COBIT 4.1 - Model Keselarasan Bisnis dengan TI

BAB 2 TINJAUAN PUSTAKA

2.2 Model Keselarasan Bisnis dengan TI

2.2.2 COBIT 4.1

COBIT disusun oleh ISACA (Information Systems Audit and ControlAssociation) dan ITGI (IT Governance Institute) sebagai kerangka kerja yangdapat digunakan oleh manajer, auditor, dan pengguna teknologi informasi (TI)dalam memaksimalkan keuntungan yang didapat melalui pemakaian TI danmengembangkan ITgovernance dan ITcontrol di dalam organisasi. Hal inidilakukan dengan kumpulan ukuran, indikator, proses, dan praktik terbaik yang diakui.

COBIT dapat dipakai sebagai alat yang komperhensif untuk menciptakan ITGovernance pada suatu perusahaan. COBIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara risiko bisnis, kebutuhan akan kontrol dan menyediakan referensi best bussiness practices yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis organisasi dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta di kendalikan secara efektif. COBIT mendukung manajemen dalam mengoptimalkan investasi TI-nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau risiko akan atau sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan. Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kepatuhan pada kebijakan/aturan dan kehandalan informasi (effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability).

2.2.2.1 Framework COBIT versi 4.1

COBIT framework dibuat dengan 4 karakteristik utama, yaitu : Business Focused, Process-Oriented, Controls-Based dan Measurement-Driven.

a. Business Focus

Orientasi bisnis adalah tema utama dari COBIT yang didesain untukditerapkan tidak hanya oleh penyedia layanan TI, pengguna dan auditor, tapi yang lebih penting adalah sebagai acuan yang komprehensif untuk menajemen danpemilik proses bisnis. Sebagaimana ditunjukkan dalam Gambar 2.7, COBITframeworkdibuat berdasarkan prinsip berikut: untuk menyediakan informasi yangdibutuhkan olehperusahaan dalam mencapai sasarannya, perusahaan harusmengatur danmengendalikan sumber daya TI menggunakan satu set proses yangterstrukturuntuk menyampaikan layanan informasi yang dibutuhkan tersebut.COBIT frameworkmenyediakan alat untuk membantu memastikan keselarasan dengan kebutuhan bisnis.

Untuk tujuan pencapaian sasaran bisnis, informasi harus memenuhi kriteria yang direferensikan oleh COBIT sebagai berikut: Effectiveness, Efficiency, Integrity, Availability, Compliance, dan Reliability. Selain itu, perlu didefinisikan tujuan bisnis (Business Goal) dan tujuan TI (IT Goal) untuk menyediakan sebuah basis yang lebih terkait dengan bisnis dan lebih baik untuk menyusun kebutuhan bisnis dan mengembangkan metric yang bisa diukur dalam

Gambar 2.7 Prinsip Kerja COBIT (ITGI, 2007)

Business Requiremen IT Process IT Resource Enterprise Information COBIT Drive the invesment

That are used by To deliver

b. Process Oriented

Cobit mendefinisikan 4 aktifitas TI yaitu dalam model proses-proses generik yang dikelompokkan kedalam 4 domain, yaitu :Plan and Organize , Acquire and Implement,Deliver and Support, dan Monitor and Evaluate.

Gambar 2.8 Kerangka COBIT secara Keseluruhan (ITGI, 2007)

Proses-proses TI pada Gambar 2.8, diturunkan dari tujuan bisnis, lalu ke tujuan TI. Proses penurunan tersebut dapat dilihat pada Gambar 2.9.

PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine the technological direction PO4 Define the IT organisation and relationships PO5 Manage the IT investment

PO6 Communicate management aims and direction PO7 Manage human resources

PO8 Ensure compliance with external requirements PO9 Assess risks

PO10 Manage projects PO11 Manage quality

AI1 Identify automated solutions AI2 Acquire and mantain application software AI3 Acquire and maintain technology infrastructure AI4 Develop and maintain IT procedures AI5 Install and accredit systems AI6 Manage changes M1 Monitor the process

M2 Assess internal control adequacy M3 Obtain independent assurance M4 Provide for independent audit

DS1 Define service levels DS2 Manage third-party services DS3 Manage peformance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and attribute costs DS7 Educate and train users DS8 Assist and advise IT customers DS9 Manage the configuration DS10 Manage problems and incidents DS11 Manage data DS12 Manage facilities DS13 Manage operations IT RESOURCES IT RESOURCES • Data • Application systems • Technology • Facilities • People • Data • Application systems • Technology • Facilities

• People PLAN AND

ORGANISE PLAN AND ORGANISE ACQUIRE AND IMPLEMENT ACQUIRE AND IMPLEMENT DELIVER AND SUPPORT DELIVER AND SUPPORT IT RESOURCES IT RESOURCES • Data • Application systems • Technology • Facilities • People • Data • Application systems • Technology • Facilities

• People PLAN AND

ORGANISE PLAN AND ORGANISE ACQUIRE AND IMPLEMENT ACQUIRE AND IMPLEMENT DELIVER AND SUPPORT DELIVER AND SUPPORT • Effectiveness • Efficiency • Confidenciality • Integrity • Availability • Compliance • Reliability • Effectiveness • Efficiency • Confidenciality • Integrity • Availability • Compliance • Reliability Criteria • Effectiveness • Efficiency • Confidenciality • Integrity • Availability • Compliance • Reliability • Effectiveness • Efficiency • Confidenciality • Integrity • Availability • Compliance • Reliability Criteria Business Objectives MONITOR AND EVALUATE

C

OBI

T

Framework

Gambar 2.9 Hubungan antara Komponen COBIT (ITGI, 2007)

1. Plan and Orgonize (PO)

Domain ini mencakup strategi dan taktik, serta konsep bagaimana TI dapatmemberikan kontribusi terbaik untuk mencapai sasaran bisnis.Selanjutnya,realisasi dari visi strategis harus direncanakan, dikomunikasikan dan diatur untuk perspektif yang berbeda.

