P. 1
COBIT 4-1

COBIT 4-1

|Views: 366|Likes:
Published by Bambang Suprayogi

More info:

Published by: Bambang Suprayogi on Jan 23, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

03/09/2014

pdf

text

original

COBIT

Control Objectives for Information and related Technology
A. Definisi dan Sejarah perkembangan COBIT Control Objectives for Information and related Technology (COBIT) adalah seperangkat kerangka kerja bagi manajemen Teknologi Informasi (IT) yang disusun oleh Information Systems Audit and Control Association (ISACA), dan IT Governance Institute (ITGI) pada 1996. Selain itu, disebutkan juga bahwa COBIT memiliki empat versi yaitu :
o o o o o

1996, edisi CoBiT yang pertama diperkenalkan 1998, edisi kedua menambahkan Management Guidelines 2000, edisi ketiga dipublikasikan dan tersedia versi online. Desember 2005, edisi keempat dipublikasikan Mei 2007, Versi 4.1 dipublikasikan tahun 2007

COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Misi COBIT adalah melakukan riset, mengembangkan, mempublikasikan, serta

mempromosikan kerangka tujuan pengendalian tata kelola teknologi informasi yang dapat diterima secara internasional, bersifat otoritatif, up-to-date, untuk digunakan sehari-hari bagi manajer usaha,profesional informasi teknologi dan professsional assurance. Kerangka COBIT ini akan efektif digunakan untuk menjaga pengendalian internal dengan dukungan teknologi informasi yang tinggi, seperti perusahaan yang didukung dengan proses otomatisasi atau produknya berkaitan dengan teknologi informasi.COBIT menyediakan suatu cara yang baik untuk memahami dan mendokumentasikan pengendalian internal suatu organisasi. Kerangka COBIT ini bukan merupakan pengganti, tetapi merupakan suatu pendukung pengendalian internal COSO agar lebih mudah memahami dan mendokumentasikan pengendalian intern, khususnya pada perusahaan berbasis IT. Framework CoBiT menyediakan pernyataan pengendalian tertinggi untuk proses IT dengan mengidentifikasi kebutuhan bisnis terhadap pernyataan pengendalian,

dan tepat. B. Kerangka kerja ini mendukung tata 1 BerdasarkanCoBiTversi 4. proses kegiatan kunci. COBIT dirancang untuk digunakan oleh ekskutif senior dan manajer. Cobit membantu memenuhi beragam kebutuhan manajemen dengan menjembatani jurang pemisah antara resiko bisnis.1 . mencantumkan keberadaan pengandilan dan menyebutkan tujuan pengendalian secara umum (Colbert.tujuan proses. Executive Overview 2.mengidentifikasi sumber daya IT yang digunakan dalam proses. Process Description 4. Executive Overview terdiri dari tinjauan yang menyediakan perhatian dan pemahaman atas konsep dan prinsip kunci dari COBIT. 1996). Manajemen harus menjamin bahwa system pengendalian internal atau kerangka pengendalian internal telah ada dan mendukung proses bisnis. Overview ini juga mencakup sinopsis mengenai kerangka dasar yang menyediakan pemahaman yang lebih mendetail atas konsep dan prinsip. Maturity Models 1. tepat waktu. kebutuhan pengendalian dan masalah teknis. Cobit memberikan praktek terbaik melintasi kerangka domain dan proses dan menampilkan aktifitas yang struktur yang terkelola dan logis. COBIT Framework 3. Control Objectives 5. Setiap proses didefinisikan bersama dengan proses input dan output. menjelaskan bagaimana aktifits pengendalian internal memenuhi persyaratan informasi dan berpengaruh pada sumber daya IT. Executive Overview Sebuah keputusan bisnis didasarkan kepada informasi yang relevan. COBIT mendefinisikan 34 proses generik untuk mengelola teknologi informasi.ukuran kinerja dan model kedewasaan dasar. Management Guidelines 6. Struktur paket COBIT Sebuah paket CoBiT1 yang lengkap terdiri atas : 1.

