COBIT-2019 - Framework-Introduction-and-Methodology - Res - Eng - 1118

Machine Translated by Google
KERANGKA
Pendahuluan dan
Metodologi
Salinan Pribadi: Dr. David Lanter

KERANGKA COBIT® 2019: PENDAHULUAN & METODOLOGI
Tentang ISACA
Mendekati usianya yang ke-50, ISACA® (isaca.org) adalah asosiasi global yang membantu individu dan perusahaan mencapai potensi
positif dari teknologi. Teknologi memberdayakan dunia saat ini dan ISACA membekali para profesional dengan pengetahuan,
kredensial, pendidikan, dan komunitas untuk memajukan karir mereka dan mentransformasikan organisasi mereka. ISACA memanfaatkan
keahlian setengah juta profesionalnya yang terlibat di bidang keamanan informasi dan cyber, tata kelola, jaminan, risiko dan inovasi,
serta anak perusahaannya yang bergerak di bidang kinerja perusahaan, CMMI® Institute, untuk membantu memajukan inovasi melalui
teknologi. ISACA hadir di lebih dari 188 negara, termasuk lebih dari 217 cabang dan kantor di Amerika Serikat dan Tiongkok.
Penafian
ISACA telah merancang dan menciptakan Kerangka COBIT® 2019: Pengantar dan Metodologi (“Pekerjaan”) terutama sebagai sumber daya
pendidikan bagi para profesional tata kelola informasi dan teknologi (EGIT), jaminan, risiko dan keamanan perusahaan. ISACA tidak
mengklaim bahwa penggunaan Karya apa pun akan menjamin keberhasilan hasil. Pekerjaan tidak boleh dianggap mencakup semua
informasi, prosedur dan pengujian yang tepat atau eksklusif terhadap informasi, prosedur dan pengujian lainnya yang secara wajar
diarahkan untuk memperoleh hasil yang sama. Dalam menentukan kelayakan suatu informasi, prosedur atau pengujian tertentu,
profesional tata kelola informasi dan teknologi perusahaan (EGIT), jaminan, risiko dan keamanan harus menerapkan pertimbangan
profesional mereka sendiri terhadap keadaan spesifik yang ditimbulkan oleh sistem atau lingkungan teknologi informasi tertentu.
Hak Cipta ©
2018 ISACA. Seluruh hak cipta. Untuk pedoman penggunaan, lihat www.isaca.org/ COBITuse.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Telepon: +1.847.660.5505
Faks: +1.847.253.1755
Hubungi kami: https://support.isaca.org Situs
web: www.isaca.org
Berpartisipasilah dalam Forum Online ISACA: https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews LinkedIn:

http://linkd.in/ISACAOfficial Facebook:
www.facebook.com/ISACAHQ Instagram:
www.instagram.com/isacanews/
Kerangka COBIT® 2019: Pendahuluan dan Metodologi

ISBN 978-1-60420-763-7

DALAM MEMORI: JOHN LAINHART (1946-2018)
Dalam Memori: John Lainhart (1946-2018)
Didedikasikan untuk John Lainhart, ketua Dewan ISACA 1984-1985. John berperan penting dalam pembuatan
kerangka COBIT® dan terakhir menjabat sebagai ketua kelompok kerja COBIT® 2019, yang berpuncak pada
pembuatan karya ini. Selama empat dekade bersama ISACA, John terlibat dalam berbagai aspek asosiasi serta
memegang sertifikasi CISA, CRISC, CISM dan CGEIT dari ISACA. John meninggalkan warisan pribadi dan
profesional yang luar biasa, dan usahanya berdampak signifikan pada ISACA.

Halaman sengaja dikosongkan

UCAPAN TERIMA KASIH
Ucapan Terima Kasih

ISACA ingin mengakui:
Kelompok Kerja COBIT (2017-2018)

John Lainhart, Ketua, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, AS
Matt Conboy, Cigna, AS
Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (pensiun), Kanada
Tim Pengembangan
Steven De Haes, Ph.D., Antwerp Management School, Universitas Antwerp, Belgia Matthias
Goorden, PwC, Belgia Stefanie
Grijp, PwC, Belgia Bart Peeters,
PwC, Belgia Geert Poels,
Ph.D., Ghent University, Belgia Dirk Steuperaert,
CISA, CRISC, CGEIT, IT In Balance, Belgia
Peninjau Ahli Sarah

Ahmad Abedin, CISA, CRISC, CGEIT, Grant Thornton LLP, AS Floris Ampe,
CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Belgia Elisabeth Antonssen,
Nordea Bank, Swedia Krzystof Baczkiewicz,
CHAMP, CITAM , CSAM, Transpectit, Polandia Christopher M. Ballister,
CRISC, CISM, CGEIT, Grant Thornton, AS Gary Bannister, CGEIT, CGMA,
FCMA, Austria Graciela Braga, CGEIT, Auditor dan
Penasihat, Argentina Ricardo Bria, CISA, CRISC, CGEIT,
COTO CICSA, Argentina Sushil Chatterji, CGEIT, Edutech
Enterprises, Singapura Peter T. Davis, CISA, CISM,
CGEIT, COBIT 5 Assessor, CISSP, CMA, CPA, PMI-RMP, PMP,
Peter Davis+Rekan, Kanada
James Doss, CISM, CGEIT, EMCCA, PMP, SSGB, TOGAF 9, ITvalueQuickStart.com, AS Yalcin
Gerek, CISA, CRISC, CGEIT, Pakar ITIL, Prince2, ISO 20000LI, ISO27001LA, TAC AS., Turki James L. Golden,
Golden Consulting Associates, AS J. Winston Hayden,
CISA, CISM, CRISC, CGEIT, Afrika Selatan Jimmy Heschl, CISA,
CISM, CGEIT, Red Bull, Austria Jorge Hidalgo, CISA,
CISM, CGEIT, Chili John Jasinski, CISA,
CRISC, CISM, CGEIT, Penilai COBIT 5, CSM, CSPO, IT4IT-F, Pakar ITIL, Lean IT-F,
MOF, SSBB, TOGAF-F, AS
Joanna Karczewska, CISA, Polandia
Glenn Keaveny, CEH, CISSP, Grant Thornton, AS
Eddy Khoo SK, CGEIT, Kuala Lumpur, Malaysia Joao
Souza Neto, CRISC, CGEIT, Universidade Católica de Brasília, Brazil Tracey
O'Brien, CISA, CISM, CGEIT, IBM Corp (pensiun), AS Zachy
Olorunojowon, CISA, CGEIT, PMP, BC Kementerian Kesehatan, Victoria, BC Kanada
Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP, ISO 27001LA, M.IoD, Afenoid Enterprise Limited, Nigeria Andre
Pitkowski, CRISC, CGEIT, CRMA-IIA, OCTAVE, SM, APIT Consultoria de Informatica Ltd., Brasil Dirk Reimers,
Entco Deutschland GmbH, Perusahaan Fokus Mikro Steve Reznik,
CISA, CRISC, ADP, LLC., AS Bruno Horta
Soares, CISA, CRISC, CGEIT, PMP, GOVaaS - Penasihat Tata Kelola, as-a-Service, Portugal Dr. Katalin
Szenes, Ph.D., CISA, CISM, CGEIT, CISSP, Fakultas Informatika John von Neumann,
Universitas Obuda, Hongaria
5
Ucapan Terima Kasih (lanjutan)
Peninjau Ahli Peter

Tessin, CISA, CRISC, CISM, CGEIT, Discover, USA Mark
Thomas, CRISC, CGEIT, Escoute, USA John
Thorp, CMC, ISP, ITCP, The Thorp Network, Kanada Greet
Volders, CGEIT, COBIT Assessor, Voquals NV , Belgia Markus
Walter, CISA, CISM, CISSP, ITIL, PMP, TOGAF, PwC Singapura/Swiss David M. Williams,
CISA, CAMS, Westpac, Selandia Baru Greg Witte, CISM,
G2 Inc., AS
Dewan Direksi ISACA Rob Clyde,

CISM, Clyde Consulting LLC, AS, Ketua Brennan
Baybeck, CISA, CRISC, CISM, CISSP, Oracle Corporation, AS, Wakil Ketua Tracey
Dedrick, Mantan Chief Risk Officer di Hudson City Bancorp, AS Leonard Ong ,
CISA, CRISC, CISM, CGEIT, Pelaksana dan Penilai COBIT 5, CFE, CIPM, CIPT, CISSP, CITBCM, CPP, CSSLP,
GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc. , Singapura
RV Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd., India
Gabriela Reynaga, CISA, CRISC, COBIT 5 Foundation, GRCP, Holistics GRC, Meksiko
Gregory Touhill, CISM, CISSP, Cyxtera Federal Group, AS Ted
Wolff, CISA, Vanguard, Inc., AS Tichaona
Zororo, CISA, CRISC , CISM, CGEIT, Penilai COBIT 5, CIA, CRMA, EGIT | Tata Kelola Perusahaan
TI, Afrika Selatan
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, AS,
Ketua Dewan ISACA, 2017-2018
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Yunani, Ketua Dewan ISACA, 2015-2017 Matt
Loeb, CGEIT, CAE, FASAE, Chief Executive Officer, ISACA, AS Robert E
Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., AS, Ketua Dewan ISACA, 2014-2015
ISACA turut berduka cita atas meninggalnya Robert E Stroud pada September 2018.

DAFTAR ISI
DAFTAR ISI
Daftar Gambar ............................................... ................................................. ................................................. 9
Bab 1 PENDAHULUAN .............................................. ................................................. ........................11 1.1 Tata Kelola Perusahaan Informasi dan
Teknologi ................ ................................................. ..............11 1.2 Manfaat Tata Kelola Informasi dan Teknologi ............................ ................................................. .....11
1.3 COBIT sebagai Kerangka Tata Kelola I&T.................................. ................................................. ............12
1.3.1 Apa itu COBIT dan Apa yang Bukan? ................................................. ................................................. .13
1.4 Struktur Publikasi Ini ............................................ ................................................. ........................14
Bab 2. Audiens yang dituju................................................ ................................................. .........15

2.1 Tata Kelola Pemangku Kepentingan ............................................ ................................................. ........................... 15
Bab 3. Prinsip COBIT................................................ ................................................. ............17

3.1 Pendahuluan ................................................ ................................................. ............................................17 3.2 Enam Prinsip untuk Sistem
Pemerintahan.................................................. ................................................. .......17 3.3 Tiga Prinsip Kerangka Tata
Kelola................................. ................................................. ........18 3.4 COBIT® 2019.................................. ................................................. ................................................. .....18
Bab 4. Konsep Dasar : Sistem dan Komponen Tata Kelola .........19

4.1 Ikhtisar COBIT ............................................ ................................................. ......................................19 4.2 Tujuan Tata Kelola dan
Manajemen..... ................................................. ............................................20 4.3 Komponen Sistem Tata
Kelola ................................................... ................................................. ......21 4.4 Area
Fokus ........................................ ................................................. ................................................. ....22 4.5 Faktor
Desain ........................................ ................................................. ................................................23 4.6 Rangkaian
Tujuan................................................. ................................................. ...................................................28
4.6.1 Tujuan Perusahaan ............................................ ................................................. ................................29 4.6.2 Tujuan
Penyelarasan .......... ................................................. ................................................. ..................30
Bab 5. Tujuan Tata Kelola dan Manajemen COBIT..................................33 5.1 Tujuan .............. ................................................. ................................................. .................................33
Bab 6. Manajemen Kinerja di COBIT................................................ ............37

6.1 Definisi ................................................. ................................................. ................................................37 6.2 Prinsip Manajemen Kinerja
COBIT ............................................ ................................................. 37 6.3 Ikhtisar Manajemen Kinerja
COBIT................................................ ................................................. ..37 6.4 Mengelola Kinerja
Proses................................................ ................................................. ................38 6.4.1 Tingkat Kemampuan
Proses.................................. ................................................. ......................................38 6.4.2 Kegiatan Proses
Pemeringkatan .... ................................................. ................................................. .............39 6.4.3 Tingkat Kematangan Area
Fokus ........................ ................................................. ................................39 6.5 Pengelolaan Kinerja Komponen Sistem Tata Kelola
Lainnya ....... ................................................. ......40 6.5.1 Manajemen Kinerja Struktur Organisasi .................................. ......................................40 6.5.2
Kinerja Manajemen Item Informasi .. ................................................. ................................41 6.5.3 Manajemen Kinerja Budaya dan
Perilaku....... ................................................. ..................43
Bab 7. Merancang Sistem Tata Kelola yang Disesuaikan .................................. ..45 7.1 Dampak Faktor
Desain.................................. ................................................. ................................45 7.2 Tahapan dan Langkah Proses
Desain........ ................................................. ................................................47
Bab 8. Penerapan Tata Kelola TI Perusahaan............................................49 8.1 Tujuan Panduan Implementasi

COBIT .................................................. ................................................. ........49 8.2 Pendekatan Implementasi
COBIT.................................. ................................................. .................49


8.2.1 Fase 1—Apa Faktor Pendorongnya? ................................................. ................................................. ......50 8.2.2 Fase 2—Di Mana Kita
Sekarang?................................ ................................................. ........................... 50
8.2.3 Fase 3—Kita Ingin Berada di Mana? ................................................. ................................................. 51
8.2.4 Fase 4—Apa yang Perlu Dilakukan ?...................................... ................................................. ...............51
8.2.5 Fase 5—Bagaimana Kita Mencapainya? ................................................. ................................................. ....51 8.2.6 Fase 6—Sudahkah Kita
Mencapainya? ................................................. ................................................. ...........51 8.2.7 Fase 7—Bagaimana Kita Menjaga Momentum Tetap
Berjalan?........................ ................................................. .....51 8.3 Hubungan Antara Panduan Perancangan COBIT® 2019 dan Panduan Implementasi
COBIT® 2019 .......................52
Bab 9. Memulai COBIT: Membuat Kasus................................53

9.1 Kasus Bisnis ............................................ ................................................. ................................................53
9.2 Ringkasan Eksekutif ............................................ ................................................. ...................................53 9.3 Latar
Belakang............ ................................................. ................................................. ................................54 9.4 Tantangan
Bisnis............. ................................................. ................................................. ....................55 9.4.1 Analisis Kesenjangan dan
Tujuan ....................... ................................................. ...............................................55 9.4. 2 Alternatif yang
Dipertimbangkan................................................... ................................................. ......................56 9.5 Usulan
Solusi ........................ ................................................. ................................................. ...........56 9.5.1 Tahap 1. Pra-
perencanaan ........................ ................................................. ...................................................56 9.5.2 Tahap 2. Implementasi
Program ................................................. ................................................. .......57 9.5.3 Ruang Lingkup
Program.................................. ................................................. ............................................57 9.5.4 Program Metodologi dan
Penyelarasan................................................ ................................................. ..57 9.5.5 Hasil
Program .................................. ................................................. ................................58 9.5.6 Risiko
Program .............. ................................................. ................................................. ...............58 9.5.7 Pemangku
kepentingan ......................... ................................................. ................................................. ..........59 9.5.8 Analisis Biaya-
Manfaat................................ ................................................. ............................................59 9.5.9 Tantangan dan Faktor
Keberhasilan.. ................................................. ................................................. ......60
Bab 10. COBIT dan Standar Lainnya ........................................ ................................63 10.1 Prinsip
Panduan ............. ................................................. ................................................. ....................63 10.2 Daftar Standar yang
Direferensikan....................... ................................................. ............................................63

DAFTAR GAMBAR
DAFTAR GAMBAR
Bab 1. Pendahuluan Gambar 1.1—
Konteks Tata Kelola Perusahaan di bidang Informasi dan Teknologi.................................. .................11
Bab 2. Audiens yang Dituju Gambar 2.1—

Pemangku Kepentingan COBIT............................................ ................................................. ...................................15
Bab 3. Prinsip COBIT Gambar 3.1—Prinsip

Sistem Tata Kelola.................................. ................................................. ......................17 Gambar 3.2—Prinsip-Prinsip
Kerangka Tata Kelola.................. ................................................. ................................18
Bab 4. Konsep Dasar : Sistem dan Komponen Tata Kelola

Gambar 4.1—Ikhtisar COBIT .................................. ................................................. ...................................19 Gambar 4.2—
Model Inti COBIT ........ ................................................. ................................................. ...............21 Gambar 4.3—Komponen
COBIT dari Sistem Tata Kelola .................. ................................................. .................22 Gambar 4.4—Faktor Desain
COBIT .................. ................................................. ............................................23 Gambar 4.5— Faktor Desain Strategi
Perusahaan................................................ ................................................. ..........23 Gambar 4.6—Faktor Rancangan Tujuan
Perusahaan................................ ................................................. ................................24 Gambar 4.7—Faktor Rancangan
Profil Risiko (Kategori Risiko TI) ......... ................................................. ........................24 Gambar 4.8—Isu Terkait I&T Faktor
Desain................ ................................................. ............................................25 Gambar 4.9—Ancaman Faktor Desain
Lanskap .. ................................................. ................................................. ......25 Gambar 4.10—Faktor Rancangan
Persyaratan Kepatuhan .................................. ................................................. .......26 Gambar 4.11—Peran Faktor Desain
TI .................................. ................................................. ................................26 Gambar 4.12—Model Sumber untuk Faktor
Desain TI....... ................................................. .................................26 Gambar 4.13—Desain Metode Implementasi TI
Faktor................................................. ..................................27 Gambar 4.14—Rancangan Strategi Adopsi Teknologi
Faktor................................................. ......................................27 Gambar 4.15—Faktor Desain Ukuran
Perusahaan.... ................................................. ................................................. ......27 Gambar 4.16—Cascade Sasaran
COBIT .................................. ................................................. ................................28 Gambar 4.17—Cascade Sasaran:
Sasaran dan Metrik Perusahaan..... ................................................. ................................29 Gambar 4.18—Cascade Sasaran:
Penyelarasan Sasaran dan Metrik ....... ................................................. ................................30
Bab 5. Tujuan dan Tujuan Tata Kelola dan Manajemen COBIT Gambar 5.1—Model Inti COBIT:
Sasaran dan Tujuan Tata Kelola dan Manajemen.................................. ...............33
Bab 6. Manajemen Kinerja di COBIT Gambar 6.1—Tingkat

Kemampuan .................................. ................................................. ..................................38 Gambar 6.2—Tingkat Kemampuan
untuk Proses ................................................. ................................................. .........39 Gambar 6.3—Tingkat Kematangan
untuk Area Fokus................................ ................................................. ........................40 Gambar 6.4—Model Referensi
Informasi: Kriteria Kualitas Informasi............ ................................................42
Bab 7. Merancang Sistem Tata Kelola yang Disesuaikan Gambar 7.1—Dampak Faktor
Desain pada Sistem Tata Kelola dan Manajemen................................. ................................45 Gambar 7.2—Alur Kerja
Desain Sistem Tata Kelola ................. ................................................. ................................47
Bab 8. Penerapan Tata Kelola TI Perusahaan

Gambar 8.1—Peta Jalan Implementasi COBIT.................................. ................................................. ............50 Gambar 8.2—
Titik Hubungan Antara Panduan Desain COBIT dan Panduan Implementasi COBIT ........................ .....52
Bab 9. Memulai COBIT: Membuat Kasus Gambar 9.1—Tantangan dan Rencana Tindakan untuk
Acme Corporation ........................ ............................................60
9
10

BAB 1
PERKENALAN
Bab 1
Perkenalan
1.1 Tata Kelola Perusahaan Informasi dan Teknologi
Mengingat transformasi digital, informasi dan teknologi (I&T) menjadi sangat penting dalam mendukung, keberlanjutan, dan
pertumbuhan perusahaan. Sebelumnya, dewan pengurus (dewan direksi) dan manajemen senior dapat mendelegasikan, mengabaikan
atau menghindari keputusan terkait I&T. Di sebagian besar sektor dan industri, sikap seperti ini kini tidak tepat. Penciptaan nilai
pemangku kepentingan (yaitu, mewujudkan manfaat dengan biaya sumber daya yang optimal sambil mengoptimalkan risiko) sering kali
didorong oleh digitalisasi tingkat tinggi dalam model bisnis baru, proses yang efisien, inovasi yang sukses, dan lain-lain.
Perusahaan-perusahaan yang terdigitalisasi semakin bergantung pada I&T untuk kelangsungan hidup dan pertumbuhannya.
Mengingat pentingnya I&T untuk manajemen risiko perusahaan dan penciptaan nilai, fokus khusus pada tata kelola informasi
dan teknologi perusahaan (EGIT) telah muncul selama tiga dekade terakhir. EGIT merupakan bagian integral dari tata kelola
perusahaan. Hal ini dilaksanakan oleh dewan yang mengawasi definisi dan penerapan proses, struktur, dan mekanisme relasional
dalam organisasi yang memungkinkan pelaku bisnis dan TI melaksanakan tanggung jawab mereka dalam mendukung
penyelarasan bisnis/TI dan penciptaan nilai bisnis dari dukungan I&T. investasi bisnis (gambar 1.1).
Gambar 1.1—Konteks Tata Kelola Perusahaan di bidang Informasi dan Teknologi
Perusahaan Bisnis/TI Nilai

