Apa yang Anda ketahui mengenai COBIT (Control Ojective for Information and Related Technology)

Tata kelola TI memiliki berbagai kerangka kerja yang digunakan sebagai acuan atau best practice dalam penerapannya, diantaranya adalah Control Objectives for Information and related Technology (COBIT) dan Val-
IT. COBIT dirancang sebagai suatu alat bantu tata kelola TI bagi manajemen dalam memahami dan mengelola risiko dan manfaat yang berhubungan dengan informasi dan teknologi terkait (Sallé, 2004). COBIT menyediakan cara yang baik untuk tatakelola TI melalui domain, proses, sasaran, aktivitas, maturity model dan struktur yang logis dan manageable. Kerangka kerja ini membantu untuk mengoptimalkan investasi TI, menjamin service delivery dan menyediakan suatu ukuran untuk manajemen yang efektif (Krakar, 2008). Berdasarkan dokumen COBIT 4.1 (ITGI, 2006), COBIT merupakan satu set sumber daya yang menyeluruh yang berisi semua informasi yang dibutuhkan organisasi untuk mengadopsi kerangka kerja tata kelola TI dan control framework. COBIT mengakomodasi segala jenis risiko yang berhubungan dengan TI dan menawarkan solusi bagi semua tipe organisasi bisnis dan semua tipe platform yang ada.

Selain COBIT juga terdapat Val-IT yang menyediakan alat untuk mengukur, memonitor dan mengoptimasi secara jelas realisasi nilai bisnis dari investasi TI. Val IT bertujuan membantu manajemen untuk memastikan bahwa organisasi menyadari nilai optimal dari investasi bisnis yang dimungkinkan oleh TI dengan biaya yang terjangkau dan tingkat resiko yang diketahui dan dapat diterima. Val IT memungkinkan manager bisnis untuk mendapatkan nilai bisnis dari investasi TI dengan menyediakan suatu kerangka kerja tata kelola yang terdiri dari suatu set prinsip-prinsip panduan dan sejumlah proses yang selaras dengan prinsip-prinsip tersebut yang didefinisikan sebagai praktik kunci manajemen.

Val-IT fokus pada keputusan investasi (apakah melakukan hal yang benar) dan realisasi keuntungannya (apakah mendapatkan keuntungan), sedangkan COBIT fokus pada eksekusi (apakah dilakukan dengan cara yang benar dan sudah diselesaikan secara benar). Val-IT melengkapi COBIT dari perspektif bisnis dan finansial.


COBIT dikembangkan oleh organisasi non profit ISACA (Information System Audit and Control Association). Pada tahun 1998 didirikanlah ITGI (Information Technology Governance Institute) sebagai bagian dari ISACA. Fungsi dari ITGI adalah sebagai lembaga non-profit yang meriset standarstandar dalam mengarahkan dan mengendalikan teknolgi informasi serta menjadi sandaran bagi organisasi bisnis. COBIT yang paling aktual adalah COBIT versi 4.1 tahun 2007.

Kerangka kerja COBIT di atas menerapkan kerangka kerja tata kelola TI dari ITGI di bawah ini.

Area utama tata kelola TI yang dideskripsikan dalam COBIT meliputi hal-hal berikut (ITGI, 2006).

1. Keselarasan yang Strategis (Strategic Alignment)
   Untuk tata kelola TI keselarasan mencakup lebih dari integrasi strategi dari organisasi TI dengan organisasi bisnis tetapi juga berhubungan dengan operasi TI dengan operasi organisasi yang sekarang dan kemampuan untuk membangun kapabilitas yang cukup untuk mengantarkan nilai bisnis. Proses keselarasan yang terkait:
   - Rencana strategi bisnis
   - Rencana strategi TI
   - Rencana operasi TI
   - Analisa stakeholder: risiko, kinerja dan layanan
2. Realisasi Manfaat (Value Delivery)
   Prinsip dasar dari pembuatan nilai TI adalah menyampaikan tepat waktu, tetap pada anggaran belanja semula, menghasilkan manfaat yang diidentifikasikan dan dijanjikan. Nilai dari yang dikirimkam TI harus selaras dengan nilai yang difokuskan bisnis, dan dapat diukur dengan cara yang transparan sehingga dapat memperlihatkan pengaruh dan kontribusi investasi TI pada nilai yang dihasilkan proses organisasi
3. Manajemen Risiko (Risk Management)
   Manajemen risiko mencakup nilai proses pemeliharaan. Merupakan kebutuhan pengawasan internal dan kebutuhan untuk mempertunjukkan tata kelola organisasi yang didengungkan ke shareholder, customer, stakeholder lainnya merupakan pendorong yang meningkatkan kegiatan manajemen risiko di organisasi. Manajemen risiko seharusnya merupakan proses yang berkelanjutan dimulai dari identifikasi risiko (yang berpengaruh pada asset, ancaman dan kelemahan). Jika sudah diidentifikasi, risiko harus dikurangi dengan pengawasan dan sisa risiko yang harus diterima secara resmi.
4. Manajemen Sumber Daya (Resource Management)
   Manajemen sumber daya adalah tentang membentuk dan penyebaran kapabilitas TI yang benar untuk kebutuhan bisnis. Untuk memastikan ketersediaan TI yang terintegrasi dan ekonomis, dimana teknologi baru dikenalkan dengan bijaksana, dan sistem yang using diperbaharui atau diganti. Menghargai pentingnya manusia ditambah perangkat keras dan perangkat lunak, focus dengan adanya peningkatan ketersediaan, adanya pelatihan, kemajuan penyimpanan dan memastikan kompetensi SDM TI
5. Pengukuran Kinerja (Performance Measurement)
   Lingkup pengukuran kinerja menutupi daur hidup fase yang sebelumnya dan menyediakan masukan untuk keselarasan lingkup, dengan memberikan bukti bahwa inisiatif TI dapat ditelusuri dan menciptakan kesempatan untuk mengadakan pengukuran dan perbaikan teratur. COBIT terdiri atas berbagai komponen yang terkait satu sama lain, menyediakan dukungan untuk tata kelola, manajemen, pengendalian dan jaminan kebutuhan dari berbagai audiences yang berbeda. Gambar di bawah ini menunjukkan kapan dan bagaimana komponen-komponen dari COBIT saling berhubungan dan digunakan untuk menjalankan tata kelola TI.

