COBIT 2019 Framework Introduction and Methodology Res Eng 1118.en - Id

Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.
com
KERANGKA
Pendahuluan dan
Metodologi
Salinan Pribadi: Dr. David Lanter

COBIT®KERANGKA 2019: PENDAHULUAN & METODOLOGI
Tentang ISACA
Mendekati tahun ke-50, ISACA®(isaca.org) adalah asosiasi global yang membantu individu dan perusahaan mencapai potensi
positif dari teknologi. Teknologi memberdayakan dunia saat ini dan ISACA membekali para profesional dengan pengetahuan,
kredensial, pendidikan, dan komunitas untuk memajukan karir mereka dan mentransformasikan organisasi mereka. ISACA
memanfaatkan keahlian setengah juta profesionalnya yang terlibat di bidang keamanan informasi dan cyber, tata kelola, jaminan,
risiko dan inovasi, serta anak perusahaannya yang bergerak di bidang kinerja perusahaan, CMMI.®Institute, untuk membantu
memajukan inovasi melalui teknologi. ISACA hadir di lebih dari 188 negara, termasuk lebih dari 217 cabang dan kantor di Amerika
Serikat dan Tiongkok.
Penafian
ISACA telah dirancang dan dibuatCOBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologi("Pekerjaan") terutama sebagai
sumber daya pendidikan bagi para profesional tata kelola perusahaan informasi dan teknologi (EGIT), jaminan, risiko dan
keamanan. ISACA tidak mengklaim bahwa penggunaan Karya apa pun akan menjamin hasil yang sukses. Pekerjaan tidak boleh
dianggap mencakup semua informasi, prosedur dan pengujian yang tepat atau eksklusif terhadap informasi, prosedur dan
pengujian lainnya yang secara wajar diarahkan untuk memperoleh hasil yang sama. Dalam menentukan kelayakan suatu
informasi, prosedur atau pengujian tertentu, profesional tata kelola informasi dan teknologi perusahaan (EGIT), jaminan, risiko
dan keamanan harus menerapkan pertimbangan profesional mereka sendiri terhadap keadaan spesifik yang ditimbulkan oleh
sistem atau lingkungan teknologi informasi tertentu.
hak cipta
© 2018 ISACA. Seluruh hak cipta. Untuk pedoman penggunaan, lihatwww.isaca.org/COBITuse.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, AS
Telepon: +1.847.660.5505
Faks: +1.847.253.1755
Hubungi kami: https://support.isaca.org
Situs web: www.isaca.org
Berpartisipasi dalam Forum Online ISACA:https://engage.isaca.org/onlineforums
Twitter:http://twitter.com/ISACANews
LinkedIn:http://linkd.in/ISACAOfficial
Facebook:www.facebook.com/ISACAHQ
Instagram:www.instagram.com/isacanews/
COBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologi

ISBN 978-1-60420-763-7

MEMORIAM: JOHN LAINHART (1946-2018)
Dalam Memori: John Lainhart (1946-2018)
Didedikasikan untuk John Lainhart, ketua Dewan ISACA 1984-1985. John berperan penting dalam penciptaan COBIT®
kerangka kerja dan terakhir menjabat sebagai ketua kelompok kerja COBIT®2019, yang puncaknya adalah
terciptanya karya ini. Selama empat dekade bersama ISACA, John terlibat dalam berbagai aspek asosiasi serta
memegang sertifikasi CISA, CRISC, CISM dan CGEIT dari ISACA. John meninggalkan warisan pribadi dan profesional
yang luar biasa, dan usahanya berdampak signifikan pada ISACA.
3
COBIT®KERANGKA KERJA 2019: PENDAHULUAN & METODOLOGI
Halaman sengaja dikosongkan

UCAPAN TERIMA KASIH
Ucapan Terima Kasih

ISACA ingin mengakui:
Kelompok Kerja COBIT (2017-2018)

John Lainhart, Ketua, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, AS
Matt Conboy, Cigna, AS
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (pensiun), Kanada
Tim pengembangan
Steven De Haes, Ph.D., Antwerp Management School, Universitas Antwerp, Belgia
Matthias Goorden, PwC, Belgia
Stefanie Grijp, PwC, Belgia
Bart Peeters, PwC, Belgia
Geert Poels, Ph.D., Universitas Ghent, Belgia
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Belgia
Peninjau Ahli
SarahAhmadAbedin, CISA, CRISC, CGEIT, Grant Thornton LLP, AS
Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Belgia
ElisabethAntonssen, Nordea Bank, Swedia
Krzystof Baczkiewicz, CHAMP, CITAM, CSAM, Transpectit, Polandia
Christopher M. Ballister, CRISC, CISM, CGEIT, Grant Thornton, AS Gary
Bannister, CGEIT, CGMA, FCMA, Austria
Graciela Braga, CGEIT, Auditor dan Penasihat, Argentina
Ricardo Bria, CISA, CRISC, CGEIT, COTO CICSA, Argentina Sushil
Chatterji, CGEIT, Edutech Enterprises, Singapura
Peter T. Davis, CISA, CISM, CGEIT, COBIT 5Penilai, CISSP, CMA, CPA, PMI-RMP, PMP,
Peter Davis+Rekan, Kanada
James Doss, CISM, CGEIT, EMCCA, PMP, SSGB, TOGAF 9, ITvalueQuickStart.com, AS
Yalcin Gerek, CISA, CRISC, CGEIT, Pakar ITIL, Prince2, ISO 20000LI, ISO27001LA, TACAS., Turki James
L. Golden, Golden ConsultingAssociates, AS
J. Winston Hayden, CISA, CISM, CRISC, CGEIT, Afrika Selatan
Jimmy Heschl, CISA, CISM, CGEIT, Red Bull, Austria
Jorge Hidalgo, CISA, CISM, CGEIT, Chili
John Jasinski, CISA, CRISC, CISM, CGEIT, COBIT 5Assessor, CSM, CSPO, IT4IT-F, Pakar ITIL, Lean IT-F,
MOF, SSBB, TOGAF-F, AS Joanna
Karczewska, CISA, Polandia
Glenn Keaveny, CEH, CISSP, Grant Thornton, AS
Eddy Khoo SK, CGEIT, Kuala Lumpur, Malaysia
Joao Souza Neto, CRISC, CGEIT, Universidade Católica de Brasília, Brazil
Tracey O'Brien, CISA, CISM, CGEIT, IBM Corp (pensiun), AS
Zachy Olorunojowon, CISA, CGEIT, PMP, BC Kementerian Kesehatan, Victoria, BC Kanada
Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP, ISO 27001LA, M.IoD, Afenoid Enterprise Limited, Nigeria
Andre Pitkowski, CRISC, CGEIT, CRMA-IIA, OCTAVE, SM, APIT Consultoria de Informatica Ltd., Brasil
Dirk Reimers, Entco Deutschland GmbH, Perusahaan Fokus AMicro
Steve Reznik, CISA, CRISC, ADP, LLC., AS
Bruno Horta Soares, CISA, CRISC, CGEIT, PMP, GOVaaS - GovernanceAdvisors, as-a-Service, Portugal Dr.
Katalin Szenes, Ph.D., CISA, CISM, CGEIT, CISSP, John von Neumann Fakultas Informatika,
Universitas Obuda, Hongaria
5
Ucapan Terima Kasih(lanjutan)
Peninjau Ahli
Peter Tessin, CISA, CRISC, CISM, CGEIT, Discover, AS
Mark Thomas, CRISC, CGEIT, Escoute, AS
John Thorp, CMC, ISP, ITCP, The Thorp Network, Kanada
Menyapa Volders, CGEIT, COBITAssessor, Voquals NV, Belgia
Markus Walter, CISA, CISM, CISSP, ITIL, PMP, TOGAF, PwC Singapura/Swiss David
M. Williams, CISA, CAMS, Westpac, Selandia Baru
Greg Witte, CISM, G2 Inc., AS
Dewan Direksi ISACA

Rob Clyde, CISM, Clyde Consulting LLC, AS, Ketua
Brennan Baybeck, CISA, CRISC, CISM, CISSP, Oracle Corporation, AS, Wakil Ketua
Tracey Dedrick, Mantan Chief Risk Officer di Hudson City Bancorp, AS
Leonard Ong, CISA, CRISC, CISM, CGEIT, Pelaksana dan Penilai COBIT 5, CFE, CIPM, CIPT, CISSP,
CITBCM, CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc., Singapura
RV Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd., India
Gabriela Reynaga, CISA, CRISC, COBIT 5 Foundation, GRCP, Holistics GRC, Meksiko
Gregory Touhill, CISM, CISSP, Cyxtera Federal Group, AS
Ted Wolff, CISA, Vanguard, Inc., AS
Tichaona Zororo, CISA, CRISC, CISM, CGEIT, COBIT 5Penilai, CIA, CRMA, EGIT | Tata Kelola Perusahaan
IT, Afrika Selatan
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, AS,
Ketua Dewan ISACA, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Yunani, Ketua Dewan ISACA, 2015-2017
Matt Loeb, CGEIT, CAE, FASAE, Chief Executive Officer, ISACA, AS
Robert E Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., AS, Ketua Dewan ISACA, 2014-2015
ISACA turut berduka cita atas meninggalnya Robert E Stroud pada September 2018.

DAFTAR ISI
DAFTAR ISI
Daftar Gambar................................................. ................................................. ...................................................9
Bab 1 PENDAHULUAN................................................. ................................................. ......................11

1.1 Tata Kelola Perusahaan Informasi dan Teknologi ............................................ ................................11
1.2 Manfaat Tata Kelola Informasi dan Teknologi ........................................ ................................................11
1.3 COBIT sebagai Kerangka Tata Kelola I&T.................................. ................................................. ......12
1.3.1 Apa itu COBIT dan Apa yang Bukan? ................................................. ................................................. .13
1.4 Struktur Publikasi Ini ............................................ ................................................. ........................14
Bab 2. Audiens yang Dituju................................................. ................................................. ....15

2.1 Tata Kelola Pemangku Kepentingan ............................................ ................................................. ........................... 15
Bab 3. Prinsip COBIT................................................. ................................................. .........17

3.1 Pendahuluan ................................................ ................................................. ................................................17
3.2 Enam Prinsip Sistem Tata Kelola................................................ ................................................. ..........17
3.3 Tiga Prinsip Kerangka Tata Kelola................................................ ................................................. 18
3.4 COBIT®2019................................................. ................................................. ...................................................18
Bab 4. Konsep Dasar : Sistem dan Komponen Tata Kelola.........19

4.1 Ikhtisar COBIT ............................................ ................................................. ................................19
4.2 Tujuan Tata Kelola dan Manajemen ............................................. ................................................. ......20
4.3 Komponen Sistem Tata Kelola ............................................ ................................................. .........21
4.4 Area Fokus ............................................ ................................................. ...................................................22
4.5 Faktor Desain ................................................ ................................................. ...................................................23
4.6 Rangkaian Sasaran................................................ ................................................. ................................................28
4.6.1 Tujuan Perusahaan ............................................ ................................................. ................................29
4.6.2 Tujuan Penyelarasan ................................................ ................................................. ................................30
Bab 5. Tujuan Tata Kelola dan Manajemen COBIT................................33

5.1 Tujuan ................................................. ................................................. ................................................. ...33
Bab 6. Manajemen Kinerja di COBIT................................................. .......37

6.1 Definisi ................................................. ................................................. ................................................37
6.2 Prinsip Manajemen Kinerja COBIT ............................................ ................................................. 37
6.3 Ikhtisar Manajemen Kinerja COBIT................................................ ................................................. .37
6.4 Mengelola Kinerja Proses ............................................. ................................................. .............38
6.4.1 Tingkat Kemampuan Proses............................................ ................................................. ......................38
6.4.2 Kegiatan Proses Pemeringkatan ............................................ ................................................. ..............39
6.4.3 Tingkat Kematangan Area Fokus ........................................ ................................................. ...............39
6.5 Pengelolaan Kinerja Komponen Sistem Tata Kelola Lainnya.................................. ...............40
6.5.1 Manajemen Kinerja Struktur Organisasi.................................................. ................................40
6.5.2 Kinerja Manajemen Item Informasi................................................ ...................................................41
6.5.3 Manajemen Kinerja Budaya dan Perilaku................................................ .................................43
Bab 7. Merancang Sistem Tata Kelola yang Disesuaikan................................................45

7.1 Dampak Faktor Desain.................................................. ................................................. ................................45
7.2 Tahapan dan Langkah-Langkah Proses Desain .................................. ................................................. ............47
Bab 8. Penerapan Tata Kelola TI Perusahaan................................................49

8.1 Tujuan Panduan Implementasi COBIT ............................................ ................................................. .........49
8.2 Pendekatan Implementasi COBIT.................................................. ................................................. ................49

8.2.1 Fase 1—Apa Faktor Pendorongnya? ................................................. ................................................. ......50
8.2.2 Fase 2—Di Mana Kita Saat Ini?................................. ................................................. ...............50
8.2.3 Fase 3—Kita Ingin Berada di Mana? ................................................. ................................................. 51
8.2.4 Fase 4—Apa yang Perlu Dilakukan?...................................... ................................................. ...............51
8.2.5 Fase 5—Bagaimana Kita Mencapainya? ................................................. ................................................. ....51
8.2.6 Fase 6—Sudahkah Kita Mencapainya? ................................................. ................................................. ............51
8.2.7 Fase 7—Bagaimana Kita Menjaga Momentum Tetap Berjalan?................................. ...................................................51
8.3 Hubungan AntarCOBIT®Panduan Desain 2019DanCOBIT®Panduan Implementasi 2019..................52
Bab 9. Memulai COBIT: Membuat Kasus...................................53

9.1 Kasus Bisnis ............................................ ................................................. ................................................53
9.2 Ringkasan Eksekutif ............................................ ................................................. ...................................53
9.3 Latar Belakang................................................ ................................................. ...................................................54
9.4 Tantangan Bisnis ................................................ ................................................. ...................................55
9.4.1 Analisis Kesenjangan dan Tujuan ........................................ ................................................. ........................... 55
9.4.2 Alternatif yang Dipertimbangkan................................................ ................................................. ........................56
9.5 Usulan Solusi ................................................ ................................................. ................................56
9.5.1 Tahap 1. Pra-perencanaan.................................. ................................................. ...................................56
9.5.2 Tahap 2. Implementasi Program................................................ ................................................. .............57
9.5.3 Ruang Lingkup Program................................................ ................................................. .................................57
9.5.4 Metodologi dan Penyelarasan Program ........................................ ................................................. ......57
9.5.5 Hasil Program ............................................ ................................................. ........................... 58
9.5.6 Risiko Program ............................................ ................................................. .................................58
9.5.7 Pemangku kepentingan ............................................ ................................................. .................................59
9.5.8 Analisis Biaya-Manfaat ........................................ ................................................. ................................59
9.5.9 Tantangan dan Faktor Keberhasilan................................................ ................................................. ...............60
Bab 10. COBIT dan Standar Lainnya................................................. ........................63

10.1 Prinsip Panduan ................................................. ................................................. ...................................63
10.2 Daftar Standar yang Direferensikan .................................................. ................................................. ...............63

DAFTAR GAMBAR
DAFTAR GAMBAR
Bab 1 PENDAHULUAN
Gambar 1.1—Konteks Tata Kelola Perusahaan di bidang Informasi dan Teknologi...................................... ............11
Bab 2. Audiens yang Dituju

Gambar 2.1—Pemangku Kepentingan COBIT.................................. ................................................. ...................................15
Bab 3. Prinsip COBIT

Gambar 3.1—Prinsip Sistem Tata Kelola ............................................ ................................................. .................17
Gambar 3.2—Prinsip-Prinsip Kerangka Tata Kelola................................................ ................................................. ............18
Bab 4. Konsep Dasar : Sistem dan Komponen Tata Kelola

Gambar 4.1—Ikhtisar COBIT .................................. ................................................. ...................................19
Gambar 4.2—Model Inti COBIT ............................................ ................................................. ................................21
Gambar 4.3—Komponen COBIT dari Sistem Tata Kelola .................................. ...................................................22
Gambar 4.4—Faktor Desain COBIT ............................................ ................................................. ................................23
Gambar 4.5—Faktor Desain Strategi Perusahaan.................................. ................................................. .............23
Gambar 4.6—Faktor Rancangan Tujuan Perusahaan................................................. ................................................. .................24
Gambar 4.7—Faktor Rancangan Profil Risiko (Kategori Risiko TI) .................................. ................................................24
Gambar 4.8—Faktor Rancangan Masalah Terkait I&T .................................. ................................................. ...............25
Gambar 4.9—Ancaman Faktor Rancangan Lansekap ............................................ ................................................. ...............25
Gambar 4.10—Faktor Rancangan Persyaratan Kepatuhan ........................................ ................................................. 26
Gambar 4.11—Peran Faktor Desain TI .................................. ................................................. ................................26
Gambar 4.12—Model Sumber untuk Faktor Desain TI .................................. ................................................. ........26
Gambar 4.13—Faktor Desain Metode Implementasi TI.................................. ................................................27
Gambar 4.14—Faktor Rancangan Strategi Adopsi Teknologi.................................. ................................................27
Gambar 4.15—Faktor Desain Ukuran Perusahaan ........................................ ................................................. .................27
Gambar 4.16—Cascade Sasaran COBIT ............................................ ................................................. ........................... 28
Gambar 4.17— Kaskade Sasaran: Sasaran dan Metrik Perusahaan ........................................ ...................................................29
Gambar 4.18— Kaskade Sasaran: Penyelarasan Sasaran dan Metrik ........................................ ................................................30
Bab 5. Tujuan Tata Kelola dan Manajemen COBIT

Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen.................................. .......33
Bab 6. Manajemen Kinerja di COBIT

Gambar 6.1—Tingkat Kemampuan .................................. ................................................. ...................................38
Gambar 6.2—Tingkat Kemampuan untuk Proses ........................................ ................................................. ................39
Gambar 6.3—Tingkat Kematangan untuk Area Fokus .................................. ................................................. ................40
Gambar 6.4—Model Referensi Informasi: Kriteria Kualitas Informasi.................................. .................42
Bab 7. Merancang Sistem Tata Kelola yang Disesuaikan

Gambar 7.1—Dampak Faktor Desain pada Sistem Tata Kelola dan Manajemen.................................. .................45
Gambar 7.2—Alur Kerja Perancangan Sistem Tata Kelola ........................................ ................................................. ......47
Bab 8. Penerapan Tata Kelola TI Perusahaan

Gambar 8.1—Peta Jalan Implementasi COBIT.................................. ................................................. ............50
Gambar 8.2—Titik Sambungan AntarPanduan Desain COBITDanPanduan Implementasi COBIT........................52
Bab 9. Memulai COBIT: Membuat Kasus

Gambar 9.1—Tantangan dan Rencana Tindakan untuk Acme Corporation ........................................ ................................60
9
10

BAB 1
PERKENALAN
Bab 1
Perkenalan
1.1 Tata Kelola Perusahaan Informasi dan Teknologi
Mengingat transformasi digital, informasi dan teknologi (I&T) menjadi sangat penting dalam mendukung, keberlanjutan, dan pertumbuhan
perusahaan. Sebelumnya, dewan pengurus (dewan direksi) dan manajemen senior dapat mendelegasikan, mengabaikan atau menghindari
keputusan terkait I&T. Di sebagian besar sektor dan industri, sikap seperti ini kini tidak bijaksana. Penciptaan nilai pemangku kepentingan (yaitu,
mewujudkan manfaat dengan biaya sumber daya yang optimal sambil mengoptimalkan risiko) sering kali didorong oleh digitalisasi tingkat tinggi
dalam model bisnis baru, proses yang efisien, inovasi yang sukses, dll. Perusahaan-perusahaan yang terdigitalisasi semakin bergantung pada I&T
untuk kelangsungan hidup dan pertumbuhannya. .
Mengingat pentingnya I&T untuk manajemen risiko perusahaan dan penciptaan nilai, fokus khusus pada tata kelola
informasi dan teknologi perusahaan (EGIT) telah muncul selama tiga dekade terakhir. EGIT merupakan bagian integral
dari tata kelola perusahaan. Hal ini dilaksanakan oleh dewan yang mengawasi definisi dan penerapan proses, struktur,
dan mekanisme relasional dalam organisasi yang memungkinkan pelaku bisnis dan TI melaksanakan tanggung jawab
mereka dalam mendukung penyelarasan bisnis/TI dan penciptaan nilai bisnis dari dukungan I&T. investasi bisnis (gambar
1.1).
Gambar 1.1—Konteks Tata Kelola Perusahaan di bidang Informasi dan Teknologi
Perusahaan Bisnis/TI Nilai