Tata Kelola TI Penyelarasan Penciptaan
Sumber: De Haes, Steven; W.Van Grembergen; Tata Kelola Perusahaan Teknologi Informasi: Mencapai Keselarasan dan Nilai,
Menampilkan COBIT 5, edisi ke-2 , Springer International Publishing, Swiss, 2015, https:// www.springer.com/ us/ book/ 9783319145464
Tata kelola informasi dan teknologi perusahaan bersifat kompleks dan beragam. Tidak ada solusi jitu (atau cara ideal) untuk merancang,
menerapkan, dan memelihara EGIT yang efektif dalam suatu organisasi. Oleh karena itu, anggota dewan pengurus dan manajemen
senior biasanya perlu menyesuaikan langkah-langkah dan implementasi EGIT mereka sesuai dengan konteks dan kebutuhan spesifik
mereka. Mereka juga harus bersedia menerima akuntabilitas yang lebih besar terhadap I&T dan mendorong pola pikir dan budaya yang
berbeda untuk memberikan nilai dari I&T.
1.2 Manfaat Tata Kelola Informasi dan Teknologi
Pada dasarnya, EGIT berkaitan dengan penyampaian nilai dari transformasi digital dan mitigasi risiko bisnis yang diakibatkan oleh
transformasi digital. Lebih khusus lagi, tiga hasil utama yang dapat diharapkan setelah penerapan EGIT berhasil: ÿ Realisasi manfaat
—Ini terdiri dari
menciptakan nilai bagi perusahaan melalui I&T, mempertahankan dan meningkatkan nilai yang diperoleh dari investasi I&T11 yang
ada, dan menghilangkan inisiatif dan aset TI yang tidak menghasilkan keuntungan. nilai yang cukup. Prinsip dasar nilai I&T
adalah penyampaian layanan dan solusi yang sesuai dengan tujuan, tepat waktu
1
1 Sepanjang teks ini, TI digunakan untuk merujuk pada departemen organisasi dengan tanggung jawab utama terhadap teknologi. I&T sebagaimana digunakan dalam teks ini
mengacu pada semua informasi yang dihasilkan, diproses, dan digunakan oleh perusahaan untuk mencapai tujuannya, serta teknologi untuk mendukungnya di seluruh perusahaan.
11

dan sesuai anggaran, yang menghasilkan manfaat finansial dan nonfinansial yang diharapkan. Nilai yang diberikan I&T harus selaras
langsung dengan nilai-nilai yang menjadi fokus bisnis. Nilai TI juga harus diukur dengan cara yang menunjukkan dampak dan kontribusi
investasi berbasis TI dalam proses penciptaan nilai perusahaan.
ÿ Optimalisasi risiko—Hal ini mencakup penanganan risiko bisnis yang terkait dengan penggunaan, kepemilikan, pengoperasian,
keterlibatan, pengaruh dan adopsi I&T dalam suatu perusahaan. Risiko bisnis terkait I&T terdiri dari peristiwa terkait I&T yang berpotensi
berdampak pada bisnis. Sementara penyampaian nilai berfokus pada penciptaan nilai, manajemen risiko berfokus pada pelestarian
nilai. Pengelolaan risiko terkait I&T harus diintegrasikan dalam pendekatan manajemen risiko perusahaan untuk memastikan perusahaan
fokus pada TI. Hal ini juga harus diukur dengan cara yang menunjukkan dampak dan kontribusi dari optimalisasi risiko bisnis terkait I&T
dalam menjaga nilai. ÿ Optimalisasi sumber daya—Hal ini memastikan bahwa kemampuan yang tepat tersedia untuk
melaksanakan rencana strategis

dan sumber daya yang memadai, tepat dan efektif disediakan. Optimalisasi sumber daya memastikan tersedianya infrastruktur TI yang
terintegrasi dan ekonomis, teknologi baru diperkenalkan sesuai kebutuhan bisnis, dan sistem yang usang diperbarui atau diganti. Karena
menyadari pentingnya sumber daya manusia, selain perangkat keras dan perangkat lunak, perusahaan ini berfokus pada penyediaan
pelatihan, meningkatkan retensi, dan memastikan kompetensi personel TI utama. Sumber daya yang penting adalah data dan informasi,
dan pemanfaatan data dan informasi untuk mendapatkan nilai optimal adalah elemen kunci lain dari optimalisasi sumber daya.
Penyelarasan strategis dan pengukuran kinerja merupakan hal yang sangat penting dan berlaku secara keseluruhan pada semua aktivitas
untuk memastikan bahwa tujuan terkait I&T selaras dengan tujuan perusahaan.
Dalam studi kasus besar pada perusahaan penerbangan internasional, manfaat EGIT ditunjukkan antara lain: menurunkan biaya
kontinuitas terkait TI, meningkatkan kapasitas inovasi yang didukung TI, meningkatkan keselarasan antara investasi digital dan tujuan serta
strategi bisnis, meningkatkan kepercayaan antara bisnis dan TI, dan pergeseran menuju “pola pikir nilai” seputar aset digital. 22
Penelitian telah menunjukkan bahwa perusahaan dengan pendekatan EGIT yang dirancang atau diadopsi dengan buruk memiliki kinerja yang
lebih buruk dalam menyelaraskan strategi dan proses bisnis dan I&T. Akibatnya, perusahaan-perusahaan tersebut cenderung tidak
mencapai strategi bisnis yang diharapkan dan mewujudkan nilai bisnis yang mereka harapkan dari transformasi digital. 33
Dari sini jelas bahwa tata kelola harus dipahami dan diterapkan jauh melampaui penafsiran yang sering dijumpai (yaitu sempit) yang disarankan
oleh akronim tata kelola, risiko dan kepatuhan (GRC). Akronim GRC sendiri secara implisit menunjukkan bahwa kepatuhan dan risiko terkait
mewakili spektrum tata kelola.
1.3 COBIT sebagai Kerangka Tata Kelola I&T
Selama bertahun-tahun, kerangka praktik terbaik telah dikembangkan dan dipromosikan untuk membantu proses pemahaman,
perancangan, dan penerapan EGIT. COBIT® 2019 dibangun dan mengintegrasikan lebih dari 25 tahun pengembangan di bidang ini,
tidak hanya menggabungkan wawasan baru dari sains, namun juga mengoperasionalkan wawasan ini sebagai praktik.
Dari landasannya dalam komunitas audit TI, COBIT® telah berkembang menjadi kerangka tata kelola dan manajemen I&T yang lebih luas
dan komprehensif dan terus memantapkan dirinya sebagai kerangka kerja yang diterima secara umum untuk I&T.
pemerintahan.
2
2
De Haes, S.; W.van Grembergen; Tata Kelola Perusahaan TI: Mencapai Keselarasan dan Nilai, Menampilkan COBIT 5, Springer International
Publishing, Swiss, edisi ke-2. 2015, https:// www.springer.com/ us/ book/ 9783319145464
3
3 De Haes, Steven; A.Joshi; W.van Grembergen; “Keadaan dan Dampak Tata Kelola TI Perusahaan dalam Organisasi: Temuan Utama dari Studi
Internasional,” Jurnal ISACA® , vol. 4, 2015, https:// www.isaca.org/ Journal/ archives/ 2015/ Volume-4/ Pages/ state-and-impact-of-governance-of-
enterprise-it-in-organizations.aspx. Lihat juga op cit De Haes dan van Grembergen.
12

BAB 1
PERKENALAN
1.3.1 Apa itu COBIT dan Apa yang Bukan?
Sebelum menjelaskan kerangka COBIT yang diperbarui, penting untuk menjelaskan apa itu COBIT dan apa yang bukan:
COBIT adalah kerangka tata kelola dan pengelolaan informasi dan teknologi perusahaan, 44 yang ditujukan untuk seluruh perusahaan. I&T
Perusahaan berarti semua teknologi dan pemrosesan informasi yang diterapkan perusahaan untuk mencapai tujuannya, di mana pun hal ini
terjadi di perusahaan. Dengan kata lain, I&T perusahaan tidak terbatas pada departemen TI suatu organisasi, namun tentu saja mencakup
departemen tersebut.
Kerangka COBIT membuat perbedaan yang jelas antara tata kelola dan manajemen. Kedua disiplin ilmu ini mencakup aktivitas yang
berbeda, memerlukan struktur organisasi yang berbeda, dan memiliki tujuan yang berbeda.
ÿ Tata kelola memastikan bahwa:
ÿ Kebutuhan, kondisi dan pilihan pemangku kepentingan dievaluasi untuk menentukan tujuan perusahaan yang seimbang dan disepakati. ÿ
Arah ditentukan melalui penentuan prioritas dan pengambilan keputusan.
ÿ Kinerja dan kepatuhan dipantau berdasarkan arah dan tujuan yang disepakati.
Di sebagian besar perusahaan, tata kelola secara keseluruhan merupakan tanggung jawab dewan direksi, di bawah kepemimpinan ketua.
Tanggung jawab tata kelola yang spesifik dapat didelegasikan kepada struktur organisasi khusus pada tingkat yang sesuai,
khususnya di perusahaan yang lebih besar dan kompleks.
ÿ Manajemen merencanakan, membangun, menjalankan dan memantau kegiatan, sejalan dengan arahan yang ditetapkan oleh tata kelola
badan, untuk mencapai tujuan perusahaan.
Di sebagian besar perusahaan, manajemen merupakan tanggung jawab manajemen eksekutif, di bawah kepemimpinan CEO (CEO).
COBIT mendefinisikan komponen untuk membangun dan mempertahankan sistem tata kelola: proses, struktur organisasi, kebijakan
dan prosedur, arus informasi, budaya dan perilaku, keterampilan, dan infrastruktur. 55
COBIT mendefinisikan faktor desain yang harus dipertimbangkan oleh perusahaan untuk membangun sistem tata kelola yang paling sesuai.
COBIT mengatasi masalah tata kelola dengan mengelompokkan komponen tata kelola yang relevan ke dalam tujuan tata kelola dan manajemen
yang dapat dikelola hingga tingkat kemampuan yang diperlukan.
Beberapa kesalahpahaman tentang COBIT harus dihilangkan:
ÿ COBIT bukanlah gambaran lengkap dari keseluruhan lingkungan TI suatu perusahaan. ÿ COBIT
bukanlah kerangka kerja untuk mengatur proses bisnis. ÿ COBIT bukanlah
kerangka teknis (IT-) untuk mengelola semua teknologi. ÿ COBIT tidak membuat atau
menentukan keputusan terkait TI apa pun. Ia tidak akan memutuskan strategi TI apa yang terbaik, arsitektur apa yang terbaik, atau berapa
besar biaya TI yang dapat atau harus dikeluarkan. COBIT mendefinisikan semua komponen yang menggambarkan keputusan mana yang
harus diambil, dan bagaimana serta oleh siapa keputusan tersebut harus diambil.
4
4
Sepanjang publikasi ini, rujukan pada “kerangka tata kelola TI” menyiratkan keseluruhan uraian ini.
5
5 Komponen-komponen ini disebut sebagai penggerak (enabler) dalam COBIT® 5.
13

1.4 Struktur Publikasi Ini
Sisa dari publikasi ini berisi bab-bab berikut:
ÿ Bab 2 membahas target audiens COBIT.

ÿ Bab 3 menjelaskan prinsip-prinsip sistem tata kelola I&T, dan prinsip-prinsip tata kelola yang baik
kerangka kerja.
ÿ Bab 4 menjelaskan konsep dasar dan terminologi COBIT® 2019, termasuk model inti COBIT yang diperbarui
dengan 40 tujuan tata kelola dan pengelolaannya.
ÿ Bab 5 menguraikan 40 tujuan tata kelola dan pengelolaan.
ÿ Bab 6 menjelaskan bagaimana pemantauan kinerja di COBIT® 2019 disusun dan, khususnya, bagaimana Kemampuan
Tingkat kemampuan yang terinspirasi dari Maturity Model Integration (CMMI®) diperkenalkan.
ÿ Bab 7 berisi pengenalan singkat dan gambaran alur kerja COBIT® Panduan Desain 2019.
ÿ Bab 8 berisi pengenalan singkat dan gambaran umum COBIT® Panduan Implementasi 2019.
ÿ Bab 9 berisi contoh rinci untuk mengilustrasikan alasan adopsi dan implementasi COBIT
di suatu perusahaan.
ÿ Bab 10 mencantumkan standar, kerangka kerja, dan peraturan yang telah digunakan selama pengembangan COBIT® 2019.
14

BAB 2
AUDIENS YANG DITUJU
Bab 2
Audiens yang dituju
2.1 Tata Kelola Pemangku Kepentingan
Target audiens COBIT adalah pemangku kepentingan EGIT dan, lebih jauh lagi, pemangku kepentingan perusahaan
pemerintahan. Para pemangku kepentingan ini dan manfaat yang dapat mereka peroleh dari COBIT ditunjukkan pada gambar 2.1.
Gambar 2.1—Pemangku Kepentingan COBIT

Pemangku kepentingan Manfaat COBIT
Pemangku Kepentingan Internal
Papan Memberikan wawasan tentang cara mendapatkan nilai dari penggunaan I&T dan menjelaskannya
tanggung jawab dewan yang relevan
Manajemen eksekutif Memberikan panduan tentang cara mengatur dan memantau kinerja I&T
di seluruh perusahaan
Manajer Bisnis Membantu memahami cara mendapatkan solusi I&T yang dibutuhkan perusahaan
dan cara terbaik memanfaatkan teknologi baru untuk peluang strategis baru
Manajer TI Memberikan panduan tentang cara terbaik untuk membangun dan menyusun departemen TI,
mengelola kinerja TI, menjalankan operasional TI yang efisien dan efektif,
mengendalikan biaya TI, menyelaraskan strategi TI dengan prioritas bisnis, dll.
Penyedia Jaminan Membantu mengelola ketergantungan pada penyedia layanan eksternal, dapatkan
jaminan atas TI, dan menjamin adanya sistem yang efektif dan efisien
sistem pengendalian internal
Manajemen risiko Membantu memastikan identifikasi dan pengelolaan semua risiko terkait TI
Pemangku Kepentingan Eksternal
Regulator Membantu memastikan perusahaan mematuhi peraturan dan ketentuan yang berlaku
peraturan dan memiliki sistem tata kelola yang tepat untuk mengelola dan
mempertahankan kepatuhan
Mitra Bisnis Membantu memastikan bahwa operasi mitra bisnis aman dan dapat diandalkan
dan mematuhi peraturan dan ketentuan yang berlaku
Vendor TI Membantu memastikan bahwa operasi vendor TI aman, andal, dan
mematuhi peraturan dan ketentuan yang berlaku
Tingkat pengalaman tertentu dan pemahaman menyeluruh tentang perusahaan diperlukan untuk mendapatkan manfaat dari COBIT
kerangka. Pengalaman dan pemahaman tersebut memungkinkan pengguna untuk menyesuaikan panduan inti COBIT—yang bersifat umum
alam—menjadi panduan yang disesuaikan dan terfokus untuk perusahaan, dengan mempertimbangkan konteks perusahaan.
Target audiensnya mencakup mereka yang bertanggung jawab sepanjang siklus hidup solusi tata kelola, mulai dari desain hingga
eksekusi hingga jaminan. Memang benar, penyedia jaminan dapat menerapkan logika dan alur kerja yang dikembangkan dalam publikasi ini
untuk menciptakan program jaminan yang dibuktikan dengan baik bagi perusahaan.
15
16

BAGIAN 3
PRINSIP COBIT
bagian 3
Prinsip COBIT
3.1 Pendahuluan
COBIT® 2019 dikembangkan berdasarkan dua prinsip:
ÿ Prinsip-prinsip yang menggambarkan persyaratan inti sistem tata kelola untuk informasi dan teknologi perusahaan. ÿ Prinsip-prinsip kerangka
tata kelola yang dapat digunakan untuk membangun sistem tata kelola untuk perusahaan
3.2 Enam Prinsip Sistem Tata Kelola
Enam prinsip sistem tata kelola adalah (gambar 3.1):
1. Setiap perusahaan memerlukan sistem tata kelola untuk memenuhi kebutuhan pemangku kepentingan dan menghasilkan nilai dari penggunaan
DIA. Nilai mencerminkan keseimbangan antara manfaat, risiko, dan sumber daya, dan perusahaan memerlukan strategi dan sistem tata kelola
yang dapat ditindaklanjuti untuk mewujudkan nilai ini.
2. Sistem tata kelola I&T perusahaan dibangun dari sejumlah komponen yang bisa berbeda jenisnya dan bekerja sama secara holistik.
3. Sistem pemerintahan harus bersifat dinamis. Ini berarti bahwa setiap kali satu atau lebih faktor desain berada
diubah (misalnya perubahan strategi atau teknologi), dampak perubahan ini terhadap sistem EGIT harus dipertimbangkan. Pandangan
dinamis tentang EGIT akan mengarah pada sistem EGIT yang layak dan tahan masa depan.
4. Sistem tata kelola harus secara jelas membedakan antara aktivitas dan struktur tata kelola dan manajemen.
5. Sistem tata kelola harus disesuaikan dengan kebutuhan perusahaan, dengan menggunakan serangkaian faktor desain sebagai parameternya
menyesuaikan dan memprioritaskan komponen sistem tata kelola.
6. Sistem tata kelola harus mencakup seluruh perusahaan, dengan fokus tidak hanya pada fungsi TI namun pada semua teknologi dan
pemrosesan informasi yang diterapkan perusahaan untuk mencapai tujuannya, terlepas dari lokasi pemrosesan di perusahaan tersebut. 61
Gambar 3.1—Prinsip Sistem Tata Kelola
1. Memberikan 3. Sistem
2.
Nilai kepada Tata Kelola
Pendekatan Holistik
Pemangku Kepentingan Dinamis
4. Tata Kelola 5. Disesuaikan 6. Sistem Tata

Berbeda dengan Kelola yang
dengan Manajemen Kebutuhan Perusahaan End-to-End
6
1 Hugh, T.; S.De Haes; “Menggunakan Model Sistem yang Layak untuk Mempelajari Dinamika Tata Kelola TI: Bukti dari Studi Kasus Tunggal,” Prosiding
Konferensi Internasional Hawaii ke-51 tentang Ilmu Sistem, 2018, https:// scholarspace.manoa.hawaii.edu/ bitstream/ 10125/50501 / 1/ paper0614.pdf
17
3.3 Tiga Prinsip Kerangka Tata Kelola
Tiga prinsip kerangka tata kelola adalah (gambar 3.2):
1. Kerangka tata kelola harus didasarkan pada model konseptual, dengan mengidentifikasi komponen-komponen utama dan
hubungan antar komponen, untuk memaksimalkan konsistensi dan memungkinkan otomatisasi.
2. Kerangka tata kelola harus terbuka dan fleksibel. Itu harus memungkinkan penambahan konten dan kemampuan baru
untuk mengatasi permasalahan baru dengan cara yang paling fleksibel, dengan tetap menjaga integritas dan konsistensi.
3. Kerangka tata kelola harus selaras dengan standar, kerangka kerja, dan peraturan terkait yang relevan.
Gambar 3.2—Prinsip-Prinsip Kerangka Tata Kelola
1. Berdasarkan
2. Terbuka
Model
dan Fleksibel
Konseptual
3. Selaras
dengan Standar Utama
3.4 COBIT® 2019
COBIT® 2019 merupakan penyempurnaan dari COBIT versi sebelumnya dalam beberapa bidang berikut:
ÿ Fleksibilitas dan keterbukaan— Definisi dan penggunaan faktor desain memungkinkan COBIT disesuaikan untuk menghasilkan kinerja yang lebih baik.
selaras dengan konteks khusus pengguna. Arsitektur terbuka COBIT memungkinkan penambahan area fokus baru (lihat bagian 4.4)
atau memodifikasi area fokus yang sudah ada, tanpa implikasi langsung terhadap struktur dan konten model inti COBIT.
ÿ Mata uang dan relevansi— Model COBIT mendukung referensi dan penyelarasan dengan konsep yang berasal dari negara lain
sumber (misalnya, standar TI terbaru dan peraturan kepatuhan).
ÿ Penerapan preskriptif—Model seperti COBIT dapat bersifat deskriptif dan preskriptif. Model konseptual COBIT dibangun dan disajikan sedemikian
rupa sehingga contohnya (yaitu, penerapan komponen tata kelola COBIT yang disesuaikan) dianggap sebagai resep untuk sistem tata kelola TI
yang disesuaikan.
ÿ Manajemen kinerja TI—Struktur model manajemen kinerja COBIT diintegrasikan ke dalam model konseptual. Konsep kematangan dan kemampuan
diperkenalkan untuk penyelarasan yang lebih baik dengan CMMI.
Panduan COBIT menggunakan istilah tata kelola informasi dan teknologi perusahaan, tata kelola perusahaan informasi dan teknologi, tata kelola
TI, dan tata kelola TI secara bergantian.
18

BAB 4
KONSEP DASAR : SISTEM DAN KOMPONEN TATA KELOLA
Bab 4
Konsep Dasar: Sistem dan Komponen Tata Kelola
4.1 Ikhtisar COBIT
Rangkaian produk COBIT® 2019 bersifat terbuka dan dirancang untuk penyesuaian. Publikasi berikut ini adalah
saat ini tersedia: 71
ÿ Kerangka COBIT® 2019: Pendahuluan dan Metodologi memperkenalkan konsep-konsep utama COBIT® 2019.
COBIT® ÿ Kerangka Kerja 2019: Tujuan Tata Kelola dan Manajemen secara komprehensif menggambarkan 40 tujuan inti
tujuan tata kelola dan pengelolaan, proses yang terkandung di dalamnya, dan komponen terkait lainnya. Panduan ini
juga merujuk pada standar dan kerangka kerja lainnya.
COBIT® ÿ Panduan Desain 2019: Merancang Solusi Tata Kelola Informasi dan Teknologi mengeksplorasi desain
faktor-faktor yang dapat mempengaruhi tata kelola dan mencakup alur kerja untuk merencanakan sistem tata kelola yang disesuaikan untuk
perusahaan.
COBIT® ÿ Panduan Implementasi 2019: Penerapan dan Optimalisasi Teknologi dan Informasi
Solusi Tata Kelola mewakili evolusi panduan Implementasi COBIT® 5 dan mengembangkan peta jalan untuk
perbaikan tata kelola yang berkelanjutan. Ini dapat digunakan bersama dengan Panduan Desain COBIT® 2019.
Gambar 4.1 menunjukkan ikhtisar tingkat tinggi COBIT® 2019 dan menggambarkan bagaimana berbagai publikasi dalam rangkaian tersebut
mencakup berbagai aspek.
Gambar 4.1—Ikhtisar COBIT
• Strategi perusahaan
• Tujuan perusahaan
• Ukuran perusahaan
• Peran TI
Masukan ke COBIT® 2019 COBIT® 2019 • Model pengadaan untuk TI
• Persyaratan kepatuhan
• Dll.
COBIT 5 Inti COBIT

