Summary COBIT from IT Audit, Control and Security by Robert R. Moeller
CobiT adalah kerangka kerja pengendalian internal yang penting yang dapat berdiri sendiri tetapi merupakan alat pendukung penting untuk mendokumentasikan dan memahami kontrol internal COSO dan SOx serta mengenali nilai aset TI dalam suatu perusahaan. Pengetahuan umum atau kerja CobiT harus merupakan persyaratan auditor TI.
Kerangka kerja CobiT sering digambarkan sebagai pentagon yang meliputi lima area kontrol internal yang luas dan saling berhubungan, seperti yang diilustrasikan dalam Tampilan 2.1. Pameran ini menunjukkan bidang-bidang utama yang ditekankan CobiT di seputar konsep inti penting tata kelola TI:
1. Penyelarasan strategis. Upaya harus dilakukan untuk menyelaraskan operasi dan kegiatan TI dengan semua operasi perusahaan lainnya. Upaya ini termasuk membangun hubungan antara operasi bisnis perusahaan dan rencana TI serta proses untuk
mendefinisikan, memelihara, dan memvalidasi hubungan kualitas dan nilai.
2. Nilai pengiriman. Proses harus dilakukan untuk memastikan bahwa TI dan unit operasi lainnya memberikan manfaat yang dijanjikan sepanjang siklus pengiriman dan dengan strategi yang mengoptimalkan biaya sambil menekankan nilai-nilai intrinsik TI dan kegiatan terkait.
3. Manajemen risiko. Manajemen, di semua tingkatan, harus memiliki pemahaman yang jelas tentang selera perusahaan akan risiko, persyaratan kepatuhan, dan dampak risiko yang signifikan. Baik TI dan operasi lainnya memiliki tanggung jawab manajemen risiko mereka sendiri dan bersama yang dapat secara individu atau bersama-sama memengaruhi seluruh perusahaan.
4. Manajemen sumber daya. Dengan penekanan pada TI, harus ada investasi yang optimal, dan manajemen yang tepat, sumber daya TI kritis, aplikasi, informasi, infrastruktur, dan orang-orang. Tata kelola TI yang efektif tergantung pada pengoptimalan pengetahuan dan infrastruktur.
5. Pengukuran kinerja. Proses harus ada untuk melacak dan memantau implementasi strategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses, dan pemberian layanan. Mekanisme tata kelola TI harus menerjemahkan strategi implementasi menjadi tindakan dan pengukuran untuk mencapai tujuan ini.
CobiT melihat kontrol internal dari tiga dimensi TI: sumber daya, proses, dan kriteria informasi, yang dijelaskan dalam CobiT CubeKomponen CobiT Cube
Sumber Daya IT
Sisi sumber daya TI kerangka kerja tiga dimensi CobiT mewakili semua aset TI perusahaan, termasuk orang-orangnya, sistem aplikasi, teknologi yang dipasang, fasilitas TI, dan nilai data. Sisi kanan kerangka kerja kubus mewakili keprihatinan dan pertimbangan yang diperlukan untuk semua sumber daya yang diperlukan untuk kontrol dan administrasi sumber daya TI perusahaan. Baik secara individu atau kelompok, sumber daya ini harus dipertimbangkan ketika mengevaluasi kontrol dalam lingkungan TI:
- Aplikasi yang terdiri dari sistem pengguna otomatis dan prosedur manual atau otomatis untuk memproses informasi.
- Informasi, termasuk input, output, dan data yang diproses, untuk digunakan oleh proses bisnis.
- Komponen infrastruktur teknologi dan fasilitas termasuk perangkat keras, sistem operasi, database, jaringan, dan lingkungan yang menampung dan mendukungnya.
- Personel kunci dan khusus untuk merencanakan, mengatur, memperoleh, mengimplementasikan, mendukung, memantau, dan mengevaluasi layanan TI.
