Embed Size (px)
Citation preview
IT GOVERNANCE DENGAN COBIT FRAMEWORK
Gusrian Dellisia Abiyoso Univ. Bina Nusantara
ABSTRAKPenerapan IT (Informasi Teknologi) pada perusahaan tentunya sudah menjadi hal
yang sudah menjadi hal yang sangat umum. Penggunaan IT pada perusahaan tentunya membawa banyak manfaat bagi perusahaan, contohnya seperti: meningkatkan performa bisni, meningkatkan ROI, meminimalisasi biaya dan waktu pemasaran, dan meminimalisasi resiko dalam bisnis yang dinamis. Namun penerapan IT pada perusahaan yang bertujuan untuk meningkatkan profit dari perusahaan bisa dapat berdampak sebaliknya bila Tata Kelola IT tersebut buruk. Untuk itulah dibutuhkan IT Governance dimana penggunaan dan penerapan IT pada perusahaan dapat bekerja secara optimal. IT Governance sendiri mempunyai banyak Tools (Alat) dan salah-satunya adalah COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) framework. Dengan adanya COBIT framework ini perusahaan dapat memanfaatkan IT dengan optimal dan sesuai dengan hasil yang diharapkan. COBIT juga diharapkan mendukung kebutuhan manajemen dalam menentukan dan monitoring tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka. Dengan begitu perusahaan akan merasa bahwa investasi IT-nya membawa keuntungan maksimal bagi proses bisnis mereka.
Kata Kunci: IT governance, COBIT
PENDAHULUANBeberapa hasil lokakarya dan diskusi mengisyaratkan betapa pentingnya
perubahan sistem ini sebagai pendukung pembelajaran dan komunikasi ilmiah menuju sebuah organisasi riset bertaraf internasional. Perubahan tersebut di satu sisi membawa dampak positif sebagai peluang bagi sebuah universitas untuk berkompetetif. Namun di sisi lain, satu hal yang perlu disadari adalah usaha menerapkan teknologi informasi semaksimal mungkin berarti harus mengubah pola pikir staf dan para perusahaan yang biasanya punya rasa khawatiran yang cukup signifikan terhadap dampak perubahan tersebut. Mengubah pola pikir merupakan hal yang teramat sulit dilakukan, karena pada dasarnya “people do not like to change”. Kalau saat ini seorang kepala perusahaan dan/atau para pengambil keputusan sudah memiliki komitmen khusus untuk merencanakan pengembangan sistem informasi perusahaan terintegrasi, bagaimana dengan para staf dan pegawainya? Karena penerapan teknologi informasi (TI) ini memerlukan biaya yang cukup besar dan disertai resiko kegagalan yang tidak kecil, maka TI harus dikelola selayaknya aset perpustakaan lainnya. Penerapan TI di perusahaan akan dapat dilakukan dengan baik apabila ditunjang dengan suatu pengelolaan TI (IT Governance) dari mulai
- 1 -
perencanaan sampai implementasinya, dan pengelolaan TI yang akan diterapkan harus mengacu pada standar yang sudah mendapatkan pengakuan secara luas.
Identifikasi MasalahTata Kelola TI yang diharapkan mendapat dukungan dari stakeholder,
memberikan pengembangan dan implementasi sistem on budget, on schedule dengan kualitas yang tinggi, meningkatkan efisiensi, produktivitas dan efetktivitas, serta menjamin kerahasiaan, kelengkapan, dan ketersedian informasi. Namun Tata Kelola TI dapat memiliki beberapa masalah yaitu dimana TI hanya menjadi concern dari terhadap tim teknikal karena tidak memperoleh perhatian dari pimpinan puncak, kerugian financial, rusaknya reputasi Proyek overbudget/overtime/underspec, penurunan efektivitas karena buruknya kualitas output system TI, dan buruknya kualitas support yang digejalai oleh system yang tidak terintegrasi, pulau-pulau aplikasi, buruknya kualitas system, tingginya keluhan user mengenai kinerja system TI, rendahnya kepedulian terhadap aspek kerahasisaan informasi, rendahnya tingkat ketersediaan informasi, tidak adanya kebijakan dan prosedur tata kelola IT secara utuh.
Ruang LingkupRuang lingkup IT governance dengan COBIT luas merupakan kombinasi dari
prinsip-prinsip yang telah ditanamkan dan dikenal sebagai acuan model (seperti: COSO), dan disejajarkan dengan IT balanced scorecard secara komplitnya paket produk cobit terdiri dari cobit produk family, yaitu: executive summary, framework, control objectives, audit guidelines, implementation tool set, serta management guidelines, yang sangat berguna atau dibutuhkan oleh auditor, para IT users, dan para manajer. Kontrol internal mencakup policy, struktur organisasi, praktek dan prosedur yang menjadi tanggung jawab manajemen perusahaan.
Adapun ruang lingkup dalam penulisan IT governance dengan COBIT ini adalah: Membantu menganalisis dan menjaga profitablitas pada lingkungan perubahan teknologi yang bergantung pada seberapa baik pengaturan control yang dilakukan serta bias digambarkan sebagai kebijakan kendali TI secara jelas, bersih dan praktek yang baik.
