Namun disisi lain kemajuan TI juga membawa peluang bisnis yang besar. Dengan melihat peluang bisnis yang tinggi serta biaya dan resiko yang besar juga maka perlu dilakukan kontrol yang sesuai bagi sistem TI yang diterapkan di organisasi yang bersangkutan, dengan menerapkan sistem kontrol yang sesuai maka akan dengan mudah dilakukan pengukuran untuk melihat sejauh mana kesesuain antara implementasi TI dengan kontrol yang diterapkan.
Sistem kontrol dalam TI yang sering digunakan antara lain adalah dengan menggunakan metode Control Objectives for Information and Related Information atau yang lebih dikenal dengan singkatan COBIT.
Pengertian COBIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani Gap antara resiko bisnis, kebutuhan control dan masalah-masalah teknis TI. COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT Control Issues.
COBIT berguna bagi IT users karena memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan investasi di bidang TI serta infrastrukturnya, menyusun strategic IT Plan, menentukan information architecture dan keputusan atas procurement (pengadaan/pembelian) aset.
COBIT dikeluarkan oleh ITGI dapat diterima secara internasional sebagai praktek pengendalian atas informasi IT dan resiko terkait. COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolah IT. COBIT juga berisi tujuan pengendalian, petunjuk audit kinerja dan hasil metrik, faktor kesuksesan dan model kedewasaan.
COBIT mempunyai 4 domaian utama yakni :
A. Domain Planning and Organization
1. PO1. Define Strategic IT Plan
Pengembangan TI Perusahaan telah direncanakan dengan menyelaraskan tujuan pengembangan TI dengan tujuan perusahaan. Tujuan jangka panjang dan fungsi jangka pendek telah direncanakan dengan acuan sistem TI yang sudah ada.
2. PO2. Define the Information Architecture
Arsitektur sistem informasi telah didesain sampai dengan level struktur data dan sistem keamanannya.
3. PO3. Determine Technological Direction
Arah penggunaan dan pengadaan teknologi yang digunakan (hardware dan software) telah direncanakan dengan memperkirakan trend perkembangan teknologi tersebut dengan aspek-aspke regulasi yang menyertainya.
4. PO4. Define the IT Organization and Relationship
Penerapana TI di perusahaan telah disertai perencanaan sumber daya manusia (SDM) yang matang. Mencakup struktur organisasi pengelolaannya dan tingkat layanan yang diberikan oleh TI.
5. PO5. Manage the IT Investment
TI di perusahaan telah disertai dengan evaluasi/penilaian pembiayaan dan keuntungan yang menyertainya.
6. PO6. Communicate Management Aims and Direction
Penerapan TI telah didukung oleh kebijakan manajemen perusahaan dan manajemen harus berperan aktif dalam menjadikan kebijakan terkait TI menjadi kebijakan perusahaan secara umum.
7. PO7. Manage Human Resources
Penerapan TI di perusahaan telah disertai pengelolaan SDM seperti pelatihan, penentuan deskripsi kerja yang jelas dan penilaian kinerja personil.
8. PO8. Ensure Compliance with External Requirement
Penerapan TI di perusahaan telah disertai dengan perencanaan pemenuhan kebutuhan pihak, seperti pemenuhan standard keamanan dan ergonomic, privasi dan kekayaan intelektual, dan e-commerce.
9. PO9. Assess Risks
Penerapan TI di perusahaan telah disertai perencanaan pengukuran (dan metode pengukuran) resiko-resiko bisnis (umum) dan resiko-resiko terkait penerapan TI dan pendekatan penanganan resiko-resiko tersebut.
10. PO10. Manage Projects
Penerapan TI di perusahaan telah disertai perencanaan proses implementasinya, seperti keikutsertaan departemen-departemen dalam menentukan kebutuhan TI, pendefinisian proyek, evaluasi, testing dan pelatihannya.
11. PO11. Manage Quality
Proses desain dan implementasi selalu dipantau dengan berpijak kepada metodologi-metodologi pengembangan TI yang umum digunakan.
B. Domain Acquisition and Implementation
1. AI1. Identify Automated Solutions
Penerapan TI yang dilakukan dengan menggunakan bundle teknologi siap pakai yang ada di pasaran.
2. AI2. Acquire and Maintain Application Software
Software yang digunakan oleh perusahaan telah diketahui dengan pasti arsitektur dan spesifikanya, seperti antarmuka, standard output, controllability, pengumpulan data.
3. AI3. Acquire and Maintain Technology Infrastructure
Infrastruktur teknologi yang digunakan telah dapat dipastikan kemampuannya dalam hal keamanan, kemudahan instalasi, perawatan dan perubahannya.
4. AI4. Develop and Maintain Procedures
Penerapan TI di perusahaan telah disertai dengan pendefinisian kebutuhan operasional dan tingkat layanan, manual prosedur penggunaan, dan materi pelatihannya.
5. AI5. Install and Accredit Systems
Penerapan TI di perusahan telah disertai dengan perencanan implementasi, penentuan strategi testing, evaluasi pemenuhan kebutuhan pengguna dan review manajemen perusahaan.
