I. PENDAHULUAN 1 1.1 Latar Belakang
2.4 COBIT Framework
COBIT (Control Objectives for Information and Related Technology) merupakan sebuah model framework tata kelola yang representatif dan menyeluruh yang merupakan salah satu standar dunia dalam pengelolaan IT. COBIT mencakup kepada masalah perencanaan, implementasi, operasional dan pengawasan terhadap seluruh proses TI yang dikembangkan oleh IT Governance Institute (ITGI) yang berbasis di Amerika Serikat. .
COBIT dapat digunakan sebagai tools yang digunakan untuk mengefektifkan implementasi IT Governance, yakni sebagai management guideline dengan menerapkan seluruh domain yang terdapat dalam COBIT.
Prinsip dasar framework secara ringkas adalah: IT resources dikelola oleh IT processes untuk mencapai IT goals yang menjawab persyaratan bisnis. Di dalam kerangka kerja COBIT terdapat tujuh persyaratan atau kriteria informasi bisnis, yaitu: effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability. COBIT kemudian menjelaskan bahwa sumber daya IT yang harus disediakan untuk memberikan kebutuhan bisnis oleh proses bisnis, yaitu: applications, information, infrastructure dan people seperti tampak dalam Gambar 2.
COBIT mendefinisikan aktivitas individual di dalam lingkungan IT ke dalam 34 proses dan kemudian mengelompokkan proses tersebut menjadi empat domain seperti tampak dalam Gambar 3. Keempat domain tersebut adalah: Planning and Organization (10 proses), Acquisition and Implementation (7 proses), Delivery and Support (13 proses), dan Monitoring and Evaluation (4 proses).
Framework COBIT disusun dengan karakteristik berfokus pada bisnis (business-focused), berorientasi pada proses (process-oriented), berbasis pada pengendalian (controls-based) dan terarah kepada pengukuran (measurement- driven). Model Kematangan (Maturity Models) adalah alat bantu yang dapat digunakan untuk melakukan benchmarking dan self-assessment oleh manajemen TI untuk menilai kematangan proses TI.
Dengan Model Kematangan, manajemen bisa mengidentifikasi: 1. Kinerja aktual dari perusahaan – di mana posisi perusahaan saat ini. 2. Status industri saat ini – perbandingan.
3. Target perbaikan bagi perusahaan – ke mana perusahaan ingin dibawa. 4. Jalur pertumbuhan yang diperlukan antara “as-is” dan “to-be”.
Secara umum, tingkat kematangan proses TI dibagi menjadi enam tingkat, mulai dari tingkat kematangan 0 sampai dengan tingkat kematangan 5 (Tabel 5).
Selain keenam tingkat tersebut, Tingkat Kedewasaan disusun oleh atribut- atribut sebagai berikut:
1. Awareness and Communication (AC) 2. Policies, Standards and Procedures (PSP) 3. Tools and Automation (TA)
4. Skills and Expertise (SE)
5. Responsibility and Accountability (RA) 6. Goal Setting and Measurement (GSM)
Gambar 3 Domain dalam COBIT (ITGI 2007)
Tabel 5 Tingkat Kedewasaan Umum dalam COBIT
Level Kriteria Kedewasaan
0 Non Existent Perusahaan bahkan tidak mengetahui bahwa terdapat permasalahan yang harus diatasi.
1 Initial / Ad Hoc
Tidak terdapat proses standar, namun menggunakan pendekatan ad hoc yang cenderung diperlakukan secara individu atau per kasus.
2 Repeatable but Intituitive
Proses dikembangkan ke dalam tahapan dimana prosedur yang serupa diikuti oleh pihak-pihak yang berbeda untuk pekerjaan yang sama.
3 Defined Prosedur distandarisasi dan didokumentasikan kemudian dikomunikasikan melalui pelatihan.
4 Managed and Measurable
Manajemen mengawasi dan mengukur kepatutan terhadap prosedur dan mengambil tindakan jika proses tidak dapat dikerjakan secara efektif.
5 Optimised Proses telah dipilih ke dalam tingkat praktek yang baik, berdasarkan hasil dari perbaikan berkelanjutan dan permodelan kedewasaan dengan perusahaan lain.
