COBIT-2019 - Framework-Introduction-and-Methodology - Res - Eng - 1118
COBIT-2019 - Framework-Introduction-and-Methodology - Res - Eng - 1118
KERANGKA
Pendahuluan dan
Metodologi
Tentang ISACA
Mendekati usianya yang ke-50, ISACA® (isaca.org) adalah asosiasi global yang membantu individu dan perusahaan mencapai potensi
positif dari teknologi. Teknologi memberdayakan dunia saat ini dan ISACA membekali para profesional dengan pengetahuan,
kredensial, pendidikan, dan komunitas untuk memajukan karir mereka dan mentransformasikan organisasi mereka. ISACA memanfaatkan
keahlian setengah juta profesionalnya yang terlibat di bidang keamanan informasi dan cyber, tata kelola, jaminan, risiko dan inovasi,
serta anak perusahaannya yang bergerak di bidang kinerja perusahaan, CMMI® Institute, untuk membantu memajukan inovasi melalui
teknologi. ISACA hadir di lebih dari 188 negara, termasuk lebih dari 217 cabang dan kantor di Amerika Serikat dan Tiongkok.
Penafian
ISACA telah merancang dan menciptakan Kerangka COBIT® 2019: Pengantar dan Metodologi (“Pekerjaan”) terutama sebagai sumber daya
pendidikan bagi para profesional tata kelola informasi dan teknologi (EGIT), jaminan, risiko dan keamanan perusahaan. ISACA tidak
mengklaim bahwa penggunaan Karya apa pun akan menjamin keberhasilan hasil. Pekerjaan tidak boleh dianggap mencakup semua
informasi, prosedur dan pengujian yang tepat atau eksklusif terhadap informasi, prosedur dan pengujian lainnya yang secara wajar
diarahkan untuk memperoleh hasil yang sama. Dalam menentukan kelayakan suatu informasi, prosedur atau pengujian tertentu,
profesional tata kelola informasi dan teknologi perusahaan (EGIT), jaminan, risiko dan keamanan harus menerapkan pertimbangan
profesional mereka sendiri terhadap keadaan spesifik yang ditimbulkan oleh sistem atau lingkungan teknologi informasi tertentu.
Hak Cipta ©
2018 ISACA. Seluruh hak cipta. Untuk pedoman penggunaan, lihat www.isaca.org/ COBITuse.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Telepon: +1.847.660.5505
Faks: +1.847.253.1755
Hubungi kami: https://support.isaca.org Situs
web: www.isaca.org
Didedikasikan untuk John Lainhart, ketua Dewan ISACA 1984-1985. John berperan penting dalam pembuatan
kerangka COBIT® dan terakhir menjabat sebagai ketua kelompok kerja COBIT® 2019, yang berpuncak pada
pembuatan karya ini. Selama empat dekade bersama ISACA, John terlibat dalam berbagai aspek asosiasi serta
memegang sertifikasi CISA, CRISC, CISM dan CGEIT dari ISACA. John meninggalkan warisan pribadi dan
profesional yang luar biasa, dan usahanya berdampak signifikan pada ISACA.
Tim Pengembangan
Steven De Haes, Ph.D., Antwerp Management School, Universitas Antwerp, Belgia Matthias
Goorden, PwC, Belgia Stefanie
Grijp, PwC, Belgia Bart Peeters,
PwC, Belgia Geert Poels,
Ph.D., Ghent University, Belgia Dirk Steuperaert,
CISA, CRISC, CGEIT, IT In Balance, Belgia
5
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
DAFTAR ISI
DAFTAR ISI
Daftar Gambar ............................................... ................................................. ................................................. 9
Bab 1 PENDAHULUAN .............................................. ................................................. ........................11 1.1 Tata Kelola Perusahaan Informasi dan
Teknologi ................ ................................................. ..............11 1.2 Manfaat Tata Kelola Informasi dan Teknologi ............................ ................................................. .....11
1.3 COBIT sebagai Kerangka Tata Kelola I&T.................................. ................................................. ............12
1.3.1 Apa itu COBIT dan Apa yang Bukan? ................................................. ................................................. .13
1.4 Struktur Publikasi Ini ............................................ ................................................. ........................14
Bab 5. Tujuan Tata Kelola dan Manajemen COBIT..................................33 5.1 Tujuan .............. ................................................. ................................................. .................................33
Bab 7. Merancang Sistem Tata Kelola yang Disesuaikan .................................. ..45 7.1 Dampak Faktor
Desain.................................. ................................................. ................................45 7.2 Tahapan dan Langkah Proses
Desain........ ................................................. ................................................47
Bab 10. COBIT dan Standar Lainnya ........................................ ................................63 10.1 Prinsip
Panduan ............. ................................................. ................................................. ....................63 10.2 Daftar Standar yang
Direferensikan....................... ................................................. ............................................63
DAFTAR GAMBAR
DAFTAR GAMBAR
Bab 1. Pendahuluan Gambar 1.1—
Konteks Tata Kelola Perusahaan di bidang Informasi dan Teknologi.................................. .................11
Bab 5. Tujuan dan Tujuan Tata Kelola dan Manajemen COBIT Gambar 5.1—Model Inti COBIT:
Sasaran dan Tujuan Tata Kelola dan Manajemen.................................. ...............33
Bab 7. Merancang Sistem Tata Kelola yang Disesuaikan Gambar 7.1—Dampak Faktor
Desain pada Sistem Tata Kelola dan Manajemen................................. ................................45 Gambar 7.2—Alur Kerja
Desain Sistem Tata Kelola ................. ................................................. ................................47
Bab 9. Memulai COBIT: Membuat Kasus Gambar 9.1—Tantangan dan Rencana Tindakan untuk
Acme Corporation ........................ ............................................60
9
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
10
BAB 1
PERKENALAN
Bab 1
Perkenalan
1.1 Tata Kelola Perusahaan Informasi dan Teknologi
Mengingat transformasi digital, informasi dan teknologi (I&T) menjadi sangat penting dalam mendukung, keberlanjutan, dan
pertumbuhan perusahaan. Sebelumnya, dewan pengurus (dewan direksi) dan manajemen senior dapat mendelegasikan, mengabaikan
atau menghindari keputusan terkait I&T. Di sebagian besar sektor dan industri, sikap seperti ini kini tidak tepat. Penciptaan nilai
pemangku kepentingan (yaitu, mewujudkan manfaat dengan biaya sumber daya yang optimal sambil mengoptimalkan risiko) sering kali
didorong oleh digitalisasi tingkat tinggi dalam model bisnis baru, proses yang efisien, inovasi yang sukses, dan lain-lain.
Perusahaan-perusahaan yang terdigitalisasi semakin bergantung pada I&T untuk kelangsungan hidup dan pertumbuhannya.
Mengingat pentingnya I&T untuk manajemen risiko perusahaan dan penciptaan nilai, fokus khusus pada tata kelola informasi
dan teknologi perusahaan (EGIT) telah muncul selama tiga dekade terakhir. EGIT merupakan bagian integral dari tata kelola
perusahaan. Hal ini dilaksanakan oleh dewan yang mengawasi definisi dan penerapan proses, struktur, dan mekanisme relasional
dalam organisasi yang memungkinkan pelaku bisnis dan TI melaksanakan tanggung jawab mereka dalam mendukung
penyelarasan bisnis/TI dan penciptaan nilai bisnis dari dukungan I&T. investasi bisnis (gambar 1.1).
Sumber: De Haes, Steven; W.Van Grembergen; Tata Kelola Perusahaan Teknologi Informasi: Mencapai Keselarasan dan Nilai,
Menampilkan COBIT 5, edisi ke-2 , Springer International Publishing, Swiss, 2015, https:// www.springer.com/ us/ book/ 9783319145464
Tata kelola informasi dan teknologi perusahaan bersifat kompleks dan beragam. Tidak ada solusi jitu (atau cara ideal) untuk merancang,
menerapkan, dan memelihara EGIT yang efektif dalam suatu organisasi. Oleh karena itu, anggota dewan pengurus dan manajemen
senior biasanya perlu menyesuaikan langkah-langkah dan implementasi EGIT mereka sesuai dengan konteks dan kebutuhan spesifik
mereka. Mereka juga harus bersedia menerima akuntabilitas yang lebih besar terhadap I&T dan mendorong pola pikir dan budaya yang
berbeda untuk memberikan nilai dari I&T.
Pada dasarnya, EGIT berkaitan dengan penyampaian nilai dari transformasi digital dan mitigasi risiko bisnis yang diakibatkan oleh
transformasi digital. Lebih khusus lagi, tiga hasil utama yang dapat diharapkan setelah penerapan EGIT berhasil: ÿ Realisasi manfaat
—Ini terdiri dari
menciptakan nilai bagi perusahaan melalui I&T, mempertahankan dan meningkatkan nilai yang diperoleh dari investasi I&T11 yang
ada, dan menghilangkan inisiatif dan aset TI yang tidak menghasilkan keuntungan. nilai yang cukup. Prinsip dasar nilai I&T
adalah penyampaian layanan dan solusi yang sesuai dengan tujuan, tepat waktu
1
1 Sepanjang teks ini, TI digunakan untuk merujuk pada departemen organisasi dengan tanggung jawab utama terhadap teknologi. I&T sebagaimana digunakan dalam teks ini
mengacu pada semua informasi yang dihasilkan, diproses, dan digunakan oleh perusahaan untuk mencapai tujuannya, serta teknologi untuk mendukungnya di seluruh perusahaan.
11
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
ÿ Optimalisasi risiko—Hal ini mencakup penanganan risiko bisnis yang terkait dengan penggunaan, kepemilikan, pengoperasian,
keterlibatan, pengaruh dan adopsi I&T dalam suatu perusahaan. Risiko bisnis terkait I&T terdiri dari peristiwa terkait I&T yang berpotensi
berdampak pada bisnis. Sementara penyampaian nilai berfokus pada penciptaan nilai, manajemen risiko berfokus pada pelestarian
nilai. Pengelolaan risiko terkait I&T harus diintegrasikan dalam pendekatan manajemen risiko perusahaan untuk memastikan perusahaan
fokus pada TI. Hal ini juga harus diukur dengan cara yang menunjukkan dampak dan kontribusi dari optimalisasi risiko bisnis terkait I&T
dalam menjaga nilai. ÿ Optimalisasi sumber daya—Hal ini memastikan bahwa kemampuan yang tepat tersedia untuk
Penyelarasan strategis dan pengukuran kinerja merupakan hal yang sangat penting dan berlaku secara keseluruhan pada semua aktivitas
untuk memastikan bahwa tujuan terkait I&T selaras dengan tujuan perusahaan.
Dalam studi kasus besar pada perusahaan penerbangan internasional, manfaat EGIT ditunjukkan antara lain: menurunkan biaya
kontinuitas terkait TI, meningkatkan kapasitas inovasi yang didukung TI, meningkatkan keselarasan antara investasi digital dan tujuan serta
strategi bisnis, meningkatkan kepercayaan antara bisnis dan TI, dan pergeseran menuju “pola pikir nilai” seputar aset digital. 22
Penelitian telah menunjukkan bahwa perusahaan dengan pendekatan EGIT yang dirancang atau diadopsi dengan buruk memiliki kinerja yang
lebih buruk dalam menyelaraskan strategi dan proses bisnis dan I&T. Akibatnya, perusahaan-perusahaan tersebut cenderung tidak
mencapai strategi bisnis yang diharapkan dan mewujudkan nilai bisnis yang mereka harapkan dari transformasi digital. 33
Dari sini jelas bahwa tata kelola harus dipahami dan diterapkan jauh melampaui penafsiran yang sering dijumpai (yaitu sempit) yang disarankan
oleh akronim tata kelola, risiko dan kepatuhan (GRC). Akronim GRC sendiri secara implisit menunjukkan bahwa kepatuhan dan risiko terkait
mewakili spektrum tata kelola.
Selama bertahun-tahun, kerangka praktik terbaik telah dikembangkan dan dipromosikan untuk membantu proses pemahaman,
perancangan, dan penerapan EGIT. COBIT® 2019 dibangun dan mengintegrasikan lebih dari 25 tahun pengembangan di bidang ini,
tidak hanya menggabungkan wawasan baru dari sains, namun juga mengoperasionalkan wawasan ini sebagai praktik.
Dari landasannya dalam komunitas audit TI, COBIT® telah berkembang menjadi kerangka tata kelola dan manajemen I&T yang lebih luas
dan komprehensif dan terus memantapkan dirinya sebagai kerangka kerja yang diterima secara umum untuk I&T.
pemerintahan.
2
2
De Haes, S.; W.van Grembergen; Tata Kelola Perusahaan TI: Mencapai Keselarasan dan Nilai, Menampilkan COBIT 5, Springer International
Publishing, Swiss, edisi ke-2. 2015, https:// www.springer.com/ us/ book/ 9783319145464
3
3 De Haes, Steven; A.Joshi; W.van Grembergen; “Keadaan dan Dampak Tata Kelola TI Perusahaan dalam Organisasi: Temuan Utama dari Studi
Internasional,” Jurnal ISACA® , vol. 4, 2015, https:// www.isaca.org/ Journal/ archives/ 2015/ Volume-4/ Pages/ state-and-impact-of-governance-of-
enterprise-it-in-organizations.aspx. Lihat juga op cit De Haes dan van Grembergen.
12
BAB 1
PERKENALAN
Sebelum menjelaskan kerangka COBIT yang diperbarui, penting untuk menjelaskan apa itu COBIT dan apa yang bukan:
COBIT adalah kerangka tata kelola dan pengelolaan informasi dan teknologi perusahaan, 44 yang ditujukan untuk seluruh perusahaan. I&T
Perusahaan berarti semua teknologi dan pemrosesan informasi yang diterapkan perusahaan untuk mencapai tujuannya, di mana pun hal ini
terjadi di perusahaan. Dengan kata lain, I&T perusahaan tidak terbatas pada departemen TI suatu organisasi, namun tentu saja mencakup
departemen tersebut.
Kerangka COBIT membuat perbedaan yang jelas antara tata kelola dan manajemen. Kedua disiplin ilmu ini mencakup aktivitas yang
berbeda, memerlukan struktur organisasi yang berbeda, dan memiliki tujuan yang berbeda.
ÿ Kebutuhan, kondisi dan pilihan pemangku kepentingan dievaluasi untuk menentukan tujuan perusahaan yang seimbang dan disepakati. ÿ
ÿ Kinerja dan kepatuhan dipantau berdasarkan arah dan tujuan yang disepakati.
Di sebagian besar perusahaan, tata kelola secara keseluruhan merupakan tanggung jawab dewan direksi, di bawah kepemimpinan ketua.
Tanggung jawab tata kelola yang spesifik dapat didelegasikan kepada struktur organisasi khusus pada tingkat yang sesuai,
khususnya di perusahaan yang lebih besar dan kompleks.
ÿ Manajemen merencanakan, membangun, menjalankan dan memantau kegiatan, sejalan dengan arahan yang ditetapkan oleh tata kelola
badan, untuk mencapai tujuan perusahaan.
Di sebagian besar perusahaan, manajemen merupakan tanggung jawab manajemen eksekutif, di bawah kepemimpinan CEO (CEO).
COBIT mendefinisikan komponen untuk membangun dan mempertahankan sistem tata kelola: proses, struktur organisasi, kebijakan
dan prosedur, arus informasi, budaya dan perilaku, keterampilan, dan infrastruktur. 55
COBIT mendefinisikan faktor desain yang harus dipertimbangkan oleh perusahaan untuk membangun sistem tata kelola yang paling sesuai.
