Seperti yang sudah dijelaskan sebelumnya dengan judul Tata Kelola TI – Sebuah Konsep Pengelolaan TI yang bersinergi dengan Tata Kelola Perusahaan. Dimana pada tulisan tersebut Kami membahas mengenai Perlunya pengelolaan Teknologi Informasi, dimana sering kita mendengar istilah Tata Kelola IT (IT Governance). Tata Kelola TI merupakan bagian yang tidak terpisahkan dari Tata Kelola Perusahaan (Good Corporate Governance). Teknologi Informasi (TI) adalah faktor penting dalam meraih sukses di era ekonomi informasi ini.
Pada pembahasan kali ini Kami akan membahas mengenai spesifik dari Frame Work COBIT.COBIT (Control Objectives for Information and related Technology) merupakan standar Tata Kelola TI yang dikembangkan oleh IT Governance Institute (ITGI), yaitu sebuah organisasi yang melakukan studi tentang model Tata Kelola TI yang berbasis di Amerika Serikat. Berbeda dengan standar-standar Tata Kelola TI lainnya, COBIT mempunyai cakupan yang lebih luas, komprehensif, dan mendalam dalam melihat proses pengelolaan TI.
COBIT memungkinkan perusahaan mengembangkan kebijakan yang jelas dan praktek-praktek terbaik (best practices) untuk pengendalian TI. COBIT dirancang sebagai tool Tata Kelola TI guna membantu managemen dalam mengelola dan memahami resiko-resiko bisnis dan keuntungan-keuntungan yang berhubungan dengan informasi dan TI terkait. Dalam mendukung Tata Kelola TI, COBIT menyediakan kerangka kerja yang memastikan bahwa TI telah diselaraskan dengan bisnis, sumberdaya TI telah digunakan secara bertanggungjawab, dan resiko-resiko TI ditangani dengan tepat.
Pada dasarnya struktur COBIT terdiri dari ringkasan eksekutif (executive summary), kerangka kerja (framework) berorientasi bisnis yang mencakup seluruh aktifitas TI, pedoman manajemen (management guidelines), sasaran pengendalian rinci (detailed control objectives), pedoman audit (audit guidelines), dan kumpulan alat implementasi (implementation tool set).
Prinsip Dasar Kerangka Kerja COBIT
Kerangka kerja COBIT merupakan kumpulan praktek-praktek terbaik (best practices) dan bersifat generik, digunakan sebagai acuan dalam menentukan sasaran kendali (control objectives) dan proses-proses TI yang diperlukan dalam pengelolaan TI.
Secara umum Kebutuhan bisnis terkait dengan implementasi IT terdiri dari beberapa kebutuhan (kriteria informasi) :
- Informasi yang bersifat efektif
- Informasi yang bersifat efisien
- Informasi yang bersifat rahasia
- Informasi yang bersifat Utuh
- Informasi yang bersifat tersedia
- Informasi yang bersifat sesuai dengan regulasi (compliance)
- Informasi yang bersifat Handal
Dari kebutuhan bisnis tersebut diatas, pengelolaan IT yang baik harus bisa menjaga agar informasi diatas bisa terealisasi. jadi jangan sampai implementasi IT pada suatu perusahaan bisa berakibat tidak efisien, tidak efektif, informasi rahasia perusahaan bisa bocor, dll. Sedangkan dari aspek sumber daya IT terdiri dari beberaha hal , antara lain :
- IT memiliki data-data
- IT memiliki sistem Aplikasi
- IT memiliki Teknologi
- IT memiliki Fasilitas & Infrastruktur
- IT memiliki sumber daya manusia
Konsep dasar dari kerangka kerja COBIT adalah bahwa kendali untuk TI di dekati dengan melihat informasi yang dibutuhkan untuk mendukung sasaran dan kebutuhan bisnis dan melihat informasi sebagai hasil perpaduan dari berbagai sumberdaya TI yang harus dikelolal melalui proses TI. Untuk memastikan terpenuhinya kebutuhan bisnis akan informasi, maka kendali yang tepat untuk pengukuran harus di definisikan, diimplementasikan dan dipantau ke seluruh sumber-sumber daya tersebut.