5. 4. Compliance Berhubungan dengan kepatuhan pada hukum. konsistens dan dapat digunakan. untuk digunakan sehari-hari bagi manajer usaha. Availability Terkait dengan informasi yang tersedia ketika diperlukan oleh proses bisnis saat ini dan di masa mendatang. Efficiency Mengenai ketentuan dari informasi melalui penggunaan sumber daya yang optimal (yang paling produktif dan ekonomis). mempublikasikan. Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah: 1. 2. Effectiveness Berhubungan dengan informasi yang relevan dan berhubungan dengan proses bisnis. Pemberian informasi ini dikendalikan dengan 34 tujuan pengendalian tingkat tinggi (highlevel control). Dalam COBIT Framework ini disampaikan misi COBIT yaitu : melakukan riset. Integrity Berhubungan dengan akurasi dan kelengkapan informasi.kelolateknologi informasi dengan mendefinisikan dan menyelaraskan tujuan bisnis dengan tujuan dan proses teknologi informasi. up-to-date. . bersifat otoritatif. satu untuk masing-masing proses IT. profesional informasi teknologi dan professsional assurance. peraturan dan perjanjian kontrak yang mana terkait dengan proses bisnis. yang mana disampaikan secara tepat waktu. benar. Confidentiality Menekankan pada perlindungan atas informasi yang sensitif dari penyingkapan yang tidak berwenang. Hal ini juga berkaitan dengan perlindungan atas sumber daya yang penting. 3. Kerangka Dasar (Framework) Framework menjelaskan bagaimana proses IT akan memberikan informasi yang dibutuhkan perusahaan dalam mencapai tujuannya. 2. mengembangkan. 6. dan juga validitas yang sejalan dengan nilai dan harapan bisnis. serta mempromosikan kerangka tujuan pengendalian tata kelola teknologi informasi yang dapat diterima secara internasional.

dan output yang diproses oleh sistem informasi dalam bentuk apapun yang digunakan oleh bisnis. memperoleh. jaringan. perangkat keras. sistem operasi. Aplikasi adalah sistem pengguna otomatis dan prosedur manual yang memproses informasi. Infrastruktur adalah teknologi dan fasilitas (misalnya. dukungan. masukan. 3.  Making investment decisions  Deciding about requirements Business Manager  Communication with IT  Service Level Agreements IT Manager  Baseline for control objectives and external certifications  Communication with business function . Orang-orang adalah personil yang dibutuhkan untuk merencanakan. melaksanakan. Mereka mungkin internal. mengatur.sistem manajemen database. STAKEHOLDER Pengguna Executive Manager Contoh  General IT governance model. outsourcing atau dikontrak seperti yang diperlukan. 4. Framework ini juga mengidentifikasi kriteria untuk sumber daya IT yaitu : 1.7. 2. dan lingkungan yang mendukung rumahrumah dan mereka) yang memungkinkan pemrosesan aplikasi. memberikan. dalam segala bentuknya. memantau dan mengevaluasi sistem dan layanan informasi. multimedia. Reliability Berhubungan dengan ketentuan bagi informasi yang sesuai untuk manajemen dalam mengelola entitas dan melakukan tanggungjawab tatakelola. Informasi adalah data.