- Proses TI
- Dimensi kedua dan muka kubus CobiT mengacu pada proses TI dan terdiri dari tiga segmen: domain, proses, dan aktivitas. Domain adalah pengelompokan aktivitas TI yang cocok dengan area tanggung jawab organisasi, dengan empat area domain spesifik yang ditentukan dalam CobiT:
1. Perencanaan dan perusahaan. Area domain ini mencakup strategi dan taktik yang memungkinkan TI untuk memberikan kontribusi terbaik dan mendukung tujuan bisnis perusahaan. Jenis pesan visi strategis TI ini harus dikomunikasikan ke seluruh perusahaan — pesan misi TI dan apa yang ingin dicapai untuk keseluruhan perusahaan.
-
2. Akuisisi dan implementasi. Solusi TI perlu diidentifikasi, dikembangkan, atau diperoleh dan keduanya diimplementasikan dan diintegrasikan dengan proses bisnis. Area domain ini mencakup perubahan dan pemeliharaan sistem yang ada.
-
3. Pengiriman dan dukungan. Area domain ini mencakup pengiriman aktual dari layanan yang diperlukan, baik alat aplikasi maupun infrastruktur. Proses aktual data aplikasi dan kontrol tercakup dalam domain ini.
-
4. Pemantauan dan evaluasi. Area ini mencakup proses kontrol, termasuk pemantauan kualitas dan kepatuhan, serta prosedur evaluasi audit eksternal dan internal.
Di dalam sebuah perusahaan IT, proses untuk mengidentifikasi dan membangun aplikasi baru — yang secara tradisional disebut prosedur siklus pengembangan sistem (SDLC) —dapat dilihat sebagai bagian dari domain implementasi CobiT, dan jaminan kualitas dapat dipandang sebagai bagian dari domain pemantauan. Untuk domain perencanaan dan perusahaan, CobiT menyarankan proses khusus ini:
-
- Tentukan rencana TI strategis.
- Tentukan arsitektur informasi.
- Tentukan arah teknologi.
- Tentukan perusahaan dan hubungan IT.
- Kelola investasi TI.
- Komunikasikan tujuan dan arahan manajemen.
- Kelola sumber daya manusia.
- Pastikan kepatuhan dengan persyaratan eksternal.
- Nilai risiko.
- Kelola proyek.
- Kelola kualitas.
Persyaratan Bisnis
Dimensi ketiga model CobiT terdiri dari persyaratan bisnis. Ketujuh komponen ini harus dipertimbangkan ketika mengevaluasi semua persyaratan bisnis dan dengan pertimbangan diberikan pada sumber daya TI yang diperlukan dan elemen kriteria proses:
1. Efektivitas
2. Efisiensi
3. Kerahasiaan
4. Integritas
5. Ketersediaan
6. Kepatuhan
7. Keandalan
Berdasarkan tiga dimensi kubus kontrol CobiT awal ini, setiap proses TI harus dievaluasi melalui lima langkah navigasi ini:
I. Kontrol [Nama Proses]
II Yang memuaskan [Daftar Persyaratan Bisnis]
III. Dengan berfokus pada [Daftar tujuan TI penting]
IV. Dicapai oleh [Daftar Pernyataan Kontrol]
V. Dan diukur dengan [Daftar metrik kunci]
Setiap tujuan kontrol tingkat tinggi CobiT membahas prosedur kontrol dalam
format umum yang sama. Apakah itu merupakan upaya pengembangan perangkat lunak
in-house atau komponen TI yang dibeli, tujuan akuisisi dan implementasi CobiT
tingkat tinggi yang disarankan adalah:
AI1 Identifikasi Solusi Otomatis
Mengikuti format umum yang sama, tujuan kontrol CobiT tingkat tinggi ketiga disebut Pengiriman dan Dukungan (DS).
Kerangka kerja CobiT sering digambarkan sebagai pentagon yang meliputi lima area kontrol internal yang luas dan saling berhubungan, seperti yang diilustrasikan dalam Tampilan 2.1. Pameran ini menunjukkan bidang-bidang utama yang ditekankan CobiT di seputar konsep inti penting tata kelola TI:
1. Penyelarasan strategis. Upaya harus dilakukan untuk menyelaraskan operasi dan kegiatan TI dengan semua operasi perusahaan lainnya. Upaya ini termasuk membangun hubungan antara operasi bisnis perusahaan dan rencana TI serta proses untuk
mendefinisikan, memelihara, dan memvalidasi hubungan kualitas dan nilai.