COBIT mengatasi masalah tata kelola dengan mengelompokkan komponen tata kelola yang relevan ke dalam tujuan tata kelola dan manajemen
yang dapat dikelola hingga tingkat kemampuan yang diperlukan.
ÿ COBIT bukanlah gambaran lengkap dari keseluruhan lingkungan TI suatu perusahaan. ÿ COBIT
kerangka teknis (IT-) untuk mengelola semua teknologi. ÿ COBIT tidak membuat atau
menentukan keputusan terkait TI apa pun. Ia tidak akan memutuskan strategi TI apa yang terbaik, arsitektur apa yang terbaik, atau berapa
besar biaya TI yang dapat atau harus dikeluarkan. COBIT mendefinisikan semua komponen yang menggambarkan keputusan mana yang
harus diambil, dan bagaimana serta oleh siapa keputusan tersebut harus diambil.
4
4
Sepanjang publikasi ini, rujukan pada “kerangka tata kelola TI” menyiratkan keseluruhan uraian ini.
5
5 Komponen-komponen ini disebut sebagai penggerak (enabler) dalam COBIT® 5.
13
ÿ Bab 4 menjelaskan konsep dasar dan terminologi COBIT® 2019, termasuk model inti COBIT yang diperbarui
dengan 40 tujuan tata kelola dan pengelolaannya.
ÿ Bab 5 menguraikan 40 tujuan tata kelola dan pengelolaan.
ÿ Bab 6 menjelaskan bagaimana pemantauan kinerja di COBIT® 2019 disusun dan, khususnya, bagaimana Kemampuan
Tingkat kemampuan yang terinspirasi dari Maturity Model Integration (CMMI®) diperkenalkan.
ÿ Bab 7 berisi pengenalan singkat dan gambaran alur kerja COBIT® Panduan Desain 2019.
ÿ Bab 8 berisi pengenalan singkat dan gambaran umum COBIT® Panduan Implementasi 2019.
ÿ Bab 9 berisi contoh rinci untuk mengilustrasikan alasan adopsi dan implementasi COBIT
di suatu perusahaan.
ÿ Bab 10 mencantumkan standar, kerangka kerja, dan peraturan yang telah digunakan selama pengembangan COBIT® 2019.
14
BAB 2
AUDIENS YANG DITUJU
Bab 2
Audiens yang dituju
Target audiens COBIT adalah pemangku kepentingan EGIT dan, lebih jauh lagi, pemangku kepentingan perusahaan
pemerintahan. Para pemangku kepentingan ini dan manfaat yang dapat mereka peroleh dari COBIT ditunjukkan pada gambar 2.1.
Papan Memberikan wawasan tentang cara mendapatkan nilai dari penggunaan I&T dan menjelaskannya
tanggung jawab dewan yang relevan
Manajemen eksekutif Memberikan panduan tentang cara mengatur dan memantau kinerja I&T
di seluruh perusahaan
Manajer Bisnis Membantu memahami cara mendapatkan solusi I&T yang dibutuhkan perusahaan
dan cara terbaik memanfaatkan teknologi baru untuk peluang strategis baru
Manajer TI Memberikan panduan tentang cara terbaik untuk membangun dan menyusun departemen TI,
mengelola kinerja TI, menjalankan operasional TI yang efisien dan efektif,
mengendalikan biaya TI, menyelaraskan strategi TI dengan prioritas bisnis, dll.
Penyedia Jaminan Membantu mengelola ketergantungan pada penyedia layanan eksternal, dapatkan
jaminan atas TI, dan menjamin adanya sistem yang efektif dan efisien
sistem pengendalian internal
Manajemen risiko Membantu memastikan identifikasi dan pengelolaan semua risiko terkait TI
Pemangku Kepentingan Eksternal
Regulator Membantu memastikan perusahaan mematuhi peraturan dan ketentuan yang berlaku
peraturan dan memiliki sistem tata kelola yang tepat untuk mengelola dan
mempertahankan kepatuhan
Mitra Bisnis Membantu memastikan bahwa operasi mitra bisnis aman dan dapat diandalkan
dan mematuhi peraturan dan ketentuan yang berlaku
Vendor TI Membantu memastikan bahwa operasi vendor TI aman, andal, dan
mematuhi peraturan dan ketentuan yang berlaku
Tingkat pengalaman tertentu dan pemahaman menyeluruh tentang perusahaan diperlukan untuk mendapatkan manfaat dari COBIT
kerangka. Pengalaman dan pemahaman tersebut memungkinkan pengguna untuk menyesuaikan panduan inti COBIT—yang bersifat umum
alam—menjadi panduan yang disesuaikan dan terfokus untuk perusahaan, dengan mempertimbangkan konteks perusahaan.
Target audiensnya mencakup mereka yang bertanggung jawab sepanjang siklus hidup solusi tata kelola, mulai dari desain hingga
eksekusi hingga jaminan. Memang benar, penyedia jaminan dapat menerapkan logika dan alur kerja yang dikembangkan dalam publikasi ini
untuk menciptakan program jaminan yang dibuktikan dengan baik bagi perusahaan.
15
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
16
bagian 3
Prinsip COBIT
3.1 Pendahuluan
ÿ Prinsip-prinsip yang menggambarkan persyaratan inti sistem tata kelola untuk informasi dan teknologi perusahaan. ÿ Prinsip-prinsip kerangka
tata kelola yang dapat digunakan untuk membangun sistem tata kelola untuk perusahaan
1. Setiap perusahaan memerlukan sistem tata kelola untuk memenuhi kebutuhan pemangku kepentingan dan menghasilkan nilai dari penggunaan
DIA. Nilai mencerminkan keseimbangan antara manfaat, risiko, dan sumber daya, dan perusahaan memerlukan strategi dan sistem tata kelola
yang dapat ditindaklanjuti untuk mewujudkan nilai ini.
2. Sistem tata kelola I&T perusahaan dibangun dari sejumlah komponen yang bisa berbeda jenisnya dan bekerja sama secara holistik.
3. Sistem pemerintahan harus bersifat dinamis. Ini berarti bahwa setiap kali satu atau lebih faktor desain berada
diubah (misalnya perubahan strategi atau teknologi), dampak perubahan ini terhadap sistem EGIT harus dipertimbangkan. Pandangan
dinamis tentang EGIT akan mengarah pada sistem EGIT yang layak dan tahan masa depan.
4. Sistem tata kelola harus secara jelas membedakan antara aktivitas dan struktur tata kelola dan manajemen.
5. Sistem tata kelola harus disesuaikan dengan kebutuhan perusahaan, dengan menggunakan serangkaian faktor desain sebagai parameternya
menyesuaikan dan memprioritaskan komponen sistem tata kelola.
6. Sistem tata kelola harus mencakup seluruh perusahaan, dengan fokus tidak hanya pada fungsi TI namun pada semua teknologi dan
pemrosesan informasi yang diterapkan perusahaan untuk mencapai tujuannya, terlepas dari lokasi pemrosesan di perusahaan tersebut. 61
1. Memberikan 3. Sistem
2.
Nilai kepada Tata Kelola
Pendekatan Holistik
Pemangku Kepentingan Dinamis
6
1 Hugh, T.; S.De Haes; “Menggunakan Model Sistem yang Layak untuk Mempelajari Dinamika Tata Kelola TI: Bukti dari Studi Kasus Tunggal,” Prosiding
Konferensi Internasional Hawaii ke-51 tentang Ilmu Sistem, 2018, https:// scholarspace.manoa.hawaii.edu/ bitstream/ 10125/50501 / 1/ paper0614.pdf
17
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
1. Kerangka tata kelola harus didasarkan pada model konseptual, dengan mengidentifikasi komponen-komponen utama dan
hubungan antar komponen, untuk memaksimalkan konsistensi dan memungkinkan otomatisasi.
2. Kerangka tata kelola harus terbuka dan fleksibel. Itu harus memungkinkan penambahan konten dan kemampuan baru
untuk mengatasi permasalahan baru dengan cara yang paling fleksibel, dengan tetap menjaga integritas dan konsistensi.
3. Kerangka tata kelola harus selaras dengan standar, kerangka kerja, dan peraturan terkait yang relevan.
1. Berdasarkan
2. Terbuka
Model
dan Fleksibel
Konseptual
3. Selaras
dengan Standar Utama
COBIT® 2019 merupakan penyempurnaan dari COBIT versi sebelumnya dalam beberapa bidang berikut:
ÿ Fleksibilitas dan keterbukaan— Definisi dan penggunaan faktor desain memungkinkan COBIT disesuaikan untuk menghasilkan kinerja yang lebih baik.
selaras dengan konteks khusus pengguna. Arsitektur terbuka COBIT memungkinkan penambahan area fokus baru (lihat bagian 4.4)
atau memodifikasi area fokus yang sudah ada, tanpa implikasi langsung terhadap struktur dan konten model inti COBIT.
ÿ Mata uang dan relevansi— Model COBIT mendukung referensi dan penyelarasan dengan konsep yang berasal dari negara lain
sumber (misalnya, standar TI terbaru dan peraturan kepatuhan).
ÿ Penerapan preskriptif—Model seperti COBIT dapat bersifat deskriptif dan preskriptif. Model konseptual COBIT dibangun dan disajikan sedemikian
rupa sehingga contohnya (yaitu, penerapan komponen tata kelola COBIT yang disesuaikan) dianggap sebagai resep untuk sistem tata kelola TI
yang disesuaikan.
ÿ Manajemen kinerja TI—Struktur model manajemen kinerja COBIT diintegrasikan ke dalam model konseptual. Konsep kematangan dan kemampuan
diperkenalkan untuk penyelarasan yang lebih baik dengan CMMI.
Panduan COBIT menggunakan istilah tata kelola informasi dan teknologi perusahaan, tata kelola perusahaan informasi dan teknologi, tata kelola
TI, dan tata kelola TI secara bergantian.
18
BAB 4
KONSEP DASAR : SISTEM DAN KOMPONEN TATA KELOLA
Bab 4
Konsep Dasar: Sistem dan Komponen Tata Kelola
Rangkaian produk COBIT® 2019 bersifat terbuka dan dirancang untuk penyesuaian. Publikasi berikut ini adalah
saat ini tersedia: 71
ÿ Kerangka COBIT® 2019: Pendahuluan dan Metodologi memperkenalkan konsep-konsep utama COBIT® 2019.
COBIT® ÿ Kerangka Kerja 2019: Tujuan Tata Kelola dan Manajemen secara komprehensif menggambarkan 40 tujuan inti
tujuan tata kelola dan pengelolaan, proses yang terkandung di dalamnya, dan komponen terkait lainnya. Panduan ini
juga merujuk pada standar dan kerangka kerja lainnya.
COBIT® ÿ Panduan Desain 2019: Merancang Solusi Tata Kelola Informasi dan Teknologi mengeksplorasi desain
faktor-faktor yang dapat mempengaruhi tata kelola dan mencakup alur kerja untuk merencanakan sistem tata kelola yang disesuaikan untuk
perusahaan.
COBIT® ÿ Panduan Implementasi 2019: Penerapan dan Optimalisasi Teknologi dan Informasi
Solusi Tata Kelola mewakili evolusi panduan Implementasi COBIT® 5 dan mengembangkan peta jalan untuk
perbaikan tata kelola yang berkelanjutan. Ini dapat digunakan bersama dengan Panduan Desain COBIT® 2019.
Gambar 4.1 menunjukkan ikhtisar tingkat tinggi COBIT® 2019 dan menggambarkan bagaimana berbagai publikasi dalam rangkaian tersebut
mencakup berbagai aspek.
• Strategi perusahaan
• Tujuan perusahaan
• Ukuran perusahaan
• Peran TI
Masukan ke COBIT® 2019 COBIT® 2019 • Model pengadaan untuk TI
• Persyaratan kepatuhan
• Dll.
Pertunangan
Sistem untuk
Informasi dan
Masyarakat
Kontribusi APO01—Dikelola
Manajemen I&T
Kerangka
APO02—Dikelola
Strategi
APO03—Dikelola
Perusahaan
Arsitektur
APO04—Dikelola
Inovasi
APO05—Dikelola
Portofolio
APO06—Dikelola
Anggaran dan Biaya
APO07—Dikelola
Sumber daya manusia
Teknologi
MEA01—Dikelola
Kinerja dan
Kesesuaian
Pemantauan
APO09—Dikelola
APO08—Dikelola Melayani APO10—Dikelola APO11—Dikelola APO12—Dikelola APO13—Dikelola APO14—Dikelola
Hubungan
Perjanjian
Vendor Kualitas Mempertaruhkan
Keamanan Data
Area fokus
MEA02—Dikelola
BAI01—Dikelola
Program
BAI02—Dikelola
Persyaratan
BAI03—Kelola
Solusi
Identifikasi
BAI04—Dikelola
Ketersediaan
BAI05—Dikelola
Organisasi
BAI06—Dikelola
BAI07—Dikelola
Perubahan TI
Sistem Internal
Kontrol
ÿ Tata kelola prioritas
Definisi Perubahan TI Penerimaan dan
dan Kapasitas Mengubah
dan Membangun
Transisi
dan manajemen
BAI08—Dikelola
Pengetahuan
BAI09—Dikelola
Aktiva
BAI10—Dikelola
Konfigurasi
BAI11—Dikelola
Proyek
MEA03—Dikelola
Kepatuhan dengan
Luar
• UKM tujuan
ÿ Panduan khusus
Persyaratan
• Keamanan
• Mempertaruhkan
dari area fokus
DSS02—Dikelola DSS05—Dikelola DSS06—Dikelola
DSS01—Dikelola
Operasi
Permintaan Layanan
dan Insiden
DSS03—Dikelola
Masalah
DSS04—Dikelola
Kontinuitas
Keamanan
Jasa
Bisnis
Kontrol Proses
MEA04—Dikelola
Jaminan
• DevOps ÿ Kemampuan sasaran
• Dll. dan kinerja
pengelolaan
panduan
1
7 Pada saat penerbitan judul Kerangka COBIT® 2019: Pengantar dan Metodologi ini , direncanakan judul tambahan untuk COBIT® 2019
keluarga produk tetapi belum dirilis.
19
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
COBIT® 2019 didasarkan pada COBIT® 5 dan sumber resmi lainnya. COBIT selaras dengan sejumlah standar dan kerangka kerja
terkait. Daftar standar-standar ini terdapat dalam Bab 10. Analisis standar-standar terkait dan penyelarasan COBIT dengan standar-standar
tersebut mendasari posisi COBIT sebagai payung kerangka tata kelola I&T.
Di masa depan, COBIT akan memanggil komunitas penggunanya untuk mengusulkan pembaruan konten, untuk diterapkan sebagai
kontribusi terkontrol secara terus-menerus, agar COBIT selalu mendapatkan informasi dan evolusi terkini.
Bagian berikut menjelaskan konsep dan istilah utama yang digunakan dalam COBIT® 2019.
Agar informasi dan teknologi dapat berkontribusi pada tujuan perusahaan, sejumlah tujuan tata kelola dan manajemen harus dicapai.
Konsep dasar yang berkaitan dengan tujuan tata kelola dan pengelolaan adalah:
ÿ Tujuan tata kelola atau pengelolaan selalu berkaitan dengan satu proses (dengan nama yang identik atau mirip) dan serangkaian
komponen terkait lainnya untuk membantu mencapai tujuan.
ÿ Tujuan tata kelola berkaitan dengan proses tata kelola (digambarkan dengan latar belakang biru tua pada Gambar 4.2), sedangkan tujuan
pengelolaan berkaitan dengan proses pengelolaan (digambarkan dengan latar belakang biru muda pada Gambar 4.2).
Dewan dan manajemen eksekutif biasanya bertanggung jawab atas proses tata kelola, sedangkan proses manajemen merupakan
domain manajemen senior dan menengah.
