mengadopsi kerangka
kerja yang diterima secara internasional—COBIT. CFO, yang merupakan anggota komite pengarah TI organisasi,
menyatakan: “Dewan direksi bertanggung jawab atas pengendalian internal kami. Mereka telah memberi wewenang
kepada komite audit dewan untuk memastikan bahwa kita melakukan pekerjaan kita. Komite audit telah memberi
wewenang kepada C-suite (CEO, CFO, COO, dll.) untuk memastikan kami melakukan pekerjaan kami, dan C-suite
telah meminta komite pengarah TI ini untuk memastikan kami memiliki kontrol internal yang memadai untuk TI.
Komite pengarah TI, sebagai gantinya, meminta CIO dan tim manajemennya untuk membuat kami nyaman bahwa
ini terkait dengan TI,

COBIT AUDIENCE: MANAJEMEN, PENGGUNA DAN AUDITOR

COBIT dirancang untuk digunakan oleh tiga audiens yang berbeda:

• Manajemen—Untuk membantu mereka menyeimbangkan risiko dan mengendalikan investasi di lingkungan TI yang sering

tidak terduga

• Pengguna—Untuk mendapatkan jaminan keamanan dan kontrol layanan TI yang disediakan oleh pihak internal atau
ketiga
• Auditor—Menyediakan kerangka kerja untuk membantu mereka memberikan pendapat tentang tingkat keyakinan atas materi
pokok tertentu yang diaudit dan/atau memberikan nasihat kepada manajemen tentang pengendalian internal

Sertifikasi CISA dan CISM

Untuk target audiens di atas, ISACA juga telah mengembangkan program sertifikasi. Setelah lulus ujian dan
memenuhi persyaratan pengalaman yang diperlukan, sertifikasi yang diterima secara internasional dapat diperoleh.
Ujian Certified Information Systems AuditorTM (CISA®) mengukur keunggulan di bidang audit, kontrol, dan
keamanan IS. Certified Information Security Manager® (CISM®) adalah untuk individu yang harus mempertahankan
pandangan gambaran besar dengan mengelola, merancang, mengawasi, dan menilai keamanan informasi
perusahaan. Untuk informasi lebih lanjut tentang program-program ini, silakan kunjungi www.isaca.org .

SPESIFIKASI KERANGKA COBIT

Untuk sepenuhnya memahami kerangka kerja COBIT, definisi berikut disediakan. Pengendalian diadaptasi
dari laporan COSO (Internal Control—Integrated Framework) dan tujuan pengendalian TI diadaptasi dari
Systems Auditability and Control (SAC) Report, The Institute of Internal Auditors (IIA) Research Foundation,
1991 dan 1994.

“Pengendalian” didefinisikan sebagai kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang untuk
memberikan jaminan yang wajar bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan akan dicegah
atau dideteksi dan diperbaiki.

“Tujuan pengendalian TI” didefinisikan sebagai pernyataan tentang hasil atau tujuan yang diinginkan yang ingin dicapai
dengan menerapkan prosedur pengendalian dalam aktivitas TI tertentu.

"Tata kelola TI" didefinisikan sebagai struktur hubungan dan proses untuk mengarahkan dan mengendalikan perusahaan untuk
mencapai tujuan perusahaan dengan menambahkan nilai sambil menyeimbangkan risiko vs. pengembalian atas TI dan prosesnya.

Ada dua kelas berbeda dari model kontrol yang tersedia saat ini: kelas model kontrol bisnis (misalnya, COSO dan CoCo) dan
model kontrol yang lebih terfokus untuk TI (misalnya, DTI). COBIT bertujuan untuk menjembatani kesenjangan yang ada di
antara keduanya. Oleh karena itu COBIT diposisikan untuk menjadi lebih komprehensif untuk manajemen dan beroperasi
pada tingkat yang lebih tinggi daripada standar teknologi murni untuk manajemen sistem informasi.

Konsep yang mendasari kerangka kerja COBIT (gambar 4) adalah bahwa kontrol dalam TI didekati dengan
berkonsentrasi pada informasi yang diperlukan untuk mendukung tujuan atau persyaratan bisnis, dan dengan
melihat informasi sebagai hasil dari aplikasi gabungan dari yang terkait dengan TI. sumber daya yang perlu dikelola
oleh proses TI

Untuk memenuhi tujuan bisnis, informasi harus sesuai dengan kriteria tertentu. Kriteria ini disebut, dalam
COBIT, sebagai persyaratan bisnis untuk informasi. Dalam menetapkan daftar persyaratan tersebut, COBIT
menggabungkan prinsip-prinsip yang tertanam dalam model referensi yang ada dan dikenal.

