com
KERANGKA
Pendahuluan dan
Metodologi
Tentang ISACA
Mendekati tahun ke-50, ISACA®(isaca.org) adalah asosiasi global yang membantu individu dan perusahaan mencapai potensi
positif dari teknologi. Teknologi memberdayakan dunia saat ini dan ISACA membekali para profesional dengan pengetahuan,
kredensial, pendidikan, dan komunitas untuk memajukan karir mereka dan mentransformasikan organisasi mereka. ISACA
memanfaatkan keahlian setengah juta profesionalnya yang terlibat di bidang keamanan informasi dan cyber, tata kelola, jaminan,
risiko dan inovasi, serta anak perusahaannya yang bergerak di bidang kinerja perusahaan, CMMI.®Institute, untuk membantu
memajukan inovasi melalui teknologi. ISACA hadir di lebih dari 188 negara, termasuk lebih dari 217 cabang dan kantor di Amerika
Serikat dan Tiongkok.
Penafian
ISACA telah dirancang dan dibuatCOBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologi("Pekerjaan") terutama sebagai
sumber daya pendidikan bagi para profesional tata kelola perusahaan informasi dan teknologi (EGIT), jaminan, risiko dan
keamanan. ISACA tidak mengklaim bahwa penggunaan Karya apa pun akan menjamin hasil yang sukses. Pekerjaan tidak boleh
dianggap mencakup semua informasi, prosedur dan pengujian yang tepat atau eksklusif terhadap informasi, prosedur dan
pengujian lainnya yang secara wajar diarahkan untuk memperoleh hasil yang sama. Dalam menentukan kelayakan suatu
informasi, prosedur atau pengujian tertentu, profesional tata kelola informasi dan teknologi perusahaan (EGIT), jaminan, risiko
dan keamanan harus menerapkan pertimbangan profesional mereka sendiri terhadap keadaan spesifik yang ditimbulkan oleh
sistem atau lingkungan teknologi informasi tertentu.
hak cipta
© 2018 ISACA. Seluruh hak cipta. Untuk pedoman penggunaan, lihatwww.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, AS
Telepon: +1.847.660.5505
Faks: +1.847.253.1755
Hubungi kami: https://support.isaca.org
Situs web: www.isaca.org
Twitter:http://twitter.com/ISACANews
LinkedIn:http://linkd.in/ISACAOfficial
Facebook:www.facebook.com/ISACAHQ
Instagram:www.instagram.com/isacanews/
Didedikasikan untuk John Lainhart, ketua Dewan ISACA 1984-1985. John berperan penting dalam penciptaan COBIT®
kerangka kerja dan terakhir menjabat sebagai ketua kelompok kerja COBIT®2019, yang puncaknya adalah
terciptanya karya ini. Selama empat dekade bersama ISACA, John terlibat dalam berbagai aspek asosiasi serta
memegang sertifikasi CISA, CRISC, CISM dan CGEIT dari ISACA. John meninggalkan warisan pribadi dan profesional
yang luar biasa, dan usahanya berdampak signifikan pada ISACA.
3
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
Tim pengembangan
Steven De Haes, Ph.D., Antwerp Management School, Universitas Antwerp, Belgia
Matthias Goorden, PwC, Belgia
Stefanie Grijp, PwC, Belgia
Bart Peeters, PwC, Belgia
Geert Poels, Ph.D., Universitas Ghent, Belgia
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Belgia
Peninjau Ahli
SarahAhmadAbedin, CISA, CRISC, CGEIT, Grant Thornton LLP, AS
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Belgia
ElisabethAntonssen, Nordea Bank, Swedia
Krzystof Baczkiewicz, CHAMP, CITAM, CSAM, Transpectit, Polandia
Christopher M. Ballister, CRISC, CISM, CGEIT, Grant Thornton, AS Gary
Bannister, CGEIT, CGMA, FCMA, Austria
Graciela Braga, CGEIT, Auditor dan Penasihat, Argentina
Ricardo Bria, CISA, CRISC, CGEIT, COTO CICSA, Argentina Sushil
Chatterji, CGEIT, Edutech Enterprises, Singapura
Peter T. Davis, CISA, CISM, CGEIT, COBIT 5Penilai, CISSP, CMA, CPA, PMI-RMP, PMP,
Peter Davis+Rekan, Kanada
James Doss, CISM, CGEIT, EMCCA, PMP, SSGB, TOGAF 9, ITvalueQuickStart.com, AS
Yalcin Gerek, CISA, CRISC, CGEIT, Pakar ITIL, Prince2, ISO 20000LI, ISO27001LA, TACAS., Turki James
L. Golden, Golden ConsultingAssociates, AS
J. Winston Hayden, CISA, CISM, CRISC, CGEIT, Afrika Selatan
Jimmy Heschl, CISA, CISM, CGEIT, Red Bull, Austria
Jorge Hidalgo, CISA, CISM, CGEIT, Chili
John Jasinski, CISA, CRISC, CISM, CGEIT, COBIT 5Assessor, CSM, CSPO, IT4IT-F, Pakar ITIL, Lean IT-F,
MOF, SSBB, TOGAF-F, AS Joanna
Karczewska, CISA, Polandia
Glenn Keaveny, CEH, CISSP, Grant Thornton, AS
Eddy Khoo SK, CGEIT, Kuala Lumpur, Malaysia
Joao Souza Neto, CRISC, CGEIT, Universidade Católica de Brasília, Brazil
Tracey O'Brien, CISA, CISM, CGEIT, IBM Corp (pensiun), AS
Zachy Olorunojowon, CISA, CGEIT, PMP, BC Kementerian Kesehatan, Victoria, BC Kanada
Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP, ISO 27001LA, M.IoD, Afenoid Enterprise Limited, Nigeria
Andre Pitkowski, CRISC, CGEIT, CRMA-IIA, OCTAVE, SM, APIT Consultoria de Informatica Ltd., Brasil
Dirk Reimers, Entco Deutschland GmbH, Perusahaan Fokus AMicro
Steve Reznik, CISA, CRISC, ADP, LLC., AS
Bruno Horta Soares, CISA, CRISC, CGEIT, PMP, GOVaaS - GovernanceAdvisors, as-a-Service, Portugal Dr.
Katalin Szenes, Ph.D., CISA, CISM, CGEIT, CISSP, John von Neumann Fakultas Informatika,
Universitas Obuda, Hongaria
5
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
Peninjau Ahli
Peter Tessin, CISA, CRISC, CISM, CGEIT, Discover, AS
Mark Thomas, CRISC, CGEIT, Escoute, AS
John Thorp, CMC, ISP, ITCP, The Thorp Network, Kanada
Menyapa Volders, CGEIT, COBITAssessor, Voquals NV, Belgia
Markus Walter, CISA, CISM, CISSP, ITIL, PMP, TOGAF, PwC Singapura/Swiss David
M. Williams, CISA, CAMS, Westpac, Selandia Baru
Greg Witte, CISM, G2 Inc., AS
DAFTAR ISI
Daftar Gambar................................................. ................................................. ...................................................9
DAFTAR GAMBAR
Bab 1 PENDAHULUAN
Gambar 1.1—Konteks Tata Kelola Perusahaan di bidang Informasi dan Teknologi...................................... ............11
9
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
10
Bab 1
Perkenalan
Mengingat transformasi digital, informasi dan teknologi (I&T) menjadi sangat penting dalam mendukung, keberlanjutan, dan pertumbuhan
perusahaan. Sebelumnya, dewan pengurus (dewan direksi) dan manajemen senior dapat mendelegasikan, mengabaikan atau menghindari
keputusan terkait I&T. Di sebagian besar sektor dan industri, sikap seperti ini kini tidak bijaksana. Penciptaan nilai pemangku kepentingan (yaitu,
mewujudkan manfaat dengan biaya sumber daya yang optimal sambil mengoptimalkan risiko) sering kali didorong oleh digitalisasi tingkat tinggi
dalam model bisnis baru, proses yang efisien, inovasi yang sukses, dll. Perusahaan-perusahaan yang terdigitalisasi semakin bergantung pada I&T
untuk kelangsungan hidup dan pertumbuhannya. .
Mengingat pentingnya I&T untuk manajemen risiko perusahaan dan penciptaan nilai, fokus khusus pada tata kelola
informasi dan teknologi perusahaan (EGIT) telah muncul selama tiga dekade terakhir. EGIT merupakan bagian integral
dari tata kelola perusahaan. Hal ini dilaksanakan oleh dewan yang mengawasi definisi dan penerapan proses, struktur,
dan mekanisme relasional dalam organisasi yang memungkinkan pelaku bisnis dan TI melaksanakan tanggung jawab
mereka dalam mendukung penyelarasan bisnis/TI dan penciptaan nilai bisnis dari dukungan I&T. investasi bisnis (gambar
1.1).
Sumber: De Haes, Steven; W.Van Grembergen;Tata Kelola Perusahaan Teknologi Informasi: Mencapai Keselarasan dan Nilai, Menampilkan
COBIT 5, 2daned., Springer International Publishing, Swiss, 2015,https://www.springer.com/us/book/9783319145464
Tata kelola informasi dan teknologi perusahaan bersifat kompleks dan beragam. Tidak ada solusi jitu (atau cara ideal) untuk merancang,
menerapkan, dan memelihara EGIT yang efektif dalam suatu organisasi. Oleh karena itu, anggota dewan pengurus dan manajemen senior
biasanya perlu menyesuaikan langkah-langkah dan implementasi EGIT mereka sesuai dengan konteks dan kebutuhan spesifik mereka.
Mereka juga harus bersedia menerima akuntabilitas yang lebih besar terhadap I&T dan mendorong pola pikir dan budaya yang berbeda
untuk memberikan nilai dari I&T.
Pada dasarnya, EGIT berkaitan dengan penyampaian nilai dari transformasi digital dan mitigasi risiko bisnis yang
diakibatkan oleh transformasi digital. Lebih khusus lagi, tiga hasil utama yang dapat diharapkan setelah penerapan EGIT
berhasil:
-Realisasi manfaat—Ini terdiri dari menciptakan nilai bagi perusahaan melalui I&T, mempertahankan dan meningkatkan
nilai yang diperoleh dari I&T yang ada1 investasi, dan menghilangkan inisiatif dan aset TI yang tidak menghasilkan
1
nilai yang cukup. Prinsip dasar nilai I&T adalah penyampaian layanan dan solusi yang sesuai dengan tujuan, tepat waktu
1
1 Sepanjang teks ini, TI digunakan untuk merujuk pada departemen organisasi dengan tanggung jawab utama terhadap teknologi. I&T seperti yang digunakan dalam teks ini mengacu pada semua
informasi yang dihasilkan, diproses, dan digunakan oleh perusahaan untuk mencapai tujuannya, serta teknologi untuk mendukungnya di seluruh perusahaan.
11
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
dan sesuai anggaran, yang menghasilkan manfaat finansial dan nonfinansial yang diharapkan. Nilai yang diberikan I&T
harus selaras langsung dengan nilai-nilai yang menjadi fokus bisnis. Nilai TI juga harus diukur dengan cara yang
menunjukkan dampak dan kontribusi investasi berbasis TI dalam proses penciptaan nilai perusahaan.
-Optimalisasi risiko—Hal ini mencakup penanganan risiko bisnis yang terkait dengan penggunaan, kepemilikan, pengoperasian,
keterlibatan, pengaruh, dan penerapan I&T dalam suatu perusahaan. Risiko bisnis terkait I&T terdiri dari peristiwa terkait I&T
yang berpotensi berdampak pada bisnis. Sementara penyampaian nilai berfokus padapenciptaannilai, manajemen risiko
berfokus padakelestarianberharga. Pengelolaan risiko terkait I&T harus diintegrasikan dalam pendekatan manajemen risiko
perusahaan untuk memastikan perusahaan fokus pada TI. Hal ini juga harus diukur dengan cara yang menunjukkan dampak dan
kontribusi dari optimalisasi risiko bisnis terkait I&T dalam menjaga nilai.
-Optimalisasi sumber daya—Hal ini memastikan bahwa kemampuan yang sesuai tersedia untuk melaksanakan rencana strategis dan
sumber daya yang memadai, tepat dan efektif disediakan. Optimalisasi sumber daya memastikan tersedianya infrastruktur TI yang
terintegrasi dan ekonomis, teknologi baru diperkenalkan sesuai kebutuhan bisnis, dan sistem yang usang diperbarui atau diganti.
Karena menyadari pentingnya sumber daya manusia, selain perangkat keras dan perangkat lunak, perusahaan ini berfokus pada
penyediaan pelatihan, meningkatkan retensi, dan memastikan kompetensi personel TI utama. Sumber daya yang penting adalah data
dan informasi, dan pemanfaatan data dan informasi untuk mendapatkan nilai optimal adalah elemen kunci lain dari optimalisasi
sumber daya.
Penyelarasan strategis dan pengukuran kinerja merupakan hal yang sangat penting dan berlaku secara keseluruhan pada semua aktivitas
untuk memastikan bahwa tujuan terkait I&T selaras dengan tujuan perusahaan.
Dalam studi kasus besar di sebuah perusahaan penerbangan internasional, manfaat EGIT ditunjukkan antara lain: menurunkan biaya
kontinuitas terkait TI, meningkatkan kapasitas inovasi yang didukung TI, meningkatkan keselarasan antara investasi digital dan tujuan serta
strategi bisnis, meningkatkan kepercayaan antara bisnis dan TI, dan a pergeseran menuju “pola pikir nilai” seputar aset digital.2
2
Penelitian telah menunjukkan bahwa perusahaan dengan pendekatan EGIT yang dirancang atau diadopsi dengan buruk memiliki kinerja yang lebih
buruk dalam menyelaraskan strategi dan proses bisnis dan I&T. Akibatnya, perusahaan-perusahaan tersebut cenderung tidak mencapai strategi
bisnis yang diinginkan dan mewujudkan nilai bisnis yang mereka harapkan dari transformasi digital.3 3
Dari sini jelas bahwa tata kelola harus dipahami dan diterapkan jauh melampaui penafsiran yang sering dijumpai (yaitu
sempit) yang disarankan oleh akronim tata kelola, risiko dan kepatuhan (GRC). Akronim GRC sendiri secara implisit
menunjukkan bahwa kepatuhan dan risiko terkait mewakili spektrum tata kelola.
Selama bertahun-tahun, kerangka praktik terbaik telah dikembangkan dan dipromosikan untuk membantu proses pemahaman,
perancangan, dan penerapan EGIT. COBIT®Tahun 2019 membangun dan mengintegrasikan lebih dari 25 tahun pembangunan di bidang
ini, tidak hanya menggabungkan wawasan baru dari sains, namun juga mengoperasionalkan wawasan ini sebagai praktik.
Sejak berdirinya komunitas audit TI, COBIT®telah berkembang menjadi kerangka tata kelola dan manajemen I&T yang
lebih luas dan komprehensif dan terus memantapkan dirinya sebagai kerangka kerja tata kelola I&T yang diterima secara
umum.
