Oleh : Etimanta Veronika Br. Pinem ( ) Oktariani Laoly ( )
Perencanaan dan Organisasi (Plan and Organise) Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula. Pengadaan dan Implementasi (Acquire and Implement) Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis. Pengantaran dan Dukungan (Deliver and Support) Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training. Pengawasan dan Evaluasi (Monitor and Evaluate) Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.
COBIT 5 didasarkan pada lima prinsip kunci untuk tata kelola dan manajemen TI perusahaan. Kelima prinsip ini memungkinkan perusahaan untuk membangun sebuah kerangka tata kelola dan manajemen yang efektif, yang dapat mengoptimalkan investasi dan penggunaan TI untuk mendapatkan keuntungan bagi para stakeholder.
Model referensi proses dalam COBIT 5 membagi proses tata kelola dan manajemen TI perusahaan menjadi dua domain proses utama, yaitu : Tata Kelola, memuat lima proses tata kelola, dimana akan ditentukan praktik- praktik dalam setiap proses Evaluate, Direct, dan Monitor (EDM). Manajemen, memuat empat domain, sejajar dengan area tanggung jawab dari Plan, Build, Run, and Monitor (PBRM), dan menyediakan ruang lingkup TI yang menyeluruh dari ujung ke ujung. Domain ini merupakan evolusi dari domain dan struktur proses dalam COBIT 4.1., yaitu : Align, Plan, and Organize (APO) – Penyelarasan, Perencanaan, dan Pengaturan. Build, Acquare, and Implement (BAI) – Membangun, Memperoleh, dan Mengimplementasikan. Deliver, Service and Support (DSS) – Mengirimkan, Layanan, dan Dukungan. Monitor, Evaluate, and Assess (MEA) – Pengawasan, Evaluasi, dan Penilaian.
Para pengguna COBIT 4.1, RiskIT, dan ValIT mungkin sudah mengenal adanya model kematangan proses dalam kerangka-kerangka tersebut. Model tersebut digunakan untuk mengukur tingkat kematangan proses yang berhubungan dengan TI dalam suatu perusahaan, untuk mendefinisikan persyaratan tingkat kematangan, dan untuk menentukan celah diantara tingkat-tingkat kematangan serta bagaimana untuk meningkatkan proses dalam rangka untuk mencapai tingkatan kematangan yang diinginkan.
Sedangkan pada COBIT 5, dikenalkan adanya model kapabilitas proses,yang berdasarkan pada ISO/IEC 15504, standar mengenai Software Engineering dan Process Assessment. Model ini mengukur performansi tiap-tiap proses tata kelola (EDM-based) atau proses manajemen (PBRM based), dan dapat mengidentifikasi area-area yang perlu untuk ditingkatkan performansinya. Modelini berbeda dengan model proses maturity dalam COBIT 4.1, baik itu pada desain maupun penggunaannya.
Penilaian kapabilitas proses dilakukan untuk mengidentifikasi level kapabilitas proses tertentu dan kemudian menentukan langkah selanjutnya untuk melakukan peningkatan terhadap kapabilitas proses tersebut. Pengukuran kapabilitas akan didasarkan pada atribut proses (PA). Level kapabilitas proses yang digunakan di dalam penilaian proses terdiri dari enam level yaitu : Level 0 : incomplete process, yaitu proses tidak diimplementasi atau gagal mencapai tujuan proses Level 1 : performed process, yaitu implementasi proses mencapai tujuannya. Level 2 : managed process, yaitu proses pada level 1 diimplementasi ke dalam sebuah pengaturan proses (direncanakan, dimonitor, dan dievaluasi) dan produk kerja proses tersebut ditetapkan, dikontrol, dan dipertahankan secara tepat. Level 3 : Established process, yaitu proses pada level 2 diimplementasi menggunakan proses yang terdefinisi dan mampu mencapai hasil proses. Level 4 : predictable process, yaitu proses pada level 3 dijalankan dengan batasan yang telah terdefinisi untuk mencapai hasil proses. Level 5 : optimizing process, yaitu proses pada level 4 ditingkatkan secara berkelanjutan untuk memenuhi tujuan organisasi saat ini dan saat mendatang.
COBIT 5 menangani tentang keamanan informasi terutama : a.Fokus pada sistem manajemen keamanan informasi (ISMS) dalam menyelaraskan, merencanakan dan mengatur (APO) domain manajemen, APO 13 mengelola keamanan, menetapkan keunggulan keamanan informasi dalam kerangka proses COBIT 5. b.Proses ini menyoroti kebutuhan untuk manajemen perusahaan untuk merencanakan dan membangun ISMS yang sesuai untuk mendukung prinsip-prinsip tata kelola informasi keamanan dan keamanan-dampak tujuan bisnis yang dihasilkan dari domain, mengevaluasi dan monitor langsung (EDM) pemerintahan. c.COBIT 5 untuk keamanan informasi akan menjadi pandangan diperpanjang dari COBIT 5 yang menjelaskan setiap komponen COBIT 5 dari perspektif keamanan informasi. d.Nilai tambah bagi konstituen keamanan informasi akan diciptakan melalui penjelasan tambahan, aktivitas, proses dan rekomendasi. e.Ini COBIT 5 untuk tata kelola keamanan informasi dan manajemen yang akan memberikan profesional keamanan pedoman yang rinci untuk menggunakan COBIT 5 karena mereka menetapkan, menerapkan dan memelihara keamanan informasi dalam kebijakan bisnis, proses dan struktur dari sebuah perusahaan.
Analisis Gap Dan Rekomendasi Knowledge Activity pada BAI01.03 Hasil pengukuran pada BAI01.03, yaitu Manage stakeholder engagement menunjukkan bahwa activity berada pada level Predictable (score 4,14) sedangkan secara reality baru mencapai level Performed (score 1,73). Indikasi utama ditunjukkan dengan masih perlunya peingkatan intesitas pertemuan yang membahas evaluasi HER di RSMB. Pembagian wewenang yang telah dilakukan oleh manajemen RSMB kepada karyawan intern harus dioptimalkan perannya agar HER bias mengakomodasi kebutuhan RSMB dengan cakupan kepada seluruh entitas. Knowledge Activity pada BAI01.04 Hasil pengukuran pada BAI01.04, yaitu “Develop and maintain the programme plan, menunjukkan bahwa activity berada pada level Predictable (score 3,25) sedangkan secara reality baru mencapai level Performed (score 1,67). Indikasi utama ditunjukkan dengan belum optimalnya proses audit internal system informasi HER di RSMB. Selain tiu, penjadwalan proyek perbaikan dan pengembangan HER masih memerlukan perbaikan terhadap ancaman atas keterlambatan pengerjaan.
Contoh Rekomendasi: BAI01.04 Membangun dan mengelola rencana program