Kamis, 07 April 2011

COBIT Versi 5 2011.

Apa itu COBIT

Sebelum bercerita lebih jauh ada baiknya saya berbagi cerita mengenai siapa sebenarnya COBIT itu?

COBIT ( Control Objective Information & Related Technology ) adalah sebuah frame work tata kelola TI dan alat pendukung yang akan membantu para top level IT Manajemen untuk menjembatani kesenjangan antara kebutuhan kontrol, isu isu teknis dan risiko bisnis. COBIT memungkinkan pengembangan policy yang jelas dan implemented untuk mengontrol seluruh aspek yang berkaitan dengan teknologi informasi sebuah organisasi. COBIT menekankan kepatuhan pada peraturan dan membantu organisasi untuk meningkatkan value dari sistem TI yang mereka bangun serta membantu penyelarasan antara tujuan teknologi informasi dan tujuan perusahaan. Selain tu COBIT juga dibuat sangat sederhana dengan tujuan agar sebuah frame work IT Governance mudah dilaksanakan.

COBIT dikembangkan oleh IT Governance Institut ( ITGI ) yang merupakan salah satu bagian dari ISACA ( Information System Audit & Control Association ). Seperti kita ketahui ISACA merupakan organisasi yang diakui sebagai salah satu lembaga yang menciptakan standart sistem audit dan kontrol di bidang teknologi informasi. Selain COBIT produk ISACA yang lain adalah memberikan pelatihan dan sertifikasi untuk auditor seperti CISA, CISM,CGEIT.

Sesuai dengan perkembangan teknologi informasi dan juga perkembangan cara berbisnis, COBIT juga terus melakukan update terhadap model frame worknya. Sampai saat ini COBIT telah memasuki versi 4 yang di release pada tahun 2007. Untuk versi 4 saat ini juga sudah muncul sub versinya yaitu Versi 4.1. Versi 5 rencananya akan release pada tahun 2011.

Tinjauan Eksekutif COBIT 4

Tinjauan Eksekutiv COBIT 4

Bagi banyak perusahaan, teknologi informasi yang menjadi pendukung dalam proses bisnis dipandang sebgai sebuah alat yang sangat berharga, tetapi sedikit yang memahaminya sebagai bagian dari aset perusahaan. Perusahaan yang sukses menyadari manfaat teknologi informasi dan menggunakannya untuk meningkatkan nilai stakeholder mereka. Perusahaan-perusahaan ini juga memahami dan mengelola risiko yang berhubungan dengan tujuan perusahaan, seperti meningkatkan kepatuhan peraturan dan ketergantungan yang sangat kritis dalam proses bisnis teknologi informasi (TI).

Kebutuhan kepastian tentang nilai TI, manajemen risiko terkait TI dan meningkatnya kebutuhan kontrol atas informasi sekarang dipahami sebagai elemen kunci dari tata kelola perusahaan. Nilai, resiko dan kontrol merupakan inti dari pengelolaan TI. Tata kelola TI ( IT Governance ) adalah tanggung jawab eksekutif dan dewan direksi, yang terdiri dari kepemimpinan, struktur organisasi dan proses yang memastikan bahwa Sistem TI perusahaan menopang dan memperluas strategi dan tujuan organisasi.

Selanjutnya, tata kelola TI mengintegrasikan dan mengatur praktek yang baik untuk memastikan bahwa Sistem TI mendukung tujuan bisnis. Tata kelola TI memungkinkan perusahaan untuk mengambil keuntungan penuh dari informasinya, sehingga memaksimalkan keuntungan, memanfaatkan peluang dan mendapatkan keuntungan kompetitif. Hasil-hasil ini memerlukan sebuah framework sebagai fungsi kontrol atas sistem TI yang sesuai dan mendukung standart COSO (Committee of Sponsoring Organizations of the Treadway Commission), yang merupakan sebuah frame work kontrol yang diterima secara luas untuk tata kelola perusahaan dan manajemen risiko.