Persyaratan kualitas meliputi:

• Kualitas
• Biaya

• Pengiriman

Persyaratan Fidusia (COSO) meliputi:

• Efektivitas dan efisiensi operasi

• Keandalan informasi

• Kepatuhan terhadap hukum dan peraturan

Persyaratan keamanan meliputi:

• Kerahasiaan

• Integritas

• Ketersediaan

Kualitas telah dipertahankan terutama untuk aspek negatifnya (misalnya, tidak ada kesalahan dan keandalan), yang
juga sebagian besar ditangkap oleh kriteria integritas. Aspek kualitas yang positif tetapi kurang nyata (gaya, daya
tarik, tampilan dan nuansa, kinerja di luar ekspektasi, dll.), untuk sementara waktu, tidak dipertimbangkan dari
sudut pandang tujuan pengendalian TI. Premisnya adalah bahwa prioritas pertama harus ditujukan untuk
mengelola risiko dengan benar sebagai lawan dari peluang. Aspek kegunaan dari kualitas tercakup dalam kriteria
efektivitas. Aspek pengiriman kualitas dianggap tumpang tindih dengan aspek ketersediaan persyaratan keamanan
dan juga, sampai batas tertentu, efektivitas dan efisiensi. Akhirnya, biaya juga dianggap ditangani oleh efisiensi.

COBIT tidak berusaha untuk menemukan kembali roda untuk persyaratan fidusia; Definisi COSO untuk
efektivitas dan efisiensi operasi, keandalan informasi dan kepatuhan terhadap hukum dan peraturan
digunakan. Namun, keandalan informasi diperluas untuk mencakup semua informasi—bukan hanya informasi
keuangan.

Sehubungan dengan persyaratan keamanan, COBIT mengidentifikasi kerahasiaan, integritas dan ketersediaan sebagai
elemen kunci. Tiga elemen yang sama ini, ditemukan, digunakan di seluruh dunia dalam menggambarkan persyaratan
keamanan TI.

Memulai analisis dari persyaratan kualitas, fidusia dan keamanan yang lebih luas, tujuh kategori
berbeda, tentu saja tumpang tindih, diekstraksi. Definisi kerja COBIT untuk masing-masing berikut:

• Efektivitas—Berkaitan dengan informasi yang relevan dan berkaitan dengan proses bisnis serta
disampaikan secara tepat waktu, benar, konsisten, dan dapat digunakan

• Efisiensi—Menyangkut penyediaan informasi melalui penggunaan sumber daya secara optimal (paling
produktif dan ekonomis)

• Kerahasiaan—Tentang perlindungan informasi sensitif dari pengungkapan yang tidak sah

• Integritas—Berkaitan dengan keakuratan dan kelengkapan informasi serta

validitasnya sesuai dengan nilai dan harapan bisnis
• Availability—Berkaitan dengan informasi yang tersedia saat dibutuhkan oleh proses bisnis sekarang dan di masa
depan. Ini juga menyangkut pengamanan sumber daya yang diperlukan dan kemampuan terkait.

• Kepatuhan—Berurusan dengan mematuhi undang-undang, peraturan, dan pengaturan kontrak yang

tunduk pada proses bisnis, yaitu, kriteria bisnis yang diberlakukan secara eksternal

• Keandalan informasi—Berkaitan dengan penyediaan informasi yang tepat bagi manajemen untuk mengoperasikan
entitas dan bagi manajemen untuk melaksanakan tanggung jawab pelaporan keuangan dan kepatuhannya

Bagaimana Grup Keuangan Besar Kanada Mengidentifikasi dan Menggunakan Kriteria Informasi

Grup keuangan utama Kanada sedang merencanakan implementasi portal untuk pelanggannya.
Kasus bisnis untuk proyek e-bisnis ini menyatakan pembenaran berikut, antara lain. Portal akan:

• Mengurangi biaya back-office dengan memperkenalkan layanan mandiri kepada pelanggan