Tujuan dan ManfaatDalam kerangka corporate governance, IT governance menjadi semakin
utama dan merupakan bagian tidak terpisahkan terhadap kesuksesan penerapan corporate governance secara menyeluruh. IT governance memastikan adanya pengukuran yang efisien dan efektif terhadap peningkatan proses bisnis perusahaan melalui struktur yang menautkan proses-proses TI, sumberdaya TI dan informasi ke arah dan tujuan strtegis perusahaan. Lebih jauh lagi, IT governance memadukan dan melembagakan best practices dari porses perencanaan, pengelolaan, penerapan, pelaksanaan dan pendukung, serta pengawasan kinerja TI, untuk memastikan informasi perusahaan dan teknologi yang terkait lainnya benar-benar menjadi pendukung bagi pencapaian sasaran perusahaan.. dengan keterpaduan tersebut, diharapkan perusahaan mampu mendayagunakan informasi yang dimilikinya
- 2 -
sehingga dapat mengoptimumkan segala sumberdaya dan proses bisnis mereka untuk menjadi lebih kompetitif.
Dengan adanya IT governance, proses binis perusahaan akan menjadi jauh lebih transparan, tanggung jawab serta akuntabilitas tiap fungsi atau individu semakin jelas. IT givernance bukan hanya penting bagi teknis TI saja, direksi dan bahkan komisaris, yang tanggung jawab terhadap investasi dan pengelolaan resiko perusahaan, adalah pihak utama yang harus memastikan bahwa perusahaannya memiliki TI governance. Dengan demikian keuntungan optimum investasi TI tercapai dan sekaligus memastikan semua potensi resiko investasi TI telah di antisipasi dan dapat terkendali dengan baik.
Menurut cobit, keputusan bisnis yang baik harus didasarkan pada knowledge yang berasal dari informasi yang relevan, komprehensif, dan tepat waktu. Informasi seperti itu dihasilkan oleh sistem informasi yang memenuhi 7 kriteria: efektivitas, efesiensi, kerahasiaan, keterpaduan, kesediaan, kepatuhan terhadap rencana atau aturan, dan keakuratan informasi yang dihasilkan. Kunci utama untuk mengelola bisnis secara menguntungkan pada kondisi lingkungan yang berubah pesat. Adapun tujuan dari COBIT ini sendiri adalah :
Diharapkan dapat membantu menemukan berbagai kebutuhan manajemen yang berkaitan dengan TI.
Agar dapat mengoptimalkan investasi TI Menyediakan ukuran atau kriteria ketika terjadi penyelewengan atau
penyimpangan.Adapun manfaat jika tujuan tersebut tercapai adalah :
Dapat membantu manajemen dalam pengambilan keputusan. Dapat mendukung pencapian tujuan bisnis. Dapat meminimalisasikan adanya tindak kecurangan/ fraud yang
merugikan perusahaan yang bersangkutan.
LANDASAN TEORI
Pengertian IT governanceMenurut Tarigan (2006, p25) IT governance diartikan sebagai struktur dari
hubungan dan proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil menyeimbangkan risiko dibandingkan dengan hasil yang diberikan oleh teknologi informasi dan prosesnya.
IT governance merupakan satu kesatuan dengan sukses dari enterprise governance melalui pen-ingkatan dalam efektivitas dan efisiensi dalam proses perusahaan yang berhubungan. IT governance menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasi bagi strategi dan tujuan perusahaan. Lebih jauh lagi IT governance menggabungkan good (best) practice dari perencanaan dan pengorganisasian TI, pembangunan dan pengimplemantasian, delivery dan support, serta memonitor kinerja TI untuk memastikan kalau informasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnis perusahaan. IT
- 3 -
governance memungkinkan perusahaan untuk memperoleh keuntungan penuh dari informasinya, dengan memaksimalkan keuntungan dari peluang dan keuntungan kompetitif yang dimiliki.
Pengertian COBITMenurut Gondodiyoto (2003, p15). Cobit adalah sekumpulan dokumentasi
best practices untuk IT governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan control dan masalah-masalah teknis IT. COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam mengindetifikasi IT control issues. COBIT berguna bagi para IT users karena memperoleh keyakinan atas kehandalan system aplikasi yang di pergunakan. Sedangkan para manager memperoleh manfaat dalam keputusan investasi di bidang IT serta infrastrukturnya, mentusun strategi IT plan, menentukan information architecture, dan keputusan atas procurement/ mesin. Disamping itu, dengan keterandalan sistem informasi yang ada pada perusahaan diharapkan berbagai keputusan bisnis dapat didasarkan atas informasi yang ada.
Menurut Robert (2008, p30) Control Objectives for Information and related Technology (COBIT) adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol serta permasalahan-permasalahan teknis.
PEMBAHASAN
IT GovernanceKesadaran IT Governance di Amerika meningkat setelah kasus skandal
keuangan yang terjadi di Amerika sehingga keluarlah the Sarbanes-Oxley Act di tahun 2002 untuk mengembalikan stakeholder confidence. Hal ini terbukti dengan meningkatnya belanja TI dengan pertumbuhan 5% atau US$916 milyar ditahun 2004 (IDC, 2005). Sarbanes-Oxley Act mewajibkan eksekutif perusahaan menyatakan pertanggung-jawaban mereka dalam membangun, mengevaluasi dan memonitor efektifitas system pengendalian intern dimana fungsi TI sangat signifikan untuk mencapai tujuan ini.