Organisasi perusahaan harus memenuhi persyaratan kualitas dan keamanan informasi mereka, sama seperti untuk aset perusahaan lainnya. Manajemen juga harus mengoptimalkan penggunaan sumber daya TI yang tersedia , termasuk aplikasi, informasi, infrastruktur dan Sumber daya manusia. Untuk melaksanakan tanggung jawab ini, serta mencapai tujuan perusahaan, manajemen harus memahami status arsitektur TI Perusahaan dan memutuskan konsep tata kelola dan pengendalian yang harus disediakan.

COBIT memberikan sebuah konsep pelaksanaan lintas domain dan proses serta menyajikan sebuah panduan aktivitas yang manageable dan struktur yang logis.Konsep pelaksanaan COBIT's mewakili konsensus para ahli. Mereka sangat terfokus pada fungsi kontrol pada proses bukan pada pelaksanaan. Konsep pelaksanaan ini akan membantu mengoptimalkan TI menjadi bagian dari investasi perusahaan, menjamin pelayanan dan memberikan parameter & ukuran untuk menilai saat terjadi sesuatu yang salah.

Untuk menghasilkan sebuah sistem TI yang berhasil memenuhi kebutuhan bisnis, manajemen harus merapkan sistem pengendalian internal atau kerangka kerja dalam tata kelola TI. Struktur pengendalian COBIT memberikan kontribusi terhadap kebutuhan ini dengan:
  1. Membuat hubungan antara TI dengan kebutuhan bisnis.
  2. Mengorganisasikan kegiatan TI ke dalam model proses yang berlaku secara umum.
  3. Mengidentifikasi aset utama IT untuk dapat dimanfaatkan seoptimal mungkin.
  4. Mendefinisikan tujuan pengendalian manajemen sebagai bahan evaluasi.
Orientasi bisnis COBIT terdiri dari menghubungkan tujuan bisnis terhadap tujuan TI, menyediakan metrik dan model kematangan untuk mengukur prestasi mereka, dan mengidentifikasi tanggung jawab terkait bisnis dan pemilik proses TI.

Fokus Proses COBIT digambarkan oleh model proses yang digunakan untuk membagi IT menjadi empat domain dan 34 proses sesuai dengan tanggung jawab yaitu merencanakan, membangun, menjalankan dan memantau. Menyediakan pandangan end-to-end TI. konsep arsitektur Enterprise membantu mengidentifikasi sumber daya yang penting bagi keberhasilan proses, yakni, aplikasi, informasi, infrastruktur dan Sumber daya manusia.

Secara garis besar, untuk memberikan informasi yang dibutuhkan perusahaan dalam mencapai tujuannya, sumber daya TI harus dikelola oleh serangkaian proses yang alami. Tapi bagaimana perusahaan memastikan bahwa TI masih berada dalam kontrol sehingga memberikan informasi sesuai kebutuhan perusahaan? Bagaimana cara mengelola risiko dan mengamankan sumber daya TI ? Bagaimana perusahaan memastikan bahwa TI mampu mencapai tujuannya dan mendukung bisnis perusahaan secara tepat?

Pertama, manajemen memerlukan sebuah fungsi kontrol yang mendefenisikan tujuan akhir dari sebuah pelaksanaan kebijakan, perencanaan dan prosedur, serta sebuah struktur organisasi yang dirancang untuk memberikan keyakinan bahwa:
  • Tujuan bisnis tercapai
  • Peristiwa yang tidak diinginkan akan dicegah atau dideteksi dan dikoreksi
Yang kedua, dalam lingkungan yang kompleks saat ini, manajemen harus terus mencari informasi terkondensasi dan tepat waktu untuk membuat keputusan pada nilai, risiko dan kontrol secara cepat dan tepat. Apa yang harus diukur, dan bagaimana? Perusahaan membutuhkan sebuah alat yang dapat mengukur dimana posisi mereka saat ini dan perbaikan apa yang diperlukan. Perusahaan perlu membuat sebuah manajemen tool kit untuk memantau proses perbaikan ini.