Tujuan tata kelola dan manajemen dalam COBIT dikelompokkan menjadi lima domain. Domain memiliki nama dengan kata kerja yang
mengungkapkan maksud utama dan bidang kegiatan dari tujuan yang terkandung di dalamnya:
ÿ Tujuan tata kelola dikelompokkan dalam domain Evaluate, Direct and Monitor (EDM). Dalam domain ini, badan pengatur mengevaluasi
pilihan-pilihan strategis, mengarahkan manajemen senior pada pilihan-pilihan strategis yang dipilih dan memantau pencapaian strategi.
ÿ Align, Plan and Organize (APO) membahas keseluruhan organisasi, strategi, dan aktivitas pendukung I&T. ÿ Build, Acquire and Implement
ÿ Deliver, Service and Support (DSS) membahas penyampaian operasional dan dukungan layanan I&T, termasuk
keamanan.
ÿ Monitor, Evaluate and Assess (MEA) membahas pemantauan kinerja dan kesesuaian I&T dengan target kinerja internal, tujuan pengendalian
internal, dan persyaratan eksternal.
2 8 Sejumlah panduan konten area fokus ini sudah dalam persiapan; lainnya sudah direncanakan. Kumpulan panduan area fokus bersifat terbuka dan bersifat berkehendak
terus berkembang. Untuk informasi terkini mengenai publikasi yang tersedia saat ini dan yang direncanakan serta konten lainnya, silakan kunjungi www.isaca.org/ cobit.
20
EDM01—Dijamin
EDM04—Dijamin EDM05—Dijamin
Tata Kelola EDM02—Dijamin EDM03—Dijamin
Sumber Pemangku kepentingan
Pengaturan Kerangka Pengiriman Manfaat Optimasi Risiko
dan pemeliharaan Optimasi Pertunangan
APO01—Dikelola APO03—Dikelola
APO02—Dikelola APO04—Dikelola APO05—Dikelola APO06—Dikelola APO07—Dikelola
Manajemen I&T Perusahaan Inovasi Portofolio Sumber daya manusia
Kerangka Strategi Anggaran dan Biaya
Arsitektur
MEA01—Dikelola
Kinerja dan
Kesesuaian
Pemantauan
APO09—Dikelola
APO08—Dikelola Melayani APO10—Dikelola APO11—Dikelola APO12—Dikelola APO13—Dikelola APO14—Dikelola
Hubungan Vendor Kualitas Mempertaruhkan
Keamanan Data
Perjanjian
MEA02—Dikelola
Sistem Internal
BAI03—Dikelola BAI07—Dikelola Kontrol
BAI01—Dikelola BAI02—Dikelola Solusi BAI04—Dikelola BAI05—Dikelola
BAI06—Dikelola Perubahan TI
Program Persyaratan Identifikasi Ketersediaan Organisasi
Definisi Perubahan TI Penerimaan dan
dan Membangun
dan Kapasitas Mengubah
Transisi
MEA03—Dikelola
BAI08—Dikelola BAI09—Dikelola BAI10—Dikelola BAI11—Dikelola
Aktiva Kepatuhan Dengan
Pengetahuan Konfigurasi Proyek Luar
Persyaratan
Untuk memenuhi tujuan tata kelola dan manajemen, setiap perusahaan perlu menetapkan, menyesuaikan, dan mempertahankan tata kelola
sistem yang dibangun dari sejumlah komponen.
ÿ Komponen adalah faktor-faktor yang, secara individu dan kolektif, berkontribusi terhadap berjalannya perusahaan dengan baik
sistem tata kelola atas I&T.
ÿ Komponen berinteraksi satu sama lain, menghasilkan sistem tata kelola I&T yang holistik.
ÿ Komponen bisa bermacam-macam jenisnya. Yang paling familiar adalah proses. Namun, komponen suatu pemerintahan
sistem juga mencakup struktur organisasi; kebijakan dan prosedur; item informasi; budaya dan perilaku;
keterampilan dan kompetensi; dan layanan, infrastruktur dan aplikasi (gambar 4.3).
ÿ Proses menggambarkan serangkaian praktik dan aktivitas yang terorganisir untuk mencapai tujuan tertentu dan menghasilkan serangkaian tujuan
keluaran yang mendukung pencapaian tujuan terkait TI secara keseluruhan.
ÿ Struktur organisasi adalah entitas pengambil keputusan utama dalam suatu perusahaan.
ÿ Prinsip, kebijakan dan kerangka kerja menerjemahkan perilaku yang diinginkan menjadi panduan praktis sehari-hari
pengelolaan.
ÿ Informasi tersebar luas di seluruh organisasi dan mencakup semua informasi yang dihasilkan dan digunakan oleh
perusahaan. COBIT berfokus pada informasi yang diperlukan untuk memfungsikan sistem tata kelola secara efektif
perusahaan.
21
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
ÿ Orang, keterampilan dan kompetensi diperlukan untuk pengambilan keputusan yang baik, pelaksanaan tindakan perbaikan dan
keberhasilan penyelesaian semua kegiatan.
ÿ Layanan, infrastruktur dan aplikasi mencakup infrastruktur, teknologi dan aplikasi yang menyediakan
perusahaan dengan sistem tata kelola untuk pemrosesan I&T.
Proses
Jasa,
Infrastruktur
Organisasi
dan Struktur
Aplikasi
Tata Kelola
Orang, Keterampilan Sistem Prinsip,
dan
Kebijakan,
Kompetensi Prosedur
Budaya, Etika
dan Informasi
Perilaku
Semua jenis komponen dapat bersifat generik atau dapat berupa varian dari komponen generik:
ÿ Komponen generik dijelaskan dalam model inti COBIT (lihat gambar 4.2) dan berlaku secara prinsip pada situasi apa pun. Namun,
hal tersebut bersifat umum dan umumnya memerlukan penyesuaian sebelum diterapkan secara praktis.
ÿ Varian didasarkan pada komponen umum namun disesuaikan untuk tujuan atau konteks tertentu dalam area fokus
(misalnya, untuk keamanan informasi, DevOps, peraturan tertentu).
Area fokus menggambarkan topik, domain, atau isu tata kelola tertentu yang dapat diatasi melalui kumpulan tujuan tata kelola dan
pengelolaan serta komponennya. Contoh area fokus meliputi: usaha kecil dan menengah, keamanan siber, transformasi digital, komputasi
awan, privasi, dan DevOps. 93 Area fokus mungkin berisi kombinasi komponen dan varian tata kelola yang umum.
9
3
DevOps mencontohkan varian komponen dan area fokus. Mengapa? DevOps adalah tema terkini di pasar dan tentunya memerlukan
panduan khusus, menjadikannya area fokus. DevOps mencakup sejumlah tujuan tata kelola dan manajemen umum dari model inti COBIT,
bersama dengan sejumlah varian proses dan struktur organisasi terkait pengembangan, operasional, dan pemantauan.
22
Jumlah area fokus sebenarnya tidak terbatas. Hal inilah yang membuat COBIT bersifat terbuka. Area fokus baru dapat ditambahkan
sesuai kebutuhan atau seiring dengan kontribusi para ahli dan praktisi pada model COBIT terbuka.
Potensi dampak faktor desain terhadap sistem tata kelola dijelaskan di bagian 7.1. Informasi lebih lanjut dan panduan rinci
tentang cara menggunakan faktor desain untuk merancang sistem tata kelola dapat ditemukan di Panduan Desain COBIT® 2019.
Sumber DIA
Teknologi
Kepatuhan Peran TI Model Perusahaan
Penerapan Adopsi
Persyaratan untuk TI Metode Ukuran
Strategi
1. Strategi perusahaan —Perusahaan dapat memiliki strategi yang berbeda-beda, yang dapat dinyatakan sebagai satu atau lebih
arketipe yang ditunjukkan pada gambar 4.5. Organisasi biasanya mempunyai strategi utama dan, paling banyak, satu strategi sekunder.
Kepemimpinan Biaya Perusahaan memiliki fokus pada minimalisasi biaya jangka pendek. 126
Layanan/Stabilitas Klien Perusahaan ini memiliki fokus pada penyediaan layanan yang stabil dan berorientasi pada klien. 137
10
4
Sesuai dengan prospektor dalam tipologi Miles-Snow. Lihat “Tipologi Pembela, Prospektor, Penganalisis, dan Reaktor Miles dan Snow,” Elibrary, https://
ebrary.net/ 3737/ management/ miles_snows_typology_defender_prospector_analyzer_reactor.
5
11 Lihat Reeves, Martin; Claire Love, Philipp Tillmanns, “Strategi Anda Membutuhkan Strategi,” Harvard Business Review, September 2012,
https:// hbr.org/ 2012/09/ your-strategy-needs-a-strategy, khususnya mengenai visioner dan pembentukan.
12
6
Sesuai dengan kepemimpinan biaya; lihat Universitas Cambridge, “Strategi Kompetitif Generik Porter (cara bersaing),” Kebijakan Teknologi
Manajemen Institute for Manufacturing (IfM), https:// www.ifm.eng.cam.ac.uk/ research/ dstools/ porters-generic -strategi-kompetitif/. Juga sesuai dengan
keunggulan operasional; lihat Treacy, Michael; Fred Wiersema, “Customer Intimacy and Other Value Disciplines,” Harvard Business Review, Januari/
Februari 1993, https:// hbr.org/ 1993/01/ customer-intimacy-and-other-value-disciplines Sesuai dengan para
13
7
pembela HAM di Miles -Tipologi salju. Lihat op cit “Tipologi Pembela, Prospektor, Penganalisis, dan Reaktor Miles dan Snow.”
23
Bagian 4.6 mencakup informasi lebih lanjut mengenai rangkaian tujuan COBIT, yang merupakan penjelasan rinci mengenai hal ini
faktor desain.
3. Profil risiko perusahaan dan permasalahan terkini terkait I&T—Profil risiko mengidentifikasi jenis risiko terkait I&T yang saat ini dihadapi
perusahaan dan menunjukkan area risiko mana yang melebihi risiko tersebut.
nafsu makan. Kategori risiko148 yang tercantum pada Gambar 4.7 patut dipertimbangkan.
24
4. Permasalahan terkait I&T— Metode terkait dalam penilaian risiko I&T bagi perusahaan adalah dengan mempertimbangkan permasalahan
terkait I&T mana yang saat ini dihadapi, atau, dengan kata lain, risiko terkait I&T apa yang telah terwujud. Yang paling umum
isu-isu159 termasuk yang ada di Gambar 4.8.
Sumber daya TI yang tidak memadai, staf dengan keterampilan yang tidak memadai, atau kelelahan/ketidakpuasan staf
J Perubahan atau proyek yang didukung TI sering kali gagal memenuhi kebutuhan bisnis dan terlambat atau terlambat diselesaikan
anggaran
K Keengganan anggota dewan, eksekutif, atau manajemen senior untuk terlibat dengan TI, atau kurangnya keterlibatan
sponsor bisnis berkomitmen untuk TI
L Model operasi TI yang kompleks dan/atau mekanisme pengambilan keputusan terkait TI yang tidak jelas
M Biaya TI yang terlalu tinggi
N Terhambat atau gagalnya implementasi inisiatif atau inovasi baru yang disebabkan oleh TI saat ini
arsitektur dan sistem
HAI Kesenjangan antara pengetahuan bisnis dan teknis, yang mengarah pada pengguna bisnis dan informasi
dan/atau pakar teknologi yang berbicara dalam berbagai bahasa
P Masalah rutin dengan kualitas data dan integrasi data di berbagai sumber
Q Komputasi pengguna akhir tingkat tinggi, menyebabkan (di antara masalah lainnya) kurangnya pengawasan dan kualitas
kontrol atas aplikasi yang sedang dikembangkan dan dioperasikan
R Departemen bisnis menerapkan solusi informasi mereka sendiri dengan sedikit atau tanpa keterlibatan
departemen TI perusahaan 1610
5. Lanskap ancaman— Lanskap ancaman di mana perusahaan beroperasi dapat diklasifikasikan seperti yang ditunjukkan pada
gambar 4.9.
Tinggi Karena situasi geopolitik, sektor industri atau profil tertentu, maka
perusahaan beroperasi di lingkungan dengan ancaman tinggi.
9
15 Lihat juga Bagian 3.3.1 Titik Masalah Umum, dalam ISACA, Panduan Implementasi COBIT® 2019: Menerapkan dan Mengoptimalkan Sistem Informasi dan
Solusi Tata Kelola Teknologi, AS, 2018.
10 16 Permasalahan ini terkait dengan komputasi pengguna akhir, yang sering kali berasal dari ketidakpuasan terhadap solusi dan layanan TI.
25
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
Persyaratan kepatuhan yang tinggi Perusahaan ini tunduk pada kepatuhan yang lebih tinggi dari rata-rata
persyaratan, paling sering terkait dengan sektor industri atau geopolitik
kondisi.
7. Peran TI—Peran TI bagi perusahaan dapat diklasifikasikan seperti ditunjukkan pada gambar 4.11.
8. Model pengadaan untuk TI—Model pengadaan yang diadopsi perusahaan dapat diklasifikasikan seperti yang ditunjukkan pada gambar 4.12.
11 17 Peran yang tercantum dalam tabel ini diambil dari McFarlan, F. Warren; James L.McKenney; Philip Pyburn; “Kepulauan Informasi—Merencanakan a
Tentu saja,” Harvard Business Review, Januari 1993, https:// hbr.org/ 1983/01/ the-information-archipelago-plotting-a-course.
26
BAB 4
KONSEP DASAR : SISTEM DAN KOMPONEN TATA KELOLA
9. Metode penerapan TI— Metode yang diterapkan perusahaan dapat diklasifikasikan seperti yang tercantum pada gambar 4.13.
DevOps Perusahaan menggunakan metode kerja DevOps untuk pembuatan perangkat lunak,
penyebaran dan operasi.
Tradisional Perusahaan menggunakan pendekatan yang lebih klasik untuk pengembangan perangkat lunak
(air terjun) dan memisahkan pengembangan perangkat lunak dari operasi.
Hibrida Perusahaan menggunakan perpaduan implementasi TI tradisional dan modern,
sering disebut sebagai “TI bimodal.”
10. Strategi adopsi teknologi— Strategi adopsi teknologi dapat diklasifikasikan seperti tercantum pada gambar 4.14.
11. Ukuran perusahaan —Dua kategori, seperti yang ditunjukkan pada gambar 4.15, diidentifikasi untuk desain perusahaan
sistem pemerintahan. 1812
Perusahaan besar (Default) Perusahaan dengan lebih dari 250 karyawan tetap (FTE)
Usaha kecil dan menengah Perusahaan dengan 50 hingga 250 FTE
18
12
Usaha mikro, yaitu perusahaan dengan jumlah staf kurang dari 50 orang, tidak dibahas dalam publikasi ini.
27
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
Kebutuhan pemangku kepentingan harus diubah menjadi strategi perusahaan yang dapat ditindaklanjuti. Rangkaian tujuan (gambar 4.16) mendukung tujuan
perusahaan, yang merupakan salah satu faktor desain utama sistem tata kelola. Ini mendukung penentuan prioritas tujuan pengelolaan berdasarkan prioritas tujuan
perusahaan.