Dalam membangun sistem pengendalian intern yang dapat diandalkan, sangat berkaitan dengan IT Governance yaitu pemilihan dan pengembangan TI yang memadai. Melihat kasus fraud yang terjadi pada bank-bank di negara kita, cenderung disebabkan karena lemahnya pemilihan dan pengembangan TI sehingga menghasilkan Sistem Informasi (SI) yang tidak handal. Lemahnya Sistem Informasi (SI) tidak memungkinkan terjadinya deteksi dini (warning sign) atas kecurangan kecil yang mulanya dilakukan secara coba-coba. Kecurangan kecil meningkat menjadi kecurangan besar karena pelaku mempunyai kesempatan dan mengetahui kelemahan system pengendalian intern yang ada dalam organisasi, disamping faktor keserakahan. Fokus Area dari IT Governance adalah
- 4 -
pelurusan strategis: berfokus pada memastikan pertalian IT dan perencanaan bisnis; Pada penjelasan, memelihara dan mensahkan proposisi nilai IT; dan pada membariskan operasi IT dengan operasi perusahaan.
Value Delivery : Adalah tentang melaksanakan proposi nilai seluruh siklus pengiriman, memastikan bahwa IT menghasilkan manfaat yang dijanjikan terhadap strategi itu. Berkonsentrasi pada optimizing biaya dan membuktikan nilai yang intrinsik tentangnya
Manajemen sumber daya: Adalah tentang investasi yang optimal dalam manajemen yang sesuai, sumber daya IT kritis: aplikasi, informasi, orang dan infrastruktur. Hal-Hal penting berhubungan dengan optimisasi infrastruktur dan pengetahuan.
Manajemen resiko: Memerlukan kesadaran resiko oleh pegawai perseroan/perusahaan senior, suatu pemahaman yang jelas bersih (menyangkut) perusahaan, dan menempelkan manajemen resiko tanggung-jawab di dalam organisasi
Pengukuran pekerjaan: Taksiran dan implementasi strategi monitor, penyelesaian proyek, sumber daya pemakaian, jasa;layanan dan capaian proses mengirimkan, menggunakan, sebagai contoh, kartu catatan seimbang yang menterjemahkan strategi ke dalam tindakan untuk mencapai gol yang bisa mengukur di luar akuntansi konvensionalDalam hal ini dapat disimpulkan dalam tatakelola yang baik, paranan IT
Governance (tatakelola TI) merupakan hal yang sangat penting, dalam konteks organisasi bisnis yang berkembang kebutuhan akan TI bukan merupakan barang yang langka. COBIT (control objective for information and related technology) dapat digunakan sebagai tools yang digunakan untuk mengefektifkan implementasi IT Governance, yakni sebagai management guideline dengan menerapkan seluruh domain yang terdapat dalam COBIT, yakni planning organization (PO), acquisition-implementation (AI), Delivery-support (DS) dan Monitoring (M)
Sorotan terhadap pengadaan barang IT terhadap organisasi meningkat akhir-akhir ini. Sebenarnya apa yang terjadi dari permasalahan tersebut? Memang, penggunaan teknologi informasi (selanjutnya disebut IT) di berbagai industri jasa tidak dapat dihindarkan dan telah mengubah sifat dari penyampaian jasa, yang memaksa pegawai dan pelanggan untuk lebih berinteraksi dengan teknologi yang dapat menghemat waktu, ruang dan jarak tempuh atas data dan informasi dalam penyampaian servis yang dapat memuaskan nasabah pelanggan.
Industri perbankan jelas sangat terimbas dengan perkembangan IT, yang berdampak pada tingkat persaingan ketat untuk memperebutkan nasabah. Tuntutan untuk menyediakan jasa keuangan yang universal menjadi tidak terhindarkan (traditional banking, e-banking, mobile banking, phone banking, wire transfrer, priority banking; securitization; insurance; investment banking; dan seterusnya). Tidak ada lagi batas antara pasar keuangan antar negara (borderless).
Sayangnya, kesadaran atas pemilihan dan pengembangan IT yang handal di masa lalu, lambat disadari oleh para bankir kita. Para bankir tidak mempunyai visi atau misi ke depan yang berkaitan dengan pemilihan dan pengembangan IT.
- 5 -
Kesadaran IT Governance baru terasa ketika persaingan makin menggila dimana belanja barang IT telah menjadi luar biasa mahal paska krisis ekonomi 1997.
Bank yang menyadari pentingnya IT Governance dapat memetik "buah" dari investasi dan pengorbaan yang telah mereka lakukan. Sebaliknya, bank yang terlambat terlihat terengah-engah dan menjadi kalah bersaing.
