Implementasi Kerangka Kerja COBIT
Tujuan Utama COBIT adalah memberikan kebijakan yang jelas dan praktik yang baik dalam tata kelola TI dengan membantu manajemen senior memahami dan mengelola resiko terkait tata kelola TI (IT Governance) dengan cara memberikan kerangka kerja tata kelola TI dan panduan tujuan kendali rinci/detail control objektif (DCO) bagi pihak manajemen, pemilik proses bisnis, pengguna dan auditor.
Keuntungan Implementasi COBIT Penyelarasan yang lebih baik Sebuah pandangan, dapat dipahami manajemen tentang yang dilakukan TI 3. Tanggung jawab dan kepemilikan yang jelas didasarkan pada orientasi proses 4. Dapat diterima secara umum 5. Berbagi pemahaman dengan pihak yang berkepentingan 6. Pemenuhan kebutuhan atau sebagai pelengkap organisasi
Orientasi Pada Proses Perencanaan dan Pengorganisasian Domain ini mencakup strategi dan taktik dan perhatian pada identifikasi cara TI dapat berkontribusi terbaik pada pencapaian objektif bisnis. Selanjutnya realisasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda.
2. Pengadaan dan Implementasi (AI) Guna merealisasikan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh seperti halnya diimplementasikan dan diintegrasikan ke dalam proses bisnis. 3. Penyampaian Layanan dan Dukungan (DS) Domain ini dihubungkan dengan penyampaian sesungguhnya layanan yang diperlukan, yang mencakup penyediaan layanan, manajemen keamanan dan kelangsungan, dukungan layanan pada pengguna dan manajemen data dan fasilitas operasional.
4. Monitor dan Evaluasi (ME) Semua proses teknologi informasi perlu secara rutin dinilai dari waktu ke waktu untuk kualitas dan pemenuhan dengan kebutuhan kontrol. Domain ini berkenaan dengan manajemen kinerja, pemantauan pengendalian internal, pemenuhan terkait dengan regulasi dan pelaksanaan tata kelola.
Model Kematangan Model kematangan untuk pengelolaan dan kontrol pada proses TI didasarkan pada metode evaluasi organisasi sehingga dapat mengevaluasi sendiri dari level tidak ada (0) hingga optimis (5). Penggunaan model kematangan yang dikembangkan untuk setiap 34 proses TI memungkinkan manajemen mengidentifikasi a. Kinerja sesungguhnya perusahaan b. Kondisi sekarang dari industri sebagai perbandingan c. Target peningkatan perusahaan dimana kondisi yang diinginkan perusahaan.
Model kematangan yang dibangun berawal dari generic qualitative model dengan atribut sbb : 1. Kepedulian dan Komunikasi (Awareness and Communication). 2. Kebijakan, standar, dan prosedur (Policies, standards, and procedures). 3. Perangkat bantu dan otomatisasi ( Tools and automation). 4. Ketrampilan dan keahlian (Skill and expertise) 5. Penetapan tujuan dan pengukuran (Goal setting and Measurement)
Pendefinisian Model Kematangan : Level 0 : Tidak ada Kondisi dimana perusahaan sama sekali tidak peduli terhadap kepentingan teknologi informasi untuk dikelola secara baik oleh manajemen Level 1 : Awal/Ad Hoc 1. Kondisi dimana perusahaan secara reaktif melakukan penerapan dan implementasi TI sesuai dengan kebutuhan mendadak yang ada, tanpa didahului perencanaan sebelumnya.
Level 2 : Berulang tapi intuitif Kondisi dimana perusahaan telah memiliki pola yang berulang kali dilakukan dalam melakukan manajemen aktivitas terkait dengan tata kelola TI namun keberadaannya belum terdefinisi secara baik dan formal sehingga masih terjadi ketidakkonsistenan. Sudah mulai ada prosedur namun tidak seluruhnya terdokumentasi dan tidak seluruhnya disosialisasikan kepada pelaksana
Level 3 : Proses Terdefinisi Kondisi dimana perusahaan telah memiliki prosedur standar formal dan telah disosialisasikan ke segenap jajaran manajemen dan karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari – hari. Tidak ada pengawasan untuk menjalankan prosedur sehinggamemungkinkan terjadinya banyak penyimpangan.
