COBIT untuk Tata Kelola SI702 Tata Kelola Sistem Informasi Pertemuan #6
Tujuan dan Sasaran Mahasiswa/i mampu menjelaskan COBIT untuk tata kelola dan penjaminan TI
Topik Bahasan Kerangka kerja COBIT Tujuan kontrol COBIT Pedoman manajemen COBIT Model kematangan COBIT Adaptasi COBIT
COBIT (Control Objectives for Information and Related Technologies) kerangka kerja industri yang tersedia secara gratis yang menjelaskan kumpulan best practices untuk pengelolaan, pengendalian dan penjaminan teknologi informasi, serta pengorganisasiannya ke dalam kerangka kerja yang terdiri dari 34 proses Perkuliahan ini menjelaskan kerangka kerja COBIT dan bagaimana COBIT dapat diangkat sebagai instrumen untuk tata kelola TI perusahaan
COBIT dikembangkan oleh ISACA (Information Systems Audit and Control Association), sebuah asosiasi profesional internasional dengan 60,000 anggota di seluruh dunia COBIT awalnya dikembangkan sebagai kerangka kerja untuk mengeksekusi audit TI
Kerangka kerja COBIT
Tujuan bisnis/tujuan TI dan kriteria informasi Proses TI Sumberdaya TI Kerangka kerja COBIT dikembangkan berdasarkan 3 konsep: Tujuan bisnis/tujuan TI dan kriteria informasi Proses TI Sumberdaya TI
1# Tujuan bisnis/tujuan TI dan kriteria informasi Prinsip dasar dalam kerangka kerja COBIT investasi TI perlu berkontribusi terhadap pencapaian tujuan organisasi COBIT mencoba untuk membuat kaitan antara bisnis dan TI secara lebih transparan Perlu melakukan klarifikasi terhadap kaitan antara bisnis dan TI berdasarkan kriteria informasi untuk memenuhi tujuan bisnis, informasi yang dihasilkan TI untuk bisnis dan prosesnya, perlu memenuhi beberapa kriteria kualitas, yang dalam COBIT disebut 7 kebutuhan bisnis untuk informasi
Efektivitas informasi yang relevan dan penting untuk proses bisnis yang diberikan tepat waktu, benar, konsisten dan berguna Efisiensi penggunaan informasi melalui penggunaan sumberdaya yang optimal (produktif dan ekonomis) Kerahasiaan proteksi informasi penting dari pihak yang tidak bertanggung jawab Integritas ketepatan dan kelengkapan informasi serta validitas informasi terkait nilai dan harapan bisnis Ketersediaan informasi tersedia saat dibutuhkan oleh proses bisnis setiap waktu, termasuk menjaga sumberdaya penting dan kapabilitas yang terkait Kesesuaian menyesuaikan dengan hukum, peraturan, dan pengaturan kontrak yang berlaku Kehandalan penggunaan informasi bagi manajemen untuk menjalankan tanggun jawab
Kriteria informasi bersifat umum dapat diterapkan di berbagai organisasi atau tujuan bisnis Contoh: Pertimbangan bisnis akan ‘‘keamanan’’ kriteria informasinya ‘‘kerahasiaan,’’ ‘‘integritas’’ dan ‘‘ketersediaan’’ COBIT menyediakan tabel dimana kriteria informasi dikaitkan dengan proses TI tertentu yang penting untuk berurusan dengan kriteria informasi yang dipilih
Tujuan TI ‘‘mengembangkan layanan TI inovatif yang fokus pada keamanan informasi’’ menjadi tujuan penting untuk mendukung tujuan bisnis ‘‘meningkatkan kebersaingan melalui TI’’ dan ‘‘meningkatkan orientasi dan layanan pelanggan’’ Ada 17 tujuan bisnis (terkait TI) dan 28 tujuan TI yang menjadi dasar COBIT 4.1 Tujuan bisnis terkait TI dibagi dalam 4 perspektif BSC bisnis Setiap tujuan bisnis dihubungkan dengan 1 atau lebih tujuan TI yang mendukung tujuan bisnis