Gambar 1 : Pengelolaan Informasi
Gambar 1 menunjukkan beberapa pertanyaan tradisional dan tools manajemen informasi yang digunakan sebagai tool kit. Dalam hal ini sebuah dashboard memerlukan indikator, Setiap tindakan memerlukan scorecard, dan setiap benchmarking membutuhkan skala sebagai perbandingan. Akhirnya dapat ditarik kesimpulan tentang manfaat dari penerapan COBIT sebagai kerangka kerja tata kelola teknologi informasi meliputi:
  1. Penyelarasan yang lebih baik, berdasarkan fokus bisnis perusahaan
  2. Manajemen dapat mengerti apa yang dilakukan oleh TI
  3. Kepemilikan dan tanggung jawab yang jelas, berdasarkan orientasi proses
  4. Bersifat General dan dapat diterima oleh pihak ketiga dan regulator
  5. Pemahaman bersama antara semua pemangku kepentingan, berdasarkan pandangan umum
  6. Pemenuhan persyaratan COSO untuk kontrol lingkungan TI.
Terima Kasih

Kerangka Kerja COBIT

Kerangka Kerja COBIT

Untuk mengelola IT secara efektif, penting untuk memahami aktivitas dan risiko tata kelola TI. Teknologi Informasi pada umumnya dibagi menjadi beberapa domain tanggung jawab yaitu merencanakan, membangun, menjalankan dan memonitor. Dalam kerangka kerja COBIT domain tanggung jawab tersebut dibagi menjadi :
  1. Plan and Organise (PO) yaitu Memberikan petunjuk & arahan kepada bagian Penyedia Solusi dan Penyedia Layanan arah untuk pengiriman solusi.
  2. Acquire & Implement ( AI ) Menyediakan solusi sehingga akhirnya bisa menjadi sebuah layanan yang siap pakai ( komersial )
  3. Delivery & Support ( DS ) Menerima Solusi dan memeliharanya sehingga dapat digunakan oleh end user.
  4. Monitor & Evaluate ( ME) Memonitor seluruh proses dan memastikan semua sesuai dengan petunjuk dan arahan yang diberikan.

PLAN & ORGANISE (PO)
Domain ini mencakup strategi dan taktik, serta fokus pada identifikasi cara terbaik agar TI dapat memberikan kontribusi pada pencapaian tujuan bisnis perusahaan

Implementasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola dalam beberapa perspektif yang berbeda. Sebuah organisasi yang tepat serta pemilihan infrastruktur TI harus diletakkan pada tempatnya. Domain ini biasanya membahas pertanyaan manajemen berikut:
  • Apakah TI dan strategi bisnis sudah selaras?
  • Apakah perusahaan mencapai penggunaan optimal dari sumber dayanya?
  • Apakah setiap orang dalam organisasi memahami tujuan IT?
  • Apakah resiko TI dipahami dan dikelola dengan baik?
  • Apakah kualitas sistem TI sesuai dengan kebutuhan bisnis?

ACQUIRE AND IMPLEMENT (AI)
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan, diperoleh, dan diimplementasikan serta terintegrasi ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang ada dilindungi oleh domain ini untuk memastikan solusi terus memenuhi tujuan bisnis. Domain ini biasanya membahas pertanyaan manajemen berikut:
  • Apakah proyek baru memiliki kemungkinan untuk memberikan solusi yang sesuai dengan kebutuhan bisnis?
  • Apakah proyek baru dapat terdeliver tepat waktu dan sesuai anggaran?
  • Apakah sistem baru ini bekerja dengan baik bila diterapkan?
  • Apakah perubahan dapat dilakukan tanpa mengganggu continuitas operasi bisnis.

DELIVERY & SUPPORT (DS)

Domain ini berkaitan dengan delivery jasa yang dibutuhkan, yang meliputi pelayanan, Manajemen Security dan kontinuitas layanan, dukungan layanan ( Service Support ) bagi user, dan manajemen data dan fasilitas operasional. Domain ini biasanya membahas pertanyaan manajemen berikut:
  • Apakah layanan TI yang disampaikan sesuai dengan prioritas bisnis?
  • Apakah biaya TI sudah optimal?
  • Apakah karyawan dapat menggunakan sistem IT secara produktif dan aman?
  • Apakah kerahasiaan integritas yang memadai tersedia di tempat yang membutuhkan keamanan informasi?