Tata Kelola TI Penyelarasan Penciptaan
Sumber: De Haes, Steven; W.Van Grembergen;Tata Kelola Perusahaan Teknologi Informasi: Mencapai Keselarasan dan Nilai, Menampilkan
COBIT 5, 2daned., Springer International Publishing, Swiss, 2015,https://www.springer.com/us/book/9783319145464
Tata kelola informasi dan teknologi perusahaan bersifat kompleks dan beragam. Tidak ada solusi jitu (atau cara ideal) untuk merancang,
menerapkan, dan memelihara EGIT yang efektif dalam suatu organisasi. Oleh karena itu, anggota dewan pengurus dan manajemen senior
biasanya perlu menyesuaikan langkah-langkah dan implementasi EGIT mereka sesuai dengan konteks dan kebutuhan spesifik mereka.
Mereka juga harus bersedia menerima akuntabilitas yang lebih besar terhadap I&T dan mendorong pola pikir dan budaya yang berbeda
untuk memberikan nilai dari I&T.
1.2 Manfaat Tata Kelola Informasi dan Teknologi
Pada dasarnya, EGIT berkaitan dengan penyampaian nilai dari transformasi digital dan mitigasi risiko bisnis yang
diakibatkan oleh transformasi digital. Lebih khusus lagi, tiga hasil utama yang dapat diharapkan setelah penerapan EGIT
berhasil:
-Realisasi manfaat—Ini terdiri dari menciptakan nilai bagi perusahaan melalui I&T, mempertahankan dan meningkatkan
nilai yang diperoleh dari I&T yang ada1 investasi, dan menghilangkan inisiatif dan aset TI yang tidak menghasilkan
1
nilai yang cukup. Prinsip dasar nilai I&T adalah penyampaian layanan dan solusi yang sesuai dengan tujuan, tepat waktu
1
1 Sepanjang teks ini, TI digunakan untuk merujuk pada departemen organisasi dengan tanggung jawab utama terhadap teknologi. I&T seperti yang digunakan dalam teks ini mengacu pada semua
informasi yang dihasilkan, diproses, dan digunakan oleh perusahaan untuk mencapai tujuannya, serta teknologi untuk mendukungnya di seluruh perusahaan.
11
dan sesuai anggaran, yang menghasilkan manfaat finansial dan nonfinansial yang diharapkan. Nilai yang diberikan I&T
harus selaras langsung dengan nilai-nilai yang menjadi fokus bisnis. Nilai TI juga harus diukur dengan cara yang
menunjukkan dampak dan kontribusi investasi berbasis TI dalam proses penciptaan nilai perusahaan.
-Optimalisasi risiko—Hal ini mencakup penanganan risiko bisnis yang terkait dengan penggunaan, kepemilikan, pengoperasian,
keterlibatan, pengaruh, dan penerapan I&T dalam suatu perusahaan. Risiko bisnis terkait I&T terdiri dari peristiwa terkait I&T
yang berpotensi berdampak pada bisnis. Sementara penyampaian nilai berfokus padapenciptaannilai, manajemen risiko
berfokus padakelestarianberharga. Pengelolaan risiko terkait I&T harus diintegrasikan dalam pendekatan manajemen risiko
perusahaan untuk memastikan perusahaan fokus pada TI. Hal ini juga harus diukur dengan cara yang menunjukkan dampak dan
kontribusi dari optimalisasi risiko bisnis terkait I&T dalam menjaga nilai.
-Optimalisasi sumber daya—Hal ini memastikan bahwa kemampuan yang sesuai tersedia untuk melaksanakan rencana strategis dan
sumber daya yang memadai, tepat dan efektif disediakan. Optimalisasi sumber daya memastikan tersedianya infrastruktur TI yang
terintegrasi dan ekonomis, teknologi baru diperkenalkan sesuai kebutuhan bisnis, dan sistem yang usang diperbarui atau diganti.
Karena menyadari pentingnya sumber daya manusia, selain perangkat keras dan perangkat lunak, perusahaan ini berfokus pada
penyediaan pelatihan, meningkatkan retensi, dan memastikan kompetensi personel TI utama. Sumber daya yang penting adalah data
dan informasi, dan pemanfaatan data dan informasi untuk mendapatkan nilai optimal adalah elemen kunci lain dari optimalisasi
sumber daya.
Penyelarasan strategis dan pengukuran kinerja merupakan hal yang sangat penting dan berlaku secara keseluruhan pada semua aktivitas
untuk memastikan bahwa tujuan terkait I&T selaras dengan tujuan perusahaan.
Dalam studi kasus besar di sebuah perusahaan penerbangan internasional, manfaat EGIT ditunjukkan antara lain: menurunkan biaya
kontinuitas terkait TI, meningkatkan kapasitas inovasi yang didukung TI, meningkatkan keselarasan antara investasi digital dan tujuan serta
strategi bisnis, meningkatkan kepercayaan antara bisnis dan TI, dan a pergeseran menuju “pola pikir nilai” seputar aset digital.2
2
Penelitian telah menunjukkan bahwa perusahaan dengan pendekatan EGIT yang dirancang atau diadopsi dengan buruk memiliki kinerja yang lebih
buruk dalam menyelaraskan strategi dan proses bisnis dan I&T. Akibatnya, perusahaan-perusahaan tersebut cenderung tidak mencapai strategi
bisnis yang diinginkan dan mewujudkan nilai bisnis yang mereka harapkan dari transformasi digital.3 3
Dari sini jelas bahwa tata kelola harus dipahami dan diterapkan jauh melampaui penafsiran yang sering dijumpai (yaitu
sempit) yang disarankan oleh akronim tata kelola, risiko dan kepatuhan (GRC). Akronim GRC sendiri secara implisit
menunjukkan bahwa kepatuhan dan risiko terkait mewakili spektrum tata kelola.
1.3 COBIT sebagai Kerangka Tata Kelola I&T
Selama bertahun-tahun, kerangka praktik terbaik telah dikembangkan dan dipromosikan untuk membantu proses pemahaman,
perancangan, dan penerapan EGIT. COBIT®Tahun 2019 membangun dan mengintegrasikan lebih dari 25 tahun pembangunan di bidang
ini, tidak hanya menggabungkan wawasan baru dari sains, namun juga mengoperasionalkan wawasan ini sebagai praktik.
Sejak berdirinya komunitas audit TI, COBIT®telah berkembang menjadi kerangka tata kelola dan manajemen I&T yang
lebih luas dan komprehensif dan terus memantapkan dirinya sebagai kerangka kerja tata kelola I&T yang diterima secara
umum.
2
De Haes, S.; W.van Grembergen;Tata Kelola TI Perusahaan: Mencapai Keselarasan dan Nilai, Menampilkan COBIT 5, Springer Internasional
2
Penerbitan, Swiss, edisi ke-2. 2015,https://www.springer.com/us/book/9783319145464

3
3De Haes, Steven; A.Joshi; W.van Grembergen; “Keadaan dan Dampak Tata Kelola TI Perusahaan dalam Organisasi: Temuan Utama Internasional
Belajar,"ISACA®Jurnal, jilid. 4, 2015,https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/state-and-impact-of-governance-of-enterprise-itin-
organizations.aspx. Lihat jugaop citDe Haes dan van Grembergen.
12

BAB 1
PERKENALAN
1.3.1 Apa itu COBIT dan Apa yang Bukan?
Sebelum menjelaskan kerangka COBIT yang diperbarui, penting untuk menjelaskan apa itu COBIT dan apa yang bukan:
COBIT adalah kerangka tata kelola dan pengelolaan informasi dan teknologi perusahaan,4 4 ditujukan pada
seluruh perusahaan. I&T Perusahaan berarti semua teknologi dan pemrosesan informasi yang diterapkan perusahaan untuk mencapai
tujuannya, di mana pun hal ini terjadi di perusahaan. Dengan kata lain, I&T perusahaan tidak terbatas pada departemen TI suatu
organisasi, namun tentu saja mencakup departemen tersebut.
Kerangka COBIT membuat perbedaan yang jelas antara tata kelola dan manajemen. Kedua disiplin ilmu ini mencakup
aktivitas yang berbeda, memerlukan struktur organisasi yang berbeda, dan memiliki tujuan yang berbeda.
-Tata Kelolamemastikan bahwa:
-Kebutuhan, kondisi dan pilihan pemangku kepentingan dievaluasi untuk menentukan tujuan perusahaan yang seimbang dan disepakati.
-Arah ditentukan melalui penentuan prioritas dan pengambilan keputusan.
-Kinerja dan kepatuhan dipantau berdasarkan arah dan tujuan yang disepakati.
Di sebagian besar perusahaan, tata kelola secara keseluruhan merupakan tanggung jawab dewan direksi, di bawah kepemimpinan
ketua. Tanggung jawab tata kelola yang spesifik dapat didelegasikan kepada struktur organisasi khusus pada tingkat yang sesuai,
khususnya di perusahaan yang lebih besar dan kompleks.
-Pengelolaanmerencanakan, membangun, menjalankan dan memantau kegiatan, sejalan dengan arahan yang ditetapkan oleh badan tata
kelola, untuk mencapai tujuan perusahaan.
Di sebagian besar perusahaan, manajemen merupakan tanggung jawab manajemen eksekutif, di bawah
kepemimpinan CEO (CEO).
COBIT mendefinisikan komponen untuk membangun dan mempertahankan sistem tata kelola: proses, struktur organisasi,
kebijakan dan prosedur, arus informasi, budaya dan perilaku, keterampilan, dan infrastruktur.5 5
COBIT mendefinisikan faktor desain yang harus dipertimbangkan oleh perusahaan untuk membangun sistem tata kelola yang paling sesuai.
COBIT mengatasi masalah tata kelola dengan mengelompokkan komponen tata kelola yang relevan ke dalam tujuan tata kelola dan
manajemen yang dapat dikelola hingga tingkat kemampuan yang diperlukan.
Beberapa kesalahpahaman tentang COBIT harus dihilangkan:
-COBIT bukanlah gambaran lengkap tentang keseluruhan lingkungan TI suatu perusahaan.
-COBIT bukanlah kerangka kerja untuk mengatur proses bisnis.
-COBIT bukanlah kerangka teknis (IT-) untuk mengelola semua teknologi.
-COBIT tidak membuat atau menentukan keputusan terkait TI apa pun. Ia tidak akan memutuskan strategi TI apa yang terbaik, arsitektur apa yang terbaik, atau
berapa besar biaya TI yang dapat atau harus dikeluarkan. COBIT mendefinisikan semua komponen yang menggambarkan keputusan mana yang harus
diambil, dan bagaimana serta oleh siapa keputusan tersebut harus diambil.
4
4Sepanjang publikasi ini, rujukan pada “kerangka tata kelola TI” menyiratkan keseluruhan uraian ini.
5
5Komponen-komponen ini disebut sebagai penggerak (enabler) dalam COBIT®5.
13
1.4 Struktur Publikasi Ini
Sisa dari publikasi ini berisi bab-bab berikut:

-Bab 2 membahas target audiens COBIT.
-Bab3 menjelaskan prinsip-prinsip sistem tata kelola I&T, dan prinsip-prinsip kerangka tata kelola
yang baik.
-Bab4 menjelaskan konsep dasar dan terminologi COBIT®2019, termasuk model inti COBIT yang diperbarui dengan
40 tujuan tata kelola dan manajemennya.
-Bab 5 menguraikan 40 tujuan tata kelola dan pengelolaan.
-Bab6 menjelaskan cara monitoring kinerja di COBIT®2019 disusun dan, khususnya, bagaimana Capability Maturity Model
Integration (CMMI®) tingkat kemampuan yang terinspirasi diperkenalkan.
-Bab 7 berisi pengenalan singkat dan gambaran alur kerjaCOBIT®Panduan Desain 2019.
-Bab 8 berisi pengenalan singkat dan gambaran umum tentangCOBIT®Panduan Implementasi 2019.
-Bab 9 berisi contoh rinci untuk mengilustrasikan penerapan dan penerapan COBIT di suatu perusahaan.
-Bab 10 mencantumkan standar, kerangka kerja dan peraturan yang telah digunakan selama pengembangan COBIT®
2019.
14

BAB 2
AUDIENS YANG DITUJU
Bab 2
Audiens yang dituju
2.1 Tata Kelola Pemangku Kepentingan
Target audiens COBIT adalah pemangku kepentingan EGIT dan, lebih jauh lagi, pemangku kepentingan tata kelola perusahaan. Para pemangku
kepentingan ini dan manfaat yang dapat mereka peroleh dari COBIT dapat dilihat pada gambar berikutgambar 2.1.
Gambar 2.1—Pemangku Kepentingan COBIT
Pemangku kepentingan Manfaat COBIT

Pemangku Kepentingan Internal
Papan Memberikan wawasan tentang cara mendapatkan manfaat dari penggunaan I&T dan menjelaskan
tanggung jawab dewan yang relevan
Manajemen eksekutif Memberikan panduan tentang cara mengatur dan memantau kinerja I&T di
seluruh perusahaan
Manajer Bisnis Membantu memahami cara mendapatkan solusi I&T yang dibutuhkan perusahaan
dan cara terbaik memanfaatkan teknologi baru untuk peluang strategis baru
Manajer TI Memberikan panduan tentang cara terbaik untuk membangun dan menyusun departemen TI,
mengelola kinerja TI, menjalankan operasi TI yang efisien dan efektif, mengendalikan biaya TI,
menyelaraskan strategi TI dengan prioritas bisnis, dll.
Penyedia Jaminan Membantu mengelola ketergantungan pada penyedia layanan eksternal,

mendapatkan jaminan atas TI, dan memastikan adanya sistem pengendalian internal
yang efektif dan efisien
Manajemen risiko Membantu memastikan identifikasi dan pengelolaan semua risiko terkait TI
Pemangku Kepentingan Eksternal
Regulator Membantu memastikan perusahaan mematuhi aturan dan regulasi yang berlaku
serta memiliki sistem tata kelola yang tepat untuk mengelola dan
mempertahankan kepatuhan
Mitra Bisnis Membantu memastikan operasional mitra bisnis aman, andal, dan
mematuhi peraturan dan ketentuan yang berlaku
Vendor TI Membantu memastikan bahwa operasi vendor TI aman, andal, dan
mematuhi aturan dan regulasi yang berlaku
Tingkat pengalaman tertentu dan pemahaman menyeluruh tentang perusahaan diperlukan untuk mendapatkan manfaat dari kerangka
COBIT. Pengalaman dan pemahaman tersebut memungkinkan pengguna untuk menyesuaikan panduan inti COBIT—yang bersifat umum—
menjadi panduan yang disesuaikan dan terfokus untuk perusahaan, dengan mempertimbangkan konteks perusahaan.
Sasarannya mencakup mereka yang bertanggung jawab sepanjang siklus hidup solusi tata kelola, mulai dari perancangan, pelaksanaan, hingga
penjaminan. Memang benar, penyedia jaminan dapat menerapkan logika dan alur kerja yang dikembangkan dalam publikasi ini untuk menciptakan
program jaminan yang dapat dibuktikan dengan baik bagi perusahaan.
15
16

BAGIAN 3
PRINSIP COBIT
bagian 3
Prinsip COBIT
3.1 Pendahuluan
COBIT®2019 dikembangkan berdasarkan dua prinsip:

-Prinsip yang menggambarkan persyaratan inti asistem pemerintahanuntuk informasi dan teknologi perusahaan
-Prinsip untuk akerangka tata kelolayang dapat digunakan untuk membangun sistem tata kelola perusahaan
3.2 Enam Prinsip Sistem Tata Kelola
Enam prinsip sistem tata kelola adalah (gambar 3.1):

1.Setiap perusahaan memerlukan sistem tata kelola untuk memenuhi kebutuhan pemangku kepentingan dan menghasilkan nilai dari penggunaan I&T. Nilai
mencerminkan keseimbangan antara manfaat, risiko, dan sumber daya, dan perusahaan memerlukan strategi dan sistem tata kelola yang dapat
ditindaklanjuti untuk mewujudkan nilai ini.
2.Sistem tata kelola untuk I&T perusahaan dibangun dari sejumlah komponen yang bisa berbeda jenisnya
dan bekerja sama secara holistik.
3.Sistem pemerintahan harus bersifat dinamis. Artinya, setiap kali satu atau lebih faktor desain diubah (misalnya perubahan
strategi atau teknologi), dampak perubahan tersebut terhadap sistem EGIT harus dipertimbangkan. Pandangan dinamis
tentang EGIT akan mengarah pada sistem EGIT yang layak dan tahan masa depan.
4.Sistem tata kelola harus dengan jelas membedakan antara tata kelola dan aktivitas serta struktur manajemen.
5.Sistem tata kelola harus disesuaikan dengan kebutuhan perusahaan, dengan menggunakan serangkaian faktor desain sebagai parameter untuk
menyesuaikan dan memprioritaskan komponen sistem tata kelola.
6.Sistem tata kelola harus mencakup seluruh perusahaan, dengan fokus tidak hanya pada fungsi TI namun pada semua
teknologi dan pemrosesan informasi yang diterapkan perusahaan untuk mencapai tujuannya, terlepas dari lokasi
pemrosesan di perusahaan tersebut.6 1
Gambar 3.1—Prinsip Sistem Tata Kelola
1. Menyediakan 3. Dinamis
2. Holistik
Pemangku kepentingan Tata Kelola
Mendekati
Nilai Sistem
4. Tata Kelola 5. Disesuaikan dengan 6. Ujung ke Ujung
Berbeda Dari Perusahaan Tata Kelola

Pengelolaan Kebutuhan Sistem
1
6 Hugh, T.; S.De Haes; “Menggunakan Model Sistem yang Layak untuk Mempelajari Dinamika Tata Kelola TI: Bukti dari Studi Kasus Tunggal,”Prosiding
51stKonferensi Internasional Hawaii tentang Ilmu Sistem, 2018,https://scholarspace.manoa.hawaii.edu/bitstream/10125/50501/1/paper0614.pdf
17
3.3 Tiga Prinsip Kerangka Tata Kelola
Tiga prinsip kerangka tata kelola adalah (gambar 3.2):

1.Kerangka tata kelola harus didasarkan pada model konseptual, yang mengidentifikasi komponen-komponen utama dan
hubungan antar komponen, untuk memaksimalkan konsistensi dan memungkinkan otomatisasi.
2.Kerangka tata kelola harus terbuka dan fleksibel. Hal ini harus memungkinkan penambahan konten baru dan kemampuan untuk
mengatasi masalah baru dengan cara yang paling fleksibel, dengan tetap menjaga integritas dan konsistensi.
3.Kerangka tata kelola harus selaras dengan standar, kerangka kerja, dan peraturan utama yang relevan.
Gambar 3.2—Prinsip-Prinsip Kerangka Tata Kelola
1. Berdasarkan
2. Buka dan
Konseptual
Fleksibel
Model
3. Selaras dengan
Standar Utama
3.4 COBIT®2019
COBIT®2019 merupakan penyempurnaan dari COBIT versi sebelumnya dalam beberapa bidang berikut:
-Fleksibilitas dan keterbukaan—Definisi dan penggunaan faktor desain memungkinkan COBIT disesuaikan agar lebih selaras
dengan konteks khusus pengguna. Arsitektur terbuka COBIT memungkinkan penambahan area fokus baru (lihat bagian 4.4) atau
memodifikasi area fokus yang sudah ada, tanpa implikasi langsung terhadap struktur dan konten model inti COBIT.
-Mata uang dan relevansi—Model COBIT mendukung referensi dan penyelarasan konsep yang berasal dari sumber lain
(misalnya, standar TI terbaru dan peraturan kepatuhan).
-Penerapan yang bersifat preskriptif—Model seperti COBIT dapat bersifat deskriptif dan preskriptif. Model konseptual COBIT
dibangun dan disajikan sedemikian rupa sehingga contohnya (yaitu, penerapan komponen tata kelola COBIT yang
disesuaikan) dianggap sebagai resep untuk sistem tata kelola TI yang disesuaikan.
-Manajemen kinerja TI—Struktur model manajemen kinerja COBIT diintegrasikan ke dalam model konseptual.
Konsep kematangan dan kemampuan diperkenalkan untuk penyelarasan yang lebih baik dengan CMMI.
Panduan COBIT menggunakan istilah tata kelola informasi dan teknologi perusahaan, tata kelola perusahaan
informasi dan teknologi, tata kelola TI, dan tata kelola TI secara bergantian.
18

BAB 4
KONSEP DASAR: SISTEM TATA KELOLA DAN KOMPONEN
Bab 4
Konsep Dasar: Sistem dan Komponen Tata Kelola
4.1 Ikhtisar COBIT
COBITnya®Rangkaian produk 2019 bersifat terbuka dan dirancang untuk penyesuaian. Publikasi berikut
saat ini tersedia:7 1
- COBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologimemperkenalkan konsep kunci COBIT®2019.

