26.7.12

Model COBIT Sebagai Alat Pendekatan Arsitektur Sistem Informasi

1:12 PM , , , , , , , , , ,

PENERAPAN COBIT SEBAGI MODEL IT GOVERNANCE PADA PERENCANAAN DAN AKUISISI IMPLEMENTASI PADA SUATU INSTITUSI

Pemanfaatan TI telah memberikan solusi dan keuntungan melalui peluang-peluang sebagai bentuk dari peran strategis TI dalam pencapaian visi dan misi organisasi. Peluang-peluang diciptakan dari optimalisasi sumber daya TI pada area sumber daya yang meliputi; data, sistem aplikasi, infrastruktur dan sumber daya manusia. Di sisi lain, penerapan TI memerlukan biaya investasi yang relatif mahal, dimana munculnya resiko terjadinya kegagalan juga cukup besar. Kondisi ini membutuhkan konsistensi dalam bidang pengelolaan sehingga suatu Tata Kelola TI (IT Governance) yang sesuai menjadi kebutuhan esensial.
 
COBIT (Control Objectives for Information and Related Technology) adalah model standar tata kelola TI yang dapat membantu manajemen untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis. COBIT diarahkan untuk digunakan manajemen secara lebih luas, sehingga tidak hanya berperan sebagai standar tata kelola TI tetapi juga dapat digunakan sebagai alat bantu bagi manajemen puncak dalam merumuskan kebijakan-kebijakan strategis. Pada penelitian sebelumnya yang relevan dengan konsep COBIT pada arsitektur sistem lembaga pemerintah menyimpulkan bahwa alat-alat bantu COBIT sangat berguna dan praktis digunakan dalam mengukur unjuk kerja fungsi pengelolaan TI yang dilakukan berdasarkan tingkat maturitasnya, khususnya untuk suatu organisasi penelitian pemerintah yang berorientasi non-profit yang sulit diukur secara finansial.

Implementasi pada penelitian sejenis, Cecilia, 2009 mengenai “COBIT sebagai model audit IT Kabupaten Sleman” perkembangan teknologi informasi yang dinamis yang membutuhkan manajemen perubahan akusisi yang dijembatani dengan model COBIT.Polines sebagai institusi pendidikan memiliki lingkup bisnis yang kompleks serta potensi pemanfaatan TI yang semakin tinggi, sehingga hal ini akan memberikan tuntutan adanya suatu mekanisme tata kelola TI yang sesuai standar. Ketiadaan tata kelola TI yang jelas akan mengakibatkan permasalahan dalam lingkup TI, seperti munculnya kesenjangan antara perencanaan dan kebutuhan, penggunaan sumber-sumber TI yang tidak tepat, serta dapat menciptakan kesenjangan sumber daya manusia dengan tanggung jawab pengelolaan TI. Dari potensi permasalahan yang muncul akan berkorelasi pada potensi kerugian yang timbul karena tidak adanya landasan tata kelola TI yang relevan.

COBIT dikembangkan dengan memperhatikan keterkaitan sasaran bisnis Polines tanpa melupakan fokus domain strategis pada SI/ TI. Selanjutnya COBIT digunakan sebagai framework karena objek Tata Kelola TI dalam hal ini Polines memiliki karakteristik kompleksitas pada area bisnisnya, sehingga membutuhkan kesesuaian antara model kendali proses bisnis dengan model kendali pada proses TI seperti instrumen kontrol objektif dalam COBIT. COBIT akan menjembatani baku mutu dari kebutuhan instrumen bagi pengawasan informasi dan resiko-resiko TI dalam bentuk pengelolaan terstruktur pada domain-domain [domain COBIT : PO, AI, DS dan M].
Tujuan utama dari penelitian ini adalah melakukan tata kelola implementasi Organizational Planning [OP] serta pengelolaaan mekanisme Acquisition and Implementation [AI] yang merupakan bagian dari domain tata kelola COBIT untuk diterapkan pada perencanaan arsitektur baku dari SI/TI di Polines. Gambar 1 : Pendekatan Bisnis pada Empat Domain COBIT [PO, AI, DS dan M]