Level 4 : Terkelola dan Terukur Kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran maupun objektif terhadap kinerja proses TI. Terhadap fasilitas untuk memonitor dan mengukur prosedur yang sudah berjalan, yang dapat mengambil tindakan jika terdapat proses yang diindikasikan tidak efektif. Proses diperbaiki terus menerus dan dibandingkan dengan praktik praktik terbaik. Terdapat perangkat bantu dan otomatisasi untuk pengawasan proses.
Level 5 : Optimis Kondisi dimana perusahaan dianggap telah mengimplementasikan tata kelola manajemen TI yang mengacu pada praktik terbaik. Proses telah mencapai level terbaik karena perbaikan yang terus menerus dan perbandingan dengan perusahaan lain. Perangkat bantu otomatis digunakan untuk mendukung workflow, menambah efisiensi dan kualitas kinerja proses. Memudahkan perusahaan untuk beradaptasi dengan perubahan.
Penentuan Tingkat Resiko Hasil risk assessment dianalisa probabilitas kemungkinan kejadian proses dan tingkatan dampak yang ditimbulkan terhadap proses bisnis terkait. Hasil analisis direpresentasikan secara kualitatif dengan ukuran L (Low), M (Medium), dan H (High). Aktivitas analisis resiko tersebut dilakukan dengan harapan agar area audit yang ditentukan dari hasil analisis melingkupi proses kritis yang ada di perusahaan.
Langkah – langkah yang dilakukan dalam tahapan analisis resiko secara umum mencakup : Penentuan proses bisnis dengan tingkat resiko tinggi, dengan cara : - menghitung level probabilitas kejadian resiko bisnis dan dampak yang ditimbulkan untuk setiap proses bisnis. - menghitung tingkatan resiko antara tingkatan probablitas kejadian resiko dan tingkatan dampak yang ditimbulkan
- melakukan pemilihan proses bisnis dengan tingkat resiko tinggi (high) - melakukan pemilihan terhadap proses bisnis yang telah didukung oleh TI dari proses bisnis yang tingkat resikonya tinggi 2. Pemilihan proses TI dengan resiko tinggi, dengan cara : - melakukan pemetaan proses bisnis dengan tingkat resiko tinggi yang terkait dengan TI terhadap tujuan bisnis dalam kerangka keterkaitan Tujuan Bisnis, Tujuan TI dan Proses TI dalam COBIT.
- melakukan pemilihan tujuan bisnis yang merepresentasikan proses bisnis tersebut. - melakukan pemetaan tujuan bisnis yang dilakukan sebelumnya terhadap tujuan TI yang relevan. - melakukan pemetaan tujuan TI yang telah dipilih sebelumnya terhadap proses TI yang relevan sehingga didapatkan proses TI dengan resiko tinggi. - melakukan eliminasi proses TI dengan tingkat kepentingan tinggi untuk mengetahui proses – proses yang perlu diprioritaskan dalam pelaksanaan audit.
- menghitung frekuensi kemunculan proses TI Eliminasi tersebut dilakukan dengan cara : - menghitung frekuensi kemunculan proses TI berdasarkan hasil pemilihan tersebut. - menghitung probabilias proses TI dari frekuensi kemunculan tersebut (disimbolkan dengan P ). Probabilitas Proses TI dihitung dengan cara : Frekuensi kemunculan Proses TI (P) x 100% Frekuensi kemunculan Proses TI (COBIT)
Output akhir dari aktivitas penentuan tingkat resiko adalah proses TI dengan tingkat kepentingan High. Hasil tersebut dapat langsung digunakan sebagai scope dari pelaksanaan audit sistem informasi.
Perhitungan Tingkat Kinerja DCO (Detail Control Objektif ) adalah sebagai berikut : Hasil = Jumlah jawaban x Point tingkat kinerja Jumlah Responden
Perhitungan nilai kematangan (Maturity Value) : Hasil = Jumlah jawaban x Point tingkat kematangan Jumlah Responden Dengan mengetahui nilai kematangan maka dapat ditentukan juga tingkat kematangan yang bersifat absolut. Dari nilai dan tingkat kematangan dapat diberikan rekomendari kepada auditee.