Uraian Proses (Process Descriptions) Merupakan suatu model proses referensi dan bahasa umum untuk setiap orang untuk melihat dan mengelola kegiatan teknologi informasi dalam sebuah organisasi. Dalam uraian proses ini disajikan hal mengenai definisi setiap proses. fokus pelaksanaan proses. Termasuk didalamnya pernyataan akan keinginan untuk mencapai 214 tujuan pengendalian spesifik dan tujuan pengendalian detail dalam 34 proses IT tingkat tinggi (high-level IT processes) . target yang hendak dicapai dan alat untuk melakukan pengukuran proses tersebut. . 4. Tujuan Pengendalian (Control Objectives) Tujuan pengendalian COBIT menyediakan pemahaman yang kritis dalam menentukan kebijakan yang jelas dan praktik yang baik untuk pengendalian IT. menjalankan dan mengawasi. membangun. Proses ini memetakan wilayah tanggung jawab dalam merencanakan. Performance Measures  IT related policies and norms (compliance functions)  Manage the IT organization and processes Project Manager  Project standards  Quality assurance standards  Operate the services Developer  Controls within development process  Controls to be built into system Operations User Controls for service delivery and support Controls to be fully operational / built into system Information Security Officer Auditor Integrate security with IT objectives  IT audit universe  IT control reference  Providing assurance services 3.

prosedur. RACI Chart mengidentifikasi siapa yang bertanggungjawab (Responsible). RACI charts Memahami peran dan tanggungjawab pada masing-masing proses merupakan kunci tatakelola yang efektif. COBIT menyediakan contoh key input and output pada setiap proses termasuk persyaratan eksternal teknologi informasi. yaitu:  Apakah pernyataan tindakan manajerial untuk meningkatkan nilai atau mengurangi resiko   Terdiri dari kebijakan. Ada beberapa istilah yang digunakan management guidelines untuk menentukan kebijakannya yaitu : a. prosedur. b. 5. praktek dan struktur organisasi yang dirancang untuk memberikan keyakinan yang memadai bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan akan dicegah atau dideteksi dan diperbaiki. pihak mana yang harus mencatat.Input proses and Output To process) Pemilik proses harus memahami input apakah yang mereka butuhkan dari orang lain. dan hal lain apakah yang mereka butuhkan untuk proses tersebut. untuk membantu menentukan tingkatan dan level ekspektasi dari pengendalian dan membandingkannya dengan industri yang sejenis. praktek dan struktur organisasi Apakah dirancang untuk memberikan keyakinan yang memadai bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki. Panduan Manajemen (Management Guidelines) Management Guidelines tersusun dari konsep yang sudah matang. Tujuan Pengendalian Teknologi Informasi menyediakan satu set persyaratan tingkat tinggi yang lengkap untuk dipertimbangkan oleh manajemen untuk pengendalian yang efektif pada setiap proses teknologi informasi. Generic Input and Output (From . Key Activity Goal (hal terpenting yang harus dilakukan) . pihak mana yang bisa diajak melakukan konsultasi (Consulted) atau siapa yang hanya diberitahukan saja (Informed). c. menyediakan arah dan otorisasi suatu kegiatan (Accountable). Ada beberapa output yang merupakan input untuk semua proses lainnya.Pengendalian didefinisikan sebagai kebijakan.

Model Kematangan (Maturity Model) Model Kematangan ini menilai kematangan dan kemampuan per proses dan membantu untuk mengatasi kesenjangan. Secara khusus. dan yang paling penting. kecanggihan teknologi. Skala maturity model ini akan membantu para profesional dalam menjelaskan kepada manajer dimana kelemahan proses manajemen teknologi informasi dan mampu menetapkan target yang dibutuhkan organisasi. sehingga dapat diurutkan dari level kematangan tidak ada (0) hingga optimal (5). Metrics (Pengukuran) 6.d. nilai informasi itu sendiri. Pendekatan ini berasal dari model kematangan bahwa the Software Engineering Institute (SEI) yang menentukan untuk kematangan kemampuan pengembangan perangkat lunak (software). lingkungan dan praktek industri. Manfaat pendekatan maturity model ini adalah relatif mudah digunakan oleh manajemen dalam menempatkan skala dan menghargai hal yang terlibat ketika peningkatan kinerja diperlukan. Skala nol (0) mengindikasikan kemungkinan tidak ada proses yang terjadi sama sekali. . tingkat kematangan manajemen akan tergantung pada ketergantungannya pada teknologi informasi. Berikut tampilan maturity Model dari skala 0 sampai dengan skala 5. Skala 0-5 berdasarkan skala kematangan yang sederhana yang menunjukkan bagaimana suatu proses itu terjadi dari suatu kapasitas yang non-existence ke kapasitas yang optimal. Pemodelan kematangan untuk manajemen dan pengendalian atas proses teknologi informasi didasarkan pada suatu metode evaluasi organisasi. Tingkat kematangan akan dipengaruhi oleh tujuan bisnis organisasi.