- COBIT®Kerangka Kerja 2019: Tujuan Tata Kelola dan Manajemenmenjelaskan secara komprehensif 40 tujuan inti tata
kelola dan pengelolaan, proses yang terkandung di dalamnya, dan komponen terkait lainnya. Panduan ini juga merujuk
pada standar dan kerangka kerja lainnya.
-COBIT®Panduan Perancangan 2019: Merancang Solusi Tata Kelola Informasi dan Teknologimengeksplorasi faktor desain yang dapat
mempengaruhi tata kelola dan mencakup alur kerja untuk merencanakan sistem tata kelola yang disesuaikan untuk perusahaan.
- COBIT®Panduan Implementasi 2019: Penerapan dan Optimalisasi Solusi Tata Kelola Informasi dan Teknologi
mewakili evolusi dariCOBIT®5 Implementasimemandu dan mengembangkan peta jalan untuk perbaikan tata kelola yang
berkelanjutan. Ini dapat digunakan dalam kombinasi denganCOBIT®Panduan Desain 2019.
Gambar 4.1menunjukkan ikhtisar tingkat tinggi COBIT®2019 dan menggambarkan bagaimana berbagai publikasi dalam kumpulan tersebut
mencakup berbagai aspek.
Gambar 4.1—Ikhtisar COBIT
• Strategi perusahaan
• Tujuan perusahaan
• Ukuran perusahaan
• Peran TI
Masukan ke COBIT®2019 COBIT®2019 • Model pengadaan untuk TI
• Persyaratan kepatuhan
• Dll.
COBIT 5 Inti COBIT

Model Referensi Tata Kelola Faktor Desain
Standar, dan Tujuan Manajemen Perusahaan yang Disesuaikan
Kerangka kerja, Tata Kelola
Peraturan
Sistem untuk
EDM01—Terjamin
Tata Kelola EDM02—Terjamin EDM03—Terjamin
EDM04—Terjamin EDM05—Terjamin
Pengaturan Kerangka Pengiriman Manfaat Optimasi Risiko Sumber Pemangku kepentingan
dan pemeliharaan
Optimasi Pertunangan
Masyarakat Informasi dan

Kontribusi Teknologi
APO01—Dikelola APO03—Dikelola
APO02—Dikelola APO04—Dikelola APO05—Dikelola APO06—Dikelola ged
Manajemen I&T APO07—Mana
Strategi masuk kejutan
Inovasi Portofolio rces
Kerangka Lengkungan gambar
Anggaran dan Biaya Sumber Daya Manusia
MEA01—Dikelola
Kinerja dan
Kesesuaian
Pemantauan
APO09—Dikelola
APO08—Dikelola APO10—Dikelola APO11—Dikelola APO12—Dikelola APO13—Dikelola APO14—Dikelola
Area fokus
Melayani
Hubungan Vendor Kualitas Keamanan Data
Perjanjian Mempertaruhkan
- Tata kelola prioritas

MEA02—Dikelola
Sistem Internal
BAI01—Dikelola BAI02—Dikelola
BAI03-Mengelola
BAI04—Dikelola BAI07—Dikelola Kontrol
Solusi BAI05—Dikelola
Program Persyaratan BAI06—Dikelola Perubahan TI
dan manajemen
Identifikasi
Ketersediaan Organisasi
Perubahan TI Penerimaan dan
Definisi dan Kapasitas Mengubah
dan Membangun Transisi
BAI08—Dikelola BAI09—Dikelola BAI10—Dikelola BAI11—Dikelola

MEA03—Dikelola
• UKM tujuan
- Panduan khusus
Kepatuhan dengan
Pengetahuan Aktiva Konfigurasi Proyek
Luar
• Keamanan
Persyaratan
• Mempertaruhkan dari area fokus

DSS01—Dikelola
Operasi
DSS02—Dikelola
Permintaan Layanan
dan Insiden
DSS03—Dikelola
Masalah
DSS04—Dikelola
Kontinuitas
DSS05—Dikelola
Keamanan
Jasa
DSS06—Dikelola
Bisnis
Kontrol Proses
MEA04—Dikelola
Jaminan • DevOps - Kemampuan sasaran
• Dll. dan kinerja
pengelolaan
panduan
COBIT®Kerangka Kerja 2019:

Pendahuluan dan Metodologi
Inti COBIT
Publikasi
COBIT®Panduan Implementasi 2019:
COBIT®Kerangka Kerja 2019: COBIT®Panduan Desain 2019:
Menerapkan dan Mengoptimalkan an
Tata Kelola dan Merancang suatu Informasi dan Teknologi
Tujuan Manajemen Solusi Tata Kelola Informasi dan Teknologi
Solusi Tata Kelola
1
7Pada saat publikasi iniCOBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologijudul, judul tambahan direncanakan untuk COBIT®2019
keluarga produk tetapi belum dirilis.
19
Konten diidentifikasi sebagai area fokus digambar 4.1akan berisi panduan lebih rinci tentang tema tertentu.8 2
COBIT®2019 didasarkan pada COBIT®5 dan sumber resmi lainnya. COBIT selaras dengan sejumlah standar dan
kerangka kerja terkait. Daftar standar-standar ini terdapat dalam Bab 10. Analisis standar-standar terkait dan
penyelarasan COBIT dengan standar-standar tersebut mendasari posisi COBIT sebagai payung kerangka tata kelola
I&T.
Di masa depan, COBIT akan memanggil komunitas penggunanya untuk mengusulkan pembaruan konten, untuk diterapkan
sebagai kontribusi terkontrol secara terus-menerus, agar COBIT selalu mendapatkan informasi dan evolusi terkini.
Bagian berikut menjelaskan konsep dan istilah utama yang digunakan dalam COBIT®2019.
4.2 Tujuan Tata Kelola dan Manajemen
Agar informasi dan teknologi dapat berkontribusi pada tujuan perusahaan, sejumlah tujuan tata kelola dan manajemen
harus dicapai. Konsep dasar yang berkaitan dengan tujuan tata kelola dan pengelolaan adalah:
- Tujuan tata kelola atau manajemenselalu berhubungan dengan satu proses (dengan nama yang identik atau mirip) dan
serangkaian komponen terkait dari jenis lain untuk membantu mencapai tujuan.
-Tujuan tata kelola berkaitan dengan proses tata kelola (digambarkan dengan latar belakang biru tua digambar 4.2), sedangkan
tujuan pengelolaan berkaitan dengan proses pengelolaan (digambarkan dengan latar belakang biru muda digambar 4.2).
Dewan dan manajemen eksekutif biasanya bertanggung jawab atas proses tata kelola, sedangkan proses manajemen
merupakan domain manajemen senior dan menengah.
Tujuan tata kelola dan manajemen dalam COBIT dikelompokkan menjadi lima domain. Domain memiliki nama dengan kata kerja yang
mengungkapkan maksud utama dan bidang kegiatan dari tujuan yang terkandung di dalamnya:
-Tujuan tata kelola dikelompokkan dalamMengevaluasi, Mengarahkan dan Memantau(domain EDM). Dalam domain ini, badan
pengatur mengevaluasi pilihan-pilihan strategis, mengarahkan manajemen senior pada pilihan-pilihan strategis yang dipilih dan
memantau pencapaian strategi.
-Tujuan pengelolaan dikelompokkan dalam empat domain:
-Sejajarkan, Rencanakan, dan Atur(APO) membahas keseluruhan organisasi, strategi, dan aktivitas pendukung I&T.
-Bangun, Dapatkan, dan Implementasikan(BAI) membahas definisi, akuisisi dan implementasi solusi I&T dan
integrasinya dalam proses bisnis.
-Pengiriman, Layanan, dan Dukungan(DSS) menangani penyampaian operasional dan dukungan layanan I&T, termasuk
keamanan.
-Memantau, Mengevaluasi dan Menilai(MEA) membahas pemantauan kinerja dan kesesuaian I&T dengan target kinerja
internal, tujuan pengendalian internal, dan persyaratan eksternal.
2
8Sejumlah panduan konten area fokus ini sudah dalam persiapan; lainnya sudah direncanakan. Kumpulan panduan area fokus bersifat terbuka dan bersifat berkehendak
terus berkembang. Untuk informasi terkini mengenai publikasi yang tersedia saat ini dan yang direncanakan serta konten lainnya, silakan kunjungiwww.isaca.org/cobit.
20

BAB 4
KONSEP DASAR: SISTEM TATA KELOLA DAN KOMPONEN
Gambar 4.2—Model Inti COBIT
EDM01—Terjamin
EDM04—Terjamin EDM05—Terjamin
Tata Kelola EDM02—Terjamin EDM03—Terjamin
Pengiriman Manfaat Optimasi Risiko Sumber Pemangku kepentingan
Pengaturan Kerangka
Optimasi Pertunangan
dan pemeliharaan
APO01—Dikelola APO03—Dikelola
APO02—Dikelola APO04—Dikelola APO05—Dikelola APO06 — Dikelola APO07—Dikelola
Manajemen I&T Perusahaan
Strategi Inovasi Portofolio Anggaran dan Biaya Sumber daya manusia
Kerangka Arsitektur
MEA01—Dikelola
Kinerja dan
Kesesuaian
Pemantauan
APO09—Dikelola
APO08—Dikelola APO10—Dikelola APO11—Dikelola APO12— Dikelola APO13—Dikelola APO14—Dikelola
Melayani
Hubungan Vendor Kualitas Keamanan Data
Perjanjian
Mempertaruhkan
MEA02—Dikelola
Sistem Internal
BAI03—Dikelola BAI07—Dikelola Kontrol
BAI01—Dikelola BAI02—Dikelola BAI04—Dikelola BAI05—Dikelola
Solusi BAI06—Dikelola Perubahan TI
Program Persyaratan Ketersediaan Organisasi
Identifikasi Perubahan TI Penerimaan dan
Definisi dan Kapasitas Mengubah
dan Membangun Transisi
MEA03—Dikelola
BAI08—Dikelola BAI09—Dikelola BAI10—Dikelola BAI11—Dikelola Kepatuhan Dengan
Pengetahuan Aktiva Konfigurasi Proyek Luar
Persyaratan
DSS02—Dikelola DSS05—Dikelola DSS06—Dikelola

DSS01—Dikelola DSS03—Dikelola DSS04—Dikelola
Permintaan Layanan Keamanan Bisnis MEA04—Dikelola
Operasi Masalah Kontinuitas Jaminan
dan Insiden Jasa Kontrol Proses
4.3 Komponen Sistem Tata Kelola
Untuk memenuhi tujuan tata kelola dan manajemen, setiap perusahaan perlu membangun, menyesuaikan dan mempertahankan sistem tata kelola
yang dibangun dari sejumlah komponen.
Komponen adalah faktor-faktor yang, secara individu dan kolektif, berkontribusi terhadap berjalannya sistem tata kelola
-
perusahaan atas I&T dengan baik.
-Komponen berinteraksi satu sama lain, sehingga menghasilkan sistem tata kelola I&T yang holistik.
-Komponen dapat terdiri dari berbagai jenis. Yang paling familiar adalah proses. Namun, komponen sistem tata kelola
juga mencakup struktur organisasi; kebijakan dan prosedur; item informasi; budaya dan perilaku; keterampilan dan
kompetensi; dan layanan, infrastruktur dan aplikasi (gambar 4.3).
-Prosesmenggambarkan serangkaian praktik dan aktivitas terorganisir untuk mencapai tujuan tertentu dan menghasilkan serangkaian keluaran
yang mendukung pencapaian tujuan terkait TI secara keseluruhan.
-Struktur organisasiadalah entitas pengambil keputusan utama dalam suatu perusahaan.
-Prinsip, kebijakan dan kerangka kerjamenerjemahkan perilaku yang diinginkan menjadi panduan praktis untuk manajemen
sehari-hari.
-Informasitersebar luas di seluruh organisasi dan mencakup semua informasi yang dihasilkan dan digunakan oleh perusahaan.
COBIT berfokus pada informasi yang diperlukan untuk berfungsinya sistem tata kelola perusahaan secara efektif.
21
-Budaya, etika dan perilakuindividu dan perusahaan sering diremehkan sebagai faktor
keberhasilan kegiatan tata kelola dan manajemen.
-Orang, keterampilan dan kompetensiDiperlukan untuk pengambilan keputusan yang baik, pelaksanaan tindakan perbaikan dan keberhasilan
penyelesaian semua kegiatan.
-Layanan, infrastruktur, dan aplikasimencakup infrastruktur, teknologi, dan aplikasi yang menyediakan sistem
tata kelola bagi pemrosesan I&T bagi perusahaan.
Gambar 4.3—Komponen COBIT dari Sistem Tata Kelola
Proses
Jasa,
Infrastruktur Organisasi
Dan Struktur
Aplikasi
Tata Kelola
Orang, Keterampilan Sistem Prinsip,
Dan Kebijakan,
Kompetensi Prosedur
Budaya, Etika
Dan Informasi
Perilaku
Semua jenis komponen dapat bersifat generik atau dapat berupa varian dari komponen generik:
-Umumkomponen dijelaskan dalam model inti COBIT (lihatgambar 4.2) dan berlaku secara prinsip pada situasi apa pun.
Namun, hal tersebut bersifat umum dan umumnya memerlukan penyesuaian sebelum diterapkan secara praktis.
-Variandidasarkan pada komponen umum namun disesuaikan untuk tujuan atau konteks tertentu dalam area fokus (misalnya,
untuk keamanan informasi, DevOps, peraturan tertentu).
4.4 Area Fokus
Aarea fokusmenguraikan topik, domain, atau isu tata kelola tertentu yang dapat diatasi melalui kumpulan tujuan
tata kelola dan pengelolaan serta komponennya. Contoh area fokus meliputi: kecil dan menengah
perusahaan, keamanan siber, transformasi digital, komputasi awan, privasi, dan DevOps.9 3 Area fokus mungkin berisi a
kombinasi komponen dan varian tata kelola umum.
3
DevOps mencontohkan varian komponen dan area fokus. Mengapa? DevOps adalah tema terkini di pasar dan pastinya memerlukan tema spesifik
9
bimbingan, menjadikannya area fokus. DevOps mencakup sejumlah tujuan tata kelola dan manajemen umum dari model inti COBIT, bersama
dengan sejumlah varian proses dan struktur organisasi terkait pengembangan, operasional, dan pemantauan.
22

BAB 4
KONSEP DASAR : SISTEM TATA KELOLA DAN KOMPONEN
Jumlah area fokus sebenarnya tidak terbatas. Hal inilah yang membuat COBIT bersifat terbuka. Area fokus baru dapat
ditambahkan sesuai kebutuhan atau seiring dengan kontribusi para ahli dan praktisi pada model COBIT terbuka.
4.5 Faktor Desain
Faktor desainadalah faktor-faktor yang dapat mempengaruhi rancangan sistem tata kelola suatu perusahaan dan menempatkannya dalam keberhasilan
dalam penggunaan I&T.
Potensi dampak faktor desain terhadap sistem tata kelola dijelaskan di bagian 7.1. Informasi lebih lanjut dan
panduan rinci tentang cara menggunakan faktor desain untuk merancang sistem tata kelola dapat ditemukan di
COBIT®Panduan Desain 2019.
Faktor desain mencakup kombinasi berikut ini (gambar 4.4):
Gambar 4.4—Faktor Desain COBIT
Perusahaan Perusahaan Terkait I&T Ancaman

Profil Risiko
Strategi Sasaran Masalah Lanskap
Sumber DIA Teknologi

Kepatuhan
Peran TI Model Penerapan Adopsi Perusahaan
Persyaratan
untuk itu Metode Strategi Ukuran
Faktor Masa Depan
1.Strategi perusahaan —Perusahaan dapat memiliki strategi yang berbeda, yang dapat dinyatakan sebagai satu atau lebih arketipe yang
ditunjukkan pada gambargambar 4.5. Organisasi biasanya mempunyai strategi utama dan, paling banyak, satu strategi sekunder.
Gambar 4.5—Faktor Desain Strategi Perusahaan

Pola Dasar Strategi Penjelasan
Pertumbuhan/Akuisisi Perusahaan memiliki fokus pada pertumbuhan (pendapatan).10 4
Inovasi/Diferensiasi Perusahaan ini memiliki fokus dalam menawarkan produk dan layanan yang berbeda dan/atau
inovatif kepada klien mereka.11 5
Kepemimpinan Biaya Perusahaan memiliki fokus pada minimalisasi biaya jangka pendek.12 6
Layanan/Stabilitas Klien Perusahaan ini memiliki fokus pada penyediaan layanan yang stabil dan berorientasi pada klien.13 7
10
4
Sesuai dengan prospektor dalam tipologi Miles-Snow. Lihat “Tipologi Pembela, Prospektor, Penganalisis, dan Reaktor Miles dan Snow,” Elibrary, https://
ebrary.net/3737/management/miles_snows_typology_defender_prospector_analyzer_reactor.
11
5
Lihat Reeves, Martin; Claire Love, Philipp Tillmanns, “Strategi Anda Membutuhkan Strategi,”ulasan Bisnis Harvard, September 2012,
https://hbr.org/2012/09/your-strategy-needs-a-strategy, khususnya mengenai visioner dan pembentukan.
12
6
Sesuai dengan kepemimpinan biaya; lihat Universitas Cambridge, “Strategi Kompetitif Generik Porter (cara bersaing),” Kebijakan Teknologi Manajemen
Institute for Manufacturing (IfM),https://www.ifm.eng.cam.ac.uk/research/dstools/porters-generic-competitive-strategies/. Juga sesuai dengan keunggulan
operasional; lihat Treacy, Michael; Fred Wiersema, “Keintiman Pelanggan dan Disiplin Nilai Lainnya,”ulasan Bisnis Harvard, Januari/Februari 1993,https://
hbr.org/1993/01/customer-intimacy-and-other-value-disciplines
13
7
Sesuai dengan pembela dalam tipologi Miles-Snow. Melihatop cit“Tipologi Pembela, Prospektor, Penganalisis, dan Reaktor Miles dan Snow.”
23
2.Tujuan perusahaan mendukung strategi perusahaan—Strategi perusahaan diwujudkan dengan pencapaian (serangkaian) tujuan
perusahaan. Sasaran-sasaran ini didefinisikan dalam kerangka COBIT, disusun sepanjang dimensi Balanced Scorecard (BSC), dan
mencakup elemen-elemen yang ditunjukkan dalamgambar 4.6.
Gambar 4.6—Faktor Rancangan Tujuan Perusahaan

Referensi Dimensi Balanced Scorecard (BSC). Tujuan Perusahaan
EG01 Keuangan Portofolio produk dan layanan yang kompetitif

EG02 Keuangan Risiko bisnis yang dikelola
EG03 Keuangan Kepatuhan terhadap hukum dan peraturan eksternal
EG04 Keuangan Kualitas informasi keuangan
EG05 Pelanggan Budaya pelayanan yang berorientasi pada pelanggan
EG06 Pelanggan Kesinambungan dan ketersediaan layanan bisnis

EG07 Pelanggan Kualitas informasi manajemen
EG08 Intern Optimalisasi fungsionalitas proses bisnis internal
EG09 Intern Optimalisasi biaya proses bisnis
EG10 Intern Keterampilan staf, motivasi dan produktivitas
EG11 Intern Kepatuhan terhadap kebijakan internal
EG12 Pertumbuhan Program transformasi digital yang dikelola
EG13 Pertumbuhan Inovasi produk dan bisnis
Bagian 4.6 mencakup informasi lebih lanjut tentang rangkaian tujuan COBIT, yang merupakan penjabaran rinci dari
faktor desain ini.
3.Profil risiko perusahaan dan permasalahan terkini terkait I&T—Profil risiko mengidentifikasi jenis risiko terkait I&T
yang saat ini dihadapi oleh perusahaan dan menunjukkan area risiko mana yang melebihi risiko tersebut.
nafsu makan. Kategori risiko14 terdaftar digambar 4.7pertimbangan pantas.
8
Gambar 4.7—Faktor Desain Profil Risiko (Kategori Risiko TI)

Referensi Kategori Risiko
1 Pengambilan keputusan investasi TI, definisi dan pemeliharaan portofolio
2 Manajemen siklus hidup program dan proyek
3 Biaya dan pengawasan TI
4 Keahlian, keterampilan, dan perilaku TI
5 Arsitektur perusahaan/TI
6 insiden infrastruktur operasional TI
7 Tindakan tidak sah
8 Masalah adopsi/penggunaan perangkat lunak
9 Insiden perangkat keras
10 Kegagalan perangkat lunak
11 Serangan logis (peretasan, malware, dll.)