Dari paparan di atas, nilai strategis implentasi COBIT ini bagi Polines adalah perlunya mengembangkan tata kelola TI yang sesuai dengan arah line bisnis dan organisasi menggunakan kerangka kerja baku. Sehingga dalam penelitian ini penting untuk dikaji mengenai “Model CobiT sebagai Kerangka Kerja Tata Kelola Arsitektur Sistem dan Teknologi Informasi pada Polines”.
METODOLOGI
Terdapat delapan fase dalam penerapan tata kelola TI menggunakan COBIT. Fase tersebut merupakan road map yang harus dilalui untuk menerapkan tata kelola TI yang dibutuhkan. Alur rancangan model perencanaan tata kelola TI di Polines serta tahapan rancangan model IT Governance dan audit SI Institusi adalah :

 












  1. Menetapkan domain dan proses SI Institusi
  2. Menetapkan Critical Success Factors (CSF) SI Institusi. Menetapkan CSF tiap – tiap proses pada domain sistem informasi institusi. CSF adalah merupakan faktor kritis kesuksesan yaitu proses menetapkan masalah kritis atau tindakan manajemen dalam mencapai pengendalian atas proses SI yang diukur melalui Key Goals Indicators.
  3. Menetapkan Key Goals Indicators (KGI) Institusi. Menetapkan KGI tiap – tiap proses pada domain sistem informasi. KGI menetapkan ukuran yang mengarahkan manajemen setelah fakta – apakah proses SI telah mencapai kebutuhan bisnisnya, biasanya digambarkan atas kriteria informasi : ketersediaan informasi untuk mendukung kebutuhan bisnis, ketiadaan integritas dan resiko kerahasiaan, efisiensi biaya proses dan operasi, kehandalan, efektivitas dan pemenuhan (ketaatan).
  4. Menetapkan Key Performance Indicators (KPI) Institusi. Menetapkan KPI tiap – tiap proses pada domain sistem informasi. KPI menetapkan ukuran untuk menentukan bagaimana proses SI Institusi dilaksanakan dengan baik yang memungkinkan tujuan tersebut dicapai.
  5. Menetapkan tujuan pengendalian. Berdasarkan CSF, KGI dan KPI dalam Management Guidelines IT Governance - COBIT ditentukan tujuan pengendalian. Tujuan pengendalian memberikan keyakinan dan kepastian pada SI institusi yang telah mendukung pencapaian tujuan Institusi.
  6. Memberikan Penilaian Existing Sistem – Detail Control Objective. Berdasarkan tujuan pengendalian yang telah ditetapkan, dibuat kuesioner sebagai bahan bagi pengumpulan fakta pada tiap – tiap proses.
  7. Membuat tingkat model maturity dari arsitektur SI/ TI Institusi. Dengan menetapkan posisi SI Institusi saat ini (existing system).
  8. Pemetaan dilakukan dengan menggunakan alat ukur Model Maturity. Berdasarkan hasil fakta yang diperoleh dari kuesioner, maka dibuat pemetaan posisi tiap – tiap proses SI terhadap tingkat model maturity.


Ringkasan ini digunakan untuk membuat maturity model sejalan dengan konsep kerangka kerja COBIT dalam metodologi penelitian, memberikan deskripsi posisi TI pada Polines saat ini (kondisi eksisting level tata kelola), dan gap analisis dengan kondisi ideal (CSFs; Citical Success Factors, KPI; Key Performance Indicators dan KGI; Key Goal Indicators didefinisikan dari COBIT IT Governance) bagi luaran model rekomendasi penyesuaian tata kelola TI/ SI dalam rangka peningkatan level tata kelola lebih tinggi.

Kerangka kerja COBIT sejalan dengan konsep gambar 1 akan mengidentifikasi 34 proses TI yang dikelompokkan ke dalam empat domain utama, yaitu: Planning and Organisation-PO, Acquisition and Implementation-AI, Delivery and Support-DS, dan monitoring-M, namun kajian perencanaan arsitektur sistem dalam implentasi (penelitian) ini akan merujuk pada domain area PO dan AI.