Model Referensi Tujuan Tata Kelola Faktor Desain
Standar, Perusahaan yang Disesuaikan
dan Pengelolaan
Kerangka kerja, Tata Kelola
Peraturan EDM01—Dijamin
Tata Kelola
Pengaturan Kerangka
dan pemeliharaan
EDM02—Dijamin
Pengiriman Manfaat
EDM03—Dijamin
Optimasi Risiko
EDM04—Dijamin
Sumber
Optimasi
EDM05—Dijamin
Pemangku kepentingan
Pertunangan
Sistem untuk
Informasi dan
Masyarakat
Kontribusi APO01—Dikelola
Manajemen I&T
Kerangka
APO02—Dikelola
Strategi
APO03—Dikelola
Perusahaan
Arsitektur
APO04—Dikelola
Inovasi
APO05—Dikelola
Portofolio
APO06—Dikelola
Anggaran dan Biaya
APO07—Dikelola
Sumber daya manusia
Teknologi
MEA01—Dikelola
Kinerja dan
Kesesuaian
Pemantauan
APO09—Dikelola
APO08—Dikelola Melayani APO10—Dikelola APO11—Dikelola APO12—Dikelola APO13—Dikelola APO14—Dikelola
Hubungan
Perjanjian
Vendor Kualitas Mempertaruhkan
Keamanan Data
Area fokus
MEA02—Dikelola
BAI01—Dikelola
Program
BAI02—Dikelola
Persyaratan
BAI03—Kelola
Solusi
Identifikasi
BAI04—Dikelola
Ketersediaan
BAI05—Dikelola
Organisasi
BAI06—Dikelola
BAI07—Dikelola
Perubahan TI
Sistem Internal
Kontrol
ÿ Tata kelola prioritas
Definisi Perubahan TI Penerimaan dan
dan Kapasitas Mengubah
dan Membangun
Transisi
dan manajemen
BAI08—Dikelola
Pengetahuan
BAI09—Dikelola
Aktiva
BAI10—Dikelola
Konfigurasi
BAI11—Dikelola
Proyek
MEA03—Dikelola
Kepatuhan dengan
Luar
• UKM tujuan
ÿ Panduan khusus
Persyaratan
• Keamanan
• Mempertaruhkan
dari area fokus
DSS02—Dikelola DSS05—Dikelola DSS06—Dikelola
DSS01—Dikelola
Operasi
Permintaan Layanan
dan Insiden
DSS03—Dikelola
Masalah
DSS04—Dikelola
Kontinuitas
Keamanan
Jasa
Bisnis
Kontrol Proses
MEA04—Dikelola
Jaminan
• DevOps ÿ Kemampuan sasaran
• Dll. dan kinerja
pengelolaan
panduan
Kerangka COBIT® 2019:

Pendahuluan dan Metodologi
Inti COBIT
Publikasi
Kerangka COBIT® 2019: Panduan Implementasi COBIT® 2019:
Panduan Desain COBIT® 2019:
Tata Kelola dan Menerapkan dan Mengoptimalkan an
Merancang suatu Informasi dan Teknologi
Solusi Tata Kelola Informasi dan Teknologi
Tujuan Manajemen
Solusi Tata Kelola
1
7 Pada saat penerbitan judul Kerangka COBIT® 2019: Pengantar dan Metodologi ini , direncanakan judul tambahan untuk COBIT® 2019
keluarga produk tetapi belum dirilis.
19

Konten yang diidentifikasi sebagai area fokus pada Gambar 4.1 akan berisi panduan yang lebih rinci mengenai tema-tema tertentu. 82
COBIT® 2019 didasarkan pada COBIT® 5 dan sumber resmi lainnya. COBIT selaras dengan sejumlah standar dan kerangka kerja
terkait. Daftar standar-standar ini terdapat dalam Bab 10. Analisis standar-standar terkait dan penyelarasan COBIT dengan standar-standar
tersebut mendasari posisi COBIT sebagai payung kerangka tata kelola I&T.
Di masa depan, COBIT akan memanggil komunitas penggunanya untuk mengusulkan pembaruan konten, untuk diterapkan sebagai
kontribusi terkontrol secara terus-menerus, agar COBIT selalu mendapatkan informasi dan evolusi terkini.
Bagian berikut menjelaskan konsep dan istilah utama yang digunakan dalam COBIT® 2019.
4.2 Tujuan Tata Kelola dan Manajemen
Agar informasi dan teknologi dapat berkontribusi pada tujuan perusahaan, sejumlah tujuan tata kelola dan manajemen harus dicapai.
Konsep dasar yang berkaitan dengan tujuan tata kelola dan pengelolaan adalah:
ÿ Tujuan tata kelola atau pengelolaan selalu berkaitan dengan satu proses (dengan nama yang identik atau mirip) dan serangkaian
komponen terkait lainnya untuk membantu mencapai tujuan.
ÿ Tujuan tata kelola berkaitan dengan proses tata kelola (digambarkan dengan latar belakang biru tua pada Gambar 4.2), sedangkan tujuan
pengelolaan berkaitan dengan proses pengelolaan (digambarkan dengan latar belakang biru muda pada Gambar 4.2).
Dewan dan manajemen eksekutif biasanya bertanggung jawab atas proses tata kelola, sedangkan proses manajemen merupakan
domain manajemen senior dan menengah.
Tujuan tata kelola dan manajemen dalam COBIT dikelompokkan menjadi lima domain. Domain memiliki nama dengan kata kerja yang
mengungkapkan maksud utama dan bidang kegiatan dari tujuan yang terkandung di dalamnya:
ÿ Tujuan tata kelola dikelompokkan dalam domain Evaluate, Direct and Monitor (EDM). Dalam domain ini, badan pengatur mengevaluasi
pilihan-pilihan strategis, mengarahkan manajemen senior pada pilihan-pilihan strategis yang dipilih dan memantau pencapaian strategi.
ÿ Tujuan pengelolaan dikelompokkan dalam empat domain:
ÿ Align, Plan and Organize (APO) membahas keseluruhan organisasi, strategi, dan aktivitas pendukung I&T. ÿ Build, Acquire and Implement
(BAI) membahas definisi, akuisisi dan implementasi solusi I&T dan

integrasi mereka dalam proses bisnis.
ÿ Deliver, Service and Support (DSS) membahas penyampaian operasional dan dukungan layanan I&T, termasuk
keamanan.
ÿ Monitor, Evaluate and Assess (MEA) membahas pemantauan kinerja dan kesesuaian I&T dengan target kinerja internal, tujuan pengendalian
internal, dan persyaratan eksternal.
2 8 Sejumlah panduan konten area fokus ini sudah dalam persiapan; lainnya sudah direncanakan. Kumpulan panduan area fokus bersifat terbuka dan bersifat berkehendak
terus berkembang. Untuk informasi terkini mengenai publikasi yang tersedia saat ini dan yang direncanakan serta konten lainnya, silakan kunjungi www.isaca.org/ cobit.
20

BAB 4
Gambar 4.2—Model Inti COBIT
EDM01—Dijamin
EDM04—Dijamin EDM05—Dijamin
Tata Kelola EDM02—Dijamin EDM03—Dijamin
Sumber Pemangku kepentingan
Pengaturan Kerangka Pengiriman Manfaat Optimasi Risiko
dan pemeliharaan Optimasi Pertunangan
APO01—Dikelola APO03—Dikelola
APO02—Dikelola APO04—Dikelola APO05—Dikelola APO06—Dikelola APO07—Dikelola
Manajemen I&T Perusahaan Inovasi Portofolio Sumber daya manusia
Kerangka Strategi Anggaran dan Biaya
Arsitektur
MEA01—Dikelola
Kinerja dan
Kesesuaian
Pemantauan
APO09—Dikelola
APO08—Dikelola Melayani APO10—Dikelola APO11—Dikelola APO12—Dikelola APO13—Dikelola APO14—Dikelola
Hubungan Vendor Kualitas Mempertaruhkan
Keamanan Data
Perjanjian
MEA02—Dikelola
Sistem Internal
BAI03—Dikelola BAI07—Dikelola Kontrol
BAI01—Dikelola BAI02—Dikelola Solusi BAI04—Dikelola BAI05—Dikelola
BAI06—Dikelola Perubahan TI
Program Persyaratan Identifikasi Ketersediaan Organisasi
Definisi Perubahan TI Penerimaan dan
dan Membangun
dan Kapasitas Mengubah
Transisi
MEA03—Dikelola
BAI08—Dikelola BAI09—Dikelola BAI10—Dikelola BAI11—Dikelola
Aktiva Kepatuhan Dengan
Pengetahuan Konfigurasi Proyek Luar
Persyaratan
DSS02—Dikelola DSS05—Dikelola DSS06—Dikelola

DSS01—Dikelola DSS03—Dikelola DSS04—Dikelola Bisnis
Permintaan Layanan Keamanan MEA04—Dikelola
Operasi Masalah Kontinuitas
dan Insiden Jasa Kontrol Proses Jaminan
4.3 Komponen Sistem Tata Kelola
Untuk memenuhi tujuan tata kelola dan manajemen, setiap perusahaan perlu menetapkan, menyesuaikan, dan mempertahankan tata kelola
sistem yang dibangun dari sejumlah komponen.
ÿ Komponen adalah faktor-faktor yang, secara individu dan kolektif, berkontribusi terhadap berjalannya perusahaan dengan baik
sistem tata kelola atas I&T.
ÿ Komponen berinteraksi satu sama lain, menghasilkan sistem tata kelola I&T yang holistik.
ÿ Komponen bisa bermacam-macam jenisnya. Yang paling familiar adalah proses. Namun, komponen suatu pemerintahan
sistem juga mencakup struktur organisasi; kebijakan dan prosedur; item informasi; budaya dan perilaku;
keterampilan dan kompetensi; dan layanan, infrastruktur dan aplikasi (gambar 4.3).
ÿ Proses menggambarkan serangkaian praktik dan aktivitas yang terorganisir untuk mencapai tujuan tertentu dan menghasilkan serangkaian tujuan
keluaran yang mendukung pencapaian tujuan terkait TI secara keseluruhan.
ÿ Struktur organisasi adalah entitas pengambil keputusan utama dalam suatu perusahaan.
ÿ Prinsip, kebijakan dan kerangka kerja menerjemahkan perilaku yang diinginkan menjadi panduan praktis sehari-hari
pengelolaan.
ÿ Informasi tersebar luas di seluruh organisasi dan mencakup semua informasi yang dihasilkan dan digunakan oleh
perusahaan. COBIT berfokus pada informasi yang diperlukan untuk memfungsikan sistem tata kelola secara efektif
perusahaan.
21

ÿ Budaya, etika dan perilaku individu dan perusahaan sering diremehkan sebagai faktor keberhasilan kegiatan tata kelola dan
manajemen.
ÿ Orang, keterampilan dan kompetensi diperlukan untuk pengambilan keputusan yang baik, pelaksanaan tindakan perbaikan dan
keberhasilan penyelesaian semua kegiatan.
ÿ Layanan, infrastruktur dan aplikasi mencakup infrastruktur, teknologi dan aplikasi yang menyediakan
perusahaan dengan sistem tata kelola untuk pemrosesan I&T.
Gambar 4.3—Komponen COBIT dari Sistem Tata Kelola
Proses
Jasa,
Infrastruktur
Organisasi
dan Struktur
Aplikasi
Tata Kelola
Orang, Keterampilan Sistem Prinsip,
dan
Kebijakan,
Kompetensi Prosedur
Budaya, Etika
dan Informasi
Perilaku
Semua jenis komponen dapat bersifat generik atau dapat berupa varian dari komponen generik:
ÿ Komponen generik dijelaskan dalam model inti COBIT (lihat gambar 4.2) dan berlaku secara prinsip pada situasi apa pun. Namun,
hal tersebut bersifat umum dan umumnya memerlukan penyesuaian sebelum diterapkan secara praktis.
ÿ Varian didasarkan pada komponen umum namun disesuaikan untuk tujuan atau konteks tertentu dalam area fokus
(misalnya, untuk keamanan informasi, DevOps, peraturan tertentu).
4.4 Area Fokus
Area fokus menggambarkan topik, domain, atau isu tata kelola tertentu yang dapat diatasi melalui kumpulan tujuan tata kelola dan
pengelolaan serta komponennya. Contoh area fokus meliputi: usaha kecil dan menengah, keamanan siber, transformasi digital, komputasi
awan, privasi, dan DevOps. 93 Area fokus mungkin berisi kombinasi komponen dan varian tata kelola yang umum.
9
3
DevOps mencontohkan varian komponen dan area fokus. Mengapa? DevOps adalah tema terkini di pasar dan tentunya memerlukan
panduan khusus, menjadikannya area fokus. DevOps mencakup sejumlah tujuan tata kelola dan manajemen umum dari model inti COBIT,
bersama dengan sejumlah varian proses dan struktur organisasi terkait pengembangan, operasional, dan pemantauan.
22

BAB 4
Jumlah area fokus sebenarnya tidak terbatas. Hal inilah yang membuat COBIT bersifat terbuka. Area fokus baru dapat ditambahkan
sesuai kebutuhan atau seiring dengan kontribusi para ahli dan praktisi pada model COBIT terbuka.
4.5 Faktor Desain

Faktor desain adalah faktor yang dapat mempengaruhi desain sistem tata kelola suatu perusahaan dan memposisikannya dalam
keberhasilan penggunaan I&T.
Potensi dampak faktor desain terhadap sistem tata kelola dijelaskan di bagian 7.1. Informasi lebih lanjut dan panduan rinci
tentang cara menggunakan faktor desain untuk merancang sistem tata kelola dapat ditemukan di Panduan Desain COBIT® 2019.
Faktor desain mencakup kombinasi berikut ini (gambar 4.4):
Gambar 4.4—Faktor Desain COBIT
Perusahaan Perusahaan Terkait I&T Ancaman

Profil Risiko
Strategi Sasaran Masalah Lanskap
Sumber DIA
Teknologi
Kepatuhan Peran TI Model Perusahaan
Penerapan Adopsi
Persyaratan untuk TI Metode Ukuran
Strategi
Faktor Masa Depan
1. Strategi perusahaan —Perusahaan dapat memiliki strategi yang berbeda-beda, yang dapat dinyatakan sebagai satu atau lebih
arketipe yang ditunjukkan pada gambar 4.5. Organisasi biasanya mempunyai strategi utama dan, paling banyak, satu strategi sekunder.
Gambar 4.5—Desain Faktor Strategi Perusahaan Penjelasan

Pola Dasar Strategi Perusahaan mempunyai fokus pada pertumbuhan (pendapatan). 104
Pertumbuhan/Akuisisi Perusahaan ini memiliki fokus dalam menawarkan produk dan
Inovasi/Diferensiasi layanan yang berbeda dan/atau inovatif kepada kliennya. 115
Kepemimpinan Biaya Perusahaan memiliki fokus pada minimalisasi biaya jangka pendek. 126
Layanan/Stabilitas Klien Perusahaan ini memiliki fokus pada penyediaan layanan yang stabil dan berorientasi pada klien. 137
10
4
Sesuai dengan prospektor dalam tipologi Miles-Snow. Lihat “Tipologi Pembela, Prospektor, Penganalisis, dan Reaktor Miles dan Snow,” Elibrary, https://
ebrary.net/ 3737/ management/ miles_snows_typology_defender_prospector_analyzer_reactor.
5
11 Lihat Reeves, Martin; Claire Love, Philipp Tillmanns, “Strategi Anda Membutuhkan Strategi,” Harvard Business Review, September 2012,
https:// hbr.org/ 2012/09/ your-strategy-needs-a-strategy, khususnya mengenai visioner dan pembentukan.
12
6
Sesuai dengan kepemimpinan biaya; lihat Universitas Cambridge, “Strategi Kompetitif Generik Porter (cara bersaing),” Kebijakan Teknologi
Manajemen Institute for Manufacturing (IfM), https:// www.ifm.eng.cam.ac.uk/ research/ dstools/ porters-generic -strategi-kompetitif/. Juga sesuai dengan
keunggulan operasional; lihat Treacy, Michael; Fred Wiersema, “Customer Intimacy and Other Value Disciplines,” Harvard Business Review, Januari/
Februari 1993, https:// hbr.org/ 1993/01/ customer-intimacy-and-other-value-disciplines Sesuai dengan para
13
7
pembela HAM di Miles -Tipologi salju. Lihat op cit “Tipologi Pembela, Prospektor, Penganalisis, dan Reaktor Miles dan Snow.”
23


2. Tujuan perusahaan yang mendukung strategi perusahaan—Strategi perusahaan diwujudkan dengan pencapaian (seperangkat
dari) tujuan perusahaan. Sasaran-sasaran ini didefinisikan dalam kerangka COBIT, yang disusun berdasarkan kartu skor berimbang
(BSC), dan sertakan elemen yang ditunjukkan pada gambar 4.6.
Gambar 4.6—Faktor Rancangan Tujuan Perusahaan

Referensi Dimensi Balanced Scorecard (BSC). Tujuan Perusahaan
EG01 Keuangan Portofolio produk dan layanan yang kompetitif
EG02 Keuangan Risiko bisnis yang dikelola
EG03 Keuangan Kepatuhan terhadap hukum dan peraturan eksternal
EG04 Keuangan Kualitas informasi keuangan
EG05 Pelanggan Budaya pelayanan yang berorientasi pada pelanggan
EG06 Pelanggan Kesinambungan dan ketersediaan layanan bisnis

EG07 Pelanggan Kualitas informasi manajemen
EG08 Intern Optimalisasi fungsionalitas proses bisnis internal
EG09 Intern Optimalisasi biaya proses bisnis
EG10 Intern Keterampilan staf, motivasi dan produktivitas
EG11 Intern Kepatuhan terhadap kebijakan internal
EG12 Pertumbuhan Program transformasi digital yang dikelola
EG13 Pertumbuhan Inovasi produk dan bisnis
Bagian 4.6 mencakup informasi lebih lanjut mengenai rangkaian tujuan COBIT, yang merupakan penjelasan rinci mengenai hal ini
faktor desain.
3. Profil risiko perusahaan dan permasalahan terkini terkait I&T—Profil risiko mengidentifikasi jenis risiko terkait I&T yang saat ini dihadapi
perusahaan dan menunjukkan area risiko mana yang melebihi risiko tersebut.
nafsu makan. Kategori risiko148 yang tercantum pada Gambar 4.7 patut dipertimbangkan.
Gambar 4.7—Faktor Desain Profil Risiko (Kategori Risiko TI)

Referensi Kategori Risiko
1 Pengambilan keputusan investasi TI, definisi dan pemeliharaan portofolio
2 Manajemen siklus hidup program dan proyek
3 Biaya dan pengawasan TI
4 Keahlian, keterampilan, dan perilaku TI
5 Arsitektur perusahaan/TI
6 insiden infrastruktur operasional TI
7 Tindakan tidak sah
8 Masalah adopsi/penggunaan perangkat lunak
9 Insiden perangkat keras
10 Kegagalan perangkat lunak
11 Serangan logis (peretasan, malware, dll.)