Kegagalan pengembangan IT dapat meningkatkan keluhan dan tututan nasabah serta tingginya risiko operasional misalnya a.l. perbedaan angka laporan, kesulitan mengadopsi prinsip akuntansi yang berlaku, kesulitan untuk melakukan rekonsiliasi antar rekening sehingga menimbulkan pos terbuka dalam jumlah besar akibat tidak memadainya data dan informasi yang dihasilkannya atau sistem informasi manajemen (MIS). Hal tersebut berkaitan dengan kelemahan sistem pengendalian intern sehingga terjadi kesempatan bagi pegawai untuk melakukan fraud (windows of the opportunities). Akibatnya reputasi bank melorot, padahal unsur kepercayaan sangat penting bagi industri perbankan.
Ketidak-mampuan bank untuk memuaskan nasabah membuatnya pindah ke bank lain dan mengakibatkan bank kehilangan kesempatan memperoleh keuntungan. Karena nasabah dapat menggunakan berbagai jasa bank misalnya deposan dan atau giran sekaligus debitur.
Kesadaran pemilihan dan pengembangan IT terletak pada top management karena mereka penentu strategi bisnis. Hal ini melibatkan pengadaan IT yang relatif mahal yang seringkali tidak sesuai dengan kaidah good corporate governance. Bukan rahasia lagi kalau korupsi sudah membudaya sehingga mark-up pembelian atau membeli barang yang bermutu rendah dengan harga mahal menjadi praktek biasa dengan komisi masuk kantung pribadi. Barang IT lalu menjadi beban perusahaan yang dapat menimbulkan IT Failure lalu menimbulkan frustasi dan tingginya tingkat risiko operasional dan risiko reputasi.
Organisasi yang mengedepankan governance akan memilih perangkat IT yang berkualitas sehingga menghasilkan sistem informasi manajemen (MIS) yang handal dan mendukung pengembangan bisnisnya. Sebagaimana disampaikan Damianides (Information Systems Management, 2005): "The prominent role of IT in creating business value has accelerated the establishment of the concept of IT Governance as a high priority for boards of directors and executive management. IT Governance practices need to focus on ensuring that the expectations of IT are met. An effective IT Governance program will help organizations understand the issues and ensure that IT can sustain operations, and help enable companies to use IT for competitive advantage.".
Dengan kata lain, memang IT Governance awalnya berada di tangan direksi, komisaris atau pemilik yang mau tahu perubahan/percepatan IT dan mempunyai komitmen dalam pemilihan/pengembangan IT sehingga peran Chief Information Officer (CIO) saat ini menjadi penting karena membantu manajemen untuk melihat apa yang dibutuhkan organisasi agar dapat menyesuaikan dengan kebutuhan/tuntutan pasar (competitive advantage).
Peran pegawai juga penting, apakah mereka mau menyesuaikan dengan "perubahan" yang berkaitan perkembangan IT sehingga diperlukan sikap inovatif, ketekunan dan keinginan untuk belajar. Perubahan IT dapat menyebabkan perubahan
- 6 -
prosedur kerja yang dapat menimbulkan frustrasi. Jim Collins dalam buku best sellernya Good to Great mengatakan teknologi memang dapat mempercepat transformasi tetapi teknologi tidak dapat menyebabkan tranformasi itu sendiri. Karenanya, IT Governance juga berkaitan dengan pengembangan SDM yang berkualitas.
IT Governance vs Internal ControlDalam membangun sistem pengendalian intern yang dapat diandalkan (sebagai salah satu sarana pencegahan fraud) sangat berkaitan dengan IT Governance yaitu pemilihan dan pengembangan IT yang memadai. Tidak mengherankan apabila kasus fraud pada bank-bank di negara kita, terjadi karena lemahnya pemilihan dan pengembangan IT sehingga menghasilkan MIS yang tidak handal. Lemahnya MIS tidak memungkinkan "deteksi dini" atas kecurangan kecil yang mulanya dilakukan secara coba-coba. Kecurangan kecil meningkat menjadi kecurangan besar karena si pelaku mempunyai "kesempatan" dan mengetahui kelemahan pengawasan yang ada di organisasinya, disamping faktor "keserakahan". Mungkin saja, kalau pelaku bermain kecil-kecilan, kasus tersebut tidak sampai tercium dan terbongkar. Namun demikian, untuk urusan fraud, bukan masalah besar kecilnya. Intinya fraud adalah sesuatu yang merusak dan merugikan kelangsungan perusahaan dan tatanan negara di masa depan.
Faktor Budaya dalam IT GovernanceKetika berbicara IT Governance dalam konteks budaya Indonesia, maka pola
pikir yang digunakan dalam pembahasan adalah pola pikir budaya lembaga organisasi, baik organisasi profit maupun organisasi non-profit. Hal ini disebabkan implementasi IT Governance dilakukan dalam organisasi, yakni organisasi yang berada di Indonesia, sehingga pembahasan implementasi IT Governance akan mengacu pada pengaruh budaya indonesia dalam mempengaruh orang-orang yang berada dalam organisasi tersebut Kondisi budaya yang ada di Indonesia sangat berbeda dengan kondisi yang ada di luar Indonesia, seperti Amerika maupun Eropa.