12 Insiden pihak ketiga/pemasok
13 Ketidakpatuhan
14 Masalah geopolitik
15 Aksi industri
16 Tindakan alam
17 Inovasi berbasis teknologi
18 Lingkungan
19 Pengelolaan data dan informasi
8
14 Dimodifikasi dari ISACA,Panduan Praktisi TI Risiko, AS, 2009
24

BAB 4
4.Masalah terkait I&T —Metode terkait untuk penilaian risiko I&T bagi perusahaan adalah dengan mempertimbangkan permasalahan
terkait I&T mana yang saat ini dihadapi, atau, dengan kata lain, risiko terkait I&T apa yang telah terwujud. Yang paling umum
masalah15 9 termasuk mereka yang ada di dalamnyagambar 4.8.
Gambar 4.8—Faktor Desain Masalah Terkait I&T

Referensi Keterangan
A Frustrasi antara entitas TI yang berbeda di seluruh organisasi karena persepsi rendahnya
kontribusi terhadap nilai bisnis
B Frustrasi antara departemen bisnis (yaitu pelanggan TI) dan departemen TI karena kegagalan
inisiatif atau persepsi rendahnya kontribusi terhadap nilai bisnis
C Insiden signifikan terkait TI, seperti kehilangan data, pelanggaran keamanan, kegagalan proyek, dan kesalahan
aplikasi, terkait dengan TI
D Masalah penyampaian layanan oleh agen outsourcing TI
E Kegagalan untuk memenuhi persyaratan peraturan atau kontrak terkait TI
F Temuan audit rutin atau laporan penilaian lainnya tentang kinerja TI yang buruk atau masalah kualitas atau layanan TI yang
dilaporkan
G Pengeluaran TI yang tersembunyi dan tidak benar dalam jumlah besar, yaitu pengeluaran TI oleh departemen pengguna di luar
kendali mekanisme pengambilan keputusan investasi TI normal dan anggaran yang disetujui
H Duplikasi atau tumpang tindih antara berbagai inisiatif, atau bentuk pemborosan sumber daya lainnya
SAYA Sumber daya TI yang tidak memadai, staf dengan keterampilan yang tidak memadai, atau kelelahan/ketidakpuasan staf
J Perubahan atau proyek yang didukung TI sering kali gagal memenuhi kebutuhan bisnis dan terlambat dilaksanakan atau melebihi
anggaran
K Keengganan anggota dewan, eksekutif atau manajemen senior untuk terlibat dengan TI, atau
kurangnya komitmen sponsor bisnis untuk TI
L Model operasi TI yang kompleks dan/atau mekanisme pengambilan keputusan terkait TI yang tidak jelas
M Biaya TI yang terlalu tinggi
N Terhambat atau gagalnya implementasi inisiatif atau inovasi baru yang disebabkan oleh arsitektur
dan sistem TI saat ini
HAI Kesenjangan antara pengetahuan bisnis dan teknis, yang menyebabkan pengguna bisnis dan spesialis
informasi dan/atau teknologi berbicara dalam bahasa yang berbeda
P Masalah rutin dengan kualitas data dan integrasi data di berbagai sumber
Q Komputasi pengguna akhir tingkat tinggi, menciptakan (di antara masalah lainnya) kurangnya pengawasan
dan kontrol kualitas atas aplikasi yang sedang dikembangkan dan dioperasikan
R Departemen bisnis menerapkan solusi informasi mereka sendiri dengan sedikit atau tanpa keterlibatan
departemen TI perusahaan16 10
S Ketidaktahuan dan/atau ketidakpatuhan terhadap peraturan privasi

T Ketidakmampuan untuk mengeksploitasi teknologi baru atau berinovasi menggunakan I&T
5.Lanskap ancaman —Lanskap ancaman di mana perusahaan beroperasi dapat diklasifikasikan seperti yang ditunjukkan pada
gambar 4.9.
Gambar 4.9—Ancaman Faktor Desain Lanskap

Lanskap Ancaman Penjelasan
Normal Perusahaan beroperasi pada tingkat ancaman yang dianggap
normal.
Tinggi Karena situasi geopolitik, sektor industri, atau profil tertentu, perusahaan
beroperasi di lingkungan dengan ancaman tinggi.
9
15
Lihat juga Bagian 3.3.1 Titik Sakit Umum, di ISACA,COBIT®Panduan Implementasi 2019: Penerapan dan Optimalisasi Solusi Tata
Kelola Informasi dan Teknologi, AS, 2018.
16
10
Masalah ini terkait dengan komputasi pengguna akhir, yang sering kali berasal dari ketidakpuasan terhadap solusi dan layanan TI.
25
6.Persyaratan kepatuhan —Persyaratan kepatuhan yang harus dipenuhi oleh perusahaan dapat diklasifikasikan menurut
kategori yang tercantum dalamgambar 4.10.
Gambar 4.10—Faktor Desain Persyaratan Kepatuhan

Lingkungan Peraturan Penjelasan
Persyaratan kepatuhan yang rendah Perusahaan tunduk pada serangkaian persyaratan kepatuhan reguler
minimal yang lebih rendah dari rata-rata.
Persyaratan kepatuhan normal Perusahaan ini tunduk pada serangkaian persyaratan kepatuhan rutin
yang umum terjadi di berbagai industri.
Persyaratan kepatuhan yang tinggi Perusahaan tunduk pada persyaratan kepatuhan yang lebih tinggi dari rata-
rata, yang paling sering berkaitan dengan sektor industri atau kondisi
geopolitik.
7.Peran TI —Peran TI bagi perusahaan dapat diklasifikasikan seperti yang ditunjukkan dalamgambar 4.11.
Gambar 4.11—Peran Faktor Desain TI

Peran TI17 11
Penjelasan
Mendukung TI tidak penting untuk menjalankan dan kelangsungan proses bisnis dan
layanan, maupun untuk inovasi mereka.
Pabrik Ketika TI gagal, terdapat dampak langsung terhadap jalannya dan
kelangsungan proses bisnis dan layanan. Namun, TI tidak dipandang
sebagai pendorong inovasi proses dan layanan bisnis.
Berputar TI dipandang sebagai pendorong inovasi proses dan layanan bisnis. Namun
pada saat ini, tidak terdapat ketergantungan yang besar terhadap TI untuk
kelancaran dan kelangsungan proses bisnis dan layanan.
Strategis TI sangat penting untuk menjalankan dan berinovasi dalam proses dan
layanan bisnis organisasi.
8.Model sumber untuk TI —Model pengadaan yang diadopsi perusahaan dapat diklasifikasikan seperti yang ditunjukkan padagambar 4.12.
Gambar 4.12—Model Sumber untuk Faktor Desain TI

Model Sumber Penjelasan
Pengalihdayaan Perusahaan meminta layanan pihak ketiga untuk menyediakan
layanan TI.
Awan Perusahaan memaksimalkan penggunaan cloud untuk menyediakan layanan TI kepada
penggunanya.
Bersumber Perusahaan menyediakan staf dan layanan TI sendiri.

Hibrida Model campuran diterapkan, menggabungkan tiga model lainnya dalam derajat yang
berbeda-beda.
11
17Peran yang termasuk dalam tabel ini diambil dari McFarlan, F. Warren; James L.McKenney; Philip Pyburn; “Kepulauan Informasi—Merencanakan a
Kursus,"Ulasan Bisnis Harvard,Januari 1993,https://hbr.org/1983/01/the-information-archipelago-plotting-a-course.
26

BAB 4
9.Metode implementasi TI —Metode yang digunakan perusahaan dapat diklasifikasikan seperti yang disebutkan dalamgambar 4.13.
Gambar 4.13—Faktor Desain Metode Implementasi TI

Metode Implementasi TI Penjelasan
Lincah Perusahaan menggunakan metode kerja pengembangan Agile untuk
pengembangan perangkat lunaknya.
DevOps Perusahaan menggunakan metode kerja DevOps untuk pembuatan, penerapan, dan
pengoperasian perangkat lunak.
Tradisional Perusahaan menggunakan pendekatan yang lebih klasik terhadap pengembangan

perangkat lunak (waterfall) dan memisahkan pengembangan perangkat lunak dari operasi.
Hibrida Perusahaan ini menggunakan perpaduan penerapan TI tradisional dan modern, yang
sering disebut sebagai “TI bimodal.”
10.Strategi adopsi teknologi —Strategi adopsi teknologi dapat diklasifikasikan seperti yang tercantum dalamgambar 4.14.
Gambar 4.14—Faktor Rancangan Strategi Adopsi Teknologi

Strategi Adopsi Teknologi Penjelasan
Penggerak pertama Perusahaan umumnya mengadopsi teknologi baru sedini mungkin dan mencoba
mendapatkan keuntungan sebagai penggerak pertama.
Pengikut Perusahaan biasanya menunggu teknologi baru menjadi

mainstream dan terbukti sebelum mengadopsinya.
Pengadopsi yang lambat Perusahaan sangat terlambat dalam mengadopsi teknologi baru.
11.Ukuran perusahaan —Dua kategori, seperti yang ditunjukkan padagambar 4.15, diidentifikasi untuk desain sistem tata kelola
perusahaan.18 12
Gambar 4.15—Faktor Desain Ukuran Perusahaan

Ukuran perusahaan Penjelasan
Perusahaan besar (Default) Perusahaan dengan lebih dari 250 karyawan tetap (FTE)
Usaha kecil dan menengah Perusahaan dengan 50 hingga 250 FTE
12
18Usaha mikro, yaitu perusahaan dengan jumlah staf kurang dari 50 orang, tidak dibahas dalam publikasi ini.
27
4.6 Rangkaian Sasaran
Kebutuhan pemangku kepentingan harus diubah menjadi strategi perusahaan yang dapat ditindaklanjuti. Rangkaian tujuan (gambar 4.16)
mendukung tujuan perusahaan, yang merupakan salah satu faktor desain utama sistem tata kelola. Ini mendukung penentuan prioritas
tujuan pengelolaan berdasarkan prioritas tujuan perusahaan.
Gambar 4.16—Kaskade Sasaran COBIT
Pemangku kepentingan
Pengemudi dan
Kebutuhan
Perusahaan
Bertingkat ke Sasaran
Penyelarasan
Sasaran
Bertingkat ke
Tata Kelola
Dan
Bertingkat ke
Pengelolaan
Tujuan
Rangkaian tujuan lebih lanjut mendukung penerjemahan tujuan perusahaan menjadi prioritas untuk penyelarasan tujuan.
Rangkaian tujuan telah diperbarui secara menyeluruh di COBIT®2019:
-Tujuan perusahaan telah dikonsolidasikan, dikurangi, diperbarui dan diklarifikasi.
-Penyelarasan tujuan menekankan keselarasan seluruh upaya TI dengan tujuan bisnis.19 13 Istilah yang diperbarui ini juga berupaya
untuk menghindari kesalahpahaman yang sering terjadi bahwa tujuan ini hanya menunjukkan tujuan internal departemen TI dalam
suatu perusahaan. Seperti tujuan perusahaan, tujuan penyelarasan telah dikonsolidasikan, dikurangi, diperbarui dan diklarifikasi jika
diperlukan.
13
19Tujuan penyelarasan disebut tujuan terkait TI di COBIT 5.
28

BAB 4
4.6.1 Tujuan Perusahaan
Kebutuhan pemangku kepentingan mengalir ke tujuan perusahaan.Gambar 4.17menunjukkan kumpulan 13 sasaran perusahaan beserta sejumlah
contoh metrik yang menyertainya.
Gambar 4.17—Cascade Sasaran: Sasaran dan Metrik Perusahaan

Referensi Dimensi BSC Tujuan Perusahaan Contoh Metrik
EG01 Keuangan Portofolio produk dan -Persentase produk dan layanan yang memenuhi atau melampaui
layanan yang kompetitif target pendapatan dan/atau pangsa pasar
-Persentase produk dan layanan yang memenuhi atau
melampaui target kepuasan pelanggan
-Persentase produk dan layanan yang memberikan keunggulan
kompetitif
-Saatnya memasarkan produk dan layanan baru
EG02 Keuangan Risiko bisnis yang dikelola -Persentasetujuan dan layanan bisnis penting yang
tercakup dalam penilaian risiko
-Rasioinsiden signifikan yang tidak teridentifikasi dalam
penilaian risiko vs total insiden
-Frekuensi pemutakhiran profil risiko yang tepat
EG03 Keuangan Kepatuhan terhadap hukum -Biaya ketidakpatuhan terhadap peraturan, termasuk penyelesaian dan
dan peraturan eksternal denda
-Jumlah masalah ketidakpatuhan terhadap peraturan yang
menyebabkan komentar publik atau publisitas negatif
-Jumlah masalah ketidakpatuhan yang dicatat oleh regulator
atau otoritas pengawas
-Jumlah masalah ketidakpatuhan terhadap peraturan yang berkaitan
dengan perjanjian kontrak dengan mitra bisnis
EG04 Keuangan Kualitas keuangan -Surveikepuasan pemangku kepentingan utama mengenai
informasi transparansi, pemahaman dan keakuratan informasi
keuangan perusahaan
-Biaya
ketidakpatuhan terhadap peraturan terkait
keuangan
EG05 Pelanggan Budaya pelayanan yang berorientasi pada -Jumlah gangguan layanan pelanggan
pelanggan -Persentase pemangku kepentingan bisnis puas bahwa penyampaian layanan
pelanggan memenuhi tingkat yang disepakati
-Jumlah keluhan pelanggan
-Tren hasil survei kepuasan pelanggan
EG06 Pelanggan Kesinambungan dan -Jumlah gangguan layanan pelanggan atau proses
ketersediaan layanan bisnis bisnis yang menyebabkan insiden signifikan
-Biaya bisnis dari insiden
-Jumlah jam pemrosesan bisnis yang hilang karena gangguan
layanan yang tidak direncanakan
-Persentase keluhan sebagai fungsi dari target ketersediaan layanan
yang berkomitmen
EG07 Pelanggan Kualitas manajemen -Tingkatkepuasan dewan dan manajemen eksekutif dengan
informasi informasi pengambilan keputusan
-Jumlah insiden yang disebabkan oleh keputusan bisnis yang
salah berdasarkan informasi yang tidak akurat
-Saatnya memberikan informasi pendukung untuk memungkinkan pengambilan
keputusan bisnis yang efektif
-Ketepatan waktu informasi manajemen
29
Gambar 4.17—Cascade Sasaran: Sasaran dan Metrik Perusahaan(lanjutan)

Referensi Dimensi BSC Tujuan Perusahaan Contoh Metrik
EG08 Intern Optimalisasi proses -Tingkatkepuasan dewan dan manajemen eksekutif
bisnis internal dengan kemampuan proses bisnis
Kegunaan -Tingkat kepuasan pelanggan terhadap kemampuan penyampaian
layanan
-Tingkat kepuasan pemasok terhadap kemampuan
rantai pasok
EG09 Intern Optimalisasi biaya -Rasio biaya vs. tingkat layanan yang dicapai
proses bisnis -Tingkat kepuasan dewan dan manajemen eksekutif
terhadap biaya pemrosesan bisnis
EG10 Intern Keterampilan staf, motivasi dan -Produktivitas staf dibandingkan dengan tolok ukur
produktivitas -Tingkat kepuasan pemangku kepentingan terhadap keahlian dan keterampilan
staf
-Persentase staf yang keterampilannya tidak memadai dibandingkan dengan
kompetensi yang dibutuhkan untuk peran mereka
-Persentase staf yang puas
EG11 Intern Kepatuhan terhadap kebijakan -Jumlah insiden terkait ketidakpatuhan terhadap kebijakan
internal -Persentase pemangku kepentingan yang memahami kebijakan
-Persentase kebijakan yang didukung oleh standar dan praktik
kerja yang efektif
EG12 Pertumbuhan Dikelola secara digital -Jumlah program yang tepat waktu dan sesuai anggaran
program transformasi -Persentase pemangku kepentingan yang puas dengan pelaksanaan program
-Persentase program transformasi bisnis terhenti
-Persentase program transformasi bisnis dengan pembaruan status yang
dilaporkan secara berkala
EG13 Pertumbuhan Produk dan bisnis -Tingkat kesadaran dan pemahaman terhadap
inovasi peluang inovasi bisnis
-Kepuasan pemangku kepentingan terhadap tingkat
keahlian dan ide produk dan inovasi
-Jumlah inisiatif produk dan layanan yang disetujui yang
dihasilkan dari ide-ide inovatif
4.6.2 Tujuan Penyelarasan
Sasaran perusahaan mengalir ke sasaran penyelarasan.Gambar 4.18berisi kumpulan sasaran penyelarasan dan contoh metrik.
Gambar 4.18—Cascade Sasaran: Penyelarasan Sasaran dan Metrik

Referensi IT BSC Tujuan Penyelarasan Metrik
Dimensi
AG01 Keuangan Kepatuhan I&T dan dukungan -Biaya ketidakpatuhan TI, termasuk penyelesaian dan denda,
untuk kepatuhan bisnis terhadap serta dampak hilangnya reputasi
hukum dan peraturan eksternal -Jumlah masalah ketidakpatuhan terkait TI yang dilaporkan kepada
dewan atau menyebabkan komentar publik atau rasa malu
-Jumlah masalah ketidakpatuhan terkait perjanjian kontrak
dengan penyedia layanan TI
AG02 Keuangan Risiko terkait I&T yang dikelola -Frekuensi pemutakhiran profil risiko yang tepat
-Persentase penilaian risiko perusahaan termasuk risiko
terkait I&T
-Jumlah insiden signifikan terkait I&T yang tidak
teridentifikasi dalam penilaian risiko
30

BAB 4
Gambar 4.18—Cascade Sasaran: Penyelarasan Sasaran dan Metrik(lanjutan)

Dimensi
AG03 Keuangan Manfaat yang direalisasikan dari -Persentaseinvestasi yang mendukung I&T yang manfaatnya
portofolio investasi dan layanan diklaim dalam kasus bisnis terpenuhi atau terlampaui
I&Tenabled -Persentase layanan I&T yang manfaatnya diharapkan (sebagaimana
dinyatakan dalam perjanjian tingkat layanan) terealisasi
AG04 Keuangan Kualitas informasi keuangan -Kepuasan pemangku kepentingan utama mengenai tingkat
terkait teknologi transparansi, pemahaman dan keakuratan informasi
keuangan TI
-Persentase layanan I&T dengan biaya operasional yang ditetapkan
dan disetujui serta manfaat yang diharapkan
AG05 Pelanggan Pemberian layanan I&T sejalan -Persentase pemangku kepentingan bisnis puas bahwa pemberian layanan TI
dengan kebutuhan bisnis memenuhi tingkat layanan yang disepakati
-Jumlah gangguan bisnis akibat insiden layanan TI
-Persentase pengguna yang puas dengan kualitas pemberian

layanan TI
AG06 Pelanggan Kelincahan untuk mengubah -Tingkatkepuasan eksekutif bisnis terhadap respons TI
kebutuhan bisnis menjadi solusi terhadap persyaratan baru
operasional -Rata-rata waktu pemasaran untuk layanan dan aplikasi baru
terkait I&T
-Waktu rata-rata untuk mengubah tujuan I&T strategis menjadi
inisiatif yang disepakati dan disetujui
-Jumlah proses bisnis penting yang didukung oleh
infrastruktur dan aplikasi terkini
AG07 Intern Keamanan informasi, -Jumlah insiden kerahasiaan yang menyebabkan kerugian
infrastruktur pemrosesan finansial, gangguan bisnis, atau rasa malu publik
dan aplikasi, serta privasi -Jumlah insiden ketersediaan yang menyebabkan kerugian
finansial, gangguan bisnis, atau rasa malu publik
-Jumlah insiden integritas yang menyebabkan kerugian
finansial, gangguan bisnis, atau rasa malu publik
AG08 Intern Mengaktifkan dan mendukung -Saatnya menjalankan layanan atau proses bisnis
proses bisnis dengan -Jumlahprogram bisnis yang mendukung I&T tertunda atau
mengintegrasikan aplikasi dan menimbulkan biaya tambahan karena masalah integrasi
teknologi teknologi
-Jumlah perubahan proses bisnis yang perlu ditunda atau
dikerjakan ulang karena masalah integrasi teknologi
-Jumlah aplikasi atau infrastruktur penting yang beroperasi

secara terpisah dan tidak terintegrasi
AG09 Intern Penyampaian program tepat waktu, -Jumlah program/proyek yang tepat waktu dan sesuai anggaran
sesuai anggaran dan rapat -Jumlah program yang memerlukan pengerjaan ulang secara signifikan karena
persyaratan dan standar cacat kualitas
kualitas -Persentase pemangku kepentingan yang puas dengan kualitas program/
proyek
AG10 Intern Kualitas informasi -Tingkat kepuasan pengguna terhadap kualitas dan ketepatan waktu serta
manajemen I&T ketersediaan informasi manajemen terkait I&T, dengan
mempertimbangkan sumber daya yang tersedia
-Rasio dan tingkat keputusan bisnis yang salah dimana informasi
terkait I&T yang salah atau tidak tersedia merupakan faktor
kuncinya
-Persentase informasi yang memenuhi kriteria kualitas
31
Gambar 4.18—Cascade Sasaran: Penyelarasan Sasaran dan Metrik(lanjutan)