6. AI6. Manage Changes
Penerapan TI di perusahaan telah disertai dengan pengukuran akibat penerapan TI tersebut kepada karyawan dan fungsi kerja perusahaan, perencanaan penerapan perubahan, dan mengantisipasi akibat perusahaan tersebut.
C. Define Delivery and Support
1. DS1. Define and Manage Service Level
Setiap tingkatan layanan TI yang dibutuhkan pengguna/unit kerja telah ditetapkan dan didefinisikan secara jelas, mencakup tanggungjawab definisi, tanggungjawab dari fungsi TI, availability, kinerja layanan TI.
2. DS2. Manage Third Party Services
Kewajiban dan kesepakatan kontrak dari pihak pengelola/eksternal telah dinyatakan dengan jelas, mencakup spesifikasi layanan yang harus dipenuhi, biaya layanan dan kinerja layanan yang disepakati.
3. DS3. Manage Performance and Capacity
Ketersediaan layanan TI harus tetap terjaga dan berjalan sesuai dengan kinerja yang diharapkan, sesuai dengan kebutuhan bisnis perusahaan.
4. DS4. Ensuring Continuos Services
Dampak yang disebabkan oleh terganggunya layanan TI yang dibutuhkan, dalam memenuhi kegiatan bisnis perusahaan, harus dapat ditekan ke tingkat yang paling minimum/dapat diterima.
5. DS5. Ensure System Security
Keamanan sistem harus tetap terjaga dari berbagai ancaman, baik ancaman fisik (bencana alam, keamanan ruang server, kebakaran) dan ancaman logik (gangguang virus, pengaksesan data, program aplikasi dan jaringan computer oleh pihak yang tidak bertanggungjawab).
6. DS6. Identifying and Allocation Cost
Identifikasi dan alokasi Anggaran TI untuk menjaga ketersediaan sumber daya TI yang dibutuhkan dan memastikan sumber daya tersebut digunakan secara optimal.
7. DS7. Educating and Training Users
Pelatihan dan pendidikan bagi para pengguna (user) agar mereka dapat menggunakan teknologi secara efektif dan mengetahui resiko serta tanggung jawabnya dalam menggunakan teknologi tersebut.
8. DS8. Assisting and Advising Customers
Memberikan fasilitas yang dapat membantu dan memberikan saran atau solusi bagi pengguna dalam menghadapi masalah dengan penggunaan TI.
9. DS9. Managing the Configuration
Pengelolaan konfigurasi TI, mencakup pendataan, penghitungan dan verifikasi keberadaan fisik komponen TI yang dimiliki organisasi untuk mengantisipasi tindakan-tindakan yang tidak diharapkan.
10. DS10. Managing Problems and Incidents
Pengelolaan permasalahan-permasalahan dan insiden menyangkut penerapan dan pengoperasian TI di perusahaan untuk memastikan permasalahan tersebut telah ditangani, dan ditindaklanjuti secara benar.
11. DS11. Managing Data
Pengelolaan data (proses input, pemrosesan dan output) untuk menjamin integritas, keakuratan dan validasi data.
12. DS12. Managing Facilities
Pengelolaan fasilitas, menyediakan fasilitas yang baik, dapat melindungi seluruh peralatan TI dan manusia dari ancaman kerusakan yang disebabkan oleh alam atau manusia.
13. DS13. Managing Operation
Pengelolaan Operasional, memastikan fungsi-fungsi dukungan TI (seperti preventive maintenance, network service management) dilakukan secara regular.
D. Domain Monitoring and Evaluate
1. M1. Monitoring the Process
Memastikan tercapainya kinerja yang diharapkan dari setiap proses TI yang diterapkan.
2. M2. Assess Internal Control Adequacy
Kesesuain kendali-kendali intern harus dievaluasi dan dinilai secara regular, hal ini ditujukan agar setiap kendali yang diterapkan benar-benar dapat mencapai tujuan yang telah ditetapkan.
3. M3. Obtain Independent Assurance
Meningkatkan kepercayaan diantara organisasi, pengguna, dan penyedia jasa layanan TI eksternal (third party service provider).
4. M4. Provides for Independent Audit
Menyelenggarakan audit TI yang dilakukan oleh pihak independent untuk meningkatkan kepercayaan dan memastikan kesesuaian penerapan dan pengelolaan TI dalam mendukung pencapaian tujuan organisasi.
CObit mempunyai model kematangan (maturity models)untuk mengontrol proses-proses TI dengan menggunakan metode penilaian (scoring)sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala nonexistent sampai dengan otimized (dari 0 sampai 5, yaitu 0-Non Existen, 1-Initial, 2-Repetable, 3-Defined, 4-Managed, 5-Optimized pendekatan ini diambil berdasarkan skala maturity model software engineering institute
Semoga Bermanfaat bagi kita,,,amin.
Referensi :
1. Makalah dengan Judul Audit Kinerje TI Fasilkom dengan COBIT (Adi Guna Darmadi, Jurusan Sistem Informasi, Fasilkom Unsri, 2009)
2. Pengukuran Teknologi Informasi Menggunakan Framework Cobit V.4.1 Ping Test dan CAAT pada PT Bank X Tbk di Bandung (Nanang Sasongko, Jurusan Akuntansi FE UNJANI, Bandung 2009)
3. Sumber lain dari internet
Tidak ada komentar:
Posting Komentar