Latar belakang budaya ini akan menyebabkan perbedaan kondisi psikologis karyawan yang ada dalam masing-masing organisasi. Budaya merupakan satu set nilai, penuntun, kepercayaan, pengertian, norma, falsafah, etika, dan cara berpikir. Kebudayaan Indonesia secara sempit dapat didefinisikan sebagai seluruh kebudayaan lokal yang telah ada sebelum terbentuknya Indonesia pada tahun 1945. Seluruh kebudayaan lokal yang berasal dari kebudayaan beraneka ragam suku-suku di Indonesia adalah merupakan bagian integral daripada kebudayaan Indonesia. Namun, dalam studi dan realita yang ada, keanekaragaman kebudayaan indonesia, seringkali menimbulkan permasalahan dan kendala tersendiri dalam kehidupan organisasi. Kondisi ini menjadi perhatian yang cukup signifikan ketika sebuah organisasi mengimplementasikan Sarbanes-Oxley dan COBIT dalam konteks budaya Indonesia.
COBIT
- 7 -
COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.
Cobit adalah merupakan a set of best practies (framework) bagi pengelolaan teknologi informasi (IT management). Cobit disusun oleh oleh IT Governace Institute (ITGI) dan Infomation Systems Audit and Control Association (ISACA), tepatnya Information Systems Audit and ControFoundation’s(ISACF) pada tahun 1992. edisi pertamanya dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line dikeluarkan tahun 2003) dan saat ini adalah edisi keempat pada desember 2005.
COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah “ generally applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP). Sedang, COBIT’s “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi. Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.
COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT controls issues. COBIT berguna bagi para IT user karena memperoleh keyakinan atas kehandalan system aplikasi yang dipergunakan. Sedangfkan para manager memperoleh manfaat dalam keputusan investasi di bidang IT serta Infrastruktur nya, menyusun strategic IT Plan, menentukan Information Architecture, dan keputusan atas procurement ( pengadaan/pembelian) mesin.
Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi Anda, atau objek khusus di lingkungan TI. Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di perusahaan.
COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan IT Governance pada suatu perusahaan. COBIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT, serta menyediakan referensi best business practices yang mencakup keseluruhan IT dan kaitannya dengan proses bisnis perusahaan dan
- 8 -
memaparkannya dalam struktur aktifitas-aktifitas logis yang dapat dikelola serta dikendalikan secara sfektif.
COBIT mendukung manajemen dalam mengoptimalkan investasi TI nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau resiko akan atau sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan. Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasian, keterpaduan, ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalan informasi. Berikut Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:
Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu:
o Rencana dan Atur Rencana dan Atur domain mencakup penggunaan teknologi informasi & cara terbaik dan dapat digunakan dalam sebuah perusahaan untuk membantu perusahaan mencapai tujuan dan sasaran. Ia juga menyoroti organisasi dan infrastruktur TI adalah formulir untuk mengambil untuk mencapai hasil yang optimal dan yang paling menghasilkan keuntungan dari penggunaan IT.Tabel berikut ini berisi proses TI dalam Perencanaan dan Organisasi domain.
Tabel 1: Proses TI dalam Perencanaan dan Organisasi domaino Melaksanakan dan memperoleh Melaksanakan dan yang
memperoleh domain mencakup mengidentifikasi TI persyaratan,memperoleh teknologi, dan menerapkan itu dalam perusahaan saat ini proses bisnis. Domain ini juga alamat perkembangan rencana pemeliharaan bahwa perusahaan harus
- 9 -
mengadopsi untuk memperpanjang kehidupan sebuah sistem TI dan komponennya. Tabel berikut ini berisi proses TI dalam mendapatkan dan Melaksanakan domain.
Table 2: proses TI dalam memperoleh dan Melaksanakan domain.
o Memberikan dan Dukungan Memberikan Dukungan dan yang berfokus pada domain pengiriman aspek teknologi informasi. Meliputi daerah-daerah seperti eksekusi aplikasi di dalam sistem TI dan hasil, serta, dukungan yang memungkinkan proses yang efektif dan efisien pelaksanaan sistem TI ini. Mendukung proses ini termasuk masalah keamanan dan pelatihan. Tabel berikut ini berisi proses TI dalam Memberikan Dukungan dan domain.
Tabel 3: proses TI dalam Memberikan Dukungan dan domain.
- 10 -
o Memantau dan Evaluasi Memantau dan Evaluasi yang domain berurusan dengan strategi perusahaan dalam menilai kebutuhan perusahaan dan apakah sistem TI yang sekarang masih memenuhi tujuan yang telah dirancang dan kontrol yang diperlukan untuk mematuhi peraturan persyaratan. Pemantauan juga mencakup isu yang independen penilaian terhadap efektivitas sistem IT dalam kemampuan untuk memenuhi tujuan-tujuan bisnis perusahaan dan pengendalian proses oleh auditor internal dan eksternal. Tabel berikut ini berisi proses TI dalam domain Memantau dan Evaluasi.
Tabel 4: Tabel proses TI dalam domain Memantau dan Evaluasi.
Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.
Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut: o Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang
dikeluarkan sesuai dengan manfaat yang dihasilkannya? o Apa saja indikator untuk suatu kinerja yang bagus? o Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai
sukses ( critical success factors )? o Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran
yang ditentukan? o Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan? o Bagaimana Anda mengukur keberhasilan dan bagaimana pula
membandingkannya.