2
De Haes, S.; W.van Grembergen;Tata Kelola TI Perusahaan: Mencapai Keselarasan dan Nilai, Menampilkan COBIT 5, Springer Internasional
2
12
Sebelum menjelaskan kerangka COBIT yang diperbarui, penting untuk menjelaskan apa itu COBIT dan apa yang bukan:
COBIT adalah kerangka tata kelola dan pengelolaan informasi dan teknologi perusahaan,4 4 ditujukan pada
seluruh perusahaan. I&T Perusahaan berarti semua teknologi dan pemrosesan informasi yang diterapkan perusahaan untuk mencapai
tujuannya, di mana pun hal ini terjadi di perusahaan. Dengan kata lain, I&T perusahaan tidak terbatas pada departemen TI suatu
organisasi, namun tentu saja mencakup departemen tersebut.
Kerangka COBIT membuat perbedaan yang jelas antara tata kelola dan manajemen. Kedua disiplin ilmu ini mencakup
aktivitas yang berbeda, memerlukan struktur organisasi yang berbeda, dan memiliki tujuan yang berbeda.
-Kebutuhan, kondisi dan pilihan pemangku kepentingan dievaluasi untuk menentukan tujuan perusahaan yang seimbang dan disepakati.
-Kinerja dan kepatuhan dipantau berdasarkan arah dan tujuan yang disepakati.
Di sebagian besar perusahaan, tata kelola secara keseluruhan merupakan tanggung jawab dewan direksi, di bawah kepemimpinan
ketua. Tanggung jawab tata kelola yang spesifik dapat didelegasikan kepada struktur organisasi khusus pada tingkat yang sesuai,
khususnya di perusahaan yang lebih besar dan kompleks.
-Pengelolaanmerencanakan, membangun, menjalankan dan memantau kegiatan, sejalan dengan arahan yang ditetapkan oleh badan tata
kelola, untuk mencapai tujuan perusahaan.
Di sebagian besar perusahaan, manajemen merupakan tanggung jawab manajemen eksekutif, di bawah
kepemimpinan CEO (CEO).
COBIT mendefinisikan komponen untuk membangun dan mempertahankan sistem tata kelola: proses, struktur organisasi,
kebijakan dan prosedur, arus informasi, budaya dan perilaku, keterampilan, dan infrastruktur.5 5
COBIT mendefinisikan faktor desain yang harus dipertimbangkan oleh perusahaan untuk membangun sistem tata kelola yang paling sesuai.
COBIT mengatasi masalah tata kelola dengan mengelompokkan komponen tata kelola yang relevan ke dalam tujuan tata kelola dan
manajemen yang dapat dikelola hingga tingkat kemampuan yang diperlukan.
-COBIT tidak membuat atau menentukan keputusan terkait TI apa pun. Ia tidak akan memutuskan strategi TI apa yang terbaik, arsitektur apa yang terbaik, atau
berapa besar biaya TI yang dapat atau harus dikeluarkan. COBIT mendefinisikan semua komponen yang menggambarkan keputusan mana yang harus
diambil, dan bagaimana serta oleh siapa keputusan tersebut harus diambil.
4
4Sepanjang publikasi ini, rujukan pada “kerangka tata kelola TI” menyiratkan keseluruhan uraian ini.
5
5Komponen-komponen ini disebut sebagai penggerak (enabler) dalam COBIT®5.
13
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
-Bab 10 mencantumkan standar, kerangka kerja dan peraturan yang telah digunakan selama pengembangan COBIT®
2019.
14
Bab 2
Audiens yang dituju
Target audiens COBIT adalah pemangku kepentingan EGIT dan, lebih jauh lagi, pemangku kepentingan tata kelola perusahaan. Para pemangku
kepentingan ini dan manfaat yang dapat mereka peroleh dari COBIT dapat dilihat pada gambar berikutgambar 2.1.
Papan Memberikan wawasan tentang cara mendapatkan manfaat dari penggunaan I&T dan menjelaskan
tanggung jawab dewan yang relevan
Manajemen eksekutif Memberikan panduan tentang cara mengatur dan memantau kinerja I&T di
seluruh perusahaan
Manajer Bisnis Membantu memahami cara mendapatkan solusi I&T yang dibutuhkan perusahaan
dan cara terbaik memanfaatkan teknologi baru untuk peluang strategis baru
Manajer TI Memberikan panduan tentang cara terbaik untuk membangun dan menyusun departemen TI,
mengelola kinerja TI, menjalankan operasi TI yang efisien dan efektif, mengendalikan biaya TI,
menyelaraskan strategi TI dengan prioritas bisnis, dll.
Regulator Membantu memastikan perusahaan mematuhi aturan dan regulasi yang berlaku
serta memiliki sistem tata kelola yang tepat untuk mengelola dan
mempertahankan kepatuhan
Mitra Bisnis Membantu memastikan operasional mitra bisnis aman, andal, dan
mematuhi peraturan dan ketentuan yang berlaku
Vendor TI Membantu memastikan bahwa operasi vendor TI aman, andal, dan
mematuhi aturan dan regulasi yang berlaku
Tingkat pengalaman tertentu dan pemahaman menyeluruh tentang perusahaan diperlukan untuk mendapatkan manfaat dari kerangka
COBIT. Pengalaman dan pemahaman tersebut memungkinkan pengguna untuk menyesuaikan panduan inti COBIT—yang bersifat umum—
menjadi panduan yang disesuaikan dan terfokus untuk perusahaan, dengan mempertimbangkan konteks perusahaan.
Sasarannya mencakup mereka yang bertanggung jawab sepanjang siklus hidup solusi tata kelola, mulai dari perancangan, pelaksanaan, hingga
penjaminan. Memang benar, penyedia jaminan dapat menerapkan logika dan alur kerja yang dikembangkan dalam publikasi ini untuk menciptakan
program jaminan yang dapat dibuktikan dengan baik bagi perusahaan.
15
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
16
bagian 3
Prinsip COBIT
3.1 Pendahuluan
2.Sistem tata kelola untuk I&T perusahaan dibangun dari sejumlah komponen yang bisa berbeda jenisnya
dan bekerja sama secara holistik.
3.Sistem pemerintahan harus bersifat dinamis. Artinya, setiap kali satu atau lebih faktor desain diubah (misalnya perubahan
strategi atau teknologi), dampak perubahan tersebut terhadap sistem EGIT harus dipertimbangkan. Pandangan dinamis
tentang EGIT akan mengarah pada sistem EGIT yang layak dan tahan masa depan.
4.Sistem tata kelola harus dengan jelas membedakan antara tata kelola dan aktivitas serta struktur manajemen.
5.Sistem tata kelola harus disesuaikan dengan kebutuhan perusahaan, dengan menggunakan serangkaian faktor desain sebagai parameter untuk
menyesuaikan dan memprioritaskan komponen sistem tata kelola.
6.Sistem tata kelola harus mencakup seluruh perusahaan, dengan fokus tidak hanya pada fungsi TI namun pada semua
teknologi dan pemrosesan informasi yang diterapkan perusahaan untuk mencapai tujuannya, terlepas dari lokasi
pemrosesan di perusahaan tersebut.6 1
1. Menyediakan 3. Dinamis
2. Holistik
Pemangku kepentingan Tata Kelola
Mendekati
Nilai Sistem
1
6 Hugh, T.; S.De Haes; “Menggunakan Model Sistem yang Layak untuk Mempelajari Dinamika Tata Kelola TI: Bukti dari Studi Kasus Tunggal,”Prosiding
51stKonferensi Internasional Hawaii tentang Ilmu Sistem, 2018,https://scholarspace.manoa.hawaii.edu/bitstream/10125/50501/1/paper0614.pdf
17
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
2.Kerangka tata kelola harus terbuka dan fleksibel. Hal ini harus memungkinkan penambahan konten baru dan kemampuan untuk
mengatasi masalah baru dengan cara yang paling fleksibel, dengan tetap menjaga integritas dan konsistensi.
3.Kerangka tata kelola harus selaras dengan standar, kerangka kerja, dan peraturan utama yang relevan.
1. Berdasarkan
2. Buka dan
Konseptual
Fleksibel
Model
3. Selaras dengan
Standar Utama
3.4 COBIT®2019
COBIT®2019 merupakan penyempurnaan dari COBIT versi sebelumnya dalam beberapa bidang berikut:
-Fleksibilitas dan keterbukaan—Definisi dan penggunaan faktor desain memungkinkan COBIT disesuaikan agar lebih selaras
dengan konteks khusus pengguna. Arsitektur terbuka COBIT memungkinkan penambahan area fokus baru (lihat bagian 4.4) atau
memodifikasi area fokus yang sudah ada, tanpa implikasi langsung terhadap struktur dan konten model inti COBIT.
-Mata uang dan relevansi—Model COBIT mendukung referensi dan penyelarasan konsep yang berasal dari sumber lain
(misalnya, standar TI terbaru dan peraturan kepatuhan).
-Penerapan yang bersifat preskriptif—Model seperti COBIT dapat bersifat deskriptif dan preskriptif. Model konseptual COBIT
dibangun dan disajikan sedemikian rupa sehingga contohnya (yaitu, penerapan komponen tata kelola COBIT yang
disesuaikan) dianggap sebagai resep untuk sistem tata kelola TI yang disesuaikan.
-Manajemen kinerja TI—Struktur model manajemen kinerja COBIT diintegrasikan ke dalam model konseptual.
Konsep kematangan dan kemampuan diperkenalkan untuk penyelarasan yang lebih baik dengan CMMI.
Panduan COBIT menggunakan istilah tata kelola informasi dan teknologi perusahaan, tata kelola perusahaan
informasi dan teknologi, tata kelola TI, dan tata kelola TI secara bergantian.
18
Bab 4
Konsep Dasar: Sistem dan Komponen Tata Kelola
COBITnya®Rangkaian produk 2019 bersifat terbuka dan dirancang untuk penyesuaian. Publikasi berikut
saat ini tersedia:7 1
- COBIT®Panduan Implementasi 2019: Penerapan dan Optimalisasi Solusi Tata Kelola Informasi dan Teknologi
mewakili evolusi dariCOBIT®5 Implementasimemandu dan mengembangkan peta jalan untuk perbaikan tata kelola yang
berkelanjutan. Ini dapat digunakan dalam kombinasi denganCOBIT®Panduan Desain 2019.
Gambar 4.1menunjukkan ikhtisar tingkat tinggi COBIT®2019 dan menggambarkan bagaimana berbagai publikasi dalam kumpulan tersebut
mencakup berbagai aspek.
• Strategi perusahaan
• Tujuan perusahaan
• Ukuran perusahaan
• Peran TI
Masukan ke COBIT®2019 COBIT®2019 • Model pengadaan untuk TI
• Persyaratan kepatuhan
• Dll.
dan pemeliharaan
Optimasi Pertunangan
MEA01—Dikelola
Kinerja dan
Kesesuaian
Pemantauan
APO09—Dikelola
APO08—Dikelola APO10—Dikelola APO11—Dikelola APO12—Dikelola APO13—Dikelola APO14—Dikelola
Area fokus
Melayani
Hubungan Vendor Kualitas Keamanan Data
Perjanjian Mempertaruhkan
dan manajemen
Identifikasi
Ketersediaan Organisasi
Perubahan TI Penerimaan dan
Definisi dan Kapasitas Mengubah
dan Membangun Transisi
• Keamanan
Persyaratan
1
7Pada saat publikasi iniCOBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologijudul, judul tambahan direncanakan untuk COBIT®2019
keluarga produk tetapi belum dirilis.
19
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
Konten diidentifikasi sebagai area fokus digambar 4.1akan berisi panduan lebih rinci tentang tema tertentu.8 2
COBIT®2019 didasarkan pada COBIT®5 dan sumber resmi lainnya. COBIT selaras dengan sejumlah standar dan
kerangka kerja terkait. Daftar standar-standar ini terdapat dalam Bab 10. Analisis standar-standar terkait dan
penyelarasan COBIT dengan standar-standar tersebut mendasari posisi COBIT sebagai payung kerangka tata kelola
I&T.
Di masa depan, COBIT akan memanggil komunitas penggunanya untuk mengusulkan pembaruan konten, untuk diterapkan
sebagai kontribusi terkontrol secara terus-menerus, agar COBIT selalu mendapatkan informasi dan evolusi terkini.
Bagian berikut menjelaskan konsep dan istilah utama yang digunakan dalam COBIT®2019.
Agar informasi dan teknologi dapat berkontribusi pada tujuan perusahaan, sejumlah tujuan tata kelola dan manajemen
harus dicapai. Konsep dasar yang berkaitan dengan tujuan tata kelola dan pengelolaan adalah:
- Tujuan tata kelola atau manajemenselalu berhubungan dengan satu proses (dengan nama yang identik atau mirip) dan
serangkaian komponen terkait dari jenis lain untuk membantu mencapai tujuan.
-Tujuan tata kelola berkaitan dengan proses tata kelola (digambarkan dengan latar belakang biru tua digambar 4.2), sedangkan
tujuan pengelolaan berkaitan dengan proses pengelolaan (digambarkan dengan latar belakang biru muda digambar 4.2).
Dewan dan manajemen eksekutif biasanya bertanggung jawab atas proses tata kelola, sedangkan proses manajemen
merupakan domain manajemen senior dan menengah.
Tujuan tata kelola dan manajemen dalam COBIT dikelompokkan menjadi lima domain. Domain memiliki nama dengan kata kerja yang
mengungkapkan maksud utama dan bidang kegiatan dari tujuan yang terkandung di dalamnya:
-Tujuan tata kelola dikelompokkan dalamMengevaluasi, Mengarahkan dan Memantau(domain EDM). Dalam domain ini, badan
pengatur mengevaluasi pilihan-pilihan strategis, mengarahkan manajemen senior pada pilihan-pilihan strategis yang dipilih dan
memantau pencapaian strategi.
-Sejajarkan, Rencanakan, dan Atur(APO) membahas keseluruhan organisasi, strategi, dan aktivitas pendukung I&T.
-Bangun, Dapatkan, dan Implementasikan(BAI) membahas definisi, akuisisi dan implementasi solusi I&T dan
integrasinya dalam proses bisnis.
-Pengiriman, Layanan, dan Dukungan(DSS) menangani penyampaian operasional dan dukungan layanan I&T, termasuk
keamanan.
-Memantau, Mengevaluasi dan Menilai(MEA) membahas pemantauan kinerja dan kesesuaian I&T dengan target kinerja
internal, tujuan pengendalian internal, dan persyaratan eksternal.
2
8Sejumlah panduan konten area fokus ini sudah dalam persiapan; lainnya sudah direncanakan. Kumpulan panduan area fokus bersifat terbuka dan bersifat berkehendak
terus berkembang. Untuk informasi terkini mengenai publikasi yang tersedia saat ini dan yang direncanakan serta konten lainnya, silakan kunjungiwww.isaca.org/cobit.