MONITOR AND EVALUATE ( ME )

Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk mencapai kualitas dan memenuhi persyaratan kontrol. Domain ini ditujukan untuk manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan pemerintahan. Ini biasanya membahas pertanyaan manajemen berikut:
  • Apakah kinerja TI dapat diukur untuk mendeteksi masalah sebelum terlambat?
  • Apakah manajemen telah memastikan bahwa pengendalian internal bekerja efektif dan efisien?
  • Dapatkah kinerja TI dihubungkan kembali ke tujuan bisnis?
  • Apakah kerahasiaan integritas, ketersediaan memadai dan kontrol di tempat untuk keamanan informasi?

Control Objectives for Information and Related Technology (COBIT)

Wednesday, October 27, 2010

Dalam menerapkan Tata Kelola TI, diperlukan sebuah model standar tata kelola yang representatif dan menyeluruh, yang mencakup masalah perencanaan, implementasi, operasional dan pengawasan terhadap seluruh proses TI. Penggunaan standar Tata Kelola TI akan memberikan keuntungan-keuntungan sebagai berikut:
  1. The Wheel Exists - Penggunaan standar yang sudah ada dan mapan (mature) akan sangat efisien. Perusahaan tidak perlu mengembangkan sendiri suatu kerangka kerja dengan mengandalkan pengalamannya sendiri yang tentunya sangat terbatas.
  2. Structured - Standar menyediakan suatu kerangka kerja yang terstruktur yang mudah dipahami dan diikuti manajemen. Kerangka kerja yang terstruktur dengan baik akan memberikan setiap orang pandangan yang relatif sama.
  3. Best Practices - Standar telah dikembangkan dalam jangka waktu yang relatif lama dan melibatkan ratusan orang dan organisasi diseluruh dunia. Pengalaman yang direfleksikan dalam model-model tata kelola yang ada tidak dapat dibandingkan dengan suatu usaha dari satu perusahaan tertentu.
  4. Knowledge Sharing - Dengan mengikuti standar yang umum, manajemen akan dapat berbagi ide dan pengalaman antar organisasi melalui user groups, website, majalah, buku dan media informasi lainnya. Auditable - Tanpa standar baku, akan sulit bagi auditor, terutama auditor dari pihak ketiga untuk melakukan kontrol secara efektif. Dengan adanya standar, maka baik manajemen maupun auditor memiliki dasar yang sama dalam melakukan pengelolaan TI dan pengukurannya.
Saat ini telah banyak dikembangkan model standar Tata kelola TI. Setiap standar memiliki fokus penekanan yang berbeda-beda serta kelebihan dan kekurangan masing-masing. Beberapa model standar Tata Kelola TI yang banyak digunakan pada saat ini, antara lain:
  1. Control Objectives for Information and Related Technology (COBIT)
  2. Committee of Sponsoring Organization of the Treadway Commission (COSO)
  3. The International Organization for Standardization / The International Electrotechnical Commission (ISO/IEC 17799)
  4. The Information Technology Infrastructure Library (ITIL)
Perbedaan fungsi dan hubungan antara beberapa standart atau model yang menjadi acuan tata kelola TI dapat dilihat pada gambar dibawah ini :
COBIT merupakan sebuah model tata kelola TI yang memberikan sebuah arahan yang lengkap mulai dari quailty system, perencanaan, project manajemen, keamanan, pengembangan dan pengelolaan layanan. Arahan dari COBI kemudian di detailkan kembali oleh beberapa model framework sesuai dengan perkembangan keilmuan.