Dimensi
AG11 Intern Kepatuhan I&T terhadap kebijakan -Jumlah insiden terkait ketidakpatuhan terhadap
internal kebijakan terkait TI
-Jumlah pengecualian terhadap kebijakan internal
-Frekuensi peninjauan dan pembaruan kebijakan
AG12 Belajar dan Staf yang kompeten dan termotivasi dengan -Persentase pelaku bisnis yang paham I&T (yaitu, mereka yang memiliki
Pertumbuhan saling menguntungkan pengetahuan dan pemahaman yang diperlukan tentang I&T untuk
pemahaman tentang membimbing, mengarahkan, berinovasi, dan melihat peluang I&T untuk
teknologi dan bisnis bidang keahlian mereka)
-Persentase orang TI yang paham bisnis (yaitu, mereka yang memiliki
pengetahuan dan pemahaman yang diperlukan tentang domain
bisnis yang relevan untuk memandu, mengarahkan, berinovasi, dan
melihat peluang I&T untuk domain bisnis)
-Jumlah
atau persentase pelaku bisnis yang memiliki
pengalaman manajemen teknologi
AG13 Belajar dan Pengetahuan, keahlian -Tingkatkesadaran eksekutif bisnis dan pemahaman
Pertumbuhan dan inisiatif untuk inovasi tentang kemungkinan inovasi I&T
bisnis -Jumlah inisiatif yang disetujui yang dihasilkan dari ide-ide I&T yang
inovatif
-Jumlah pelopor inovasi yang diakui/diberikan
32
BAB 5
TUJUAN TATA KELOLA DAN MANAJEMEN COBIT
Bab 5
Tujuan Tata Kelola dan Manajemen COBIT
5.1 Tujuan
Di bagian 4.2,gambar 4.2, model inti COBIT disajikan, termasuk 40 tujuan tata kelola dan manajemen.Gambar 5.1
mencantumkan semua tujuan tata kelola dan pengelolaan, masing-masing dengan pernyataan tujuannya. Pernyataan tujuan
merupakan penjabaran lebih lanjut—tingkat detail berikutnya—dari setiap tujuan tata kelola dan pengelolaan.
Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen
Referensi Nama Tujuan
EDM01 Penetapan dan pemeliharaan Memberikan pendekatan yang konsisten, terintegrasi dan selaras dengan
kerangka tata kelola yang terjamin pendekatan tata kelola perusahaan. Keputusan terkait I&T harus dibuat sejalan
dengan strategi dan tujuan perusahaan dan nilai yang diinginkan dapat
terwujud. Untuk mencapai tujuan tersebut, pastikan bahwa proses terkait TI
dan TI diawasi secara efektif dan transparan; kepatuhan terhadap persyaratan
hukum, kontrak dan peraturan telah dikonfirmasi; dan persyaratan tata kelola
untuk anggota dewan terpenuhi.
EDM02 Pemberian manfaat yang terjamin Menjamin nilai optimal dari inisiatif, layanan, dan aset yang
mendukung I&T; penyampaian solusi dan layanan yang hemat biaya;
dan gambaran biaya dan manfaat yang dapat diandalkan dan akurat
sehingga kebutuhan bisnis dapat didukung secara efektif dan efisien.
EDM03 Optimalisasi risiko yang terjamin Memastikan bahwa risiko perusahaan terkait I&T tidak melebihi selera
risiko dan toleransi risiko perusahaan, dampak risiko I&T terhadap
nilai perusahaan diidentifikasi dan dikelola, dan potensi kegagalan
kepatuhan diminimalkan.
EDM04 Pengoptimalan sumber daya yang terjamin Memastikan bahwa kebutuhan sumber daya perusahaan dipenuhi secara
optimal, biaya I&T dioptimalkan, dan terdapat peningkatan kemungkinan
realisasi manfaat dan kesiapan untuk perubahan di masa depan.
EDM05 Keterlibatan pemangku kepentingan yang terjamin Pastikan pemangku kepentingan mendukung strategi dan peta jalan I&T,
komunikasi dengan pemangku kepentingan efektif dan tepat waktu, dan
dasar pelaporan ditetapkan untuk meningkatkan kinerja. Identifikasi area
yang perlu ditingkatkan, dan konfirmasikan bahwa tujuan dan strategi
terkait I&T sejalan dengan strategi perusahaan.
APO01 Manajemen I&T yang terkelola Menerapkan pendekatan manajemen yang konsisten untuk memenuhi
kerangka persyaratan tata kelola perusahaan, yang mencakup komponen tata kelola
seperti proses manajemen; struktur organisasi; peran dan tanggung jawab;
aktivitas yang andal dan berulang; item informasi; kebijakan dan prosedur;
keterampilan dan kompetensi; budaya dan perilaku; dan layanan,
infrastruktur dan aplikasi.
APO02 Strategi yang dikelola Mendukung strategi transformasi digital organisasi dan memberikan nilai
yang diinginkan melalui peta jalan perubahan bertahap. Gunakan
pendekatan I&T yang holistik, dengan memastikan bahwa setiap inisiatif
jelas terhubung dengan strategi menyeluruh. Memungkinkan perubahan
di seluruh aspek organisasi, mulai dari saluran dan proses hingga data,
budaya, keterampilan, model operasi, dan insentif.
APO03 Arsitektur perusahaan yang dikelola Mewakili berbagai landasan yang membentuk perusahaan dan
keterkaitannya, serta prinsip-prinsip yang memandu desain dan evolusinya
dari waktu ke waktu, untuk memungkinkan penyampaian tujuan
operasional dan strategis yang standar, responsif, dan efisien.
APO04 Inovasi yang dikelola Mencapai keunggulan kompetitif, inovasi bisnis, peningkatan pengalaman
pelanggan, dan peningkatan efektivitas dan efisiensi operasional dengan
memanfaatkan perkembangan I&T dan teknologi baru.
33
Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen(lanjutan)
APO05 Portofolio yang dikelola Mengoptimalkan kinerja keseluruhan portofolio program sebagai respons
terhadap kinerja masing-masing program, produk dan layanan serta
perubahan prioritas dan permintaan perusahaan.
APO06 Anggaran dan biaya yang dikelola Membina kemitraan antara TI dan pemangku kepentingan perusahaan untuk
memungkinkan penggunaan sumber daya terkait I&T secara efektif dan efisien
serta memberikan transparansi dan akuntabilitas biaya dan nilai bisnis dari
solusi dan layanan. Memungkinkan perusahaan untuk membuat keputusan
yang tepat mengenai penggunaan solusi dan layanan I&T.
APO07 Sumber daya manusia yang dikelola Mengoptimalkan kemampuan sumber daya manusia untuk memenuhi tujuan
perusahaan.
APO08 Hubungan yang dikelola Memungkinkan pengetahuan, keterampilan, dan perilaku yang tepat untuk menciptakan
hasil yang lebih baik, peningkatan kepercayaan diri, rasa saling percaya, dan penggunaan
sumber daya secara efektif yang merangsang hubungan produktif dengan pemangku
kepentingan bisnis.
APO09 Perjanjian layanan terkelola Memastikan bahwa produk, layanan, dan tingkat layanan I&T memenuhi kebutuhan
perusahaan saat ini dan masa depan.
APO10 Vendor yang dikelola Mengoptimalkan kemampuan I&T yang tersedia untuk mendukung strategi dan peta
jalan I&T, meminimalkan risiko yang terkait dengan vendor yang tidak berkinerja baik
atau tidak patuh, dan memastikan harga yang kompetitif.
APO11 Kualitas yang dikelola Memastikan penyampaian solusi dan layanan teknologi secara konsisten untuk
memenuhi persyaratan kualitas perusahaan dan memenuhi kebutuhan pemangku
kepentingan.
APO12 Risiko yang dikelola Mengintegrasikan manajemen risiko perusahaan terkait I&T dengan manajemen
risiko perusahaan (ERM) secara keseluruhan dan menyeimbangkan biaya dan
manfaat pengelolaan risiko perusahaan terkait I&T.
APO13 Keamanan terkelola Pertahankan dampak dan terjadinya insiden keamanan informasi
dalam tingkat selera risiko perusahaan.
APO14 Data yang dikelola Pastikan pemanfaatan aset data penting secara efektif untuk mencapai
tujuan dan sasaran perusahaan.
BAI01 Program yang dikelola Mewujudkan nilai bisnis yang diinginkan dan mengurangi risiko penundaan, biaya, dan
erosi nilai yang tidak terduga. Untuk melakukannya, tingkatkan
komunikasi dan keterlibatan dunia usaha dan pengguna akhir,
memastikan nilai dan kualitas hasil program dan tindak lanjut proyek
dalam program, dan memaksimalkan kontribusi program terhadap
portofolio investasi.
BAI02 Definisi persyaratan terkelola Ciptakan solusi optimal yang memenuhi kebutuhan perusahaan sekaligus
meminimalkan risiko.
BAI03 Identifikasi dan pembuatan solusi Memastikan penyampaian produk dan layanan digital yang tangkas dan
terkelola terukur. Menetapkan solusi yang tepat waktu dan hemat biaya (teknologi,
proses bisnis, dan alur kerja) yang mampu mendukung tujuan strategis
dan operasional perusahaan.
BAI04 Ketersediaan dan kapasitas terkelola Menjaga ketersediaan layanan, pengelolaan sumber daya yang
efisien dan optimalisasi kinerja sistem melalui prediksi kinerja
masa depan dan kebutuhan kapasitas.
BAI05 Perubahan organisasi yang dikelola Mempersiapkan dan berkomitmen pada pemangku kepentingan untuk perubahan bisnis dan
mengurangi risiko kegagalan.
BAI06 Perubahan TI yang dikelola Memungkinkan penyampaian perubahan yang cepat dan andal pada bisnis.
Mengurangi risiko dampak negatif terhadap stabilitas atau integritas
lingkungan yang berubah.
BAI07 Penerimaan dan transisi perubahan Menerapkan solusi dengan aman dan sejalan dengan
TI yang terkelola harapan dan hasil yang disepakati.
34

BAB 5
TUJUAN TATA KELOLA DAN MANAJEMEN COBIT
Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen(lanjutan)
BAI08 Pengetahuan yang dikelola Memberikan pengetahuan dan informasi manajemen yang diperlukan untuk
mendukung semua staf dalam tata kelola dan manajemen I&T perusahaan dan
memungkinkan pengambilan keputusan yang tepat.
BAI09 Aset yang dikelola Perhitungkan semua aset I&T dan optimalkan nilai yang diberikan oleh
penggunaannya.
BAI10 Konfigurasi terkelola Memberikan informasi yang memadai tentang aset layanan agar
layanan dapat dikelola secara efektif. Menilai dampak perubahan dan
menangani insiden layanan.
BAI11 Proyek yang dikelola Mewujudkan hasil proyek yang ditentukan dan mengurangi risiko
penundaan, biaya, dan erosi nilai yang tidak terduga dengan
meningkatkan komunikasi dan keterlibatan bisnis dan pengguna akhir.
Memastikan nilai dan kualitas hasil proyek dan memaksimalkan
kontribusinya terhadap program dan portofolio investasi yang
ditentukan.
DSS01 Operasi yang dikelola Memberikan hasil produk dan layanan operasional I&T sesuai rencana.
DSS02 Permintaan dan insiden layanan Mencapai peningkatan produktivitas dan meminimalkan gangguan melalui
terkelola penyelesaian cepat atas pertanyaan dan insiden pengguna. Menilai dampak
perubahan dan menangani insiden layanan. Selesaikan permintaan pengguna dan
pulihkan layanan sebagai respons terhadap insiden.
DSS03 Masalah yang dikelola Meningkatkan ketersediaan, meningkatkan tingkat layanan, mengurangi biaya,
meningkatkan kenyamanan dan kepuasan pelanggan dengan mengurangi jumlah
masalah operasional, dan mengidentifikasi akar penyebab sebagai bagian dari
penyelesaian masalah.
DSS04 Kontinuitas yang dikelola Beradaptasi dengan cepat, melanjutkan operasi bisnis, dan menjaga
ketersediaan sumber daya dan informasi pada tingkat yang dapat
diterima oleh perusahaan jika terjadi gangguan signifikan (misalnya
ancaman, peluang, tuntutan).
DSS05 Layanan keamanan terkelola Meminimalkan dampak bisnis dari kerentanan dan insiden
keamanan informasi operasional.
DSS06 Kontrol proses bisnis yang Menjaga integritas informasi dan keamanan aset informasi yang
dikelola ditangani dalam proses bisnis di perusahaan atau operasi yang
dialihdayakan.
MEA01 Kinerja terkelola dan Memberikan transparansi kinerja dan kesesuaian serta mendorong
pemantauan kesesuaian pencapaian tujuan.
MEA02 Sistem pengendalian internal yang dikelola Mendapatkan transparansi bagi pemangku kepentingan utama mengenai
kecukupan sistem pengendalian internal dan dengan demikian memberikan
kepercayaan dalam operasi, keyakinan dalam pencapaian tujuan perusahaan dan
pemahaman yang memadai tentang risiko yang tersisa.
MEA03 Kepatuhan terkelola terhadap Memastikan bahwa perusahaan mematuhi semua persyaratan eksternal
persyaratan eksternal yang berlaku.
MEA04 Jaminan terkelola Memungkinkan organisasi untuk merancang dan mengembangkan inisiatif penjaminan yang
efisien dan efektif, memberikan panduan mengenai perencanaan, pelingkupan, pelaksanaan
dan tindak lanjut tinjauan penjaminan, menggunakan peta jalan berdasarkan pendekatan
penjaminan yang diterima dengan baik.
35
36

BAB 6
MANAJEMEN KINERJA DALAM COBIT
Bab 6
Manajemen Kinerja di COBIT
6.1 Definisi
Manajemen kinerja merupakan bagian penting dari tata kelola dan sistem manajemen. “Manajemen kinerja” mewakili istilah umum untuk
semua aktivitas dan metode. Hal ini mengungkapkan seberapa baik tata kelola dan sistem manajemen serta seluruh komponen suatu
perusahaan bekerja, dan bagaimana hal tersebut dapat ditingkatkan untuk mencapai tingkat yang diperlukan. Ini mencakup konsep dan
metode seperti tingkat kemampuan dan tingkat kematangan. COBIT menggunakan istilah manajemen kinerja COBIT (CPM) untuk
menggambarkan aktivitas ini, dan konsep ini merupakan bagian integral dari kerangka COBIT.
6.2 Prinsip Manajemen Kinerja COBIT
COBIT®Tahun 2019 didasarkan pada prinsip-prinsip berikut:
1.CPM harus mudah dipahami dan digunakan.

2.CPM harus konsisten dan mendukung model konseptual COBIT. Hal ini harus memungkinkan
pengelolaan kinerja semua jenis komponen sistem tata kelola; kinerja proses serta kinerja jenis
komponen lainnya (misalnya struktur organisasi atau informasi) harus dapat dikelola jika pengguna
menginginkannya.
3.CPM harus memberikan hasil yang dapat diandalkan, dapat diulang, dan relevan.
4.CPM harus fleksibel, sehingga dapat mendukung kebutuhan berbagai organisasi dengan prioritas dan kebutuhan
berbeda.
5.CPM harus mendukung berbagai jenis penilaian, mulai dari penilaian mandiri hingga penilaian formal atau audit.
6.3 Ikhtisar Manajemen Kinerja COBIT
Model BPS (gambar 6.1) sebagian besar selaras dan memperluas CMMI®Pengembangan V2.020 1 konsep:
-Aktivitas proses dikaitkan dengan tingkat kemampuan. Ini termasuk dalamCOBIT®Kerangka Kerja 2019: Tujuan Tata Kelola
dan Manajemenmemandu.
-Jenis komponen tata kelola dan manajemen lainnya (misalnya, struktur organisasi, informasi) mungkin juga memiliki tingkat
kemampuan yang ditentukan dalam panduan di masa mendatang.
- Tingkat kematangan dikaitkan dengan area fokus (yaitu kumpulan tujuan tata kelola dan pengelolaan serta komponen yang
mendasarinya) dan akan tercapai jika seluruh tingkat kemampuan yang diperlukan telah tercapai.
1
20CMMI®Pengembangan V2.0, CMMI Institute, AS, 2018,https://cmmiinstitute.com/model-viewer/dashboard
37
Gambar 6.1—Tingkat Kemampuan
COBIT 5 PAM
(ISO/IEC 15504- CMMI 2.0 Pembaruan COBIT
ISO/IEC 33000)
Kematangan Kematangan
Proses Kemampuan Kemampuan Kemampuan
Jenis komponen tata kelola Kemampuan

dan manajemen lainnya
Jika perusahaan ingin terus menggunakan model kapabilitas proses COBIT 5 berdasarkan Organisasi Internasional untuk
Standardisasi (ISO)/Komisi Elektroteknik Internasional (IEC) 15504 (sekarang ISO/IEC 33000, di mana tingkat kapabilitas memiliki
arti yang sangat berbeda), mereka harus memenuhi semua persyaratan tersebut. informasi untuk melakukannyaCOBIT®Kerangka
Kerja 2019: Tujuan Tata Kelola dan Manajemen. Tidak diperlukan publikasi model penilaian proses (PAM) terpisah, dan COBIT juga
tidak disediakan®2019.
Di COBIT®Pada tahun 2019, hasil proses atau tujuan proses yang eksplisit digantikan oleh praktik proses itu sendiri. Hal
ini menghasilkan situasi berikut untuk evaluasi ISO/IEC33000:
1.Hasil proses sekarang dikaitkan dengan praktik proses secara satu-ke-satu (yaitu, hasil proses adalah penyelesaian
praktik proses yang berhasil). Catatan: praktik proses dirumuskan sebagai praktik, dan hasilnya dapat diperoleh
dari sana. Contoh: APO01.01Rancang sistem manajemen untuk I&T perusahaan memiliki hasil proses APO01.01:
Sebuah sistem manajemen untuk I&T perusahaan dirancang.
2.Praktik dasar sama dengan COBIT®praktik proses tahun 2019 untuk setiap tujuan tata kelola dan manajemen.
3.Produk kerja setara dengan Arus Informasi dan Item pada komponen C di setiap
tujuan tata kelola/manajemen.
Dengan demikian, pemetaan hasil ke praktik dasar dan produk kerja semuanya dilakukan berdasarkan definisi di COBIT®2019.
6.4 Mengelola Kinerja Proses
6.4.1 Tingkat Kemampuan Proses
COBIT®2019 mendukung skema kemampuan proses berbasis CMMI. Proses dalam setiap tujuan tata kelola dan pengelolaan dapat
beroperasi pada berbagai tingkat kemampuan, mulai dari 0 hingga 5. Tingkat kemampuan adalah ukuran seberapa baik suatu
proses diterapkan dan dijalankan.Gambar 6.2menggambarkan model, peningkatan tingkat kemampuan dan karakteristik umum
masing-masing.
38

BAB 6
Gambar 6.2—Tingkat Kemampuan untuk Proses
Proses mencapai tujuannya, didefinisikan
5 dengan baik, kinerjanya diukur untuk

meningkatkan kinerja dan perbaikan
berkelanjutan diupayakan.
4 Proses tersebut mencapai tujuannya, didefinisikan dengan baik,

dan kinerjanya diukur (secara kuantitatif).
3 Proses mencapai tujuannya dengan cara yang lebih terorganisir dengan

menggunakan aset organisasi. Proses biasanya didefinisikan dengan baik.
2 Proses tersebut mencapai tujuannya melalui penerapan serangkaian aktivitas dasar namun
lengkap yang dapat dicirikan sebagai telah dilakukan.
1 Proses tersebut kurang lebih mencapai tujuannya melalui penerapan serangkaian aktivitas yang tidak lengkap yang dapat
dikategorikan sebagai aktivitas awal atau intuitif—tidak terlalu terorganisir.
• Kurangnya kemampuan dasar apa pun

0 • Pendekatan yang tidak lengkap untuk mencapai tujuan tata kelola dan pengelolaan
• Mungkin atau mungkin tidak memenuhi maksud dari praktik proses apa pun
Model inti COBIT menetapkan tingkat kemampuan untuk semua aktivitas proses, memungkinkan definisi yang jelas tentang proses dan
aktivitas yang diperlukan untuk mencapai tingkat kemampuan yang berbeda. MelihatCOBIT®Kerangka Kerja 2019: Tujuan Tata Kelola dan
Manajemenuntuk lebih detailnya.
6.4.2 Kegiatan Proses Pemeringkatan
Tingkat kemampuan dapat dicapai pada tingkat yang berbeda-beda, yang dapat dinyatakan dengan serangkaian peringkat. Kisaran
peringkat yang tersedia bergantung pada konteks di mana penilaian kinerja dilakukan:
-Beberapa metode formal yang mengarah ke sertifikasi independen menggunakan serangkaian peringkat biner lulus/gagal.
-Metode yang kurang formal (sering digunakan dalam konteks peningkatan kinerja) bekerja lebih baik dengan rentang penilaian yang lebih luas,
seperti rangkaian berikut:
-Sepenuhnya—Tingkat kemampuan dicapai lebih dari 85 persen. (Hal ini tetap merupakan keputusan penilaian, namun
dapat dibuktikan dengan pemeriksaan atau penilaian terhadap komponen-komponen pendukung, seperti aktivitas
proses, tujuan proses, atau praktik baik struktur organisasi.)
-Sebagian besar—Tingkat kemampuan dicapai antara 50 persen hingga 85 persen.

-Sebagian—Tingkat kemampuan dicapai antara 15 persen dan 50 persen.
-Bukan—Tingkat kemampuan yang dicapai kurang dari 15 persen.
6.4.3 Tingkat Kematangan Area Fokus
Terkadang tingkat yang lebih tinggi diperlukan untuk menyatakan kinerja tanpa rincian yang dapat diterapkan pada peringkat kemampuan
proses individual. Tingkat kedewasaan dapat digunakan untuk tujuan itu. COBIT®Tahun 2019 mendefinisikan tingkat kematangan sebagai ukuran
kinerja pada tingkat area fokus, seperti yang ditunjukkan padagambar 6.3.
39
Gambar 6.3—Tingkat Kematangan untuk Area Fokus
5
Mengoptimalkan—Perusahaan berfokus
pada perbaikan berkelanjutan.
4 Kuantitatif—Perusahaan didorong oleh data, dengan

peningkatan kinerja kuantitatif.
3 Ditetapkan—Standar seluruh perusahaan memberikan panduan di seluruh perusahaan.
2 Dikelola—Perencanaan dan pengukuran kinerja berlangsung, meskipun belum dalam cara yang
terstandarisasi.
1 Awal—Pekerjaan telah selesai, namun tujuan dan maksud penuh dari area fokus belum tercapai.
0 Belum Selesai—Pekerjaan mungkin telah selesai atau belum selesai untuk mencapai tujuan tata kelola dan tujuan pengelolaan di
area fokus.
Tingkat kematangan dikaitkan dengan bidang fokus (yaitu, kumpulan tujuan tata kelola dan pengelolaan serta komponen
yang mendasarinya) dan tingkat kematangan tertentu dicapai jika semua proses yang terdapat dalam bidang fokus
mencapai tingkat kemampuan tertentu.
6.5 Pengelolaan Kinerja Komponen Sistem Tata Kelola Lainnya
6.5.1 Manajemen Kinerja Struktur Organisasi
Meskipun tidak ada metode yang diterima secara umum atau formal untuk menilai struktur organisasi, namun penilaian tersebut dapat
dilakukan secara kurang formal berdasarkan kriteria berikut. Untuk setiap kriteria, sejumlah subkriteria dapat ditentukan, dihubungkan
dengan berbagai tingkat kemampuan. Kriterianya adalah:
-Keberhasilan pelaksanaan praktik-praktik proses yang mana struktur organisasi (atau peran) mempunyai akuntabilitas atau tanggung
jawab (masing-masing A atau R, dalam bagan yang bertanggung jawab-akuntabilitas-konsultasikan-informasi [RACI])
-Keberhasilan penerapan sejumlah praktik baik untuk struktur organisasi, seperti:

-Prinsip pengoperasian
- Struktur organisasi ditetapkan secara formal.
- Struktur organisasi mempunyai amanat yang jelas, terdokumentasi dan dipahami dengan baik.
- Prinsip pengoperasian didokumentasikan.
- Pertemuan rutin diadakan sebagaimana didefinisikan dalam prinsip-prinsip operasi.
- Laporan/risalah rapat tersedia dan bermakna.

-Komposisi
- Struktur organisasi ditetapkan secara formal.
40

BAB 6
-Rentang kendali
- Struktur organisasi mempunyai amanat yang jelas, terdokumentasi dan dipahami dengan baik.
- Prinsip pengoperasian didokumentasikan.
- Pertemuan rutin diadakan sebagaimana didefinisikan dalam prinsip-prinsip operasi.
- Laporan/risalah rapat tersedia dan bermakna.