• Menyediakan alat akses data yang kuat untuk staf dukungan call center

Efektivitas dalam situasi ini berkaitan dengan aksesibilitas dan kegunaan fungsi untuk audiens sasaran. Ini menjadi
ukuran keberhasilan yang memungkinkan bisnis mencapai proposisi nilainya dan menjadi ukuran TI utama untuk
proyek (setidaknya dalam dimensi proyek ini). Manajemen kemudian memilih ukuran spesifik yang menunjukkan
pencapaian tujuan tersebut. Keyakinannya adalah bahwa jika tujuan ini tercapai, maka tingkat penerimaan
pelanggan akan cukup untuk menurunkan beban dan merampingkan pekerjaan untuk menghasilkan ekonomi
yang dibangun ke dalam kasus bisnis.

Seperti yang diidentifikasi pada gambar 4, ada satu set sumber daya TI yang dibutuhkan untuk membantu memenuhi kebutuhan bisnis. Sumber

daya adalah:

• Data—Objek dalam arti luas (yaitu, eksternal dan internal), terstruktur dan tidak terstruktur,
grafik, suara, dll.

• Sistem aplikasi—Dipahami sebagai jumlah prosedur manual dan terprogram

• Teknologi—Perangkat keras, sistem operasi, sistem manajemen basis data, jaringan, multimedia, dll.

• Fasilitas—Semua sumber daya untuk menampung dan mendukung sistem informasi

• Rakyat—Keterampilan, kesadaran, dan produktivitas staf untuk merencanakan, mengatur, memperoleh, menyampaikan, mendukung,

memantau, dan mengevaluasi sistem dan layanan informasi

Uang atau modal tidak disimpan sebagai sumber daya TI untuk klasifikasi tujuan pengendalian karena dapat
dianggap sebagai investasi ke salah satu sumber daya di atas. Perlu juga dicatat bahwa kerangka kerja tidak secara
khusus mengacu pada dokumentasi semua hal material yang berkaitan dengan proses TI tertentu. Sebagai praktik
yang baik, dokumentasi dianggap penting untuk pengendalian yang baik; oleh karena itu, kurangnya dokumentasi
akan menyebabkan tinjauan dan analisis lebih lanjut untuk pengendalian kompensasi di area spesifik mana pun
yang ditinjau.
Lalu bagaimana organisasi dapat memuaskan diri mereka sendiri bahwa informasi yang mereka peroleh menunjukkan karakteristik
yang mereka butuhkan? Di sinilah kerangka kerja tujuan pengendalian TI diperlukan. Gambar 6 mengilustrasikan konsep ini

Kerangka kerja COBIT terdiri dari tujuan kontrol tingkat tinggi dan struktur keseluruhan untuk
klasifikasi mereka. Teori yang mendasari klasifikasi tersebut adalah bahwa pada dasarnya ada tiga
tingkat upaya TI ketika mempertimbangkan pengelolaan sumber daya TI (lihat gambar 7). Pertama,
mulai dari bawah dan bekerja ke atas, ada kegiatan dan tugas yang diperlukan untuk mencapai
hasil yang terukur. Aktivitas memiliki konsep siklus hidup, sedangkan tugas lebih bersifat diskrit.
Konsep siklus hidup memiliki persyaratan kontrol khas yang berbeda dari aktivitas diskrit. Kedua,
proses kemudian didefinisikan satu lapis ke atas sebagai serangkaian aktivitas atau tugas yang
digabungkan dengan jeda (kontrol) alami. Ketiga, pada tingkat tertinggi, proses secara alami
dikelompokkan bersama ke dalam domain.

Dengan demikian, kerangka konseptual dapat didekati dari tiga sudut pandang:

• Kriteria informasi

• sumber daya TI

• proses TI

Ketiga titik pandang ini digambarkan dalam COBIT Cube (gambar 8).

Dengan kerangka kerja ini, domain diidentifikasi menggunakan kata-kata yang akan digunakan manajemen dalam aktivitas organisasi

sehari-hari. Dengan demikian, empat domain luas diidentifikasi: merencanakan dan mengatur, memperoleh dan mengimplementasikan,

menyampaikan dan mendukung, serta memantau dan mengevaluasi.

