Latar Belakang dan Sejarah Singkat COBIT
(Isaca, p76) COBIT edisi keempat merupakan versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait, release pertama diluncurkan oleh yayasan ISACF pada tahun 1996. COBIT edisi kedua, merefleksikan suatu peningkatan sejumlah dokumen sumber, revisi pada tingkat tinggi dan tujuan pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set), yang telah dipublikasikan pada tahun 1998. COBIT pada edisi ke tiga ditandai dengan masuknya penerbit utama baru COBIT yaitu Institut IT Governance.
Institut IT Governance dibentuk oleh ISACA dan yayasan terkait pada tahun 1998 dan memberikan pemahaman lebih dan mengadopsi prinsip-prinsip pengaturan TI. Melalui penambahan pedoman manajemen (management guidelines) untuk COBIT edisi ketiga dan fokusnya diperluas dan ditingkatkan pada IT Governance. Institut IT Governance mengambil peranan yang penting dalam pengembangan publikasi.
COBIT pada umumnya didasarkan pada tujuan pengendalian (Control Objectives) ISACF dan telah ditingkatkan dengan teknik internasional yang ada, professional, pengaturan, dan standar khusus industri. Hasil tujuan pengendalian telah dikembangkan untuk aplikasi sistem informasi yang luas pada organisasi. Istilah “pada umumnya dapat diterima dan diterapkan” secara eksplisit digunakan dalam pengertian yang sama dengan prinsip Generally Accepted Accounting Principles (GAAP).
Pengertian COBIT
(weber, p57) COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance.
COBIT pertama sekali diperkenalkan pada tahun 1996, merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool).
COBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian dan keamanan.
COBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen COBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT.
Alat-alat tersebut yaitu :
1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI)
2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari tiap proses TI
3. Model maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan .
Komponen COBIT terdiri dari Executive Summary, Framework, Control Objectives, Audit Guidelines, Implemenation Tool Set, Management Guidelines
COBIT memiliki misi melakukan riset, mengembangkan, mempublikasikan, dan mempromosikan makalah-makalah, serta meng-update tatanan atau ketentuan TI controls objective yang dapat diterima umum (generally accepted control objectives) berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya.
Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi informasi (Information Technology Governance).
Kerangka Kerja COBIT
(Calder, p147) Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas (activities and tasks) yang diperlukan untuk mencapai hasil yang dapat diukur.Dalam Aktivitas terdapat konsep siklus hidup yang di dalamnya terdapat kebutuhan pengendalian khusus. Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas (activities and tasks) dengan keuntungan atau perubahan (pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya dikelompokan bersama kedalam domain.
Pengelompokan ini sering disebut sebagai tanggung jawab domain dalam struktur organisasi dan yang sejalan dengan siklus manajemen atau siklus hidup yang dapat diterapkan pada proses TI.
Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu (1) kriteria informasi (information criteria), (2) sumberdaya TI (IT resources), dan (3) proses TI (IT processes).
Dalam kerangka kerja sebelumnya, domain diidentifikasikan dengan memakai susunan manajemen yang akan digunakan dalam kegiatan harian organisasi. Kemudian empat domain yang lebih luas diidentifikasikan, yaitu PO, AI, DS, dan M.
Definisi keempat domain tersebut, dimasukan dalam klasifikasi tingkat tinggi sebagai berikut :
(a) PO, domain ini mencakup level strategis dan taktis, dan konsennya pada identifikasi cara TI yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis.
(b) AI, untuk merealisasikan strategi TI, solusi TI yang perlu diidentifikasikan, dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam proses bisnis.
(c) DS, domain ini menyangkut penyampaian aktual dari layanan yang diperlukan, dengan menyusun operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada pelatihan, domain ini termasuk proses data aktual melalui sistem aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi.
(d) M, semua proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitas dan pemenuhan kebutuhan pengendalian. Domain ini mengarahkan kesalahan manajemen pada proses pengendalian organisasi dan penjaminan independen yang disediakan oleh audit internal dan eksternal atau diperolah dari sumber alternatif.
Proses-proses TI ini dapat diterapkan pada tingkatan yang berbeda dalam organisasi, misalnya tingkat perusahaan, tingkat fungsi dan lain-lain.
Jelas bahwa semua ukuran pengendalian perlu memenuhi kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama.
a) Pertama adalah tingkat tujuan pengendalian yang diterapkan secara langsung mempengaruhi kriteria informasi terkait.
b) Kedua adalah tingkat tujuan pengendalian yang ditetapkan hanya memenuhi tujuan pengendalian atau secara tidak langsung kriteria informasi terkait.
c) Blank dapat diterapkan namun kebutuhannya lebih memenuhi kriteria lain dalam proses ini atau yang lainnya.
Agar organisasi mencapai tujuannya, pengaturan TI harus dilaksanakan oleh organisasi untuk menjamin sumberdaya TI yang dijalankan oleh seperangkat proses TI.
Tidak ada komentar:
Posting Komentar