Analisis IT Governance dengan Menerapkan Cobit Framework

Bela Tri Setyawati-191011201332

Teknologi informasi (TI) saat ini menjadi teknologi yang banyak diterapkan oleh hampir seluruh organisasi (pemerintah, sektor industri, sektor swasta dan dunia pendidikan). TI dipercaya dapat membantu meningkatkan efisiensi dan efektifitas proses-proses bisnis organisasi dalam mencapai tujuannya.

Pengertian COBIT

COBIT merupakan singkatan dari Control Objectives for Information and Related Technology, merupakan salah satu kerangka kerja (framework) dalam mendukung tata kelola teknologi informasi. Prinsip dasar pada framework COBIT adalah menyediakan informasi yang diperlukan untuk mencapai tujuan perusahaan atau organisasi. Perusahaan atau organisasi perlu mengatur sumber daya teknologi informasi dengan menggunakan sekumpulan proses teknologi informasi yang terstruktur sehingga dapat memberikan informasi yang dibutuhkan.

Apa itu COBIT Framework ?

Orientasi bisnis COBIT mencakup hubungan antara tujuan bisnis dengan infrastruktur TI dengan menyediakan berbagai model dan metrik yang digunakan untuk mengukur pencapaian serta mengidentifikasi tanggung jawab bisnis terkait dari proses TI. Fokus utama COBIT 4.1 diilustrasikan dengan model berbasis proses yang dibagi menjadi empat domain tertentu, termasuk :

• Planning & Organization
• Delivering and Support
• Acquiring & Implementation
• Monitoring & Evaluating

Semua ini dipahami lebih lanjut di bawah 34 proses sesuai garis tanggung jawab tertentu. COBIT memiliki posisi tinggi dalam kerangka bisnis dan telah diakui di bawah berbagai standar internasional, termasuk, CMMI, COSO, PRINCE2, TOGAF, PMBOK, TOGAF, dan ISO 27000. COBIT bertindak sebagai integrator pedoman yang menggabungkan semua solusi di bawah satu payung.

Kerangka Kerja COBIT 

Kerangka kerja COBIT terdiri dari beberapa guidelines (arahan), yakni :

• Control Objectives

Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives)yang tercermin dalam 4 domain, yaitu : planning & organization, acquisition &implementation, delivery & support, dan monitoring.

• Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives)untuk membantu para auditor dalam memberikan management assurance atausaran perbaikan.

• Management Guidelines

Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti dilakukan, seperti : apa saja indicator untuk suatu kinerja yang bagus, apa sajaresiko yang timbul, dan lain-lain.

• Maturity Models

Untuk memetakan status maturity proses-proses IT (dalam skala 0 -- 5).

IT Risk Management Framework by COBIT

COBIT (Control Objectives for Information and Related Technology) merupakan standard yang dikeluarkan oleh ITGI (The IT Governance Institute). COBIT merupakan suatu koleksi dokumen dan framework yang diklasifikasikan dan secara umum diterima sebagai best practice untuk tata kelola (IT Governance), kontrol dan jaminan TI.

Referensi perihal manajemen resiko secara khusus dibahas pada proses PO9 dalam COBIT. Prosesproses yang lain juga menjelaskan tentang manajemen resiko namun tidak terlalu detil.

Resiko adalah segala hal yang mungkin berdampak pada kemampuan organisasi dalam mencapai tujuantujuannya. Framework manajemen resiko TI dengan menggunakan COBIT (lihat gambar) terdiri dari :

1.  Penetapan Objektif

Kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objektif TI. Terdapat tujuh kriteria informasi dari COBIT yaitu : effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability.

2.  Identifikasi Resiko

Identifikasi resiko merupakan proses untuk mengetahui resiko. Sumber resiko bisa berasal dari :

*  Manusia, proses dan teknologi

*  Internal (dari dalam perusahaan) dan eksternal(dari luar perusahaan)

*  Bencana (hazard), ketidakpastian (uncertainty) dan kesempatan (opportunity).

Dari ketiga sumber resiko tersebut dapat diketahui kejadian-kejadian yang dapat mengganggu perusahaan dalam mencapai objektifnya (lihat tabel event diatas).

3.  Penilaian Resiko

Proses untuk menilai seberapa sering resiko terjadi atau seberapa besar dampak dari resiko (tabel 2.2). Dampak resiko terhadap bisnis (business impact) bisa berupa : dampak terhadap financial, menurunnya reputasi disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan aset yang dapat dinilai (sistem dan data), dan penundaan proses pengambilan keputusan.

Sedangkan kecenderungan (likelihood) terjadinya resiko dapat disebabkan oleh sifat alami dari bisnis, struktur dan budaya organisasi, sifat alami dari sistem (tertutup atau terbuka, teknologi baru dan lama), dan kendali-kendali yang ada. Proses penilaian resiko bisa berupa resiko yang tidak dapat dipisahkan (inherent risks) dan sisa resiko (residual risks).

4.  Respon Resiko

Untuk melakukan respon terhadap resiko adalah dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen resiko. Jika sisa resiko masih melebihi resiko yang dapat diterima (acceptable risks), maka diperlukan respon resiko tambahan. Proses-proses pada framework COBIT (dari 34 Control Objectives) yang sesuai untuk manajemen resiko adalah :

*             PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage Risks)

*             AI6 (Manages Change)

*             DS5 (Ensure System and Security) dan DS11 (Manage Data)

*             ME1 (Monitor and Evaluate IT Performance)

5. Monitor Resiko

Setiap langkah dimonitor untuk menjamin bahwa resiko dan respon berjalan sepanjang waktu