20
EDM01—Terjamin
EDM04—Terjamin EDM05—Terjamin
Tata Kelola EDM02—Terjamin EDM03—Terjamin
Pengiriman Manfaat Optimasi Risiko Sumber Pemangku kepentingan
Pengaturan Kerangka
Optimasi Pertunangan
dan pemeliharaan
APO01—Dikelola APO03—Dikelola
APO02—Dikelola APO04—Dikelola APO05—Dikelola APO06 — Dikelola APO07—Dikelola
Manajemen I&T Perusahaan
Strategi Inovasi Portofolio Anggaran dan Biaya Sumber daya manusia
Kerangka Arsitektur
MEA01—Dikelola
Kinerja dan
Kesesuaian
Pemantauan
APO09—Dikelola
APO08—Dikelola APO10—Dikelola APO11—Dikelola APO12— Dikelola APO13—Dikelola APO14—Dikelola
Melayani
Hubungan Vendor Kualitas Keamanan Data
Perjanjian
Mempertaruhkan
MEA02—Dikelola
Sistem Internal
BAI03—Dikelola BAI07—Dikelola Kontrol
BAI01—Dikelola BAI02—Dikelola BAI04—Dikelola BAI05—Dikelola
Solusi BAI06—Dikelola Perubahan TI
Program Persyaratan Ketersediaan Organisasi
Identifikasi Perubahan TI Penerimaan dan
Definisi dan Kapasitas Mengubah
dan Membangun Transisi
MEA03—Dikelola
BAI08—Dikelola BAI09—Dikelola BAI10—Dikelola BAI11—Dikelola Kepatuhan Dengan
Pengetahuan Aktiva Konfigurasi Proyek Luar
Persyaratan
Untuk memenuhi tujuan tata kelola dan manajemen, setiap perusahaan perlu membangun, menyesuaikan dan mempertahankan sistem tata kelola
yang dibangun dari sejumlah komponen.
Komponen adalah faktor-faktor yang, secara individu dan kolektif, berkontribusi terhadap berjalannya sistem tata kelola
-
-Komponen berinteraksi satu sama lain, sehingga menghasilkan sistem tata kelola I&T yang holistik.
-Komponen dapat terdiri dari berbagai jenis. Yang paling familiar adalah proses. Namun, komponen sistem tata kelola
juga mencakup struktur organisasi; kebijakan dan prosedur; item informasi; budaya dan perilaku; keterampilan dan
kompetensi; dan layanan, infrastruktur dan aplikasi (gambar 4.3).
-Prosesmenggambarkan serangkaian praktik dan aktivitas terorganisir untuk mencapai tujuan tertentu dan menghasilkan serangkaian keluaran
yang mendukung pencapaian tujuan terkait TI secara keseluruhan.
-Prinsip, kebijakan dan kerangka kerjamenerjemahkan perilaku yang diinginkan menjadi panduan praktis untuk manajemen
sehari-hari.
-Informasitersebar luas di seluruh organisasi dan mencakup semua informasi yang dihasilkan dan digunakan oleh perusahaan.
COBIT berfokus pada informasi yang diperlukan untuk berfungsinya sistem tata kelola perusahaan secara efektif.
21
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
-Budaya, etika dan perilakuindividu dan perusahaan sering diremehkan sebagai faktor
keberhasilan kegiatan tata kelola dan manajemen.
-Orang, keterampilan dan kompetensiDiperlukan untuk pengambilan keputusan yang baik, pelaksanaan tindakan perbaikan dan keberhasilan
penyelesaian semua kegiatan.
-Layanan, infrastruktur, dan aplikasimencakup infrastruktur, teknologi, dan aplikasi yang menyediakan sistem
tata kelola bagi pemrosesan I&T bagi perusahaan.
Proses
Jasa,
Infrastruktur Organisasi
Dan Struktur
Aplikasi
Tata Kelola
Orang, Keterampilan Sistem Prinsip,
Dan Kebijakan,
Kompetensi Prosedur
Budaya, Etika
Dan Informasi
Perilaku
Semua jenis komponen dapat bersifat generik atau dapat berupa varian dari komponen generik:
-Umumkomponen dijelaskan dalam model inti COBIT (lihatgambar 4.2) dan berlaku secara prinsip pada situasi apa pun.
Namun, hal tersebut bersifat umum dan umumnya memerlukan penyesuaian sebelum diterapkan secara praktis.
-Variandidasarkan pada komponen umum namun disesuaikan untuk tujuan atau konteks tertentu dalam area fokus (misalnya,
untuk keamanan informasi, DevOps, peraturan tertentu).
Aarea fokusmenguraikan topik, domain, atau isu tata kelola tertentu yang dapat diatasi melalui kumpulan tujuan
tata kelola dan pengelolaan serta komponennya. Contoh area fokus meliputi: kecil dan menengah
perusahaan, keamanan siber, transformasi digital, komputasi awan, privasi, dan DevOps.9 3 Area fokus mungkin berisi a
kombinasi komponen dan varian tata kelola umum.
3
DevOps mencontohkan varian komponen dan area fokus. Mengapa? DevOps adalah tema terkini di pasar dan pastinya memerlukan tema spesifik
9
bimbingan, menjadikannya area fokus. DevOps mencakup sejumlah tujuan tata kelola dan manajemen umum dari model inti COBIT, bersama
dengan sejumlah varian proses dan struktur organisasi terkait pengembangan, operasional, dan pemantauan.
22
Jumlah area fokus sebenarnya tidak terbatas. Hal inilah yang membuat COBIT bersifat terbuka. Area fokus baru dapat
ditambahkan sesuai kebutuhan atau seiring dengan kontribusi para ahli dan praktisi pada model COBIT terbuka.
Faktor desainadalah faktor-faktor yang dapat mempengaruhi rancangan sistem tata kelola suatu perusahaan dan menempatkannya dalam keberhasilan
dalam penggunaan I&T.
Potensi dampak faktor desain terhadap sistem tata kelola dijelaskan di bagian 7.1. Informasi lebih lanjut dan
panduan rinci tentang cara menggunakan faktor desain untuk merancang sistem tata kelola dapat ditemukan di
COBIT®Panduan Desain 2019.
1.Strategi perusahaan —Perusahaan dapat memiliki strategi yang berbeda, yang dapat dinyatakan sebagai satu atau lebih arketipe yang
ditunjukkan pada gambargambar 4.5. Organisasi biasanya mempunyai strategi utama dan, paling banyak, satu strategi sekunder.
Inovasi/Diferensiasi Perusahaan ini memiliki fokus dalam menawarkan produk dan layanan yang berbeda dan/atau
inovatif kepada klien mereka.11 5
Kepemimpinan Biaya Perusahaan memiliki fokus pada minimalisasi biaya jangka pendek.12 6
Layanan/Stabilitas Klien Perusahaan ini memiliki fokus pada penyediaan layanan yang stabil dan berorientasi pada klien.13 7
10
4
Sesuai dengan prospektor dalam tipologi Miles-Snow. Lihat “Tipologi Pembela, Prospektor, Penganalisis, dan Reaktor Miles dan Snow,” Elibrary, https://
ebrary.net/3737/management/miles_snows_typology_defender_prospector_analyzer_reactor.
11
5
Lihat Reeves, Martin; Claire Love, Philipp Tillmanns, “Strategi Anda Membutuhkan Strategi,”ulasan Bisnis Harvard, September 2012,
https://hbr.org/2012/09/your-strategy-needs-a-strategy, khususnya mengenai visioner dan pembentukan.
12
6
Sesuai dengan kepemimpinan biaya; lihat Universitas Cambridge, “Strategi Kompetitif Generik Porter (cara bersaing),” Kebijakan Teknologi Manajemen
Institute for Manufacturing (IfM),https://www.ifm.eng.cam.ac.uk/research/dstools/porters-generic-competitive-strategies/. Juga sesuai dengan keunggulan
operasional; lihat Treacy, Michael; Fred Wiersema, “Keintiman Pelanggan dan Disiplin Nilai Lainnya,”ulasan Bisnis Harvard, Januari/Februari 1993,https://
hbr.org/1993/01/customer-intimacy-and-other-value-disciplines
13
7
Sesuai dengan pembela dalam tipologi Miles-Snow. Melihatop cit“Tipologi Pembela, Prospektor, Penganalisis, dan Reaktor Miles dan Snow.”
23
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
2.Tujuan perusahaan mendukung strategi perusahaan—Strategi perusahaan diwujudkan dengan pencapaian (serangkaian) tujuan
perusahaan. Sasaran-sasaran ini didefinisikan dalam kerangka COBIT, disusun sepanjang dimensi Balanced Scorecard (BSC), dan
mencakup elemen-elemen yang ditunjukkan dalamgambar 4.6.
Bagian 4.6 mencakup informasi lebih lanjut tentang rangkaian tujuan COBIT, yang merupakan penjabaran rinci dari
faktor desain ini.
3.Profil risiko perusahaan dan permasalahan terkini terkait I&T—Profil risiko mengidentifikasi jenis risiko terkait I&T
yang saat ini dihadapi oleh perusahaan dan menunjukkan area risiko mana yang melebihi risiko tersebut.
nafsu makan. Kategori risiko14 terdaftar digambar 4.7pertimbangan pantas.
8
5 Arsitektur perusahaan/TI
6 insiden infrastruktur operasional TI
7 Tindakan tidak sah
8 Masalah adopsi/penggunaan perangkat lunak
8
14 Dimodifikasi dari ISACA,Panduan Praktisi TI Risiko, AS, 2009
24
4.Masalah terkait I&T —Metode terkait untuk penilaian risiko I&T bagi perusahaan adalah dengan mempertimbangkan permasalahan
terkait I&T mana yang saat ini dihadapi, atau, dengan kata lain, risiko terkait I&T apa yang telah terwujud. Yang paling umum
masalah15 9 termasuk mereka yang ada di dalamnyagambar 4.8.
H Duplikasi atau tumpang tindih antara berbagai inisiatif, atau bentuk pemborosan sumber daya lainnya
SAYA Sumber daya TI yang tidak memadai, staf dengan keterampilan yang tidak memadai, atau kelelahan/ketidakpuasan staf
J Perubahan atau proyek yang didukung TI sering kali gagal memenuhi kebutuhan bisnis dan terlambat dilaksanakan atau melebihi
anggaran
K Keengganan anggota dewan, eksekutif atau manajemen senior untuk terlibat dengan TI, atau
kurangnya komitmen sponsor bisnis untuk TI
L Model operasi TI yang kompleks dan/atau mekanisme pengambilan keputusan terkait TI yang tidak jelas
M Biaya TI yang terlalu tinggi
N Terhambat atau gagalnya implementasi inisiatif atau inovasi baru yang disebabkan oleh arsitektur
dan sistem TI saat ini
HAI Kesenjangan antara pengetahuan bisnis dan teknis, yang menyebabkan pengguna bisnis dan spesialis
informasi dan/atau teknologi berbicara dalam bahasa yang berbeda
P Masalah rutin dengan kualitas data dan integrasi data di berbagai sumber
Q Komputasi pengguna akhir tingkat tinggi, menciptakan (di antara masalah lainnya) kurangnya pengawasan
dan kontrol kualitas atas aplikasi yang sedang dikembangkan dan dioperasikan
R Departemen bisnis menerapkan solusi informasi mereka sendiri dengan sedikit atau tanpa keterlibatan
departemen TI perusahaan16 10
5.Lanskap ancaman —Lanskap ancaman di mana perusahaan beroperasi dapat diklasifikasikan seperti yang ditunjukkan pada
gambar 4.9.
9
15
Lihat juga Bagian 3.3.1 Titik Sakit Umum, di ISACA,COBIT®Panduan Implementasi 2019: Penerapan dan Optimalisasi Solusi Tata
Kelola Informasi dan Teknologi, AS, 2018.
16
10
Masalah ini terkait dengan komputasi pengguna akhir, yang sering kali berasal dari ketidakpuasan terhadap solusi dan layanan TI.
25
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
6.Persyaratan kepatuhan —Persyaratan kepatuhan yang harus dipenuhi oleh perusahaan dapat diklasifikasikan menurut
kategori yang tercantum dalamgambar 4.10.
7.Peran TI —Peran TI bagi perusahaan dapat diklasifikasikan seperti yang ditunjukkan dalamgambar 4.11.
8.Model sumber untuk TI —Model pengadaan yang diadopsi perusahaan dapat diklasifikasikan seperti yang ditunjukkan padagambar 4.12.
11
17Peran yang termasuk dalam tabel ini diambil dari McFarlan, F. Warren; James L.McKenney; Philip Pyburn; “Kepulauan Informasi—Merencanakan a
Kursus,"Ulasan Bisnis Harvard,Januari 1993,https://hbr.org/1983/01/the-information-archipelago-plotting-a-course.
26
9.Metode implementasi TI —Metode yang digunakan perusahaan dapat diklasifikasikan seperti yang disebutkan dalamgambar 4.13.
DevOps Perusahaan menggunakan metode kerja DevOps untuk pembuatan, penerapan, dan
pengoperasian perangkat lunak.
Hibrida Perusahaan ini menggunakan perpaduan penerapan TI tradisional dan modern, yang
sering disebut sebagai “TI bimodal.”
10.Strategi adopsi teknologi —Strategi adopsi teknologi dapat diklasifikasikan seperti yang tercantum dalamgambar 4.14.
11.Ukuran perusahaan —Dua kategori, seperti yang ditunjukkan padagambar 4.15, diidentifikasi untuk desain sistem tata kelola
perusahaan.18 12
12
18Usaha mikro, yaitu perusahaan dengan jumlah staf kurang dari 50 orang, tidak dibahas dalam publikasi ini.
27
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
Kebutuhan pemangku kepentingan harus diubah menjadi strategi perusahaan yang dapat ditindaklanjuti. Rangkaian tujuan (gambar 4.16)
mendukung tujuan perusahaan, yang merupakan salah satu faktor desain utama sistem tata kelola. Ini mendukung penentuan prioritas
tujuan pengelolaan berdasarkan prioritas tujuan perusahaan.
Pemangku kepentingan
Pengemudi dan
Kebutuhan
Perusahaan
Bertingkat ke Sasaran
Penyelarasan
Sasaran
Bertingkat ke
Tata Kelola
Dan
Bertingkat ke
Pengelolaan
Tujuan
Rangkaian tujuan lebih lanjut mendukung penerjemahan tujuan perusahaan menjadi prioritas untuk penyelarasan tujuan.
Rangkaian tujuan telah diperbarui secara menyeluruh di COBIT®2019:
-Penyelarasan tujuan menekankan keselarasan seluruh upaya TI dengan tujuan bisnis.19 13 Istilah yang diperbarui ini juga berupaya
untuk menghindari kesalahpahaman yang sering terjadi bahwa tujuan ini hanya menunjukkan tujuan internal departemen TI dalam
suatu perusahaan. Seperti tujuan perusahaan, tujuan penyelarasan telah dikonsolidasikan, dikurangi, diperbarui dan diklarifikasi jika
diperlukan.
13
19Tujuan penyelarasan disebut tujuan terkait TI di COBIT 5.
28
Kebutuhan pemangku kepentingan mengalir ke tujuan perusahaan.Gambar 4.17menunjukkan kumpulan 13 sasaran perusahaan beserta sejumlah
contoh metrik yang menyertainya.