-Tingkat wewenang dan hak mengambil keputusan
- Hak pengambilan keputusan dalam struktur organisasi didefinisikan dan didokumentasikan.
- Hak pengambilan keputusan dalam struktur organisasi dihormati dan dipatuhi (juga merupakan masalah budaya/perilaku).
-Pendelegasian wewenang
- Pendelegasian wewenang dilaksanakan dengan cara yang bermakna.
-Prosedur eskalasi
- Prosedur eskalasi ditetapkan dan diterapkan.
-Penerapan sejumlah praktik manajemen struktur organisasi yang berhasil (praktik nonfungsional yang
timbul dari sudut pandang struktur organisasi):
-Tujuan kinerja struktur organisasi diidentifikasi.
-Kinerja struktur organisasi direncanakan dan dipantau.
-Kinerja struktur organisasi disesuaikan untuk memenuhi rencana.
-Sumber daya dan informasi yang diperlukan untuk struktur organisasi diidentifikasi, disediakan, dialokasikan dan
digunakan.
-Antarmuka antara struktur organisasi dan pemangku kepentingan lainnya dikelola untuk memastikan komunikasi yang
efektif dan pembagian tanggung jawab yang jelas.
-Evaluasi
rutin menghasilkan perbaikan berkelanjutan yang diperlukan terhadap struktur organisasi—dalam
komposisi, mandat, atau parameter lainnya.
Mengenai proses, tingkat kemampuan yang rendah memerlukan pemenuhan sebagian kriteria tersebut, dan tingkat kemampuan yang lebih tinggi
mengharuskan seluruh kriteria dipenuhi. Namun, sebagaimana telah disebutkan, tidak ada skema yang diterima secara umum untuk menilai
struktur organisasi. Namun, hal ini tidak menghalangi suatu perusahaan untuk menentukan skema kapabilitasnya sendiri untuk struktur organisasi.
6.5.2 Kinerja Manajemen Item Informasi
Komponen item informasi untuk sistem tata kelola I&T kurang lebih setara dengan produk proses kerja seperti
yang dijelaskan dalamCOBIT®Kerangka Kerja 2019: Tujuan Tata Kelola dan Manajemen.
Meskipun tidak ada metode yang diterima secara umum atau formal untuk menilai item informasi, namun penilaian tersebut dapat dilakukan
secara kurang formal berdasarkan model referensi informasi yang pertama kali disajikan diCOBIT®5: Mengaktifkan Informasi.21 2
Model ini mendefinisikan tiga kriteria kualitas utama informasi dan 15 subkriteria, seperti yang diilustrasikan padagambar 6.4.
2
21Lihat ISACA,COBIT®5: Mengaktifkan Informasi, bagian 3.1.2 Tujuan, AS, 2013 ,http://www.isaca.org/COBIT/Pages/COBIT-5-Enabling-Information-
halaman produk.aspx
41
Gambar 6.4—Model Referensi Informasi: Kriteria Kualitas Informasi
Sejauh mana informasi tersebut benar

Ketepatan
dan dapat diandalkan
Sejauh mana informasi tidak memihak, tidak

Objektivitas
berprasangka buruk, dan tidak memihak
Hakiki
Sejauh mana informasi dianggap benar dan
Sejauh mana nilai Kepercayaan
dapat dipercaya
data sesuai dengan
nilai aktual atau sebenarnya

Sejauh mana informasi sangat dihargai
Reputasi dalam hal sumber atau isinya
Relevansi Sejauh mana informasi dapat diterapkan dan

berguna untuk tugas yang ada
Sejauh mana informasi tidak

Kelengkapan hilang dan cukup dalam dan luas
untuk tugas yang ada
Mata uang
Sejauh mana informasi cukup terkini
untuk tugas yang ada
Sesuai Sejauh mana volume

informasi sesuai dengan tugas
Jumlah
yang ada
Informasi Ringkas Sejauh mana informasi

Kontekstual
Kriteria Mutu Perwakilan terwakili secara kompak
Sejauh mana
informasi itu ada Konsisten Sejauh mana informasi disajikan
berlaku untuk Perwakilan dalam format yang sama
tugas informasi
pengguna dan disajikan
Sejauh mana informasi disajikan dalam
dengan cara yang dapat Interpretasi bahasa, simbol dan satuan yang sesuai,
dipahami dan jelas,
serta definisinya jelas
mengakui hal itu
kualitas informasi
Sejauh mana informasi mudah
tergantung pada konteks Dapat dimengerti dipahami
penggunaannya
Kemudahan Sejauh mana informasi mudah dimanipulasi

Manipulasi dan diterapkan pada berbagai tugas
Sejauh mana informasi tersedia saat dibutuhkan,

Ketersediaan
atau dapat diambil dengan mudah dan cepat
Keamanan/
Pribadi/
Aksesibilitas
Sejauh mana informasi Terbatas Sejauh mana akses terhadap informasi dibatasi
tersedia atau dapat Mengakses secara wajar kepada pihak-pihak yang berwenang
diperoleh
Suatu item informasi dapat dinilai dengan mempertimbangkan sejauh mana kriteria kualitas yang relevan, sebagaimana didefinisikan dalam
gambar 6.4, tercapai.
42

BAB 6
6.5.3 Manajemen Kinerja Budaya dan Perilaku
Untuk komponen tata kelola budaya dan perilaku, kita dapat menentukan serangkaian perilaku yang diinginkan (dan/atau tidak diinginkan)
untuk tata kelola dan manajemen TI yang baik, dan menetapkan tingkat kemampuan yang berbeda pada masing-masing perilaku tersebut.
COBIT®Kerangka Kerja 2019: Tujuan Tata Kelola dan Manajemenmendefinisikan aspek komponen budaya dan perilaku
untuk sebagian besar tujuan. Dari sana, dimungkinkan untuk menilai sejauh mana kondisi atau perilaku tersebut
terpenuhi.
Konten area fokus, yang berisi serangkaian perilaku yang diinginkan secara lebih rinci, akan dikembangkan ke depannya. Pengguna
disarankan untuk berkonsultasiisaca.org/cobituntuk status terkini dan panduan area fokus yang tersedia.
43
44

BAB 7
MERANCANG SISTEM TATA KELOLA YANG DISESUAIKAN
Bab7
Merancang Sistem Tata Kelola yang Disesuaikan
7.1 Dampak Faktor Desain
Bagian ini memberikan gambaran tingkat tinggi mengenai dampak potensial faktor desain pada sistem tata kelola untuk I&T perusahaan. Hal ini
juga menjelaskan, pada tingkat tinggi, alur kerja untuk merancang sistem tata kelola yang disesuaikan untuk perusahaan. Informasi lebih lanjut
mengenai subjek ini dapat ditemukan diCOBIT®Panduan Desain 2019.
Faktor desain mempengaruhi penyesuaian sistem tata kelola suatu perusahaan dengan cara yang berbeda. Publikasi ini membedakan tiga
jenis dampak yang berbeda, yang diilustrasikan dalamgambar 7.1.
Gambar 7.1—Dampak Faktor Desain pada Sistem Tata Kelola dan Manajemen
1. Manajemen
Objektif
Prioritas dan
Target
Kemampuan
Tingkat
Desain
Faktor
Dampak
3. Spesifik 2. Komponen
Area Fokus Variasi
1. Prioritas/seleksi tujuan pengelolaan—Model inti COBIT berisi 40 tujuan tata kelola dan manajemen, masing-masing terdiri dari proses
dan sejumlah komponen terkait. Mereka secara intrinsik setara; tidak ada urutan prioritas alami di antara mereka. Namun, faktor
desain dapat mempengaruhi kesetaraan ini dan membuat beberapa tujuan tata kelola dan pengelolaan menjadi lebih penting
dibandingkan yang lain, terkadang sampai pada titik di mana beberapa tujuan tata kelola dan pengelolaan dapat diabaikan. Dalam
praktiknya, kepentingan yang lebih tinggi ini diterjemahkan ke dalam penetapan tingkat kemampuan target yang lebih tinggi untuk
tujuan-tujuan tata kelola dan pengelolaan yang penting.
45
COBIT®KERANGKA 2019: PENDAHULUAN & METODOLOGI
Contoh:Ketika suatu perusahaan mengidentifikasi tujuan perusahaan yang paling relevan dari daftar tujuan perusahaan dan
menerapkan rangkaian tujuan, hal ini akan mengarah pada pemilihan tujuan manajemen prioritas. Misalnya, ketika EG01Portofolio
produk dan layanan yang kompetitifdiberi peringkat sangat tinggi oleh suatu perusahaan, hal ini akan menjadikan tujuan manajemen
APO05 Portofolio yang dikelolabagian penting dari sistem tata kelola perusahaan ini.
Contoh:Perusahaan yang sangat menghindari risiko akan lebih mengutamakan tujuan manajemen yang bertujuan untuk mengatur dan
mengelola risiko dan keamanan. Tujuan tata kelola dan pengelolaan EDM03Optimalisasi risiko yang terjamin, APO12 Risiko yang dikelola,APO13
Keamanan terkeloladan DSS05Layanan keamanan terkelolaakan menjadi bagian penting dari sistem tata kelola perusahaan dan akan memiliki
tingkat kemampuan target yang lebih tinggi yang ditetapkan untuk mereka.
Contoh:Perusahaan yang beroperasi dalam lanskap ancaman tinggi akan memerlukan proses terkait keamanan berkemampuan tinggi:
APO13Keamanan terkeloladan DSS05Layanan keamanan terkelola.
Contoh:Suatu perusahaan yang peran TI-nya bersifat strategis dan krusial bagi keberhasilan bisnisnya akan memerlukan keterlibatan
yang tinggi dari peran-peran terkait TI dalam struktur organisasi, pemahaman menyeluruh tentang bisnis oleh para profesional TI
(dan sebaliknya), dan fokus pada strategi. proses seperti APO02Strategi yang dikeloladan APO08Hubungan yang dikelola.
2. Variasi komponen—Komponen diperlukan untuk mencapai tujuan tata kelola dan pengelolaan. Beberapa faktor desain dapat
mempengaruhi pentingnya satu atau lebih komponen atau memerlukan variasi tertentu.
Contoh:Perusahaan kecil dan menengah mungkin tidak memerlukan seluruh peran dan struktur organisasi seperti yang tercantum dalam model inti
COBIT, namun mungkin menggunakan peran dan struktur organisasi yang lebih kecil. Rangkaian tujuan tata kelola dan pengelolaan yang dikurangi ini
serta komponen-komponen yang tercakup di dalamnya didefinisikan dalam area fokus Usaha Kecil dan Menengah.22 1
Contoh:Perusahaan yang beroperasi di lingkungan yang diatur dengan ketat akan lebih mementingkan hal ini produk kerja
serta kebijakan dan prosedur yang terdokumentasidan beberapa peran, misalnya fungsi petugas kepatuhan.
Contoh:Perusahaan yang menggunakan DevOps dalam pengembangan solusi dan operasi akan memerlukan aktivitas spesifik,
struktur organisasi, budaya, dll., yang berfokus pada BAI03Identifikasi dan pembuatan solusi terkeloladan DSS01 Operasi yang
dikelola.
3. Perlunya area fokus yang spesifik—Beberapa faktor desain, seperti lanskap ancaman, risiko spesifik, metode pengembangan
target, dan pengaturan infrastruktur, akan mendorong kebutuhan akan variasi konten model COBIT inti ke konteks tertentu.
Contoh:Perusahaan yang mengadopsi pendekatan DevOps akan memerlukan sistem tata kelola yang memiliki beberapa varian
proses COBIT umum, dijelaskan dalam panduan area fokus DevOps23 2 untuk COBIT.
Contoh:Perusahaan kecil dan menengah memiliki lebih sedikit staf, lebih sedikit sumber daya TI, dan jalur pelaporan yang lebih pendek
dan langsung, serta berbeda dalam banyak aspek dari perusahaan besar. Oleh karena itu, sistem tata kelola I&T mereka harus lebih
ringan dibandingkan dengan perusahaan besar. Hal ini dijelaskan dalam panduan area fokus UKM COBIT.24 3
22
1
Pada saat publikasiCOBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologi,konten area fokus usaha kecil dan menengah sedang dalam
pengembangan dan belum dirilis.
23
2
Pada saat publikasiCOBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologi,konten area fokus DevOps sedang dalam pengembangan dan belum dirilis.
24
3
Pada saat publikasiCOBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologi,konten area fokus usaha kecil dan menengah sedang dalam
pengembangan dan belum dirilis.
46

BAB 7
MERANCANG SISTEM TATA KELOLA YANG DISESUAIKAN
7.2 Tahapan dan Langkah dalam Proses Perancangan
Gambar 7.2mengilustrasikan alur yang diusulkan untuk merancang sistem tata kelola yang disesuaikan.
Gambar 7.2—Alur Kerja Desain Sistem Tata Kelola
2. Tentukan
1. Memahami 3. Sempurnakan
inisial 4. Simpulkan
perusahaan ruang lingkup
ruang lingkup
pemerintahan
konteks dan pemerintahan
pemerintahan desain sistem.
strategi. sistem.
sistem.
• 1.1 Memahami strategi • 2.1 Pertimbangkan strategi • 3.1 Pertimbangkan • 4.1 Menyelesaikan konflik prioritas
perusahaan. perusahaan. lanskap ancaman. yang melekat.
• 1.2 Memahami tujuan • 2.2 Mempertimbangkan tujuan perusahaan • 3.2 Mempertimbangkan • 4.2 Menyimpulkan sistem
perusahaan. dan menerapkannya persyaratan kepatuhan. tata kelola
• 1.3 Memahami profil Rangkaian tujuan COBIT. • 3.3 Pertimbangkan peran TI. desain.
risiko. • 2.3 Mempertimbangkan profil risiko • 3.4 Mempertimbangkan sumber
• 1.4 Memahami permasalahan daya perusahaan. model.
terkini terkait I&T. • 2.4 Mempertimbangkan permasalahan • 3.5 Pertimbangkan metode
terkini terkait I&T. penerapan TI.
• 3.6 Pertimbangkan strategi
adopsi TI.
• 3.7 Mempertimbangkan ukuran perusahaan.
Berbagai tahapan dan langkah dalam proses desain, seperti yang diilustrasikan dalamgambar 7.2, akan menghasilkan rekomendasi untuk
memprioritaskan tujuan tata kelola dan pengelolaan atau komponen sistem tata kelola terkait, untuk tingkat kemampuan target, atau untuk
mengadopsi varian tertentu dari komponen sistem tata kelola.
Beberapa langkah atau sub-langkah ini mungkin menghasilkan panduan yang bertentangan, yang tidak dapat dihindari ketika mempertimbangkan sejumlah
besar faktor desain, keseluruhan sifat umum dari panduan faktor desain, dan tabel pemetaan yang digunakan.
Disarankan untuk meletakkan semua panduan yang diperoleh selama langkah-langkah yang berbeda pada kanvas desain dan—pada tahap
terakhir proses desain—menyelesaikan (sejauh mungkin) konflik antar elemen pada kanvas desain dan menyimpulkannya. Tidak ada formula
ajaib. Desain akhir akan menjadi keputusan kasus per kasus, berdasarkan semua elemen pada kanvas desain. Dengan mengikuti langkah-langkah
ini, perusahaan akan mewujudkan sistem tata kelola yang disesuaikan dengan kebutuhan mereka.
47
48

BAB 8
MELAKSANAKAN TATA KELOLA PERUSAHAAN
Bab 8
Menerapkan Tata Kelola TI Perusahaan
8.1 Tujuan Panduan Implementasi COBIT
ItuCOBIT®Panduan Implementasi 2019menekankan pandangan seluruh perusahaan mengenai tata kelola I&T. Panduan ini
mengakui bahwa I&T tersebar luas di perusahaan-perusahaan dan tidak mungkin atau merupakan praktik yang baik untuk
memisahkan bisnis dan aktivitas terkait TI. Oleh karena itu, tata kelola dan manajemen I&T perusahaan harus diterapkan sebagai
bagian integral dari tata kelola perusahaan, yang mencakup seluruh tanggung jawab bisnis end-to-end dan fungsi TI.
Salah satu alasan umum mengapa beberapa penerapan sistem tata kelola gagal adalah karena penerapan tersebut tidak dimulai dan
kemudian dikelola dengan baik sebagai program untuk memastikan manfaatnya terwujud. Program tata kelola perlu disponsori oleh
manajemen eksekutif, memiliki cakupan yang tepat, dan menetapkan tujuan yang dapat dicapai. Hal ini memungkinkan perusahaan untuk
menyerap laju perubahan sesuai rencana. Oleh karena itu, manajemen program ditangani sebagai bagian integral dari siklus hidup
implementasi.
Diasumsikan juga bahwa meskipun pendekatan program dan proyek direkomendasikan untuk mendorong inisiatif perbaikan secara efektif,
tujuannya juga adalah untuk membangun praktik bisnis yang normal dan pendekatan berkelanjutan dalam mengatur dan mengelola I&T
perusahaan seperti halnya aspek tata kelola perusahaan lainnya. Oleh karena itu, pendekatan penerapannya didasarkan pada
pemberdayaan pemangku kepentingan dan pelaku bisnis dan TI untuk mengambil kepemilikan atas keputusan dan aktivitas tata kelola dan
manajemen TI dengan memfasilitasi dan memungkinkan perubahan. Program implementasi ditutup ketika proses pemfokusan pada
prioritas terkait TI dan perbaikan tata kelola menghasilkan manfaat yang terukur, dan program tersebut telah tertanam dalam aktivitas
bisnis yang sedang berjalan.
Informasi lebih lanjut mengenai subjek ini juga dapat ditemukan diCOBIT®Panduan Implementasi 2019.
8.2 Pendekatan Implementasi COBIT
Ada tujuh fase yang terdiri dari pendekatan implementasi COBIT:

-Apa saja drivernya?
-Dimana kita sekarang?
-Kita ingin berada dimana?

-Apa yang perlu dilakukan?
-Bagaimana kita bisa sampai di sana?
-Apakah kita sampai di sana?
-Bagaimana kita menjaga momentum ini?
Pendekatan implementasi COBIT dirangkum dalamgambar 8.1.
49
Gambar 8.1—Peta Jalan Implementasi COBIT
w
iDH kM
eeP y?a
aie k GH
muSN
i
aaG 1 WHATA
a
w T a Re T
H i N He
H M ae
7 e MH a
Syeawye
SN
ASTY
aAa
S A
yTey
DRS
aaey
RySa?
aPa
TH
Rea eyy
SaaNaSS RHG
aRAi
eCT M
eFF
ESTABa
u ya SSkaHu
ASNa
SaTm THCaHiA yDaeSS
Sk NG Rae
2W
Saya
eRe?
e ya
DeF HPaPiHRa
TH
eFST
HeRe
SNaey TkiN
aRyaai ReCHGa
NaSTiH NiS
e GeT
MHAND umu NeeDTHzaeya

• Manajemen program
SzaeuyBaeN
SM
PaRHBaaeST
APPRHAaCiHew
aTe ACT a
ARe we NHai
aPyae TeAM
kkA
eS
Aya i
ya
ea
EMBeDN
akMueNTATSaya
Dw
emu
(cincin luar)
FHRa
6 DSa
ReAak
AND e
am
PeRAT
ASSeem
ik
MeASkRa
CkR
Mi
• Ubah pemberdayaan
MuS AND
STATe
HAI
Sa
aeyu
aR NT
SS
w?
Sya
Hai
u
a
(cincin tengah)
N
TA eT a
G y
• Siklus hidup perbaikan berkelanjutan

SM
AR FSNae
SM
APYaAaaeyM
aPyRa
D
e
e
Te
ekM i
T
auei AuyTea
H
eN NT S
u
(lingkar dalam)
TS Ca
aSm
BkamD u
aku
Saya
HPA DkSa
SM
kTa kN
aP
yR
aHaeiMeNTS
ay
AN
HM
AP
i
eIR em
e
M
Ma i
Cm
aei ?
AT u
EXe
CH Ha
iM
5H
HB
ui u AaD
Ck
SDAeY ek
RHaa
ya
NTT
NTASaya
Fkam
RH
Hwa
Taem
AN Pak
Akamu
uRS
e a
wA
FS
Ne
iDH
Pau
De
ku
ie
w
aie
Haw
Ge
TH
eD
eR eR
T
e? PaAkNuPRHai
GRAM WH
3
4 WHATNeeDS THaBei DHNaei?
8.2.1 Fase 1—Apa Faktor Pendorongnya?
Fase 1 dari pendekatan implementasi mengidentifikasi pendorong perubahan saat ini dan menciptakan keinginan untuk berubah di tingkat
manajemen eksekutif yang kemudian diungkapkan dalam garis besar kasus bisnis. Penggerak perubahan adalah peristiwa, kondisi atau isu utama
internal atau eksternal yang berfungsi sebagai stimulus untuk perubahan. Peristiwa, tren (industri, pasar atau teknis), kekurangan kinerja,
implementasi perangkat lunak, dan bahkan tujuan perusahaan semuanya dapat bertindak sebagai pendorong perubahan.
Risiko yang terkait dengan implementasi program itu sendiri dijelaskan dalam kasus bisnis dan dikelola sepanjang siklus hidup.
Mempersiapkan, memelihara, dan memantau kasus bisnis merupakan disiplin ilmu yang fundamental dan penting untuk
membenarkan, mendukung, dan kemudian memastikan keberhasilan hasil inisiatif apa pun, termasuk peningkatan sistem tata
kelola. Mereka memastikan fokus yang berkelanjutan pada manfaat program dan realisasinya.
8.2.2 Fase 2—Di Mana Kita Saat Ini?
Fase 2 menyelaraskan tujuan terkait I&T dengan strategi dan risiko perusahaan, dan memprioritaskan tujuan, penyelarasan tujuan, dan
proses perusahaan yang paling penting. ItuCOBIT®Panduan Desain 2019menyediakan beberapa faktor desain untuk membantu pemilihan.
Berdasarkan tujuan perusahaan yang dipilih dan tujuan terkait TI serta faktor desain lainnya, perusahaan harus
mengidentifikasi tujuan tata kelola dan manajemen yang penting serta proses mendasar yang memiliki kemampuan memadai
untuk memastikan hasil yang sukses. Manajemen perlu mengetahui kemampuannya saat ini dan di mana kekurangannya. Hal
ini dapat dicapai dengan penilaian kemampuan proses terhadap status proses yang dipilih saat ini.
50