2# Proses TI COBIT 4.1 menetapkan 34 proses TI, yang dikategorikan dalm 4 domain: ‘‘Planning and organization’’ identifikasi cara terbaik TI berkontribusi untuk mencapai tujuan bisnis ‘‘Acquisition and Implementation’’ identifikasi solusi TI, akuisisi atau pengembangan dan pemeliharaan aplikasi, akuisisi dan pemeliharaan hardware dan software sistem, dokumentasi dan pelatihan pengguna, akuisisi sumberdaya TI yang diperlukan, proses pengelolaan perubahan aplikasi ‘‘Delivery and support’’ penyampaian layanan yang dibutuhkan termasuk manajemen konfigurasi, manajemen masalah, manajemen data, manajemen lingkungan fisik (data center dan fasilitas lain), manajemen oeprasi komputer dan kinerja serta manajemen kapasitas hardware ‘‘Monitor and evaluate’’ proses terkait penilaian kualitas agar sesuai dengan kebutuhan pengendalian/kontrol dari proses-proses sebelumnya
3# Sumberdaya TI COBIT menetapkan sumberdaya terkait TI yang diterapkan dalam proses TI: Information data yang digunakan dalam sistem informasi dalam bentuk apapun untuk kepentingan bisnis Applications sistem otomasi dan prosedur petunjuk untuk memproses informasi Infrastructure teknologi dan fasilitas (hardware, operating systems, database management systems, networking, multimedia, dll) yang memungkinkan aplikasi untuk melakukan proses People personil yang dibutuhkan untuk merencanakan, mengorganisasi, memperoleh, mengimplementasi, memberikan, mendukung, memonitor dan mengevaluasi layanan dan sistem informasi
Kerangka kerja COBIT Dalam COBIT, informasi didapat dari sistem TI merupakan hasil dari usaha gabungan sumberdaya terkait TI, dan dikelola oleh proses TI Proses TI penting untuk dikelola dan dikendalikan secara efektif sehingga informasi yang dihasilkan dapat memenuhi standar kualitas yang ditetapkan
Assignment 4: Proses TI paling penting Bekerja dalam kelompok dan pilih jenis perusahaan Tentukan 7 proses paling penting untuk perusahaan itu, dengan meperhatikan tujuan bisnis dan TI-nya Tentukan proses TI dan bandingkan dengan matriks business goals/IT goals/IT processes dalam framework COBIT 4.1 Download framework COBIT di website ISACA’s www.isaca.org.
Tujuan kontrol COBIT
Control Objectives dan Control Practices Untuk setiap dari 34 proses TI, COBIT menetapkan adanya control objectives atau tujuan kontrol yang dapat membantu pemilik proses TI untuk membangun sistem manajemen dan kontrol ke dalam lingkungan TI Tujuan kontrol TI pernyataan hasil yang diinginkan atau maksud yang ingin dicapai dengan menerapkan prosedur kontrol dalam aktivitas TI tertentu Tujuan kontrol COBIT dapat dianggap sebagai kebutuhan akan manajemen dan kontrol yang efektif dalam setiap proses TI Kontrol yang baik berisi: prosedur, kebijakan, praktek dan struktur organisasi yang dirancang untuk memberikan jaminan bahwa tujuan bisnis tercapai, serta mencegah, mendeteksi dan memperbaiki kejadian yang tidak diinginkan
COBIT menetapkan 1 tujuan kontrol tingkat tinggi dan beberapa tujuan kontrol detil untuk setiap proses Total dalam COBIT 4.1 ada 34 tujuan kontrol tingkat tinggi dan 210 tujuan kontrol detil Contoh: Tujuan kontrol tingkat tinggi proses DS1: define and manage service levels, berupa penjelasan mengenai Tujuan bisnis/TI yang didukung (pemenuhan kebutuhan bisnis untuk TI) Tujuan paling penting (dicapai dengan) Aktivitas penting (dikelola dengan) Beberapa pengukuran yang diterapkan untuk pemantauan (dan diukur dengan)