Sumber: ITGI (2007)
2.4.1. Plan and Organize
Domain ini melingkupi area strategi, taktik dan memberikan perhatian dalam mengidentifikasi bagaiamana IT dapat memberikan kontribusi terbaik kepada tujuan bisnis. Realisasi dari strategi harus direncanakan, dikomunikasikan dan di atur dalam perspektif yang berbeda. Domain ini memiliki pertanyaan dalam perspektif manajemen yaitu :
b. Apakah pencapaian perusahaan sudah optimal dengan menggunakan sumberdaya yang ada ?
c. Apakah semua karyawan di dalam perusahaan sudah memahami tujuan dari IT ?
d. Apakah resiko IT sudah dipahami dan dikelola ?
e. Apakah kualitas dari sistem IT sesuai dengan kebutuhan bisnis ?
2.4.2. Acquire and Implement
Untuk mewujudkan strategi IT, solusi IT harus diidentifikasi, dibangun atau dimiliki sebaik mungkin, untuk diimplementasikan dan diintegrasikan dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang telah ada dan digunakan, merupakan hal yang diperhatikan di dalam domain ini. Domain ini memiliki pertanyaan dalam perspektif manajemen yaitu :
a. Apakah proyek memberikan solusi yang memenuhi kebutuhan bisnis? b. Apakah proyek baru dapat diselesaikan tepat waktu sesuai budget ? c. Apakah sistem baru dapat bekerja sempurna setelah
diimplementasikan ?
d. Apakah perubahan dapat dilakukan tanpa mengganggu operasional bisnis yang sudah berjalan ?
2.4.3. Deliver and Support
Domain ini memiliki topik mengenai layanan yang diberikan dibandingkan merujuk kepada layanan yang diminta, termasuk pengaturan security, layanan support untuk pengguna, pemantauan internal control, dan pengelolaan data termasuk fasilitas operasional. Biasanya domain ini membahas mengenai pertanyaan manajemen :
a. Apakah layanan IT yang diberikan selaras dengan prioritas bisnis ? b. Apakah biaya IT sudah optimal ?
c. Apakah para pekerja mampu untuk menggunakan sistem IT secara produktif dan aman ?
2.4.4. Monitor and Evaluate
Domain ini memiliki topik mengenai perlunya proses IT untuk dinilai kualitasnya dan sesuai dengan persyaratan yang dikontrol secara berkala dari waktu ke waktu. Selain itu dinilai pula kualitas kinerja manajemen, pemantauan dari internal control serta kepatuhan terhadap peraturan dan tata kelola. Biasanya domain ini membahas mengenai pertanyaan manajemen : a. Apakah kinerja IT dapat diukur untuk mendeteksi masalah sebelum
terlambat ?
b. Apakah manajemen telah memastikan bahwa pengawasan internal efektif dan efisien
c. Dapatkah kinerja IT dihubungkan dengan dengan tujuan bisnis ? d. Apakah keamanan, integritas dan ketersediaan sudah pada tempatnya ? 2.5 Domain dari Delivery and Support
2.5.1. DS1 – Define and Manage Service Levels
Komunikasi yang efektif antara manajemen TI dan bisnis pelanggan mengenai layanan yang diminta diaktifkan oleh agreement IT mengenai layanan IT dan service level yang telah didokumentasikan. Proses ini juga termasuk pemonitoran dan laporan secara berkala kepada pemegang saham untuk pencapaian service level Proses ini memungkinkan keselarasan antara layanan TI dan persyaratan bisnis yang terkait.
2.5.2. DS2 – Manage Third-Party Services
Memastikan bahwa layanan yang diberikan oleh pihak ketiga (pemasok, vendor dan mitra) memenuhi persyaratan bisnis membutuhkan manajemen proses efektif dari pihak ketiga. Proses ini dicapai dengan mendefinisikan secara jelas peran, tanggung jawab dan harapan dalam perjanjian pihak ketiga serta melakukan review dan pemantauan perjanjian tersebut untuk efektivitas dan kepatuhannya. Manajemen layanan yang efektif dari pihak ketiga meminimalkan risiko usaha yang terkait dengan pemasuk, vendor, mitra yang tidak berhasil memberikan layanan yang baik.
2.5.3. DS3 – Manage Performance and Capacity
Kebutuhan untuk mengelola kinerja dan kapasitas dari sumberdaya IT membutuhkan sebuah proses yang secara berkala meninjau kinerja dan kapasitas dari sumberdaya IT. Proses ini termasuk peramalan akan kebutuhan beban kerja, penyimpanan dan persyaratan kondisi kontingensi. Proses ini menyediakan kepastian bahwa sumberdaya informasi yang mendukung permintaan bisnis tersedia secara terus menerus.
