Apa itu COBIT? COBIT (Control Objective for Information & Related Technology) adalah sekumpulan dokumentasi best practice untuk IT Governance (tata kelola TI) yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009). Sampai saat ini, COBIT masih dipandang sebagai teknologi terbaik yang digunakan dalam audit sistem informasi.
Lalu apakah ada teknologi lain selain COBIT? Jawabannya adalah ada. Sebelum COBIT, dikenal ITIL (Information Technology Infrastructure Library). Keduanya sama-sama kerangka kerja (framework) dalam audit sistem informasi.
COBIT merupakan a set of best practice (framework) bagi pengelolaan teknologi informasi (IT management) yang secara lengkap terdiri dari: executive summary, framework, control objectives, audit guidelines, implementation tool set serta management guidelines yang sangat berguna untuk proses sistem informasi strategis. COBIT berguna bagi IT users dalam memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan saat menyusun strategic IT plan, menentukan information architecture, dan keputusan atas procurement (pengadaan/pembelian) inventaris organisasi.
(Hariyanto, 2013) Menjelaskan mengenai domain terbagi dalam 34 Control Objective:
1. Plan and Organise (PO), Secara umum domain ini meliputi strategi dan taktik, serta identifikasi bagaimana TI dapat berkontribusi terhadap pencapaian sasaran bisnis. Domain ini dibagi ke dalam 10 fase dalam prosesnya, yaitu:
- PO1: Mendefinisikan rencana strategis TI
- PO2: Mendefinisikan arsitektur informasi
- PO3: Menentukan arahan teknologi
- PO4: Mendefinisikan proses TI, organisasi dan keterhubungannya
- PO5: Melelola investasi TI
- PO6: Mengkomunikasikan tujuan dan arahan manajemen
- PO7: Mengelola sumber daya TI
- PO8: Mengelola kualitas
- PO9: Menaksir dan mengelola resiko TI
- PO10: Mengelola proyek
2. Acquire and Implement (AI), Domain ini menggambarkan bagaimana perubahan dan pemeliharaan dari sistem yang ada selaras dengan sasaran bisnis. Domain AI terbagi menjadi tujuh proses TI yang dapat dilihat pada tabel berikut:
- AI1: Mengidentifikasi Solusi Otomatis
- AI2: Memperoleh dan Memelihara Software Aplikasi
- AI3: Memperoleh dan Memlihara Infrastruktur Teknologi
- AI4: Memungkinkan Operasional dan Penggunaan
- AI5: Memenuhi Sumber Daya TI
- AI6: Mengelola Perubahan
- AI7: Instalasi dan Akreditasi Solusi beserta Perubahannya
3. Deliver and Support (DS), Domain ini mencakup penyampaian hasil aktual dari layanan yang diminta, termasuk pengelolaan kelancaran dan keamanan, dukungan layanan terhadap pengguna serta pengelolaan data dan operasional fasilitas, yang meliputi:
- DS1: Mengidentifikasi dan Mengelola Tingkat Layanan
- DS2: Mengelola Layanan Pihak Ketiga
- DS3: Mengelola Kinerja dan Kapasitas
- DS4: Memastikan Layanan yang Berkelanjutan
- DS5: Memastikan Keamanan Sistem
- DS6: Mengidentifikasi dan Mengalokasikan Biaya
- DS7: Mendidik dan Melatih Pengguna
- DS8: Mengelola service desk
- DS9: Mengelola Konfigurasi
- DS10: Mengelola Permasalahan
- DS11: Mengelola Data
- DS12: Mengelola Lingkungan Fisik
- DS13: Mengelola Operasi
4. Monitor and Evaluate (ME), Domain ini terkait dengan kinerja manajemen, kontrol internal, pemenuhan terhadap aturan serta menyediakan tata kelola. Fungsi doman ini sendiri adalah untuk memastikan seluruh proses TI dapat dikontrol secara periodik yang bermaksud untuk menjaga kualitas dan pemenuhan kebutuhan pasar. Berbeda dari domain yang lain, ME hanya terdiri dari 4 proses TI, yaitu:
- ME1: Mengawasi dan Mengevaluasi Kinerja TI
- ME2: Mengawasi dan Mengevaluasi Kontrol Internal
- ME3: Memastikan Pemenuhan terhadap Kebutuhan Eksternal
- ME4: Menyediakan Tata Kelola TI
Implementasi COBIT dipercaya dapat membantu perusahaan dalam hal meningkatkan pendekatan/program audit, mendukung audit kerja dengan arahan audit secara rinci, memberikan petunjuk untuk IT governance, sebagai penilaian benchmark untuk kendali IS/IT, meningkatkan control IS/IT, dan sebagai standarisasi pendekatan/program audit.
Sumber Referensi