- 11 -
Berikut ini adalah gambaran keseluruhan dari kerangka kerja COBIT
Gambar 1 : Kerangka Kerja COBIT
Berikut ini adalah Kriteria informasi dari COBIT :Efektivitas Untuk memperoleh informasi yang relevan dan berhubungan dengan
proses bisnis sperti penyampaian informasi dengan benar, konsistendapat dipercaya dan tepat waktu.
- 12 -
Efesiensi Memfokuskan pada ketentuan informasi melalui penggunaan sumberdayayang optimal.
Kerahasian Memfokuskan proteksi terhadap informasi yang penting dari orang yangtidak memiliki hak otorisasi.
Integritas Berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.
Ketersediaan Berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang
Kepatuhan Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis
KeakuratanInformasi
Berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggung jawaban.
COBIT adalah singkatan dari Control Objective for IT. COBIT ini singkatnya merupakan framework manajemen untuk menentukan IT process yang cocok di sebuah perusahaan. Sedangkan HABIT yang maksudkan adalah framework manajemen baik untuk PRIBADI maupun organisasi yang ditawarkan oleh Stephen Covey dalam bukunya 7 Habits of Effective People dan dilanjutkan dalam buku 8th Habit.
Dalam 7 Habits, Stephen Covey menegaskan bahwa organisasi bisa maju dan berkembang adalah organisasi yang mission statementnya dilakukan oleh semua pihak. Tidak hanya dari atas kebawah. Dalam bukunya 8th habit, Stephen membagi perkembangan peradaban menjadi beberapa tingkatan era. Dari berburu, bertani, industri, dan akhirnya kebijaksanaan. Sampai abad ke 20 banyak perusahaan masih menerapkan pola pikir industrial dimana manusia lebih rendah daripada mesin. jika membeli mesin adalah investasi, namun membeli (baca menggaji) pekerja adalah beban. Tak pelak lagi hal ini mendorong banyak pemikiran yang menjadikan buruh dan pemilik modal sebagai pihak yang tak pernah bisa akur. Pola pikir dalam manajemen pun lebih banyak memberikan reward dan punishment. Kontrol diberlakukan secara ketat. Namun hal itu diakhiri pada abad ke 21 dimana kreatifitas menjadi sokoguru utama perusahaan. Covey menjelaskan bahwa berorientasi hasil jauh lebih baik daripada berorientasi proses. Biarkan bawahan anda yang mengembangkan. Kontrol pada hasil, bukan pada proses.
Sekilas ada perbedaan besar jika filosofi COBIT dan HABIT diterapkan dalam proses manajemen IT. Meskipun IT sendiri adalah benda, jaringan, infrastruktur, IT juga memiliki brainware atau manusia pelaksana. Yang lebih penting lagi adalah informasi yang terkandung dalam IT tersebut. Beberapa perusahaan
- 13 -
mungkin menganggap keberadaan IT sangat tidak signifikan terhadap proses bisnisnya. Namun jika informasi yang terkandung dalam IT adalah informasi marketing, SDM, finansial, bisa dibayangkan apa yang terjadi jika infrastruktur IT perusahaan tersebut hancur. COBIT menekankan kontrol yang ketat, sementara HABIT menekankan keleluasaan untuk mencapai hasil. Hal inilah yang mungkin menyebabkan banyak perusahaan di dunia menerapkan prosedur IT yang hanya pada skala berulang-ulang namun intuitive. Namun bukan berarti control tidak diperlukan. Dalam kasus jari 3 milyar, seorang buruh menang menuntut perusahaannya karena jarinya terpotong gerinda yang perusahaannya tidak memiliki SOP menjalankan gerinda.
Prosedur bisa dianalogikan sebagai rambu-rambu. Sama seperti pagar yang membatasi jalan. Namun pagar saja tidak cukup. jangan sampai pagar tersebut membelenggu kreatifitas sang sopir sehingga sopir tersebut ragu-ragu untuk memberikan idenya sehingga mempercepat jalan mencapai tujuan. Buatlah pagar hanya di pinggir jalan-jalan. Dalam hal ini HABIT bisa berperan membuat sang sopir kreatif dan COBIT menjaga agar kreatifitas menjadi tidak berbahaya.
Lembaga Pengaturan IT (IT Governance Institute, ITGI) pada 16 Desember 2005, akan memperbaharui tujuan pengontrolan informasi dan teknologi yang terkait (COBIT), suatu kerangka kerja pengaturan IT yang dapat diterima secara internasional. COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko. "Para eksekutif menyadari bahwa dampak informasi dapat menjadikan jalan perusahaan mereka ke arah keberhasilan dan tanggungjawab pengaturan yang meningkat yang mereka miliki untuk menjamin adanya keberhasilan," ujar Erik Guldentops, CISA, CISM, seorang konsultan manajemen di Brussels, Belgia dan juga anggota tim pengembangan COBIT sejak berdirinya.
Diskusi antara para top executive dan nara sumber dalam WORKSHOP STEP BY STEP APPROACH ini diharapkan memberikan gambaran langkah-langkah nyata bagi perusahaan-perusahaan di Indonesia untuk melakukan self assessment tentang IT Governance-nya. Dan semoga melalui langkah-langkah ini membuat pencapaian Good Corporate IT Governance makin nyata!