Planning and Organisation (PO); domain ini meliputi taktik dan strategi menyangkut masalah pengidentifikasian cara terbaik TI untuk memberikan kontribusi yang maksimal terhadap pencapaian tujuan bisnis perusahaan. Realisasi strategi perlu direncanakan, dikomunikasikan dan dikelola dengan berbagai sudut pandang yang berbeda. Implementasi strategi harus disertai infrastruktur yang memadai dan dapat mendukung kegiatan bisnis perusahaan. Proses-proses TI pada domain ini adalah:
PO1 – Define a strategic IT plan
PO2 – Define the information architecture
PO3 – Determine technological direction
PO4 – Define the organizational
PO5 – Manage the investment
PO6 – Communicate management aims and direction
PO7 – Manage human resources
PO8 – Ensure compliance with external requirements
PO9 – Assess risks
PO10 – Manage projects
PO11 – Manage quality

Acquisition and Implementation (AI); 
Untuk merealisasikan strategi TI yang telah ditetapkan harus disertai solusi-solusi yang sesuai. Solusi TI kemudian diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis perusahaan. Proses-proses TI pada domain ini meliputi:
AI1 – Identify automated solution
AI2 – Acquire and maintain application software
AI3 – Acquire and maintain technology infrastructure
AI4 – Develop and maintain procedure
AI5 – Install and accredit systems
AI6 – Manage change

COBIT (Control Objectives for Information and related Technology) merupakan standar Tata Kelola TI yang dikembangkan oleh IT Governance Institute (ITGI), yaitu sebuah organisasi yang melakukan studi tentang model Tata Kelola TI . Berbeda dengan standar-standar Tata Kelola TI lainnya, COBIT mempunyai cakupan yang lebih luas, komprehensif, dan mendalam dalam melihat proses pengelolaan TI. Struktur COBIT terdiri dari Ringkasan Eksekutif (Executive Summary), Kerangka kerja (Framework) berorientasi bisnis yang mencakup semua aktifitas TI, Pedoman Manajemen (Management Guidelines), Sasaran Pengendalian Rinci (Detailed Control Objectives), Pedoman Audit (Audit Guidelines), dan Kumpulan Alat Implementasi (Implementation Tool Set).

Kerangka kerja COBIT mendefinisikan sumber daya TI yang harus dikelola ke dalam 5 kategori, yaitu:
  1. Data. Merupakan obyek-obyek yang diartikan dalam pengertian yang luas (internal maupun eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.
  2. Application systems. Meliputi prosedur manual dan aplikasi komputer.
  3. Technology. Meliputi perangkat keras, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan sebagainya.
  4. Facilities. Semua sumber daya untuk menyimpan dan mendukung sistem informasi.