Pemangku kepentingan
Pengemudi dan
Kebutuhan
Perusahaan
Bertingkat ke
Sasaran
Penyelarasan
Sasaran
Bertingkat ke
Bertingkat ke
Pengelolaan
Tujuan
Rangkaian tujuan lebih lanjut mendukung penerjemahan tujuan perusahaan menjadi prioritas untuk penyelarasan tujuan. Rangkaian tujuan telah diperbarui
secara menyeluruh di COBIT® 2019:
19
ÿ Penyelarasan tujuan menekankan keselarasan seluruh upaya TI dengan tujuan bisnis. untuk menghindari 13 Istilah yang diperbarui ini juga berupaya
kesalahpahaman yang sering terjadi bahwa tujuan ini hanya menunjukkan tujuan internal departemen TI dalam suatu perusahaan. Seperti tujuan perusahaan,
tujuan penyelarasan telah dikonsolidasikan, dikurangi, diperbarui dan diklarifikasi jika diperlukan.
19
13
Tujuan penyelarasan disebut tujuan terkait TI di COBIT 5.
28
BAB 4
KONSEP DASAR : SISTEM DAN KOMPONEN TATA KELOLA
Kebutuhan pemangku kepentingan mengalir ke tujuan perusahaan. Gambar 4.17 menunjukkan kumpulan 13 tujuan perusahaan beserta sebuah angka
contoh metrik yang menyertainya.
EG03 Keuangan Kepatuhan dengan eksternal ÿ Biaya ketidakpatuhan terhadap peraturan, termasuk penyelesaian
undang undang Undang dan denda
ÿ Jumlah penyebab masalah ketidakpatuhan terhadap peraturan
komentar publik atau publisitas negatif
ÿ Jumlah masalah ketidakpatuhan yang dicatat oleh regulator atau
otoritas pengawas
ÿ Jumlah masalah ketidakpatuhan terhadap peraturan yang berkaitan dengan
perjanjian kontrak dengan mitra bisnis
EG04 Keuangan Kualitas keuangan ÿ Survei kepuasan pemangku kepentingan utama mengenai
informasi transparansi, pemahaman dan keakuratan perusahaan
informasi keuangan
ÿ Biaya ketidakpatuhan terhadap peraturan terkait keuangan
peraturan
EG05 Pelanggan Layanan berorientasi pelanggan ÿ Jumlah gangguan layanan pelanggan
budaya ÿ Persentase pemangku kepentingan bisnis puas dengan pelanggan tersebut
penyampaian layanan memenuhi tingkat yang disepakati
ÿ Jumlah keluhan pelanggan
ÿ Tren hasil survei kepuasan pelanggan
EG06 Pelanggan Keberlangsungan layanan bisnis ÿ Jumlah layanan pelanggan atau proses bisnis
dan ketersediaan gangguan yang menyebabkan insiden besar
ÿ Biaya bisnis dari insiden
ÿ Jumlah jam pemrosesan bisnis yang hilang karena
gangguan layanan yang tidak direncanakan
ÿ Persentase keluhan sebagai fungsi dari target ketersediaan layanan yang
berkomitmen
EG07 Pelanggan Kualitas manajemen ÿ Tingkat kepuasan dewan dan manajemen eksekutif
informasi dengan informasi pengambilan keputusan
ÿ Jumlah insiden yang disebabkan oleh bisnis yang salah
pengambilan keputusan berdasarkan informasi yang tidak akurat
29
EG13 Pertumbuhan Produk dan bisnis ÿ Tingkat kesadaran dan pemahaman bisnis
inovasi peluang inovasi
ÿ Kepuasan pemangku kepentingan terhadap tingkat produk dan
keahlian dan ide inovasi
ÿ Jumlah inisiatif produk dan layanan yang disetujui
dihasilkan dari ide-ide inovatif
Sasaran perusahaan mengalir ke sasaran penyelarasan. Gambar 4.18 berisi kumpulan tujuan penyelarasan dan contoh metrik.
30
BAB 4
KONSEP DASAR : SISTEM DAN KOMPONEN TATA KELOLA
AG08 Intern Mengaktifkan dan mendukung ÿ Waktu untuk menjalankan layanan atau proses bisnis
proses bisnis oleh ÿ Jumlah program bisnis yang mendukung I&T tertunda atau
mengintegrasikan aplikasi dan menimbulkan biaya tambahan karena integrasi teknologi
teknologi masalah
ÿ Jumlah perubahan proses bisnis yang perlu dilakukan
tertunda atau dikerjakan ulang karena integrasi teknologi
masalah
ÿ Jumlah aplikasi atau infrastruktur penting
beroperasi secara silo dan tidak terintegrasi
AG09 Intern Penyampaian program tepat waktu, ÿ Jumlah program/proyek yang tepat waktu dan sesuai anggaran
pada anggaran dan pertemuan ÿ Jumlah program yang memerlukan pengerjaan ulang yang signifikan karena
persyaratan dan kualitas cacat kualitas
standar ÿ Persentase pemangku kepentingan yang puas dengan program/proyek
kualitas
AG10 Intern Kualitas manajemen I&T ÿ Tingkat kepuasan pengguna terhadap kualitas dan ketepatan waktu dan
informasi ketersediaan informasi manajemen terkait I&T, pengambilan
memperhitungkan sumber daya yang tersedia
ÿ Rasio dan tingkat keputusan bisnis yang salah di mana
informasi terkait I&T yang salah atau tidak tersedia adalah kuncinya
faktor
ÿ Persentase informasi yang memenuhi kriteria kualitas
31
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
32
Bab 5
Tujuan Tata Kelola dan Manajemen COBIT
5.1 Tujuan
Pada bagian 4.2, gambar 4.2, model inti COBIT disajikan, termasuk 40 tata kelola dan manajemen
tujuan. Gambar 5.1 mencantumkan seluruh tujuan tata kelola dan pengelolaan, masing-masing dengan pernyataan tujuannya. Itu
pernyataan tujuan adalah penjabaran lebih lanjut—tingkat detail berikutnya—dari setiap tujuan tata kelola dan pengelolaan.
Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen
Tujuan Nama Referensi
EDM01 Kerangka tata kelola yang terjamin Memberikan pendekatan yang konsisten, terintegrasi dan selaras dengan
pengaturan dan pemeliharaan pendekatan tata kelola perusahaan. Keputusan terkait I&T harus diambil
dibuat sejalan dengan strategi dan tujuan perusahaan dan
nilai yang diinginkan terwujud. Untuk itu, pastikan terkait dengan I&T
proses diawasi secara efektif dan transparan; kepatuhan
dengan persyaratan hukum, kontrak dan peraturan dikonfirmasi;
dan persyaratan tata kelola untuk anggota dewan terpenuhi.
EDM02 Pemberian manfaat yang terjamin Mendapatkan nilai optimal dari inisiatif, layanan, dan teknologi yang mendukung I&T
aktiva; penyampaian solusi dan layanan yang hemat biaya; dan sebuah
gambaran biaya dan kemungkinan manfaat yang dapat diandalkan dan akurat
kebutuhan bisnis didukung secara efektif dan efisien.
EDM03 Optimalisasi risiko yang terjamin Memastikan bahwa risiko perusahaan terkait I&T tidak melebihi
selera risiko dan toleransi risiko perusahaan, dampak risiko I&T
terhadap nilai perusahaan diidentifikasi dan dikelola, dan potensinya
kegagalan kepatuhan diminimalkan.
EDM04 Pengoptimalan sumber daya yang terjamin Memastikan bahwa kebutuhan sumber daya perusahaan terpenuhi dalam
secara optimal, biaya I&T dioptimalkan, dan terjadi peningkatan
kemungkinan realisasi manfaat dan kesiapan untuk perubahan di masa depan.
EDM05 Memastikan keterlibatan pemangku kepentingan Pastikan bahwa pemangku kepentingan mendukung strategi I&T dan
peta jalan, komunikasi kepada pemangku kepentingan efektif dan tepat waktu,
dan dasar pelaporan ditetapkan untuk meningkatkan kinerja.
Identifikasi area yang perlu ditingkatkan, dan konfirmasikan bahwa hal tersebut terkait dengan I&T
tujuan dan strategi sejalan dengan strategi perusahaan.
APO01 Manajemen I&T yang terkelola Menerapkan pendekatan manajemen yang konsisten untuk perusahaan
kerangka persyaratan tata kelola yang harus dipenuhi, mencakup tata kelola
komponen seperti proses manajemen; organisasi
struktur; peran dan tanggung jawab; aktivitas yang andal dan berulang;
item informasi; kebijakan dan prosedur; keterampilan dan kompetensi;
budaya dan perilaku; dan layanan, infrastruktur dan aplikasi.
APO02 Strategi yang dikelola Mendukung strategi transformasi digital organisasi dan
memberikan nilai yang diinginkan melalui peta jalan inkremental
perubahan. Gunakan pendekatan I&T yang holistik, pastikan bahwa setiap inisiatif
jelas terkait dengan strategi menyeluruh. Aktifkan perubahan
semua aspek organisasi yang berbeda, mulai dari saluran dan
proses hingga data, budaya, keterampilan, model operasi dan insentif.
APO03 Arsitektur perusahaan yang dikelola Mewakili berbagai blok bangunan yang membentuk perusahaan
dan keterkaitannya, serta prinsip-prinsip yang memandu mereka
desain dan evolusi dari waktu ke waktu, untuk memungkinkan standar, responsif
dan penyampaian tujuan operasional dan strategis yang efisien.
APO04 Inovasi yang dikelola Mencapai keunggulan kompetitif, inovasi bisnis, ditingkatkan
pengalaman pelanggan, dan peningkatan efektivitas operasional dan
efisiensi dengan memanfaatkan perkembangan I&T dan teknologi baru.
33
Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen (lanjutan)
Referensi Nama Tujuan
APO05 Portofolio yang dikelola Mengoptimalkan kinerja keseluruhan portofolio program di
respons terhadap kinerja program, produk, dan layanan individu
dan mengubah prioritas dan permintaan perusahaan.
APO06 Anggaran dan biaya yang dikelola Membina kemitraan antara TI dan pemangku kepentingan perusahaan untuk
memungkinkan penggunaan sumber daya terkait I&T secara efektif dan efisien dan
memberikan transparansi dan akuntabilitas biaya dan bisnis
nilai solusi dan layanan. Memungkinkan perusahaan untuk membuat
keputusan yang terinformasi mengenai penggunaan solusi I&T dan
jasa.
APO07 Sumber daya manusia yang dikelola Mengoptimalkan kemampuan sumber daya manusia untuk memenuhi kebutuhan perusahaan
tujuan.
APO08 Hubungan yang dikelola Aktifkan pengetahuan, keterampilan, dan perilaku yang tepat untuk berkreasi
peningkatan hasil, peningkatan kepercayaan diri, rasa saling percaya dan
penggunaan sumber daya secara efektif yang merangsang hubungan produktif
dengan pemangku kepentingan bisnis.
APO09 Perjanjian layanan terkelola Memastikan produk, layanan, dan tingkat layanan I&T memenuhi kondisi terkini
dan kebutuhan perusahaan di masa depan.
APO10 Vendor yang dikelola Mengoptimalkan kemampuan I&T yang tersedia untuk mendukung strategi I&T dan
peta jalan, meminimalkan risiko yang terkait dengan kinerja buruk atau
vendor yang tidak patuh, dan memastikan harga yang kompetitif.
APO11 Kualitas yang dikelola Memastikan penyampaian solusi dan layanan teknologi secara konsisten kepada
memenuhi persyaratan kualitas perusahaan dan memuaskan
kebutuhan pemangku kepentingan.
APO12 Risiko yang dikelola Integrasikan manajemen risiko perusahaan terkait I&T dengan
manajemen risiko perusahaan (ERM) secara keseluruhan dan menyeimbangkan biaya
dan manfaat pengelolaan risiko perusahaan terkait I&T.
APO13 Keamanan terkelola Menjaga dampak dan terjadinya insiden keamanan informasi
dalam tingkat selera risiko perusahaan.
APO14 Data yang dikelola Pastikan pemanfaatan aset data penting secara efektif untuk dicapai
tujuan dan sasaran perusahaan.
BAI01 Program yang dikelola Mewujudkan nilai bisnis yang diinginkan dan mengurangi risiko yang tidak terduga
penundaan, biaya dan erosi nilai. Untuk melakukannya, tingkatkan
komunikasi dan keterlibatan bisnis dan pengguna akhir,
memastikan nilai dan kualitas hasil dan tindak lanjut program
proyek dalam program, dan memaksimalkan program
kontribusi terhadap portofolio investasi.
BAI02 Definisi persyaratan terkelola Ciptakan solusi optimal yang memenuhi kebutuhan perusahaan sekaligus
meminimalkan risiko.
BAI03 Identifikasi solusi terkelola Memastikan penyampaian produk dan layanan digital yang tangkas dan terukur.
dan membangun Menetapkan solusi tepat waktu dan hemat biaya (teknologi, bisnis
proses dan alur kerja) yang mampu mendukung perusahaan
tujuan strategis dan operasional.
BAI04 Ketersediaan dan kapasitas yang dikelola Menjaga ketersediaan layanan, pengelolaan sumber daya yang efisien
dan optimalisasi kinerja sistem melalui prediksi
persyaratan kinerja dan kapasitas di masa depan.
BAI05 Perubahan organisasi yang dikelola Mempersiapkan dan berkomitmen pada pemangku kepentingan untuk perubahan dan pengurangan bisnis
risiko kegagalan.
BAI06 Perubahan TI yang dikelola Memungkinkan penyampaian perubahan yang cepat dan andal pada bisnis.
Mengurangi risiko dampak negatif terhadap stabilitas atau integritas
lingkungan yang berubah.
BAI07 Penerimaan perubahan TI yang terkelola Melaksanakan solusi secara aman dan sesuai dengan kesepakatan
dan transisi harapan dan hasil.
34
Gambar 5.1—Model Inti COBIT: Sasaran dan Tujuan Tata Kelola dan Manajemen (lanjutan)
Referensi Nama Tujuan
BAI08 Pengetahuan yang dikelola Memberikan pengetahuan dan informasi manajemen yang diperlukan untuk
mendukung semua staf dalam tata kelola dan manajemen perusahaan
I&T dan memungkinkan pengambilan keputusan yang tepat.
BAI09 Aset yang dikelola Perhitungkan semua aset I&T dan optimalkan nilai yang diberikan olehnya
menggunakan.
BAI10 Konfigurasi terkelola Memberikan informasi yang memadai tentang aset layanan untuk mengaktifkan
pelayanan agar dapat dikelola secara efektif. Menilai dampak perubahan
dan menangani insiden layanan.
BAI11 Proyek yang dikelola Mewujudkan hasil proyek yang ditentukan dan mengurangi risiko
penundaan yang tidak terduga, biaya dan erosi nilai dengan melakukan perbaikan
komunikasi dan keterlibatan bisnis dan pengguna akhir.
Pastikan nilai dan kualitas hasil proyek dan maksimalkan
kontribusi mereka terhadap program dan investasi yang ditentukan
portofolio.
DSS01 Operasi yang dikelola Memberikan hasil produk dan layanan operasional I&T sesuai rencana.
DSS02 Permintaan layanan terkelola dan Mencapai peningkatan produktivitas dan meminimalkan gangguan melalui
insiden resolusi cepat pertanyaan dan insiden pengguna. Nilai dampaknya
perubahan dan menangani insiden layanan. Selesaikan permintaan pengguna
dan memulihkan layanan sebagai respons terhadap insiden.
DSS03 Masalah yang dikelola Meningkatkan ketersediaan, meningkatkan tingkat layanan, mengurangi biaya, meningkatkan
kenyamanan dan kepuasan pelanggan dengan mengurangi jumlah
masalah operasional, dan mengidentifikasi akar penyebab sebagai bagian dari masalah
resolusi.
DSS04 Kontinuitas yang dikelola Beradaptasi dengan cepat, melanjutkan operasi bisnis, dan mempertahankan
ketersediaan sumber daya dan informasi pada tingkat yang dapat diterima
perusahaan jika terjadi gangguan signifikan (misalnya ancaman,
peluang, tuntutan).