Kerangka kerja COBIT terdiri dari 3 level control objectives dimulai dari level paling bawah yaitu activities. Activities merupakan kegiatan rutin yang memiliki konsep siklus hidup. Selanjutnya kumpulan activites dikelompokkan dalam proses TI (processes), kemudian proses-proses TI yang memiliki permasalahan yang sama dikelompokkan ke dalam domain (domains).
Proses-Proses TI
Kerangka kerja COBIT mengidentifikasi 34 proses TI (Gambar dibawah) yang dikelompokkan ke dalam 4 domain utama, yaitu domain Planning and Organisation (PO), Acquisition and Implementation (AI), Delivery and Support (DS), dan Monitoring (M). Setiap domain memiliki karakteristik yang berbeda. Peran dan fungsi dari masing- masing domain adalah sesuai dengan siklus struktur kerangka kerja COBIT seperti yang diperlihatkan dalam Gambar dibawah. Pada gambar tersebut terdapat sumber daya TI yang secara prinsip tersedia dalam jumlah yang terbatas.
Untuk menyediakan informasi yang mendukung sasaran dan kebutuhan bisnis, maka penggunaan sumber daya TI perlu diatur dan dilakukan sesuai siklus langkah-langkah yang terbagi ke dalam empat domain tersebut.
Domain Planning & Organization (PO)
Merupakan domain yang menitikberatkan kepada proses perencanaan penerapan TI dan keselarasannya dengan tujuan yang ingin dicapai oleh perusahaan secara umum. Domain ini meliputi taktik dan strategi serta menyangkut proses identifikasi cara terbaik TI untuk memberikan kontribusi yang maksimal terhadap pencapaian tujuan bisnis perusahaan. Realisasi dari strategi perlu direncanakan, dikomunikasikan dan dikelola dengan berbagai sudut pandang yang berbeda. Implementasi strategi harus disertai dengan infrastruktur yang memadai dan dapat mendukung kegiatan bisnis perusahaan. Pada dasarnya domain ini bertugas untuk menjawab pertanyaan-pertanyaan berikut :
- Apakah teknologi informasi dan strategi bisnis sesuai?
- Apakah perusahaan mencapai penggunaan yang optimal dari seluruh sumberdayanya?
- Apakah setiap orang dalam organisasi memahami tujuan teknologi informasi?
- Apakah resiko teknologi informasi telah dipahami dan dikelola?
- Apakah kualtias sistem teknologi informasi sesuai dengan kebutuhan bisnis?
Secara lebih detil proses-proses TI dalam domain ini adalah sebagai berikut :
- PO1 – Define a strategic IT Plan. Tujuan dari proses ini adalah untuk menentukan rencana strategis TI yang dapat memenuhi kebutuhan bisnis. Menyeimbangkan antara peluang teknologi TI dengan kebutuhan bisnis organisasi sehingga tujuan bisnis dapat tercapai.
- PO2 – Define the information architecture. Tujuan dari proses ini adalah menentukan arsitektur informasi yang memenhi kebutuhan bisnis dalam melakukan optimasi sistem informasi organisasi.
- PO3 – Determine the technological direction. Tujuan dari proses ini adalah menentukan sasaran teknologi yang memenuhi kebutuhan bisnis untuk memanfaatkan keunggulan teknologi yang tersedia dan berkembang agar dapat mendukung kebutuhan bisnis.
- PO4 – Define the IT organization and relationships. Proses ini bertujuan untuk menentukan organisasi TI dan hubungannya yang memenuhi kebutuhan bisnis agar memberikan layanan TI yang tepat.
- PO5 – Manage the investment. Tujuan dari proses ini adalah mengatur investasi TI yang memenuhi kebutuhan bisnis untuk memastikan pembiayaan dan untuk mengenalikan penyebaran sumberdaya keuangan.