12 Insiden pihak ketiga/pemasok
13 Ketidakpatuhan
14 Masalah geopolitik
15 Aksi industri
16 Tindakan alam
17 Inovasi berbasis teknologi
18 Lingkungan
19 Pengelolaan data dan informasi
8 14 Dimodifikasi dari ISACA, The Risk IT Practitioner Guide, USA, 2009
24

BAB 4
4. Permasalahan terkait I&T— Metode terkait dalam penilaian risiko I&T bagi perusahaan adalah dengan mempertimbangkan permasalahan
terkait I&T mana yang saat ini dihadapi, atau, dengan kata lain, risiko terkait I&T apa yang telah terwujud. Yang paling umum
isu-isu159 termasuk yang ada di Gambar 4.8.
Gambar 4.8—Faktor Desain Masalah Terkait I&T

Referensi Keterangan
A Frustrasi antara entitas TI yang berbeda di seluruh organisasi karena persepsi yang rendah
kontribusi terhadap nilai bisnis
B Frustrasi antara departemen bisnis (yaitu pelanggan TI) dan departemen TI karena
inisiatif yang gagal atau persepsi kontribusi yang rendah terhadap nilai bisnis
C Insiden signifikan terkait TI, seperti kehilangan data, pelanggaran keamanan, kegagalan proyek dan aplikasi
kesalahan, terkait dengan TI
D Masalah penyampaian layanan oleh agen outsourcing TI

E Kegagalan untuk memenuhi persyaratan peraturan atau kontrak terkait TI
F Temuan audit rutin atau laporan penilaian lainnya tentang kinerja TI yang buruk atau kualitas TI yang dilaporkan atau
masalah layanan
G Pengeluaran TI yang tersembunyi dan tidak disengaja dalam jumlah besar, yaitu pengeluaran TI yang dilakukan oleh departemen pengguna di luar kendali
mekanisme keputusan investasi TI normal dan anggaran yang disetujui
H Duplikasi atau tumpang tindih antara berbagai inisiatif, atau bentuk pemborosan sumber daya lainnya
SAYA
Sumber daya TI yang tidak memadai, staf dengan keterampilan yang tidak memadai, atau kelelahan/ketidakpuasan staf
J Perubahan atau proyek yang didukung TI sering kali gagal memenuhi kebutuhan bisnis dan terlambat atau terlambat diselesaikan
anggaran
K Keengganan anggota dewan, eksekutif, atau manajemen senior untuk terlibat dengan TI, atau kurangnya keterlibatan
sponsor bisnis berkomitmen untuk TI
L Model operasi TI yang kompleks dan/atau mekanisme pengambilan keputusan terkait TI yang tidak jelas
M Biaya TI yang terlalu tinggi
N Terhambat atau gagalnya implementasi inisiatif atau inovasi baru yang disebabkan oleh TI saat ini
arsitektur dan sistem
HAI Kesenjangan antara pengetahuan bisnis dan teknis, yang mengarah pada pengguna bisnis dan informasi
dan/atau pakar teknologi yang berbicara dalam berbagai bahasa
P Masalah rutin dengan kualitas data dan integrasi data di berbagai sumber
Q Komputasi pengguna akhir tingkat tinggi, menyebabkan (di antara masalah lainnya) kurangnya pengawasan dan kualitas
kontrol atas aplikasi yang sedang dikembangkan dan dioperasikan
R Departemen bisnis menerapkan solusi informasi mereka sendiri dengan sedikit atau tanpa keterlibatan
departemen TI perusahaan 1610
S Ketidaktahuan dan/atau ketidakpatuhan terhadap peraturan privasi

T Ketidakmampuan untuk mengeksploitasi teknologi baru atau berinovasi menggunakan I&T
5. Lanskap ancaman— Lanskap ancaman di mana perusahaan beroperasi dapat diklasifikasikan seperti yang ditunjukkan pada
gambar 4.9.
Gambar 4.9—Ancaman Faktor Desain Lanskap

Lanskap Ancaman Penjelasan
Normal Perusahaan beroperasi di bawah ancaman yang dianggap normal
tingkat.
Tinggi Karena situasi geopolitik, sektor industri atau profil tertentu, maka
perusahaan beroperasi di lingkungan dengan ancaman tinggi.
9
15 Lihat juga Bagian 3.3.1 Titik Masalah Umum, dalam ISACA, Panduan Implementasi COBIT® 2019: Menerapkan dan Mengoptimalkan Sistem Informasi dan
Solusi Tata Kelola Teknologi, AS, 2018.
10 16 Permasalahan ini terkait dengan komputasi pengguna akhir, yang sering kali berasal dari ketidakpuasan terhadap solusi dan layanan TI.
25

6. Persyaratan kepatuhan— Persyaratan kepatuhan yang harus dipenuhi oleh perusahaan dapat diklasifikasikan
sesuai dengan kategori yang tercantum pada gambar 4.10.
Gambar 4.10—Faktor Desain Persyaratan Kepatuhan

Lingkungan Peraturan Penjelasan
Persyaratan kepatuhan yang rendah Perusahaan tunduk pada serangkaian kepatuhan rutin minimal
persyaratan yang lebih rendah dari rata-rata.
Persyaratan kepatuhan normal Perusahaan tunduk pada serangkaian persyaratan kepatuhan rutin yang
umum terjadi di berbagai industri.
Persyaratan kepatuhan yang tinggi Perusahaan ini tunduk pada kepatuhan yang lebih tinggi dari rata-rata
persyaratan, paling sering terkait dengan sektor industri atau geopolitik
kondisi.
7. Peran TI—Peran TI bagi perusahaan dapat diklasifikasikan seperti ditunjukkan pada gambar 4.11.
Gambar 4.11—Peran Faktor Desain TI

Peran IT1711 Penjelasan
Mendukung TI tidak penting untuk berjalan dan kelangsungan proses bisnis
dan layanan, maupun untuk inovasi mereka.
Pabrik Ketika TI gagal, ada dampak langsung pada kelancaran dan kelangsungannya
dari proses bisnis dan layanan. Namun TI tidak dipandang sebagai sebuah
pendorong inovasi proses dan layanan bisnis.
Berputar TI dipandang sebagai pendorong inovasi proses dan layanan bisnis. Pada
Namun saat ini, tidak terdapat ketergantungan yang besar terhadap TI
berjalan saat ini dan kelangsungan proses bisnis dan layanan.
Strategis TI sangat penting untuk menjalankan dan berinovasi dalam bisnis organisasi
proses dan layanan.
8. Model pengadaan untuk TI—Model pengadaan yang diadopsi perusahaan dapat diklasifikasikan seperti yang ditunjukkan pada gambar 4.12.
Gambar 4.12—Model Sumber untuk Faktor Desain TI

Model Sumber Penjelasan
Pengalihdayaan Perusahaan meminta layanan pihak ketiga untuk menyediakan TI
jasa.
Awan Perusahaan memaksimalkan penggunaan cloud untuk menyediakan layanan TI
kepada penggunanya.
Bersumber Perusahaan menyediakan staf dan layanan TI sendiri.

Hibrida Model campuran diterapkan, menggabungkan tiga model lainnya secara bervariasi
derajat.
11 17 Peran yang tercantum dalam tabel ini diambil dari McFarlan, F. Warren; James L.McKenney; Philip Pyburn; “Kepulauan Informasi—Merencanakan a
Tentu saja,” Harvard Business Review, Januari 1993, https:// hbr.org/ 1983/01/ the-information-archipelago-plotting-a-course.
26

BAB 4
9. Metode penerapan TI— Metode yang diterapkan perusahaan dapat diklasifikasikan seperti yang tercantum pada gambar 4.13.
Gambar 4.13—Faktor Desain Metode Implementasi TI

Metode Implementasi TI Penjelasan
Lincah Perusahaan menggunakan metode kerja pengembangan Agile untuknya

pengembangan perangkat lunak.
DevOps Perusahaan menggunakan metode kerja DevOps untuk pembuatan perangkat lunak,
penyebaran dan operasi.
Tradisional Perusahaan menggunakan pendekatan yang lebih klasik untuk pengembangan perangkat lunak
(air terjun) dan memisahkan pengembangan perangkat lunak dari operasi.
Hibrida Perusahaan menggunakan perpaduan implementasi TI tradisional dan modern,
sering disebut sebagai “TI bimodal.”
10. Strategi adopsi teknologi— Strategi adopsi teknologi dapat diklasifikasikan seperti tercantum pada gambar 4.14.
Gambar 4.14—Faktor Rancangan Strategi Adopsi Teknologi

Strategi Adopsi Teknologi Penjelasan
Penggerak pertama Perusahaan umumnya mengadopsi teknologi baru sedini mungkin
dan mencoba mendapatkan keuntungan sebagai penggerak pertama.
Pengikut Perusahaan biasanya menunggu munculnya teknologi baru

mainstream dan terbukti sebelum mengadopsinya.
Pengadopsi yang lambat Perusahaan sangat terlambat dalam mengadopsi teknologi baru.
11. Ukuran perusahaan —Dua kategori, seperti yang ditunjukkan pada gambar 4.15, diidentifikasi untuk desain perusahaan
sistem pemerintahan. 1812
Gambar 4.15—Faktor Desain Ukuran Perusahaan

Ukuran perusahaan Penjelasan
Perusahaan besar (Default) Perusahaan dengan lebih dari 250 karyawan tetap (FTE)
Usaha kecil dan menengah Perusahaan dengan 50 hingga 250 FTE
18
12
Usaha mikro, yaitu perusahaan dengan jumlah staf kurang dari 50 orang, tidak dibahas dalam publikasi ini.
27
4.6 Rangkaian Sasaran
Kebutuhan pemangku kepentingan harus diubah menjadi strategi perusahaan yang dapat ditindaklanjuti. Rangkaian tujuan (gambar 4.16) mendukung tujuan
perusahaan, yang merupakan salah satu faktor desain utama sistem tata kelola. Ini mendukung penentuan prioritas tujuan pengelolaan berdasarkan prioritas tujuan
perusahaan.
Gambar 4.16—Kaskade Sasaran COBIT
Pemangku kepentingan
Pengemudi dan
Kebutuhan
Perusahaan
Bertingkat ke
Sasaran
Penyelarasan
Sasaran
Bertingkat ke
Tata Kelola dan
Bertingkat ke
Pengelolaan
Tujuan
Rangkaian tujuan lebih lanjut mendukung penerjemahan tujuan perusahaan menjadi prioritas untuk penyelarasan tujuan. Rangkaian tujuan telah diperbarui
secara menyeluruh di COBIT® 2019:
ÿ Sasaran perusahaan telah dikonsolidasikan, dikurangi, diperbarui dan diklarifikasi.
19
ÿ Penyelarasan tujuan menekankan keselarasan seluruh upaya TI dengan tujuan bisnis. untuk menghindari 13 Istilah yang diperbarui ini juga berupaya
kesalahpahaman yang sering terjadi bahwa tujuan ini hanya menunjukkan tujuan internal departemen TI dalam suatu perusahaan. Seperti tujuan perusahaan,
tujuan penyelarasan telah dikonsolidasikan, dikurangi, diperbarui dan diklarifikasi jika diperlukan.
19
13
Tujuan penyelarasan disebut tujuan terkait TI di COBIT 5.
28

BAB 4
4.6.1 Tujuan Perusahaan
Kebutuhan pemangku kepentingan mengalir ke tujuan perusahaan. Gambar 4.17 menunjukkan kumpulan 13 tujuan perusahaan beserta sebuah angka
contoh metrik yang menyertainya.
Gambar 4.17—Cascade Sasaran: Sasaran dan Metrik Perusahaan

Referensi Dimensi BSC Tujuan Perusahaan Contoh Metrik
EG01 Keuangan Portofolio kompetitif ÿ Persentase produk dan layanan yang memenuhi atau melampaui
produk dan layanan target pendapatan dan/atau pangsa pasar
ÿ Persentase produk dan layanan yang memenuhi atau melampaui
target kepuasan pelanggan
ÿ Persentase produk dan layanan yang memberikan daya saing
keuntungan
ÿ Waktunya memasarkan produk dan layanan baru
EG02 Keuangan Risiko bisnis yang dikelola ÿ Persentase tujuan dan layanan bisnis penting
dicakup oleh penilaian risiko
ÿ Rasio insiden signifikan yang tidak teridentifikasi
penilaian risiko vs. total insiden
ÿ Frekuensi pembaruan profil risiko yang tepat
EG03 Keuangan Kepatuhan dengan eksternal ÿ Biaya ketidakpatuhan terhadap peraturan, termasuk penyelesaian
undang undang Undang dan denda
ÿ Jumlah penyebab masalah ketidakpatuhan terhadap peraturan
komentar publik atau publisitas negatif
ÿ Jumlah masalah ketidakpatuhan yang dicatat oleh regulator atau
otoritas pengawas
ÿ Jumlah masalah ketidakpatuhan terhadap peraturan yang berkaitan dengan
perjanjian kontrak dengan mitra bisnis
EG04 Keuangan Kualitas keuangan ÿ Survei kepuasan pemangku kepentingan utama mengenai
informasi transparansi, pemahaman dan keakuratan perusahaan
informasi keuangan
ÿ Biaya ketidakpatuhan terhadap peraturan terkait keuangan
peraturan
EG05 Pelanggan Layanan berorientasi pelanggan ÿ Jumlah gangguan layanan pelanggan
budaya ÿ Persentase pemangku kepentingan bisnis puas dengan pelanggan tersebut
penyampaian layanan memenuhi tingkat yang disepakati
ÿ Jumlah keluhan pelanggan
ÿ Tren hasil survei kepuasan pelanggan
EG06 Pelanggan Keberlangsungan layanan bisnis ÿ Jumlah layanan pelanggan atau proses bisnis
dan ketersediaan gangguan yang menyebabkan insiden besar
ÿ Biaya bisnis dari insiden
ÿ Jumlah jam pemrosesan bisnis yang hilang karena
gangguan layanan yang tidak direncanakan
ÿ Persentase keluhan sebagai fungsi dari target ketersediaan layanan yang
berkomitmen
EG07 Pelanggan Kualitas manajemen ÿ Tingkat kepuasan dewan dan manajemen eksekutif
informasi dengan informasi pengambilan keputusan
ÿ Jumlah insiden yang disebabkan oleh bisnis yang salah
pengambilan keputusan berdasarkan informasi yang tidak akurat
ÿ Saatnya memberikan informasi pendukung agar efektif

keputusan bisnis
ÿ Ketepatan waktu informasi manajemen
29

Gambar 4.17—Cascade Sasaran: Sasaran dan Metrik Perusahaan (lanjutan)

Referensi Metrik Contoh Sasaran Perusahaan Dimensi BSC
EG08 Intern Optimalisasi internal ÿ Tingkat kepuasan dewan dan manajemen eksekutif
proses bisnis dengan kemampuan proses bisnis
Kegunaan ÿ Tingkat kepuasan pelanggan terhadap pemberian layanan
kemampuan
ÿ Tingkat kepuasan pemasok terhadap rantai pasok
kemampuan
EG09 Intern Optimalisasi bisnis ÿ Rasio biaya vs. tingkat layanan yang dicapai
biaya proses ÿ Tingkat kepuasan dewan dan manajemen eksekutif
dengan biaya pemrosesan bisnis
EG10 Intern Keterampilan staf, motivasi dan ÿ Produktivitas staf dibandingkan dengan tolok ukur
produktifitas ÿ Tingkat kepuasan pemangku kepentingan terhadap keahlian staf dan
keterampilan
ÿ Persentase staf yang keterampilannya relatif tidak memadai

kompetensi yang dibutuhkan untuk peran mereka
ÿ Persentase staf yang puas
EG11 Intern Kepatuhan dengan internal ÿ Jumlah insiden terkait ketidakpatuhan terhadap kebijakan
kebijakan ÿ Persentase pemangku kepentingan yang memahami kebijakan
ÿ Persentase kebijakan yang didukung oleh standar yang efektif dan
praktik kerja
EG12 Pertumbuhan Dikelola secara digital ÿ Jumlah program tepat waktu dan sesuai anggaran
program transformasi ÿ Persentase pemangku kepentingan puas dengan pelaksanaan program
ÿ Persentase program transformasi bisnis terhenti
ÿ Persentase program transformasi bisnis yang dilakukan secara reguler
pembaruan status yang dilaporkan
EG13 Pertumbuhan Produk dan bisnis ÿ Tingkat kesadaran dan pemahaman bisnis
inovasi peluang inovasi
ÿ Kepuasan pemangku kepentingan terhadap tingkat produk dan
keahlian dan ide inovasi
ÿ Jumlah inisiatif produk dan layanan yang disetujui
dihasilkan dari ide-ide inovatif
4.6.2 Tujuan Penyelarasan
Sasaran perusahaan mengalir ke sasaran penyelarasan. Gambar 4.18 berisi kumpulan tujuan penyelarasan dan contoh metrik.
Gambar 4.18—Cascade Sasaran: Penyelarasan Sasaran dan Metrik

Referensi IT BSC Tujuan Penyelarasan Metrik
Dimensi
AG01 Keuangan Kepatuhan dan dukungan I&T ÿ Biaya ketidakpatuhan TI, termasuk penyelesaian dan denda,
untuk kepatuhan bisnis dengan dan dampak hilangnya reputasi
hukum dan peraturan eksternal ÿ Jumlah masalah ketidakpatuhan terkait TI yang dilaporkan ke
dewan atau menyebabkan komentar publik atau rasa malu
ÿ Jumlah masalah ketidakpatuhan yang berkaitan dengan kontrak
perjanjian dengan penyedia layanan TI
AG02 Keuangan Risiko terkait I&T yang dikelola ÿ Frekuensi pembaruan profil risiko yang tepat
ÿ Persentase penilaian risiko perusahaan termasuk risiko terkait I&T
ÿ Jumlah insiden signifikan terkait I&T yang tidak terjadi

diidentifikasi dalam penilaian risiko
30

BAB 4
Gambar 4.18— Kaskade Sasaran: Penyelarasan Sasaran dan Metrik (lanjutan)

Dimensi
AG03 Keuangan Mewujudkan manfaat dari ÿ Persentase investasi yang mendukung I&T yang diklaim
investasi yang mendukung I&T dan manfaat dalam kasus bisnis terpenuhi atau terlampaui
portofolio layanan ÿ Persentase layanan I&T yang manfaatnya diharapkan (seperti
dinyatakan dalam perjanjian tingkat layanan) direalisasikan
AG04 Keuangan Kualitas terkait teknologi ÿ Kepuasan pemangku kepentingan utama mengenai tingkat
informasi keuangan transparansi, pemahaman dan keakuratan keuangan TI
informasi
ÿ Persentase layanan I&T yang telah ditetapkan dan disetujui
biaya operasional dan manfaat yang diharapkan
AG05 Pelanggan Pengiriman layanan I&T sejalan ÿ Persentase pemangku kepentingan bisnis puas dengan layanan TI
dengan kebutuhan bisnis pengiriman memenuhi tingkat layanan yang disepakati
ÿ Jumlah gangguan bisnis karena layanan TI
insiden
ÿ Persentase pengguna puas dengan kualitas layanan TI
pengiriman
AG06 Pelanggan Kelincahan untuk mengubah bisnis ÿ Tingkat kepuasan eksekutif bisnis dengan TI
persyaratan menjadi operasional responsif terhadap persyaratan baru
solusi ÿ Rata-rata waktu pemasaran untuk layanan baru terkait I&T dan
aplikasi
ÿ Waktu rata-rata untuk mengubah tujuan I&T strategis menjadi
inisiatif yang disepakati dan disetujui
ÿ Jumlah proses bisnis penting yang didukung oleh infrastruktur dan
aplikasi terkini
AG07 Intern Keamanan informasi, ÿ Jumlah insiden kerahasiaan yang menyebabkan kerugian finansial,
infrastruktur pemrosesan dan gangguan bisnis atau rasa malu publik
aplikasi, dan privasi ÿ Jumlah insiden ketersediaan yang menyebabkan kerugian finansial,
gangguan bisnis atau rasa malu publik
ÿ Jumlah insiden integritas yang menyebabkan kerugian finansial,
gangguan bisnis atau rasa malu publik
AG08 Intern Mengaktifkan dan mendukung ÿ Waktu untuk menjalankan layanan atau proses bisnis
proses bisnis oleh ÿ Jumlah program bisnis yang mendukung I&T tertunda atau
mengintegrasikan aplikasi dan menimbulkan biaya tambahan karena integrasi teknologi
teknologi masalah
ÿ Jumlah perubahan proses bisnis yang perlu dilakukan
tertunda atau dikerjakan ulang karena integrasi teknologi
masalah
ÿ Jumlah aplikasi atau infrastruktur penting
beroperasi secara silo dan tidak terintegrasi
AG09 Intern Penyampaian program tepat waktu, ÿ Jumlah program/proyek yang tepat waktu dan sesuai anggaran
pada anggaran dan pertemuan ÿ Jumlah program yang memerlukan pengerjaan ulang yang signifikan karena
persyaratan dan kualitas cacat kualitas
standar ÿ Persentase pemangku kepentingan yang puas dengan program/proyek
kualitas
AG10 Intern Kualitas manajemen I&T ÿ Tingkat kepuasan pengguna terhadap kualitas dan ketepatan waktu dan
informasi ketersediaan informasi manajemen terkait I&T, pengambilan
memperhitungkan sumber daya yang tersedia
ÿ Rasio dan tingkat keputusan bisnis yang salah di mana
informasi terkait I&T yang salah atau tidak tersedia adalah kuncinya
faktor
ÿ Persentase informasi yang memenuhi kriteria kualitas
31
Gambar 4.18— Kaskade Sasaran: Penyelarasan Sasaran dan Metrik (lanjutan)

Dimensi
AG11 Intern Kepatuhan I&T terhadap kebijakan ÿ Jumlah insiden terkait ketidakpatuhan terhadap kebijakan terkait TI
internal ÿ Jumlah
pengecualian terhadap kebijakan internal ÿ Frekuensi
peninjauan dan pembaruan kebijakan ÿ Persentase
AG12 Belajar dan Staf yang kompeten dan pelaku bisnis yang paham I&T (yaitu mereka yang memiliki
Pertumbuhan termotivasi dengan pengetahuan dan pemahaman I&T yang diperlukan untuk memandu,
pemahaman bersama tentang mengarahkan, berinovasi, dan melihat peluang I&T untuk bidang
teknologi dan bisnis keahliannya)
ÿ Persentase orang TI yang paham bisnis (yaitu, mereka yang memiliki
pengetahuan dan pemahaman yang diperlukan tentang domain
bisnis yang relevan untuk memandu, mengarahkan, berinovasi,
dan melihat peluang I&T untuk domain bisnis)
ÿ Jumlah atau persentase pelaku bisnis dengan pengalaman manajemen
teknologi ÿ Tingkat kesadaran
AG13 Belajar dan Pengetahuan, keahlian dan dan pemahaman eksekutif bisnis tentang kemungkinan inovasi I&T
Pertumbuhan inisiatif untuk inovasi bisnis
ÿ Jumlah inisiatif yang disetujui yang dihasilkan dari inovasi
ide-ide I&T
ÿ Jumlah pemimpin inovasi yang diakui/diberikan
32