DSS05 Layanan keamanan terkelola Meminimalkan dampak bisnis dari keamanan informasi operasional
kerentanan dan insiden.
DSS06 Proses bisnis yang dikelola Menjaga integritas informasi dan keamanan informasi
kontrol aset yang ditangani dalam proses bisnis di perusahaan atau perusahaannya
operasi outsourcing.
MEA01 Kinerja yang dikelola dan Memberikan transparansi kinerja dan kesesuaian serta dorongan
pemantauan kesesuaian pencapaian tujuan.
MEA02 Sistem pengendalian internal yang terkelola Dapatkan transparansi bagi pemangku kepentingan utama mengenai kecukupan
sistem pengendalian internal dan dengan demikian memberikan kepercayaan dalam operasi,
keyakinan terhadap pencapaian tujuan perusahaan dan
pemahaman yang memadai tentang risiko sisa.
MEA03 Kepatuhan yang dikelola dengan eksternal Memastikan bahwa perusahaan mematuhi semua kebijakan eksternal yang berlaku
persyaratan persyaratan.
MEA04 Jaminan terkelola Memungkinkan organisasi untuk merancang dan mengembangkan secara efisien dan
inisiatif penjaminan yang efektif, memberikan panduan mengenai perencanaan,
pelingkupan, pelaksanaan dan tindak lanjut tinjauan jaminan, menggunakan a
peta jalan berdasarkan pendekatan jaminan yang diterima dengan baik.
35
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
36
Bab 6
Manajemen Kinerja di COBIT
6.1 Definisi
Manajemen kinerja merupakan bagian penting dari tata kelola dan sistem manajemen. “Manajemen kinerja” mewakili istilah umum untuk
semua aktivitas dan metode. Hal ini mengungkapkan seberapa baik tata kelola dan sistem manajemen serta seluruh komponen suatu
perusahaan bekerja, dan bagaimana hal tersebut dapat ditingkatkan untuk mencapai tingkat yang diperlukan. Ini mencakup konsep dan
metode seperti tingkat kemampuan dan tingkat kematangan. COBIT menggunakan istilah manajemen kinerja COBIT (CPM) untuk
menggambarkan aktivitas ini, dan konsep ini merupakan bagian integral dari kerangka COBIT.
2. CPM harus konsisten dan mendukung model konseptual COBIT. Hal ini harus memungkinkan pengelolaan kinerja semua jenis komponen
sistem tata kelola; kinerja proses serta kinerja jenis komponen lainnya (misalnya, struktur organisasi atau informasi) harus
dapat dikelola jika pengguna menginginkannya.
3. CPM harus memberikan hasil yang dapat dipercaya, dapat diulang dan relevan.
4. CPM harus fleksibel, sehingga dapat mendukung kebutuhan berbagai organisasi dengan prioritas berbeda
dan kebutuhan.
5. CPM harus mendukung berbagai jenis penilaian, mulai dari penilaian mandiri hingga penilaian formal atau audit.
Model CPM (gambar 6.1) sebagian besar menyelaraskan dan memperluas konsep CMMI® Development V2.0201 :
ÿ Aktivitas proses dikaitkan dengan tingkat kemampuan. Ini termasuk dalam COBIT® Kerangka Kerja 2019: Panduan
Tujuan Tata Kelola dan Pengelolaan. ÿ
Jenis komponen tata kelola dan manajemen lainnya (misalnya, struktur organisasi, informasi) mungkin juga memiliki tingkat kemampuan
yang ditentukan dalam panduan di masa mendatang. ÿ Tingkat
kematangan dikaitkan dengan area fokus (yaitu, kumpulan tujuan tata kelola dan pengelolaan dan
komponen yang mendasarinya) dan akan tercapai jika semua tingkat kemampuan yang diperlukan tercapai.
1 20 CMMI® Development V2.0, CMMI Institute, AS, 2018, https:// cmmiinstitute.com/ model-viewer/ dashboard
37
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
COBIT 5 PAM
(ISO/IEC 15504ÿ CMMI 2.0 Pembaruan COBIT
ISO/IEC 33000)
Kematangan Kematangan
Jika perusahaan ingin terus menggunakan model kapabilitas proses COBIT 5 berdasarkan Organisasi Internasional untuk
Standardisasi (ISO)/Komisi Elektroteknik Internasional (IEC) 15504 (sekarang ISO/IEC 33000, di mana tingkat kapabilitas
memiliki arti yang sangat berbeda), mereka harus memenuhi semua persyaratan tersebut. informasi untuk
melakukannya dalam Kerangka COBIT® 2019: Tujuan Tata Kelola dan Manajemen. Tidak diperlukan publikasi model
penilaian proses (PAM) terpisah, dan tidak pula disediakan bersama COBIT® 2019.
Dalam COBIT® 2019, hasil proses atau tujuan proses yang eksplisit digantikan oleh praktik proses itu sendiri.
Hal ini menghasilkan situasi berikut untuk evaluasi ISO/IEC33000:
1. Hasil proses sekarang dikaitkan dengan praktik proses secara satu-ke-satu (yaitu, hasil proses adalah penyelesaian
praktik proses yang berhasil). Catatan: praktik proses dirumuskan sebagai praktik, dan hasilnya dapat diperoleh dari
sana. Contoh: APO01.01 Rancangan sistem manajemen untuk I&T perusahaan sebagai hasil proses APO01.01: Sebuah
sistem manajemen untuk I&T perusahaan dirancang.
2. Praktik dasar sama dengan praktik proses COBIT® 2019 untuk setiap tujuan tata kelola dan manajemen.
3. Produk kerja setara dengan Arus Informasi dan Item pada komponen C pada setiap tujuan tata
kelola/manajemen.
Oleh karena itu, pemetaan hasil ke praktik dasar dan produk kerja semuanya dilakukan sesuai definisi di COBIT® 2019.
COBIT® 2019 mendukung skema kemampuan proses berbasis CMMI. Proses dalam setiap tujuan tata kelola dan
pengelolaan dapat beroperasi pada berbagai tingkat kemampuan, mulai dari 0 hingga 5. Tingkat kemampuan adalah ukuran
seberapa baik suatu proses diterapkan dan dijalankan. Gambar 6.2 menggambarkan model, peningkatan tingkat kemampuan
dan karakteristik umum masing-masing model.
38
Proses tersebut mencapai tujuannya melalui penerapan serangkaian aktivitas dasar namun lengkap
2 yang dapat dicirikan sebagai telah dilakukan.
Proses tersebut kurang lebih mencapai tujuannya melalui penerapan serangkaian aktivitas yang tidak lengkap yang dapat
1 dikategorikan sebagai aktivitas awal atau intuitif—tidak terlalu terorganisir.
Model inti COBIT menetapkan tingkat kemampuan untuk semua aktivitas proses, memungkinkan definisi yang jelas tentang proses dan
aktivitas yang diperlukan untuk mencapai tingkat kemampuan yang berbeda. Lihat Kerangka COBIT® 2019: Tujuan Tata Kelola dan
Manajemen untuk detail lebih lanjut.
Tingkat kemampuan dapat dicapai pada tingkat yang berbeda-beda, yang dapat dinyatakan dengan serangkaian peringkat. Kisaran
peringkat yang tersedia bergantung pada konteks di mana penilaian kinerja dilakukan:
ÿ Beberapa metode formal yang mengarah pada sertifikasi independen menggunakan serangkaian peringkat biner lulus/gagal. ÿ Metode yang kurang formal (sering
digunakan dalam konteks peningkatan kinerja) bekerja lebih baik dengan rentang penilaian yang lebih luas,
Sepenuhnya— Tingkat kemampuan dicapai lebih dari 85 persen. (Hal ini tetap merupakan keputusan penilaian, namun dapat
dibuktikan dengan pemeriksaan atau penilaian terhadap komponen-komponen pendukung, seperti aktivitas proses, tujuan
proses, atau praktik baik struktur organisasi.)
ÿ Sebagian besar — Tingkat kemampuan dicapai antara 50 persen dan 85 persen. ÿ Sebagian
Terkadang tingkat yang lebih tinggi diperlukan untuk menyatakan kinerja tanpa rincian yang dapat diterapkan pada peringkat
kemampuan proses individual. Tingkat kedewasaan dapat digunakan untuk tujuan itu. COBIT® 2019 mendefinisikan tingkat kematangan
sebagai ukuran kinerja pada tingkat area fokus, seperti yang ditunjukkan pada gambar 6.3.
39
Mengoptimalkan—Perusahaan berfokus
5 pada perbaikan berkelanjutan.
1 Awal—Pekerjaan telah selesai, namun tujuan dan maksud penuh dari area fokus belum tercapai.
Belum Selesai—Pekerjaan mungkin telah selesai atau belum selesai untuk mencapai tujuan tata kelola dan tujuan pengelolaan di area
0 fokus.
Tingkat kematangan dikaitkan dengan bidang fokus (yaitu, kumpulan tujuan tata kelola dan pengelolaan serta komponen yang
mendasarinya) dan tingkat kematangan tertentu dicapai jika semua proses yang terdapat dalam bidang fokus mencapai tingkat
kemampuan tertentu.
Meskipun tidak ada metode yang diterima secara umum atau formal untuk menilai struktur organisasi, namun penilaian tersebut
dapat dilakukan secara kurang formal berdasarkan kriteria berikut. Untuk setiap kriteria, sejumlah subkriteria dapat ditentukan,
dihubungkan dengan berbagai tingkat kemampuan. Kriterianya adalah:
ÿ Keberhasilan pelaksanaan praktik proses dimana struktur organisasi (atau peran) memiliki akuntabilitas atau tanggung jawab (masing-
masing A atau R, dalam bagan yang bertanggung jawab-akuntabilitas-konsultasikan-informasi [RACI])
ÿ Prinsip pengoperasian
- Struktur organisasi mempunyai amanat yang jelas, terdokumentasi dan dipahami dengan baik.
ÿ Komposisi
40
ÿ Rentang kendali
- Struktur organisasi mempunyai amanat yang jelas, terdokumentasi dan dipahami dengan baik.
- Hak pengambilan keputusan dalam struktur organisasi dihormati dan dipatuhi (juga merupakan masalah budaya/perilaku).
ÿ Pendelegasian wewenang
ÿ Prosedur eskalasi
Keberhasilan penerapan sejumlah praktik manajemen struktur organisasi (praktik nonfungsional yang timbul dari sudut pandang struktur
organisasi): ÿ Tujuan kinerja struktur organisasi diidentifikasi. ÿ
Kinerja struktur organisasi direncanakan dan dipantau. ÿ Kinerja struktur organisasi disesuaikan
dengan rencana. ÿ Sumber daya dan informasi yang diperlukan untuk struktur organisasi
dan digunakan.
ÿ Antarmuka antara struktur organisasi dan pemangku kepentingan lainnya dikelola untuk memastikan keduanya efektif
komunikasi dan pembagian tanggung jawab yang jelas.
ÿ Evaluasi rutin menghasilkan perbaikan berkelanjutan yang diperlukan terhadap struktur organisasi—di dalamnya
komposisi, mandat atau parameter lainnya.
Mengenai proses, tingkat kemampuan yang rendah memerlukan pemenuhan sebagian kriteria tersebut, dan tingkat kemampuan yang
lebih tinggi mengharuskan seluruh kriteria dipenuhi. Namun, sebagaimana telah disebutkan, tidak ada skema yang diterima secara umum untuk
menilai struktur organisasi. Namun, hal ini tidak menghalangi suatu perusahaan untuk menentukan skema kapabilitasnya sendiri untuk struktur
organisasi.
Komponen item informasi untuk sistem tata kelola I&T kurang lebih setara dengan produk proses kerja seperti yang dijelaskan dalam
Kerangka COBIT® 2019: Tujuan Tata Kelola dan Manajemen.
Meskipun tidak ada metode yang diterima secara umum atau formal untuk menilai item informasi, namun penilaian tersebut dapat dilakukan
secara kurang formal berdasarkan model referensi informasi yang pertama kali disajikan dalam COBIT® 5: Mengaktifkan Informasi. 212
Model ini mendefinisikan tiga kriteria kualitas utama informasi dan 15 subkriteria, seperti yang diilustrasikan pada gambar 6.4.
2
21 Lihat ISACA, COBIT® 5: Enabling Information, bagian 3.1.2 Goals, USA, 2013 , http:// www.isaca.org/ COBIT/ Pages/ COBIT-5-Enabling-Information-
product-page.aspx
41
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
Sebuah item informasi dapat dinilai dengan mempertimbangkan sejauh mana kriteria kualitas yang relevan, sebagaimana didefinisikan
dalam gambar 6.4, telah tercapai.
42
Untuk komponen tata kelola budaya dan perilaku, kita dapat menentukan serangkaian perilaku yang diinginkan (dan/atau tidak
diinginkan) untuk tata kelola dan manajemen TI yang baik, dan menetapkan tingkat kemampuan yang berbeda pada masing-masing
perilaku tersebut.
Kerangka COBIT® 2019: Tujuan Tata Kelola dan Manajemen mendefinisikan aspek komponen budaya dan perilaku untuk sebagian besar tujuan. Dari sana,
dimungkinkan untuk menilai sejauh mana kondisi atau perilaku tersebut terpenuhi.
Konten area fokus, yang berisi serangkaian perilaku yang diinginkan secara lebih rinci, akan dikembangkan ke depannya.
Pengguna disarankan untuk berkonsultasi isaca.org/ cobit untuk status terbaru dan panduan area fokus yang tersedia.
43
44
BAB 7
MERANCANG SISTEM TATA KELOLA YANG DISESUAIKAN
Bab 7
Merancang Sistem Tata Kelola yang Disesuaikan
Bagian ini memberikan gambaran tingkat tinggi mengenai dampak potensial faktor desain pada sistem tata kelola untuk I&T perusahaan. Hal
ini juga menjelaskan, pada tingkat tinggi, alur kerja untuk merancang sistem tata kelola yang disesuaikan untuk perusahaan. Informasi
lebih lanjut mengenai subjek ini dapat ditemukan di Panduan Desain COBIT® 2019.
Faktor desain mempengaruhi penyesuaian sistem tata kelola suatu perusahaan dengan cara yang berbeda. Publikasi ini membedakan
tiga jenis dampak yang berbeda, seperti yang diilustrasikan pada Gambar 7.1.
Gambar 7.1—Dampak Faktor Desain pada Sistem Tata Kelola dan Manajemen
1. Prioritas Tujuan
Pengelolaan
dan Tingkat
Kemampuan
Sasaran
Desain
Faktor
Dampak
3. Area 2. Variasi
Fokus Khusus Komponen
1. Prioritas/seleksi tujuan pengelolaan— Model inti COBIT berisi 40 tata kelola dan manajemen
tujuan, masing-masing terdiri dari proses dan sejumlah komponen terkait. Mereka secara intrinsik setara; tidak ada urutan prioritas alami
di antara mereka. Namun, faktor desain dapat mempengaruhi kesetaraan ini dan membuat beberapa tujuan tata kelola dan
pengelolaan menjadi lebih penting dibandingkan yang lain, terkadang sampai pada titik di mana beberapa tujuan tata kelola dan
pengelolaan dapat diabaikan. Dalam praktiknya, kepentingan yang lebih tinggi ini diterjemahkan ke dalam penetapan tingkat kemampuan
target yang lebih tinggi untuk tujuan-tujuan tata kelola dan pengelolaan yang penting.
