COBIT
Control Objectives for Information and Related Technology
Latar Belakang dan Sejarah Singkat COBIT
(Isaca, p76) COBIT edisi keempat adalah merupakan versi terakhir dari tujuan pengendalianuntuk informasi dan teknologi terkait, release pertama diluncurkan oleh yayasan ISACF padatahun 1996. COBIT edisi kedua, merefleksikan suatu peningkatan sejumlah dokumensumber, revisi pada tingkat tinggi dan tujuan pengendalian rinci dan tambahan seperangkatalat implementasi
(implementation tool set), yang telah dipublikasikan pada tahun 1998.COBIT pada edisi ke tiga ditandai dengan masuknya penerbit utama baru COBIT yaituInstitut IT Governance. Institut IT Governance dibentuk oleh ISACA dan yayasan terkaitpada tahun 1998 dan memberikan pemahaman lebih dan mengadopsi prinsip-prinsippengaturan TI. Melalui penambahan pedoman manajemen management guidelines untuk COBIT edisi ketiga dan fokusnya diperluas dan ditingkatkan pada
IT Governance.
Institut ITGovernance mengambil peranan yang penting dalam pengembangan publikasi. COBIT padaumumnya didasarkan pada tujuan pengendalian
Control Objectives
ISACF dan telahditingkatkan dengan teknik internasional yang ada, professional, pengaturan, dan standarkhusus industri. Hasil tujuan pengendalian telah dikembangkan untuk aplikasi sistem
informasi yang luas pada organisasi. Istilah “pada umumnya dapat diterima dan diterapkan”
secara eksplisit digunakan dalam pengertian yang sama dengan prinsip
Generally Accepted Accounting Principles
(GAAP). Komponen COBIT terdiri dari
Executive Summary,Framework, Control Objectives, Audit Guidelines, Implemenation Tool Set, Management Guidelines.
profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangunchapter yang dapat mengelola paraprofesionaltersebut.Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagailatar belakang dan para profesional external assurance. Secara manajerial target penggunaCOBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional.Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasimanapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT seringdigunakan dalam standar sertifikasi Certified Public Accountants (CPAs) dan CharteredAccountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70 ServiceOrganisations review, Systrust certification or Sarbanes-Oxley compliance.Sertifikasi non COBIT yang merupakan pengakuan profesional auditor IT diterbitkanolehISACA, sebagai afiliasi ITGI yaitu Certified Information Systems Auditor (CISA®)danCertified Information Security Manager® (CISM®).
Misi dan Visi COBIT
COBIT memiliki misi melakukan riset, mengembangkan, mempublikasikan, danmempromosikan makalah-makalah, serta mengupdate tatanan atau ketentuan TI controlsobjective yang dapat diterima umum generally accepted control objectives berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control objectives
dapat berjalan mudah. Tatanan atau ketentuan tersebutselanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankanprofesinya.Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya modelpengurusan dan pengendalian teknologi informasi
Information Technology Governance
Kerangka Kerja COBIT
(Calder, p147) Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggidan struktur klasifikasi keseluruhan. Terdapat tiga tingkat level usaha pengaturan TIyang menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dantugas activities and tasks yang diperlukan untuk mencapai hasil yang dapat diukur.Dalam Aktivitas terdapat konsep siklus hidup yang di dalamnya terdapat kebutuhanpengendalian khusus. Kemudian satu lapis di atasnya terdapat proses yang merupakangabungan dari kegiatan dan tugas activities and tasks dengan keuntungan atau perubahan (pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanyadikelompokan bersama kedalam domain. Pengelompokan ini sering disebut sebagaitanggung jawab domain dalam struktur organisasi dan yang sejalan dengan siklusmanajemen atau siklus hidup yang dapat diterapkan pada proses TI.Kerangka kerja COBIT merupakan kumpulan praktek-praktek terbaik (best practices)dan bersifat generik, digunakan sebagai acuan dalam menentukan sasaran kendali(control objectives) dan proses-proses TI yang diperlukan dalam pengelolaan TI.Konsep dasar dari kerangka kerja COBIT adalah bahwa kendali untuk TI didekatidengan melihat informasi yang dibutuhkan untuk mendukung sasaran dan kebutuhanproses bisnis, dan melihat informasi sebagai hasil perpaduan dari berbagaipenggunaan sumber daya TI yang harus di kelola melalui proses TI. Untuk memastikan terpenuhinya kebutuhan proses bisnis akan informasi, maka kendali yangtepat untuk pengukuran harus dide_nisikan, diimplementasikan dan dipantau keseluruh sumber daya-sumber daya tersebut.Kerangka kerja COBIT terdiri dari 3 level control objectives, dimulai dari level yang palingbawah yaitu activities. Activities merupakan kegiatan rutin yang memiliki konsep siklushidup. Selanjutnya kumpulan activities dikelompokkan ke dalam proses TI (processes),kemudian proses-proses TI yang memiliki permasalahan yang sama dikelompokkan ke dalamdomain (domains).konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu (1) kriteriainformasi
(information criteria)
,(2) sumberdaya TI
(IT resources)
,(3) proses TI
(IT processes).
Gambar 2.6 Kubus COBIT
Dalam kerangka kerja sebelumnya, domain diidentifikasikan dengan memakai susunanmanajemen yang akan digunakan dalam kegiatan harian organisasi. Kemudian empat domainyang lebih luas diidentifikasikan, yaitu PO, AI, DS, dan M. Definisi keempat domaintersebut, dimasukan dalam klasifikasi tingkat tinggi sebagai berikut :(a) PO, domain ini mencakup level strategis dan taktis, dan konsennya pada identifikasi caraTI yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis.(b) AI
untuk merealisasikan strategi TI, solusi TI yang perlu diidentifikasikan,dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam prosesbisnis.(c) DS, domain ini menyangkut penyampaian aktual dari layanan yang diperlukan, denganmenyusun operasi tradisional terhadap keamanan dan aspek kontinuitas sampai padapelatihan, domain ini termasuk proses data aktual melalui sistem aplikasi, yang seringdiklasifikasikan dalam pengendalian aplikasi.(d) M, semua proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitas danpemenuhan kebutuhan pengendalian. Domain ini mengarahkan kesalahan manajemen padaproses pengendalian organisasi dan penjaminan independen yang disediakan oleh auditinternal dan eksternal atau diperolah dari sumber alternatif.