EG03 Keuangan Kepatuhan terhadap hukum -Biaya ketidakpatuhan terhadap peraturan, termasuk penyelesaian dan
dan peraturan eksternal denda
-Jumlah masalah ketidakpatuhan terhadap peraturan yang
menyebabkan komentar publik atau publisitas negatif
-Jumlah masalah ketidakpatuhan yang dicatat oleh regulator
atau otoritas pengawas
-Jumlah masalah ketidakpatuhan terhadap peraturan yang berkaitan
dengan perjanjian kontrak dengan mitra bisnis
EG04 Keuangan Kualitas keuangan -Surveikepuasan pemangku kepentingan utama mengenai
informasi transparansi, pemahaman dan keakuratan informasi
keuangan perusahaan
-Biaya
ketidakpatuhan terhadap peraturan terkait
keuangan
EG05 Pelanggan Budaya pelayanan yang berorientasi pada -Jumlah gangguan layanan pelanggan
pelanggan -Persentase pemangku kepentingan bisnis puas bahwa penyampaian layanan
pelanggan memenuhi tingkat yang disepakati
-Jumlah keluhan pelanggan
-Tren hasil survei kepuasan pelanggan
EG06 Pelanggan Kesinambungan dan -Jumlah gangguan layanan pelanggan atau proses
ketersediaan layanan bisnis bisnis yang menyebabkan insiden signifikan
-Biaya bisnis dari insiden
-Jumlah jam pemrosesan bisnis yang hilang karena gangguan
layanan yang tidak direncanakan
-Persentase keluhan sebagai fungsi dari target ketersediaan layanan
yang berkomitmen
EG07 Pelanggan Kualitas manajemen -Tingkatkepuasan dewan dan manajemen eksekutif dengan
informasi informasi pengambilan keputusan
-Jumlah insiden yang disebabkan oleh keputusan bisnis yang
salah berdasarkan informasi yang tidak akurat
-Saatnya memberikan informasi pendukung untuk memungkinkan pengambilan
keputusan bisnis yang efektif
-Ketepatan waktu informasi manajemen
29
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
EG13 Pertumbuhan Produk dan bisnis -Tingkat kesadaran dan pemahaman terhadap
inovasi peluang inovasi bisnis
-Kepuasan pemangku kepentingan terhadap tingkat
keahlian dan ide produk dan inovasi
-Jumlah inisiatif produk dan layanan yang disetujui yang
dihasilkan dari ide-ide inovatif
Sasaran perusahaan mengalir ke sasaran penyelarasan.Gambar 4.18berisi kumpulan sasaran penyelarasan dan contoh metrik.
30
AG05 Pelanggan Pemberian layanan I&T sejalan -Persentase pemangku kepentingan bisnis puas bahwa pemberian layanan TI
dengan kebutuhan bisnis memenuhi tingkat layanan yang disepakati
-Jumlah gangguan bisnis akibat insiden layanan TI
AG08 Intern Mengaktifkan dan mendukung -Saatnya menjalankan layanan atau proses bisnis
proses bisnis dengan -Jumlahprogram bisnis yang mendukung I&T tertunda atau
mengintegrasikan aplikasi dan menimbulkan biaya tambahan karena masalah integrasi
teknologi teknologi
-Jumlah perubahan proses bisnis yang perlu ditunda atau
dikerjakan ulang karena masalah integrasi teknologi
AG10 Intern Kualitas informasi -Tingkat kepuasan pengguna terhadap kualitas dan ketepatan waktu serta
manajemen I&T ketersediaan informasi manajemen terkait I&T, dengan
mempertimbangkan sumber daya yang tersedia
-Rasio dan tingkat keputusan bisnis yang salah dimana informasi
terkait I&T yang salah atau tidak tersedia merupakan faktor
kuncinya
-Persentase informasi yang memenuhi kriteria kualitas
31
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
AG12 Belajar dan Staf yang kompeten dan termotivasi dengan -Persentase pelaku bisnis yang paham I&T (yaitu, mereka yang memiliki
Pertumbuhan saling menguntungkan pengetahuan dan pemahaman yang diperlukan tentang I&T untuk
pemahaman tentang membimbing, mengarahkan, berinovasi, dan melihat peluang I&T untuk
teknologi dan bisnis bidang keahlian mereka)
-Persentase orang TI yang paham bisnis (yaitu, mereka yang memiliki
pengetahuan dan pemahaman yang diperlukan tentang domain
bisnis yang relevan untuk memandu, mengarahkan, berinovasi, dan
melihat peluang I&T untuk domain bisnis)
-Jumlah
atau persentase pelaku bisnis yang memiliki
pengalaman manajemen teknologi
AG13 Belajar dan Pengetahuan, keahlian -Tingkatkesadaran eksekutif bisnis dan pemahaman
Pertumbuhan dan inisiatif untuk inovasi tentang kemungkinan inovasi I&T
bisnis -Jumlah inisiatif yang disetujui yang dihasilkan dari ide-ide I&T yang
inovatif
-Jumlah pelopor inovasi yang diakui/diberikan
32
Salinan Pribadi: Dr. David Lanter
BAB 5
TUJUAN TATA KELOLA DAN MANAJEMEN COBIT
Bab 5
Tujuan Tata Kelola dan Manajemen COBIT
5.1 Tujuan
Di bagian 4.2,gambar 4.2, model inti COBIT disajikan, termasuk 40 tujuan tata kelola dan manajemen.Gambar 5.1
mencantumkan semua tujuan tata kelola dan pengelolaan, masing-masing dengan pernyataan tujuannya. Pernyataan tujuan
merupakan penjabaran lebih lanjut—tingkat detail berikutnya—dari setiap tujuan tata kelola dan pengelolaan.
Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen
Referensi Nama Tujuan
EDM01 Penetapan dan pemeliharaan Memberikan pendekatan yang konsisten, terintegrasi dan selaras dengan
kerangka tata kelola yang terjamin pendekatan tata kelola perusahaan. Keputusan terkait I&T harus dibuat sejalan
dengan strategi dan tujuan perusahaan dan nilai yang diinginkan dapat
terwujud. Untuk mencapai tujuan tersebut, pastikan bahwa proses terkait TI
dan TI diawasi secara efektif dan transparan; kepatuhan terhadap persyaratan
hukum, kontrak dan peraturan telah dikonfirmasi; dan persyaratan tata kelola
untuk anggota dewan terpenuhi.
EDM02 Pemberian manfaat yang terjamin Menjamin nilai optimal dari inisiatif, layanan, dan aset yang
mendukung I&T; penyampaian solusi dan layanan yang hemat biaya;
dan gambaran biaya dan manfaat yang dapat diandalkan dan akurat
sehingga kebutuhan bisnis dapat didukung secara efektif dan efisien.
EDM03 Optimalisasi risiko yang terjamin Memastikan bahwa risiko perusahaan terkait I&T tidak melebihi selera
risiko dan toleransi risiko perusahaan, dampak risiko I&T terhadap
nilai perusahaan diidentifikasi dan dikelola, dan potensi kegagalan
kepatuhan diminimalkan.
EDM04 Pengoptimalan sumber daya yang terjamin Memastikan bahwa kebutuhan sumber daya perusahaan dipenuhi secara
optimal, biaya I&T dioptimalkan, dan terdapat peningkatan kemungkinan
realisasi manfaat dan kesiapan untuk perubahan di masa depan.
EDM05 Keterlibatan pemangku kepentingan yang terjamin Pastikan pemangku kepentingan mendukung strategi dan peta jalan I&T,
komunikasi dengan pemangku kepentingan efektif dan tepat waktu, dan
dasar pelaporan ditetapkan untuk meningkatkan kinerja. Identifikasi area
yang perlu ditingkatkan, dan konfirmasikan bahwa tujuan dan strategi
terkait I&T sejalan dengan strategi perusahaan.
APO01 Manajemen I&T yang terkelola Menerapkan pendekatan manajemen yang konsisten untuk memenuhi
kerangka persyaratan tata kelola perusahaan, yang mencakup komponen tata kelola
seperti proses manajemen; struktur organisasi; peran dan tanggung jawab;
aktivitas yang andal dan berulang; item informasi; kebijakan dan prosedur;
keterampilan dan kompetensi; budaya dan perilaku; dan layanan,
infrastruktur dan aplikasi.
APO02 Strategi yang dikelola Mendukung strategi transformasi digital organisasi dan memberikan nilai
yang diinginkan melalui peta jalan perubahan bertahap. Gunakan
pendekatan I&T yang holistik, dengan memastikan bahwa setiap inisiatif
jelas terhubung dengan strategi menyeluruh. Memungkinkan perubahan
di seluruh aspek organisasi, mulai dari saluran dan proses hingga data,
budaya, keterampilan, model operasi, dan insentif.
APO03 Arsitektur perusahaan yang dikelola Mewakili berbagai landasan yang membentuk perusahaan dan
keterkaitannya, serta prinsip-prinsip yang memandu desain dan evolusinya
dari waktu ke waktu, untuk memungkinkan penyampaian tujuan
operasional dan strategis yang standar, responsif, dan efisien.
APO04 Inovasi yang dikelola Mencapai keunggulan kompetitif, inovasi bisnis, peningkatan pengalaman
pelanggan, dan peningkatan efektivitas dan efisiensi operasional dengan
memanfaatkan perkembangan I&T dan teknologi baru.
33
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen(lanjutan)
Referensi Nama Tujuan
APO05 Portofolio yang dikelola Mengoptimalkan kinerja keseluruhan portofolio program sebagai respons
terhadap kinerja masing-masing program, produk dan layanan serta
perubahan prioritas dan permintaan perusahaan.
APO06 Anggaran dan biaya yang dikelola Membina kemitraan antara TI dan pemangku kepentingan perusahaan untuk
memungkinkan penggunaan sumber daya terkait I&T secara efektif dan efisien
serta memberikan transparansi dan akuntabilitas biaya dan nilai bisnis dari
solusi dan layanan. Memungkinkan perusahaan untuk membuat keputusan
yang tepat mengenai penggunaan solusi dan layanan I&T.
APO07 Sumber daya manusia yang dikelola Mengoptimalkan kemampuan sumber daya manusia untuk memenuhi tujuan
perusahaan.
APO08 Hubungan yang dikelola Memungkinkan pengetahuan, keterampilan, dan perilaku yang tepat untuk menciptakan
hasil yang lebih baik, peningkatan kepercayaan diri, rasa saling percaya, dan penggunaan
sumber daya secara efektif yang merangsang hubungan produktif dengan pemangku
kepentingan bisnis.
APO09 Perjanjian layanan terkelola Memastikan bahwa produk, layanan, dan tingkat layanan I&T memenuhi kebutuhan
perusahaan saat ini dan masa depan.
APO10 Vendor yang dikelola Mengoptimalkan kemampuan I&T yang tersedia untuk mendukung strategi dan peta
jalan I&T, meminimalkan risiko yang terkait dengan vendor yang tidak berkinerja baik
atau tidak patuh, dan memastikan harga yang kompetitif.
APO11 Kualitas yang dikelola Memastikan penyampaian solusi dan layanan teknologi secara konsisten untuk
memenuhi persyaratan kualitas perusahaan dan memenuhi kebutuhan pemangku
kepentingan.
APO12 Risiko yang dikelola Mengintegrasikan manajemen risiko perusahaan terkait I&T dengan manajemen
risiko perusahaan (ERM) secara keseluruhan dan menyeimbangkan biaya dan
manfaat pengelolaan risiko perusahaan terkait I&T.
APO13 Keamanan terkelola Pertahankan dampak dan terjadinya insiden keamanan informasi
dalam tingkat selera risiko perusahaan.
APO14 Data yang dikelola Pastikan pemanfaatan aset data penting secara efektif untuk mencapai
tujuan dan sasaran perusahaan.
BAI01 Program yang dikelola Mewujudkan nilai bisnis yang diinginkan dan mengurangi risiko penundaan, biaya, dan
erosi nilai yang tidak terduga. Untuk melakukannya, tingkatkan
komunikasi dan keterlibatan dunia usaha dan pengguna akhir,
memastikan nilai dan kualitas hasil program dan tindak lanjut proyek
dalam program, dan memaksimalkan kontribusi program terhadap
portofolio investasi.
BAI02 Definisi persyaratan terkelola Ciptakan solusi optimal yang memenuhi kebutuhan perusahaan sekaligus
meminimalkan risiko.
BAI03 Identifikasi dan pembuatan solusi Memastikan penyampaian produk dan layanan digital yang tangkas dan
terkelola terukur. Menetapkan solusi yang tepat waktu dan hemat biaya (teknologi,
proses bisnis, dan alur kerja) yang mampu mendukung tujuan strategis
dan operasional perusahaan.
BAI04 Ketersediaan dan kapasitas terkelola Menjaga ketersediaan layanan, pengelolaan sumber daya yang
efisien dan optimalisasi kinerja sistem melalui prediksi kinerja
masa depan dan kebutuhan kapasitas.
BAI05 Perubahan organisasi yang dikelola Mempersiapkan dan berkomitmen pada pemangku kepentingan untuk perubahan bisnis dan
mengurangi risiko kegagalan.
BAI06 Perubahan TI yang dikelola Memungkinkan penyampaian perubahan yang cepat dan andal pada bisnis.
Mengurangi risiko dampak negatif terhadap stabilitas atau integritas
lingkungan yang berubah.
BAI07 Penerimaan dan transisi perubahan Menerapkan solusi dengan aman dan sejalan dengan
TI yang terkelola harapan dan hasil yang disepakati.
34
Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen(lanjutan)
Referensi Nama Tujuan
BAI08 Pengetahuan yang dikelola Memberikan pengetahuan dan informasi manajemen yang diperlukan untuk
mendukung semua staf dalam tata kelola dan manajemen I&T perusahaan dan
memungkinkan pengambilan keputusan yang tepat.
BAI09 Aset yang dikelola Perhitungkan semua aset I&T dan optimalkan nilai yang diberikan oleh
penggunaannya.
BAI10 Konfigurasi terkelola Memberikan informasi yang memadai tentang aset layanan agar
layanan dapat dikelola secara efektif. Menilai dampak perubahan dan
menangani insiden layanan.
BAI11 Proyek yang dikelola Mewujudkan hasil proyek yang ditentukan dan mengurangi risiko
penundaan, biaya, dan erosi nilai yang tidak terduga dengan
meningkatkan komunikasi dan keterlibatan bisnis dan pengguna akhir.
Memastikan nilai dan kualitas hasil proyek dan memaksimalkan
kontribusinya terhadap program dan portofolio investasi yang
ditentukan.
DSS01 Operasi yang dikelola Memberikan hasil produk dan layanan operasional I&T sesuai rencana.
DSS02 Permintaan dan insiden layanan Mencapai peningkatan produktivitas dan meminimalkan gangguan melalui
terkelola penyelesaian cepat atas pertanyaan dan insiden pengguna. Menilai dampak
perubahan dan menangani insiden layanan. Selesaikan permintaan pengguna dan
pulihkan layanan sebagai respons terhadap insiden.
DSS03 Masalah yang dikelola Meningkatkan ketersediaan, meningkatkan tingkat layanan, mengurangi biaya,
meningkatkan kenyamanan dan kepuasan pelanggan dengan mengurangi jumlah
masalah operasional, dan mengidentifikasi akar penyebab sebagai bagian dari
penyelesaian masalah.
DSS04 Kontinuitas yang dikelola Beradaptasi dengan cepat, melanjutkan operasi bisnis, dan menjaga
ketersediaan sumber daya dan informasi pada tingkat yang dapat
diterima oleh perusahaan jika terjadi gangguan signifikan (misalnya
ancaman, peluang, tuntutan).
DSS05 Layanan keamanan terkelola Meminimalkan dampak bisnis dari kerentanan dan insiden
keamanan informasi operasional.
DSS06 Kontrol proses bisnis yang Menjaga integritas informasi dan keamanan aset informasi yang
dikelola ditangani dalam proses bisnis di perusahaan atau operasi yang
dialihdayakan.