45
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
Contoh: Ketika suatu perusahaan mengidentifikasi tujuan perusahaan yang paling relevan dari daftar tujuan perusahaan dan menerapkan rangkaian
tujuan, hal ini akan mengarah pada pemilihan tujuan pengelolaan prioritas. Misalnya, ketika EG01 Portofolio produk dan layanan kompetitif
diberi peringkat sangat tinggi oleh suatu perusahaan, hal ini akan menjadikan tujuan manajemen APO05 Portofolio terkelola menjadi bagian penting
dari sistem tata kelola perusahaan ini.
Contoh: Perusahaan yang sangat menghindari risiko akan lebih mengutamakan tujuan manajemen yang bertujuan untuk mengatur dan mengelola
risiko dan keamanan. Tujuan tata kelola dan manajemen EDM03 Memastikan optimalisasi risiko, APO12 Risiko terkelola, APO13 Keamanan
terkelola , dan DSS05 Layanan keamanan terkelola akan menjadi bagian penting dari sistem tata kelola perusahaan dan akan memiliki tingkat
kemampuan target yang lebih tinggi yang ditentukan untuk layanan tersebut.
Contoh: Perusahaan yang beroperasi dalam lanskap ancaman tinggi akan memerlukan proses terkait keamanan berkemampuan tinggi: APO13
Keamanan terkelola dan layanan keamanan terkelola DSS05.
Contoh: Suatu perusahaan yang peran TI-nya strategis dan krusial bagi keberhasilan bisnisnya akan memerlukan keterlibatan tinggi peran-peran
terkait TI dalam struktur organisasi, pemahaman menyeluruh mengenai bisnis oleh para profesional TI (dan sebaliknya), dan fokus pada bisnis.
pada proses strategis seperti Strategi terkelola APO02 dan hubungan terkelola APO08.
2. Variasi komponen —Komponen diperlukan untuk mencapai tujuan tata kelola dan pengelolaan. Beberapa faktor desain dapat mempengaruhi
pentingnya satu atau lebih komponen atau memerlukan variasi tertentu.
Contoh: Usaha kecil dan menengah mungkin tidak memerlukan seluruh peran dan struktur organisasi seperti yang dijelaskan dalam model inti
COBIT, namun mungkin menggunakan peran dan struktur organisasi yang lebih kecil. Rangkaian tujuan tata kelola dan pengelolaan yang
dikurangi ini serta komponen-komponen yang tercakup di dalamnya didefinisikan dalam area fokus Usaha Kecil dan Menengah. 221
Contoh: Perusahaan yang beroperasi di lingkungan dengan peraturan yang ketat akan lebih mementingkan produk kerja, kebijakan,
dan prosedur yang terdokumentasi , serta beberapa peran, misalnya fungsi petugas kepatuhan.
Contoh: Perusahaan yang menggunakan DevOps dalam pengembangan dan operasi solusi akan memerlukan aktivitas spesifik, struktur
organisasi, budaya, dll., yang berfokus pada identifikasi dan pembangunan solusi terkelola BAI03 dan operasi terkelola DSS01.
3. Kebutuhan akan area fokus yang spesifik—Beberapa faktor desain, seperti lanskap ancaman, risiko spesifik, metode pengembangan target, dan
pengaturan infrastruktur, akan mendorong kebutuhan akan variasi konten model COBIT inti ke dalam konteks spesifik.
Contoh: Perusahaan yang mengadopsi pendekatan DevOps akan memerlukan sistem tata kelola yang memiliki varian dari beberapa proses
COBIT umum, yang dijelaskan dalam panduan area fokus DevOps232 untuk COBIT.
Contoh: Perusahaan kecil dan menengah memiliki staf yang lebih sedikit, sumber daya TI yang lebih sedikit, dan jalur pelaporan yang lebih pendek
dan langsung, serta berbeda dalam banyak aspek dengan perusahaan besar. Oleh karena itu, sistem tata kelola I&T mereka harus lebih ringan
dibandingkan dengan perusahaan besar. Hal ini dijelaskan dalam panduan area fokus UKM COBIT. 243
1
22 Pada saat diterbitkannya Kerangka COBIT® 2019: Pengantar dan Metodologi, konten area fokus usaha kecil dan menengah sedang dalam
pengembangan dan belum dirilis.
2
23 Pada saat penerbitan Kerangka COBIT® 2019: Pendahuluan dan Metodologi, konten area fokus DevOps sedang dalam pengembangan dan belum
belum dirilis.
3
24 Pada saat diterbitkannya Kerangka COBIT® 2019: Pengantar dan Metodologi, konten area fokus usaha kecil dan menengah sedang dalam
pengembangan dan belum dirilis.
46
Gambar 7.2 mengilustrasikan alur yang diusulkan untuk merancang sistem tata kelola yang disesuaikan.
2. Menentukan
1. Memahami 3. 4. Menyimpulkan
ruang
konteks dan rancangan
lingkup awal
strategi
sistem tata sistem tata kelola.
perusahaan. Menyempurnakan ruang lingkup sistem tata kelola.
kelola.
• 1.1 Memahami strategi • 2.1 Pertimbangkan perusahaan • 3.1 Pertimbangkan lanskap • 4.1 Menyelesaikan konflik prioritas
perusahaan. strategi. • ancaman. yang
• 1.2 Memahami tujuan perusahaan. 2.2 Mempertimbangkan perusahaan • 3.2 Mempertimbangkan tujuan melekat. • 4.2
• 1.3 kepatuhan dan menerapkan persyaratan. Menyimpulkan rancangan
Memahami profil risiko. • 1.4 Rangkaian tujuan COBIT. • 3.3 Pertimbangkan peran TI. • 2.3 sistem tata kelola.
Mempertimbangkan profil risiko • 3.4 Mempertimbangkan sumber daya
Memahami permasalahan perusahaan. model. • 2.4 Pertimbangkan isu-
terkini terkait I&T. isu yang ada saat ini. • 3.5 Pertimbangkan isu-isu terkait TI
dan TI. metode implementasi. • 3.6 Pertimbangkan strategi adopsi TI. •
3.7 Mempertimbangkan ukuran
perusahaan.
Berbagai tahapan dan langkah dalam proses perancangan, seperti diilustrasikan pada Gambar 7.2, akan menghasilkan rekomendasi untuk
memprioritaskan tujuan tata kelola dan pengelolaan atau komponen sistem tata kelola terkait, untuk tingkat kemampuan target, atau untuk mengadopsi
varian tertentu dari komponen sistem tata kelola.
Beberapa langkah atau sub-langkah ini mungkin menghasilkan panduan yang bertentangan, yang tidak dapat dihindari ketika mempertimbangkan
sejumlah besar faktor desain, keseluruhan sifat umum dari panduan faktor desain, dan tabel pemetaan yang digunakan.
Disarankan untuk meletakkan semua panduan yang diperoleh selama langkah-langkah yang berbeda pada kanvas desain dan—pada tahap terakhir
proses desain—menyelesaikan (sejauh mungkin) konflik antar elemen pada kanvas desain dan menyimpulkannya.
Tidak ada formula ajaib. Desain akhir akan menjadi keputusan kasus per kasus, berdasarkan semua elemen pada kanvas desain. Dengan
mengikuti langkah-langkah ini, perusahaan akan mewujudkan sistem tata kelola yang disesuaikan dengan kebutuhan mereka.
47
48
Bab 8
Menerapkan Tata Kelola TI Perusahaan
8.1 Tujuan Panduan Implementasi COBIT
Panduan Implementasi COBIT® 2019 menekankan pandangan seluruh perusahaan mengenai tata kelola I&T. Panduan ini mengakui
bahwa I&T tersebar luas di perusahaan-perusahaan dan tidak mungkin atau merupakan praktik yang baik untuk memisahkan bisnis dan
aktivitas terkait TI. Oleh karena itu, tata kelola dan manajemen I&T perusahaan harus diterapkan sebagai bagian integral dari tata kelola
perusahaan, yang mencakup seluruh tanggung jawab bisnis end-to-end dan fungsi TI.
Salah satu alasan umum mengapa beberapa penerapan sistem tata kelola gagal adalah karena penerapan tersebut tidak dimulai dan
kemudian dikelola dengan baik sebagai program untuk memastikan manfaatnya terwujud. Program tata kelola perlu disponsori oleh
manajemen eksekutif, memiliki cakupan yang tepat, dan menetapkan tujuan yang dapat dicapai. Hal ini memungkinkan perusahaan untuk
menyerap laju perubahan sesuai rencana. Oleh karena itu, manajemen program ditangani sebagai bagian integral dari siklus hidup
implementasi.
Diasumsikan juga bahwa meskipun pendekatan program dan proyek direkomendasikan untuk mendorong inisiatif perbaikan secara
efektif, tujuannya juga adalah untuk membangun praktik bisnis yang normal dan pendekatan berkelanjutan dalam mengatur dan
mengelola I&T perusahaan seperti halnya aspek tata kelola perusahaan lainnya. Oleh karena itu, pendekatan penerapannya didasarkan
pada pemberdayaan pemangku kepentingan dan pelaku bisnis dan TI untuk mengambil kepemilikan atas keputusan dan aktivitas tata
kelola dan manajemen TI dengan memfasilitasi dan memungkinkan perubahan. Program implementasi ditutup ketika proses
pemfokusan pada prioritas terkait TI dan perbaikan tata kelola menghasilkan manfaat yang terukur, dan program tersebut telah tertanam
dalam aktivitas bisnis yang sedang berjalan.
Informasi lebih lanjut mengenai subjek ini juga dapat ditemukan di Panduan Implementasi COBIT® 2019.
49
P
e
1 WHATAR
e
we NG?
d Hai kg o
saya
o en T M kamu
eTH
eDR
7HeHmwm
o
ew S NT A
SAYA
Te
Saya
Saya
ay
eRS
Saya
ReTsaya eS
v
T sayaevN PRHai ?
FeC GRA
eF M
EST B
STA
N
Saya
SH
Saya
D
2
HAN De R
T
eF W
sebuah o
e? S kamu aku c
Saya
eR Gs e e N H
TS eR
saya o
H
T Saya P e e
eF ReCHai M P
Saya
T
e tHaiR Saya
GNz
Motidak ne Paku halo A
N eD e rt rotapi
Saya
ad ATe
eweS
G e e
R
e ACT THai e F • Manajemen program
B w
kamu
aku
N H ayA kamu
w e TSaya Hai
N e
e C A
aku
D AC A er e (cincin luar)
D z Te e S S
nmT
M Saya
M
Saya eo A R T RS
A R e
kamu
T
eR ND S e
D
br kamu
A Saya
N Haiw?
M S
A e N SS
dan
• Ubah pemberdayaan
seterusnya
P A A T
S
e e T Saya
Hai A
R M N N
D (cincin tengah)
MM
SAYA
Saya
PR Paku
e
e F T
eMM De aaku • Siklus hidup perbaikan berkelanjutan
Hai
ay
tidak
Rg T
eeT T A T e
ST
HAI
A (lingkar dalam)
D eRA
sebuah NTn s B D Nc e
Saya
hal
Saya aku
kamu
5 EX MPRHaiayeM eNTS M AP
Saya
T kamu
eC e?
kamu
Hai
Se e C
HHai CHaim om t kamu M B
AD
kamu
w Te T
Hai
DHai P
SAYA
DeNT F RHai e
aku
Hai T
eR
Saya
aku N
w AN PA aku
kamu R
kamu S
FN
Saya wA
eG
eT De Hai
we
T
HeR eR eD
e? P AN PR
aku
GRAM WH
3
Hai
Fase 1 dari pendekatan implementasi mengidentifikasi pendorong perubahan saat ini dan menciptakannya di tingkat manajemen eksekutif
keinginan untuk berubah yang kemudian dituangkan dalam garis besar kasus bisnis. Penggerak perubahan bersifat internal atau eksternal
peristiwa, kondisi atau isu utama yang berfungsi sebagai stimulus untuk perubahan. Peristiwa, tren (industri, pasar atau teknis),
kekurangan kinerja, implementasi perangkat lunak, dan bahkan tujuan perusahaan semuanya dapat bertindak sebagai pendorong perubahan.
Risiko yang terkait dengan implementasi program itu sendiri dijelaskan dalam kasus bisnis dan dikelola secara menyeluruh
siklus hidup. Mempersiapkan, memelihara, dan memantau kasus bisnis adalah disiplin ilmu yang mendasar dan penting
membenarkan, mendukung dan kemudian memastikan hasil yang sukses untuk setiap inisiatif, termasuk perbaikan
sistem pemerintahan. Mereka memastikan fokus yang berkelanjutan pada manfaat program dan realisasinya.
Fase 2 menyelaraskan tujuan terkait I&T dengan strategi dan risiko perusahaan, dan memprioritaskan perusahaan yang paling penting
tujuan, penyelarasan tujuan dan proses. Panduan Desain COBIT® 2019 menyediakan beberapa faktor desain untuk membantu
seleksi.
Berdasarkan perusahaan yang dipilih dan tujuan terkait TI serta faktor desain lainnya, perusahaan harus mengidentifikasi hal-hal penting
tujuan tata kelola dan pengelolaan serta proses mendasar yang memiliki kemampuan memadai untuk memastikannya
hasil yang sukses. Manajemen perlu mengetahui kemampuannya saat ini dan di mana kekurangannya. Ini bisa
dicapai dengan penilaian kemampuan proses terhadap status terkini dari proses yang dipilih.
50
Fase 3 menetapkan target perbaikan yang diikuti dengan analisis kesenjangan untuk mengidentifikasi solusi potensial.
Beberapa solusi akan berupa kemenangan cepat dan solusi lainnya lebih menantang dan merupakan tugas jangka panjang. Prioritas harus diberikan pada
proyek-proyek yang lebih mudah dicapai dan mungkin memberikan manfaat terbesar. Tugas-tugas jangka panjang harus dipecah menjadi bagian-
bagian yang dapat dikelola.
Fase 4 menjelaskan bagaimana merencanakan solusi yang layak dan praktis dengan mendefinisikan proyek yang didukung oleh kasus bisnis yang dapat
dibenarkan dan rencana perubahan untuk implementasi. Kasus bisnis yang dikembangkan dengan baik dapat membantu memastikan bahwa
manfaat proyek teridentifikasi dan terus dipantau.
Fase 5 mengatur penerapan solusi yang diusulkan melalui praktik sehari-hari dan menetapkan langkah-langkah dan sistem pemantauan untuk
memastikan bahwa keselarasan bisnis tercapai, dan kinerja dapat diukur.
Kesuksesan memerlukan keterlibatan, kesadaran dan komunikasi, pemahaman dan komitmen manajemen puncak, serta kepemilikan oleh pemilik bisnis
dan proses TI yang terkena dampak.
Fase 6 berfokus pada transisi berkelanjutan dari praktik tata kelola dan manajemen yang lebih baik ke dalam operasi bisnis normal. Hal ini lebih
lanjut berfokus pada pemantauan pencapaian perbaikan menggunakan metrik kinerja dan manfaat yang diharapkan.
Fase 7 meninjau keberhasilan inisiatif secara keseluruhan, mengidentifikasi persyaratan tata kelola atau manajemen lebih lanjut, dan memperkuat perlunya
perbaikan berkelanjutan. Hal ini juga memprioritaskan peluang lebih lanjut untuk memperbaiki sistem tata kelola.
Manajemen program dan proyek didasarkan pada praktik yang baik dan menyediakan titik pemeriksaan di masing-masing tujuh fase untuk
memastikan bahwa kinerja program berada pada jalurnya, kasus bisnis dan risiko diperbarui, dan perencanaan untuk fase berikutnya disesuaikan
sebagaimana mestinya. Diasumsikan bahwa pendekatan standar perusahaan akan diikuti.