COBIT 1 2 3 4

COBITの概要

COBITフレームワークの進化

COBITフレームワークの進化

COBITの「フレームワーク(Framework)」は1994年公表の第一版で定義されました。その定義に従って国際的な基準やガイドラインお よびベストプラクティスの研究が行なわれ、これが「コントロール目標(Control Objectives)」の開発に結びつきました。
次に、これらのコントロール目標が適切に導入されているかどうかを評価するために、「監査ガイドライン(Audit guidelines)」が開発されました。
その後、1998年に第二版が、2000年に第三版がリリースされました。第三版では「マネジメント・ガイドライン(Management Guidelines)」も追加され、2005年末にCOBIT4.0がリリースされ、RACIチャート、KGI、KPIといったツールも整備されまし た。現在は、COBIT4.0のフィードバックを反映し、COBIT4.1に至っています。 クリックすると拡大します

COBITの関連製品

COBITは複数の冊子で構成されています。COBITに関する製品群は、ITガバナンスに関する冊子や他の文献を併せた三角形の図で全体像をあらわしています(COBIT4.1ベース)。
右図に示されるように、COBITは組織の経営層、監査人やIT部門といった様々な方々に活用していただけるよう設計されています。
COBIT製品(ファミリー)としては、以下の資料やツールがダウンロードもしくはご利用可能です。
【資料】

COBIT 4.1 日本語版(無償)

取締役会のためのITガバナンスの手引き 日本語版(無償)

IT Assurance Guide: Using COBIT(英語版のみ ISACA会員のみ

COBIT Control Practices, 2nd Edition(英語版のみ ISACA会員のみ

COBIT for SOX 2nd Edition 日本語版(無償)

COBIT Quickstart 2nd Edition(英語版のみ ISACA会員のみ

COBIT SECURITY BASELINE 2ndEdition(英語版のみ ISACA会員のみ

【ツール】

COBIT Online(英語版のみ)

COBITキューブ

COBITフレームワークの活用

COBITフレームワークを活用するメリットとして
COBITは他の規格やベストプラクティスと連携しており、それらと併用することができる
COBITフレームワークとCOBITをサポートするベストプラクティスにより、組織内のIT環境を適切に管理し、柔軟性を向上できる
COBITにより、ビジネス上の必要性に即応できるITコントロール環境が構築され、コントロールの実行責任という点で管理や監査の機能を提供できる
COBITは、ITアクティビティを管理するために役立つツールを提供している
また、伝統的には、情報システム監査の監査計画作成などに活用されており、現状のITコントロールの評価やリスク評価等にも活用できます。
最近では、米国SOX法への対応において、COSO準拠という点でも注目されています。一方で、リスク対応の視点に加えて、価値の創出という面での活用も可能です。
全体としては、ITガバナンスを組織へ導入するための基礎となるものとして位置づけています。

COBITフレームワークの範囲

COBITフレームワークの適用範囲
右図のように、COBITのもう一つの特徴は、カバーしている領域の広さです。
このため、他の各種の標準や基準の「傘」となるフレームワークとして活用されます。
例えば、ISO27000、ISO9000、ITILといった基準は実務レベルの詳細を提供し、全体をCOBITでカバーするという考え方です。
なお、各標準・基準との対応関係をマッピングした資料が、ISACA(本部)で公開されています(ISACAメンバーのみ)。

本ページの資料は、国際本部の「COBIT 4.0 Frequently Asked Questions」、ISACA本部の公開資料、カンファレンス資料、COBIT4.0をもとに、一部抜粋・加筆して作成したものです。



copyright© ITGI Japan - All rights reserved.