BAB 8
MELAKSANAKAN TATA KELOLA PERUSAHAAN
8.2.3 Fase 3—Kita Ingin Berada di Mana?
Fase 3 menetapkan target perbaikan yang diikuti dengan analisis kesenjangan untuk mengidentifikasi solusi potensial.
Beberapa solusi akan berupa kemenangan cepat dan solusi lainnya lebih menantang dan merupakan tugas jangka panjang. Prioritas harus diberikan pada
proyek-proyek yang lebih mudah dicapai dan mungkin memberikan manfaat terbesar. Tugas-tugas jangka panjang harus dipecah menjadi bagian-bagian yang
dapat dikelola.
8.2.4 Fase 4—Apa yang Perlu Dilakukan?
Fase 4 menjelaskan bagaimana merencanakan solusi yang layak dan praktis dengan mendefinisikan proyek yang didukung oleh kasus bisnis yang
dapat dibenarkan dan rencana perubahan untuk implementasi. Kasus bisnis yang dikembangkan dengan baik dapat membantu memastikan
bahwa manfaat proyek teridentifikasi dan terus dipantau.
8.2.5 Fase 5—Bagaimana Kita Mencapainya?
Fase 5 mengatur penerapan solusi yang diusulkan melalui praktik sehari-hari dan menetapkan langkah-langkah dan
sistem pemantauan untuk memastikan bahwa keselarasan bisnis tercapai, dan kinerja dapat diukur.
Kesuksesan memerlukan keterlibatan, kesadaran dan komunikasi, pemahaman dan komitmen manajemen puncak, serta
kepemilikan oleh pemilik bisnis dan proses TI yang terkena dampak.
8.2.6 Fase 6—Sudahkah Kita Mencapainya?
Fase 6 berfokus pada transisi berkelanjutan dari praktik tata kelola dan manajemen yang lebih baik ke dalam operasi bisnis
normal. Hal ini lebih lanjut berfokus pada pemantauan pencapaian perbaikan menggunakan metrik kinerja dan manfaat
yang diharapkan.
8.2.7 Fase 7—Bagaimana Kita Mempertahankan Momentum?
Fase 7 meninjau keberhasilan inisiatif secara keseluruhan, mengidentifikasi persyaratan tata kelola atau manajemen lebih lanjut, dan
memperkuat perlunya perbaikan berkelanjutan. Hal ini juga memprioritaskan peluang lebih lanjut untuk memperbaiki sistem tata kelola.
Manajemen program dan proyek didasarkan pada praktik yang baik dan menyediakan titik pemeriksaan di masing-masing tujuh fase
untuk memastikan bahwa kinerja program berada pada jalurnya, kasus bisnis dan risiko diperbarui, dan perencanaan untuk fase
berikutnya disesuaikan sebagaimana mestinya. Diasumsikan bahwa pendekatan standar perusahaan akan diikuti.
Panduan lebih lanjut mengenai manajemen program dan proyek juga dapat ditemukan di tujuan pengelolaan COBIT BAI01 Program yang dikelola
dan BAI11Proyek yang dikelola. Meskipun pelaporan tidak disebutkan secara eksplisit dalam fase mana pun, pelaporan merupakan rangkaian
yang berkesinambungan melalui semua fase dan pengulangan.
51
8.3 Hubungan AntarCOBIT®Panduan Desain 2019DanCOBIT®Panduan

Implementasi 2019
Alur kerja dijelaskan diCOBIT®Panduan Desain 2019memiliki titik koneksi berikut denganCOBIT®
Panduan Implementasi 2019. ItuCOBIT®Panduan Desain 2019menguraikan serangkaian tugas yang ditentukan dalamCOBIT®
Panduan Implementasi 2019.Gambar 8.2memberikan gambaran tingkat tinggi tentang titik-titik koneksi ini. Informasi lebih
lengkap dapat ditemukan diCOBIT®Panduan Desain 2019.
Gambar 8.2—Titik Sambungan AntarPanduan Desain COBITDanPanduan Implementasi COBIT

Panduan Implementasi COBIT Panduan Desain COBIT
Fase 1—Apa saja pengemudinya? (Tugas perbaikan Langkah 1—Memahami konteks dan strategi perusahaan.
berkelanjutan [CI])
Fase 2-Dimana kita sekarang? (Tugas CI) Langkah 2—Menentukan ruang lingkup awal sistem tata
kelola.
Langkah 3—Menyempurnakan ruang lingkup sistem tata
kelola. Langkah 4—Menyimpulkan desain sistem tata kelola.
Fase 3—Kita ingin berada di mana? (Tugas CI) Langkah 4—Menyimpulkan desain sistem tata kelola.
52

BAB 9
MEMULAI DENGAN COBIT: MEMBUAT KASUS
Bab 9
Memulai COBIT: Membuat Kasus
9.1 Kasus Bisnis
Praktik bisnis yang umum mengharuskan penyiapan kasus bisnis untuk menganalisis dan membenarkan permulaan proyek besar dan/atau
investasi keuangan. Contoh ini diberikan sebagai panduan umum yang tidak bersifat preskriptif untuk mendorong persiapan kasus bisnis
guna membenarkan investasi dalam program implementasi EGIT. Setiap perusahaan memiliki alasan tersendiri untuk meningkatkan EGIT
dan pendekatannya sendiri dalam mempersiapkan kasus bisnis. Hal ini dapat berkisar dari pendekatan rinci dengan penekanan pada
manfaat terukur hingga perspektif yang lebih tinggi dan kualitatif. Perusahaan harus mengikuti pendekatan kasus bisnis internal dan
justifikasi investasi yang ada, jika memang ada. Contoh dan panduan dalam publikasi ini disediakan untuk membantu fokus pada isu-isu
yang harus ditangani dalam kasus bisnis.
Contoh skenarionya adalah Acme Corporation, sebuah perusahaan multinasional besar dengan gabungan unit bisnis
tradisional dan mapan serta bisnis baru berbasis Internet yang mengadopsi teknologi terkini. Banyak unit bisnis yang telah
diakuisisi dan berada di berbagai negara dengan lingkungan politik, budaya, dan ekonomi lokal yang berbeda. Tim
manajemen eksekutif grup pusat telah dipengaruhi oleh panduan tata kelola perusahaan terbaru, termasuk COBIT, yang
telah mereka gunakan secara terpusat selama beberapa waktu. Mereka ingin memastikan bahwa ekspansi yang cepat dan
penerapan TI yang canggih akan memberikan nilai yang diharapkan; mereka juga berniat mengelola risiko baru yang
signifikan. Oleh karena itu, mereka telah mengamanatkan penerapan pendekatan EGIT yang seragam di seluruh
perusahaan. Pendekatan ini mencakup keterlibatan fungsi audit dan risiko serta pelaporan tahunan internal oleh
manajemen unit bisnis mengenai kecukupan pengendalian di seluruh entitas.
Meskipun contoh tersebut diambil dari situasi aktual, contoh tersebut tidak mencerminkan perusahaan spesifik yang ada.
9.2 Ringkasan Eksekutif
Kasus bisnis ini menguraikan ruang lingkup program EGIT yang diusulkan untuk Acme Corporation berdasarkan COBIT.
Kasus bisnis yang tepat diperlukan untuk memastikan bahwa dewan direksi Acme Corporation dan unit bisnis menyetujui inisiatif ini
dan mengidentifikasi potensi manfaatnya. Acme Corporation akan memantau kasus bisnis untuk memastikan bahwa manfaat yang
diharapkan dapat terwujud.
Cakupannya, dalam hal entitas bisnis yang membentuk Acme Corporation, bersifat inklusif. Diakui bahwa beberapa bentuk
penentuan prioritas akan diterapkan di seluruh entitas untuk cakupan awal program EGIT karena terbatasnya sumber daya
program.
Berbagai pemangku kepentingan mempunyai kepentingan terhadap hasil program EGIT, mulai dari dewan direksi Acme Corporation
hingga manajemen lokal di setiap entitas, serta pemangku kepentingan eksternal seperti pemegang saham dan lembaga pemerintah.
Pertimbangan perlu diberikan terhadap beberapa tantangan dan risiko signifikan dalam implementasi program EGIT
pada skala global yang diperlukan. Salah satu aspek yang lebih menantang adalah sifat kewirausahaan dari banyak
bisnis Internet, serta model bisnis terdesentralisasi atau terfederasi yang ada dalam Acme Corporation.
Program EGIT akan dicapai dengan berfokus pada kemampuan proses Acme dan komponen lain dari sistem tata kelola
terkait dengan yang didefinisikan dalam COBIT, relevan untuk setiap unit bisnis. Tujuan tata kelola dan pengelolaan yang
relevan dan diprioritaskan yang akan mendapat fokus di setiap entitas akan diidentifikasi melalui a
53
pendekatan lokakarya yang difasilitasi oleh anggota program EGIT. Sasarannya akan dimulai dengan strategi dan sasaran
perusahaan masing-masing unit, serta skenario risiko bisnis terkait TI yang berlaku pada unit bisnis tertentu.
Tujuan dari program EGIT adalah untuk memastikan bahwa sistem tata kelola yang memadai, termasuk struktur tata kelola, tersedia dan
untuk meningkatkan tingkat kemampuan dan kecukupan proses TI yang relevan. Harapannya adalah seiring dengan meningkatnya
kemampuan proses TI, efisiensi dan kualitasnya juga akan meningkat. Pada saat yang sama, risiko terkait akan menurun secara
proporsional. Dengan cara ini, manfaat bisnis yang nyata dapat diwujudkan oleh masing-masing unit bisnis.
Setelah proses penilaian tingkat kemampuan dalam setiap unit bisnis telah ditetapkan, penilaian mandiri (self-assessment)
diperkirakan akan dilanjutkan dalam setiap unit bisnis seperti praktik bisnis normal.
Program EGIT akan dilaksanakan dalam dua tahap berbeda. Fase pertama adalah fase pengembangan, di mana tim akan
mengembangkan dan menguji pendekatan dan perangkat yang akan digunakan di seluruh Acme Corporation. Pada akhir fase
1, hasilnya akan dipresentasikan kepada manajemen kelompok untuk persetujuan akhir. Setelah persetujuan akhir diperoleh,
dalam bentuk kasus bisnis yang disetujui, program EGIT akan diluncurkan ke seluruh entitas dengan cara yang disepakati
(implementasi, tahap 2).
Perlu dicatat bahwa program EGIT tidak bertanggung jawab untuk menerapkan tindakan perbaikan yang diidentifikasi di setiap unit
bisnis. Program EGIT hanya akan mengkonsolidasikan dan melaporkan kemajuan yang diberikan oleh masing-masing unit.
Tantangan terakhir yang perlu dipenuhi oleh program EGIT adalah melaporkan hasil-hasilnya secara berkelanjutan di
masa depan. Aspek ini akan memerlukan waktu dan sejumlah besar diskusi dan pengembangan. Diskusi dan
pengembangan ini harus menghasilkan peningkatan terhadap mekanisme pelaporan dan scorecard perusahaan yang
ada.
Anggaran awal untuk tahap pengembangan program EGIT telah disiapkan. Anggaran tersebut dirinci dalam jadwal
tersendiri. Anggaran rinci juga akan diselesaikan untuk tahap 2 proyek dan diserahkan untuk disetujui oleh manajemen
kelompok.
9.3 Latar Belakang
EGIT merupakan bagian integral dari tata kelola perusahaan secara keseluruhan dan berfokus pada kinerja TI dan pengelolaan risiko
yang disebabkan oleh ketergantungan perusahaan pada TI.
TI diintegrasikan ke dalam operasi bisnis Acme Corporation. Bagi banyak orang, Internet adalah inti dari operasi mereka.
Oleh karena itu, EGIT mengikuti struktur manajemen grup: format terdesentralisasi. Manajemen setiap anak perusahaan/
unit bisnis bertanggung jawab untuk memastikan bahwa proses yang tepat diterapkan sesuai dengan EGIT.
Setiap tahun, manajemen setiap anak perusahaan penting diwajibkan untuk menyerahkan laporan tertulis formal kepada
komite risiko yang sesuai, yang merupakan bagian dari dewan direksi. Laporan ini akan merinci sejauh mana kebijakan
EGIT telah diterapkan selama tahun keuangan. Pengecualian yang signifikan harus dilaporkan pada setiap pertemuan
komite risiko yang dijadwalkan.
Dewan direksi, dibantu oleh komite risiko dan audit, akan memastikan bahwa kinerja EGIT grup dinilai, dipantau, dilaporkan dan
diungkapkan dalam pernyataan EGIT sebagai bagian dari laporan tahunan terintegrasi perusahaan. Pernyataan tersebut akan
didasarkan pada laporan yang diperoleh dari tim risiko, kepatuhan dan audit internal serta manajemen setiap anak perusahaan
penting. Hal ini akan memberikan informasi yang relevan dan dapat diandalkan kepada pemangku kepentingan internal dan
eksternal mengenai kualitas kinerja EGIT grup.
Jasa audit internal akan memberikan jaminan kepada manajemen dan komite audit atas kecukupan
dan efektivitas EGIT.
54

BAB 9
Risiko bisnis terkait TI akan dilaporkan dan didiskusikan sebagai bagian dari proses manajemen risiko dalam daftar risiko yang
disampaikan kepada komite risiko terkait.
9.4 Tantangan Bisnis
Karena sifat TI yang tersebar luas dan laju perubahan teknologi, diperlukan kerangka kerja yang andal untuk mengendalikan seluruh lingkungan TI secara
memadai dan menghindari kesenjangan pengendalian yang dapat membuat perusahaan menghadapi risiko yang tidak dapat diterima.
Tujuannya adalah untuk tidak menghambat operasional TI dari berbagai entitas operasi. Sebaliknya, hal ini bertujuan untuk
meningkatkan profil risiko entitas dengan cara yang masuk akal secara bisnis dan memberikan peningkatan kualitas layanan dan
efisiensi, sekaligus secara eksplisit mencapai kepatuhan tidak hanya terhadap piagam EGIT grup Acme Corporation, tetapi juga
terhadap peraturan perundang-undangan lainnya. dan/atau persyaratan kontrak.
Beberapa contoh kemungkinan titik nyeri meliputi:25 1
-Upaya jaminan TI yang rumit karena sifat kewirausahaan di banyak unit bisnis
- Model operasi TI yang kompleks karena model bisnis berbasis layanan Internet yang digunakan
-Entitas yang tersebar secara geografis terdiri dari beragam budaya dan bahasa
-Model pengendalian bisnis yang terdesentralisasi/federasi dan sebagian besar otonom diterapkan dalam kelompok
-Penerapan manajemen TI pada tingkat yang wajar, mengingat tenaga kerja TI yang sangat teknis dan terkadang mudah
berubah
-Keseimbangan TI antara dorongan perusahaan untuk kemampuan inovasi dan ketangkasan bisnis dengan kebutuhan untuk mengelola risiko dan
memiliki kendali yang memadai
-Penetapan tingkat risiko dan toleransi pada masing-masing unit bisnis
- Meningkatnya kebutuhan untuk fokus pada pemenuhan persyaratan kepatuhan peraturan (privasi) dan kontrak (Industri
Kartu Pembayaran [PCI])
-Temuan audit rutin tentang kontrol TI yang buruk dan masalah yang dilaporkan terkait dengan kualitas layanan TI
-Pengiriman layanan baru dan inovatif yang sukses dan tepat waktu di pasar yang sangat kompetitif
9.4.1 Analisis Kesenjangan dan Tujuan
Saat ini tidak ada pendekatan atau kerangka kerja grup untuk EGIT atau penggunaan praktik dan standar TI yang baik. Di
antara unit bisnis lokal, terdapat berbagai tingkat penerapan praktik baik terkait EGIT. Akibatnya, sangat sedikit perhatian
yang diberikan pada tingkat kemampuan proses TI. Berdasarkan pengalaman, kadarnya umumnya rendah.
Oleh karena itu, tujuan program EGIT adalah untuk meningkatkan tingkat kemampuan dan kecukupan proses dan pengendalian
terkait TI yang sesuai untuk setiap unit bisnis, dengan cara yang diprioritaskan.
Hasilnya adalah risiko signifikan telah diidentifikasi dan diartikulasikan, dan manajemen dapat mengatasi risiko tersebut dan
melaporkan statusnya. Ketika tingkat kemampuan masing-masing unit bisnis meningkat, kualitas dan efisiensi juga harus
meningkat secara proporsional dan profil risiko bisnis terkait TI dari setiap entitas harus menurun.
Pada akhirnya, nilai bisnis akan meningkat sebagai hasil dari EGIT yang efektif.26 2
25
1
Pencacahan ini merupakan bagian dari bagian 4.5 (Faktor Desain) dan juga dibahas dalam bagianCOBIT®Panduan Implementasi 2019.
26
2
Penelitian empiris ada untuk mendukung pernyataan tersebut. Misalnya, lihatop citDe Haes, Joshi dan van Grembergen.
55
9.4.2 Alternatif yang Dipertimbangkan
Banyak kerangka TI yang ada, masing-masing dimaksudkan untuk mengendalikan aspek TI tertentu. Kerangka COBIT dianggap oleh
banyak orang sebagai kerangka EGIT dan kontrol terkemuka di dunia. Hal ini telah diterapkan oleh beberapa anak perusahaan Acme
Corporation.
COBIT dipilih oleh Acme sebagai kerangka pilihan untuk implementasi EGIT dan oleh karena itu, harus diadopsi oleh semua anak
perusahaan.
COBIT tidak harus diimplementasikan secara keseluruhan; hanya bidang-bidang yang relevan dengan anak perusahaan atau unit bisnis
tertentu yang perlu dilaksanakan, dengan mempertimbangkan hal-hal berikut:
1.Tahapan perkembangan setiap entitas dalam siklus hidup bisnis

2.Tujuan bisnis setiap entitas
3.Pentingnya TI bagi unit bisnis
4.Risiko bisnis terkait TI yang dihadapi oleh setiap entitas
5.Persyaratan hukum dan kontrak

6.Alasan lain yang relevan
Jika anak perusahaan atau unit bisnis tertentu telah menerapkan kerangka kerja lain, atau penerapannya direncanakan di masa
depan, penerapan tersebut harus dipetakan ke COBIT untuk alasan pelaporan, audit, dan kejelasan pengendalian internal.
9.5 Usulan Solusi
Program EGIT direncanakan dalam dua fase berbeda.
9.5.1 Fase 1. Pra-perencanaan
Fase 1 dari program EGIT adalah tahap pengembangan. Pada tahap program ini, langkah-langkah berikut
dilakukan:
1.Struktur tim inti diselesaikan di antara para pemangku kepentingan dan peserta proyek.
2.Tim inti menyelesaikan pelatihan dasar COBIT.
3.Lokakarya dengan tim inti dilakukan untuk menentukan pendekatan kelompok.
4.Komunitas online dibuat dalam Acme Corporation untuk bertindak sebagai gudang berbagi pengetahuan.
5.Semua pemangku kepentingan dan kebutuhan mereka diidentifikasi.
6.Struktur komite, peran dan tanggung jawab, aturan pengambilan keputusan, dan pengaturan pelaporan saat ini diperjelas dan disesuaikan
kembali, jika diperlukan.
7.Kasus bisnis untuk program EGIT dikembangkan dan dipelihara, sebagai landasan keberhasilan
implementasi program.
8.Rencana komunikasi dibuat untuk memandu prinsip, kebijakan, dan manfaat yang diharapkan sepanjang program.
9.Alat penilaian dan pelaporan untuk digunakan selama masa program dan seterusnya dikembangkan.
10.Pendekatan ini diuji pada satu entitas lokal. Kegiatan ini untuk kemudahan logistik dan untuk memfasilitasi penyempurnaan
pendekatan dan alat.
11.Pendekatan yang lebih baik ini diujicobakan di salah satu entitas asing. Hal ini untuk memahami dan mengukur
kesulitan menjalankan fase penilaian program EGIT dalam kondisi bisnis yang lebih menantang.
56