Panduan lebih lanjut mengenai manajemen program dan proyek juga dapat ditemukan di tujuan pengelolaan COBIT BAI01 Program yang dikelola dan
BAI11 Proyek yang dikelola. Meskipun pelaporan tidak disebutkan secara eksplisit dalam fase mana pun, pelaporan merupakan rangkaian yang
berkesinambungan melalui semua fase dan pengulangan.
51
Alur kerja yang dijelaskan dalam Panduan Desain COBIT® 2019 memiliki titik koneksi berikut dengan COBIT®
Panduan Implementasi 2019. Panduan Desain COBIT® 2019 menguraikan serangkaian tugas yang ditentukan dalam Panduan
Implementasi COBIT® 2019. Gambar 8.2 memberikan gambaran umum tingkat tinggi dari titik-titik koneksi ini. Informasi lebih
rinci dapat ditemukan di Panduan Desain COBIT® 2019.
Gambar 8.2—Titik Hubungan Antara Panduan Desain COBIT dan Panduan Implementasi COBIT
Panduan Implementasi COBIT Panduan Desain COBIT
Fase 1—Apa saja pendorongnya? (Tugas perbaikan berkelanjutan Langkah 1—Pahami konteks dan strategi perusahaan.
[CI])
Fase 2—Di manakah kita sekarang? (Tugas CI) Langkah 2—Tentukan cakupan awal sistem tata kelola.
52
Bab 9
Memulai COBIT: Membuat Kasus
Praktik bisnis yang umum mengharuskan penyiapan kasus bisnis untuk menganalisis dan membenarkan permulaan proyek besar
dan/atau investasi keuangan. Contoh ini diberikan sebagai panduan umum yang tidak bersifat preskriptif untuk mendorong persiapan
kasus bisnis guna membenarkan investasi dalam program implementasi EGIT. Setiap perusahaan memiliki alasan tersendiri untuk
meningkatkan EGIT dan pendekatannya sendiri dalam mempersiapkan kasus bisnis. Hal ini dapat berkisar dari pendekatan rinci dengan
penekanan pada manfaat terukur hingga perspektif yang lebih tinggi dan kualitatif. Perusahaan harus mengikuti pendekatan kasus
bisnis internal dan justifikasi investasi yang ada, jika memang ada. Contoh dan panduan dalam publikasi ini disediakan untuk
membantu fokus pada isu-isu yang harus ditangani dalam kasus bisnis.
Contoh skenarionya adalah Acme Corporation, sebuah perusahaan multinasional besar dengan gabungan unit bisnis
tradisional dan mapan serta bisnis baru berbasis Internet yang mengadopsi teknologi terkini.
Banyak unit bisnis yang telah diakuisisi dan berada di berbagai negara dengan lingkungan politik, budaya, dan ekonomi
lokal yang berbeda. Tim manajemen eksekutif grup pusat telah dipengaruhi oleh panduan tata kelola perusahaan terbaru,
termasuk COBIT, yang telah mereka gunakan secara terpusat selama beberapa waktu.
Mereka ingin memastikan bahwa ekspansi yang cepat dan penerapan TI yang canggih akan memberikan nilai yang
diharapkan; mereka juga berniat mengelola risiko baru yang signifikan. Oleh karena itu, mereka telah mengamanatkan
penerapan pendekatan EGIT yang seragam di seluruh perusahaan. Pendekatan ini mencakup keterlibatan fungsi audit dan
risiko serta pelaporan tahunan internal oleh manajemen unit bisnis mengenai kecukupan pengendalian di seluruh entitas.
Meskipun contoh tersebut diambil dari situasi aktual, contoh tersebut tidak mencerminkan perusahaan spesifik yang ada.
Kasus bisnis ini menguraikan ruang lingkup program EGIT yang diusulkan untuk Acme Corporation berdasarkan COBIT.
Kasus bisnis yang tepat diperlukan untuk memastikan bahwa dewan direksi Acme Corporation dan unit bisnis menyetujui inisiatif
ini dan mengidentifikasi potensi manfaatnya. Acme Corporation akan memantau kasus bisnis untuk memastikan bahwa manfaat
yang diharapkan dapat terwujud.
Cakupannya, dalam hal entitas bisnis yang membentuk Acme Corporation, bersifat inklusif. Diakui bahwa beberapa bentuk prioritas
akan diterapkan di seluruh entitas untuk cakupan awal program EGIT karena terbatasnya
sumber daya program.
Berbagai pemangku kepentingan mempunyai kepentingan terhadap hasil program EGIT, mulai dari dewan direksi Acme Corporation
hingga manajemen lokal di setiap entitas, serta pemangku kepentingan eksternal seperti pemegang saham dan lembaga pemerintah.
Pertimbangan perlu diberikan terhadap beberapa tantangan dan risiko signifikan dalam implementasi program EGIT pada skala global
yang diperlukan. Salah satu aspek yang lebih menantang adalah sifat kewirausahaan dari banyak bisnis Internet, serta model bisnis
terdesentralisasi atau terfederasi yang ada dalam Acme Corporation.
Program EGIT akan dicapai dengan berfokus pada kemampuan proses Acme dan komponen lain dari sistem tata kelola terkait dengan
yang didefinisikan dalam COBIT, relevan untuk setiap unit bisnis. Tujuan tata kelola dan pengelolaan yang relevan dan diprioritaskan
yang akan mendapat fokus di setiap entitas akan diidentifikasi melalui a
53
pendekatan lokakarya yang difasilitasi oleh anggota program EGIT. Sasarannya akan dimulai dengan strategi dan sasaran perusahaan
masing-masing unit, serta skenario risiko bisnis terkait TI yang berlaku pada unit bisnis tertentu.
Tujuan dari program EGIT adalah untuk memastikan bahwa sistem tata kelola yang memadai, termasuk struktur tata kelola,
tersedia dan untuk meningkatkan tingkat kemampuan dan kecukupan proses TI yang relevan. Harapannya adalah seiring dengan
meningkatnya kemampuan proses TI, efisiensi dan kualitasnya juga akan meningkat. Pada saat yang sama, risiko terkait akan menurun secara
proporsional. Dengan cara ini, manfaat bisnis yang nyata dapat diwujudkan oleh masing-masing unit bisnis.
Setelah proses penilaian tingkat kemampuan dalam setiap unit bisnis telah ditetapkan, penilaian mandiri (self-assessment) diperkirakan akan
dilanjutkan dalam setiap unit bisnis seperti praktik bisnis normal.
Program EGIT akan dilaksanakan dalam dua tahap berbeda. Fase pertama adalah fase pengembangan, di mana tim akan
mengembangkan dan menguji pendekatan dan perangkat yang akan digunakan di seluruh Acme Corporation. Pada akhir fase 1, hasilnya
akan dipresentasikan kepada manajemen kelompok untuk persetujuan akhir. Setelah persetujuan akhir diperoleh, dalam bentuk kasus
bisnis yang disetujui, program EGIT akan diluncurkan ke seluruh entitas dengan cara yang disepakati (implementasi, tahap 2).
Perlu dicatat bahwa program EGIT tidak bertanggung jawab untuk menerapkan tindakan perbaikan yang diidentifikasi di setiap unit bisnis.
Program EGIT hanya akan mengkonsolidasikan dan melaporkan kemajuan yang diberikan oleh masing-masing unit.
Tantangan terakhir yang perlu dipenuhi oleh program EGIT adalah melaporkan hasil-hasilnya secara berkelanjutan di masa depan.
Aspek ini akan memerlukan waktu dan sejumlah besar diskusi dan pengembangan. Diskusi dan pengembangan ini harus menghasilkan
peningkatan terhadap mekanisme pelaporan dan scorecard perusahaan yang ada.
Anggaran awal untuk tahap pengembangan program EGIT telah disiapkan. Anggaran tersebut dirinci dalam jadwal tersendiri. Anggaran
rinci juga akan diselesaikan untuk tahap 2 proyek dan diserahkan untuk disetujui oleh manajemen kelompok.
EGIT merupakan bagian integral dari tata kelola perusahaan secara keseluruhan dan berfokus pada kinerja TI dan pengelolaan risiko yang
disebabkan oleh ketergantungan perusahaan pada TI.
TI diintegrasikan ke dalam operasi bisnis Acme Corporation. Bagi banyak orang, Internet adalah inti dari operasi mereka. Oleh karena
itu, EGIT mengikuti struktur manajemen grup: format terdesentralisasi. Manajemen setiap anak perusahaan/unit bisnis bertanggung jawab
untuk memastikan bahwa proses yang tepat diterapkan sesuai dengan EGIT.
Setiap tahun, manajemen setiap anak perusahaan penting diwajibkan untuk menyerahkan laporan tertulis formal kepada komite risiko yang
sesuai, yang merupakan bagian dari dewan direksi. Laporan ini akan merinci sejauh mana kebijakan EGIT telah diterapkan selama tahun
keuangan. Pengecualian yang signifikan harus dilaporkan pada setiap pertemuan komite risiko yang dijadwalkan.
Dewan direksi, dibantu oleh komite risiko dan audit, akan memastikan bahwa kinerja EGIT grup dinilai, dipantau, dilaporkan dan diungkapkan
dalam pernyataan EGIT sebagai bagian dari laporan tahunan terintegrasi perusahaan.
Pernyataan tersebut akan didasarkan pada laporan yang diperoleh dari tim risiko, kepatuhan dan audit internal serta manajemen
setiap anak perusahaan penting. Hal ini akan memberikan informasi yang relevan dan dapat diandalkan kepada pemangku kepentingan
internal dan eksternal mengenai kualitas kinerja EGIT grup.
Jasa audit internal akan memberikan jaminan kepada manajemen dan komite audit atas kecukupan dan efektivitas EGIT.
54
Risiko bisnis terkait TI akan dilaporkan dan didiskusikan sebagai bagian dari proses manajemen risiko dalam daftar risiko yang disampaikan kepada
komite risiko terkait.
Karena sifat TI yang tersebar luas dan laju perubahan teknologi, diperlukan kerangka kerja yang andal untuk mengendalikan seluruh lingkungan TI
secara memadai dan menghindari kesenjangan pengendalian yang dapat membuat perusahaan menghadapi risiko yang tidak dapat diterima.
Tujuannya adalah untuk tidak menghambat operasional TI dari berbagai entitas operasi. Sebaliknya, hal ini bertujuan untuk meningkatkan profil
risiko entitas dengan cara yang masuk akal secara bisnis dan memberikan peningkatan kualitas layanan dan efisiensi, sekaligus secara
eksplisit mencapai kepatuhan tidak hanya terhadap piagam EGIT grup Acme Corporation, tetapi juga terhadap peraturan perundang-undangan
lainnya. dan/atau persyaratan kontrak.
ÿ Upaya penjaminan TI yang rumit karena sifat kewirausahaan di banyak unit bisnis ÿ Model pengoperasian TI yang rumit
karena model bisnis berbasis layanan Internet yang digunakan ÿ Entitas yang tersebar secara geografis dan terdiri
dari beragam budaya dan bahasa ÿ Terdesentralisasi/federasi dan sebagian besar model pengendalian
bisnis otonom yang diterapkan dalam grup ÿ Penerapan manajemen TI pada tingkat yang wajar, mengingat teknologi TI yang sangat
ÿ TI menyeimbangkan dorongan perusahaan untuk kemampuan inovasi dan kelincahan bisnis dengan kebutuhan untuk mengelola risiko dan memiliki
kendali yang memadai
ÿ Penetapan tingkat risiko dan toleransi untuk setiap unit bisnis ÿ Meningkatnya
kebutuhan untuk fokus pada pemenuhan persyaratan kepatuhan terhadap peraturan (privasi) dan kontrak (Industri Kartu Pembayaran [PCI])
ÿ Temuan audit rutin tentang kontrol TI yang buruk dan masalah yang dilaporkan terkait dengan kualitas layanan TI ÿ Pengiriman
layanan baru dan inovatif yang sukses dan tepat waktu di pasar yang sangat kompetitif
Saat ini tidak ada pendekatan atau kerangka kerja grup untuk EGIT atau penggunaan praktik dan standar TI yang baik. Di antara unit bisnis lokal,
terdapat berbagai tingkat penerapan praktik baik terkait EGIT. Akibatnya, sangat sedikit perhatian yang diberikan pada tingkat kemampuan proses TI.
Berdasarkan pengalaman, kadarnya umumnya rendah.
Oleh karena itu, tujuan program EGIT adalah untuk meningkatkan tingkat kemampuan dan kecukupan proses dan pengendalian terkait TI
yang sesuai untuk setiap unit bisnis, dengan cara yang diprioritaskan.
Hasilnya adalah risiko signifikan telah diidentifikasi dan diartikulasikan, dan manajemen dapat mengatasi risiko tersebut dan melaporkan statusnya.
Ketika tingkat kemampuan masing-masing unit bisnis meningkat, kualitas dan efisiensi juga harus meningkat secara proporsional dan profil risiko bisnis
terkait TI dari setiap entitas harus menurun.
Pada akhirnya, nilai bisnis akan meningkat sebagai hasil dari EGIT yang efektif. 262
1
25 Pencacahan ini merupakan bagian dari bagian 4.5 (Faktor Desain) dan juga dibahas dalam Panduan Implementasi COBIT® 2019.
26
2
Penelitian empiris ada untuk mendukung pernyataan tersebut. Misalnya, lihat op cit De Haes, Joshi dan van Grembergen.
55
Banyak kerangka TI yang ada, masing-masing dimaksudkan untuk mengendalikan aspek TI tertentu. Kerangka COBIT dianggap oleh
banyak orang sebagai kerangka EGIT dan kontrol terkemuka di dunia. Hal ini telah diterapkan oleh beberapa anak perusahaan Acme
Corporation.
COBIT dipilih oleh Acme sebagai kerangka pilihan untuk implementasi EGIT dan oleh karena itu, harus diadopsi oleh semua anak
perusahaan.
COBIT tidak harus diimplementasikan secara keseluruhan; hanya bidang-bidang yang relevan dengan anak perusahaan atau
unit bisnis tertentu yang perlu dilaksanakan, dengan mempertimbangkan hal-hal berikut:
lainnya
Jika anak perusahaan atau unit bisnis tertentu telah menerapkan kerangka kerja lain, atau penerapannya direncanakan di masa
depan, penerapan tersebut harus dipetakan ke COBIT untuk alasan pelaporan, audit, dan kejelasan pengendalian internal.
Fase 1 dari program EGIT adalah tahap pengembangan. Pada tahap program ini, langkah-langkah berikut dilakukan:
1. Struktur tim inti diselesaikan di antara para pemangku kepentingan dan peserta proyek.
4. Komunitas online dibuat di dalam Acme Corporation untuk bertindak sebagai gudang berbagi pengetahuan.
5. Seluruh pemangku kepentingan dan kebutuhan mereka diidentifikasi.
6. Struktur komite, peran dan tanggung jawab, aturan pengambilan keputusan, dan pengaturan pelaporan saat ini diperjelas dan
disesuaikan kembali, jika diperlukan.
7. Kasus bisnis untuk program EGIT dikembangkan dan dipelihara, sebagai landasan keberhasilan
implementasi program.
8. Rencana komunikasi dibuat untuk memandu prinsip-prinsip, kebijakan dan manfaat yang diharapkan sepanjang program.
9. Alat penilaian dan pelaporan yang dapat digunakan selama masa program dan seterusnya dikembangkan.
10. Pendekatan ini diuji pada satu entitas lokal. Kegiatan ini untuk kemudahan logistik dan untuk memudahkan penyempurnaan
pendekatan dan alatnya.