Untuk tampilan secara lebih detail. dengan menampilkan 4 domain COBIT. sumber daya teknologi informasi yang dikelola oleh proses teknologi informasi untuk mencapai tujuan yang merespon teknologi informasi dengan kebutuhan bisnis. . seperti pada kubus COBIT berikut. Model Proses teknologi informasi COBIT memungkinkan kegiatan dan sumber daya teknologi informasi yang mendukung mereka agar dapat dikelola dan dikendalikan secara tepat berdasarkan tujuan pengendalian COBIT dan selaras serta diawasi menggunakan tujuan (goal) dan pengukuran (metric) COBIT.C. Ringkasnya. Inilah prinsip dasar dari kerangka COBIT (COBIT Framework). mengelola sumber daya teknologi informasi dan menyampaikan informasi sesuai dengan kebutuhan bisnis dan tata kelolanya. keseluruhan kerangka COBIT dapat ditunjukkan secara grafis di bawah ini. THE COBIT FRAMEWORK MODEL Kerangka COBIT mengikat kebutuhan bisnis untuk informasi dan tate kelola untuk tujuan fungsi layanan teknologi informasi. yang terdiri dari 34 proses generik.

dan memonitor kinerja . Pengambilan keputusan menjadi lebih efektif karena CoBiT membantu manajer dalam mendefinisikan strategi perencanaan IT. memastikan kelangsungan pelayanan. arsitektur informasi.-Overal COBIT Framework-- Manajer memperoleh manfaat dari CoBiT karena menyediakan dasar-dasar yang dibutuhkan dalam membuat keputusan mengenai IT dan investasi. kebutuhan hardware dan software untuk melaksanakan strategi IT.

Pengguna terakhir yang akan mendapatkan manfaat adalah auditor. Dalam domain ini juga menekankan kepada bagaimana bentuk organisasional dan infrastruktur IT akan digunakan dalam mencapai hasil yang optimal. karena membantu mereka dalam mengidentifikasi pengendalian IT yang berhubungan dengan infrastruktur IT. Tabel berikut berisikan tujuan pengendalian tingkat atas dari proses IT untuk Domain Perencanaan dan Organisasi ( PO) PO1 Define a Strategic IT Plan and direction (Mendefinisikan Rencana Strategis TI) Define the Information Architecture (mendefinisikan PO2 arsitektur informasi) Determine PO3 Technological Direction (menentukan petunjuk teknologis) Define the IT Processes. Kerangka CoBiT memungkinkan manajer melakukan benchmark terhadap keamanan dan praktik di lingkungan IT.sistem IT.1 Empat domain dalam COBIt terdiri atas : 1. dan memungkinkan auditor fokus pada pengendalian internal. keamanan. organisasi dan hubungan TI) PO4 PO5 PO6 Manage the IT Investment (mengelola investasi TI) Communicate Management Aims and Direction (mengkomunikasikan arah dan tujuan manajemen) PO7 PO8 Manage IT Human Resources (mengelola SDM TI) Manage Quality (Mengelola kualitas) . memungkinkan pengguna IT untuk lebih yakin terhadap keberadaan keamanan dan pengendalian. D. Pengguna IT juga akan mendapatkan manfaat berupa kepastian akan pengendalian. Organization and Relationships (mendefinisikan proses. Domain COBIT 4. Perencanaan dan Organisasi (Planning and Organization) Domain Perencanaan dan Organisasi meliputi penggunaan informasi dan teknologi dan seberapa bagus digunakan dalam perusahaan untuk membantu pencapaian tujuan dan sasaran perusahaan. dan proses tata kelola.