MEA01 Kinerja terkelola dan Memberikan transparansi kinerja dan kesesuaian serta mendorong
pemantauan kesesuaian pencapaian tujuan.
MEA02 Sistem pengendalian internal yang dikelola Mendapatkan transparansi bagi pemangku kepentingan utama mengenai
kecukupan sistem pengendalian internal dan dengan demikian memberikan
kepercayaan dalam operasi, keyakinan dalam pencapaian tujuan perusahaan dan
pemahaman yang memadai tentang risiko yang tersisa.
MEA03 Kepatuhan terkelola terhadap Memastikan bahwa perusahaan mematuhi semua persyaratan eksternal
persyaratan eksternal yang berlaku.
MEA04 Jaminan terkelola Memungkinkan organisasi untuk merancang dan mengembangkan inisiatif penjaminan yang
efisien dan efektif, memberikan panduan mengenai perencanaan, pelingkupan, pelaksanaan
dan tindak lanjut tinjauan penjaminan, menggunakan peta jalan berdasarkan pendekatan
penjaminan yang diterima dengan baik.
35
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
36
Bab 6
Manajemen Kinerja di COBIT
6.1 Definisi
Manajemen kinerja merupakan bagian penting dari tata kelola dan sistem manajemen. “Manajemen kinerja” mewakili istilah umum untuk
semua aktivitas dan metode. Hal ini mengungkapkan seberapa baik tata kelola dan sistem manajemen serta seluruh komponen suatu
perusahaan bekerja, dan bagaimana hal tersebut dapat ditingkatkan untuk mencapai tingkat yang diperlukan. Ini mencakup konsep dan
metode seperti tingkat kemampuan dan tingkat kematangan. COBIT menggunakan istilah manajemen kinerja COBIT (CPM) untuk
menggambarkan aktivitas ini, dan konsep ini merupakan bagian integral dari kerangka COBIT.
4.CPM harus fleksibel, sehingga dapat mendukung kebutuhan berbagai organisasi dengan prioritas dan kebutuhan
berbeda.
5.CPM harus mendukung berbagai jenis penilaian, mulai dari penilaian mandiri hingga penilaian formal atau audit.
Model BPS (gambar 6.1) sebagian besar selaras dan memperluas CMMI®Pengembangan V2.020 1 konsep:
-Aktivitas proses dikaitkan dengan tingkat kemampuan. Ini termasuk dalamCOBIT®Kerangka Kerja 2019: Tujuan Tata Kelola
dan Manajemenmemandu.
-Jenis komponen tata kelola dan manajemen lainnya (misalnya, struktur organisasi, informasi) mungkin juga memiliki tingkat
kemampuan yang ditentukan dalam panduan di masa mendatang.
- Tingkat kematangan dikaitkan dengan area fokus (yaitu kumpulan tujuan tata kelola dan pengelolaan serta komponen yang
mendasarinya) dan akan tercapai jika seluruh tingkat kemampuan yang diperlukan telah tercapai.
1
20CMMI®Pengembangan V2.0, CMMI Institute, AS, 2018,https://cmmiinstitute.com/model-viewer/dashboard
37
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
COBIT 5 PAM
(ISO/IEC 15504- CMMI 2.0 Pembaruan COBIT
ISO/IEC 33000)
Kematangan Kematangan
Jika perusahaan ingin terus menggunakan model kapabilitas proses COBIT 5 berdasarkan Organisasi Internasional untuk
Standardisasi (ISO)/Komisi Elektroteknik Internasional (IEC) 15504 (sekarang ISO/IEC 33000, di mana tingkat kapabilitas memiliki
arti yang sangat berbeda), mereka harus memenuhi semua persyaratan tersebut. informasi untuk melakukannyaCOBIT®Kerangka
Kerja 2019: Tujuan Tata Kelola dan Manajemen. Tidak diperlukan publikasi model penilaian proses (PAM) terpisah, dan COBIT juga
tidak disediakan®2019.
Di COBIT®Pada tahun 2019, hasil proses atau tujuan proses yang eksplisit digantikan oleh praktik proses itu sendiri. Hal
ini menghasilkan situasi berikut untuk evaluasi ISO/IEC33000:
1.Hasil proses sekarang dikaitkan dengan praktik proses secara satu-ke-satu (yaitu, hasil proses adalah penyelesaian
praktik proses yang berhasil). Catatan: praktik proses dirumuskan sebagai praktik, dan hasilnya dapat diperoleh
dari sana. Contoh: APO01.01Rancang sistem manajemen untuk I&T perusahaan memiliki hasil proses APO01.01:
Sebuah sistem manajemen untuk I&T perusahaan dirancang.
2.Praktik dasar sama dengan COBIT®praktik proses tahun 2019 untuk setiap tujuan tata kelola dan manajemen.
3.Produk kerja setara dengan Arus Informasi dan Item pada komponen C di setiap
tujuan tata kelola/manajemen.
Dengan demikian, pemetaan hasil ke praktik dasar dan produk kerja semuanya dilakukan berdasarkan definisi di COBIT®2019.
COBIT®2019 mendukung skema kemampuan proses berbasis CMMI. Proses dalam setiap tujuan tata kelola dan pengelolaan dapat
beroperasi pada berbagai tingkat kemampuan, mulai dari 0 hingga 5. Tingkat kemampuan adalah ukuran seberapa baik suatu
proses diterapkan dan dijalankan.Gambar 6.2menggambarkan model, peningkatan tingkat kemampuan dan karakteristik umum
masing-masing.
38
2 Proses tersebut mencapai tujuannya melalui penerapan serangkaian aktivitas dasar namun
lengkap yang dapat dicirikan sebagai telah dilakukan.
1 Proses tersebut kurang lebih mencapai tujuannya melalui penerapan serangkaian aktivitas yang tidak lengkap yang dapat
dikategorikan sebagai aktivitas awal atau intuitif—tidak terlalu terorganisir.
Model inti COBIT menetapkan tingkat kemampuan untuk semua aktivitas proses, memungkinkan definisi yang jelas tentang proses dan
aktivitas yang diperlukan untuk mencapai tingkat kemampuan yang berbeda. MelihatCOBIT®Kerangka Kerja 2019: Tujuan Tata Kelola dan
Manajemenuntuk lebih detailnya.
Tingkat kemampuan dapat dicapai pada tingkat yang berbeda-beda, yang dapat dinyatakan dengan serangkaian peringkat. Kisaran
peringkat yang tersedia bergantung pada konteks di mana penilaian kinerja dilakukan:
-Beberapa metode formal yang mengarah ke sertifikasi independen menggunakan serangkaian peringkat biner lulus/gagal.
-Metode yang kurang formal (sering digunakan dalam konteks peningkatan kinerja) bekerja lebih baik dengan rentang penilaian yang lebih luas,
seperti rangkaian berikut:
-Sepenuhnya—Tingkat kemampuan dicapai lebih dari 85 persen. (Hal ini tetap merupakan keputusan penilaian, namun
dapat dibuktikan dengan pemeriksaan atau penilaian terhadap komponen-komponen pendukung, seperti aktivitas
proses, tujuan proses, atau praktik baik struktur organisasi.)
Terkadang tingkat yang lebih tinggi diperlukan untuk menyatakan kinerja tanpa rincian yang dapat diterapkan pada peringkat kemampuan
proses individual. Tingkat kedewasaan dapat digunakan untuk tujuan itu. COBIT®Tahun 2019 mendefinisikan tingkat kematangan sebagai ukuran
kinerja pada tingkat area fokus, seperti yang ditunjukkan padagambar 6.3.
39
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
5
Mengoptimalkan—Perusahaan berfokus
pada perbaikan berkelanjutan.
2 Dikelola—Perencanaan dan pengukuran kinerja berlangsung, meskipun belum dalam cara yang
terstandarisasi.
1 Awal—Pekerjaan telah selesai, namun tujuan dan maksud penuh dari area fokus belum tercapai.
0 Belum Selesai—Pekerjaan mungkin telah selesai atau belum selesai untuk mencapai tujuan tata kelola dan tujuan pengelolaan di
area fokus.
Tingkat kematangan dikaitkan dengan bidang fokus (yaitu, kumpulan tujuan tata kelola dan pengelolaan serta komponen
yang mendasarinya) dan tingkat kematangan tertentu dicapai jika semua proses yang terdapat dalam bidang fokus
mencapai tingkat kemampuan tertentu.
Meskipun tidak ada metode yang diterima secara umum atau formal untuk menilai struktur organisasi, namun penilaian tersebut dapat
dilakukan secara kurang formal berdasarkan kriteria berikut. Untuk setiap kriteria, sejumlah subkriteria dapat ditentukan, dihubungkan
dengan berbagai tingkat kemampuan. Kriterianya adalah:
-Keberhasilan pelaksanaan praktik-praktik proses yang mana struktur organisasi (atau peran) mempunyai akuntabilitas atau tanggung
jawab (masing-masing A atau R, dalam bagan yang bertanggung jawab-akuntabilitas-konsultasikan-informasi [RACI])
40
-Rentang kendali
- Struktur organisasi mempunyai amanat yang jelas, terdokumentasi dan dipahami dengan baik.
- Hak pengambilan keputusan dalam struktur organisasi dihormati dan dipatuhi (juga merupakan masalah budaya/perilaku).
-Pendelegasian wewenang
-Prosedur eskalasi
- Prosedur eskalasi ditetapkan dan diterapkan.
-Penerapan sejumlah praktik manajemen struktur organisasi yang berhasil (praktik nonfungsional yang
timbul dari sudut pandang struktur organisasi):
-Tujuan kinerja struktur organisasi diidentifikasi.
-Kinerja struktur organisasi direncanakan dan dipantau.
-Kinerja struktur organisasi disesuaikan untuk memenuhi rencana.
-Sumber daya dan informasi yang diperlukan untuk struktur organisasi diidentifikasi, disediakan, dialokasikan dan
digunakan.
-Antarmuka antara struktur organisasi dan pemangku kepentingan lainnya dikelola untuk memastikan komunikasi yang
efektif dan pembagian tanggung jawab yang jelas.
-Evaluasi
rutin menghasilkan perbaikan berkelanjutan yang diperlukan terhadap struktur organisasi—dalam
komposisi, mandat, atau parameter lainnya.
Mengenai proses, tingkat kemampuan yang rendah memerlukan pemenuhan sebagian kriteria tersebut, dan tingkat kemampuan yang lebih tinggi
mengharuskan seluruh kriteria dipenuhi. Namun, sebagaimana telah disebutkan, tidak ada skema yang diterima secara umum untuk menilai
struktur organisasi. Namun, hal ini tidak menghalangi suatu perusahaan untuk menentukan skema kapabilitasnya sendiri untuk struktur organisasi.
Komponen item informasi untuk sistem tata kelola I&T kurang lebih setara dengan produk proses kerja seperti
yang dijelaskan dalamCOBIT®Kerangka Kerja 2019: Tujuan Tata Kelola dan Manajemen.
Meskipun tidak ada metode yang diterima secara umum atau formal untuk menilai item informasi, namun penilaian tersebut dapat dilakukan
secara kurang formal berdasarkan model referensi informasi yang pertama kali disajikan diCOBIT®5: Mengaktifkan Informasi.21 2
Model ini mendefinisikan tiga kriteria kualitas utama informasi dan 15 subkriteria, seperti yang diilustrasikan padagambar 6.4.
2
21Lihat ISACA,COBIT®5: Mengaktifkan Informasi, bagian 3.1.2 Tujuan, AS, 2013 ,http://www.isaca.org/COBIT/Pages/COBIT-5-Enabling-Information-
halaman produk.aspx
41
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
Hakiki
Sejauh mana informasi dianggap benar dan
Sejauh mana nilai Kepercayaan
dapat dipercaya
data sesuai dengan
Mata uang
Sejauh mana informasi cukup terkini
untuk tugas yang ada
Suatu item informasi dapat dinilai dengan mempertimbangkan sejauh mana kriteria kualitas yang relevan, sebagaimana didefinisikan dalam
gambar 6.4, tercapai.
42
Untuk komponen tata kelola budaya dan perilaku, kita dapat menentukan serangkaian perilaku yang diinginkan (dan/atau tidak diinginkan)
untuk tata kelola dan manajemen TI yang baik, dan menetapkan tingkat kemampuan yang berbeda pada masing-masing perilaku tersebut.
COBIT®Kerangka Kerja 2019: Tujuan Tata Kelola dan Manajemenmendefinisikan aspek komponen budaya dan perilaku
untuk sebagian besar tujuan. Dari sana, dimungkinkan untuk menilai sejauh mana kondisi atau perilaku tersebut
terpenuhi.
Konten area fokus, yang berisi serangkaian perilaku yang diinginkan secara lebih rinci, akan dikembangkan ke depannya. Pengguna
disarankan untuk berkonsultasiisaca.org/cobituntuk status terkini dan panduan area fokus yang tersedia.
43
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
44
Bab7
Merancang Sistem Tata Kelola yang Disesuaikan
Bagian ini memberikan gambaran tingkat tinggi mengenai dampak potensial faktor desain pada sistem tata kelola untuk I&T perusahaan. Hal ini
juga menjelaskan, pada tingkat tinggi, alur kerja untuk merancang sistem tata kelola yang disesuaikan untuk perusahaan. Informasi lebih lanjut
mengenai subjek ini dapat ditemukan diCOBIT®Panduan Desain 2019.
Faktor desain mempengaruhi penyesuaian sistem tata kelola suatu perusahaan dengan cara yang berbeda. Publikasi ini membedakan tiga
jenis dampak yang berbeda, yang diilustrasikan dalamgambar 7.1.
Gambar 7.1—Dampak Faktor Desain pada Sistem Tata Kelola dan Manajemen
1. Manajemen
Objektif
Prioritas dan
Target
Kemampuan
Tingkat
Desain
Faktor
Dampak
3. Spesifik 2. Komponen
Area Fokus Variasi
1. Prioritas/seleksi tujuan pengelolaan—Model inti COBIT berisi 40 tujuan tata kelola dan manajemen, masing-masing terdiri dari proses
dan sejumlah komponen terkait. Mereka secara intrinsik setara; tidak ada urutan prioritas alami di antara mereka. Namun, faktor
desain dapat mempengaruhi kesetaraan ini dan membuat beberapa tujuan tata kelola dan pengelolaan menjadi lebih penting
dibandingkan yang lain, terkadang sampai pada titik di mana beberapa tujuan tata kelola dan pengelolaan dapat diabaikan. Dalam
praktiknya, kepentingan yang lebih tinggi ini diterjemahkan ke dalam penetapan tingkat kemampuan target yang lebih tinggi untuk
tujuan-tujuan tata kelola dan pengelolaan yang penting.
45
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA 2019: PENDAHULUAN & METODOLOGI
Contoh:Ketika suatu perusahaan mengidentifikasi tujuan perusahaan yang paling relevan dari daftar tujuan perusahaan dan
menerapkan rangkaian tujuan, hal ini akan mengarah pada pemilihan tujuan manajemen prioritas. Misalnya, ketika EG01Portofolio
produk dan layanan yang kompetitifdiberi peringkat sangat tinggi oleh suatu perusahaan, hal ini akan menjadikan tujuan manajemen
APO05 Portofolio yang dikelolabagian penting dari sistem tata kelola perusahaan ini.
