DEVINISI COBIT
COBIT (Control Objectives for Information and Related Technology) merupakan audit sistem informasi dan dasar pengendalian
yang dibuat oleh Information Systems Audit and Control
Association (ISACA)
dan IT Governance Institute (ITGI) pada tahun 1992.
COBIT Framework adalah standar kontrol yang umum terhadap teknologi informasi, dengan memberikan kerangka kerja dan kontrol terhadap teknologi informasi yang dapat diterima dan diterapkan secara internasional.
COBIT Framework adalah standar kontrol yang umum terhadap teknologi informasi, dengan memberikan kerangka kerja dan kontrol terhadap teknologi informasi yang dapat diterima dan diterapkan secara internasional.
SIAPA SAJA PENGGUNA COBIT?
COBIT dikembangkan sebagai suatu generally
applicable and accepted standard for good Information Technology (IT) security
and control practices . Istilah “ generally
applicable and accepted ” digunakan secara eksplisit
dalam pengertian yang sama seperti Generally
Accepted Accounting Principles (GAAP).
Sedang, COBIT’s “good practices” mencerminkan konsensus antar
para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools,
dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting
lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila
terjadi suatu kesimpang-siuran dalam penerapan teknologi.
Suatu perencanaan Audit Sistem Informasi berbasis teknologi
(audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan area-area
yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses
tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas
proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses
tersebut.
Lebih lanjut, auditor dapat menggunakan Audit Guidelines
sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT
khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri,
kondisi TI di Perusahaan atau organisasi Anda, atau objek khusus di lingkungan
TI.
Selain dapat digunakan oleh Auditor, COBIT dapat juga
digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan
pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang
sangat membantu dalam penerapan IT Governance di perusahaan. IS
Jadi
pengguna-pengguna COBIT adalah auditor,
manajemen and pengguna (user )
SKALA MATURITY PADA COBIT
Maturity model adalah suatu metode untuk
mengukur level pengembangan manajemen proses, yang berarti adalah mengukur
sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya pengembangan atau
kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan COBIT
Maturity model dapat digunakan
untuk memetakan :
1. Status pengelolaan TI
perusahaan pada saat itu.
2. Status standart industri dalam
bidang TI saat ini (sebagai pembanding)
3. status standart internasional
dalam bidang TI saat ini (sebagai pembanding)
4. strategi pengelolaan TI
perusahaan (ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan)
Tingkat kemampuan pengelolaan TI
pada skala maturity dibagi menjadi 6 level :
· Level 0(Non-existent);
perusahaan tidak mengetahui sama sekali proses teknologi informasi di
perusahaannya
· Level
1(Initial Level); pada level ini, organisasi pada umumnya tidak menyediakan
lingkungan yang stabil untuk mengembangkan suatu produk baru. Ketika suatu
organisasi kelihatannya mengalami kekurangan pengalaman manajemen, keuntungan
dari mengintegrasikan pengembangan produk tidak dapat ditentukan dengan
perencanaan yang tidak efektif, respon sistem. Proses pengembangan tidak dapat
diprediksi dan tidak stabil, karena proses secara teratur berubah atau
dimodifikasi selama pengerjaan berjalan beberapa form dari satu proyek ke
proyek lain. Kinerja tergantung pada kemampuan individual atau term dan
varies dengan keahlian yang dimilikinya.
· Level
2(Repeatable Level); pada level ini, kebijakan untuk mengatur pengembangan
suatu proyek dan prosedur dalam mengimplementasikan kebijakan tersebut
ditetapkan. Tingkat efektif suatu proses manajemen dalam mengembangankan proyek
adalah institutionalized, dengan memungkinkan organisasi untuk
mengulangi pengalaman yang berhasil dalam mengembangkan proyek sebelumnya,
walaupun terdapat proses tertentu yang tidak sama. Tingkat efektif suatu proses
mempunyai karakteristik seperti; practiced, dokumentasi, enforced,
trained, measured,dan dapat ditingkatkan. Product requirement dan
dokumentasi perancangan selalu dijaga agar dapat mencegah perubahan yang tidak
diinginkan.
· Level 3(Defined Level); pada
level ini, proses standar dalam pengembangan suatu produk baru
didokumentasikan, proses ini didasari pada proses pengembangan produk yang
telah diintegrasikan. Proses-proses ini digunakan untuk membantu manejer, ketua
tim dan anggota tim pengembangan sehingga bekerja dengan lebih efektif. Suatu
proses yang telah didefenisikan dengan baik mempunyai karakteristik; readiness
criteria, inputs, standar dan prosedur dalam mengerjakan suatu proyek,
mekanisme verifikasi, output dan kriteria selesainya suatu proyek. Aturan dan
tanggung jawab yang didefinisikan jelas dan dimengerti. Karena proses perangkat
lunak didefinisikan dengan jelas, maka manajemen mempunyai pengatahuan yang
baik mengenai kemajuan proyek tersebut. Biaya, jadwal dan kebutuhan proyek
dalam pengawasan dan kualitas produk yang diawasi.
· Level
4(Managed Level); Pada level ini, organisasi membuat suatu matrik untuk suatu
produk, proses dan pengukuran hasil. Proyek mempunyai kontrol terhadap produk
dan proses untuk mengurangi variasi kinerja proses sehingga terdapat batasan
yang dapat diterima. Resiko perpindahan
teknologi produk, prores manufaktur, dan pasar harus diketahui dan diatur
secara hati-hati. Proses pengembangan dapat ditentukan karena proses diukur dan
dijalankan dengan limit yang dapat diukur.
· Level 5(Optimized Level); Pada level ini, seluruh organisasi
difokuskan pada proses peningkatan secara terus-menerus. Teknologi informasi
sudah digunakan terintegrasi untuk otomatisasi proses kerja dalam perusahaan,
meningkatkan kualitas, efektifitas, serta kemampuan beradaptasi perusahaan. Tim
pengembangan produk menganalisis kesalahan dan defects untuk
menentukan penyebab kesalahannya. Proses pengembangan melakukan evaluasi untuk
mencegah kesalahan yang telah diketahui dan defects agar tidak terjadi lagi.