  5. People. Meliputi keahlian staf, kesadaran dan produktifitas untuk merencanakan, mengorganisasikan, memperoleh, menyampaikan, mendukung, mengawasi dan mengevaluasi layanan dan sistem informasi.

Pedoman manajemen COBIT (COBIT Management guidelines) berisi pedoman dan arahan manajemen dalam hal pengontrolan dan pengukuran TI. Pedoman manajemen COBIT terdiri dari Model Maturity, Critical Success Factors, Key Goal Indicators, dan Key Performance Indicators.
Critical Success Factors (CSFs).
Critical Success Factors (CSF) menyajikan arahan bagi manajemen dalam menerapkan kendali-kendali TI dan proses-prosesnya. CSF merupakan kumpulan hal-hal yang harus ada atau aktifitas-aktifitas yang harus dilakukan untuk memastikan keberhasilan setiap proses untuk mencapai tujuannya. Aktifitas-aktifitas yang terdapat pada CSF dapat bersifat strategis, teknis, proses atau prosedural. Pada umumnya aktifitas-aktifitas tersebut terkait dengan kemampuan dan keahlian, berorientasi aksi dan penggunaan sumber daya penting proses terkait.
  • Arahan dalam CSF diperoleh dengan menggunakan prinsip model kendali standar (standard control model), yaitu:
  • Objectives. Tujuan yang ingin dicapai.
  • Process. Kumpulan aktifitas kendali untuk memastikan tujuan dapat tercapai.
  • Control information. Informasi atau output yang diperoleh dari proses yang telah diterapkan.
  • Compare. Memeriksa control information yang diperoleh untuk memastikan bahwa tujuan yang diharapkan tercapai.
  • Signal (act). Arahan untuk memastikan proses dapat menghasilkan output yang diharapkan
Key Goal Indicators (KGI)
KGI merupakan ukuran yang digunakan untuk menunjukkan pencapaian tujuan dari kendali yang diterapkan pada setiap proses TI.
KGI dinyatakan dalam bentuk kriteria informasi:
  • Availability. Ketersediaan informasi yang dibutuhkan untuk mendukung kebutuhan bisnis.
  • Integrity and confidentiality. Integritas dan keamanan sistem.
  • Cost-efficiency. Efisiensi biaya dari proses dan operasi yang dilakukan.
  • Reliability, effectiveness, dan compliance. Tingkat kehandalan, efektifitas proses dan ketaatan terhadap prosedur, hukum, atau regulasi.
Key Performance Indicators (KPI)
KPI merupakan ukuran yang digunakan untuk menunjukkan kinerja setiap proses TI. KPI merupakan lead indikator, KPI diukur pada saat proses berjalan (before the fact). KGI fokus pada hasil dan proses, sedangkan KPI fokus pada bagaimana proses tersebut dijalankan. KPI dan KGI merupakan ukuran-ukuran yang digunakan untuk mengukur CSF. Berbeda dengan KGI yang berorientasi pada kebutuhan bisnis, KPI berorientasi pada pengelolaan dan penggunaan sumber daya TI. Sama halnya dengan KGI, KPI sering dinyatakan dalam bentuk angka atau persen.