COBIT 4.0

APLIKASI PENILAIAN AUDIT BERDASARKAN COBIT 4.0



APLIKASI PENILAIAN AUDIT BERDASARKAN COBIT 4.0
by: Nur Cahyo Wibowo,


ABSTRAK
Cobit dirumuskan oleh para pakar rekayasa perangkat lunak internasional untuk memberikan panduan bagi para pimpinan perusahaan yang berencana melakukan investasi teknologi informasi yang menguntungkan. Di dalam Cobit dijelaskan prosedur dan metodologi bagaimana seharusnya mengatur sebuah proyek implementasi teknologi informasi di sebuah perusahaan mulai dari perencanaan sampai dengan evaluasi kinerjanya. Sebaliknya, dengan sudut pandang yang berbeda, sistem Cobit juga bisa dimanfaatkan sebagai panduan untuk melakukan audit terhadap kelayakan sebuah investasi teknologi informasi yang sudah dilakukan oleh sebuah perusahaan. Namun yang sering menjadi masalah adalah belum adanya panduan kuantitatif untuk melakukan penilaian audit. Sehingga proses audit lebih terasa nuansa atau faktor subjektifitas auditor daripada aturan yang baku. Lebih dari itu, proses audit yang umumnya melibatkan sangat banyak dokumen namun dengan pihak staff perusahaan serta auditornya yang sama, seringkali ditemukan standarisasi pemberian nilai yang berbeda untuk hal-hal yang seharusnya sama. Penelitian ini dibuat sebagai upaya untuk meminimalisasi terjadinya kondisi-kondisi tersebut di atas. Sehingga proses audit bisa dilakukan secara cepat dan konsisten. Penelitian ini akan menjelaskan desain struktur data dan aplikasi sistem Cobit yang dibangun dengan menggunakan DBMS MS SQL Server dan MS Visual Studio – Visual Basic 6.0. Aplikasi ini mampu melakukan otomatisasi hasil score audit yang bisa digunakan oleh auditor sebagai gambaran awal kelayakan sebuah investasi teknologi informasi pada sebuah perusahaan berdasarkan dokumen-dokumen yang tersedia.
Kata kunci: aplikasi COBIT, software engineering, project management, software audit.

1 INTRODUCTION
Control Objectives for Information and related Technology (COBIT®) memberikan panduan lintas domain dan framework proses yang baik. Cobit juga menunjukkan aktifitas ke dalam sebuah struktur yang logis dan mudah diatur. Cobit merupakan hasil konsensus para ahli dalam bidang manajemen proyek perangkat lunak. Fokusnya adalah lebih banyak dalam hal pengendalian dari pada pengerjaan. Panduan ini akan sangat membantu investasi IT yang optimis, memastikan penyerahan layanan dan memberikan sebuah pengukuran daripada sebuah justifikasi ketika terjadi suatu kesalahan. Supaya investasi IT berhasil sesuai permintaan bisnis maka pihak manajemen harus melakukan sistem kendali internal atau framework di dalamnya.

Audit investasi teknologi informasi memang masih belum begitu berkembang di Indonesia. Akan tetapi kebutuhan akan hal itu mulai muncul, khususnya untuk perusahaan berskala menengah ke atas. Perusahaan sudah mulai memperhatikan sejauh mana kontribusi investasi teknologi informasi yang mereka lakukan terhadap kinerja perusahaan.

Pada waktu booming teknologi informasi di pasaran, sekitar tahun 90-an, perusahaan-perusahaan berlomba-lomba untuk investasi di bidang teknologi informasi. Namun yang terjadi sekarang justru cukup banyak perusahaan yang gulung tikar meskipun sudah banyak dana yang dikeluarkan untuk investasi teknologi informasi.

Hal tersebut di atas bukanlah sesuatu yang tidak mungkin terjadi. Karena investasi teknologi informasi yang tidak diatur dan dikendalikan dengan baik justru akan menjadi bom waktu bagi keruntuhan perusahaan yang bersangkutan. Sebagai ilustrasi sederhana adalah sebagai berikut. Sebuah perusahaan menerapkan ketentuan perubahan media penyimpanan data dari yang semula paper-based menjadi digital-based. Sehingga semua berkas-berkas dipindahkan ke dalam format file dengan dukungan aplikasi perangkat lunak yang sudah ada. Pada masa-masa awal terlihat begitu besar efisiensi yang dilakukan. Bisa dibayangkan kemampuan satu buah keping CD-ROM adalah setara dengan kemampuan satu ruang besar gudang arsip perusahaan selama satu tahun operasional. Namun pada suatu waktu datanglah sebuah bencana. CD-ROM data perusahaan corrupt sehingga tidak bisa dibaca dengan lengkap. Karena belum adanya prosedur back up berkala akhirnya data penting perusahaan hilang.

Untuk itulah, Cobit memberikan sebuah panduan bagi investasi teknologi informasi di perusahaan. Prosesnya dimulai dari perencanaan hingga pemantauan dan evaluasi proses investasi. Dengan sudut pandang terbalik Cobit juga bisa dimanfaatkan untuk melakukan panduan proses audit kelayakan investasi teknologi informasi yang sudah dilakukan oleh perusahaan.