Peroleh dan Implementasi (Acquire and Implement) Domain ini meliputi proses identifikasi persyaratan IT. cara memperoleh teknologi. Domain ini juga menyebutkan mengenai pengembangan sebuah perencanaan pemeliharaan yang harus diadopsi oleh perusahaan dengan tujuan untuk memperpanjang siklus sistem IT dan komponennya. Penyampaian dan Dukungan (Delivery and Support) Domain ini berfokus pada aspek penyampaian dari IT.Assess and Manage IT Risks (menilai dan mengelola PO9 resiko TI) PO10 Manage Projects (mengelola proyek-proyek) 2. dan mengimplementasikannya ke dalam proses bisnis perusahaan pada saat ini. Tabel berikut berisikan tujuan pengendalian tingkat atas dari proses IT untuk Domain Peroleh dan Implemetasi Identify Automated Solutions (mengidentifikasi solusi AI1 otomatis) Acquire AI2 (memperoleh dan memelihara aplikasi perangkat lunak ) Acquire AI3 (memperoleh dan memelihara infrastruktur teknologi) AI4 AI5 AI6 AI7 Enable Operation and Use (memungkinkan operasi dan penggunaan) Procure IT Resources (mendapatkan sumberdaya TI) Manage Changes (Mengelola perubahan) Install and Accredit Solutions and Changes (Instalasi dan akreditasi solusi dan perubahan) and Maintain Technology Infrastructure and Maintain Application Software 3. sama seperti proses dukungan yang memungkinkan eksekusi yang efektif dan efisien dalam sistem IT . Domain ini meliputi beberapa area seperti eksekusi aplikasi dalam sistem IT dan hasilnya.

Pemantauan dan Evaluasi (Monitor and Evaluate) Domain Pemantauan dan evaluasi mengacu kepada strategi perusahaan dalam menilai kebutuhan perusahaan dan apakah dalam sistem IT yang sekarang memenuhi tujuan yang dibutuhkan untuk mendesain dan adanya pengendalian yang dibutuhkan dalam memenuhi peraturan yang berlaku. Define and Manage Service Levels (mendefinisikan dan DS1 mengelola level layanan) Manage Third-party Services (mengelola layanan pihak DS2 ketiga) Manage Performance and Capacity (mengelola kinerja dan DS3 kapasitas) Ensure DS4 berkesinambungan) DS5 DS6 mengalokasikan biaya) DS7 DS8 insiden) DS9 DS10 DS11 DS12 fisik) DS13 Manage Operations (mengelola operasi) Manage the Configuration (mengelola konfigurasi) Manage Problems (mengelola masalah) Manage Data (mengelola data) Manage the Physical Environment (mengelola lingkungan Educate and Train Users (Mendidik dan melatih pengguna) Manage Service Desk and Incidents (mengelola layanan dan Ensure Systems Security (menjamin keamanan sistem) Identify and Allocate Costs (mengidentifikasi dan Continuous Service (menjamin layanan 4. Tabel berikut merupakan tujuan pengendalian tingkat atas dari domain Penyampaian dan Dukungan. Pemantauan juga meliputi isu . Proses dukungan ini meliputi isu keamanan dan pelatihan.tersebut.

Monitor and Evaluate IT Processes ( mengawasi ME1 dan mengevaluasi proses TI) Monitor ME2 and Evaluate Internal Control (mengawasi dan mengevaluasi pengendalian internal) Ensure Compliance With External Requirements ME3 (menjamin eksternal) kepatuhan pada kebutuhan Provide IT Governance (menyediakan tata kelola ME4 TI) Berikut Diagram ke-4 domain dari COBIT 4.1 .penilaian yang independen dari efektifitas sistem IT dalam kemampuannya memenuhi tujuan bisnis dan proses pengendalian oleh auditor internal and external. Tabel berikut merupakan tujuan pengendalian tingkat atas dari domain ini.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->