Edisi COBIT terbaru memberikan praktek dan hubungan ke atas terbaik untuk menunjang persyaratan pengelolaan IT bagi para eksekutif dan direktur dan yang berkaitan dengan hubungan ke bawah digunakan untuk mengatasi persyaratan yang lebih rinci bagi mereka yang bertanggungjawab terhadap solusi dan jasa pengiriman. Ini semua juga memberikan dukungan agar dapat mengoptimalkan investasi IT, menjamin nilai pengiriman dan meringankan resiko IT dengan cara yang lebih transparan. Walaupun COBIT juga digunakan secara luas sebagai alat untuk keperluan Sarbanes-Oxley (SOX), edisi awalnya mencakup banyak masalahpengendalian aturan termasuk juga SOX. Ia merupakan produk yang diperoleh melalui penelitian dan kerjasama selama 10 tahun antara ahli IT global dan bisnis dan juga sudah tersedia sebagai standar terbuka www.isaca.org/cobit.COBIT 4.0 bisa menggantikan komponen edisi ketiga yang menyangkut Ringkasan Eksekutif, Kerangka kerja, Tujuan Pengontrolan dan Petunjuk Manajemen. Pekerjaan
- 14 -
sedang dilakukan agar bisa mengatasi petunjuk Audit. Perkenalan COBIT 4.0 tetap akan melakukan pekerjaan yang dilakukan oleh COBIT edisi ketiga, tetapi hanya memberikan kesempatan untuk membangun pekerjaan itu dan selanjutkan meningkatkan penentuan IT dan pengendaliannya bila cocok. Banyak COBIT tersedia untuk dapat melakukan download di http://www.isaca.org/cobit. Salinan cetak dapat dibeli di toko buku ISACA (http://www.isaca.org/bookstore) sebesar US $190. COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan model kedewasaan.
Hubungan COBIT dengan Berbagai Framework IT GovernenceSecara umum, kerangka kerja IT Governance serta control yang dibutuhkan
untuk mencapainya disediakan oleh COBIT (Control Objectives for Information and Related Technology). Dimana didalamnya terdapat panduan bagaimana organisasi harus mengendalikan pengelolaan IT dalam pencapaian governance.
Namun COBIT hanya memberikan panduan control dan tidak memberikan panduan implementasi operasional. Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu diadopsi berbagai kerangka governance operasional.
Tentang COBITCOBIT® (Tujuan pengendalian bagi informasi dan teknologi terkait®))
dikeluarkan oleh ITGI dapat diterima secara internasional sebagai praktek pengendalian atas informasi, IT dan resiko terkait. COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan model kedewasaan.
Tentang ITGILembaga Pengaturan IT® (IT Governance Institute, ITGI)
(http://www.itgi.org) didirikan pada tahun 1998 untuk memajukan pemikiran dan standar internasional dalam mengarahkan dan mengendalikan teknologi informasi sebuah perusahaan. Pengaturan IT yang efektif dapat membantu meyakinkan bahwa IT sangat mendukung tujuan bisnis dan mengelola resiko yang berkaitan dengan IT dan kesempatan. Lembaga Pengaturan IT mengembangkan tujuan pengendalian bagi informasi dan teknologi terkait (COBIT) serta menawarkan penelitian dan studi kasus untuk membantu pengelola perusahaan dan para direktur dalam tanggungjawab pengaturan IT.
Rolling Meadows, Ill, USA, 14 Desember -- Lembaga Pengaturan IT (IT Governance Institute, ITGI) pada 16 Desember 2005, akan memperbaharui tujuan pengontrolan informasi dan teknologi yang terkait (COBIT), suatu kerangka kerja pengaturan IT yang dapat diterima secara internasional.
COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko.
- 15 -
"Para eksekutif menyadari bahwa dampak informasi dapat menjadikan jalan perusahaan mereka ke arah keberhasilan dan tanggungjawab pengaturan yang meningkat yang mereka miliki untuk menjamin adanya keberhasilan," ujar Erik Guldentops, CISA, CISM, seorang konsultan manajemen di Brussels, Belgia dan juga anggota tim pengembangan COBIT sejak berdirinya.
Edisi COBIT terbaru memberikan praktek dan hubungan ke atas terbaik untuk menunjang persyaratan pengelolaan IT bagi para eksekutif dan direktur dan yang berkaitan dengan hubungan ke bawah digunakan untuk mengatasi persyaratan yang lebih rinci bagi mereka yang bertanggungjawab terhadap solusi dan jasa pengiriman. Ini semua juga memberikan dukungan agar dapat mengoptimalkan investasi IT, menjamin nilai pengiriman dan meringankan resiko IT dengan cara yang lebih transparan.
Walaupun COBIT juga digunakan secara luas sebagai alat untuk keperluan Sarbanes-Oxley (SOX), edisi awalnya mencakup banyak masalahpengendalian aturan termasuk juga SOX. Ia merupakan produk yang diperoleh melalui penelitian dan kerjasama selama 10 tahun antara ahli IT global dan bisnis dan juga sudah tersedia sebagai standar terbuka www.isaca.org/cobit.