11. Pendekatan yang disempurnakan diujicobakan di salah satu entitas asing. Hal ini untuk memahami dan mengukur kesulitan
menjalankan fase penilaian program EGIT dalam kondisi bisnis yang lebih menantang.
56
12. Kasus dan pendekatan bisnis akhir disajikan, termasuk rencana penerapannya kepada eksekutif Acme Corporation
manajemen untuk mendapatkan persetujuan.
Program EGIT dirancang untuk memulai program perbaikan berkelanjutan yang berkelanjutan, berdasarkan siklus hidup berulang yang
difasilitasi dengan mengikuti langkah-langkah berikut:
1. Menentukan pendorong untuk meningkatkan EGIT, baik dari perspektif grup Acme Corporation maupun dari sudut pandang perusahaan
tingkat unit bisnis.
3. Tentukan keadaan EGIT yang diinginkan (baik jangka pendek maupun jangka panjang).
4. Menentukan apa yang perlu diterapkan di tingkat unit bisnis untuk mewujudkan tujuan bisnis lokal, dan
sehingga selaras dengan harapan kelompok.
5. Melaksanakan proyek perbaikan yang telah diidentifikasi dan disepakati di tingkat unit bisnis lokal.
6. Sadarilah dan pantau manfaatnya.
7. Mempertahankan cara kerja yang baru dengan menjaga momentum tetap berjalan.
Seluruh entitas grup. Namun, entitas akan diprioritaskan untuk berinteraksi karena keterbatasan program
sumber daya.
2. Metode penentuan prioritas. Hal ini perlu disetujui oleh manajemen Acme Corporation, namun bisa dilakukan
atas dasar berikut:
A. Ukuran investasi
3. Daftar entitas yang akan dicakup selama tahun anggaran berjalan. Hal ini harus diselesaikan dan disetujui oleh manajemen Acme
Corporation.
Program EGIT akan mencapai mandatnya dengan menggunakan pendekatan lokakarya interaktif yang difasilitasi dengan seluruh entitas.
Pendekatan ini dimulai dengan tujuan bisnis dan pemilik tujuan, biasanya CEO dan chief financial officer (CFO). Pendekatan ini harus
memastikan bahwa hasil program selaras dengan hasil dan prioritas bisnis yang diharapkan.
Setelah tujuan bisnis tercapai, fokusnya beralih ke operasi TI, biasanya di bawah kendali chief technology officer (CTO) atau chief information
officer (CIO). Pada tingkat operasi TI, rincian lebih lanjut mengenai risiko dan tujuan bisnis terkait TI dipertimbangkan.
57
Seperti disebutkan sebelumnya, tujuan keseluruhan program EGIT adalah untuk menanamkan praktik baik EGIT ke dalam
kelanjutan operasi berbagai entitas grup.
Hasil spesifik akan dihasilkan oleh program EGIT untuk memungkinkan Acme Corporation mengukur penyampaian hasil yang diharapkan.
Ini termasuk yang berikut:
1. Program EGIT akan memfasilitasi pertukaran pengetahuan internal melalui platform intranet dan leverage yang ada
hubungan dengan vendor untuk keuntungan unit bisnis individu.
2. Laporan rinci setiap fasilitasi dengan unit bisnis akan dibuat yang berasal dari program EGIT
alat penilaian. Laporan-laporan tersebut antara
lain: a. Tujuan bisnis yang diprioritaskan saat ini, dan tujuan TI yang diakibatkannya, berdasarkan COBIT b. Risiko
terkait TI diidentifikasi oleh unit bisnis dalam format standar, dan area fokus yang disepakati
perhatian oleh unit bisnis berdasarkan proses dan praktik COBIT serta komponen lain yang direkomendasikan 3. Laporan
kemajuan keseluruhan mengenai cakupan unit bisnis Acme Corporation yang diharapkan oleh program EGIT
akan dibuat.
mencakup: a. Kemajuan dari unit bisnis yang terlibat dengan proyek implementasi yang disepakati berdasarkan pemantauan yang disepakati
metrik kinerja
5. Pelaporan keuangan mengenai anggaran program vs. jumlah aktual yang dibelanjakan akan dihasilkan.
6. Pemantauan dan pelaporan manfaat berdasarkan tujuan dan metrik nilai yang ditentukan unit bisnis akan dibuat.
Berikut ini adalah jenis-jenis risiko potensial terhadap keberhasilan inisiasi dan keberhasilan berkelanjutan dari program EGIT Acme
Corporation. Risiko akan dimitigasi dengan berfokus pada pemberdayaan perubahan dan akan dipantau dan ditangani secara terus
menerus melalui tinjauan program dan pencatatan risiko. Jenis risiko tersebut adalah: 1. Komitmen dan
dukungan manajemen terhadap program, baik di tingkat kelompok maupun unit usaha lokal
tingkat
2. Mendemonstrasikan penyampaian nilai dan manfaat aktual bagi setiap entitas lokal melalui penerapan program. Entitas lokal harus mau
mengadopsi proses tersebut demi mendapatkan nilai yang akan dihasilkannya, dibandingkan melakukannya karena adanya
kebijakan yang ada.
kepentingan utama di setiap entitas untuk berpartisipasi dalam program 5. Wawasan bisnis
inisiatif tata kelola atau kepatuhan yang ada dalam grup 7 Struktur komite yang tepat untuk mengawasi program.
Misalnya, kemajuan program EGIT secara keseluruhan dapat menjadi agenda komite eksekutif TI. Persamaan lokal juga perlu dibentuk.
Hal ini dapat direplikasi secara geografis, serta di tingkat perusahaan induk lokal, jika diperlukan.
58
Berikut ini telah diidentifikasi sebagai pemangku kepentingan dalam hasil program EGIT:
1. Komite Risiko
2. Komite Eksekutif TI
4. Staf kepatuhan 5.
Manajemen regional 6.
Struktur akhir yang berisi nama individu pemangku kepentingan akan disusun dan dipublikasikan setelah berkonsultasi dengan
manajemen kelompok.
Program EGIT memerlukan pemangku kepentingan yang teridentifikasi untuk menyediakan hal-hal berikut:
1. Panduan mengenai arah keseluruhan program EGIT. Hal ini mencakup keputusan mengenai tata kelola yang signifikan.
topik terkait yang ditentukan dalam bagan RACI grup sesuai dengan panduan COBIT. Hal ini lebih lanjut mencakup penetapan
prioritas, menyepakati pendanaan, dan menyetujui tujuan nilai.
2. Penerimaan hasil dan pemantauan manfaat yang diharapkan dari program EGIT
Program ini harus mengidentifikasi manfaat yang diharapkan dan memantau untuk memastikan bahwa nilai bisnis nyata dihasilkan dari
investasi tersebut. Manajemen lokal harus memotivasi dan mempertahankan program ini. EGIT yang baik harus menghasilkan
manfaat yang akan ditetapkan sebagai target spesifik untuk setiap unit bisnis dan dipantau serta diukur selama implementasi untuk
memastikan bahwa manfaat tersebut terealisasi. Manfaatnya antara lain:
1. Memaksimalkan realisasi peluang bisnis melalui TI, sekaligus memitigasi risiko bisnis terkait TI ke tingkat yang dapat diterima,
sehingga memastikan bahwa risiko dipertimbangkan secara bertanggung jawab terhadap peluang dalam semua inisiatif bisnis. 2.
Mendukung tujuan bisnis melalui investasi utama dan keuntungan optimal atas hal tersebut investasi, sehingga menyelaraskan
Inisiatif dan tujuan TI langsung dengan strategi bisnis
3. Kepatuhan terhadap undang-undang, peraturan dan kontrak serta kebijakan internal dan kepatuhan prosedural 4. Pendekatan
yang konsisten untuk mengukur dan memantau kemajuan, efisiensi dan efektivitas 5. Peningkatan kualitas
operasional TI dan/atau meningkatkan produktivitas TI dengan menyelesaikan lebih banyak pekerjaan secara konsisten dalam waktu yang lebih singkat
waktu dan dengan sumber daya yang lebih sedikit
Biaya utama akan mencakup waktu yang diperlukan untuk pengelolaan program kelompok, sumber daya penasihat eksternal, dan kursus
pelatihan awal. Biaya-biaya sentral ini telah diperkirakan untuk tahap 1. Biaya lokakarya penilaian untuk masing-masing
manajemen unit bisnis dan pemilik proses (kehadiran, tempat, fasilitator, dan biaya terkait lainnya) akan didanai secara lokal dan
perkiraannya akan diberikan. Inisiatif perbaikan proyek yang spesifik untuk setiap unit bisnis akan diperkirakan pada tahap 2 dan
dipertimbangkan berdasarkan kasus per kasus dan secara keseluruhan. Hal ini akan memungkinkan kelompok untuk memaksimalkan
efisiensi dan standardisasi.
59
Gambar 9.1 merangkum tantangan-tantangan yang dapat mempengaruhi program EGIT selama periode implementasi
program dan faktor-faktor penentu keberhasilan yang harus diatasi untuk memastikan hasil yang sukses.
Gambar 9.1—Tantangan dan Tindakan yang Direncanakan untuk Tantangan Acme Corporation
Faktor Kritis Keberhasilan—Tindakan yang Direncanakan
Ketidakmampuan untuk mendapatkan dan ÿ Melakukan mitigasi melalui struktur komite dalam kelompok (untuk disepakati dan dibentuk).
mempertahankan dukungan
Biaya perbaikan melebihi manfaat yang dirasakan ÿ Fokus pada identifikasi manfaat.
Kurangnya kepercayaan dan hubungan baik antara TI dan ÿ Menumbuhkan komunikasi yang terbuka dan transparan tentang kinerja, yang terkait dengan
perusahaan manajemen kinerja perusahaan. ÿ Fokus pada antarmuka
bisnis dan mentalitas layanan. ÿ Publikasikan hasil positif dan pembelajaran
untuk membantu membangun dan mempertahankan kredibilitas. ÿ Pastikan CIO menjaga
kredibilitas dan
kepemimpinan dalam membangun kepercayaan
dan hubungan.
ÿ Memformalkan peran dan tanggung jawab tata kelola dalam bisnis
akuntabilitas keputusannya jelas. ÿ Mengidentifikasi
dan mengomunikasikan bukti permasalahan nyata, risiko yang perlu dihindari, dan manfaat yang
dapat diperoleh (dalam istilah bisnis) terkait dengan usulan perbaikan. ÿ Fokus pada
perencanaan pemberdayaan
perubahan.
Kurangnya pemahaman tentang lingkungan Acme ÿ Menerapkan metodologi penilaian yang konsisten. oleh mereka yang bertanggung
jawab atas program EGIT Berbagai tingkat kompleksitas
(teknis, organisasi, model operasi) ÿ Perlakukan entitas berdasarkan kasus per kasus. Manfaatkan pembelajaran dan berbagi
pengetahuan. ÿ Melatih dan membimbing.
terhadap perubahan ÿ Memastikan bahwa implementasi siklus hidup juga mencakup perubahan
kegiatan pemberdayaan.
Kesulitan dalam mengintegrasikan EGIT dengan pemasok/pihak ketiga dalam aktivitas EGIT. ÿ Memasukkan kondisi
model tata kelola mitra outsourcing dan hak untuk mengaudit dalam kontrak. ÿ Kelola ekspektasi. ÿ Buatlah
Mencoba melakukan terlalu banyak hal sekaligus; Penanganan TI yang berlebihan ÿ Menerapkan prinsip-prinsip manajemen program dan
proyek. masalah yang kompleks dan/atau sulit ÿ Gunakan tonggak sejarah. ÿ Prioritaskan
tugas 80/20 (80 persen manfaat dan 20 persen upaya) dan hati-hati dalam mengurutkan dalam
urutan yang benar. Manfaatkan kemenangan cepat. ÿ Membangun kepercayaan/keyakinan.
Memiliki
keterampilan dan pengalaman untuk membuatnya tetap sederhana dan praktis. ÿ Gunakan
kembali apa yang
ada sebagai alas.
60
Tidak adanya keterampilan dan kompetensi TI yang dibutuhkan, ÿ Fokus pada perencanaan pemberdayaan perubahan:
seperti pemahaman bisnis, proses, soft skill ÿ Pengembangan ÿ
Pelatihan ÿ
Pembinaan ÿ
Pendampingan
ÿ Umpan balik ke dalam proses rekrutmen ÿ
Pelatihan silang ÿ
Perbaikan tidak diadopsi atau diterapkan Gunakan pendekatan kasus per kasus dengan prinsip-prinsip yang disepakati untuk entitas lokal.
Penerapannya harus praktis.
Manfaatnya sulit ditunjukkan atau dibuktikan ÿ Identifikasi metrik kinerja. ÿ Membangun
Hilangnya minat dan momentum komitmen tingkat kelompok, termasuk komunikasi.
61
Salinan Pribadi: Dr. David Lanter
Machine Translated by Google
62
Bab 10
COBIT dan Standar Lainnya
Salah satu prinsip panduan yang diterapkan sepanjang pengembangan COBIT® 2019 adalah mempertahankan positioning
COBIT sebagai kerangka payung. Artinya COBIT terus menyelaraskan dengan sejumlah hal yang relevan
standar, kerangka kerja dan/atau peraturan.
Dalam konteks ini, penyelarasan berarti COBIT tidak bertentangan dengan pedoman apa pun dalam standar terkait. Pada saat yang sama
waktu, penting untuk diingat bahwa COBIT tidak menyalin isi standar terkait. Sebaliknya, itu
biasanya memberikan pernyataan atau referensi yang setara dengan panduan terkait.
Standar dan panduan yang digunakan selama pengembangan pembaruan COBIT® 2019 meliputi:
ÿ Pusat Keamanan Internet CIS® , Kontrol Keamanan Kritis CIS untuk Pertahanan Siber yang Efektif, Versi 6.1,
Agustus 2016
SM teladan, 2014
ÿ Kematangan Manajemen Data CMMI® (DMM)
CMMI ÿ ® Development V2.0, CMMI Institute, AS, 2018
ÿ Kerangka Kerja Manajemen Risiko Perusahaan (ERM) Komite Organisasi Sponsor (COSO), Juni 2017
ÿ Komite Standardisasi Eropa (CEN), Kerangka Kerja e-Kompetensi (e-CF) - Kerangka kerja umum Eropa
Kerangka Kerja untuk Profesional ICT di semua sektor industri - Bagian 1: Kerangka Kerja, EN 16234-1:2016
ÿ Forum Keamanan Informasi (ISF), Standar Praktik yang Baik untuk Keamanan Informasi 2016
ÿ ISO/IEC 20000-1:2011(E)
ÿ ISO/IEC 27001:2013/Kor.2:2015(E)
ÿ ISO/IEC 27002:2013/Kor.2:2015(E)
ÿ ISO/IEC 27004:2016(E)
ÿ ISO/IEC 27005:2011(E)
ÿ ISO/IEC 38500:2015(E)
ÿ ISO/IEC 38502:2017(E)
ÿ Perpustakaan Infrastruktur Teknologi Informasi (ITIL® ) v3, 2011
ÿ Institut Auditor Internal® (IIA® ), “Prinsip Inti Praktik Profesional Audit Internal”
63
ÿ “Opsi untuk Mengubah Fungsi TI Menggunakan TI Bimodal,” MIS Quarterly Executive (buku putih)
ÿ Panduan Badan Pengetahuan Manajemen Proyek: Panduan PMBOK®, Edisi Keenam, 2017
PROSCI® ÿ Proses Manajemen Perubahan 3 Fase
ÿ Kerangka Kerja Agile Berskala untuk Perusahaan Lean (SAFe® )
ÿ Kerangka Keterampilan untuk Era Informasi (SFIA® ) V6, 2015
64
Salinan Pribadi: Dr. David Lanter