Akan tetapi yang sering menjadi masalah adalah konsistensi nilai dan kecepatan proses audit itu sendiri. Di dalam sistem Cobit seperti yang akan dijelaskan pada bagian Dasar Teori terdapat interaksi antar proses yang cukup kompleks. Sehingga masalah konsistensi penilaian menjadi sangat penting. Maksudnya bahwa untuk penilaian dengan melibatkan dokumen yang sama sudah seharusnya nilai dokumen tersebut tetaplah sama, tidak boleh berubah. Namun kenyataan di lapangan bisa saja tidaklah demikian. Keterbatasan manusia dalam hal ingatan dan pengambilan keputusan memang bisa saja berubah-ubah meskipun tidak terlalu besar.

Masalah yang kedua terkait dengan audit adalah kecepatan penghitungan nilai akhir. Proses audit manual yang saat ini diterapkan, rata-rata membutuhkan waktu sekitar 2 sampai 3 bulan. Ini pun terkadang masih perlu beberapa revisi. Penghitungan nilai akhir yang cepat menjadi hal yang penting baik bagi auditor maupun perusahaan yang diaudit. Salah satu alasan yang utama adalah time is money. Begitu perusahaan mendapatkan nilai hasil audit, mereka bisa segera melakukan perbaikan-perbaikan untuk kepentingan bisnisnya. Sedangkan bagi auditor jelas biaya operasional tim kerjanya akan bisa ditekan serta kinerja tim audit akan dinilai lebih baik oleh perusahaan yang diaudit jika prosesnya bisa lebih cepat.

2 MODEL, ANALISIS, DESIGN, AND IMPLEMENTATION
Sesuai dengan rumusan masalah yang sudah dikemukakan di atas, maka penelitian ini bertujuan untuk mengimplementasikan sistem Cobit ke dalam sebuah aplikasi yang bisa digunakan untuk :
• Menerapkan penilaian yang konsisten.
• Mempercepat perolehan nilai audit.

RUANG LINGKUP
Sistem Cobit yang dijadikan panduan bagi penelitian ini cukup luas cakupannya. Namun penulis mengamati adanya pola-pola yang sama yang bisa digunakan sebagai acuan implementasi dalam ruang lingkup yang lebih luas dan kompleks. Untuk itu dalam penelitian ini yang akan digunakan sebagai studi kasus adalah subsistem Cobit yaitu bagian proses PO (Plan and Organize) 1 yaitu Define a Strategic Plan.

Dalam sistem Cobit sendiri ada 5 penilaian yang bisa dilakukan. Diantaranya adalah penilaian terhadap Maturity Level, Control Objective, Key Performance Indicator, Process Key Goal Indicator, dan IT Key Goal Indicator dari sebuah perusahaan. Yang akan dibahas di dalam penelitian ini adalah dua penilaian yang pertama, yaitu penilaian terhadap Maturity Level dan Control Objective.

COBIT FRAMEWORK
Framework kendali Cobit memberikan kontribusi untuk keperluan tersebut :
• Membuat sebuah hubungan dengan kebutuhan bisnis.
• Mengorganisasikan aktifitas investasi IT.
• Mengidentifikasi sumber daya IT utama yang mendesak untuk diselesaikan.
• Mendefinisikan tujuan kendali manajemen yang perlu diperhatikan.

PLAN AND ORGANISE (PO)
Domain ini mencakup strategi dan taktik, dan juga memperhatikan identifikasi cara IT dapat memberikan kontribusi terbaik untuk pencapaian tujuan bisnis. Lebih jauh, realisasi visi strategis perlu untuk direncanakan, dikomunikasikan dan diatur untuk perpsektif yang berbeda. Akhirnya, sebuah organisasi yang tepat sebagaimana juga infrastruktur teknologinya perlu untuk dibuat.

ACQUIRE AND IMPLEMENT (AI)
Untuk mewujudkan strategi IT, solusi IT perlu untuk diidentifikasi, dibangun atau diperoleh, sebagaimana juga perlu untuk diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang sudah ada juga tercakup dalam domain ini untuk memastikan bahwa solusi senantiasa sesuai dengan tujuan bisnis.