2.5.4. DS4 – Ensure Continuous Services
Menyediakan layanan IT yang berkesinambungan membutuhkan pengembangan, pemeliharaan, dan pengujian rencana kontinuitas IT, pemanfaatan cadangan penyimpanan offsite, dan menyediakan pelatihan rencana berkesinambungan secara berkala. Layanan yang berkelanjutan yang efektif meminimalkan kemungkinan dan efek samping dari gangguan layanan IT berskala besar dalam fungsi dan proses yang utama dari bisnis.
2.5.5. DS5 – Ensure Systems Security
Kebutuhan untuk memelihara integritas dari informasi dan melindungi asset IT membutuhkan sebuah proses pengelolaan security. Proses ini termasuk di dalamnya membuat dan memelihara peraturan mengenai IT security, tanggungjawab, kebijakan, standarisasi dan prosedur. Manajemen security juga termasuk di dalamnya pemantauan security dan uji security secara berkala dan melakukan perbaikan atas kelemahan security. Manajemen security yang efektif akan melindungi semua asset IT dan meminimalkan dampak kepada bisnis karena disebabkan kerentanan dan insiden yang terjadi.
2.5.6. DS7 – Educate and Train Users
Edukasi yang efektif untuk semua pengguna layanan IT termasuk di dalamnya adalah IT, membutuhkan identifikasi kebutuhan training
untuk setiap kelompok pengguna layanan IT. Selain untuk mengidentifikasi kebutuhan, didalam proses ini juga termasuk mendefinisikan dan mengeksekusi strategi training yang efektif dan dapat diukur hasilnya. Sebuah program training yang efektif akan meningkatkan penggunaan teknologi yang efektif dengan mengurangi kesalahan penggunaan oleh pengguna layanan IT, meningkatkan produktifitas dan kepatuhan terhadap key control seperti langkah- langkah keamanan dalam penggunaan layanan IT.
2.5.7. DS8 – Manage Service Desk and Incidents
Respon yang tepat waktu dan efektif terhadap pertanyaan dan masalah yang dihadapi oleh pengguna layanan IT memerlukan sebuah service desk dan manajemen insiden yang di desain dan dilaksanakan dengan baik. Termasuk di dalamnya pengaturan fungsi service desk seperti pendaftaran komplain, eskalasi, analisa kecenderungan dan akar permasalahan dan pemecahannya. Bisnis diuntungkan juga dengan peningkatan produktivitas melalui respon yang cepat terhadap permasalahan di pengguna layanan IT.
2.5.8. DS10 – Manage Problems
Pengelolaan problem yang efektif membutuhkan identifikasi dan klasifikasi dari permasalahannya, analisa penyebab dan penyelesaian dari masalah. Pengelolaan masalah juga termasuk formulasi dan rekomendasi untuk pernyempurnaan, pemeliharaan dari pencatatan masalah, dan review status tindakan perbaikan. Proses pengelolaan permasalahan yang efektif akan memaksimalkan ketersediaan sistem, penyempurnaan service level, penghematan biaya dan peningkatan kenyamanan dan kepuasan pengguna layanan IT.
2.5.9. DS11 – Manage Data
Pengelolaan data yang efektif membutuhkan pengidentifikasian data yang dibutuhkan. Proses pengelolaan data juga termasuk pembuatan
prosedur yang efektif untuk mengelola media library, backup dan pemulihan/pengembalian data serta penghancuran media yang tepat. Manajemen data yang efektif membantu untuk menjamin kualitas, ketepatan waktu dan ketersediaan data bisnis.
2.5.10.DS12 – Manage the Physical Environment
Perlindungan terhadap peralatan komputer dan personel memerlukan fasilitas fisik yang didesain dan dikelola dengan baik. Proses dari pengelolaan fisik lingkungan termasuk mendefinisikan persyaratan fisik site, memilih fasilitas yang sesuai dan mendisain proses yang efektif untuk pemantauan faktor lingkungan dan pengelolaan akses fisik. Pengelolaan yang efektif dari fisik lingkungan akan mengurangi gangguan terhadap bisnis dari kerusakan komputer maupun personel.
2.5.11.DS13 – Manage Operations
Pemrosesan data yang lengkap dan akurat memerlukan prosedur pengelolaan pemrosesan data yang efektif dan pemeliharaan perangkat keras yang teratur. Proses ini termasuk di dalamnya pendefinisian kebijakan dan prosedur pengoperasian untuk pengelolaan pemrosesan yang sudah dijadwalkan yang efektif, perlindungan output yang sensitif, pemantauan kinerja infrastruktur dan memastikan pemeliharaan perangkat keras secara preventif. Pengelolaan operasi yang efektif membantu pemeliharaan integritas data dan mengurangi keterlambatan bisnis dan biaya operasional IT.