- PO6 – Communicate management aims and direction. Tujuan dari proses ini adalah untuk mengkomunikasikan tujuan dan petunjuk managemen yang memenuhi kebutuhan bisnis untuk menyakinkan kesadaran pengguna dan pemahaman tujuan-tujuan tsb.
- PO7 – Manage human resources. Tujuan dari proses ini adalah mengelola sumberdaya manausia yang memenuhi kebutuhan bisnis untuk memperoleh dan merawat tenaga kerja yang termotivasi dan cakap dan memaskimalkan kontribusi personil untuk proses TI.
- PO8 – Ensure compliance with ecternal requirements. Tujuan dari proses ini adalah untuk memastikan kesesuaian dengan kebutuhan eksternal yang memenuhi kebutuhan bisnis agar sesuai dengan peraturan dan kewajiban kontrak yang ada.
- PO9 – Assess Risk. Tujuan dari proses ini adalah memperkirakan atau menilai resiko untuk mendukung keputusan managemen dalam pencapaian tujuan TI dan merespon ancaman dengan cara mereduksi kompleksitas, meningkatkan objektivitas, dan identifikasi faktor-faktor keputusan yang penting.
- PO10 – Manage projects. Tujuan dari proses ini adalah mengatur proyek yang memenuhi kebutuhan bisnis untuk menetapkan prioritas dan untuk menyampaikannya tepat waktu dan sesuai anggaran.
- PO11 – Manage quality. Tujuan dari proses ini adalah untuk mengatur kualitas yang memenuhi kebutuhan bisnis untuk mempertemukan kebutuhan customer TI.
Domain Acquired & Implement (AI)
Domain ini menitikberatkan kepada strategi dan proses pemilihan teknologi yang akan digunakan dan proses implementasinya. Untuk merealisasikan strategi TI yang telah ditetapkan harus disertai solusi yang sesuai. Solusi TI kemudian ditiadakan dan diimplementasikan dan diintegrasikan ke dalam proses bisnis perusahaan. Domain ini menjawab pertanyaan-pertanyaan sebagai berikut :
- Apakah proyek-proyek baru akan memberikan solusi untuk memenuhi kebutuhan bisnis?
- Apakah proyek baru kemungkinan besar akan diimlementasikan tepat waktu?
- Apakah sistem baru tersebut akan bekerja sesuai dengan anggaran?
- Apakah perubahan dilakukan tanpa mengganggu operasi bisnis saat ini?
Proses-proses TI pada domain AI adalah :
- AI1 – Identify automated solution. Proses ini menitikberatkan pada kontrol terhadap pelaksanaan identifikasi solusi-solusi TI terotomatisasi. Tujuan dari proses ini adalah menjamin efektivitas dan efisiensi sesuai pendekatan dalam hal kepuasan terhadap kebutuhan pengguna.
- AI2 – Acquire and maintain application software. Tujuan dari proses ini adalah untuk menyediakan fungsi-fungsi yang telah terotomatisasi dan secara efektif mampu mendukung proses bisnis.
- AI3 – Acquire and maintain technology infrastructure. Tujuan dari proses ini adalah menyediakan berbagai platform yang tepat untuk mendukung aplikasi bisnis.
- AI4 – Develop and maintain procedure. Merupakan proses rekayasa terhadap prosedur-prosedur pengelolaan TI yang ada (meliputi : pengembangan, implementasi, dan perawatan terhadap prosedur-prosedur tsb). Tujuan dari proses ini adalah untuk menjamin bahwa penggunaan aplikasi-aplikasi dan solusi-solusi teknologi dalam Tata Kelola TI mendapat peran yagn semestinya dan sesuai pada tempatnya.
- AI5 – Install and accredit systems. Tujuan dari proses inia dalah untuk melakukan verifikasi dan konfirmasi bahwa solusi-solusi teknologi yang diberikan sesuai dengan tujuan yang diharapakan.
