REGULATORY & COMPLIANCE
COBIT 5
Kelas : 4 KA 32
Anggota Kelompok :
1. Franky Manaex
M S (13113572)
2. Damar
Wisnutama (11113984)
3. Hardi
Setiawan (13113912)
4. Syabilla
Putri Anjani (18113722)
Sistem
Informasi
Universitas
Gunadarma
2016
Control Objective for Information and related Technology
(COBIT)
Definisi
Dikeluarkan dan
disusun oleh IT Governance Institute yang merupakan bagian dari ISACA
(Information Systems Audit and Control Association) pada tahun 1996. hingga
saat artikel ini dimuat setidaknya sudah ada 5 versi COBIT yang sudah
diterbitkan, versi pertama diterbitkan pada tahun 1996, versi kedua tahun 1998,
versi 3.0 di tahun 2000, Cobit 4.0 pada tahun 2005, CObit 4.1 tahun 2007 dan
yang terakhir ini adalah Cobit versi 5 yang di rilis baru-baru saja.
COBIT adalah
merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai
toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan
dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi.
COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan
untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai
serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi
penerapan IT.
Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan IT. Cobit memberikan panduan kerangka kerja yang bisa mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di level top dalam organisasi.
Siapa saja yang
menggunakan COBIT? COBIT digunakan secara umum oleh mereka yang memiliki
tanggung jawab utama dalam alur proses organisasi, mereka yang organisasinya
sangat bergantung pada kualitas, kehandalan dan penguasaan teknologi informasi.
Cobit memiliki
4 Cakupan Domain :
1. Perencanaan
dan Organisasi (Plan and Organise)
Domain ini mencakup strategi dan taktik
yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi
terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah
organisasi yang baik dengan infrastruktur teknologi yang baik pula.
2. Pengadaan
dan Implementasi (Acquire and Implement)
Untuk mewujudkan strategi TI, solusi TI
perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan
dan diintegrasikan dalam proses bisnis.
3. Pengantaran
dan Dukungan (Deliver and Support)
Domain ini berhubungan dengan
penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security
dan aspek kesinambungan bisnis sampai dengan pengadaan training.
4. Pengawasan
dan Evaluasi (Monitor and Evaluate)
Semua proses TI
perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya
dengan kebutuhan kontrol.
Keempat domain tersebut diatas kemudian dijabarkan
menjadi 34 faktor resiko yang harus dievaluasi jika ingin diperoleh suatu
kesimpulan mengenai seberapa besar kepedulian manajemen terhadap teknologi
informasi, serta bagaimana teknologi informasi dapat memenuhi kebutuhan
manajemen akan informasi.
COBIT IT Processes Defined Withen The Four Domain
Gambar Kerangka COBIT
PLANNING AND
ORGANISATION (PO)
|
1
2
3
4
5
6
7
8
9
10
11
|
P01
P02
PO3
PO4
PO5
PO6
PO7
PO8
PO9
PO10
PO11
|
Menetapkan
Rencana Strategis Teknologi Informasi (Define a Strategic IT Plan)
Menetapkan
Arsitektur Informasi (Define the Information Architecture)
Menetapkan Arah
Teknologi (Determine Technological Direction)
Menetapkan
Organisasi TI dan Hubungannya (Define the IT Organisation and
Relationships)
Mengatur
Investasi TI (Manage the IT Investment)
Mengkomunikasikan
Tujuan dan Arahan Manajemen (Communicate Management Aims and
Direction)
Mengelola
Sumberdaya Manusia (Manage Human Resources)
Memastikan
Kesesuaian dengan Kebutuhan-kebutuhan eksternal (Ensure Compliance with
External Requirements)
Menilai Resiko (Assess
Risks)
Mengatur Proyek (Manage
Projects)
Mengatur Kualitas (Manage Quality)
|
ACQUISITION AND
IMPLEMENTATION (AI)
|
12
13
14
15
16
17
|
AI1
AI2
AI3
AI4
AI5
AI6
|
Identifikasi solusi-solusi
otomatisasi (Identify Automated Solutions)
Memperoleh dan memelihara
Perangkat Lunak Aplikasi (Acquireand Maintain Application Software)
Memperoleh dan
memelihara Infrastruktur Teknologi (Acquire and Maintain Technology
Infrastructure)
Mengembangkan dan
memelihara prosedur (Develop and Maintain Procedures)
Instalasi dan
pengakuan sistem (Install and Accredit Systems)
Mengatur Perubahan (Manage
Changes)
|
DELIVERY AND
SUPPORT (DS)
18
19
20
21
22
23
24
25
26
27
28
29
30
|
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
|
Menetapkan dan mengatur
tingkatan pelayanan (Define and Manage Service Levels)
Mengelola layanan pihak ke
tiga (Manage Third-Party Services)
Mengelola
kapasitas dan kinerja (Manage Performance and Capacity)
Menjamin layanan
berkelanjutan (Ensure Continuous Service)
Menjamin keamanan
sistem (Ensure Systems Security)