BAB 5
TUJUAN TATA KELOLA DAN MANAJEMEN COBIT
Bab 5
Tujuan Tata Kelola dan Manajemen COBIT
5.1 Tujuan
Pada bagian 4.2, gambar 4.2, model inti COBIT disajikan, termasuk 40 tata kelola dan manajemen
tujuan. Gambar 5.1 mencantumkan seluruh tujuan tata kelola dan pengelolaan, masing-masing dengan pernyataan tujuannya. Itu
pernyataan tujuan adalah penjabaran lebih lanjut—tingkat detail berikutnya—dari setiap tujuan tata kelola dan pengelolaan.
Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen
Tujuan Nama Referensi
EDM01 Kerangka tata kelola yang terjamin Memberikan pendekatan yang konsisten, terintegrasi dan selaras dengan
pengaturan dan pemeliharaan pendekatan tata kelola perusahaan. Keputusan terkait I&T harus diambil
dibuat sejalan dengan strategi dan tujuan perusahaan dan
nilai yang diinginkan terwujud. Untuk itu, pastikan terkait dengan I&T
proses diawasi secara efektif dan transparan; kepatuhan
dengan persyaratan hukum, kontrak dan peraturan dikonfirmasi;
dan persyaratan tata kelola untuk anggota dewan terpenuhi.
EDM02 Pemberian manfaat yang terjamin Mendapatkan nilai optimal dari inisiatif, layanan, dan teknologi yang mendukung I&T
aktiva; penyampaian solusi dan layanan yang hemat biaya; dan sebuah
gambaran biaya dan kemungkinan manfaat yang dapat diandalkan dan akurat
kebutuhan bisnis didukung secara efektif dan efisien.
EDM03 Optimalisasi risiko yang terjamin Memastikan bahwa risiko perusahaan terkait I&T tidak melebihi
selera risiko dan toleransi risiko perusahaan, dampak risiko I&T
terhadap nilai perusahaan diidentifikasi dan dikelola, dan potensinya
kegagalan kepatuhan diminimalkan.
EDM04 Pengoptimalan sumber daya yang terjamin Memastikan bahwa kebutuhan sumber daya perusahaan terpenuhi dalam
secara optimal, biaya I&T dioptimalkan, dan terjadi peningkatan
kemungkinan realisasi manfaat dan kesiapan untuk perubahan di masa depan.
EDM05 Memastikan keterlibatan pemangku kepentingan Pastikan bahwa pemangku kepentingan mendukung strategi I&T dan
peta jalan, komunikasi kepada pemangku kepentingan efektif dan tepat waktu,
dan dasar pelaporan ditetapkan untuk meningkatkan kinerja.
Identifikasi area yang perlu ditingkatkan, dan konfirmasikan bahwa hal tersebut terkait dengan I&T
tujuan dan strategi sejalan dengan strategi perusahaan.
APO01 Manajemen I&T yang terkelola Menerapkan pendekatan manajemen yang konsisten untuk perusahaan
kerangka persyaratan tata kelola yang harus dipenuhi, mencakup tata kelola
komponen seperti proses manajemen; organisasi
struktur; peran dan tanggung jawab; aktivitas yang andal dan berulang;
item informasi; kebijakan dan prosedur; keterampilan dan kompetensi;
budaya dan perilaku; dan layanan, infrastruktur dan aplikasi.
APO02 Strategi yang dikelola Mendukung strategi transformasi digital organisasi dan
memberikan nilai yang diinginkan melalui peta jalan inkremental
perubahan. Gunakan pendekatan I&T yang holistik, pastikan bahwa setiap inisiatif
jelas terkait dengan strategi menyeluruh. Aktifkan perubahan
semua aspek organisasi yang berbeda, mulai dari saluran dan
proses hingga data, budaya, keterampilan, model operasi dan insentif.
APO03 Arsitektur perusahaan yang dikelola Mewakili berbagai blok bangunan yang membentuk perusahaan
dan keterkaitannya, serta prinsip-prinsip yang memandu mereka
desain dan evolusi dari waktu ke waktu, untuk memungkinkan standar, responsif
dan penyampaian tujuan operasional dan strategis yang efisien.
APO04 Inovasi yang dikelola Mencapai keunggulan kompetitif, inovasi bisnis, ditingkatkan
pengalaman pelanggan, dan peningkatan efektivitas operasional dan
efisiensi dengan memanfaatkan perkembangan I&T dan teknologi baru.
33

Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen (lanjutan)
Referensi Nama Tujuan
APO05 Portofolio yang dikelola Mengoptimalkan kinerja keseluruhan portofolio program di
respons terhadap kinerja program, produk, dan layanan individu
dan mengubah prioritas dan permintaan perusahaan.
APO06 Anggaran dan biaya yang dikelola Membina kemitraan antara TI dan pemangku kepentingan perusahaan untuk
memungkinkan penggunaan sumber daya terkait I&T secara efektif dan efisien dan
memberikan transparansi dan akuntabilitas biaya dan bisnis
nilai solusi dan layanan. Memungkinkan perusahaan untuk membuat
keputusan yang terinformasi mengenai penggunaan solusi I&T dan
jasa.
APO07 Sumber daya manusia yang dikelola Mengoptimalkan kemampuan sumber daya manusia untuk memenuhi kebutuhan perusahaan
tujuan.
APO08 Hubungan yang dikelola Aktifkan pengetahuan, keterampilan, dan perilaku yang tepat untuk berkreasi
peningkatan hasil, peningkatan kepercayaan diri, rasa saling percaya dan
penggunaan sumber daya secara efektif yang merangsang hubungan produktif
dengan pemangku kepentingan bisnis.
APO09 Perjanjian layanan terkelola Memastikan produk, layanan, dan tingkat layanan I&T memenuhi kondisi terkini
dan kebutuhan perusahaan di masa depan.
APO10 Vendor yang dikelola Mengoptimalkan kemampuan I&T yang tersedia untuk mendukung strategi I&T dan
peta jalan, meminimalkan risiko yang terkait dengan kinerja buruk atau
vendor yang tidak patuh, dan memastikan harga yang kompetitif.
APO11 Kualitas yang dikelola Memastikan penyampaian solusi dan layanan teknologi secara konsisten kepada
memenuhi persyaratan kualitas perusahaan dan memuaskan
kebutuhan pemangku kepentingan.
APO12 Risiko yang dikelola Integrasikan manajemen risiko perusahaan terkait I&T dengan
manajemen risiko perusahaan (ERM) secara keseluruhan dan menyeimbangkan biaya
dan manfaat pengelolaan risiko perusahaan terkait I&T.
APO13 Keamanan terkelola Menjaga dampak dan terjadinya insiden keamanan informasi
dalam tingkat selera risiko perusahaan.
APO14 Data yang dikelola Pastikan pemanfaatan aset data penting secara efektif untuk dicapai
tujuan dan sasaran perusahaan.
BAI01 Program yang dikelola Mewujudkan nilai bisnis yang diinginkan dan mengurangi risiko yang tidak terduga
penundaan, biaya dan erosi nilai. Untuk melakukannya, tingkatkan
komunikasi dan keterlibatan bisnis dan pengguna akhir,
memastikan nilai dan kualitas hasil dan tindak lanjut program
proyek dalam program, dan memaksimalkan program
kontribusi terhadap portofolio investasi.
BAI02 Definisi persyaratan terkelola Ciptakan solusi optimal yang memenuhi kebutuhan perusahaan sekaligus
meminimalkan risiko.
BAI03 Identifikasi solusi terkelola Memastikan penyampaian produk dan layanan digital yang tangkas dan terukur.
dan membangun Menetapkan solusi tepat waktu dan hemat biaya (teknologi, bisnis
proses dan alur kerja) yang mampu mendukung perusahaan
tujuan strategis dan operasional.
BAI04 Ketersediaan dan kapasitas yang dikelola Menjaga ketersediaan layanan, pengelolaan sumber daya yang efisien
dan optimalisasi kinerja sistem melalui prediksi
persyaratan kinerja dan kapasitas di masa depan.
BAI05 Perubahan organisasi yang dikelola Mempersiapkan dan berkomitmen pada pemangku kepentingan untuk perubahan dan pengurangan bisnis
risiko kegagalan.
BAI06 Perubahan TI yang dikelola Memungkinkan penyampaian perubahan yang cepat dan andal pada bisnis.
Mengurangi risiko dampak negatif terhadap stabilitas atau integritas
lingkungan yang berubah.
BAI07 Penerimaan perubahan TI yang terkelola Melaksanakan solusi secara aman dan sesuai dengan kesepakatan
dan transisi harapan dan hasil.
34

BAB 5
TUJUAN TATA KELOLA DAN MANAJEMEN COBIT
Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen (lanjutan)
Referensi Nama Tujuan
BAI08 Pengetahuan yang dikelola Memberikan pengetahuan dan informasi manajemen yang diperlukan untuk
mendukung semua staf dalam tata kelola dan manajemen perusahaan
I&T dan memungkinkan pengambilan keputusan yang tepat.
BAI09 Aset yang dikelola Perhitungkan semua aset I&T dan optimalkan nilai yang diberikan olehnya
menggunakan.
BAI10 Konfigurasi terkelola Memberikan informasi yang memadai tentang aset layanan untuk mengaktifkan
pelayanan agar dapat dikelola secara efektif. Menilai dampak perubahan
dan menangani insiden layanan.
BAI11 Proyek yang dikelola Mewujudkan hasil proyek yang ditentukan dan mengurangi risiko
penundaan yang tidak terduga, biaya dan erosi nilai dengan melakukan perbaikan
komunikasi dan keterlibatan bisnis dan pengguna akhir.
Pastikan nilai dan kualitas hasil proyek dan maksimalkan
kontribusi mereka terhadap program dan investasi yang ditentukan
portofolio.
DSS01 Operasi yang dikelola Memberikan hasil produk dan layanan operasional I&T sesuai rencana.
DSS02 Permintaan layanan terkelola dan Mencapai peningkatan produktivitas dan meminimalkan gangguan melalui
insiden resolusi cepat pertanyaan dan insiden pengguna. Nilai dampaknya
perubahan dan menangani insiden layanan. Selesaikan permintaan pengguna
dan memulihkan layanan sebagai respons terhadap insiden.
DSS03 Masalah yang dikelola Meningkatkan ketersediaan, meningkatkan tingkat layanan, mengurangi biaya, meningkatkan
kenyamanan dan kepuasan pelanggan dengan mengurangi jumlah
masalah operasional, dan mengidentifikasi akar penyebab sebagai bagian dari masalah
resolusi.
DSS04 Kontinuitas yang dikelola Beradaptasi dengan cepat, melanjutkan operasi bisnis, dan mempertahankan
ketersediaan sumber daya dan informasi pada tingkat yang dapat diterima
perusahaan jika terjadi gangguan signifikan (misalnya ancaman,
peluang, tuntutan).
DSS05 Layanan keamanan terkelola Meminimalkan dampak bisnis dari keamanan informasi operasional
kerentanan dan insiden.
DSS06 Proses bisnis yang dikelola Menjaga integritas informasi dan keamanan informasi
kontrol aset yang ditangani dalam proses bisnis di perusahaan atau perusahaannya
operasi outsourcing.
MEA01 Kinerja yang dikelola dan Memberikan transparansi kinerja dan kesesuaian serta dorongan
pemantauan kesesuaian pencapaian tujuan.
MEA02 Sistem pengendalian internal yang terkelola Dapatkan transparansi bagi pemangku kepentingan utama mengenai kecukupan
sistem pengendalian internal dan dengan demikian memberikan kepercayaan dalam operasi,
keyakinan terhadap pencapaian tujuan perusahaan dan
pemahaman yang memadai tentang risiko sisa.
MEA03 Kepatuhan yang dikelola dengan eksternal Memastikan bahwa perusahaan mematuhi semua kebijakan eksternal yang berlaku
persyaratan persyaratan.
MEA04 Jaminan terkelola Memungkinkan organisasi untuk merancang dan mengembangkan secara efisien dan
inisiatif penjaminan yang efektif, memberikan panduan mengenai perencanaan,
pelingkupan, pelaksanaan dan tindak lanjut tinjauan jaminan, menggunakan a
peta jalan berdasarkan pendekatan jaminan yang diterima dengan baik.
35
36

BAB 6
MANAJEMEN KINERJA DALAM COBIT
Bab 6
Manajemen Kinerja di COBIT
6.1 Definisi
Manajemen kinerja merupakan bagian penting dari tata kelola dan sistem manajemen. “Manajemen kinerja” mewakili istilah umum untuk
semua aktivitas dan metode. Hal ini mengungkapkan seberapa baik tata kelola dan sistem manajemen serta seluruh komponen suatu
perusahaan bekerja, dan bagaimana hal tersebut dapat ditingkatkan untuk mencapai tingkat yang diperlukan. Ini mencakup konsep dan
metode seperti tingkat kemampuan dan tingkat kematangan. COBIT menggunakan istilah manajemen kinerja COBIT (CPM) untuk
menggambarkan aktivitas ini, dan konsep ini merupakan bagian integral dari kerangka COBIT.
6.2 Prinsip Manajemen Kinerja COBIT
COBIT® 2019 didasarkan pada prinsip-prinsip berikut:
1. CPM harus mudah dipahami dan digunakan.
2. CPM harus konsisten dan mendukung model konseptual COBIT. Hal ini harus memungkinkan pengelolaan kinerja semua jenis komponen
sistem tata kelola; kinerja proses serta kinerja jenis komponen lainnya (misalnya, struktur organisasi atau informasi) harus
dapat dikelola jika pengguna menginginkannya.
3. CPM harus memberikan hasil yang dapat dipercaya, dapat diulang dan relevan.
4. CPM harus fleksibel, sehingga dapat mendukung kebutuhan berbagai organisasi dengan prioritas berbeda
dan kebutuhan.
5. CPM harus mendukung berbagai jenis penilaian, mulai dari penilaian mandiri hingga penilaian formal atau audit.
6.3 Ikhtisar Manajemen Kinerja COBIT
Model CPM (gambar 6.1) sebagian besar menyelaraskan dan memperluas konsep CMMI® Development V2.0201 :
ÿ Aktivitas proses dikaitkan dengan tingkat kemampuan. Ini termasuk dalam COBIT® Kerangka Kerja 2019: Panduan
Tujuan Tata Kelola dan Pengelolaan. ÿ
Jenis komponen tata kelola dan manajemen lainnya (misalnya, struktur organisasi, informasi) mungkin juga memiliki tingkat kemampuan
yang ditentukan dalam panduan di masa mendatang. ÿ Tingkat
kematangan dikaitkan dengan area fokus (yaitu, kumpulan tujuan tata kelola dan pengelolaan dan
komponen yang mendasarinya) dan akan tercapai jika semua tingkat kemampuan yang diperlukan tercapai.
1 20 CMMI® Development V2.0, CMMI Institute, AS, 2018, https:// cmmiinstitute.com/ model-viewer/ dashboard
37
Gambar 6.1—Tingkat Kemampuan
COBIT 5 PAM
(ISO/IEC 15504ÿ CMMI 2.0 Pembaruan COBIT
ISO/IEC 33000)
Kematangan Kematangan
Proses Kemampuan Kemampuan Kemampuan
Jenis komponen tata kelola dan Kemampuan

manajemen lainnya
Jika perusahaan ingin terus menggunakan model kapabilitas proses COBIT 5 berdasarkan Organisasi Internasional untuk
Standardisasi (ISO)/Komisi Elektroteknik Internasional (IEC) 15504 (sekarang ISO/IEC 33000, di mana tingkat kapabilitas
memiliki arti yang sangat berbeda), mereka harus memenuhi semua persyaratan tersebut. informasi untuk
melakukannya dalam Kerangka COBIT® 2019: Tujuan Tata Kelola dan Manajemen. Tidak diperlukan publikasi model
penilaian proses (PAM) terpisah, dan tidak pula disediakan bersama COBIT® 2019.
Dalam COBIT® 2019, hasil proses atau tujuan proses yang eksplisit digantikan oleh praktik proses itu sendiri.
Hal ini menghasilkan situasi berikut untuk evaluasi ISO/IEC33000:
1. Hasil proses sekarang dikaitkan dengan praktik proses secara satu-ke-satu (yaitu, hasil proses adalah penyelesaian
praktik proses yang berhasil). Catatan: praktik proses dirumuskan sebagai praktik, dan hasilnya dapat diperoleh dari
sana. Contoh: APO01.01 Rancangan sistem manajemen untuk I&T perusahaan sebagai hasil proses APO01.01: Sebuah
sistem manajemen untuk I&T perusahaan dirancang.
2. Praktik dasar sama dengan praktik proses COBIT® 2019 untuk setiap tujuan tata kelola dan manajemen.
3. Produk kerja setara dengan Arus Informasi dan Item pada komponen C pada setiap tujuan tata
kelola/manajemen.
Oleh karena itu, pemetaan hasil ke praktik dasar dan produk kerja semuanya dilakukan sesuai definisi di COBIT® 2019.
6.4 Mengelola Kinerja Proses
6.4.1 Tingkat Kemampuan Proses
COBIT® 2019 mendukung skema kemampuan proses berbasis CMMI. Proses dalam setiap tujuan tata kelola dan
pengelolaan dapat beroperasi pada berbagai tingkat kemampuan, mulai dari 0 hingga 5. Tingkat kemampuan adalah ukuran
seberapa baik suatu proses diterapkan dan dijalankan. Gambar 6.2 menggambarkan model, peningkatan tingkat kemampuan
dan karakteristik umum masing-masing model.
38

BAB 6
Gambar 6.2—Tingkat Kemampuan untuk Proses
Proses mencapai tujuannya, didefinisikan

dengan baik, kinerjanya diukur untuk
5 meningkatkan kinerja dan perbaikan
berkelanjutan diupayakan.
Proses tersebut mencapai tujuannya, didefinisikan dengan baik,

4 dan kinerjanya diukur (secara kuantitatif).
Proses mencapai tujuannya dengan cara yang lebih terorganisir dengan

3 menggunakan aset organisasi. Proses biasanya didefinisikan dengan baik.
Proses tersebut mencapai tujuannya melalui penerapan serangkaian aktivitas dasar namun lengkap
2 yang dapat dicirikan sebagai telah dilakukan.
Proses tersebut kurang lebih mencapai tujuannya melalui penerapan serangkaian aktivitas yang tidak lengkap yang dapat
1 dikategorikan sebagai aktivitas awal atau intuitif—tidak terlalu terorganisir.
• Kurangnya kemampuan dasar •

0 Pendekatan yang tidak lengkap untuk mencapai tujuan tata kelola dan manajemen •
Mungkin atau mungkin tidak memenuhi maksud dari praktik proses apa pun
Model inti COBIT menetapkan tingkat kemampuan untuk semua aktivitas proses, memungkinkan definisi yang jelas tentang proses dan
aktivitas yang diperlukan untuk mencapai tingkat kemampuan yang berbeda. Lihat Kerangka COBIT® 2019: Tujuan Tata Kelola dan
Manajemen untuk detail lebih lanjut.
6.4.2 Kegiatan Proses Pemeringkatan
Tingkat kemampuan dapat dicapai pada tingkat yang berbeda-beda, yang dapat dinyatakan dengan serangkaian peringkat. Kisaran
peringkat yang tersedia bergantung pada konteks di mana penilaian kinerja dilakukan:
ÿ Beberapa metode formal yang mengarah pada sertifikasi independen menggunakan serangkaian peringkat biner lulus/gagal. ÿ Metode yang kurang formal (sering
digunakan dalam konteks peningkatan kinerja) bekerja lebih baik dengan rentang penilaian yang lebih luas,
seperti berikut ini: ÿ
Sepenuhnya— Tingkat kemampuan dicapai lebih dari 85 persen. (Hal ini tetap merupakan keputusan penilaian, namun dapat
dibuktikan dengan pemeriksaan atau penilaian terhadap komponen-komponen pendukung, seperti aktivitas proses, tujuan
proses, atau praktik baik struktur organisasi.)
ÿ Sebagian besar — Tingkat kemampuan dicapai antara 50 persen dan 85 persen. ÿ Sebagian
— Tingkat kemampuan dicapai antara 15 persen hingga 50 persen. ÿ Tidak—Tingkat kemampuan
yang dicapai kurang dari 15 persen.
6.4.3 Tingkat Kematangan Area Fokus
Terkadang tingkat yang lebih tinggi diperlukan untuk menyatakan kinerja tanpa rincian yang dapat diterapkan pada peringkat
kemampuan proses individual. Tingkat kedewasaan dapat digunakan untuk tujuan itu. COBIT® 2019 mendefinisikan tingkat kematangan
sebagai ukuran kinerja pada tingkat area fokus, seperti yang ditunjukkan pada gambar 6.3.
39

Gambar 6.3—Tingkat Kematangan untuk Area Fokus
Mengoptimalkan—Perusahaan berfokus
5 pada perbaikan berkelanjutan.
Kuantitatif—Perusahaan didorong oleh data, dengan

4 peningkatan kinerja kuantitatif.
3 Ditetapkan—Standar seluruh perusahaan memberikan panduan di seluruh perusahaan.
Dikelola—Perencanaan dan pengukuran kinerja berlangsung, meskipun belum dalam cara

2 yang terstandarisasi.
1 Awal—Pekerjaan telah selesai, namun tujuan dan maksud penuh dari area fokus belum tercapai.
Belum Selesai—Pekerjaan mungkin telah selesai atau belum selesai untuk mencapai tujuan tata kelola dan tujuan pengelolaan di area
0 fokus.
Tingkat kematangan dikaitkan dengan bidang fokus (yaitu, kumpulan tujuan tata kelola dan pengelolaan serta komponen yang
mendasarinya) dan tingkat kematangan tertentu dicapai jika semua proses yang terdapat dalam bidang fokus mencapai tingkat
kemampuan tertentu.
6.5 Pengelolaan Kinerja Komponen Sistem Tata Kelola Lainnya
6.5.1 Manajemen Kinerja Struktur Organisasi
Meskipun tidak ada metode yang diterima secara umum atau formal untuk menilai struktur organisasi, namun penilaian tersebut
dapat dilakukan secara kurang formal berdasarkan kriteria berikut. Untuk setiap kriteria, sejumlah subkriteria dapat ditentukan,
dihubungkan dengan berbagai tingkat kemampuan. Kriterianya adalah:
ÿ Keberhasilan pelaksanaan praktik proses dimana struktur organisasi (atau peran) memiliki akuntabilitas atau tanggung jawab (masing-
masing A atau R, dalam bagan yang bertanggung jawab-akuntabilitas-konsultasikan-informasi [RACI])
ÿ Keberhasilan penerapan sejumlah praktik baik untuk struktur organisasi, seperti:
ÿ Prinsip pengoperasian
- Struktur organisasi ditetapkan secara formal.
- Struktur organisasi mempunyai amanat yang jelas, terdokumentasi dan dipahami dengan baik.
- Prinsip pengoperasian didokumentasikan.
- Pertemuan rutin diadakan sebagaimana didefinisikan dalam prinsip-prinsip operasi.
- Laporan/risalah rapat tersedia dan bermakna.
ÿ Komposisi
- Struktur organisasi ditetapkan secara formal.
40