Contoh:Perusahaan yang sangat menghindari risiko akan lebih mengutamakan tujuan manajemen yang bertujuan untuk mengatur dan
mengelola risiko dan keamanan. Tujuan tata kelola dan pengelolaan EDM03Optimalisasi risiko yang terjamin, APO12 Risiko yang dikelola,APO13
Keamanan terkeloladan DSS05Layanan keamanan terkelolaakan menjadi bagian penting dari sistem tata kelola perusahaan dan akan memiliki
tingkat kemampuan target yang lebih tinggi yang ditetapkan untuk mereka.
Contoh:Perusahaan yang beroperasi dalam lanskap ancaman tinggi akan memerlukan proses terkait keamanan berkemampuan tinggi:
APO13Keamanan terkeloladan DSS05Layanan keamanan terkelola.
Contoh:Suatu perusahaan yang peran TI-nya bersifat strategis dan krusial bagi keberhasilan bisnisnya akan memerlukan keterlibatan
yang tinggi dari peran-peran terkait TI dalam struktur organisasi, pemahaman menyeluruh tentang bisnis oleh para profesional TI
(dan sebaliknya), dan fokus pada strategi. proses seperti APO02Strategi yang dikeloladan APO08Hubungan yang dikelola.
2. Variasi komponen—Komponen diperlukan untuk mencapai tujuan tata kelola dan pengelolaan. Beberapa faktor desain dapat
mempengaruhi pentingnya satu atau lebih komponen atau memerlukan variasi tertentu.
Contoh:Perusahaan kecil dan menengah mungkin tidak memerlukan seluruh peran dan struktur organisasi seperti yang tercantum dalam model inti
COBIT, namun mungkin menggunakan peran dan struktur organisasi yang lebih kecil. Rangkaian tujuan tata kelola dan pengelolaan yang dikurangi ini
serta komponen-komponen yang tercakup di dalamnya didefinisikan dalam area fokus Usaha Kecil dan Menengah.22 1
Contoh:Perusahaan yang beroperasi di lingkungan yang diatur dengan ketat akan lebih mementingkan hal ini produk kerja
serta kebijakan dan prosedur yang terdokumentasidan beberapa peran, misalnya fungsi petugas kepatuhan.
Contoh:Perusahaan yang menggunakan DevOps dalam pengembangan solusi dan operasi akan memerlukan aktivitas spesifik,
struktur organisasi, budaya, dll., yang berfokus pada BAI03Identifikasi dan pembuatan solusi terkeloladan DSS01 Operasi yang
dikelola.
3. Perlunya area fokus yang spesifik—Beberapa faktor desain, seperti lanskap ancaman, risiko spesifik, metode pengembangan
target, dan pengaturan infrastruktur, akan mendorong kebutuhan akan variasi konten model COBIT inti ke konteks tertentu.
Contoh:Perusahaan yang mengadopsi pendekatan DevOps akan memerlukan sistem tata kelola yang memiliki beberapa varian
proses COBIT umum, dijelaskan dalam panduan area fokus DevOps23 2 untuk COBIT.
Contoh:Perusahaan kecil dan menengah memiliki lebih sedikit staf, lebih sedikit sumber daya TI, dan jalur pelaporan yang lebih pendek
dan langsung, serta berbeda dalam banyak aspek dari perusahaan besar. Oleh karena itu, sistem tata kelola I&T mereka harus lebih
ringan dibandingkan dengan perusahaan besar. Hal ini dijelaskan dalam panduan area fokus UKM COBIT.24 3
22
1
Pada saat publikasiCOBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologi,konten area fokus usaha kecil dan menengah sedang dalam
pengembangan dan belum dirilis.
23
2
Pada saat publikasiCOBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologi,konten area fokus DevOps sedang dalam pengembangan dan belum dirilis.
24
3
Pada saat publikasiCOBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologi,konten area fokus usaha kecil dan menengah sedang dalam
pengembangan dan belum dirilis.
46
Gambar 7.2mengilustrasikan alur yang diusulkan untuk merancang sistem tata kelola yang disesuaikan.
2. Tentukan
1. Memahami 3. Sempurnakan
inisial 4. Simpulkan
perusahaan ruang lingkup
ruang lingkup
pemerintahan
konteks dan pemerintahan
pemerintahan desain sistem.
strategi. sistem.
sistem.
• 1.1 Memahami strategi • 2.1 Pertimbangkan strategi • 3.1 Pertimbangkan • 4.1 Menyelesaikan konflik prioritas
perusahaan. perusahaan. lanskap ancaman. yang melekat.
• 1.2 Memahami tujuan • 2.2 Mempertimbangkan tujuan perusahaan • 3.2 Mempertimbangkan • 4.2 Menyimpulkan sistem
perusahaan. dan menerapkannya persyaratan kepatuhan. tata kelola
• 1.3 Memahami profil Rangkaian tujuan COBIT. • 3.3 Pertimbangkan peran TI. desain.
risiko. • 2.3 Mempertimbangkan profil risiko • 3.4 Mempertimbangkan sumber
• 1.4 Memahami permasalahan daya perusahaan. model.
terkini terkait I&T. • 2.4 Mempertimbangkan permasalahan • 3.5 Pertimbangkan metode
terkini terkait I&T. penerapan TI.
• 3.6 Pertimbangkan strategi
adopsi TI.
• 3.7 Mempertimbangkan ukuran perusahaan.
Berbagai tahapan dan langkah dalam proses desain, seperti yang diilustrasikan dalamgambar 7.2, akan menghasilkan rekomendasi untuk
memprioritaskan tujuan tata kelola dan pengelolaan atau komponen sistem tata kelola terkait, untuk tingkat kemampuan target, atau untuk
mengadopsi varian tertentu dari komponen sistem tata kelola.
Beberapa langkah atau sub-langkah ini mungkin menghasilkan panduan yang bertentangan, yang tidak dapat dihindari ketika mempertimbangkan sejumlah
besar faktor desain, keseluruhan sifat umum dari panduan faktor desain, dan tabel pemetaan yang digunakan.
Disarankan untuk meletakkan semua panduan yang diperoleh selama langkah-langkah yang berbeda pada kanvas desain dan—pada tahap
terakhir proses desain—menyelesaikan (sejauh mungkin) konflik antar elemen pada kanvas desain dan menyimpulkannya. Tidak ada formula
ajaib. Desain akhir akan menjadi keputusan kasus per kasus, berdasarkan semua elemen pada kanvas desain. Dengan mengikuti langkah-langkah
ini, perusahaan akan mewujudkan sistem tata kelola yang disesuaikan dengan kebutuhan mereka.
47
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
48
Bab 8
Menerapkan Tata Kelola TI Perusahaan
ItuCOBIT®Panduan Implementasi 2019menekankan pandangan seluruh perusahaan mengenai tata kelola I&T. Panduan ini
mengakui bahwa I&T tersebar luas di perusahaan-perusahaan dan tidak mungkin atau merupakan praktik yang baik untuk
memisahkan bisnis dan aktivitas terkait TI. Oleh karena itu, tata kelola dan manajemen I&T perusahaan harus diterapkan sebagai
bagian integral dari tata kelola perusahaan, yang mencakup seluruh tanggung jawab bisnis end-to-end dan fungsi TI.
Salah satu alasan umum mengapa beberapa penerapan sistem tata kelola gagal adalah karena penerapan tersebut tidak dimulai dan
kemudian dikelola dengan baik sebagai program untuk memastikan manfaatnya terwujud. Program tata kelola perlu disponsori oleh
manajemen eksekutif, memiliki cakupan yang tepat, dan menetapkan tujuan yang dapat dicapai. Hal ini memungkinkan perusahaan untuk
menyerap laju perubahan sesuai rencana. Oleh karena itu, manajemen program ditangani sebagai bagian integral dari siklus hidup
implementasi.
Diasumsikan juga bahwa meskipun pendekatan program dan proyek direkomendasikan untuk mendorong inisiatif perbaikan secara efektif,
tujuannya juga adalah untuk membangun praktik bisnis yang normal dan pendekatan berkelanjutan dalam mengatur dan mengelola I&T
perusahaan seperti halnya aspek tata kelola perusahaan lainnya. Oleh karena itu, pendekatan penerapannya didasarkan pada
pemberdayaan pemangku kepentingan dan pelaku bisnis dan TI untuk mengambil kepemilikan atas keputusan dan aktivitas tata kelola dan
manajemen TI dengan memfasilitasi dan memungkinkan perubahan. Program implementasi ditutup ketika proses pemfokusan pada
prioritas terkait TI dan perbaikan tata kelola menghasilkan manfaat yang terukur, dan program tersebut telah tertanam dalam aktivitas
bisnis yang sedang berjalan.
Informasi lebih lanjut mengenai subjek ini juga dapat ditemukan diCOBIT®Panduan Implementasi 2019.
49
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
w
iDH kM
eeP y?a
aie k GH
muSN
i
aaG 1 WHATA
a
w T a Re T
H i N He
H M ae
7 e MH a
Syeawye
SN
ASTY
aAa
S A
yTey
DRS
aaey
RySa?
aPa
TH
Rea eyy
SaaNaSS RHG
aRAi
eCT M
eFF
ESTABa
u ya SSkaHu
ASNa
SaTm THCaHiA yDaeSS
Sk NG Rae
2W
Saya
eRe?
e ya
DeF HPaPiHRa
TH
eFST
HeRe
SNaey TkiN
aRyaai ReCHGa
NaSTiH NiS
e GeT
SM
PaRHBaaeST
APPRHAaCiHew
aTe ACT a
ARe we NHai
aPyae TeAM
kkA
eS
Aya i
ya
ea
EMBeDN
akMueNTATSaya
Dw
emu
(cincin luar)
FHRa
6 DSa
ReAak
AND e
am
PeRAT
ASSeem
ik
MeASkRa
CkR
Mi
• Ubah pemberdayaan
MuS AND
STATe
HAI
Sa
aeyu
aR NT
SS
w?
Sya
Hai
u
a
(cincin tengah)
N
TA eT a
G y
AR FSNae
SM
APYaAaaeyM
aPyRa
D
e
e
Te
ekM i
T
auei AuyTea
H
eN NT S
u
(lingkar dalam)
TS Ca
aSm
BkamD u
aku
Saya
HPA DkSa
SM
kTa kN
aP
yR
aHaeiMeNTS
ay
AN
HM
AP
i
eIR em
e
M
Ma i
Cm
aei ?
AT u
EXe
CH Ha
iM
5H
HB
ui u AaD
Ck
SDAeY ek
RHaa
ya
NTT
NTASaya
Fkam
RH
Hwa
Taem
AN Pak
Akamu
uRS
e a
wA
FS
Ne
iDH
Pau
De
ku
ie
w
aie
Haw
Ge
TH
eD
eR eR
T
e? PaAkNuPRHai
GRAM WH
3
4 WHATNeeDS THaBei DHNaei?
Fase 1 dari pendekatan implementasi mengidentifikasi pendorong perubahan saat ini dan menciptakan keinginan untuk berubah di tingkat
manajemen eksekutif yang kemudian diungkapkan dalam garis besar kasus bisnis. Penggerak perubahan adalah peristiwa, kondisi atau isu utama
internal atau eksternal yang berfungsi sebagai stimulus untuk perubahan. Peristiwa, tren (industri, pasar atau teknis), kekurangan kinerja,
implementasi perangkat lunak, dan bahkan tujuan perusahaan semuanya dapat bertindak sebagai pendorong perubahan.
Risiko yang terkait dengan implementasi program itu sendiri dijelaskan dalam kasus bisnis dan dikelola sepanjang siklus hidup.
Mempersiapkan, memelihara, dan memantau kasus bisnis merupakan disiplin ilmu yang fundamental dan penting untuk
membenarkan, mendukung, dan kemudian memastikan keberhasilan hasil inisiatif apa pun, termasuk peningkatan sistem tata
kelola. Mereka memastikan fokus yang berkelanjutan pada manfaat program dan realisasinya.
Fase 2 menyelaraskan tujuan terkait I&T dengan strategi dan risiko perusahaan, dan memprioritaskan tujuan, penyelarasan tujuan, dan
proses perusahaan yang paling penting. ItuCOBIT®Panduan Desain 2019menyediakan beberapa faktor desain untuk membantu pemilihan.
Berdasarkan tujuan perusahaan yang dipilih dan tujuan terkait TI serta faktor desain lainnya, perusahaan harus
mengidentifikasi tujuan tata kelola dan manajemen yang penting serta proses mendasar yang memiliki kemampuan memadai
untuk memastikan hasil yang sukses. Manajemen perlu mengetahui kemampuannya saat ini dan di mana kekurangannya. Hal
ini dapat dicapai dengan penilaian kemampuan proses terhadap status proses yang dipilih saat ini.
50
Fase 3 menetapkan target perbaikan yang diikuti dengan analisis kesenjangan untuk mengidentifikasi solusi potensial.
Beberapa solusi akan berupa kemenangan cepat dan solusi lainnya lebih menantang dan merupakan tugas jangka panjang. Prioritas harus diberikan pada
proyek-proyek yang lebih mudah dicapai dan mungkin memberikan manfaat terbesar. Tugas-tugas jangka panjang harus dipecah menjadi bagian-bagian yang
dapat dikelola.
Fase 4 menjelaskan bagaimana merencanakan solusi yang layak dan praktis dengan mendefinisikan proyek yang didukung oleh kasus bisnis yang
dapat dibenarkan dan rencana perubahan untuk implementasi. Kasus bisnis yang dikembangkan dengan baik dapat membantu memastikan
bahwa manfaat proyek teridentifikasi dan terus dipantau.
Fase 5 mengatur penerapan solusi yang diusulkan melalui praktik sehari-hari dan menetapkan langkah-langkah dan
sistem pemantauan untuk memastikan bahwa keselarasan bisnis tercapai, dan kinerja dapat diukur.
Kesuksesan memerlukan keterlibatan, kesadaran dan komunikasi, pemahaman dan komitmen manajemen puncak, serta
kepemilikan oleh pemilik bisnis dan proses TI yang terkena dampak.
Fase 6 berfokus pada transisi berkelanjutan dari praktik tata kelola dan manajemen yang lebih baik ke dalam operasi bisnis
normal. Hal ini lebih lanjut berfokus pada pemantauan pencapaian perbaikan menggunakan metrik kinerja dan manfaat
yang diharapkan.
Fase 7 meninjau keberhasilan inisiatif secara keseluruhan, mengidentifikasi persyaratan tata kelola atau manajemen lebih lanjut, dan
memperkuat perlunya perbaikan berkelanjutan. Hal ini juga memprioritaskan peluang lebih lanjut untuk memperbaiki sistem tata kelola.
Manajemen program dan proyek didasarkan pada praktik yang baik dan menyediakan titik pemeriksaan di masing-masing tujuh fase
untuk memastikan bahwa kinerja program berada pada jalurnya, kasus bisnis dan risiko diperbarui, dan perencanaan untuk fase
berikutnya disesuaikan sebagaimana mestinya. Diasumsikan bahwa pendekatan standar perusahaan akan diikuti.
Panduan lebih lanjut mengenai manajemen program dan proyek juga dapat ditemukan di tujuan pengelolaan COBIT BAI01 Program yang dikelola
dan BAI11Proyek yang dikelola. Meskipun pelaporan tidak disebutkan secara eksplisit dalam fase mana pun, pelaporan merupakan rangkaian
yang berkesinambungan melalui semua fase dan pengulangan.