BAB 9
12.Kasus dan pendekatan bisnis akhir disajikan, termasuk rencana penerapannya kepada manajemen eksekutif Acme Corporation untuk
mendapatkan persetujuan.
9.5.2 Tahap 2. Implementasi Program
Program EGIT dirancang untuk memulai program perbaikan berkelanjutan yang berkelanjutan, berdasarkan siklus hidup berulang yang
difasilitasi dengan mengikuti langkah-langkah berikut:
1.Menentukan pendorong untuk meningkatkan EGIT, baik dari perspektif grup Acme Corporation maupun di
tingkat unit bisnis.
2.Tentukan status EGIT saat ini.
3.Tentukan keadaan EGIT yang diinginkan (baik jangka pendek maupun jangka panjang).
4.Menentukan apa yang perlu diterapkan di tingkat unit bisnis untuk mencapai tujuan bisnis lokal, dan dengan demikian
menyelaraskan dengan harapan kelompok.
5.Melaksanakan proyek perbaikan yang diidentifikasi dan disepakati di tingkat unit bisnis lokal.
6.Sadarilah dan pantau manfaatnya.
7.Pertahankan cara kerja baru dengan menjaga momentum tetap berjalan.
9.5.3 Ruang Lingkup Program
Program EGIT akan mencakup:
1.Semua entitas grup. Namun, entitas akan diprioritaskan untuk berinteraksi karena keterbatasan sumber daya
program.
2.Metode penentuan prioritas. Hal ini perlu disetujui oleh manajemen Acme Corporation, namun dapat dilakukan
atas dasar berikut:
A.Ukuran investasi
B.Penghasilan/kontribusi kepada grup
C.Profil risiko dari perspektif kelompok
D.Kombinasi dari kriteria ini
3.Daftar entitas yang akan dicakup selama tahun keuangan berjalan. Hal ini harus diselesaikan dan disetujui oleh
manajemen Acme Corporation.
9.5.4 Metodologi dan Penyelarasan Program
Program EGIT akan mencapai mandatnya dengan menggunakan pendekatan lokakarya interaktif yang difasilitasi dengan seluruh entitas.
Pendekatan ini dimulai dengan tujuan bisnis dan pemilik tujuan, biasanya CEO dan chief financial officer
(CFO). Pendekatan ini harus memastikan bahwa hasil program selaras dengan hasil dan prioritas bisnis yang
diharapkan.
Setelah tujuan bisnis tercapai, fokusnya beralih ke operasi TI, biasanya di bawah kendali chief technology
officer (CTO) atau chief information officer (CIO). Pada tingkat operasi TI, rincian lebih lanjut mengenai risiko
dan tujuan bisnis terkait TI dipertimbangkan.
57
Tujuan bisnis dan TI, serta risiko bisnis terkait TI, kemudian digabungkan dalam sebuah alat (berdasarkan panduan COBIT)
yang akan memberikan serangkaian area fokus dalam proses COBIT untuk dipertimbangkan oleh unit bisnis. Dengan cara
ini, unit bisnis dapat memprioritaskan upaya remediasinya untuk mengatasi area risiko TI.
9.5.5 Hasil Program
Seperti disebutkan sebelumnya, tujuan keseluruhan program EGIT adalah untuk menanamkan praktik baik EGIT ke
dalam kelanjutan operasi berbagai entitas grup.
Hasil spesifik akan dihasilkan oleh program EGIT untuk memungkinkan Acme Corporation mengukur penyampaian hasil
yang diharapkan. Ini termasuk yang berikut:
1.Program EGIT akan memfasilitasi pertukaran pengetahuan internal melalui platform intranet dan memanfaatkan
hubungan yang ada dengan vendor untuk keuntungan masing-masing unit bisnis.
2.Laporan rinci mengenai setiap fasilitasi dengan unit bisnis akan dibuat yang berasal dari alat penilaian program
EGIT. Laporan tersebut akan mencakup:
A.Tujuan bisnis yang diprioritaskan saat ini, dan tujuan TI yang diakibatkannya, berdasarkan COBIT
B.Risiko terkait TI yang diidentifikasi oleh unit bisnis dalam format standar, dan area fokus yang disepakati untuk
diperhatikan oleh unit bisnis berdasarkan proses dan praktik COBIT serta komponen lain yang direkomendasikan
3.Laporan kemajuan keseluruhan mengenai cakupan unit bisnis Acme Corporation yang diharapkan oleh program EGIT
akan dibuat.
4.Pelaporan grup konsolidasi akan mencakup:
A.Kemajuan dari unit bisnis yang terlibat dengan proyek implementasi yang disepakati berdasarkan pemantauan metrik
kinerja yang disepakati
B.Pandangan risiko TI yang terkonsolidasi di seluruh entitas Acme Corporation
C.Persyaratan khusus dari komite risiko

5.Pelaporan keuangan mengenai anggaran program vs. jumlah aktual yang dibelanjakan akan dihasilkan.
6.Pemantauan dan pelaporan manfaat berdasarkan tujuan dan metrik nilai yang ditentukan unit bisnis akan dibuat.
9.5.6 Risiko Program
Berikut ini adalah jenis-jenis risiko potensial terhadap keberhasilan inisiasi dan keberhasilan berkelanjutan dari program EGIT Acme
Corporation. Risiko akan dimitigasi dengan berfokus pada pemberdayaan perubahan dan akan dipantau dan ditangani secara terus
menerus melalui tinjauan program dan pencatatan risiko. Jenis risiko tersebut adalah:
1.Komitmen dan dukungan manajemen terhadap program ini, baik di tingkat kelompok maupun di tingkat unit usaha
lokal
2.Mendemonstrasikan penyampaian nilai dan manfaat aktual bagi setiap entitas lokal melalui penerapan program. Entitas lokal harus mau
mengadopsi proses tersebut demi mendapatkan nilai yang akan dihasilkannya, dibandingkan melakukannya karena adanya kebijakan yang
ada.
3.Partisipasi aktif pengurus daerah dalam pelaksanaan program

4.Mengidentifikasi pemangku kepentingan utama di setiap entitas untuk berpartisipasi dalam program
5.Wawasan bisnis dalam jajaran manajemen TI

6.Integrasi yang berhasil dengan inisiatif tata kelola atau kepatuhan apa pun yang ada dalam grup
7.Struktur komite yang tepat untuk mengawasi program. Misalnya, kemajuan program EGIT secara
keseluruhan dapat menjadi agenda komite eksekutif TI. Persamaan lokal juga perlu dibentuk.
Hal ini dapat direplikasi secara geografis, serta di tingkat perusahaan induk lokal, jika diperlukan.
58

BAB 9
9.5.7 Pemangku Kepentingan
Berikut ini telah diidentifikasi sebagai pemangku kepentingan dalam hasil program EGIT:
1.Komite Risiko
2.komite eksekutif TI
3.tim tata kelola
4.Staf kepatuhan
5.Manajemen wilayah
6.Manajemen eksekutif tingkat entitas lokal (termasuk manajemen TI)
7.Layanan audit internal
Struktur akhir yang berisi nama individu pemangku kepentingan akan disusun dan dipublikasikan setelah berkonsultasi dengan
manajemen kelompok.
Program EGIT memerlukan pemangku kepentingan yang teridentifikasi untuk menyediakan hal-hal berikut:
1.Panduan mengenai arah keseluruhan program EGIT. Hal ini mencakup keputusan mengenai topik-topik penting terkait tata kelola yang
ditentukan dalam bagan grup RACI sesuai dengan panduan COBIT. Hal ini lebih lanjut mencakup penetapan prioritas, menyepakati
pendanaan, dan menyetujui tujuan nilai.
2.Penerimaan hasil dan pemantauan manfaat yang diharapkan dari program EGIT
9.5.8 Analisis Biaya-Manfaat
Program ini harus mengidentifikasi manfaat yang diharapkan dan memantau untuk memastikan bahwa nilai bisnis nyata dihasilkan dari investasi
tersebut. Manajemen lokal harus memotivasi dan mempertahankan program ini. EGIT yang baik harus menghasilkan manfaat yang akan ditetapkan
sebagai target spesifik untuk setiap unit bisnis dan dipantau serta diukur selama implementasi untuk memastikan bahwa manfaat tersebut
terealisasi. Manfaatnya antara lain:
1.Memaksimalkan realisasi peluang bisnis melalui TI, sekaligus memitigasi risiko bisnis terkait TI ke tingkat yang dapat diterima,
sehingga memastikan bahwa risiko dipertimbangkan secara bertanggung jawab terhadap peluang dalam semua inisiatif bisnis
2.Mendukung tujuan bisnis melalui investasi utama dan pengembalian optimal atas investasi tersebut, sehingga menyelaraskan
inisiatif dan tujuan TI secara langsung dengan strategi bisnis
3.Kepatuhan legislatif, peraturan dan kontrak serta kebijakan internal dan kepatuhan prosedural
4.Pendekatan yang konsisten untuk mengukur dan memantau kemajuan, efisiensi dan efektivitas
5.Peningkatan kualitas pemberian layanan
6.Menurunkan biaya operasional TI dan/atau meningkatkan produktivitas TI dengan menyelesaikan lebih banyak pekerjaan secara konsisten dalam waktu lebih
sedikit dan sumber daya lebih sedikit
Biaya utama akan mencakup waktu yang diperlukan untuk pengelolaan program kelompok, sumber daya penasihat eksternal, dan kursus
pelatihan awal. Biaya-biaya sentral ini telah diperkirakan untuk tahap 1. Biaya lokakarya penilaian untuk masing-masing manajemen unit
bisnis dan pemilik proses (kehadiran, tempat, fasilitator, dan biaya terkait lainnya) akan didanai secara lokal dan perkiraannya akan
diberikan. Inisiatif perbaikan proyek yang spesifik untuk setiap unit bisnis akan diperkirakan pada tahap 2 dan dipertimbangkan
berdasarkan kasus per kasus dan secara keseluruhan. Hal ini akan memungkinkan kelompok untuk memaksimalkan efisiensi dan
standardisasi.
59
9.5.9 Tantangan dan Faktor Keberhasilan
Gambar 9.1merangkum tantangan-tantangan yang dapat mempengaruhi program EGIT selama periode implementasi program
dan faktor-faktor penentu keberhasilan yang harus diatasi untuk memastikan hasil yang sukses.
Gambar 9.1—Tantangan dan Rencana Tindakan untuk Acme Corporation

Tantangan Faktor Kritis Keberhasilan—Tindakan yang Direncanakan
Ketidakmampuan untuk mendapatkan dan -Melakukan mitigasi melalui struktur komite dalam kelompok (untuk disepakati
mempertahankan dukungan untuk tujuan perbaikan dan dibentuk).
Kesenjangan komunikasi antara TI dan -Libatkan seluruh pemangku kepentingan.
bisnis
Biaya perbaikan melebihi manfaat yang -Fokus pada identifikasi manfaat.
dirasakan
Kurangnya kepercayaan dan hubungan baik antara TI -Menumbuhkan komunikasi yang terbuka dan transparan mengenai kinerja, dengan
dan perusahaan kaitannya dengan manajemen kinerja perusahaan.
-Fokus pada antarmuka bisnis dan mentalitas layanan.
-Publikasikanhasil positif dan pembelajaran untuk membantu membangun dan
menjaga kredibilitas.
-Pastikan CIO menjaga kredibilitas dan kepemimpinan dalam membangun kepercayaan
dan hubungan.
-Formalisasikan peran dan tanggung jawab tata kelola dalam bisnis sehingga
akuntabilitas keputusan menjadi jelas.
-Identifikasi dan komunikasikan bukti permasalahan nyata, risiko yang perlu
dihindari dan manfaat yang dapat diperoleh (dalam istilah bisnis) terkait dengan
usulan perbaikan.
-Fokus pada perencanaan pemberdayaan perubahan.
Kurangnya pemahaman tentang lingkungan Acme oleh -Terapkan metodologi penilaian yang konsisten.
mereka yang bertanggung jawab atas program EGIT
Berbagai tingkat kompleksitas (teknis, -Perlakukanentitas berdasarkan kasus per kasus. Manfaatkan
organisasi, model operasi) pembelajaran dan berbagi pengetahuan.
Pemahaman tentang kerangka kerja, prosedur dan -Melatih dan membimbing.
praktik EGIT
Bertahan untuk tidak berubah -Pastikan
bahwa implementasi siklus hidup juga mencakup aktivitas
pemberdayaan perubahan.
Adopsi perbaikan -Aktifkan pemberdayaan lokal di tingkat entitas.
Kesulitan dalam mengintegrasikan EGIT dengan -Melibatkan pemasok/pihak ketiga dalam aktivitas EGIT.
model tata kelola mitra outsourcing -Memasukkan kondisi dan hak untuk mengaudit dalam kontrak.
Kegagalan untuk mewujudkan komitmen -Kelola ekspektasi.

implementasi EGIT -Tetap sederhana, realistis dan praktis.
-Bagikeseluruhan proyek menjadi proyek-proyek kecil yang dapat dicapai, bangun
pengalaman dan manfaat.
Mencoba melakukan terlalu banyak hal sekaligus; TI menangani -Menerapkan prinsip-prinsip manajemen program dan proyek.
masalah yang terlalu rumit dan/atau sulit -Gunakan pencapaian.
-Prioritaskan tugas 80/20 (80 persen manfaat dan 20 persen upaya) dan berhati-
hatilah dalam mengurutkan dalam urutan yang benar. Manfaatkan
kemenangan cepat.
-Membangun kepercayaan/keyakinan. Memiliki keterampilan dan pengalaman untuk membuatnya tetap sederhana
dan praktis.
-Gunakan kembali apa yang ada sebagai alas.
IT dalam mode pemadaman kebakaran dan/atau tidak -Terapkan keterampilan kepemimpinan yang baik.
memprioritaskan dengan baik dan tidak dapat fokus pada EGIT -Dapatkan komitmen dan dorongan dari manajemen puncak sehingga orang-
orang bersedia untuk fokus pada EGIT.
-Mengatasi akar permasalahan di lingkungan operasional (intervensi
eksternal, manajemen memprioritaskan TI).
-Menerapkan disiplin/manajemen permintaan bisnis yang lebih ketat.
-Dapatkan bantuan eksternal.
60

BAB 9
Gambar 9.1—Tantangan dan Rencana Tindakan untuk Acme Corporation(lanjutan)

Tantangan Faktor Kritis Keberhasilan—Tindakan yang Direncanakan
Tidak adanya keterampilan dan kompetensi TI -Fokus pada perencanaan pemberdayaan perubahan:
yang dibutuhkan, seperti pemahaman bisnis, -Perkembangan
proses, soft skill -Pelatihan
-Pelatihan
-Pendampingan
-Umpan balik ke dalam proses rekrutmen

-Pelatihan silang
Perbaikan tidak diadopsi atau diterapkan -Gunakan pendekatan kasus per kasus dengan prinsip-prinsip yang disepakati oleh
entitas lokal. Penerapannya harus praktis.
Manfaatnya sulit ditunjukkan atau dibuktikan -Identifikasi metrik kinerja.
Hilangnya minat dan momentum -Bangun komitmen tingkat kelompok, termasuk komunikasi.
61
62

BAB 10
COBIT DAN STANDAR LAINNYA
Bab 10
COBIT dan Standar Lainnya
10.1 Prinsip Panduan
Salah satu prinsip panduan yang diterapkan sepanjang pengembangan COBIT®Tahun 2019 adalah untuk mempertahankan
posisi COBIT sebagai kerangka kerja payung. Ini berarti COBIT terus menyelaraskan dengan sejumlah standar, kerangka kerja
dan/atau peraturan yang relevan.
Dalam konteks ini, penyelarasan berarti COBIT tidak bertentangan dengan pedoman apa pun dalam standar terkait. Pada saat
yang sama, penting untuk diingat bahwa COBIT tidak menyalin isi standar terkait. Sebaliknya, panduan ini biasanya memberikan
pernyataan atau referensi yang setara dengan panduan terkait.
10.2 Daftar Standar yang Direferensikan
Standar dan panduan yang digunakan selama pengembangan COBIT®pembaruan 2019 meliputi:
-CIS®Pusat Keamanan Internet®,Kontrol Keamanan Penting CIS untuk Pertahanan Siber yang Efektif,Versi 6.1, Agustus
2016
-Standar cloud dan praktik yang baik:
-Layanan Web Amazon (AWS®)
- Pertimbangan Keamanan untuk Cloud Computing, ISACA
-Kontrol dan Jaminan di Cloud: Menggunakan COBIT®5, ISACA
-CMMI®Platform Kematangan Siber, 2018
-CMMI®Kematangan Manajemen Data (DMM)SMteladan, 2014
-CMMI®Pengembangan V2.0, CMMI Institute, AS, 2018
-Kerangka Kerja Manajemen Risiko Perusahaan (ERM) Komite Organisasi Sponsor (COSO), Juni 2017
-Komite Standardisasi Eropa (CEN),e-Competence Framework (e-CF) - Kerangka Kerja Umum Eropa untuk
Profesional ICT di semua sektor industri - Bagian 1: Kerangka Kerja, EN 16234-1:2016
-HITRUST®Kerangka Keamanan Umum, versi 9, September 2017
-Forum Keamanan Informasi (ISF),Standar Praktik yang Baik untuk Keamanan Informasi 2016
-Standar Organisasi Internasional untuk Standardisasi / Komisi Elektroteknik Internasional (ISO/IEC).
-ISO/IEC 20000-1:2011(E)
-ISO/IEC 27001:2013/Kor.2:2015(E)
-ISO/IEC 27002:2013/Kor.2:2015(E)
-ISO/IEC 27004:2016(E)
-ISO/IEC 27005:2011(E)
-ISO/IEC 38500:2015(E)
-ISO/IEC 38502:2017(E)
-Perpustakaan Infrastruktur Teknologi Informasi (ITIL®) v3, 2011
-Institut Auditor Internal®(IIA®), “Prinsip Inti Praktik Profesional Audit Internal”
-Laporan Raja IV tentang Tata Kelola Perusahaan™, 2016
63
-Standar Institut Standar dan Teknologi Nasional AS (NIST):

- Kerangka untuk Meningkatkan Keamanan Siber Infrastruktur KritisV1.1, April 2018
-Publikasi Khusus 800-37, Revisi 2 (Draf), Mei 2018
-Publikasi Khusus 800-53, Revisi 5 (Draf), Agustus 2017
-“Pilihan Transformasi Fungsi TI Menggunakan Bimodal IT,”Eksekutif Triwulanan MIS(kertas putih)
-Panduan Badan Pengetahuan Manajemen Proyek: PMBOK®Panduan, Edisi Keenam, 2017
-PROSCI®Proses Manajemen Perubahan 3 Fase
Kerangka Kerja Agile Berskala untuk Perusahaan Lean (SAFe®)
-
-Kerangka Keterampilan untuk Era Informasi (SFIA®) V6, 2015

-Arsitektur Referensi Open Group IT4IT™, versi 2.0
-TOGAF Standar Grup Terbuka®versi 9.2, 2018
-Taksonomi TBM, Dewan TBM
64

COBIT 2019 Framework Introduction and Methodology Res Eng 1118.en - Id

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

COBIT 2019 Framework Introduction and Methodology Res Eng 1118.en - Id

Diunggah oleh

Hak Cipta:

Format Tersedia

Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.

Salinan Pribadi: Dr. David Lanter

Berpartisipasi dalam Forum Online ISACA:https://engage.isaca.org/onlineforums

COBIT®Kerangka Kerja 2019: Pendahuluan dan Metodologi

Salinan Pribadi: Dr. David Lanter

Dalam Memori: John Lainhart (1946-2018)

Halaman sengaja dikosongkan

Salinan Pribadi: Dr. David Lanter

Ucapan Terima Kasih

Kelompok Kerja COBIT (2017-2018)

Ucapan Terima Kasih(lanjutan)

Dewan Direksi ISACA

Salinan Pribadi: Dr. David Lanter

Bab 1 PENDAHULUAN................................................. ................................................. ......................11

Bab 2. Audiens yang Dituju................................................. ................................................. ....15

Bab 3. Prinsip COBIT................................................. ................................................. .........17

Bab 4. Konsep Dasar : Sistem dan Komponen Tata Kelola.........19

Bab 5. Tujuan Tata Kelola dan Manajemen COBIT................................33

Bab 6. Manajemen Kinerja di COBIT................................................. .......37

Bab 7. Merancang Sistem Tata Kelola yang Disesuaikan................................................45

Bab 8. Penerapan Tata Kelola TI Perusahaan................................................49

Salinan Pribadi: Dr. David Lanter

Bab 9. Memulai COBIT: Membuat Kasus...................................53

Bab 10. COBIT dan Standar Lainnya................................................. ........................63

Salinan Pribadi: Dr. David Lanter

Bab 2. Audiens yang Dituju

Bab 3. Prinsip COBIT

Bab 4. Konsep Dasar : Sistem dan Komponen Tata Kelola

Bab 5. Tujuan Tata Kelola dan Manajemen COBIT

Bab 6. Manajemen Kinerja di COBIT

Bab 7. Merancang Sistem Tata Kelola yang Disesuaikan

Bab 8. Penerapan Tata Kelola TI Perusahaan

Bab 9. Memulai COBIT: Membuat Kasus

Halaman sengaja dikosongkan

Salinan Pribadi: Dr. David Lanter

1.1 Tata Kelola Perusahaan Informasi dan Teknologi

Gambar 1.1—Konteks Tata Kelola Perusahaan di bidang Informasi dan Teknologi

Perusahaan Bisnis/TI Nilai

1.2 Manfaat Tata Kelola Informasi dan Teknologi

1.3 COBIT sebagai Kerangka Tata Kelola I&T

Penerbitan, Swiss, edisi ke-2. 2015,https://www.springer.com/us/book/9783319145464

Salinan Pribadi: Dr. David Lanter

1.3.1 Apa itu COBIT dan Apa yang Bukan?

-Tata Kelolamemastikan bahwa:

-Arah ditentukan melalui penentuan prioritas dan pengambilan keputusan.

Beberapa kesalahpahaman tentang COBIT harus dihilangkan:

-COBIT bukanlah gambaran lengkap tentang keseluruhan lingkungan TI suatu perusahaan.

-COBIT bukanlah kerangka kerja untuk mengatur proses bisnis.

-COBIT bukanlah kerangka teknis (IT-) untuk mengelola semua teknologi.

1.4 Struktur Publikasi Ini

Sisa dari publikasi ini berisi bab-bab berikut:

Salinan Pribadi: Dr. David Lanter

2.1 Tata Kelola Pemangku Kepentingan

Gambar 2.1—Pemangku Kepentingan COBIT

Pemangku kepentingan Manfaat COBIT

Penyedia Jaminan Membantu mengelola ketergantungan pada penyedia layanan eksternal,

Halaman sengaja dikosongkan

Salinan Pribadi: Dr. David Lanter

COBIT®2019 dikembangkan berdasarkan dua prinsip:

3.2 Enam Prinsip Sistem Tata Kelola

Enam prinsip sistem tata kelola adalah (gambar 3.1):

Gambar 3.1—Prinsip Sistem Tata Kelola

4. Tata Kelola 5. Disesuaikan dengan 6. Ujung ke Ujung