Definisi untuk empat domain yang diidentifikasi untuk klasifikasi tingkat tinggi adalah:

• Rencanakan dan atur—Domain ini mencakup strategi dan taktik, dan menyangkut identifikasi
cara terbaik TI dapat berkontribusi pada pencapaian tujuan bisnis. Selanjutnya, realisasi visi
strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda.
Akhirnya, organisasi yang tepat serta infrastruktur teknologi harus ditempatkan.

• Dapatkan dan implementasikan—Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan
atau diperoleh, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan
pemeliharaan sistem yang ada dicakup oleh domain ini untuk memastikan bahwa siklus hidup dilanjutkan untuk
sistem ini.

• Kirim dan dukung—Domain ini berkaitan dengan pengiriman aktual layanan yang diperlukan, yang berkisar dari
operasi tradisional atas aspek keamanan dan kontinuitas hingga pelatihan. Untuk memberikan layanan, proses
dukungan yang diperlukan harus disiapkan. Domain ini mencakup pemrosesan data aktual oleh sistem aplikasi,
sering kali diklasifikasikan di bawah kontrol aplikasi.

• Pantau dan evaluasi—Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk kualitas dan
kepatuhannya terhadap persyaratan kontrol. Dengan demikian, domain ini membahas pengawasan manajemen terhadap
proses pengendalian organisasi dan jaminan independen yang diberikan oleh audit internal dan eksternal atau diperoleh
dari sumber alternatif.
Proses TI yang diidentifikasi dalam COBIT dapat diterapkan pada tingkat yang berbeda dalam suatu organisasi.
Misalnya, beberapa dari proses ini akan diterapkan di tingkat perusahaan, yang lain di tingkat fungsi TI dan yang
lain lagi di tingkat pemilik proses bisnis.

Jelas bahwa tindakan pengendalian atas proses TI tidak akan selalu memenuhi semua kebutuhan bisnis yang
berbeda untuk informasi pada tingkat yang sama. Hal ini ditunjukkan pada gambar 14 dengan menggunakan
indikator primer (P), sekunder (S) atau blank:

• Utama—Sejauh mana tujuan pengendalian yang ditetapkan berdampak langsung pada kriteria informasi yang
bersangkutan

• Sekunder—Sejauh mana tujuan pengendalian yang ditetapkan hanya memenuhi sebagian kecil atau secara tidak
langsung kriteria informasi yang bersangkutan

• Kosong—Bisa diterapkan; namun, persyaratan lebih tepat dipenuhi oleh kriteria lain
dalam proses ini dan/atau oleh proses lain.

Demikian pula, ukuran kontrol tertentu tidak selalu berdampak pada sumber daya TI yang berbeda pada tingkat
yang sama. Oleh karena itu, kerangka kerja COBIT secara khusus menunjukkan penerapan sumber daya TI yang
secara khusus dikelola oleh proses yang sedang dipertimbangkan dan bukan hanya yang hanya mengambil bagian
dalam proses (lihat gambar 14). Klasifikasi ini dibuat dalam kerangka COBIT berdasarkan proses masukan yang ketat
dari para peneliti, ahli, dan peninjau, menggunakan definisi ketat yang ditunjukkan sebelumnya.

Singkatnya, untuk memberikan informasi yang dibutuhkan organisasi untuk mencapai tujuannya, tata kelola TI harus
dilakukan oleh organisasi untuk memastikan bahwa sumber daya TI dikelola oleh serangkaian proses TI yang
dikelompokkan secara alami. Gambar 9 mengilustrasikan konsep ini.

KELUARGA PRODUK COBIT

COBIT menyediakan beberapa produk yang menjelaskan berbagai komponen COBIT secara rinci. Bagian berikut
berisi penjelasan singkat tentang produk yang paling penting, menggunakan proses DS2 mengelola layanan pihak
ketiga untuk semua contoh produk, dan kemudian contoh masing-masing.

TUJUAN KONTROL

COBIT menyediakan satu set 34 tujuan kontrol tingkat tinggi, satu untuk setiap proses TI, dikelompokkan ke dalam empat
domain: merencanakan dan mengatur, memperoleh dan menerapkan, menyampaikan dan mendukung, dan memantau
dan mengevaluasi. Struktur ini mencakup semua aspek informasi dan teknologi yang mendukungnya. Dengan mengatasi
34 tujuan kontrol tingkat tinggi ini, pemilik proses bisnis dapat memastikan bahwa sistem kontrol yang memadai disediakan
untuk lingkungan TI. Setiap tujuan pengendalian tingkat tinggi dibagi lagi dalam daftar tujuan pengendalian yang
terperinci. Secara total, COBIT berisi 318 tujuan kontrol terperinci atas semua 34 proses TI. Gambar 10 memberikan contoh
tujuan pengendalian tingkat tinggi dan tujuan pengendalian rinci.