Untuk setiap tujuan kontrol, COBIT menyediakan kumpulan praktek kontrol (control practices) kumpulan praktek yang cukup dan perlu untuk mengimplementasi tujuan kontrol Praktek kontrol tidak ada dalam buku COBIT 4.1 tapi ada dalam publikasi COBIT Control Practices (tersedia gratis dalam format PDF untuk member ISACA di www.isaca.org) Alasannya karena praktek kontrol bersifat detil sementara COBIT bersifat umum tingkat tinggi
Tujuan kontrol DS8.1: Service desk Mendirikan fungsi service desk, yang menjadi antarmuka pengguna dengan TI, untuk mencatat, mengkomunikasi, mengirimkan dan menganalisis semua panggilan baik itu berupa pelaporan masalah, permintaan layanan atau informasi Harus ada prosedur pemantauan dan eskalasi berdasarkan tingkat layanan yang disepakati (SLA-service level agreement) yang memungkinkan pembedaan panggilan sebagai masalah, permintaan layanan, atau permintaan informasi Mengukur kepuasan pengguna terhadap kualitas service desk dan layanan TI
Praktek kontrol DS8. 1: Service desk 1 Praktek kontrol DS8.1: Service desk 1. Mendirikan service desk sebagai as a single, initial point of contact for the reporting, monitoring, escalation and resolution of customer requests and incidents. Develop business requirements for the service desk, based on service definitions and SLAs, including hours of operation and expected response time to a call. Ensure that service desk requirements include identifying staffing, tools and integration with other processes, such as change management and problem management 2. Memastikan Ensure that there are clear instructions for service desk staff when a request cannot be immediately resolved by service desk personnel. Establish time thresholds to determine when escalation should occur based on the categorization/prioritization of the request or incident 3. Implement the necessary support software and tools (e.g., incident management, knowledge management, incident escalation systems, automated call monitoring) required for operation of the service desk and configured in accordance with SLA requirements, to facilitate automated prioritization of incidents and rapid resolution 4. Advise customers of the existence of the service desk and the standards of service they can expect. Obtain user feedback on a regular basis to ensure customer satisfaction and confirm the effectiveness of the service desk operation 5. Using the service desk software, create service desk performance reports to enable performance monitoring and continuous improvement of the service desk
Process Controls dan Application Controls umum Dalam perubahan COBIT 3 ke COBIT 4, jumlah tujuan kontrol berkurang dari 318 menjadi 210 Alasan utamanya adalah menghilangkan process controls dan application controls umum dari proses TI Tujuan umum ini ditetapkan dalam COBIT 4.1 sebagai kontrol proses atau process controls (PC) dan bersama dengan tujuan kontrol detil lain akan memberikan pandangan yang lengkap mengenai kebutuhan kontrol
Kontrol proses ini berurusan dengan pentingnya mengidentifikasi pemilik proses (process owner): untuk membuat proses menjadi berulang, untuk menjelaskan tujuan, sasaran, peran dan tanggung jawab, untuk mengukur dan mengelola kinerja, untuk menentukan kebijakan, rencana, dan prosedur
Pedoman manajemen COBIT
Pedoman pengelolaan dalam COBIT 4 Pedoman pengelolaan dalam COBIT 4.1 memberikan informasi untuk mengorganisasi, mengukur dan mengendalikan proses TI tertentu Pedoman pengelolaan diringkas dalam 1 halaman berisi setiap proses COBIT: Inter-relationship antara proses TI berbeda terkait input dan output, Pandangan mengenai tugas proses penting, termasuk peran dan tanggung jawab terkait (diagram RACI), Tujuan dan pengukuran pada tingkat TI, tingkat proses TI dan tingkat aktivitas proses TI