Edisi terbaru -- COBIT 4.0 memberikan fokus bisnis yang cukup kuat untuk mengatasi tanggungjawab para direktur dan pegawai. COBIT 4.0 menandai pembaharuan pertama dari isi COBIT sejak dirilisnya edisi COBIT ketiga di tahun 2000. Edisi pertama diterbitkan di tahun 1994. Studi kasus pelaksanaan COBIT di organisasi internasional utama misalnya Unisys, Sun Microsystems dan DPR Amerika juga terdapat di http://www.isaca.org/cobitcasestudies.
"COBIT 4.0 tidak kelihatan seperti sebuah buku akademik. Ada materi yang cukup berguna pada setiap halaman," ujar Christopher Fox, ACA. "COBIT 4.0 mampu menjadi sebuah dokumen yang sangat bermanfaat."COBIT 4.0 ini juga mencakup bimbingan bagi para direktur dan semua level manajemen dan terdiri atas empat seksi:
Gambaran luas mengenai eksekutif Kerangka kerja Isi utama (tujuan pengendalian, petunjuk manajemen dan
model kedewasaan) Appendiks (pemetaan, ajuan silang dan daftar kata-kata)
Isi utama dibagi lagi menurut proses 34 IT dan memberikan gambaran yang sempurna mengenai cara mengendalikan, mengelola dan mengukur masing-masing proses. Selain itu, COBIT 4.0:
Menganalisa bagaimana tujuan pengendalian dapat dipetakan ke dalam lima wilayah penentuan IT agar dapat mengidentifikasi gap potensial.
Menyesuaikan dan memetakan COBIT ke standar yang lain (ITIL, CMM, COSO, PMBOK, ISF and ISO 17799)
Mengklarifikasikan indikator tujuan utama (KGI) dan indikator hubungan kinerja utama (KPI), dengan mengenal bagaimana KPI dapat bergerak mencapai KGI.
Menghubungkan tujuan bisnis, IT and proses IT (penelitian mendalam di delapan industri dengan pandangan yang lebih jelas tentang
- 16 -
bagaimana proses COBIT mendukung tercapainya tujuan IT spesifik dan dengan perluasan, tujuan bisnis).
COBIT 4.0 bisa menggantikan komponen edisi ketiga yang menyangkut Ringkasan Eksekutif, Kerangka kerja, Tujuan Pengontrolan dan Petunjuk Manajemen. Pekerjaan sedang dilakukan agar bisa mengatasi petunjuk Audit.
Perkenalan COBIT 4.0 tetap akan melakukan pekerjaan yang dilakukan oleh COBIT edisi ketiga, tetapi hanya memberikan kesempatan untuk membangun pekerjaan itu dan selanjutkan meningkatkan penentuan IT dan pengendaliannya bila cocok.
Banyak COBIT tersedia untuk dapat melakukan download di http://www.isaca.org/cobit. Salinan cetak dapat dibeli di toko buku ISACA (http://www.isaca.org/bookstore) sebesar US $190. Situs pelengkap yang menawarkan pandangan mendalam mengenai COBIT 4.0 sudah tersedia di http://www.livemeeting.com/cc/isaca/view.
KESIMPULANKesimpulan dari penulisan COBIT ini adalah :COBIT “ Good Practices”
dapat digunakan sebagai IT governance tools, dan membantu perusahaan mengoptimalkan investasi TI mereka, dijadikan acuan atau referensi jika terjasi suatu kesimpang siuran dalam penerapan TI. COBIT juga diharapkan dapat membantu menemukan berbagai kebutuhan manajemen berkaitan dengan TI, membantu pengoptimalan investasi TI, dan menyediakan ukuran/ kriteria ketika terjadi penyelewengan/ penyimpangan, serta dapat diterapkan dan diterima sebagai standard keamanan TI dan praktek kendali untuk mendukung kebutuhan manajemen dalam menentukan dan monitoring tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka.
- 17 -
DAFTAR PUSTAKA
Gondodiyoto, S. (2003). Audit Sistem Informasi: pendekatan CobIT. Penerbit Mitra Wacana Media, Jakarta.
http://en.wikipedia.org/wiki/IT_Governance http://www.ebizzasia.com/0217-2004/focus,0217,04.htm http://www.isaca.org/cobit. http://www.isaca.org/cobitcasestudies http://www.itgi.org http://www.livemeeting.com/cc/isaca/view. R, Robert; Moeller (2008). Sarbanes-Oxley Internal Control: Effective
Auditing With AS5, COBIT And ITIL.. John Wiley, USA. Tarigan, Joshua. (2006). MERANCANG IT GOVERNANCE DENGAN COBIT
& ARBANES-OXLEY DALAM KONTEKS BUDAYA INDONESIA, Universitas Kristen Petra, Surabaya
- 18 -
DAFTAR RIWAYAT HIDUP
Nama : Gusrian Dellisia Abiyoso
Tempat, Tanggal Lahir : Jakarta , 7 April 1987
Jenis Kelamin : Pria
Alamat : Jl. Rawa kepa 3 no 679, Tomang, Jakarta Barat
Riwayat Pendidikan :
1999 – 2002 SLTP Damai, Jakarta 2002 – 2005 SMU Negeri 2, Jakarta
2005 – Sekarang Universitas Bina Nusantara Jurusan Sistem Informasi-Manajemen
- 19 -