Gambar 10—Contoh Tujuan Kontrol

Tujuan kontrol tingkat tinggi untuk DS2 mengelola layanan pihak ketiga
Kontrol atas proses TI dalam mengelola layanan pihak ketiga

yang memenuhi persyaratan bisnis untuk memastikan bahwa peran dan tanggung jawab pihak ketiga
didefinisikan dengan jelas, dipatuhi, dan terus memenuhi persyaratan

diaktifkan oleh tindakan pengendalian yang ditujukan untuk peninjauan dan pemantauan perjanjian dan
prosedur yang ada untuk efektivitas dan kepatuhannya terhadap kebijakan organisasi

dan mempertimbangkan

• Perjanjian layanan pihak ketiga

• Manajemen kontrak

• Perjanjian kerahasiaan

• Persyaratan hukum dan peraturan

• Pemantauan dan pelaporan pemberian layanan

• Penilaian risiko perusahaan dan TI

• Penghargaan dan penalti kinerja

• Akuntabilitas internal dan eksternal organisasi

• Analisis biaya dan varians tingkat layanan

Tujuan kontrol terperinci untuk DS2 mengelola layanan pihak ketiga

Antarmuka pemasok Manajemen harus memastikan bahwa semua layanan penyedia pihak ketiga diidentifikasi
dengan benar dan bahwa antarmuka teknis dan organisasional dengan pemasok didokumentasikan.

PEDOMAN AUDIT

Manajemen membutuhkan jaminan bahwa tujuan dan sasaran TI yang diinginkan terpenuhi dan kontrol utama sedang ditangani.
Pedoman audit menguraikan dan menyarankan kegiatan penilaian yang akan dilakukan sesuai dengan masing-masing dari 34
tujuan pengendalian TI tingkat tinggi, memberikan panduan bermanfaat tentang siapa yang harus diwawancarai; pertanyaan apa
yang harus diajukan; dan bagaimana mengevaluasi pengendalian, menilai kepatuhan, dan akhirnya membuktikan risiko dari setiap
pengendalian yang teridentifikasi tidak terpenuhi. Publikasi ini memberikan panduan yang sangat berharga bagi tim audit, dan
pendekatan audit terstruktur yang terkait dengan kerangka kerja yang dapat dipahami oleh orang-orang TI, yang memfasilitasi
identifikasi bersama atas prioritas dan peningkatan kontrol.

PEDOMAN MANAJEMEN

Pedoman manajemen COBIT menyediakan hubungan penting antara kontrol TI dan tata kelola TI. Mereka
berorientasi pada tindakan dan generik, dan memberikan arahan manajemen untuk mendapatkan informasi
perusahaan dan proses terkait di bawah kendali, memantau pencapaian tujuan organisasi, memantau dan
meningkatkan kinerja dalam setiap proses TI, dan membandingkan pencapaian organisasi. Mereka membantu
memberikan jawaban atas pertanyaan manajemen umum, seperti:

• Seberapa jauh kita harus mengendalikan TI, dan apakah biayanya sebanding dengan manfaatnya?
• Apa saja indikator kinerja yang baik?

• Apa faktor penentu keberhasilan?

• Apa risiko dari tidak tercapainya tujuan kita?

• Apa yang dilakukan orang lain?

• Bagaimana kita mengukur dan membandingkan?