BAB 6
ÿ Rentang kendali
- Struktur organisasi mempunyai amanat yang jelas, terdokumentasi dan dipahami dengan baik.
- Prinsip pengoperasian didokumentasikan.
- Pertemuan rutin diadakan sebagaimana didefinisikan dalam prinsip-prinsip operasi.
- Laporan/risalah rapat tersedia dan bermakna.
ÿ Tingkat wewenang dan hak mengambil keputusan
- Hak pengambilan keputusan dalam struktur organisasi ditetapkan dan didokumentasikan.
- Hak pengambilan keputusan dalam struktur organisasi dihormati dan dipatuhi (juga merupakan masalah budaya/perilaku).
ÿ Pendelegasian wewenang
- Pendelegasian wewenang dilaksanakan dengan cara yang bermakna.
ÿ Prosedur eskalasi
- Prosedur eskalasi ditetapkan dan diterapkan. ÿ
Keberhasilan penerapan sejumlah praktik manajemen struktur organisasi (praktik nonfungsional yang timbul dari sudut pandang struktur
organisasi): ÿ Tujuan kinerja struktur organisasi diidentifikasi. ÿ
Kinerja struktur organisasi direncanakan dan dipantau. ÿ Kinerja struktur organisasi disesuaikan
dengan rencana. ÿ Sumber daya dan informasi yang diperlukan untuk struktur organisasi
diidentifikasi, tersedia, dialokasikan
dan digunakan.
ÿ Antarmuka antara struktur organisasi dan pemangku kepentingan lainnya dikelola untuk memastikan keduanya efektif
komunikasi dan pembagian tanggung jawab yang jelas.
ÿ Evaluasi rutin menghasilkan perbaikan berkelanjutan yang diperlukan terhadap struktur organisasi—di dalamnya
komposisi, mandat atau parameter lainnya.
Mengenai proses, tingkat kemampuan yang rendah memerlukan pemenuhan sebagian kriteria tersebut, dan tingkat kemampuan yang
lebih tinggi mengharuskan seluruh kriteria dipenuhi. Namun, sebagaimana telah disebutkan, tidak ada skema yang diterima secara umum untuk
menilai struktur organisasi. Namun, hal ini tidak menghalangi suatu perusahaan untuk menentukan skema kapabilitasnya sendiri untuk struktur
organisasi.
6.5.2 Kinerja Manajemen Item Informasi
Komponen item informasi untuk sistem tata kelola I&T kurang lebih setara dengan produk proses kerja seperti yang dijelaskan dalam
Kerangka COBIT® 2019: Tujuan Tata Kelola dan Manajemen.
Meskipun tidak ada metode yang diterima secara umum atau formal untuk menilai item informasi, namun penilaian tersebut dapat dilakukan
secara kurang formal berdasarkan model referensi informasi yang pertama kali disajikan dalam COBIT® 5: Mengaktifkan Informasi. 212
Model ini mendefinisikan tiga kriteria kualitas utama informasi dan 15 subkriteria, seperti yang diilustrasikan pada gambar 6.4.
2
21 Lihat ISACA, COBIT® 5: Enabling Information, bagian 3.1.2 Goals, USA, 2013 , http:// www.isaca.org/ COBIT/ Pages/ COBIT-5-Enabling-Information-
product-page.aspx
41
Gambar 6.4—Model Referensi Informasi: Kriteria Kualitas Informasi
Sejauh mana informasi tersebut benar

Ketepatan dan dapat diandalkan
Sejauh mana informasi tidak memihak, tidak

Objektivitas berprasangka buruk, dan tidak memihak
Hakiki
Sejauh mana informasi dianggap benar dan
Sejauh mana nilai Kepercayaan dapat dipercaya
data sesuai dengan
nilai sebenarnya atau
sebenarnya
Sejauh mana informasi sangat dihargai dalam
Reputasi hal sumber atau isinya
Sejauh mana informasi dapat diterapkan dan

Relevansi
berguna untuk tugas yang ada
Sejauh mana informasi tidak hilang dan

Kelengkapan cukup dalam dan luas untuk tugas yang
ada
Sejauh mana informasi cukup terkini

Mata uang
untuk tugas yang ada
Sejauh mana volume informasi sesuai

Sesuai
dengan tugas yang ada
Jumlah
Informasi Ringkas Sejauh mana informasi terwakili secara

Kontekstual
Kriteria Mutu Perwakilan kompak
Sejauh mana informasi
dapat diterapkan Konsisten Sejauh mana informasi disajikan dalam
pada tugas pengguna Perwakilan format yang sama
informasi dan
disajikan dengan cara Sejauh mana informasi disajikan dalam
yang dapat dipahami
Interpretasi bahasa, simbol dan satuan yang sesuai, serta
dan jelas, definisinya jelas
dengan menyadari
bahwa kualitas Sejauh mana informasi mudah dipahami
informasi bergantung pada Dapat dimengerti
konteks penggunaan.
Kemudahan Sejauh mana informasi mudah dimanipulasi

Manipulasi dan diterapkan pada berbagai tugas
Sejauh mana informasi tersedia saat dibutuhkan,

Ketersediaan atau dapat diambil dengan mudah dan cepat
Keamanan/
Pribadi/
Aksesibilitas
Sejauh mana informasi Terbatas Sejauh mana akses terhadap informasi dibatasi
tersedia atau dapat Mengakses secara wajar kepada pihak-pihak yang berwenang
diperoleh
Sebuah item informasi dapat dinilai dengan mempertimbangkan sejauh mana kriteria kualitas yang relevan, sebagaimana didefinisikan
dalam gambar 6.4, telah tercapai.
42

BAB 6
6.5.3 Manajemen Kinerja Budaya dan Perilaku
Untuk komponen tata kelola budaya dan perilaku, kita dapat menentukan serangkaian perilaku yang diinginkan (dan/atau tidak
diinginkan) untuk tata kelola dan manajemen TI yang baik, dan menetapkan tingkat kemampuan yang berbeda pada masing-masing
perilaku tersebut.
Kerangka COBIT® 2019: Tujuan Tata Kelola dan Manajemen mendefinisikan aspek komponen budaya dan perilaku untuk sebagian besar tujuan. Dari sana,
dimungkinkan untuk menilai sejauh mana kondisi atau perilaku tersebut terpenuhi.
Konten area fokus, yang berisi serangkaian perilaku yang diinginkan secara lebih rinci, akan dikembangkan ke depannya.
Pengguna disarankan untuk berkonsultasi isaca.org/ cobit untuk status terbaru dan panduan area fokus yang tersedia.
43

44

BAB 7
MERANCANG SISTEM TATA KELOLA YANG DISESUAIKAN
Bab 7
Merancang Sistem Tata Kelola yang Disesuaikan
7.1 Dampak Faktor Desain
Bagian ini memberikan gambaran tingkat tinggi mengenai dampak potensial faktor desain pada sistem tata kelola untuk I&T perusahaan. Hal
ini juga menjelaskan, pada tingkat tinggi, alur kerja untuk merancang sistem tata kelola yang disesuaikan untuk perusahaan. Informasi
lebih lanjut mengenai subjek ini dapat ditemukan di Panduan Desain COBIT® 2019.
Faktor desain mempengaruhi penyesuaian sistem tata kelola suatu perusahaan dengan cara yang berbeda. Publikasi ini membedakan
tiga jenis dampak yang berbeda, seperti yang diilustrasikan pada Gambar 7.1.
Gambar 7.1—Dampak Faktor Desain pada Sistem Tata Kelola dan Manajemen
1. Prioritas Tujuan
Pengelolaan
dan Tingkat
Kemampuan
Sasaran
Desain
Faktor
Dampak
3. Area 2. Variasi
Fokus Khusus Komponen
1. Prioritas/seleksi tujuan pengelolaan— Model inti COBIT berisi 40 tata kelola dan manajemen
tujuan, masing-masing terdiri dari proses dan sejumlah komponen terkait. Mereka secara intrinsik setara; tidak ada urutan prioritas alami
di antara mereka. Namun, faktor desain dapat mempengaruhi kesetaraan ini dan membuat beberapa tujuan tata kelola dan
pengelolaan menjadi lebih penting dibandingkan yang lain, terkadang sampai pada titik di mana beberapa tujuan tata kelola dan
pengelolaan dapat diabaikan. Dalam praktiknya, kepentingan yang lebih tinggi ini diterjemahkan ke dalam penetapan tingkat kemampuan
target yang lebih tinggi untuk tujuan-tujuan tata kelola dan pengelolaan yang penting.
45
Contoh: Ketika suatu perusahaan mengidentifikasi tujuan perusahaan yang paling relevan dari daftar tujuan perusahaan dan menerapkan rangkaian
tujuan, hal ini akan mengarah pada pemilihan tujuan pengelolaan prioritas. Misalnya, ketika EG01 Portofolio produk dan layanan kompetitif
diberi peringkat sangat tinggi oleh suatu perusahaan, hal ini akan menjadikan tujuan manajemen APO05 Portofolio terkelola menjadi bagian penting
dari sistem tata kelola perusahaan ini.
Contoh: Perusahaan yang sangat menghindari risiko akan lebih mengutamakan tujuan manajemen yang bertujuan untuk mengatur dan mengelola
risiko dan keamanan. Tujuan tata kelola dan manajemen EDM03 Memastikan optimalisasi risiko, APO12 Risiko terkelola, APO13 Keamanan
terkelola , dan DSS05 Layanan keamanan terkelola akan menjadi bagian penting dari sistem tata kelola perusahaan dan akan memiliki tingkat
kemampuan target yang lebih tinggi yang ditentukan untuk layanan tersebut.
Contoh: Perusahaan yang beroperasi dalam lanskap ancaman tinggi akan memerlukan proses terkait keamanan berkemampuan tinggi: APO13
Keamanan terkelola dan layanan keamanan terkelola DSS05.
Contoh: Suatu perusahaan yang peran TI-nya strategis dan krusial bagi keberhasilan bisnisnya akan memerlukan keterlibatan tinggi peran-peran
terkait TI dalam struktur organisasi, pemahaman menyeluruh mengenai bisnis oleh para profesional TI (dan sebaliknya), dan fokus pada bisnis.
pada proses strategis seperti Strategi terkelola APO02 dan hubungan terkelola APO08.
2. Variasi komponen —Komponen diperlukan untuk mencapai tujuan tata kelola dan pengelolaan. Beberapa faktor desain dapat mempengaruhi
pentingnya satu atau lebih komponen atau memerlukan variasi tertentu.
Contoh: Usaha kecil dan menengah mungkin tidak memerlukan seluruh peran dan struktur organisasi seperti yang dijelaskan dalam model inti
COBIT, namun mungkin menggunakan peran dan struktur organisasi yang lebih kecil. Rangkaian tujuan tata kelola dan pengelolaan yang
dikurangi ini serta komponen-komponen yang tercakup di dalamnya didefinisikan dalam area fokus Usaha Kecil dan Menengah. 221
Contoh: Perusahaan yang beroperasi di lingkungan dengan peraturan yang ketat akan lebih mementingkan produk kerja, kebijakan,
dan prosedur yang terdokumentasi , serta beberapa peran, misalnya fungsi petugas kepatuhan.
Contoh: Perusahaan yang menggunakan DevOps dalam pengembangan dan operasi solusi akan memerlukan aktivitas spesifik, struktur
organisasi, budaya, dll., yang berfokus pada identifikasi dan pembangunan solusi terkelola BAI03 dan operasi terkelola DSS01.
3. Kebutuhan akan area fokus yang spesifik—Beberapa faktor desain, seperti lanskap ancaman, risiko spesifik, metode pengembangan target, dan
pengaturan infrastruktur, akan mendorong kebutuhan akan variasi konten model COBIT inti ke dalam konteks spesifik.
Contoh: Perusahaan yang mengadopsi pendekatan DevOps akan memerlukan sistem tata kelola yang memiliki varian dari beberapa proses
COBIT umum, yang dijelaskan dalam panduan area fokus DevOps232 untuk COBIT.
Contoh: Perusahaan kecil dan menengah memiliki staf yang lebih sedikit, sumber daya TI yang lebih sedikit, dan jalur pelaporan yang lebih pendek
dan langsung, serta berbeda dalam banyak aspek dengan perusahaan besar. Oleh karena itu, sistem tata kelola I&T mereka harus lebih ringan
dibandingkan dengan perusahaan besar. Hal ini dijelaskan dalam panduan area fokus UKM COBIT. 243
1
22 Pada saat diterbitkannya Kerangka COBIT® 2019: Pengantar dan Metodologi, konten area fokus usaha kecil dan menengah sedang dalam
pengembangan dan belum dirilis.
2
23 Pada saat penerbitan Kerangka COBIT® 2019: Pendahuluan dan Metodologi, konten area fokus DevOps sedang dalam pengembangan dan belum
belum dirilis.
3
24 Pada saat diterbitkannya Kerangka COBIT® 2019: Pengantar dan Metodologi, konten area fokus usaha kecil dan menengah sedang dalam
pengembangan dan belum dirilis.
46

BAB 7
MERANCANG SISTEM TATA KELOLA YANG DISESUAIKAN
7.2 Tahapan dan Langkah-Langkah dalam Proses Desain
Gambar 7.2 mengilustrasikan alur yang diusulkan untuk merancang sistem tata kelola yang disesuaikan.
Gambar 7.2—Alur Kerja Desain Sistem Tata Kelola
2. Menentukan
1. Memahami 3. 4. Menyimpulkan
ruang
konteks dan rancangan
lingkup awal
strategi
sistem tata sistem tata kelola.
perusahaan. Menyempurnakan ruang lingkup sistem tata kelola.
kelola.
• 1.1 Memahami strategi • 2.1 Pertimbangkan perusahaan • 3.1 Pertimbangkan lanskap • 4.1 Menyelesaikan konflik prioritas
perusahaan. strategi. • ancaman. yang
• 1.2 Memahami tujuan perusahaan. 2.2 Mempertimbangkan perusahaan • 3.2 Mempertimbangkan tujuan melekat. • 4.2
• 1.3 kepatuhan dan menerapkan persyaratan. Menyimpulkan rancangan
Memahami profil risiko. • 1.4 Rangkaian tujuan COBIT. • 3.3 Pertimbangkan peran TI. • 2.3 sistem tata kelola.
Mempertimbangkan profil risiko • 3.4 Mempertimbangkan sumber daya
Memahami permasalahan perusahaan. model. • 2.4 Pertimbangkan isu-
terkini terkait I&T. isu yang ada saat ini. • 3.5 Pertimbangkan isu-isu terkait TI
dan TI. metode implementasi. • 3.6 Pertimbangkan strategi adopsi TI. •
3.7 Mempertimbangkan ukuran
perusahaan.
Berbagai tahapan dan langkah dalam proses perancangan, seperti diilustrasikan pada Gambar 7.2, akan menghasilkan rekomendasi untuk
memprioritaskan tujuan tata kelola dan pengelolaan atau komponen sistem tata kelola terkait, untuk tingkat kemampuan target, atau untuk mengadopsi
varian tertentu dari komponen sistem tata kelola.
Beberapa langkah atau sub-langkah ini mungkin menghasilkan panduan yang bertentangan, yang tidak dapat dihindari ketika mempertimbangkan
sejumlah besar faktor desain, keseluruhan sifat umum dari panduan faktor desain, dan tabel pemetaan yang digunakan.
Disarankan untuk meletakkan semua panduan yang diperoleh selama langkah-langkah yang berbeda pada kanvas desain dan—pada tahap terakhir
proses desain—menyelesaikan (sejauh mungkin) konflik antar elemen pada kanvas desain dan menyimpulkannya.
Tidak ada formula ajaib. Desain akhir akan menjadi keputusan kasus per kasus, berdasarkan semua elemen pada kanvas desain. Dengan
mengikuti langkah-langkah ini, perusahaan akan mewujudkan sistem tata kelola yang disesuaikan dengan kebutuhan mereka.
47

48

BAB 8
MELAKSANAKAN TATA KELOLA PERUSAHAAN
Bab 8
Menerapkan Tata Kelola TI Perusahaan
8.1 Tujuan Panduan Implementasi COBIT
Panduan Implementasi COBIT® 2019 menekankan pandangan seluruh perusahaan mengenai tata kelola I&T. Panduan ini mengakui
bahwa I&T tersebar luas di perusahaan-perusahaan dan tidak mungkin atau merupakan praktik yang baik untuk memisahkan bisnis dan
aktivitas terkait TI. Oleh karena itu, tata kelola dan manajemen I&T perusahaan harus diterapkan sebagai bagian integral dari tata kelola
perusahaan, yang mencakup seluruh tanggung jawab bisnis end-to-end dan fungsi TI.
Salah satu alasan umum mengapa beberapa penerapan sistem tata kelola gagal adalah karena penerapan tersebut tidak dimulai dan
kemudian dikelola dengan baik sebagai program untuk memastikan manfaatnya terwujud. Program tata kelola perlu disponsori oleh
manajemen eksekutif, memiliki cakupan yang tepat, dan menetapkan tujuan yang dapat dicapai. Hal ini memungkinkan perusahaan untuk
menyerap laju perubahan sesuai rencana. Oleh karena itu, manajemen program ditangani sebagai bagian integral dari siklus hidup
implementasi.
Diasumsikan juga bahwa meskipun pendekatan program dan proyek direkomendasikan untuk mendorong inisiatif perbaikan secara
efektif, tujuannya juga adalah untuk membangun praktik bisnis yang normal dan pendekatan berkelanjutan dalam mengatur dan
mengelola I&T perusahaan seperti halnya aspek tata kelola perusahaan lainnya. Oleh karena itu, pendekatan penerapannya didasarkan
pada pemberdayaan pemangku kepentingan dan pelaku bisnis dan TI untuk mengambil kepemilikan atas keputusan dan aktivitas tata
kelola dan manajemen TI dengan memfasilitasi dan memungkinkan perubahan. Program implementasi ditutup ketika proses
pemfokusan pada prioritas terkait TI dan perbaikan tata kelola menghasilkan manfaat yang terukur, dan program tersebut telah tertanam
dalam aktivitas bisnis yang sedang berjalan.
Informasi lebih lanjut mengenai subjek ini juga dapat ditemukan di Panduan Implementasi COBIT® 2019.
8.2 Pendekatan Implementasi COBIT
Ada tujuh fase yang terdiri dari pendekatan implementasi COBIT:
ÿ Apa saja faktor pendorongnya?
ÿ Dimana kita sekarang?
ÿ Kita ingin berada di mana?
ÿ Apa yang perlu dilakukan?
ÿ Bagaimana kita sampai ke sana?
ÿ Apakah kita sudah sampai
di sana? ÿ Bagaimana kita menjaga momentum ini tetap berjalan?
Pendekatan implementasi COBIT dirangkum dalam gambar 8.1.
49

Gambar 8.1—Peta Jalan Implementasi COBIT
P
e
1 WHATAR
e
we NG?
d Hai kg o
saya
o en T M kamu
eTH
eDR
7HeHmwm
o
ew S NT A
SAYA
Te
Saya
Saya
ay
eRS
Saya
ReTsaya eS
v
T sayaevN PRHai ?
FeC GRA
eF M
EST B
STA
N
Saya
SH
Saya
D
2
HAN De R
T
eF W
sebuah o
e? S kamu aku c
Saya
eR Gs e e N H
TS eR
saya o
H
T Saya P e e
eF ReCHai M P
Saya
T
e tHaiR Saya
GNz
Motidak ne Paku halo A
N eD e rt rotapi
Saya
ad ATe
eweS
G e e
R
e ACT THai e F • Manajemen program
B w
kamu
aku
N H ayA kamu
w e TSaya Hai
N e
e C A
aku
D AC A er e (cincin luar)
D z Te e S S
nmT
M Saya
M
Saya eo A R T RS
A R e
kamu
T
eR ND S e
D
br kamu
A Saya
N Haiw?
M S
A e N SS
dan
• Ubah pemberdayaan
seterusnya
P A A T
S
e e T Saya
Hai A
R M N N
D (cincin tengah)
MM
SAYA
Saya
PR Paku
e
e F T
eMM De aaku • Siklus hidup perbaikan berkelanjutan
Hai
ay
tidak
Rg T
eeT T A T e
ST
HAI
A (lingkar dalam)
D eRA
sebuah NTn s B D Nc e
Saya
hal
Saya aku
kamu
5 EX MPRHaiayeM eNTS M AP
Saya
T kamu
eC e?
kamu
Hai
Se e C
HHai CHaim om t kamu M B
AD
kamu
w Te T
Hai
DHai P
SAYA
DeNT F RHai e
aku
Hai T
eR
Saya
aku N
w AN PA aku
kamu R
kamu S
FN
Saya wA
eG
eT De Hai
we
T
HeR eR eD
e? P AN PR
aku
GRAM WH
3
Hai
4 WH AT Nee D S T Hai Be DHaiN

e?
8.2.1 Fase 1—Apa Faktor Pendorongnya?
Fase 1 dari pendekatan implementasi mengidentifikasi pendorong perubahan saat ini dan menciptakannya di tingkat manajemen eksekutif
keinginan untuk berubah yang kemudian dituangkan dalam garis besar kasus bisnis. Penggerak perubahan bersifat internal atau eksternal
peristiwa, kondisi atau isu utama yang berfungsi sebagai stimulus untuk perubahan. Peristiwa, tren (industri, pasar atau teknis),
kekurangan kinerja, implementasi perangkat lunak, dan bahkan tujuan perusahaan semuanya dapat bertindak sebagai pendorong perubahan.
Risiko yang terkait dengan implementasi program itu sendiri dijelaskan dalam kasus bisnis dan dikelola secara menyeluruh
siklus hidup. Mempersiapkan, memelihara, dan memantau kasus bisnis adalah disiplin ilmu yang mendasar dan penting
membenarkan, mendukung dan kemudian memastikan hasil yang sukses untuk setiap inisiatif, termasuk perbaikan
sistem pemerintahan. Mereka memastikan fokus yang berkelanjutan pada manfaat program dan realisasinya.
8.2.2 Fase 2—Di Mana Kita Saat Ini?
Fase 2 menyelaraskan tujuan terkait I&T dengan strategi dan risiko perusahaan, dan memprioritaskan perusahaan yang paling penting
tujuan, penyelarasan tujuan dan proses. Panduan Desain COBIT® 2019 menyediakan beberapa faktor desain untuk membantu
seleksi.
Berdasarkan perusahaan yang dipilih dan tujuan terkait TI serta faktor desain lainnya, perusahaan harus mengidentifikasi hal-hal penting
tujuan tata kelola dan pengelolaan serta proses mendasar yang memiliki kemampuan memadai untuk memastikannya
hasil yang sukses. Manajemen perlu mengetahui kemampuannya saat ini dan di mana kekurangannya. Ini bisa
dicapai dengan penilaian kemampuan proses terhadap status terkini dari proses yang dipilih.
50