2. Nilai pengiriman. Proses harus dilakukan untuk memastikan bahwa TI dan unit operasi lainnya memberikan manfaat yang dijanjikan sepanjang siklus pengiriman dan dengan strategi yang mengoptimalkan biaya sambil menekankan nilai-nilai intrinsik TI dan kegiatan terkait.
3. Manajemen risiko. Manajemen, di semua tingkatan, harus memiliki pemahaman yang jelas tentang selera perusahaan akan risiko, persyaratan kepatuhan, dan dampak risiko yang signifikan. Baik TI dan operasi lainnya memiliki tanggung jawab manajemen risiko mereka sendiri dan bersama yang dapat secara individu atau bersama-sama memengaruhi seluruh perusahaan.
4. Manajemen sumber daya. Dengan penekanan pada TI, harus ada investasi yang optimal, dan manajemen yang tepat, sumber daya TI kritis, aplikasi, informasi, infrastruktur, dan orang-orang. Tata kelola TI yang efektif tergantung pada pengoptimalan pengetahuan dan infrastruktur.
5. Pengukuran kinerja. Proses harus ada untuk melacak dan memantau implementasi strategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses, dan pemberian layanan. Mekanisme tata kelola TI harus menerjemahkan strategi implementasi menjadi tindakan dan pengukuran untuk mencapai tujuan ini.
CobiT melihat kontrol internal dari tiga dimensi TI: sumber daya, proses, dan kriteria informasi, yang dijelaskan dalam CobiT CubeKomponen CobiT Cube
Sumber Daya IT
Sisi sumber daya TI kerangka kerja tiga dimensi CobiT mewakili semua aset TI perusahaan, termasuk orang-orangnya, sistem aplikasi, teknologi yang dipasang, fasilitas TI, dan nilai data. Sisi kanan kerangka kerja kubus mewakili keprihatinan dan pertimbangan yang diperlukan untuk semua sumber daya yang diperlukan untuk kontrol dan administrasi sumber daya TI perusahaan. Baik secara individu atau kelompok, sumber daya ini harus dipertimbangkan ketika mengevaluasi kontrol dalam lingkungan TI:
- Aplikasi yang terdiri dari sistem pengguna otomatis dan prosedur manual atau otomatis untuk memproses informasi.
- Informasi, termasuk input, output, dan data yang diproses, untuk digunakan oleh proses bisnis.
- Komponen infrastruktur teknologi dan fasilitas termasuk perangkat keras, sistem operasi, database, jaringan, dan lingkungan yang menampung dan mendukungnya.
- Personel kunci dan khusus untuk merencanakan, mengatur, memperoleh, mengimplementasikan, mendukung, memantau, dan mengevaluasi layanan TI.
- Proses TI
- Dimensi kedua dan muka kubus CobiT mengacu pada proses TI dan terdiri dari tiga segmen: domain, proses, dan aktivitas. Domain adalah pengelompokan aktivitas TI yang cocok dengan area tanggung jawab organisasi, dengan empat area domain spesifik yang ditentukan dalam CobiT:
1. Perencanaan dan perusahaan. Area domain ini mencakup strategi dan taktik yang memungkinkan TI untuk memberikan kontribusi terbaik dan mendukung tujuan bisnis perusahaan. Jenis pesan visi strategis TI ini harus dikomunikasikan ke seluruh perusahaan — pesan misi TI dan apa yang ingin dicapai untuk keseluruhan perusahaan.
-
2. Akuisisi dan implementasi. Solusi TI perlu diidentifikasi, dikembangkan, atau diperoleh dan keduanya diimplementasikan dan diintegrasikan dengan proses bisnis. Area domain ini mencakup perubahan dan pemeliharaan sistem yang ada.
-
3. Pengiriman dan dukungan. Area domain ini mencakup pengiriman aktual dari layanan yang diperlukan, baik alat aplikasi maupun infrastruktur. Proses aktual data aplikasi dan kontrol tercakup dalam domain ini.