51
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
Alur kerja dijelaskan diCOBIT®Panduan Desain 2019memiliki titik koneksi berikut denganCOBIT®
Panduan Implementasi 2019. ItuCOBIT®Panduan Desain 2019menguraikan serangkaian tugas yang ditentukan dalamCOBIT®
Panduan Implementasi 2019.Gambar 8.2memberikan gambaran tingkat tinggi tentang titik-titik koneksi ini. Informasi lebih
lengkap dapat ditemukan diCOBIT®Panduan Desain 2019.
52
Bab 9
Memulai COBIT: Membuat Kasus
Praktik bisnis yang umum mengharuskan penyiapan kasus bisnis untuk menganalisis dan membenarkan permulaan proyek besar dan/atau
investasi keuangan. Contoh ini diberikan sebagai panduan umum yang tidak bersifat preskriptif untuk mendorong persiapan kasus bisnis
guna membenarkan investasi dalam program implementasi EGIT. Setiap perusahaan memiliki alasan tersendiri untuk meningkatkan EGIT
dan pendekatannya sendiri dalam mempersiapkan kasus bisnis. Hal ini dapat berkisar dari pendekatan rinci dengan penekanan pada
manfaat terukur hingga perspektif yang lebih tinggi dan kualitatif. Perusahaan harus mengikuti pendekatan kasus bisnis internal dan
justifikasi investasi yang ada, jika memang ada. Contoh dan panduan dalam publikasi ini disediakan untuk membantu fokus pada isu-isu
yang harus ditangani dalam kasus bisnis.
Contoh skenarionya adalah Acme Corporation, sebuah perusahaan multinasional besar dengan gabungan unit bisnis
tradisional dan mapan serta bisnis baru berbasis Internet yang mengadopsi teknologi terkini. Banyak unit bisnis yang telah
diakuisisi dan berada di berbagai negara dengan lingkungan politik, budaya, dan ekonomi lokal yang berbeda. Tim
manajemen eksekutif grup pusat telah dipengaruhi oleh panduan tata kelola perusahaan terbaru, termasuk COBIT, yang
telah mereka gunakan secara terpusat selama beberapa waktu. Mereka ingin memastikan bahwa ekspansi yang cepat dan
penerapan TI yang canggih akan memberikan nilai yang diharapkan; mereka juga berniat mengelola risiko baru yang
signifikan. Oleh karena itu, mereka telah mengamanatkan penerapan pendekatan EGIT yang seragam di seluruh
perusahaan. Pendekatan ini mencakup keterlibatan fungsi audit dan risiko serta pelaporan tahunan internal oleh
manajemen unit bisnis mengenai kecukupan pengendalian di seluruh entitas.
Meskipun contoh tersebut diambil dari situasi aktual, contoh tersebut tidak mencerminkan perusahaan spesifik yang ada.
Kasus bisnis ini menguraikan ruang lingkup program EGIT yang diusulkan untuk Acme Corporation berdasarkan COBIT.
Kasus bisnis yang tepat diperlukan untuk memastikan bahwa dewan direksi Acme Corporation dan unit bisnis menyetujui inisiatif ini
dan mengidentifikasi potensi manfaatnya. Acme Corporation akan memantau kasus bisnis untuk memastikan bahwa manfaat yang
diharapkan dapat terwujud.
Cakupannya, dalam hal entitas bisnis yang membentuk Acme Corporation, bersifat inklusif. Diakui bahwa beberapa bentuk
penentuan prioritas akan diterapkan di seluruh entitas untuk cakupan awal program EGIT karena terbatasnya sumber daya
program.
Berbagai pemangku kepentingan mempunyai kepentingan terhadap hasil program EGIT, mulai dari dewan direksi Acme Corporation
hingga manajemen lokal di setiap entitas, serta pemangku kepentingan eksternal seperti pemegang saham dan lembaga pemerintah.
Pertimbangan perlu diberikan terhadap beberapa tantangan dan risiko signifikan dalam implementasi program EGIT
pada skala global yang diperlukan. Salah satu aspek yang lebih menantang adalah sifat kewirausahaan dari banyak
bisnis Internet, serta model bisnis terdesentralisasi atau terfederasi yang ada dalam Acme Corporation.
Program EGIT akan dicapai dengan berfokus pada kemampuan proses Acme dan komponen lain dari sistem tata kelola
terkait dengan yang didefinisikan dalam COBIT, relevan untuk setiap unit bisnis. Tujuan tata kelola dan pengelolaan yang
relevan dan diprioritaskan yang akan mendapat fokus di setiap entitas akan diidentifikasi melalui a
53
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
pendekatan lokakarya yang difasilitasi oleh anggota program EGIT. Sasarannya akan dimulai dengan strategi dan sasaran
perusahaan masing-masing unit, serta skenario risiko bisnis terkait TI yang berlaku pada unit bisnis tertentu.
Tujuan dari program EGIT adalah untuk memastikan bahwa sistem tata kelola yang memadai, termasuk struktur tata kelola, tersedia dan
untuk meningkatkan tingkat kemampuan dan kecukupan proses TI yang relevan. Harapannya adalah seiring dengan meningkatnya
kemampuan proses TI, efisiensi dan kualitasnya juga akan meningkat. Pada saat yang sama, risiko terkait akan menurun secara
proporsional. Dengan cara ini, manfaat bisnis yang nyata dapat diwujudkan oleh masing-masing unit bisnis.
Setelah proses penilaian tingkat kemampuan dalam setiap unit bisnis telah ditetapkan, penilaian mandiri (self-assessment)
diperkirakan akan dilanjutkan dalam setiap unit bisnis seperti praktik bisnis normal.
Program EGIT akan dilaksanakan dalam dua tahap berbeda. Fase pertama adalah fase pengembangan, di mana tim akan
mengembangkan dan menguji pendekatan dan perangkat yang akan digunakan di seluruh Acme Corporation. Pada akhir fase
1, hasilnya akan dipresentasikan kepada manajemen kelompok untuk persetujuan akhir. Setelah persetujuan akhir diperoleh,
dalam bentuk kasus bisnis yang disetujui, program EGIT akan diluncurkan ke seluruh entitas dengan cara yang disepakati
(implementasi, tahap 2).
Perlu dicatat bahwa program EGIT tidak bertanggung jawab untuk menerapkan tindakan perbaikan yang diidentifikasi di setiap unit
bisnis. Program EGIT hanya akan mengkonsolidasikan dan melaporkan kemajuan yang diberikan oleh masing-masing unit.
Tantangan terakhir yang perlu dipenuhi oleh program EGIT adalah melaporkan hasil-hasilnya secara berkelanjutan di
masa depan. Aspek ini akan memerlukan waktu dan sejumlah besar diskusi dan pengembangan. Diskusi dan
pengembangan ini harus menghasilkan peningkatan terhadap mekanisme pelaporan dan scorecard perusahaan yang
ada.
Anggaran awal untuk tahap pengembangan program EGIT telah disiapkan. Anggaran tersebut dirinci dalam jadwal
tersendiri. Anggaran rinci juga akan diselesaikan untuk tahap 2 proyek dan diserahkan untuk disetujui oleh manajemen
kelompok.
EGIT merupakan bagian integral dari tata kelola perusahaan secara keseluruhan dan berfokus pada kinerja TI dan pengelolaan risiko
yang disebabkan oleh ketergantungan perusahaan pada TI.
TI diintegrasikan ke dalam operasi bisnis Acme Corporation. Bagi banyak orang, Internet adalah inti dari operasi mereka.
Oleh karena itu, EGIT mengikuti struktur manajemen grup: format terdesentralisasi. Manajemen setiap anak perusahaan/
unit bisnis bertanggung jawab untuk memastikan bahwa proses yang tepat diterapkan sesuai dengan EGIT.
Setiap tahun, manajemen setiap anak perusahaan penting diwajibkan untuk menyerahkan laporan tertulis formal kepada
komite risiko yang sesuai, yang merupakan bagian dari dewan direksi. Laporan ini akan merinci sejauh mana kebijakan
EGIT telah diterapkan selama tahun keuangan. Pengecualian yang signifikan harus dilaporkan pada setiap pertemuan
komite risiko yang dijadwalkan.
Dewan direksi, dibantu oleh komite risiko dan audit, akan memastikan bahwa kinerja EGIT grup dinilai, dipantau, dilaporkan dan
diungkapkan dalam pernyataan EGIT sebagai bagian dari laporan tahunan terintegrasi perusahaan. Pernyataan tersebut akan
didasarkan pada laporan yang diperoleh dari tim risiko, kepatuhan dan audit internal serta manajemen setiap anak perusahaan
penting. Hal ini akan memberikan informasi yang relevan dan dapat diandalkan kepada pemangku kepentingan internal dan
eksternal mengenai kualitas kinerja EGIT grup.
Jasa audit internal akan memberikan jaminan kepada manajemen dan komite audit atas kecukupan
dan efektivitas EGIT.
54
Risiko bisnis terkait TI akan dilaporkan dan didiskusikan sebagai bagian dari proses manajemen risiko dalam daftar risiko yang
disampaikan kepada komite risiko terkait.
Karena sifat TI yang tersebar luas dan laju perubahan teknologi, diperlukan kerangka kerja yang andal untuk mengendalikan seluruh lingkungan TI secara
memadai dan menghindari kesenjangan pengendalian yang dapat membuat perusahaan menghadapi risiko yang tidak dapat diterima.
Tujuannya adalah untuk tidak menghambat operasional TI dari berbagai entitas operasi. Sebaliknya, hal ini bertujuan untuk
meningkatkan profil risiko entitas dengan cara yang masuk akal secara bisnis dan memberikan peningkatan kualitas layanan dan
efisiensi, sekaligus secara eksplisit mencapai kepatuhan tidak hanya terhadap piagam EGIT grup Acme Corporation, tetapi juga
terhadap peraturan perundang-undangan lainnya. dan/atau persyaratan kontrak.
-Upaya jaminan TI yang rumit karena sifat kewirausahaan di banyak unit bisnis
- Model operasi TI yang kompleks karena model bisnis berbasis layanan Internet yang digunakan
-Entitas yang tersebar secara geografis terdiri dari beragam budaya dan bahasa
-Model pengendalian bisnis yang terdesentralisasi/federasi dan sebagian besar otonom diterapkan dalam kelompok
-Penerapan manajemen TI pada tingkat yang wajar, mengingat tenaga kerja TI yang sangat teknis dan terkadang mudah
berubah
-Keseimbangan TI antara dorongan perusahaan untuk kemampuan inovasi dan ketangkasan bisnis dengan kebutuhan untuk mengelola risiko dan
memiliki kendali yang memadai
- Meningkatnya kebutuhan untuk fokus pada pemenuhan persyaratan kepatuhan peraturan (privasi) dan kontrak (Industri
Kartu Pembayaran [PCI])
-Temuan audit rutin tentang kontrol TI yang buruk dan masalah yang dilaporkan terkait dengan kualitas layanan TI
-Pengiriman layanan baru dan inovatif yang sukses dan tepat waktu di pasar yang sangat kompetitif
Saat ini tidak ada pendekatan atau kerangka kerja grup untuk EGIT atau penggunaan praktik dan standar TI yang baik. Di
antara unit bisnis lokal, terdapat berbagai tingkat penerapan praktik baik terkait EGIT. Akibatnya, sangat sedikit perhatian
yang diberikan pada tingkat kemampuan proses TI. Berdasarkan pengalaman, kadarnya umumnya rendah.
Oleh karena itu, tujuan program EGIT adalah untuk meningkatkan tingkat kemampuan dan kecukupan proses dan pengendalian
terkait TI yang sesuai untuk setiap unit bisnis, dengan cara yang diprioritaskan.
Hasilnya adalah risiko signifikan telah diidentifikasi dan diartikulasikan, dan manajemen dapat mengatasi risiko tersebut dan
melaporkan statusnya. Ketika tingkat kemampuan masing-masing unit bisnis meningkat, kualitas dan efisiensi juga harus
meningkat secara proporsional dan profil risiko bisnis terkait TI dari setiap entitas harus menurun.
Pada akhirnya, nilai bisnis akan meningkat sebagai hasil dari EGIT yang efektif.26 2
25
1
Pencacahan ini merupakan bagian dari bagian 4.5 (Faktor Desain) dan juga dibahas dalam bagianCOBIT®Panduan Implementasi 2019.
26
2
Penelitian empiris ada untuk mendukung pernyataan tersebut. Misalnya, lihatop citDe Haes, Joshi dan van Grembergen.
55
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
Banyak kerangka TI yang ada, masing-masing dimaksudkan untuk mengendalikan aspek TI tertentu. Kerangka COBIT dianggap oleh
banyak orang sebagai kerangka EGIT dan kontrol terkemuka di dunia. Hal ini telah diterapkan oleh beberapa anak perusahaan Acme
Corporation.
COBIT dipilih oleh Acme sebagai kerangka pilihan untuk implementasi EGIT dan oleh karena itu, harus diadopsi oleh semua anak
perusahaan.
COBIT tidak harus diimplementasikan secara keseluruhan; hanya bidang-bidang yang relevan dengan anak perusahaan atau unit bisnis
tertentu yang perlu dilaksanakan, dengan mempertimbangkan hal-hal berikut:
Jika anak perusahaan atau unit bisnis tertentu telah menerapkan kerangka kerja lain, atau penerapannya direncanakan di masa
depan, penerapan tersebut harus dipetakan ke COBIT untuk alasan pelaporan, audit, dan kejelasan pengendalian internal.
Fase 1 dari program EGIT adalah tahap pengembangan. Pada tahap program ini, langkah-langkah berikut
dilakukan:
1.Struktur tim inti diselesaikan di antara para pemangku kepentingan dan peserta proyek.
2.Tim inti menyelesaikan pelatihan dasar COBIT.
3.Lokakarya dengan tim inti dilakukan untuk menentukan pendekatan kelompok.
4.Komunitas online dibuat dalam Acme Corporation untuk bertindak sebagai gudang berbagi pengetahuan.
5.Semua pemangku kepentingan dan kebutuhan mereka diidentifikasi.
6.Struktur komite, peran dan tanggung jawab, aturan pengambilan keputusan, dan pengaturan pelaporan saat ini diperjelas dan disesuaikan
kembali, jika diperlukan.
7.Kasus bisnis untuk program EGIT dikembangkan dan dipelihara, sebagai landasan keberhasilan
implementasi program.
8.Rencana komunikasi dibuat untuk memandu prinsip, kebijakan, dan manfaat yang diharapkan sepanjang program.
9.Alat penilaian dan pelaporan untuk digunakan selama masa program dan seterusnya dikembangkan.
10.Pendekatan ini diuji pada satu entitas lokal. Kegiatan ini untuk kemudahan logistik dan untuk memfasilitasi penyempurnaan
pendekatan dan alat.
11.Pendekatan yang lebih baik ini diujicobakan di salah satu entitas asing. Hal ini untuk memahami dan mengukur
kesulitan menjalankan fase penilaian program EGIT dalam kondisi bisnis yang lebih menantang.
56
12.Kasus dan pendekatan bisnis akhir disajikan, termasuk rencana penerapannya kepada manajemen eksekutif Acme Corporation untuk
mendapatkan persetujuan.