Pedoman pengelolaan tersebut antara lain:

• Model kedewasaan—Model kematangan untuk kontrol atas proses TI terdiri dari metode penilaian, sehingga organisasi dapat
menilai kematangannya untuk proses TI, dari tidak ada hingga dioptimalkan, menggunakan skala bertahap dari 0 hingga 5.
Pendekatan ini, seperti yang diilustrasikan pada gambar 12, telah diturunkan dari model kedewasaan yang didefinisikan oleh
Software Engineering Institute (SEI) untuk kematangan kemampuan pengembangan perangkat lunak. Dengan mengembangkan
dan secara aktif menggunakan level ini untuk masing-masing dari 34 proses TI COBIT, manajemen dapat memetakan:

– Status organisasi saat ini—Di mana organisasi saat ini

– Status saat ini (terbaik di kelasnya) industri—Perbandingannya

– Status standar internasional saat ini—Perbandingan tambahan

– Strategi organisasi untuk perbaikan—Di mana organisasi ingin berada

• Faktor penentu keberhasilan (CSF)—CSF mendefinisikan masalah atau tindakan paling penting bagi manajemen
untuk dipertimbangkan atau dilakukan untuk mencapai kontrol atas dan di dalam proses TI. Mereka harus menjadi
pedoman pelaksanaan yang berorientasi manajemen dan mengidentifikasi hal-hal terpenting yang harus dilakukan,
secara strategis, teknis, organisasional atau prosedural. Misalnya, CSF meliputi:

– Proses TI didefinisikan dan diselaraskan dengan strategi TI dan tujuan bisnis.

– Pelanggan dari proses dan harapan mereka diketahui.

– Proses dapat diskalakan dan sumber dayanya dikelola dan dimanfaatkan dengan tepat.

• Indikator tujuan utama (KGI)—KGI menentukan ukuran yang memberi tahu manajemen, setelah fakta, apakah
proses TI telah mencapai persyaratan bisnisnya. Misalnya, KGI meliputi:

– Mencapai laba atas investasi atau manfaat nilai bisnis yang ditargetkan

– Peningkatan manajemen kinerja

– Mengurangi risiko TI

• Indikator kinerja utama (KPI)—KPI menentukan ukuran untuk menentukan seberapa baik kinerja proses TI dalam
memungkinkan tercapainya tujuan. Mereka adalah indikator utama apakah suatu tujuan kemungkinan akan tercapai
atau tidak, dan merupakan indikator kemampuan, praktik, dan keterampilan yang baik. Misalnya, KPI meliputi:

– Mengurangi waktu siklus (yaitu, responsivitas produksi dan pengembangan TI)

– Ketersediaan layanan dan waktu respons

– Jumlah staf yang terlatih dalam teknologi baru dan keterampilan layanan pelanggan

COBIT dan Balanced Scorecard

KGI dan KPI yang disediakan di COBIT menawarkan informasi yang berguna untuk membantu membangun kartu
skor seimbang untuk departemen TI atau domain atau proses TI tertentu. KGI dan KPI memberikan masukan untuk
menentukan metrik dalam perspektif yang berbeda dari balanced scorecard (perspektif keuangan, perspektif
pelanggan, proses internal, pembelajaran dan inovasi). Penting tidak hanya untuk menentukan metrik di setiap
perspektif, tetapi juga untuk mengidentifikasi hubungan sebab akibat antara KPI dan KGI. KGI, seperti "kepuasan
pelanggan bahwa tingkat layanan memenuhi harapan," tanpa KPI, seperti "jeda waktu penyelesaian permintaan
perubahan tingkat layanan," tidak mengkomunikasikan bagaimana hasil yang ingin dicapai. Dan KPI tanpa KGI dapat
menyebabkan investasi yang signifikan tanpa pengukuran yang tepat yang menunjukkan apakah strategi
manajemen tingkat layanan (SLM) yang dipilih efektif. Oleh karena itu, balanced scorecard yang baik mengandung
campuran KGI dan KPI terkait.

Organisasi Transportasi Besar Menggunakan Balanced Scorecard dan COBIT untuk Mengelola Produktivitas TI

De Lijn adalah grup transportasi milik publik utama di Belgia yang mempekerjakan hampir 7.000 orang.
Grup Gartner melaporkan bahwa De Lijn menggunakan pendekatan kartu skor seimbang dan COBIT untuk
meningkatkan daya tanggap pelanggan dan produktivitas grup TI.

Gambar 13 menunjukkan bagaimana semua komponen COBIT yang dijelaskan di atas terhubung bersama.