Dari gambar di atas dapat dideskripsikan bahwa untuk mencapai sasaran bisnisnya, organisasi membutuhkan proses-proses TI (IT processes) yang sesuai dengan sasaran TI (IT goals) untuk menyediakan informasi yang dibutuhkan. Proses-proses TI tersebut kemudian dijabarkan dalam aktivitas-aktivitas kunci (key activites) yang dilaksanakan oleh pihak-pihak yang ditentukan tanggung jawabnya masing-masing dalam responsibility and accoountibility chart. Proses TI tersebut kemudian diukur pencapaian performanya dengan menggunakan indikator performa (performance indicator), pencapaian hasilnya dengan ukuran hasil (outcome measures), dan maturitasnya dengan maturity models. Untuk menghindari kejadian-kejadian yang dapat menghalangi pencapaian sasaran TI tersebut maka proses TI dikontrol dengan tujuan pengendalian (control objectives) yang diimplementasikan dalam praktik-praktik pengendalian (control practices). Proses TI diaudit dengan control outcome test untuk memastikan kesesuaiannya dengan sasaran TI sedangkan tujuan pengendalian diaudit dengan control design test berdasarkan control practices.

COBIT mendefinisikan 4 wilayah pada TI yang disebut IT Domain. Keempat area tersebut meliputi:

1. Plan and Organize (PO)
   Meliputi strategi dan taktik, dan fokus pada identifikasi cara terbaik bagaimana IT dapat berkontribusi untuk mencapai tujuan bisnis.
2. Acquisition and Implementation (AI)
   Domain ini meliputi akuisisi, implementasi, dan pemeliharaan dari system yang mendukung proses bisnis.
3. Delivery and Support (DS)
   Domain ini meliputi service delivery yang aktual bagi bisnis. Termasuk managemen data dan proteksi informasi yang berhubungan dengan proses.
4. Monitoring and Evaluation (ME)
   Domain ini terdiri dari pandangan manajemen tentang pengendalian proses-proses, dari lembaga monitoring independen yang berasal dari dalam dan luar organisasi atau lembaga alternatif  lainnya.

COBIT mendefinisikan 34 proses utama dalam wilayah teknologi informasi, 318 control objectives secara detail, dan 1547 control practices. Control objectives memberikan seperangkat kebutuhan yang harus disadari oleh manajemen untuk pengendalian yang efektif dari masing-masing proses utama namun tidak terlalu detail. Sedangkan control practices menyediakan petunjuk (guidance) mengenai mengapa control bernilai untuk diimplementasikan dan bagaimana mengimplementasikannya. Dokumen COBIT Control Practices menyediakan guidance yang lebih detail yang dibutuhkan oleh manajemen, service provider, pengguna dan professional dan membantu mereka dengan penyesuaian dan perancangan control yang specific sesuai kebutuhan.

COBIT Control Practice memiliki elemen-elemen sebagai berikut. (ITGI, 2003).

• Value and risk statements – menyediakan petunjuk yang menjelaskan manfaat dari implementasi control objective. Value statement memberikan contoh keuntungan bagi bisnis yang bisa diperoleh dari pencapaian control objective, sementara risk statements memberikan contoh risiko-risiko yang bisa dicegah.
• Control practices – menyediakan kegiatan untuk pengendalian proses, aplikasi dan untuk control objectives yang spesifik pada masingmasing proses TI.

Untuk merespon kebutuhan bisnis akan TI, organisasi perlu investasi pada sumber daya yang dibutuhkan untuk menciptakan kemampuan teknis yang sesuai yang memberikan hasil yang diharapkan. Dari gambar di atas dapat dilihat sumber daya TI yang didefinisikan di dalam COBIT adalah sebagai berikut.

• Aplikasi (appliacations), yaitu sistem pengguna yang terotomasi dan prosedur manual yang memproses informasi
• Informasi (information), yaitu data, dalam segala bentuk, yang dimasukkan, diproses, dan dikeluarkan oleh sistem informasi yang digunakan oleh bisnis
• Infrastuktur (infrastructure), yaitu teknologi dan fasilitas (seperti hardware, sistem operasi, database management system, jaringan, multimedia, dan lingkungan atau tempat yang mendukungnya) yang memungkinkan aplikasi-aplikasi dijalankan
• Staf (people), yaitu personil yang dibutuhkan untuk merencanakan, mengorganisir, menyediakan, mengimplementasikan, mendukung, memonitor dan mengevaluasi sistem informasi dan layanan.