Model kematangan COBIT
Model kematangan (maturity model) teknik penilaian bagi organisasi untuk menilai tingkat kematangan sebuah proses tertentu dalam skala 0 (not existent) dan 5 (optimized) Instrumen ini menawarkan metode komprehensif untuk mengidentifikasi dan membandingkan situasi saat ini (as-is) dengan situasi yang diinginkan (to-be) Organisasi juga dapat membandingkan situasinya terhadap best practices dan standar industri tertentu
Kesenjangan antara situasi ‘‘as-is’’ dan ‘‘to-be’’ dapat diidentifikasi dan kemudian tindakan tertentu untuk mengarahkan ke situasi yang diinginkan dapat disiapkan Saat tingkat kematangan sebuah proses dianalisis, penting untuk menerapkan prinsip pengukuran kematangan berikut ini: sebuah organisasi hanya dapat berubah ke tingkat kematangan berikutnya saat seluruh kriteria pada tingkat tersebut telah terpenuhi
Tingkat kematangan terdiri dari: 0 Non-existent 1 Initial/Ad Hoc 2 Repeatable but intuitive 3 Defined process 4 Managed and measurable 5 Optimized Bila organisasi mencapai tingkat 1 untuk sebuah proses maka organisasi sadar akan kebutuhan proses tersebut namun masih informal Saat mencapai tingkat 5 maka semua tingkat layanan yang ditetapkan harus kontinu dipantau dan ditinjau untuk menjamin penyelarasan optimal antara tujuan bisnis dan TI
Adaptasi COBIT
COBIT mengembangkan kerangka kerja umum yang cocok untuk ‘‘setiap’’ organisasi berisi banyak informasi berharga namun membaca bukunya sulit untuk menangkap inti dan/atau elemen prkatis Untuk pendekatan praktis maka penting bagi organisasi untuk mengerjakan ulang dan menarik informasi yang diperlukan kemudian mentransformnya ke dalam template khusus organisasi Beberapa proses mungkin lebih penting bagi suatu organisasi dibanding lainnya:
Misal proses DS 4: Ensure Continuous Service, akan penting bagi organisasi keuangan. Bila sistem TI bank tidak tersedia akan berdampak negatif bagi keuangan bank tersebut Proses yang sama mungkin tidak penting bagi pabrik batu dan bata, sehingga tingkat kematangannya rendah Penting untuk diperhatikan bahwa sebelum memulai implementasi COBIT, perlu ada kejelasan tujuan bisnis dan TI
Penutup
COBIT menjadi kerangka kerja tata kelola TI yang diterima secara umum Inti dari COBIT adalah bahwa proses TI dan sumberdaya TI harus mendukung tujuan bisnis dan TI COBIT bukan buku yang harus diikuti secara tepat Lingkungan organisasi yang spesifik adalah titik mulai yang bagus untuk implementasi tata kelola TI yang baik Penting untuk mengambil proses, komponen dan elemen COBIT yang dapat membantu mencapai tujuan bisnis dan TI organisasi
COBIT menentukan 34 proses TI Untuk setiap dari 34 proses tersebut COBIT menetapkan tujuan kontrol, pedoman pengelolaan dan model kematangan Beberapa standar dan best practices dikeluarkan organisasi standar internasional sebagai tambahan COBIT untuk mengelola aspek berbeda pada TI Saat mengimplementasi kontrol TI dan tata kelola TI maka penting untuk mengetahui bagaimana standar dan best practices yang berbeda ini saling berhubungan
COBIT juga menyediakan kerangka kerja yang bagus untuk membangun lingkungan kontrol yang sesuai dengan kebutuhan regulasi Sarbanes-Oxley
Study Questions Jelaskan 4 domain proses dalam COBIT
Terima Kasih