DELIVER AND SUPPORT (DS)
Domain ini menerangkan tentang hal-hal terkait dengan penyerahan layanan yang dibutuhkan. Termasuk didalamnya adalah penyerahan layanan itu sendiri, manajemen keamanan dan kesinambungan, dukungan layanan bagi pemakai dan manajemen data serta fasilitas operasional.

MONITOR AND EVALUATE (ME)
Seluruh proses IT perlu untuk dipantau secara teratur. Hal ini dimaksudkan untuk menjaga kualitas dan pemenuhan dengan kebutuhan kendali. Domain ini membahas tentang manajemen kinerja, pemantauan kendali internal, pemenuhan regulasi, dan penyediaan pengaturan.

Gambar 2.1 di bawah ini menjelaskan tentang sistem framework Cobit 4.0 secara menyeluruh.







COBITフレームワークの適用範囲





Gambar 2.1 COBIT4.0 Framework
Dimulai dengan tujuan bisnis dan pengaturan. Kemudian di break-down menjadi beberapa domain yang saling berkaitan dan membentuk sebuah siklus.

DETAIL CONTROL OBJECTIVES
Ada enam control objectives di dalam subproses PO 1, yaitu:
1. Manajemen nilai teknologi informasi.
2. Penyesuaian antara kepentingan bisnis dengan teknologi informasi.
3. Penilaian kinerja teknologi informasi saat ini.
4. Rencana strategis penerapan teknologi informasi.
5. Rencana taktis penereapan teknologi informasi.
6. Manajemen portfolio penerapan teknologi informasi.

MATURITY LEVEL
Secara umum maturity level akan menunjukkan berada pada tingkat manakah kinerja sebuah perusahaan. Di dalam Cobit dikelompokkan menjadi 6 yaitu:
- Level 0 : Non Existent
- Level 1 : Initial/ Ad Hoc
- Level 2 : Repeatable but Intuitive
- Level 3 : Defined Process
- Level 4 : Managed and Measurable
- Level 5 : Optimised

DESAIN DATABASE
Untuk melakukan otomatisasi audit perlu dilakukan terlebih dahulu standarisasi jenis dokumen yang terlibat. Dokumen dalam penelitian ini dibedakan menjadi dua, yaitu dokumen sistem dan dokumen yang dimiliki client. Strategi ini sengaja dipilih karena pengalaman di lapangan menunjukkan bahwa dokumen client itu seringkali tidak sesuai dengan struktur model dokumen yang sudah disediakan oleh sistem. Untuk itulah dalam desain databasenya dibuat sebuah tabel transaksional untuk menyimpan peta hubungan antara dokumen client dengan dokuman sistem.

Sebagai tabel master untuk desain ini adalah tabel dokumen sistem, tabel client, tabel control objective dan tabel maturity level. Tabel-tabel ini akan direferensi oleh tabel-tabel yang lain untuk membangun skema database Cobit yang lengkap. Sedangkan tabel turunannya adalah tabel dokumen client, tabel detail control objective dan tabel detail maturity level.

Otomatisasi audit sebuah control objective maupun maturity level akan ditentukan berdasar tabel peta relasi antara dokumen client dengan dokumen sistem, peta relasi antara control objective dengan dokumen sistem apa saja yang terlibat dan terakhir peta relasi antara dokumen sistem dengan maturity level. Nilai dan bobot yang berada pada dokumen client akan dapat ditransformasikan menjadi nilai dokumen di sistem berdasarkan bobot dokumen internal sistem yang sudah didefinisikan sebelumnya. Nilai transformasi ini akan bersifat kuantitatif, murni diperoleh berdasarkan perhitungan. Untuk penilaian dokumen yang berhubungan dengan control objective akan disimpan di dalam tabel quantitatif control objective. Sedangkan yang berhubungan dengan maturity level akan disimpan ke dalam tabel quantitative maturity level. Untuk lebih jelasnya bisa dilihat pada Gambar 2.2 di bawah ini.