ORIENTASI TUJUAN BISNIS COBIT

COBIT ditujukan untuk mengatasi tujuan bisnis. Tujuan pengendalian membuat hubungan yang jelas dan berbeda dengan
tujuan bisnis untuk mendukung penggunaan yang signifikan di luar komunitas jaminan. Tujuan pengendalian didefinisikan
dengan cara yang berorientasi pada proses mengikuti prinsip rekayasa ulang bisnis. Pada domain dan proses yang
teridentifikasi, tujuan pengendalian tingkat tinggi diidentifikasi dan alasan diberikan untuk mendokumentasikan tautan ke
tujuan bisnis. Selain itu, pertimbangan dan pedoman disediakan untuk menentukan dan mengimplementasikan tujuan
pengendalian TI.

Klasifikasi domain di mana tujuan kontrol tingkat tinggi berlaku (domain dan proses) merupakan indikasi kebutuhan
bisnis untuk informasi dalam domain itu, serta sumber daya TI yang terutama dipengaruhi oleh tujuan kontrol.
Bersama-sama, mereka membentuk kerangka kerja COBIT. Kerangka kerja ini didasarkan pada aktivitas penelitian
yang telah mengidentifikasi 34 tujuan pengendalian tingkat tinggi dan 318 tujuan pengendalian terperinci. Kerangka
kerja tersebut diekspos secara global ke industri TI dan profesi audit untuk memungkinkan kesempatan untuk
ditinjau, ditantang, dan dikomentari. Wawasan yang diperoleh telah, dan akan terus, secara tepat dan konsisten
digabungkan.

Studi Kasus COBIT: Pabrik Bir Afrika Selatan Terbatas

South African Breweries Limited (SAB Ltd.) memproduksi dan mendistribusikan bir dan minuman nonalkohol di
Eropa, Asia dan Afrika. Lebih dari 200 dari 7.000 karyawan organisasi bekerja di bidang sistem informasi.
Setelah belajar tentang COBIT dari Gartner Group, SAB Ltd. menggunakan COBIT untuk mengembangkan
dokumen strategi arsitektur TI dan perusahaan. Pendekatan SAB Ltd. mendorong peluang kemitraan antara
audit IS dan komunitas TI. Tim audit IS menerapkan komponen nilai tambah pada tinjauan, yang
memungkinkan interpretasi risiko TI yang lebih ketat. Setelah manfaat bisnis COBIT dikomunikasikan,
eksekutif bisnis senior menyadari bahwa kerangka kerja dapat membantu
menentukan akuntabilitas untuk proses dan meningkatkan tata kelola TI. Dengan menggunakan kerangka kerja sebagai dasar
untuk matriks akuntabilitas, SAB Ltd. mulai mencapai organisasi TI berbasis peran dengan ukuran proses yang ditentukan untuk
memastikan nilai pelanggan.

TABEL RINGKASAN COBIT

Seperti yang dibahas sebelumnya dalam teks, gambar 14 memberikan indikasi, berdasarkan proses dan domain TI, kriteria
informasi mana yang dipengaruhi oleh tujuan pengendalian tingkat tinggi dan sumber daya TI mana yang dapat diterapkan.
Tabel tersebut memetakan kriteria informasi untuk masing-masing dari 34 proses TI (tujuan pengendalian).

PERTANYAAN TINJAUAN

1. Bagaimana siklus plan, do, check and correct berhubungan dengan tata kelola TI?

2. Jelaskan persamaan dan perbedaan antara CoCo atau COSO dan COBIT. Bisakah suatu entitas menggunakan CoCo
atau COSO dan COBIT? Haruskah suatu entitas mempekerjakan CoCo atau COSO dan COBIT?

3. Jelaskan target audiens COBIT.

4. Jelaskan tujuh kriteria informasi yang dirancang untuk ditangani oleh COBIT.

5. Diskusikan lima sumber daya TI yang diakui oleh kerangka kerja COBIT.

6. Apa perbedaan antara pedoman audit dan pedoman manajemen? Mengapa harus ada
pedoman terpisah dalam kerangka COBIT?

7. Apa perbedaan antara konsep umum kontrol dan kontrol di lingkungan TI?

8. Berikan dua contoh domain TI dan jelaskan masing-masing.

9. Apa perbedaan antara indikator sasaran utama dan indikator kinerja utama?

10. Apa yang dimaksud dengan model kedewasaan? Ciptakan model kedewasaan untuk domain pengetahuan di luar teknologi
informasi (misalnya, untuk siswa, aktivitas atau organisasi olahraga atau budaya).

11. Apa itu proses TI? Berikan dua contoh proses TI.