BAB 8
MELAKSANAKAN TATA KELOLA PERUSAHAAN
8.2.3 Fase 3—Kita Ingin Berada di Mana?
Fase 3 menetapkan target perbaikan yang diikuti dengan analisis kesenjangan untuk mengidentifikasi solusi potensial.
Beberapa solusi akan berupa kemenangan cepat dan solusi lainnya lebih menantang dan merupakan tugas jangka panjang. Prioritas harus diberikan pada
proyek-proyek yang lebih mudah dicapai dan mungkin memberikan manfaat terbesar. Tugas-tugas jangka panjang harus dipecah menjadi bagian-
bagian yang dapat dikelola.
8.2.4 Fase 4—Apa yang Perlu Dilakukan?
Fase 4 menjelaskan bagaimana merencanakan solusi yang layak dan praktis dengan mendefinisikan proyek yang didukung oleh kasus bisnis yang dapat
dibenarkan dan rencana perubahan untuk implementasi. Kasus bisnis yang dikembangkan dengan baik dapat membantu memastikan bahwa
manfaat proyek teridentifikasi dan terus dipantau.
8.2.5 Fase 5—Bagaimana Kita Mencapainya?
Fase 5 mengatur penerapan solusi yang diusulkan melalui praktik sehari-hari dan menetapkan langkah-langkah dan sistem pemantauan untuk
memastikan bahwa keselarasan bisnis tercapai, dan kinerja dapat diukur.
Kesuksesan memerlukan keterlibatan, kesadaran dan komunikasi, pemahaman dan komitmen manajemen puncak, serta kepemilikan oleh pemilik bisnis
dan proses TI yang terkena dampak.
8.2.6 Fase 6—Sudahkah Kita Mencapainya?
Fase 6 berfokus pada transisi berkelanjutan dari praktik tata kelola dan manajemen yang lebih baik ke dalam operasi bisnis normal. Hal ini lebih
lanjut berfokus pada pemantauan pencapaian perbaikan menggunakan metrik kinerja dan manfaat yang diharapkan.
8.2.7 Fase 7—Bagaimana Kita Menjaga Momentum Tetap Berjalan?
Fase 7 meninjau keberhasilan inisiatif secara keseluruhan, mengidentifikasi persyaratan tata kelola atau manajemen lebih lanjut, dan memperkuat perlunya
perbaikan berkelanjutan. Hal ini juga memprioritaskan peluang lebih lanjut untuk memperbaiki sistem tata kelola.
Manajemen program dan proyek didasarkan pada praktik yang baik dan menyediakan titik pemeriksaan di masing-masing tujuh fase untuk
memastikan bahwa kinerja program berada pada jalurnya, kasus bisnis dan risiko diperbarui, dan perencanaan untuk fase berikutnya disesuaikan
sebagaimana mestinya. Diasumsikan bahwa pendekatan standar perusahaan akan diikuti.
Panduan lebih lanjut mengenai manajemen program dan proyek juga dapat ditemukan di tujuan pengelolaan COBIT BAI01 Program yang dikelola dan
BAI11 Proyek yang dikelola. Meskipun pelaporan tidak disebutkan secara eksplisit dalam fase mana pun, pelaporan merupakan rangkaian yang
berkesinambungan melalui semua fase dan pengulangan.
51

8.3 Hubungan Antara Panduan Desain COBIT®2019 dan COBIT® 2019

Panduan Implementasi
Alur kerja yang dijelaskan dalam Panduan Desain COBIT® 2019 memiliki titik koneksi berikut dengan COBIT®
Panduan Implementasi 2019. Panduan Desain COBIT® 2019 menguraikan serangkaian tugas yang ditentukan dalam Panduan
Implementasi COBIT® 2019. Gambar 8.2 memberikan gambaran umum tingkat tinggi dari titik-titik koneksi ini. Informasi lebih
rinci dapat ditemukan di Panduan Desain COBIT® 2019.
Gambar 8.2—Titik Hubungan Antara Panduan Desain COBIT dan Panduan Implementasi COBIT
Panduan Implementasi COBIT Panduan Desain COBIT
Fase 1—Apa saja pendorongnya? (Tugas perbaikan berkelanjutan Langkah 1—Pahami konteks dan strategi perusahaan.
[CI])
Fase 2—Di manakah kita sekarang? (Tugas CI) Langkah 2—Tentukan cakupan awal sistem tata kelola.
Langkah 3—Perbaiki cakupan sistem tata kelola.

Langkah 4—Simpulkan desain sistem tata kelola.
Fase 3—Kita ingin berada di mana? (Tugas CI) Langkah 4—Simpulkan desain sistem tata kelola.
52

BAB 9
MEMULAI COBIT: MEMBUAT KASUS
Bab 9
Memulai COBIT: Membuat Kasus
9.1 Kasus Bisnis
Praktik bisnis yang umum mengharuskan penyiapan kasus bisnis untuk menganalisis dan membenarkan permulaan proyek besar
dan/atau investasi keuangan. Contoh ini diberikan sebagai panduan umum yang tidak bersifat preskriptif untuk mendorong persiapan
kasus bisnis guna membenarkan investasi dalam program implementasi EGIT. Setiap perusahaan memiliki alasan tersendiri untuk
meningkatkan EGIT dan pendekatannya sendiri dalam mempersiapkan kasus bisnis. Hal ini dapat berkisar dari pendekatan rinci dengan
penekanan pada manfaat terukur hingga perspektif yang lebih tinggi dan kualitatif. Perusahaan harus mengikuti pendekatan kasus
bisnis internal dan justifikasi investasi yang ada, jika memang ada. Contoh dan panduan dalam publikasi ini disediakan untuk
membantu fokus pada isu-isu yang harus ditangani dalam kasus bisnis.
Contoh skenarionya adalah Acme Corporation, sebuah perusahaan multinasional besar dengan gabungan unit bisnis
tradisional dan mapan serta bisnis baru berbasis Internet yang mengadopsi teknologi terkini.
Banyak unit bisnis yang telah diakuisisi dan berada di berbagai negara dengan lingkungan politik, budaya, dan ekonomi
lokal yang berbeda. Tim manajemen eksekutif grup pusat telah dipengaruhi oleh panduan tata kelola perusahaan terbaru,
termasuk COBIT, yang telah mereka gunakan secara terpusat selama beberapa waktu.
Mereka ingin memastikan bahwa ekspansi yang cepat dan penerapan TI yang canggih akan memberikan nilai yang
diharapkan; mereka juga berniat mengelola risiko baru yang signifikan. Oleh karena itu, mereka telah mengamanatkan
penerapan pendekatan EGIT yang seragam di seluruh perusahaan. Pendekatan ini mencakup keterlibatan fungsi audit dan
risiko serta pelaporan tahunan internal oleh manajemen unit bisnis mengenai kecukupan pengendalian di seluruh entitas.
Meskipun contoh tersebut diambil dari situasi aktual, contoh tersebut tidak mencerminkan perusahaan spesifik yang ada.
9.2 Ringkasan Eksekutif
Kasus bisnis ini menguraikan ruang lingkup program EGIT yang diusulkan untuk Acme Corporation berdasarkan COBIT.
Kasus bisnis yang tepat diperlukan untuk memastikan bahwa dewan direksi Acme Corporation dan unit bisnis menyetujui inisiatif
ini dan mengidentifikasi potensi manfaatnya. Acme Corporation akan memantau kasus bisnis untuk memastikan bahwa manfaat
yang diharapkan dapat terwujud.
Cakupannya, dalam hal entitas bisnis yang membentuk Acme Corporation, bersifat inklusif. Diakui bahwa beberapa bentuk prioritas
akan diterapkan di seluruh entitas untuk cakupan awal program EGIT karena terbatasnya
sumber daya program.
Berbagai pemangku kepentingan mempunyai kepentingan terhadap hasil program EGIT, mulai dari dewan direksi Acme Corporation
hingga manajemen lokal di setiap entitas, serta pemangku kepentingan eksternal seperti pemegang saham dan lembaga pemerintah.
Pertimbangan perlu diberikan terhadap beberapa tantangan dan risiko signifikan dalam implementasi program EGIT pada skala global
yang diperlukan. Salah satu aspek yang lebih menantang adalah sifat kewirausahaan dari banyak bisnis Internet, serta model bisnis
terdesentralisasi atau terfederasi yang ada dalam Acme Corporation.
Program EGIT akan dicapai dengan berfokus pada kemampuan proses Acme dan komponen lain dari sistem tata kelola terkait dengan
yang didefinisikan dalam COBIT, relevan untuk setiap unit bisnis. Tujuan tata kelola dan pengelolaan yang relevan dan diprioritaskan
yang akan mendapat fokus di setiap entitas akan diidentifikasi melalui a
53

pendekatan lokakarya yang difasilitasi oleh anggota program EGIT. Sasarannya akan dimulai dengan strategi dan sasaran perusahaan
masing-masing unit, serta skenario risiko bisnis terkait TI yang berlaku pada unit bisnis tertentu.
Tujuan dari program EGIT adalah untuk memastikan bahwa sistem tata kelola yang memadai, termasuk struktur tata kelola,
tersedia dan untuk meningkatkan tingkat kemampuan dan kecukupan proses TI yang relevan. Harapannya adalah seiring dengan
meningkatnya kemampuan proses TI, efisiensi dan kualitasnya juga akan meningkat. Pada saat yang sama, risiko terkait akan menurun secara
proporsional. Dengan cara ini, manfaat bisnis yang nyata dapat diwujudkan oleh masing-masing unit bisnis.
Setelah proses penilaian tingkat kemampuan dalam setiap unit bisnis telah ditetapkan, penilaian mandiri (self-assessment) diperkirakan akan
dilanjutkan dalam setiap unit bisnis seperti praktik bisnis normal.
Program EGIT akan dilaksanakan dalam dua tahap berbeda. Fase pertama adalah fase pengembangan, di mana tim akan
mengembangkan dan menguji pendekatan dan perangkat yang akan digunakan di seluruh Acme Corporation. Pada akhir fase 1, hasilnya
akan dipresentasikan kepada manajemen kelompok untuk persetujuan akhir. Setelah persetujuan akhir diperoleh, dalam bentuk kasus
bisnis yang disetujui, program EGIT akan diluncurkan ke seluruh entitas dengan cara yang disepakati (implementasi, tahap 2).
Perlu dicatat bahwa program EGIT tidak bertanggung jawab untuk menerapkan tindakan perbaikan yang diidentifikasi di setiap unit bisnis.
Program EGIT hanya akan mengkonsolidasikan dan melaporkan kemajuan yang diberikan oleh masing-masing unit.
Tantangan terakhir yang perlu dipenuhi oleh program EGIT adalah melaporkan hasil-hasilnya secara berkelanjutan di masa depan.
Aspek ini akan memerlukan waktu dan sejumlah besar diskusi dan pengembangan. Diskusi dan pengembangan ini harus menghasilkan
peningkatan terhadap mekanisme pelaporan dan scorecard perusahaan yang ada.
Anggaran awal untuk tahap pengembangan program EGIT telah disiapkan. Anggaran tersebut dirinci dalam jadwal tersendiri. Anggaran
rinci juga akan diselesaikan untuk tahap 2 proyek dan diserahkan untuk disetujui oleh manajemen kelompok.
9.3 Latar Belakang
EGIT merupakan bagian integral dari tata kelola perusahaan secara keseluruhan dan berfokus pada kinerja TI dan pengelolaan risiko yang
disebabkan oleh ketergantungan perusahaan pada TI.
TI diintegrasikan ke dalam operasi bisnis Acme Corporation. Bagi banyak orang, Internet adalah inti dari operasi mereka. Oleh karena
itu, EGIT mengikuti struktur manajemen grup: format terdesentralisasi. Manajemen setiap anak perusahaan/unit bisnis bertanggung jawab
untuk memastikan bahwa proses yang tepat diterapkan sesuai dengan EGIT.
Setiap tahun, manajemen setiap anak perusahaan penting diwajibkan untuk menyerahkan laporan tertulis formal kepada komite risiko yang
sesuai, yang merupakan bagian dari dewan direksi. Laporan ini akan merinci sejauh mana kebijakan EGIT telah diterapkan selama tahun
keuangan. Pengecualian yang signifikan harus dilaporkan pada setiap pertemuan komite risiko yang dijadwalkan.
Dewan direksi, dibantu oleh komite risiko dan audit, akan memastikan bahwa kinerja EGIT grup dinilai, dipantau, dilaporkan dan diungkapkan
dalam pernyataan EGIT sebagai bagian dari laporan tahunan terintegrasi perusahaan.
Pernyataan tersebut akan didasarkan pada laporan yang diperoleh dari tim risiko, kepatuhan dan audit internal serta manajemen
setiap anak perusahaan penting. Hal ini akan memberikan informasi yang relevan dan dapat diandalkan kepada pemangku kepentingan
internal dan eksternal mengenai kualitas kinerja EGIT grup.
Jasa audit internal akan memberikan jaminan kepada manajemen dan komite audit atas kecukupan dan efektivitas EGIT.
54

BAB 9
Risiko bisnis terkait TI akan dilaporkan dan didiskusikan sebagai bagian dari proses manajemen risiko dalam daftar risiko yang disampaikan kepada
komite risiko terkait.
9.4 Tantangan Bisnis
Karena sifat TI yang tersebar luas dan laju perubahan teknologi, diperlukan kerangka kerja yang andal untuk mengendalikan seluruh lingkungan TI
secara memadai dan menghindari kesenjangan pengendalian yang dapat membuat perusahaan menghadapi risiko yang tidak dapat diterima.
Tujuannya adalah untuk tidak menghambat operasional TI dari berbagai entitas operasi. Sebaliknya, hal ini bertujuan untuk meningkatkan profil
risiko entitas dengan cara yang masuk akal secara bisnis dan memberikan peningkatan kualitas layanan dan efisiensi, sekaligus secara
eksplisit mencapai kepatuhan tidak hanya terhadap piagam EGIT grup Acme Corporation, tetapi juga terhadap peraturan perundang-undangan
lainnya. dan/atau persyaratan kontrak.
Beberapa contoh kemungkinan titik nyeri meliputi: 251
ÿ Upaya penjaminan TI yang rumit karena sifat kewirausahaan di banyak unit bisnis ÿ Model pengoperasian TI yang rumit
karena model bisnis berbasis layanan Internet yang digunakan ÿ Entitas yang tersebar secara geografis dan terdiri
dari beragam budaya dan bahasa ÿ Terdesentralisasi/federasi dan sebagian besar model pengendalian
bisnis otonom yang diterapkan dalam grup ÿ Penerapan manajemen TI pada tingkat yang wajar, mengingat teknologi TI yang sangat
teknis dan, terkadang, mudah berubah-ubah

tenaga kerja
ÿ TI menyeimbangkan dorongan perusahaan untuk kemampuan inovasi dan kelincahan bisnis dengan kebutuhan untuk mengelola risiko dan memiliki
kendali yang memadai
ÿ Penetapan tingkat risiko dan toleransi untuk setiap unit bisnis ÿ Meningkatnya
kebutuhan untuk fokus pada pemenuhan persyaratan kepatuhan terhadap peraturan (privasi) dan kontrak (Industri Kartu Pembayaran [PCI])
ÿ Temuan audit rutin tentang kontrol TI yang buruk dan masalah yang dilaporkan terkait dengan kualitas layanan TI ÿ Pengiriman
layanan baru dan inovatif yang sukses dan tepat waktu di pasar yang sangat kompetitif
9.4.1 Analisis Kesenjangan dan Tujuan
Saat ini tidak ada pendekatan atau kerangka kerja grup untuk EGIT atau penggunaan praktik dan standar TI yang baik. Di antara unit bisnis lokal,
terdapat berbagai tingkat penerapan praktik baik terkait EGIT. Akibatnya, sangat sedikit perhatian yang diberikan pada tingkat kemampuan proses TI.
Berdasarkan pengalaman, kadarnya umumnya rendah.
Oleh karena itu, tujuan program EGIT adalah untuk meningkatkan tingkat kemampuan dan kecukupan proses dan pengendalian terkait TI
yang sesuai untuk setiap unit bisnis, dengan cara yang diprioritaskan.
Hasilnya adalah risiko signifikan telah diidentifikasi dan diartikulasikan, dan manajemen dapat mengatasi risiko tersebut dan melaporkan statusnya.
Ketika tingkat kemampuan masing-masing unit bisnis meningkat, kualitas dan efisiensi juga harus meningkat secara proporsional dan profil risiko bisnis
terkait TI dari setiap entitas harus menurun.
Pada akhirnya, nilai bisnis akan meningkat sebagai hasil dari EGIT yang efektif. 262
1
25 Pencacahan ini merupakan bagian dari bagian 4.5 (Faktor Desain) dan juga dibahas dalam Panduan Implementasi COBIT® 2019.
26
2
Penelitian empiris ada untuk mendukung pernyataan tersebut. Misalnya, lihat op cit De Haes, Joshi dan van Grembergen.
55

9.4.2 Alternatif yang Dipertimbangkan
Banyak kerangka TI yang ada, masing-masing dimaksudkan untuk mengendalikan aspek TI tertentu. Kerangka COBIT dianggap oleh
banyak orang sebagai kerangka EGIT dan kontrol terkemuka di dunia. Hal ini telah diterapkan oleh beberapa anak perusahaan Acme
Corporation.
COBIT dipilih oleh Acme sebagai kerangka pilihan untuk implementasi EGIT dan oleh karena itu, harus diadopsi oleh semua anak
perusahaan.
COBIT tidak harus diimplementasikan secara keseluruhan; hanya bidang-bidang yang relevan dengan anak perusahaan atau
unit bisnis tertentu yang perlu dilaksanakan, dengan mempertimbangkan hal-hal berikut:
1. Tahapan perkembangan setiap entitas dalam siklus hidup bisnis 2. Tujuan
bisnis setiap entitas 3. Pentingnya TI bagi unit
bisnis 4. Risiko bisnis terkait TI yang dihadapi setiap
entitas 5. Persyaratan hukum dan kontrak 6 .Alasan terkait
lainnya
Jika anak perusahaan atau unit bisnis tertentu telah menerapkan kerangka kerja lain, atau penerapannya direncanakan di masa
depan, penerapan tersebut harus dipetakan ke COBIT untuk alasan pelaporan, audit, dan kejelasan pengendalian internal.
9.5 Usulan Solusi
Program EGIT direncanakan dalam dua fase berbeda.
9.5.1 Fase 1. Pra-perencanaan
Fase 1 dari program EGIT adalah tahap pengembangan. Pada tahap program ini, langkah-langkah berikut dilakukan:
1. Struktur tim inti diselesaikan di antara para pemangku kepentingan dan peserta proyek.
2. Tim inti menyelesaikan pelatihan dasar COBIT.
3. Lokakarya dengan tim inti dilakukan untuk menentukan pendekatan kelompok.
4. Komunitas online dibuat di dalam Acme Corporation untuk bertindak sebagai gudang berbagi pengetahuan.
5. Seluruh pemangku kepentingan dan kebutuhan mereka diidentifikasi.
6. Struktur komite, peran dan tanggung jawab, aturan pengambilan keputusan, dan pengaturan pelaporan saat ini diperjelas dan
disesuaikan kembali, jika diperlukan.
7. Kasus bisnis untuk program EGIT dikembangkan dan dipelihara, sebagai landasan keberhasilan
implementasi program.
8. Rencana komunikasi dibuat untuk memandu prinsip-prinsip, kebijakan dan manfaat yang diharapkan sepanjang program.
9. Alat penilaian dan pelaporan yang dapat digunakan selama masa program dan seterusnya dikembangkan.
10. Pendekatan ini diuji pada satu entitas lokal. Kegiatan ini untuk kemudahan logistik dan untuk memudahkan penyempurnaan
pendekatan dan alatnya.
11. Pendekatan yang disempurnakan diujicobakan di salah satu entitas asing. Hal ini untuk memahami dan mengukur kesulitan
menjalankan fase penilaian program EGIT dalam kondisi bisnis yang lebih menantang.
56

BAB 9
12. Kasus dan pendekatan bisnis akhir disajikan, termasuk rencana penerapannya kepada eksekutif Acme Corporation
manajemen untuk mendapatkan persetujuan.
9.5.2 Tahap 2. Implementasi Program
Program EGIT dirancang untuk memulai program perbaikan berkelanjutan yang berkelanjutan, berdasarkan siklus hidup berulang yang
difasilitasi dengan mengikuti langkah-langkah berikut:
1. Menentukan pendorong untuk meningkatkan EGIT, baik dari perspektif grup Acme Corporation maupun dari sudut pandang perusahaan
tingkat unit bisnis.
2. Tentukan status EGIT saat ini.
3. Tentukan keadaan EGIT yang diinginkan (baik jangka pendek maupun jangka panjang).
4. Menentukan apa yang perlu diterapkan di tingkat unit bisnis untuk mewujudkan tujuan bisnis lokal, dan
sehingga selaras dengan harapan kelompok.
5. Melaksanakan proyek perbaikan yang telah diidentifikasi dan disepakati di tingkat unit bisnis lokal.
6. Sadarilah dan pantau manfaatnya.
7. Mempertahankan cara kerja yang baru dengan menjaga momentum tetap berjalan.
9.5.3 Ruang Lingkup Program
Program EGIT akan mencakup: 1.
Seluruh entitas grup. Namun, entitas akan diprioritaskan untuk berinteraksi karena keterbatasan program
sumber daya.
2. Metode penentuan prioritas. Hal ini perlu disetujui oleh manajemen Acme Corporation, namun bisa dilakukan
atas dasar berikut:
A. Ukuran investasi
B. Penghasilan/kontribusi kepada kelompok c.
Profil risiko dari perspektif kelompok