-
4. Pemantauan dan evaluasi. Area ini mencakup proses kontrol, termasuk pemantauan kualitas dan kepatuhan, serta prosedur evaluasi audit eksternal dan internal.
Di dalam sebuah perusahaan IT, proses untuk mengidentifikasi dan membangun aplikasi baru — yang secara tradisional disebut prosedur siklus pengembangan sistem (SDLC) —dapat dilihat sebagai bagian dari domain implementasi CobiT, dan jaminan kualitas dapat dipandang sebagai bagian dari domain pemantauan. Untuk domain perencanaan dan perusahaan, CobiT menyarankan proses khusus ini:
-
- Tentukan rencana TI strategis.
- Tentukan arsitektur informasi.
- Tentukan arah teknologi.
- Tentukan perusahaan dan hubungan IT.
- Kelola investasi TI.
- Komunikasikan tujuan dan arahan manajemen.
- Kelola sumber daya manusia.
- Pastikan kepatuhan dengan persyaratan eksternal.
- Nilai risiko.
- Kelola proyek.
- Kelola kualitas.
Persyaratan Bisnis
Dimensi ketiga model CobiT terdiri dari persyaratan bisnis. Ketujuh komponen ini harus dipertimbangkan ketika mengevaluasi semua persyaratan bisnis dan dengan pertimbangan diberikan pada sumber daya TI yang diperlukan dan elemen kriteria proses:
1. Efektivitas
2. Efisiensi
3. Kerahasiaan
4. Integritas
5. Ketersediaan
6. Kepatuhan
7. Keandalan
Berdasarkan tiga dimensi kubus kontrol CobiT awal ini, setiap proses TI harus dievaluasi melalui lima langkah navigasi ini:
I. Kontrol [Nama Proses]
II Yang memuaskan [Daftar Persyaratan Bisnis]
III. Dengan berfokus pada [Daftar tujuan TI penting]
IV. Dicapai oleh [Daftar Pernyataan Kontrol]
V. Dan diukur dengan [Daftar metrik kunci]
Akuisisi
dan Implementasi
AI1 Identifikasi Solusi Otomatis
Mengikuti format umum yang sama, tujuan kontrol CobiT tingkat tinggi ketiga disebut Pengiriman dan Dukungan (DS).
AI2 Memperoleh dan
Memelihara Perangkat Lunak Aplikasi
AI3 Memperoleh dan
Memelihara Infrastruktur Teknologi
AI4 Mengaktifkan
Pengoperasian dan Penggunaan
AI5 Pengadaan Sumber Daya
TI
AI6 Mengelola Perubahan
AI7 Instal dan Akreditasi
Solusi dan Perubahan.
Pengiriman dan Dukungan
DS1 Tentukan dan Kelola Tingkat Layanan
DS2 Mengelola Layanan Pihak Ketiga
DS3 Mengelola Kinerja dan Kapasitas
DS4 Pastikan Layanan Berkelanjutan
DS5 Memastikan Keamanan Sistem
DS6 Mengidentifikasi dan Mengalokasikan Biaya
DS7 Mendidik dan Melatih Pengguna
DS8 Mengelola Meja Layanan dan Insiden
DS9 Kelola Konfigurasi
DS10 Mengelola Masalah
DS11 Kelola Data
DS12 Mengelola Lingkungan Fisik
DS13 Mengelola Operasi
Pemantauan dan evaluasi
Domain CobiT keempat disebut Monitoring dan Evaluasi (ME). Serangkaian tujuan kontrol ini menekankan CobiT sebagai proses loop tertutup yang secara efektif tidak pernah berakhir.
Mengikuti format yang sama dengan domain CobiT lainnya, komponen domain ME memiliki empat tujuan kontrol utama:
ME1 Memantau dan Mengevaluasi Kinerja TI
ME2 Memantau dan Mengevaluasi Kontrol Internal
ME3 Pastikan Kepatuhan terhadap Peraturan
ME4 Menyediakan Tata Kelola TI
Komentar
Posting Komentar