Mengidentifikasikan
dan mengalokasikan biaya (Identify and Allocate Costs)
Mendidik dan
melatih user (Educate and Train Users)
Membantu dan
memberikan masukan kepada pelanggan (Assist and Advise Customers)
Mengelola
konfigurasi (Manage the Configuration)
Mengelola
kegiatan dan permasalahan (Manage Problems and Incidents)
Mengelola Data (Manage
Data)
Mengelola Fasilitas
(Manage Facilities)
Mengelola Operasi (Manage
Operations)
|
MONITORING (M)
|
31
32
33
34
|
M1
M2
M3
M4
|
Mengawasi proses (Monitor
the Processes)
Menilai kecukupan
pengendalian internal (Assess Internal Control Adequacy)
Memperoleh
jaminan independen (Obtain Independent Assurance)
Menyediakan Audit Independen
(Provide for Independent Audit)
|
Secara
keseluruhan 34 proses diataslah yang digunakan sebagai panduan dalam menangani
masalah tata kelola IT atau pembuatan IT strategic plan, meskipun dalam
prakteknya tidak mesti menggunakan 34 proses tersebut karena proses-proses
tersebut menyesuaikan dengan kondisi organisasi.
Maturity model adalah suatu
metode untuk mengukur level pengembangan manajemen proses, yang berarti adalah
mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya
pengembangan atau kapabilitas manajemen tergantung pada tercapainya
tujuan-tujuan COBIT yang. Sebagai contoh adalah ada beberapa proses dan sistem
kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses
dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan
pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah
didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.
Penerapan yang
tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada
pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol).
Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi,
mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat
diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan
penggunaan sumber daya TI.
Maturity model
dapat digunakan untuk memetakan :
1.
Status pengelolaan TI perusahaan pada saat itu.
2.
Status standart industri dalam bidang TI saat ini
(sebagai pembanding)
3.
Status standart internasional dalam bidang TI saat ini
(sebagai pembanding)
4.
Strategi pengelolaan TI perusahaan (ekspetasi perusahaan
terhadap posisi pengelolaan TI perusahaan)
Tingkat
kemampuan pengelolaan TI pada skala maturity dibagi menjadi 6 level :
1.
Level 0 (Non-existent)
Perusahaan
tidak mengetahui sama sekali proses teknologi informasi di perusahaannya.
2.
Level 1 (Initial
Level)
Pada level ini,
organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk
mengembangkan suatu produk baru. Ketika suatu organisasi kelihatannya mengalami
kekurangan pengalaman manajemen, keuntungan dari mengintegrasikan pengembangan
produk tidak dapat ditentukan dengan perencanaan yang tidak efektif, respon
sistem. Proses pengembangan tidak dapat diprediksi dan tidak stabil, karena
proses secara teratur berubah atau dimodifikasi selama pengerjaan berjalan
beberapa form dari satu proyek ke proyek lain. Kinerja tergantung pada
kemampuan individual atau term dan variasi dengan keahlian yang
dimilikinya.
3.
Level 2 (Repeatable
Level)
Pada level ini,
kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam
mengimplementasikan kebijakan tersebut ditetapkan. Tingkat efektif suatu proses
manajemen dalam mengembangankan proyek adalah institutionalized, dengan
memungkinkan organisasi untuk mengulangi pengalaman yang berhasil dalam
mengembangkan proyek sebelumnya, walaupun terdapat proses tertentu yang tidak
sama. Tingkat efektif suatu proses mempunyai karakteristik seperti; practiced,
dokumentasi, enforced, trained, measured, dan dapat ditingkatkan. Product
requirement dan dokumentasi perancangan selalu dijaga agar dapat mencegah
perubahan yang tidak diinginkan.
4.
Level 3 (Defined
Level)
Pada level ini,
proses standar dalam pengembangan suatu produk baru didokumentasikan, proses
ini didasari pada proses pengembangan produk yang telah diintegrasikan.
Proses-proses ini digunakan untuk membantu manejer, ketua tim dan anggota tim
pengembangan sehingga bekerja dengan lebih efektif. Suatu proses yang telah
didefenisikan dengan baik mempunyai karakteristik; readiness criteria,
inputs, standar dan prosedur dalam mengerjakan suatu proyek, mekanisme
verifikasi, output dan kriteria selesainya suatu proyek. Aturan dan tanggung
jawab yang didefinisikan jelas dan dimengerti. Karena proses perangkat lunak
didefinisikan dengan jelas, maka manajemen mempunyai pengatahuan yang baik
mengenai kemajuan proyek tersebut. Biaya, jadwal dan kebutuhan proyek dalam
pengawasan dan kualitas produk yang diawasi.