2. Acquire and Implement (AI)

Untuk merealisasikan strategi TI, solusi TI harus diidentifikasi, dikembangkan, diimplementasikan dan diintegrasikan dalam proses bisnis.Sebagai tambahan, perubahan dalam pemeliharaan sistem yang telah ada jugaterdapat dalam domain ini untuk memastikan kelangsungan solusi dalam memenuhi kebutuhan bisnis.

3. Deliver and Support (DS)

Domain ini dikhususkan pada proses deliver, manajemen keamanan dankelangsungan dukungan layanan untuk pengguna, manajemen data dan fasilitas operasional.

4. Monitor and Evaluate (ME)

Semua proses TI harus diukur secara berkala dari waktu kewaktu untukkualitasdan kesesuaian dengan persyaratan kontrol. Domain ini melingkupimanajemenkinerja, monitoring kontrol internal, kesesuaian peraturan danpenyediaan tata kelola.

c. Controls-Based

Kontrol didefinisikan sebagai kebijakan, prosedur, praktek dan strukturorganisasi yang didesain untuk menjamin bahwa sasaran bisnis akan dicapai dankejadian yang tak diinginkan dapat dicegah atau dideteksi dan diperbaiki.COBIT’s control objectives adalah persyaratan minimum untuk kontrol yangefektif pada masing-masing proses yang telah dijelaskan di atas. Karena ITcontrol objectives dari COBIT disusun oleh proses TI, COBIT frameworkmenyediakan 215 control objectives dari 34 IT processes dengan keterkaitan yang jelas antara persyaratan tata kelola TI, proses TI dan kontrol TI yang harus dipetakan dengan tujuan yang ingin dicapai.

d. Measurement-Driven

Setiap organisasi yang ingin memperoleh value dari IT haruslah dapat menilai status manajemen TI mereka, melihat arah perkembangan yang ingin dicapai, lalu menentukan tingkat manajemen dan kontrol yang harus disediakan untuk mencapai target tersebut. COBIT menyediakan komponen yang dapat digunakan sebagai alat pengukuran dan pencapaian proses-proses TI, yaitu maturity model.

Maturity Model didesain sebagai profil dari IT processes yang merupakan penggambaran kondisi perusahaan saat ini dan di masa yang akan datang.

Maturity model menggunakan suatu metode penilaian sedemikian rupa sehingga suatu organisasi dapat menilai dirinya sendiri dari non-existence ke optimized (dari 0 ke 5). Pendekatan ini dikembangkan dari dari maturity model yangdigunakan oleh Software Engineering Institute untuk menilai kemapanan

pengembangan software. Dengan menggunakan maturity model untuk tiap-tiapsatu dari 34 proses TI, manajemen dapat memetakan:

 Status organisasi saat ini- di mana organisasi saat ini

 Status best-in-class di industri sekarang - sebagai perbandingan

 Strategi organisasi untuk peningkatan - posisi yang ingin dicapaiorganisasi Skala yang digunakan oleh maturity model COBITadalah sebagaimana terlihat pada Gambar 2.10.

Gambar 2.10 Grafik Representasi dari Model Kematangan (ITGI, 2007)

Setiap level memiliki penjelasan sebagai berikut:

 0Non-existent. Sama sekali tidak ada process TI yang diidentifikasi. Perusahaan belum menyadari adanya isu yang harus dibahas.

 1 Initial. Terdapat bukti yang memperlihatkan perusahaan telah menyadari adanya isu yang perlu dibahas. Tidak ada proses yang baku; sebagai gantinya ada pendekatan khusus (adhoc) yang cenderung diterapkan per kasus. Pendekatan manajemen secara keseluruhan masih belumterorganisasi.

 2 Repeatable. Proses telah berkembang pada tahap di mana prosedur serupa diikuti oleh orang berbeda yang melakukan tugas yang sama. Tidak ada pelatihan dan komunikasi formal dari prosedur standar, dan tanggungjawab diserahkan kepada individu. Terdapat suatu kepercayaan

yangtinggi terhadap pengetahuan dari individu dan, oleh karena itu kesalahansering terjadi.

 3 Defined.Prosedur telah baku dan didokumentasikan, serta dikomunikasikan melalui pelatihan. Akan tetapi terserah kepada individu untuk mengikuti proses ini, oleh sebab itu penyimpangan akan sulit dideteksi. Prosedur itu sendiri tidaklah rumit tetapi merupakan formalisasi dari kegiatan yang telah dilakukan.

 4 Managed. Dimungkinkan dilakukannya monitoring dan pengukuran kepatuhan terhadap prosedur dan pengambilan tindakan jika proses yang ada nampak tidak bekerja secara efektif. Proses dikembangkan secara konstan dan memberikan best practice. Otomatisasi dan perangkat pembantu digunakan secara terbatas atau secara fragmentasi.

 5 Optimised. Proses mencapai tingkatan best practice, sebagai hasil dari peningkatan terus menerus dan maturity modeling dengan perusahaan lain. TI digunakan secara terintegrasi untuk mengotomatisasikan workflow, menyediakan perangkat pembantu untuk meningkatkan efektivitas dan mutu, yang akan membuat perusahaan dapat dengan cepat menyesuaikan diri dengan perubahan.

Dalam dokumen UNIVERSITAS INDONESIA PENGUKURAN TINGKAT KEMATANGAN KESELARASAN STRATEGI TEKNOLOGI INFORMASI TERHADAP STRATEGI ORGANISASI: STUDI KASUS BMKG (Halaman 39-45)