Tahapan Implementasi Tata Kelola TI Menggunakan COBIT
Terdapat empat fase dalam penerapan Tata Kelola TI menggunakan COBIT. Keempat fase tersebut merupakan road map yang harus dilalui untuk menerapkan Tata Kelola TI yang dibutuhkan. Road map merupakan semacam bootstrap untuk Tata Kelola TI, dimana perusahaan nantinya akan bergerak kedalam suatu siklus Tata Kelola TI yang berkelanjutan .
Pada suatu saat tertentu, keseluruhan struktur Tata Kelola TI harus diintegrasikan ke dalam kerangka pengaturan perusahaan, Tata Kelola TI harus mengandung tujuan dan tanggung jawab yang jelas, dan peran serta semua pihak yang berkepentingan, serta harus dilakukan secara berkelanjutan, dengan kebutuhan-kebutuhan Tata Kelola TI seperti yang diilustrasikan oleh kerangkan kerja

Tata Kelola
Dalam menerapkan Tata Kelola TI, diperlukan sebuah model standar tata kelola yang representatif dan menyeluruh, yang mencakup masalah perencanaan, implementasi, operasional dan pengawasan terhadap seluruh proses TI.
Penggunaan standar Tata Kelola TI akan memberikan keuntungan-keuntungan sebagai berikut [8]:
  • The Wheel Exists - Penggunaan standar yang sudah ada dan mapan (mature) akan sangat efisien. Perusahaan tidak perlu mengembangkan sendiri suatu kerangka kerja dengan mengandalkan pengalamannya sendiri yang tentunya sangat terbatas.
  • Structured - Standar menyediakan suatu kerangka kerja yang terstruktur yang mudah dipahami dan diikuti manajemen. Kerangka kerja yang terstruktur dengan baik akan memberikan setiap orang pandangan yang relatif sama.
  • Best Practices - Standar telah dikembangkan dalam jangka waktu yang relatif lama dan melibatkan ratusan orang dan organisasi diseluruh dunia. Pengalaman yang direfleksikan dalam model-model tata kelola yang ada tidak dapat dibandingkan dengan suatu usaha dari satu perusahaan tertentu.
  • Knowledge Sharing - Dengan mengikuti standar yang umum, manajemen akan dapat berbagi ide dan pengalaman antar organisasi melalui user groups, website, majalah, buku dan media informasi lainnya.
  • Auditable - Tanpa standar baku, akan sulit bagi auditor, terutama auditor dari pihak ketiga untuk melakukan kontrol secara efektif. Dengan adanya standar, maka baik manajemen maupun auditor memiliki dasar yang sama dalam melakukan pengelolaan TI dan pengukurannya.
Beberapa model standar Tata Kelola TI yang banyak digunakan pada saat ini, antara lain:
  • Committee of Sponsoring Organization of the Treadway Commission (COSO)
  • The International Organization for Standardization / The International Electrotechnical Commission (ISO/IEC 17799)
  • The Information Technology Infrastructure Library (ITIL)
  • Control Objectives for Information and Related Technology (COBIT).
Model Tata Kelola
Kerangka kerja COSO terdiri dari tiga dimensi, yaitu:
Komponen Kendali (Component control )
Dimensi ini terdiri atas 5 komponen kendali internal yang diintegrasikan dan dijalankan dalam semua unit bisnis, dan akan membantu mencapai sasaran kendali internal, yang meliputi:
  1. Monitoring. Mencakup proses pengukuran kinerja sistem kendali yang diterapkan, aktifitas-aktifitas pengelolaan dan pengawasan, dan kegiatan audit internal.
  2. Information and communication. Mencakup akses informasi internal dan eksternal, serta alur informasi dalam perusahaan.
  3. Control activities. Kebijakan atau prosedur yang berisi arahan manajemen yang harus diikuti oleh setiap pihak terkait.
  4. Risk assesment. Identifikasi resiko yang dijadikan dasar untuk menentukan aktifitas-aktifitas kendali yang akan diterapkan.
  5. Control environment. Merupakan taraf kendali perusahaan dimana kendali internal dikembangkan secara top-down.
Sasaran Kendali Internal (Internal control objectives )
Merupakan tujuan yang akan dicapai dari setiap kendali internal. Internal control objectives dikategorikan ke dalam 3 area, yaitu:
  • Operation. Efektifitas dan efisiensi operasi untuk mencapai tujuan bisnis.
  • Financial. Kehandalan dan pertanggungjawaban laporan keuangan yang dipublikasikan.
  • Compliance. Pemenuhan terhadap hukum dan peraturan yang berlaku.
Unit/Aktifitas Organisasi (Unit / activities of an organization)
Dimensi ini mengidentifikasi unit-unit atau aktifitas-aktifitas di dalam perusahaan yang memerlukan kendali internal. Kendali internal menyangkut keseluruhan organisasi dan semua bagian-bagiannya

ISO/IEC 17799
ISO/IEC 17799 adalah kode praktis pengelolaan keamanan informasi yang dikembangkan oleh The International Organization for Standardization (ISO) dan The International Electrotechnical Commission (IEC). ISO/IEC 17799 adalah panduan yang terdiri dari saran dan rekomendasi yang digunakan untuk memastikan keamanan informasi perusahaan.

ISO/IEC 17799 bertujuan memperkuat tiga elemen dasar keamanan informasi, yaitu:
(1) Confidentiality. Memastikan informasi hanya dapat diakses oleh pihak-pihak yang berwenang atau memiliki otoritas.(2)Integrity. Menjaga akurasi dan kelengkapan informasi ketika diproses. (3)Availability. Memastikan bahwa pihak-pihak yang memiliki otoritas dapat mengakses informasi dan aset-aset terkait lainnya ketika diperlukan.