- AI6 – Manage change. Tujuan dari proses ini adlah meminimalisasi kemungkinan gangguan, kesalahan dan perubahan yang tidak sah.
Domain Deliver & Support (DS)
Domain ini menyangkut permasalahan pemenuhan layanan TI, keamanan sistem, kesinambungan layanan, pelatihan, dan pendidikan untuk pengguna, dan pengelolaan data yang sedang berjalan. Biasanya untuk menjawab pertanyaan-pertanyaan sebagai berikut :
- Apakah layanan TI yang disampaikan sejalan dengan prioritas bisnis?
- Apakah biaya-biaya TI dapat dioptimalisasikan?
- Apakah pekerja dapat menggunakan sistem secara produktif dan aman?
- Apakah sistem pengamanan informasi memiliki kerahasiaan, integritas, dan ketersediaan yang baik?
Proses-proses TI yang ada di dalam domain ini adalah :
- DS1 – Define service levels. Tujuan dari proses ini adalah pemenuhan terhadap pencapaian tujuan bisnis dan tingkat layanan yang dibutuhkan agar tujuan tersebut dapat diraih.
- DS2 – Manage third-party services. Tujuan dari proses ini adalah memastikan bahwa peran dan tanggungjawab dari pihak ke-3 secara jelas terdefinisikan, ditaati, dan secara berkesinambungan memenuhi kebutuhan yang dipersyaratkan.
- DS3 – Manage performance and capacity. Tujuan dari proses ini adalah memastikan kapasitas yang sepadan tersedia dan digunakan secara baik dan optimal sehingga memenuhi kebutuhan kinerja yang telah ditentukan.
- DS4 – Ensure continous service. Tujuan dari proses ini adalah menjamin bahwa layanan TI tersedia saat dibutuhkan dan memastikan dampak minimum terhadap bisnis saat terjadi kegagalan layanan.
- DS5 – Ensure systems security. Tujuan dari proses ini adalah menjaga informasi dari penggunaan dari pihak yang tidak memiliki kewenangan, dari modifikasi, kerusakan, ataupun kehilangan.
- DS6 – Identify and atribute costs. Tujuan dari proses ini adalah memastikan adanya pemahaman dan kesadaran atas biaya yang ditimbulkan oleh layanan TI.
- DS7 – Educate and train users. Tujuan dari proses ini adalah memastikan bahwa users menggunakan teknologi secara efektif dan sadar terhadap resiko yang terjadi dan bertanggungjawab.
- DS8 – Assist and advice IT customer. Tujuan dari proses ini adalah memastikan setiap problem yang dialami oleh user dapat diselesaikan.
- DS9 – Manage the configuration. Tujuan dari proses ini adalah menginventaris komponen TI, mencegah sistem dari perubahan yang terjadi tanpa otoritasi, memverifikasi kondisi fisik, dan menyediakan informasi dasar bagi managemen perubahan.
- DS10 – Manage problem and incidents. Tujuan dari proses ini adalah memastikan semua problem dan insiden dapat diselesaikan dan menyelidiki penyebabnya sehingga mencegah terjadi kembali di masa yang akan datang.
- DS11 – Manage data. Tujuan dari proses ini adalah memastikan semua data lengkap, akurat, dan valid selama proses input, update, dan penyimpanan.
- DS12 – Manage facilities. Tujuan dari proses ini adalah proteksi terhadap aset komputer dan data bisnis serta meminimalisasi resiko gangguan bisnis.
- DS13 – Manage operation. Tujuan dari proses ini adalah merawat integritas data dan memastikan bahwa infrastruktur TI dapat bertahan dan memulihkan diri dari errors dan kegagalan.
Domain Monitoring & Evaluasi (ME)
Seluruh kendali-kendali yang diterapkan pada setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam perusahaan, pemerikasaan internal, dan eksternal.
- Apakah kinerja TI diukur untuk mendektsi masalah sebelum terlambat?
- Apakah managemen meyakini bahwa pengendalian internal efektif dan efisien?