Program EGIT dirancang untuk memulai program perbaikan berkelanjutan yang berkelanjutan, berdasarkan siklus hidup berulang yang
difasilitasi dengan mengikuti langkah-langkah berikut:
1.Menentukan pendorong untuk meningkatkan EGIT, baik dari perspektif grup Acme Corporation maupun di
tingkat unit bisnis.
2.Tentukan status EGIT saat ini.
3.Tentukan keadaan EGIT yang diinginkan (baik jangka pendek maupun jangka panjang).
4.Menentukan apa yang perlu diterapkan di tingkat unit bisnis untuk mencapai tujuan bisnis lokal, dan dengan demikian
menyelaraskan dengan harapan kelompok.
5.Melaksanakan proyek perbaikan yang diidentifikasi dan disepakati di tingkat unit bisnis lokal.
6.Sadarilah dan pantau manfaatnya.
7.Pertahankan cara kerja baru dengan menjaga momentum tetap berjalan.
1.Semua entitas grup. Namun, entitas akan diprioritaskan untuk berinteraksi karena keterbatasan sumber daya
program.
2.Metode penentuan prioritas. Hal ini perlu disetujui oleh manajemen Acme Corporation, namun dapat dilakukan
atas dasar berikut:
A.Ukuran investasi
B.Penghasilan/kontribusi kepada grup
C.Profil risiko dari perspektif kelompok
D.Kombinasi dari kriteria ini
3.Daftar entitas yang akan dicakup selama tahun keuangan berjalan. Hal ini harus diselesaikan dan disetujui oleh
manajemen Acme Corporation.
Program EGIT akan mencapai mandatnya dengan menggunakan pendekatan lokakarya interaktif yang difasilitasi dengan seluruh entitas.
Pendekatan ini dimulai dengan tujuan bisnis dan pemilik tujuan, biasanya CEO dan chief financial officer
(CFO). Pendekatan ini harus memastikan bahwa hasil program selaras dengan hasil dan prioritas bisnis yang
diharapkan.
Setelah tujuan bisnis tercapai, fokusnya beralih ke operasi TI, biasanya di bawah kendali chief technology
officer (CTO) atau chief information officer (CIO). Pada tingkat operasi TI, rincian lebih lanjut mengenai risiko
dan tujuan bisnis terkait TI dipertimbangkan.
57
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
Tujuan bisnis dan TI, serta risiko bisnis terkait TI, kemudian digabungkan dalam sebuah alat (berdasarkan panduan COBIT)
yang akan memberikan serangkaian area fokus dalam proses COBIT untuk dipertimbangkan oleh unit bisnis. Dengan cara
ini, unit bisnis dapat memprioritaskan upaya remediasinya untuk mengatasi area risiko TI.
Seperti disebutkan sebelumnya, tujuan keseluruhan program EGIT adalah untuk menanamkan praktik baik EGIT ke
dalam kelanjutan operasi berbagai entitas grup.
Hasil spesifik akan dihasilkan oleh program EGIT untuk memungkinkan Acme Corporation mengukur penyampaian hasil
yang diharapkan. Ini termasuk yang berikut:
1.Program EGIT akan memfasilitasi pertukaran pengetahuan internal melalui platform intranet dan memanfaatkan
hubungan yang ada dengan vendor untuk keuntungan masing-masing unit bisnis.
2.Laporan rinci mengenai setiap fasilitasi dengan unit bisnis akan dibuat yang berasal dari alat penilaian program
EGIT. Laporan tersebut akan mencakup:
A.Tujuan bisnis yang diprioritaskan saat ini, dan tujuan TI yang diakibatkannya, berdasarkan COBIT
B.Risiko terkait TI yang diidentifikasi oleh unit bisnis dalam format standar, dan area fokus yang disepakati untuk
diperhatikan oleh unit bisnis berdasarkan proses dan praktik COBIT serta komponen lain yang direkomendasikan
3.Laporan kemajuan keseluruhan mengenai cakupan unit bisnis Acme Corporation yang diharapkan oleh program EGIT
akan dibuat.
4.Pelaporan grup konsolidasi akan mencakup:
A.Kemajuan dari unit bisnis yang terlibat dengan proyek implementasi yang disepakati berdasarkan pemantauan metrik
kinerja yang disepakati
6.Pemantauan dan pelaporan manfaat berdasarkan tujuan dan metrik nilai yang ditentukan unit bisnis akan dibuat.
Berikut ini adalah jenis-jenis risiko potensial terhadap keberhasilan inisiasi dan keberhasilan berkelanjutan dari program EGIT Acme
Corporation. Risiko akan dimitigasi dengan berfokus pada pemberdayaan perubahan dan akan dipantau dan ditangani secara terus
menerus melalui tinjauan program dan pencatatan risiko. Jenis risiko tersebut adalah:
1.Komitmen dan dukungan manajemen terhadap program ini, baik di tingkat kelompok maupun di tingkat unit usaha
lokal
2.Mendemonstrasikan penyampaian nilai dan manfaat aktual bagi setiap entitas lokal melalui penerapan program. Entitas lokal harus mau
mengadopsi proses tersebut demi mendapatkan nilai yang akan dihasilkannya, dibandingkan melakukannya karena adanya kebijakan yang
ada.
58
Berikut ini telah diidentifikasi sebagai pemangku kepentingan dalam hasil program EGIT:
1.Komite Risiko
2.komite eksekutif TI
3.tim tata kelola
4.Staf kepatuhan
5.Manajemen wilayah
6.Manajemen eksekutif tingkat entitas lokal (termasuk manajemen TI)
7.Layanan audit internal
Struktur akhir yang berisi nama individu pemangku kepentingan akan disusun dan dipublikasikan setelah berkonsultasi dengan
manajemen kelompok.
Program EGIT memerlukan pemangku kepentingan yang teridentifikasi untuk menyediakan hal-hal berikut:
1.Panduan mengenai arah keseluruhan program EGIT. Hal ini mencakup keputusan mengenai topik-topik penting terkait tata kelola yang
ditentukan dalam bagan grup RACI sesuai dengan panduan COBIT. Hal ini lebih lanjut mencakup penetapan prioritas, menyepakati
pendanaan, dan menyetujui tujuan nilai.
2.Penerimaan hasil dan pemantauan manfaat yang diharapkan dari program EGIT
Program ini harus mengidentifikasi manfaat yang diharapkan dan memantau untuk memastikan bahwa nilai bisnis nyata dihasilkan dari investasi
tersebut. Manajemen lokal harus memotivasi dan mempertahankan program ini. EGIT yang baik harus menghasilkan manfaat yang akan ditetapkan
sebagai target spesifik untuk setiap unit bisnis dan dipantau serta diukur selama implementasi untuk memastikan bahwa manfaat tersebut
terealisasi. Manfaatnya antara lain:
1.Memaksimalkan realisasi peluang bisnis melalui TI, sekaligus memitigasi risiko bisnis terkait TI ke tingkat yang dapat diterima,
sehingga memastikan bahwa risiko dipertimbangkan secara bertanggung jawab terhadap peluang dalam semua inisiatif bisnis
2.Mendukung tujuan bisnis melalui investasi utama dan pengembalian optimal atas investasi tersebut, sehingga menyelaraskan
inisiatif dan tujuan TI secara langsung dengan strategi bisnis
3.Kepatuhan legislatif, peraturan dan kontrak serta kebijakan internal dan kepatuhan prosedural
4.Pendekatan yang konsisten untuk mengukur dan memantau kemajuan, efisiensi dan efektivitas
6.Menurunkan biaya operasional TI dan/atau meningkatkan produktivitas TI dengan menyelesaikan lebih banyak pekerjaan secara konsisten dalam waktu lebih
sedikit dan sumber daya lebih sedikit
Biaya utama akan mencakup waktu yang diperlukan untuk pengelolaan program kelompok, sumber daya penasihat eksternal, dan kursus
pelatihan awal. Biaya-biaya sentral ini telah diperkirakan untuk tahap 1. Biaya lokakarya penilaian untuk masing-masing manajemen unit
bisnis dan pemilik proses (kehadiran, tempat, fasilitator, dan biaya terkait lainnya) akan didanai secara lokal dan perkiraannya akan
diberikan. Inisiatif perbaikan proyek yang spesifik untuk setiap unit bisnis akan diperkirakan pada tahap 2 dan dipertimbangkan
berdasarkan kasus per kasus dan secara keseluruhan. Hal ini akan memungkinkan kelompok untuk memaksimalkan efisiensi dan
standardisasi.
59
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
Gambar 9.1merangkum tantangan-tantangan yang dapat mempengaruhi program EGIT selama periode implementasi program
dan faktor-faktor penentu keberhasilan yang harus diatasi untuk memastikan hasil yang sukses.
Ketidakmampuan untuk mendapatkan dan -Melakukan mitigasi melalui struktur komite dalam kelompok (untuk disepakati
mempertahankan dukungan untuk tujuan perbaikan dan dibentuk).
Kesenjangan komunikasi antara TI dan -Libatkan seluruh pemangku kepentingan.
bisnis
Biaya perbaikan melebihi manfaat yang -Fokus pada identifikasi manfaat.
dirasakan
Kurangnya kepercayaan dan hubungan baik antara TI -Menumbuhkan komunikasi yang terbuka dan transparan mengenai kinerja, dengan
dan perusahaan kaitannya dengan manajemen kinerja perusahaan.
-Fokus pada antarmuka bisnis dan mentalitas layanan.
-Publikasikanhasil positif dan pembelajaran untuk membantu membangun dan
menjaga kredibilitas.
-Pastikan CIO menjaga kredibilitas dan kepemimpinan dalam membangun kepercayaan
dan hubungan.
-Formalisasikan peran dan tanggung jawab tata kelola dalam bisnis sehingga
akuntabilitas keputusan menjadi jelas.
-Identifikasi dan komunikasikan bukti permasalahan nyata, risiko yang perlu
dihindari dan manfaat yang dapat diperoleh (dalam istilah bisnis) terkait dengan
usulan perbaikan.
-Fokus pada perencanaan pemberdayaan perubahan.
Kurangnya pemahaman tentang lingkungan Acme oleh -Terapkan metodologi penilaian yang konsisten.
mereka yang bertanggung jawab atas program EGIT
Berbagai tingkat kompleksitas (teknis, -Perlakukanentitas berdasarkan kasus per kasus. Manfaatkan
organisasi, model operasi) pembelajaran dan berbagi pengetahuan.
Pemahaman tentang kerangka kerja, prosedur dan -Melatih dan membimbing.
praktik EGIT
Bertahan untuk tidak berubah -Pastikan
bahwa implementasi siklus hidup juga mencakup aktivitas
pemberdayaan perubahan.
Adopsi perbaikan -Aktifkan pemberdayaan lokal di tingkat entitas.
Kesulitan dalam mengintegrasikan EGIT dengan -Melibatkan pemasok/pihak ketiga dalam aktivitas EGIT.
model tata kelola mitra outsourcing -Memasukkan kondisi dan hak untuk mengaudit dalam kontrak.
Mencoba melakukan terlalu banyak hal sekaligus; TI menangani -Menerapkan prinsip-prinsip manajemen program dan proyek.
masalah yang terlalu rumit dan/atau sulit -Gunakan pencapaian.
-Prioritaskan tugas 80/20 (80 persen manfaat dan 20 persen upaya) dan berhati-
hatilah dalam mengurutkan dalam urutan yang benar. Manfaatkan
kemenangan cepat.
-Membangun kepercayaan/keyakinan. Memiliki keterampilan dan pengalaman untuk membuatnya tetap sederhana
dan praktis.
IT dalam mode pemadaman kebakaran dan/atau tidak -Terapkan keterampilan kepemimpinan yang baik.
memprioritaskan dengan baik dan tidak dapat fokus pada EGIT -Dapatkan komitmen dan dorongan dari manajemen puncak sehingga orang-
orang bersedia untuk fokus pada EGIT.
-Mengatasi akar permasalahan di lingkungan operasional (intervensi
eksternal, manajemen memprioritaskan TI).
-Menerapkan disiplin/manajemen permintaan bisnis yang lebih ketat.
-Dapatkan bantuan eksternal.
60
Tidak adanya keterampilan dan kompetensi TI -Fokus pada perencanaan pemberdayaan perubahan:
yang dibutuhkan, seperti pemahaman bisnis, -Perkembangan
proses, soft skill -Pelatihan
-Pelatihan
-Pendampingan
61
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
62
Bab 10
COBIT dan Standar Lainnya
Salah satu prinsip panduan yang diterapkan sepanjang pengembangan COBIT®Tahun 2019 adalah untuk mempertahankan
posisi COBIT sebagai kerangka kerja payung. Ini berarti COBIT terus menyelaraskan dengan sejumlah standar, kerangka kerja
dan/atau peraturan yang relevan.
Dalam konteks ini, penyelarasan berarti COBIT tidak bertentangan dengan pedoman apa pun dalam standar terkait. Pada saat
yang sama, penting untuk diingat bahwa COBIT tidak menyalin isi standar terkait. Sebaliknya, panduan ini biasanya memberikan
pernyataan atau referensi yang setara dengan panduan terkait.
Standar dan panduan yang digunakan selama pengembangan COBIT®pembaruan 2019 meliputi:
-CIS®Pusat Keamanan Internet®,Kontrol Keamanan Penting CIS untuk Pertahanan Siber yang Efektif,Versi 6.1, Agustus
2016
-Standar cloud dan praktik yang baik:
-Layanan Web Amazon (AWS®)
- Pertimbangan Keamanan untuk Cloud Computing, ISACA
-Kontrol dan Jaminan di Cloud: Menggunakan COBIT®5, ISACA
-CMMI®Platform Kematangan Siber, 2018
-CMMI®Kematangan Manajemen Data (DMM)SMteladan, 2014
-CMMI®Pengembangan V2.0, CMMI Institute, AS, 2018
-Kerangka Kerja Manajemen Risiko Perusahaan (ERM) Komite Organisasi Sponsor (COSO), Juni 2017
-Komite Standardisasi Eropa (CEN),e-Competence Framework (e-CF) - Kerangka Kerja Umum Eropa untuk
Profesional ICT di semua sektor industri - Bagian 1: Kerangka Kerja, EN 16234-1:2016
-HITRUST®Kerangka Keamanan Umum, versi 9, September 2017
-Forum Keamanan Informasi (ISF),Standar Praktik yang Baik untuk Keamanan Informasi 2016
-Standar Organisasi Internasional untuk Standardisasi / Komisi Elektroteknik Internasional (ISO/IEC).
-ISO/IEC 20000-1:2011(E)
-ISO/IEC 27001:2013/Kor.2:2015(E)
-ISO/IEC 27002:2013/Kor.2:2015(E)
-ISO/IEC 27004:2016(E)
-ISO/IEC 27005:2011(E)
-ISO/IEC 38500:2015(E)
-ISO/IEC 38502:2017(E)
-Perpustakaan Infrastruktur Teknologi Informasi (ITIL®) v3, 2011
-Institut Auditor Internal®(IIA®), “Prinsip Inti Praktik Profesional Audit Internal”
-Laporan Raja IV tentang Tata Kelola Perusahaan™, 2016
63
Salinan Pribadi: Dr. David Lanter
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
64
Salinan Pribadi: Dr. David Lanter