ISO/IEC 17799 disajikan dalam bentuk panduan dan rekomendasi yang terdiri dari 36 security objectives dan 127 security controls yang dikelompokkan ke dalam 10 domain keamanan informasi. Berikut ini 10 domain keamanan informasi ISO/IEC 17799:
  1. Security policy. Menyajikan panduan dan arahan bagi manajemen dalam meningkatkan keamanan informasi.
  2. Organizational security. Memfasilitasi pengelolaan keamanan informasi dalam perusahaan.
  3. Asset classification and control. Melakukan inventarisasi aset dan melindungi aset tersebut dengan efektif.
  4. Personel security. Meminimalkan resiko yan disebabkan oleh kesalahan manusia, pencurian, dan penggunaan peralatan yang tidak benar.
  5. Physical and environmental security. Mencegah tindakan kekerasan dan perusakan terhadap fasilitas dan data perusahaan.
  6. Communications and operations management. Memastikan operasi yang dilakukan telah sesuai dengan kebutuhan bisnis dan peralatan yang digunakan dalam pemrosesan informasi tersebut dapat diandalkan.
  7. Access control. Kendali-kendali yang diterapkan pada proses pengaksesan data atau informasi perusahaan.
  8. Systems development and maintenance. Memastikan bahwa aspek keamanan informasi disertakan dalam proses pengembangan dan perawatan sistem informasi.
  9. Business continuity management. Meminimalkan dampak dari terhentinya proses bisnis dan melindungi proses-proses penting perusahaan dari kegagalan dan kerusakan yang diakibatkan oleh ancaman keamanan informasi.
  10. Compliance. Menghindarkan terjadinya tindakan pelanggaran dan memastikan ketaatan terhadap hukum maupun kesepakatan kontrak.
ITIL (The Information Technology Infrastructure Library)
ITIL dikembangkan oleh The Office of Government Commerce (OGC), suatu badan di bawah pemerintah Inggris melalui kerja sama dengan The IT Service Management Forum (ITSMF) yaitu suatu organisasi independen mengenai manajemen pelayanan TI dan British Standard Institute (BSI) yang merupakan badan penetapan standar pemerintah Inggris. ITIL merupakan sebuah kerangka kerja pengelolaan layanan TI, kumpulan best practice penerapan pengelolaan layanan TI. ITIL memberikan rekomendasi dan arahan yang dibutuhkan manajemen untuk mengelola layanan TI dalam perusahaan.

Artikel COBIT Lainnya...
[1] Bagaimana Cara Menghitung Maturitas Pada COBIT ?
Bagai mana konsep awareness manajemen, menentukan tingkat prioritas kepentingan dan melalkukan menghitung rumus index maturitas
[2] Tata Kelola Sistem Informasi Untuk Memastikan Ketercapaian Keamanan Sistem
Contoh Implentasi COBIT untuk melakkan kontrol objektif Area Keamanan Sistem berserta konsep implemenasinya.
[3] Audit Sistem Informasi untuk Menilai Keamanan Sistem dan Kecukupan Pengawasan Manajemen
Mengembangkan Auidit Sistem pada Objek Riset pada Area DS dan AI yang merupakan domain COBIT
[4] COBIT Sebagai Kerangka Kerja Aristektur Sistem dan Tehnologi
Membangun Perencaan Arsitektur Tata Kelola Sistem dan Tehnologi yang bekerja pada Framework COBIT pada Domain Perencanaan Organisasi dan Akuisisi Implentasi.


DAFTAR PUSTAKA
-----------------------------------------------------------------------------

Arikunto, Suharsimi. 1996. Manajemen Penelitian, Rineka Cipta, Jakarta.
Cecilia Lusiani (2009). Audit IT Governance Kabupaten SlemanPemerintah Kabupaten Sleman Jurnal Informatika Mulawarman. Vol 4 No. 2 Juli 2010
___ COBIT Steering Committee and the IT Governance Institute (2000), COBIT Executive Summary, IT Governance Institute. http://www.itgi.org. 6/10/2010.
___ COBIT Steering Committee and the IT Governance Institute (2000), COBIT Framework, IT Governance Institute. http://www.isaca.org. 6/10/2010.
___ COBIT Steering Committee and the IT Governance Institute (2000), COBIT Management Guidelines, IT Governance Institute. http://www.isaca.org. 6/10/2010.
COBIT 4.0, Control Objectives, Manegement Guidelines, Maturity models, http:// http://www.itgi.org. 25/01/2010
Fowler, Floyd J., 1993. “Survey Research Methods : Applied Social Research Methods Series”. Second Edition, Sage Publications. Newbury Park. USA
Kraemer,Kenneth; John King; Debora Dunkle; and Joe Lane “Managing Information Systems.” Los Angeles: Jossey-Bas (1989)
The IT Governance Institute (2000), Board Briefing on IT Governance. IT Governance Institute. http://www.itgi.org. 20/11/2008.
The IT Governance Institute (2000), COBIT Mapping (Overview of International IT Guidance), IT Governance Institute. http://www.isaca.org. 20/11/2008.
The IT Governance Institute (2000), IT Governance Executive Summary. IT Governance Institute. http://www.itgi.org. 20/11/2008.
Weber, Ron. (1998), Information Systems Control and Audit. e-book. Prentice Hall. CDRom Vertion
--------------------------------------------------------------------------

Newer Prev Home