- Dapatkah kinerja TI berkorelasi dengan pencapaian tujuan bisnis?
- Apakah ada pengendalian atas kerahasiaan, integritas, dan ketersediaan dalam sistem pengamanan informasi?
Proses-proses TI yang ada di dalam domain ini adalah :
- ME1 – Monitor the process. Tujuan dari proses ini adalah memastikan diraihnya tujuan kinerja dari seluruh proses TI.
- ME2 – Assess internal control adequacy. Tujuan dari proses ini adalah memastikan pencapaian tujuan kontrol internal dari proses-proses TI yang ada.
- ME3 – Obtain independent assurance. Tujuan dari proses ini adalah meningkatkan keyakinan dan kepercayaan diantara organsasi, pelanggan dan provider pihak ke-3.
- ME4 – Provide for independent audit. Tujuan dari proses ini adalah meningkat level keyakinan dan mendapatkan keuntungan dari saran best practices.
Pedoman Managemen COBIT
Pedoman manajemen COBIT (COBIT Management guidelines) berisi pedoman dan arahan manajemen dalam hal pengontrolan dan pengukuran proses TI. Pedoman manajemen COBIT terdiri dari Model Maturity, Critical Success Factors (CSF), Key Goal Indicators (KPI), dan Key Performance Indicators (KPI).
Model Maturity
Model maturity merupakan alat bantu untuk memetakan status kematangan dari proses TI (dalam skala 0 – 5). Dengan menggunakan model maturity yang dikembangkan untuk setiap 34 proses TI COBIT maka managemen dapat mengidentifikasikan :
- Status organisasi saat ini – dimana posisi organisasi saat ini.
- Status terbaik industri saat ini (di kelasnya) – sebagai perbandingan.
- Status standar internasional saat ini – sebagai perbandingan tambahan.
- Strategi organisasi untuk perbaikan atau peningkatan – ke arah mana keinginan organisasi.
Dimana tingkat maturity proses TI dibagi ke dalam 6 skala, mulai dari 0 – Non-Existent sampai dengan 5-Optimized.
0 – Non-Existent. Tidak ada proses yang dapat dikenali. Perusahaan tidak menyadari adanya isu pengelolaan yang harus ditangani.
1 – Initial. Terdapat bukti bahwa perusahaan telah mengetahui adanya isu-isu TI yang harus ditangani. Tidak ada proses yang standar dan penaganan proses umumnya menggunakan pendekatan ad hoc case by case basis. Secara keseluruhan pendekatan yang digunakan dalam pengelolaan tidak terorganisir.
2 – Repeatable. Proses dilengkapi dengan prosedur yang diikuti oleh individu-individu yang memiliki kesamaan tugas. Tidak ada program pelatihan secara formal yang bertujuan untuk mengkomunikasikan prosedur-prosedur dan tanggungjawab setiap individu. Proses sangat bergantung pada keahlian individu.
3 – Defined. Proses dilengkapi dengan prosedur yang terstandarisasi, terdokumentasikan, dan dikomunikasikan melalui pelatihan secara formal. Walalupun demikian penyimpangan terhadap ketaatan pada prosedur masih sulit untuk dideteksi. Prosedur yang dibuat merupakan formalisasi dari kegiatan-kegiatan yang ada.
4 – Managed. Proses pengawasan dan penilaian ketaatan pada prosedur sudah diterapkan dan terdapat aktivitas untuk melakukan proses perbaikan ketika proses berjalan tidak efektif. Best practice sudah diterapkan dan diikuti. Otomatisasi dan peralatan yang digunakan masih terbatas.
5 – Optimised. Proses telah disaring pada tingkat praktek terbaik berdasarkan pada hasil perbaikan yang terus menerus dan pengukuran model maturity dengan pihak lain. TI digunakan dalam cara yang terpadu untuk mengotomatisasi arus kerja, sebagai alat bantu meningkatkan kualitas dan efektivitas dan membuat perusahaan mudah untuk beradaptasi.