D. Kombinasi dari kriteria ini
3. Daftar entitas yang akan dicakup selama tahun anggaran berjalan. Hal ini harus diselesaikan dan disetujui oleh manajemen Acme
Corporation.
9.5.4 Metodologi dan Penyelarasan Program
Program EGIT akan mencapai mandatnya dengan menggunakan pendekatan lokakarya interaktif yang difasilitasi dengan seluruh entitas.
Pendekatan ini dimulai dengan tujuan bisnis dan pemilik tujuan, biasanya CEO dan chief financial officer (CFO). Pendekatan ini harus
memastikan bahwa hasil program selaras dengan hasil dan prioritas bisnis yang diharapkan.
Setelah tujuan bisnis tercapai, fokusnya beralih ke operasi TI, biasanya di bawah kendali chief technology officer (CTO) atau chief information
officer (CIO). Pada tingkat operasi TI, rincian lebih lanjut mengenai risiko dan tujuan bisnis terkait TI dipertimbangkan.
57


Tujuan bisnis dan TI, serta risiko bisnis terkait TI, kemudian digabungkan dalam sebuah alat (berdasarkan panduan COBIT) yang akan
memberikan serangkaian area fokus dalam proses COBIT untuk dipertimbangkan oleh unit bisnis. Dengan cara ini, unit bisnis dapat
memprioritaskan upaya remediasinya untuk mengatasi area risiko TI.
9.5.5 Hasil Program
Seperti disebutkan sebelumnya, tujuan keseluruhan program EGIT adalah untuk menanamkan praktik baik EGIT ke dalam
kelanjutan operasi berbagai entitas grup.
Hasil spesifik akan dihasilkan oleh program EGIT untuk memungkinkan Acme Corporation mengukur penyampaian hasil yang diharapkan.
Ini termasuk yang berikut:
1. Program EGIT akan memfasilitasi pertukaran pengetahuan internal melalui platform intranet dan leverage yang ada
hubungan dengan vendor untuk keuntungan unit bisnis individu.
2. Laporan rinci setiap fasilitasi dengan unit bisnis akan dibuat yang berasal dari program EGIT
alat penilaian. Laporan-laporan tersebut antara
lain: a. Tujuan bisnis yang diprioritaskan saat ini, dan tujuan TI yang diakibatkannya, berdasarkan COBIT b. Risiko
terkait TI diidentifikasi oleh unit bisnis dalam format standar, dan area fokus yang disepakati
perhatian oleh unit bisnis berdasarkan proses dan praktik COBIT serta komponen lain yang direkomendasikan 3. Laporan
kemajuan keseluruhan mengenai cakupan unit bisnis Acme Corporation yang diharapkan oleh program EGIT
akan dibuat.
4. Pelaporan kelompok yang terkonsolidasi akan
mencakup: a. Kemajuan dari unit bisnis yang terlibat dengan proyek implementasi yang disepakati berdasarkan pemantauan yang disepakati
metrik kinerja
B. Pandangan risiko TI yang terkonsolidasi di seluruh entitas Acme Corporation
c. Persyaratan khusus dari komite risiko
5. Pelaporan keuangan mengenai anggaran program vs. jumlah aktual yang dibelanjakan akan dihasilkan.
6. Pemantauan dan pelaporan manfaat berdasarkan tujuan dan metrik nilai yang ditentukan unit bisnis akan dibuat.
9.5.6 Risiko Program
Berikut ini adalah jenis-jenis risiko potensial terhadap keberhasilan inisiasi dan keberhasilan berkelanjutan dari program EGIT Acme
Corporation. Risiko akan dimitigasi dengan berfokus pada pemberdayaan perubahan dan akan dipantau dan ditangani secara terus
menerus melalui tinjauan program dan pencatatan risiko. Jenis risiko tersebut adalah: 1. Komitmen dan
dukungan manajemen terhadap program, baik di tingkat kelompok maupun unit usaha lokal
tingkat
2. Mendemonstrasikan penyampaian nilai dan manfaat aktual bagi setiap entitas lokal melalui penerapan program. Entitas lokal harus mau
mengadopsi proses tersebut demi mendapatkan nilai yang akan dihasilkannya, dibandingkan melakukannya karena adanya
kebijakan yang ada.
3. Partisipasi aktif manajemen lokal dalam implementasi program 4. Mengidentifikasi pemangku
kepentingan utama di setiap entitas untuk berpartisipasi dalam program 5. Wawasan bisnis
dalam jajaran manajemen TI 6. Keberhasilan integrasi dengan
inisiatif tata kelola atau kepatuhan yang ada dalam grup 7 Struktur komite yang tepat untuk mengawasi program.
Misalnya, kemajuan program EGIT secara keseluruhan dapat menjadi agenda komite eksekutif TI. Persamaan lokal juga perlu dibentuk.
Hal ini dapat direplikasi secara geografis, serta di tingkat perusahaan induk lokal, jika diperlukan.
58

BAB 9
9.5.7 Pemangku Kepentingan
Berikut ini telah diidentifikasi sebagai pemangku kepentingan dalam hasil program EGIT:
1. Komite Risiko
2. Komite Eksekutif TI
3. Tim tata kelola
4. Staf kepatuhan 5.
Manajemen regional 6.
Manajemen eksekutif tingkat entitas lokal (termasuk manajemen TI)

7. Jasa audit internal
Struktur akhir yang berisi nama individu pemangku kepentingan akan disusun dan dipublikasikan setelah berkonsultasi dengan
manajemen kelompok.
Program EGIT memerlukan pemangku kepentingan yang teridentifikasi untuk menyediakan hal-hal berikut:
1. Panduan mengenai arah keseluruhan program EGIT. Hal ini mencakup keputusan mengenai tata kelola yang signifikan.
topik terkait yang ditentukan dalam bagan RACI grup sesuai dengan panduan COBIT. Hal ini lebih lanjut mencakup penetapan
prioritas, menyepakati pendanaan, dan menyetujui tujuan nilai.
2. Penerimaan hasil dan pemantauan manfaat yang diharapkan dari program EGIT
9.5.8 Analisis Biaya-Manfaat
Program ini harus mengidentifikasi manfaat yang diharapkan dan memantau untuk memastikan bahwa nilai bisnis nyata dihasilkan dari
investasi tersebut. Manajemen lokal harus memotivasi dan mempertahankan program ini. EGIT yang baik harus menghasilkan
manfaat yang akan ditetapkan sebagai target spesifik untuk setiap unit bisnis dan dipantau serta diukur selama implementasi untuk
memastikan bahwa manfaat tersebut terealisasi. Manfaatnya antara lain:
1. Memaksimalkan realisasi peluang bisnis melalui TI, sekaligus memitigasi risiko bisnis terkait TI ke tingkat yang dapat diterima,
sehingga memastikan bahwa risiko dipertimbangkan secara bertanggung jawab terhadap peluang dalam semua inisiatif bisnis. 2.
Mendukung tujuan bisnis melalui investasi utama dan keuntungan optimal atas hal tersebut investasi, sehingga menyelaraskan
Inisiatif dan tujuan TI langsung dengan strategi bisnis
3. Kepatuhan terhadap undang-undang, peraturan dan kontrak serta kebijakan internal dan kepatuhan prosedural 4. Pendekatan
yang konsisten untuk mengukur dan memantau kemajuan, efisiensi dan efektivitas 5. Peningkatan kualitas
pemberian layanan 6. Menurunkan biaya
operasional TI dan/atau meningkatkan produktivitas TI dengan menyelesaikan lebih banyak pekerjaan secara konsisten dalam waktu yang lebih singkat
waktu dan dengan sumber daya yang lebih sedikit
Biaya utama akan mencakup waktu yang diperlukan untuk pengelolaan program kelompok, sumber daya penasihat eksternal, dan kursus
pelatihan awal. Biaya-biaya sentral ini telah diperkirakan untuk tahap 1. Biaya lokakarya penilaian untuk masing-masing
manajemen unit bisnis dan pemilik proses (kehadiran, tempat, fasilitator, dan biaya terkait lainnya) akan didanai secara lokal dan
perkiraannya akan diberikan. Inisiatif perbaikan proyek yang spesifik untuk setiap unit bisnis akan diperkirakan pada tahap 2 dan
dipertimbangkan berdasarkan kasus per kasus dan secara keseluruhan. Hal ini akan memungkinkan kelompok untuk memaksimalkan
efisiensi dan standardisasi.
59

9.5.9 Tantangan dan Faktor Keberhasilan
Gambar 9.1 merangkum tantangan-tantangan yang dapat mempengaruhi program EGIT selama periode implementasi
program dan faktor-faktor penentu keberhasilan yang harus diatasi untuk memastikan hasil yang sukses.
Gambar 9.1—Tantangan dan Tindakan yang Direncanakan untuk Tantangan Acme Corporation
Faktor Kritis Keberhasilan—Tindakan yang Direncanakan
Ketidakmampuan untuk mendapatkan dan ÿ Melakukan mitigasi melalui struktur komite dalam kelompok (untuk disepakati dan dibentuk).
mempertahankan dukungan
untuk tujuan perbaikan Kesenjangan komunikasi ÿ Melibatkan seluruh pemangku kepentingan.

antara TI dan bisnis
Biaya perbaikan melebihi manfaat yang dirasakan ÿ Fokus pada identifikasi manfaat.
Kurangnya kepercayaan dan hubungan baik antara TI dan ÿ Menumbuhkan komunikasi yang terbuka dan transparan tentang kinerja, yang terkait dengan
perusahaan manajemen kinerja perusahaan. ÿ Fokus pada antarmuka
bisnis dan mentalitas layanan. ÿ Publikasikan hasil positif dan pembelajaran
untuk membantu membangun dan mempertahankan kredibilitas. ÿ Pastikan CIO menjaga
kredibilitas dan
kepemimpinan dalam membangun kepercayaan
dan hubungan.
ÿ Memformalkan peran dan tanggung jawab tata kelola dalam bisnis
akuntabilitas keputusannya jelas. ÿ Mengidentifikasi
dan mengomunikasikan bukti permasalahan nyata, risiko yang perlu dihindari, dan manfaat yang
dapat diperoleh (dalam istilah bisnis) terkait dengan usulan perbaikan. ÿ Fokus pada
perencanaan pemberdayaan
perubahan.
Kurangnya pemahaman tentang lingkungan Acme ÿ Menerapkan metodologi penilaian yang konsisten. oleh mereka yang bertanggung
jawab atas program EGIT Berbagai tingkat kompleksitas
(teknis, organisasi, model operasi) ÿ Perlakukan entitas berdasarkan kasus per kasus. Manfaatkan pembelajaran dan berbagi
pengetahuan. ÿ Melatih dan membimbing.
Pemahaman tentang kerangka kerja, prosedur dan praktik EGIT.

Resistensi
terhadap perubahan ÿ Memastikan bahwa implementasi siklus hidup juga mencakup perubahan
kegiatan pemberdayaan.
Adopsi perbaikan ÿ Aktifkan pemberdayaan lokal di tingkat entitas. ÿ Melibatkan
Kesulitan dalam mengintegrasikan EGIT dengan pemasok/pihak ketiga dalam aktivitas EGIT. ÿ Memasukkan kondisi
model tata kelola mitra outsourcing dan hak untuk mengaudit dalam kontrak. ÿ Kelola ekspektasi. ÿ Buatlah
Kegagalan untuk mewujudkan komitmen tetap sederhana, realistis dan

implementasi EGIT praktis. ÿ Memecah keseluruhan proyek menjadi
proyek-proyek kecil yang dapat dicapai, bangunan
pengalaman dan manfaat.
Mencoba melakukan terlalu banyak hal sekaligus; Penanganan TI yang berlebihan ÿ Menerapkan prinsip-prinsip manajemen program dan
proyek. masalah yang kompleks dan/atau sulit ÿ Gunakan tonggak sejarah. ÿ Prioritaskan
tugas 80/20 (80 persen manfaat dan 20 persen upaya) dan hati-hati dalam mengurutkan dalam
urutan yang benar. Manfaatkan kemenangan cepat. ÿ Membangun kepercayaan/keyakinan.
Memiliki
keterampilan dan pengalaman untuk membuatnya tetap sederhana dan praktis. ÿ Gunakan
kembali apa yang
ada sebagai alas.
IT dalam mode pemadaman kebakaran dan/atau tidak ÿ Menerapkan keterampilan kepemimpinan

memprioritaskan dengan baik dan tidak dapat fokus pada EGIT yang baik. ÿ Dapatkan komitmen dan dorongan dari manajemen puncak sehingga orang-
orang tersedia untuk fokus pada EGIT.
ÿ Mengatasi akar permasalahan di lingkungan operasional (intervensi eksternal,
manajemen memprioritaskan TI). ÿ Menerapkan disiplin/
manajemen permintaan bisnis yang lebih ketat. ÿ Mendapatkan bantuan eksternal.
60

BAB 9
Gambar 9.1—Tantangan dan Rencana Tindakan untuk Acme Corporation (lanjutan)

Tantangan Faktor Kritis Keberhasilan—Tindakan yang Direncanakan
Tidak adanya keterampilan dan kompetensi TI yang dibutuhkan, ÿ Fokus pada perencanaan pemberdayaan perubahan:
seperti pemahaman bisnis, proses, soft skill ÿ Pengembangan ÿ
Pelatihan ÿ
Pembinaan ÿ
Pendampingan
ÿ Umpan balik ke dalam proses rekrutmen ÿ
Pelatihan silang ÿ
Perbaikan tidak diadopsi atau diterapkan Gunakan pendekatan kasus per kasus dengan prinsip-prinsip yang disepakati untuk entitas lokal.
Penerapannya harus praktis.
Manfaatnya sulit ditunjukkan atau dibuktikan ÿ Identifikasi metrik kinerja. ÿ Membangun
Hilangnya minat dan momentum komitmen tingkat kelompok, termasuk komunikasi.
61
62

BAB 10
COBIT DAN STANDAR LAINNYA
Bab 10
COBIT dan Standar Lainnya
10.1 Prinsip Panduan
Salah satu prinsip panduan yang diterapkan sepanjang pengembangan COBIT® 2019 adalah mempertahankan positioning
COBIT sebagai kerangka payung. Artinya COBIT terus menyelaraskan dengan sejumlah hal yang relevan
standar, kerangka kerja dan/atau peraturan.
Dalam konteks ini, penyelarasan berarti COBIT tidak bertentangan dengan pedoman apa pun dalam standar terkait. Pada saat yang sama
waktu, penting untuk diingat bahwa COBIT tidak menyalin isi standar terkait. Sebaliknya, itu
biasanya memberikan pernyataan atau referensi yang setara dengan panduan terkait.
10.2 Daftar Standar yang Direferensikan
Standar dan panduan yang digunakan selama pengembangan pembaruan COBIT® 2019 meliputi:
ÿ Pusat Keamanan Internet CIS® , Kontrol Keamanan Kritis CIS untuk Pertahanan Siber yang Efektif, Versi 6.1,
Agustus 2016
ÿ Standar cloud dan praktik yang baik:

ÿ Layanan Web Amazon (AWS® )
ÿ Pertimbangan Keamanan untuk Cloud Computing, ISACA

ÿ Kontrol dan Jaminan di Cloud: Menggunakan COBIT® 5, ISACA
CMMI ÿ ® Platform Kematangan Siber, 2018
SM teladan, 2014
ÿ Kematangan Manajemen Data CMMI® (DMM)
CMMI ÿ ® Development V2.0, CMMI Institute, AS, 2018
ÿ Kerangka Kerja Manajemen Risiko Perusahaan (ERM) Komite Organisasi Sponsor (COSO), Juni 2017
ÿ Komite Standardisasi Eropa (CEN), Kerangka Kerja e-Kompetensi (e-CF) - Kerangka kerja umum Eropa
Kerangka Kerja untuk Profesional ICT di semua sektor industri - Bagian 1: Kerangka Kerja, EN 16234-1:2016
ÿ Kerangka Keamanan Umum HITRUST® , versi 9, September 2017
ÿ Forum Keamanan Informasi (ISF), Standar Praktik yang Baik untuk Keamanan Informasi 2016
ÿ Standar Organisasi Internasional untuk Standardisasi / Komisi Elektroteknik Internasional (ISO/IEC).
ÿ ISO/IEC 20000-1:2011(E)
ÿ ISO/IEC 27001:2013/Kor.2:2015(E)
ÿ ISO/IEC 27002:2013/Kor.2:2015(E)
ÿ ISO/IEC 27004:2016(E)
ÿ ISO/IEC 27005:2011(E)
ÿ ISO/IEC 38500:2015(E)
ÿ ISO/IEC 38502:2017(E)
ÿ Perpustakaan Infrastruktur Teknologi Informasi (ITIL® ) v3, 2011
ÿ Institut Auditor Internal® (IIA® ), “Prinsip Inti Praktik Profesional Audit Internal”
ÿ Laporan Raja IV tentang Tata Kelola Perusahaan™, 2016
63

ÿ Standar Institut Standar dan Teknologi Nasional (NIST):
ÿ Kerangka Peningkatan Keamanan Siber Infrastruktur Kritis V1.1, April 2018
ÿ Publikasi Khusus 800-37, Revisi 2 (Draf), Mei 2018
ÿ Publikasi Khusus 800-53, Revisi 5 (Draf), Agustus 2017
ÿ “Opsi untuk Mengubah Fungsi TI Menggunakan TI Bimodal,” MIS Quarterly Executive (buku putih)
ÿ Panduan Badan Pengetahuan Manajemen Proyek: Panduan PMBOK®, Edisi Keenam, 2017
PROSCI® ÿ Proses Manajemen Perubahan 3 Fase
ÿ Kerangka Kerja Agile Berskala untuk Perusahaan Lean (SAFe® )
ÿ Kerangka Keterampilan untuk Era Informasi (SFIA® ) V6, 2015
ÿ Arsitektur Referensi Open Group IT4IT™, versi 2.0

ÿ Standar Grup Terbuka TOGAF® versi 9.2, 2018
ÿ Taksonomi TBM, Dewan TBM
64

COBIT-2019 - Framework-Introduction-and-Methodology - Res - Eng - 1118

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

COBIT-2019 - Framework-Introduction-and-Methodology - Res - Eng - 1118

Diunggah oleh

Hak Cipta:

Format Tersedia

Machine Translated by Google

Salinan Pribadi: Dr. David Lanter

KERANGKA COBIT® 2019: PENDAHULUAN & METODOLOGI

Berpartisipasilah dalam Forum Online ISACA: https://engage.isaca.org/onlineforums

Twitter: http://twitter.com/ISACANews LinkedIn:

Kerangka COBIT® 2019: Pendahuluan dan Metodologi

Salinan Pribadi: Dr. David Lanter

DALAM MEMORI: JOHN LAINHART (1946-2018)

Dalam Memori: John Lainhart (1946-2018)

Salinan Pribadi: Dr. David Lanter

KERANGKA COBIT® 2019: PENDAHULUAN & METODOLOGI

Halaman sengaja dikosongkan

Salinan Pribadi: Dr. David Lanter

UCAPAN TERIMA KASIH

Ucapan Terima Kasih

Kelompok Kerja COBIT (2017-2018)

Peninjau Ahli Sarah

KERANGKA COBIT® 2019: PENDAHULUAN & METODOLOGI

Ucapan Terima Kasih (lanjutan)

Peninjau Ahli Peter

Dewan Direksi ISACA Rob Clyde,

Salinan Pribadi: Dr. David Lanter

Bab 2. Audiens yang dituju................................................ ................................................. .........15

Bab 3. Prinsip COBIT................................................ ................................................. ............17

Bab 4. Konsep Dasar : Sistem dan Komponen Tata Kelola .........19

Bab 6. Manajemen Kinerja di COBIT................................................ ............37

Bab 8. Penerapan Tata Kelola TI Perusahaan............................................49 8.1 Tujuan Panduan Implementasi

Salinan Pribadi: Dr. David Lanter

KERANGKA COBIT® 2019: PENDAHULUAN & METODOLOGI

Bab 9. Memulai COBIT: Membuat Kasus................................53

Salinan Pribadi: Dr. David Lanter

Bab 2. Audiens yang Dituju Gambar 2.1—

Bab 3. Prinsip COBIT Gambar 3.1—Prinsip

Bab 4. Konsep Dasar : Sistem dan Komponen Tata Kelola

Bab 6. Manajemen Kinerja di COBIT Gambar 6.1—Tingkat

Bab 8. Penerapan Tata Kelola TI Perusahaan

KERANGKA COBIT® 2019: PENDAHULUAN & METODOLOGI

Halaman sengaja dikosongkan

Salinan Pribadi: Dr. David Lanter

Gambar 1.1—Konteks Tata Kelola Perusahaan di bidang Informasi dan Teknologi

Perusahaan Bisnis/TI Nilai

1.2 Manfaat Tata Kelola Informasi dan Teknologi

KERANGKA COBIT® 2019: PENDAHULUAN & METODOLOGI

melaksanakan rencana strategis

1.3 COBIT sebagai Kerangka Tata Kelola I&T

Salinan Pribadi: Dr. David Lanter

1.3.1 Apa itu COBIT dan Apa yang Bukan?

ÿ Tata kelola memastikan bahwa:

Arah ditentukan melalui penentuan prioritas dan pengambilan keputusan.

Beberapa kesalahpahaman tentang COBIT harus dihilangkan:

bukanlah kerangka kerja untuk mengatur proses bisnis. ÿ COBIT bukanlah

Salinan Pribadi: Dr. David Lanter

KERANGKA COBIT® 2019: PENDAHULUAN & METODOLOGI

1.4 Struktur Publikasi Ini

Sisa dari publikasi ini berisi bab-bab berikut:

ÿ Bab 2 membahas target audiens COBIT.

Salinan Pribadi: Dr. David Lanter

2.1 Tata Kelola Pemangku Kepentingan

Gambar 2.1—Pemangku Kepentingan COBIT

KERANGKA COBIT® 2019: PENDAHULUAN & METODOLOGI

Halaman sengaja dikosongkan

Salinan Pribadi: Dr. David Lanter

COBIT® 2019 dikembangkan berdasarkan dua prinsip: