COBIT 4.

1
COBIT dirancang untuk digunakan oleh tiga pengguna yang
berbeda yaitu :
• Manajemen : untuk membantu mereka menyeimbangkan antara
resiko dan investasi pengendalian dalam sebuah lingkungan IT
yang sering tidak dapat diprediksi.
• User : untuk memperoleh keyakinan atas layanan keamanan dan
pengendalian IT yang disediakan oleh pihak internal atau pihak
ketiga.
• Auditor : untuk medukung/memperkuat opini yang dihasilkan
dan/atau untuk memberikan saran kepada manajemen atas
pengendalian internal yang ada.
 Control Objectives for Information and
related Technology (COBIT)
1. Planning & Organisation.
Domain ini menitikberatkan pada proses perencanaan dan penyelarasan
strategi TI dengan strategi perusahaan.
2. Acquisition & Implementation.
Domain ini menitikberatkan pada proses pemilihan, pengadaaan dan
penerapan teknologi informasi yang digunakan.
3. Delivery & Support.
Domain ini menitikberatkan pada proses pelayanan TI dan dukungan
teknisnya.
4. Monitoring and Evaluate.
Domain ini menitikberatkan pada proses pengawasan pengelolaan TI
pada organisasi.
Planning & Organisation
(PO)
• Domain ini mencakup strategi dan taktik, dan
perhatian atas identifikasi bagaimana TI secara
maksimal dapat berkontribusi dalam
pencapaian tujuan bisnis. Selain itu, realisasi
dari visi strategis perlu direncanakan,
dikomunikasikan, dan dikelola untuk berbagai
perspektif yang berbeda
Planning & Organisation
(PO)
PO1 Menetapkan rencana Strategis TI
PO2 Menetapkan arsitektur sistem informasi
PO3 Menetapkan arah teknologi
PO4 Menetapkan proses TI, organisasi dan hubungannya
PO5 Mengatur investasi TI
PO6 Mengkomunikasikan tujuan dan arahan manajemen
PO7 Mengelola sumberdaya manusia
PO8 Mengatur kualitas
PO9 Menilai dan mengatur resiko TI
PO10 Mengatur Proyek
Acquisition & Implementation (AI)
• Untuk merealisasikan strategi TI, solusi TI
perlu diidentifikasi, dikembangkan atau
diperoleh, serta diimplementasikan, dan
terintegrasi ke dalam proses bisnis. Selain itu,
perubahan serta pemeliharaan sistem yang
ada harus di cakup dalam domain ini untuk
memastikan bahwa siklus hidup akan terus
berlangsung untuk sistem ini
Acquisition & Implementation (AI)
AI1 Identifikasi solusi-solusi otomatis
AI2 Mendapatkan dan memelihara perangkat lunak aplikasi
AI3 Mendapatkan dan memelihara infrastruktur teknologi
AI4 Menjalankan operasi dan menggunakannya
AI5 Pengadaan sumber daya TI
AI6 Mengelola perubahan
AI7 Instalasi dan akreditasi solusi serta perubahan
Delivery & Support (DS)
• Domain ini memberikan fokus utama pada
aspek penyampaian/pengiriman dari TI.
Domain ini mencakup areaarea seperti
pengoperasian aplikasiaplikasi dalam sistem TI
dan hasilnya, dan juga, proses dukungan yang
memungkinkan pengoperasian sistem TI
tersebut dengan efektif dan efisien.
Delivery & Support (DS)
DS1 Menetapkan dan mengatur tingkat layanan
DS2 Pengaturan layanan dengan pihak ketiga
DS3 Mengatur kinerja dan kapasitas
DS4 Memastikan ketersediaan layanan
DS5 Memastikan keamanan sistem
DS6 Identifikasi dan biaya tambahan
DS7 Mendidik dan melatih user
DS8 Mengelola bantuan layanan dan insiden
DS9 Mengatur konfigurasi
DS10 Mengelola masalah
DS11 Mengelola data
DS12 Mengelola fasilitas
DS13 Mengelola operasi
Monitoring and Evaluate
(ME)
• Semua proses IT perlu dinilai secara teratur
sepanjang waktu untuk menjaga kualitas dan
pemenuhan atas syarat pengendalian. Domain
ini menunjuk pada perlunya pengawasan
manajemen atas proses pengendalian dalam
organisasi serta penilaian independen yang
dilakukan baik auditor internal maupun
eksternal atau diperoleh dari sumber-sumber
alternatif lainnya.
Monitoring and Evaluate (ME)
ME1 Monitor dan Evaluasi Kinerja TI
ME2 Monitor dan Evaluasi Pengendalian Internal
ME3 Mendapatkan jaminan independent
ME4 Penyediaan untuk tatakelola TI
ME1 Monitor dan Evaluasi Kinerja TI (Monitor
and Evaluate IT Peformance)
• Proses ini bertujuan untuk mengetahui apakah
organisasi sadar akan kebutuhan proses pengawasan.
Proses pengawasan ini termasuk dalam
mendefinisikan indikator peforma pengendalian yang
relevan, sistematik, dan sebuah laporan yang
dilakukan secara berkala serta penanganan yang
cepat saat terjadi masalah.
• Domain ini terbagi menjadi 6 sub-domain yaitu:
• ME1.1 Monitoring Approach
• ME1.2 Definition and Collection of Monitoring Data
• ME1.3 Monitoring Method
• ME1.4 Performance Assessment
• ME1.5 Board and Executive Reporting
• ME1.6 Remedial Actions
ME2 Monitor dan Evaluasi Pengendalian Internal
(Monitor and Evaluate Internal Control)
• Membentuk program pengendalian internal yang efektif untuk TI
membutuhkan proses monitoring yang jelas. Proses ini mencangkup
pengawasan dan pelaporan kontrol pengecualian, hasil atas penilaian diri
sendiri. Manfaat utama pengawasan pengendalian internal adalah untuk
memberikan kepastian mengenai efektifas dan efisiensi operasi dan
kepatuhan dengan peraturan dan regulasi yang ada.
• Domain ini terbagi menjadi 7 subdomain yaitu:
• ME2.1 Monitoring of Internal Control Framework
• ME2.2 Supervisory Review
• ME2.3 Control Exceptions
• ME2.4 Control Self-assessment
• ME2.5 Assurance of Internal Control
• ME2.6 Internal Control at Third Parties
• ME2.7 Remedial Actions
ME3 Mendapatkan jaminan independent
(Ensure Compliance with External
Requirements)
• Pengawasan kepatuhan yang efektif mengharuskan pembentukan proses review
untuk memastikan kepatuhan terhadap undang-undang dan peraturan persyaratan
kontrak. Proses ini mencakup indentifikasi persyaratan kepatuhan, optimalisasi
dan evaluasi respon, mendapatkan jaminan bahwa persyaratan telah dipenuhi dan
akhirnya mengintegrasikan laporan kepatuhan TI dengan bagian bisnis lainnya.

• Domain ini terbagi menjadi 5 sub-domain yaitu:

• ME3.1 Identification of External Legal, Regulatory and Contractual Compliance
Requirements
• ME3.2 Optimisation of Response to External Requirements
• ME3.3 Evaluation of Compliance With External Requirements
• ME3.4 Positive Assurance of Compliance
• ME3.5 Integrated Reporting
ME4 Penyediaan untuk tatakelola TI
(Provide IT Governance)
• Membangun kerangka kerja tata kelola yang
efektif termasuk pendefinisian struktur organisasi,
proses, kepemimpinan, peran, dan tanggung jawab
untuk memastikan bahwa investasi perusahaan IT
selaras dan disampaikan sesuai dengan strategi dan
objektif perusahaan.
• Domain ini terbagi menjadi 7sub-domain yaitu:
• ME4.1 Establishment of an IT Governance
Framework
• ME4.2 Strategic Alignment
• ME4.3 Value Delivery
• ME4.4 Resource Management
• ME4.5 Risk Management
• ME4.6 Performance Measurement
• ME4.7 Independent Assurance
COBIT 4.1 Maturity Level Assessment
Criteria
• 0 – Non-existent – Tidak memiliki proses pengawasan, prosedur
untuk memantau efektivitas kontrol internal, ada sedikit kesadaran
akan kebutuhan eksternal yang mempengaruhi TI, tidak
memahami kekurangan atas proses pengaturan TI.

• 1 – Initial/Ad Hoc – Perusahaan mulai menyadari perlunya

pengkajian terhadap suatu masalah namun tidak terdapat proses
yang standar.

• 2 – Repeatable but Intuitive – Prosedur diikuti tetapi masih ada

tingkat ketergantungan yang tinggi pada pengetahuan individu.
Tidak ada training atau komunikasi secara formal tentang
prosedur standard dan tanggung jawabnya jatuh pada individu.
Ada ketergantungan yang tinggi pada individu dan sering terjadi
error.
• 3 – Defined Process – Prosedur distandarisasi tetapi tidak cukup
canggih. Telah dilakukan traning dan telah didokumentasikan,
tetapi tetap dibutuhkan pelatihan.

• 4 - Managed and measurable – terdapat kepatuhan sesuai

dengan yang telah ditetapkan sebelumnya dan dapat mengetahui
mengenai suatu masalah yang signifikan serta memberikan
sebuah pelatihan dan kebutuhan sistem pun ditambahkan
kedalam aplikasi dan digunakan secara terpisah.

• 5 – Optimized – Penyempitan proses ke tingkat praktek yang baik

terjadi dan variasi terus berkurang. Terintegrasinya penggunaan TI
dalam pengotomasian alur pekerjaan. Dalam meningkatkan
kualiatas TI dengan terdapatnya alat yang membantu
meningkatkan efektif dan kualitas proses.