5.
Level 4 (Managed
Level)
Pada level ini,
organisasi membuat suatu matrik untuk suatu produk, proses dan pengukuran hasil.
Proyek mempunyai kontrol terhadap produk dan proses untuk mengurangi variasi
kinerja proses sehingga terdapat batasan yang dapat diterima. Resiko
perpindahan teknologi produk, prores manufaktur, dan pasar harus diketahui dan
diatur secara hati-hati. Proses pengembangan dapat ditentukan karena proses
diukur dan dijalankan dengan limit yang dapat diukur.
6.
Level 5 (Optimized
Level)
Pada level ini,
seluruh organisasi difokuskan pada proses peningkatan secara terus-menerus.
Teknologi informasi sudah digunakan terintegrasi untuk otomatisasi proses kerja
dalam perusahaan, meningkatkan kualitas, efektifitas, serta kemampuan
beradaptasi perusahaan. Tim pengembangan produk menganalisis kesalahan dan defects
untuk menentukan penyebab kesalahannya. Proses pengembangan melakukan evaluasi
untuk mencegah kesalahan yang telah diketahui dan defects agar tidak terjadi
lagi.
Access control
dalam COBIT :
1. Audit &
Assurance
2. Risk
Management
3. Information
Sequrity
4. Regulatory
& Compliance
5. Government
Of Enterprise IT
Regulatory & Compliance
Bagaimana COBIT
digunakan untuk Regulatory & Compliance?
Perusahaan publik yang diperdagangkan
sering menggunakan COBIT untuk membantu dalam proses kepatuhan Sarbanes-Oxley
Act. Undang-undang mengharuskan kepala eksekutif perusahaan publik untuk
membuktikan keakuratan informasi dalam laporan keuangan mereka, yang memerlukan
proses IT yang handal dan kontrol.
Sebagai COBIT 5
Task Force co-chair Derek Oliver dicatat ketika kerangka diperbarui dirilis,
Sarbanes-Oxley adalah "tentang tata kelola perusahaan, tetapi jika Anda
bisa mendapatkan TI yang tepat, yang benar-benar mendorong persyaratan kepatuhan
untuk Sarbanes Oxley. Salah satu prinsip COBIT 5 bekerja untuk memenuhi
kebutuhan stakeholder. Ketika Anda sedang melihat COBIT, Anda katakan, siapa
stakeholder? satu pemangku kepentingan bisa menjadi badan pengawas. "
Ø Compliance
memastikan bahwa organisasi memiliki proses dan pengendalian internal untuk
memenuhi persyaratan yang diberlakukan oleh badan pemerintah, regulator, mandat
industri atau kebijakan internal.
Compliance atau kepatuhan : Sebuah inisiatif untuk
mematuhi peraturan biasanya dimulai sebagai proyek sebagai perusahaan ras untuk
memenuhi tenggat waktu untuk mematuhi peraturan itu. Proyek-proyek ini
mengkonsumsi sumber daya yang signifikan sebagai memenuhi tenggat waktu menjadi
tujuan yang paling penting. Namun, kepatuhan bukan peristiwa satu kali -
organisasi menyadari bahwa mereka perlu untuk membuatnya menjadi sebuah proses
berulang, sehingga mereka dapat terus mempertahankan kepatuhan terhadap
peraturan yang dengan biaya lebih rendah daripada batas waktu pertama. Ketika
sebuah organisasi adalah berurusan dengan beberapa peraturan pada saat yang
sama, proses yang efisien mengelola sesuai dengan masing-masing inisiatif ini
sangat penting, atau yang lain, biaya bisa lepas kendali dan risiko
non-kepatuhan meningkat. Proses kepatuhan memungkinkan organisasi untuk membuat
kepatuhan berulang dan karenanya memungkinkan mereka untuk mempertahankan itu
secara terus-menerus dengan biaya lebih rendah.
Kemampuan dari solusi Kepatuhan mencakup :
·
Kontrol fleksibel hierarki
·
Penilaian dan audit
·
Pelacakan masalah dan remediasi
·
Analitik
Deskripsi proses :
Memantau
dan Evaluate Effective pengawasan kepatuhan memerlukan pembentukan proses
review untuk memastikan kepatuhan terhadap hukum, peraturan dan persyaratan
kontrak. Proses ini meliputi identifikasi persyaratan kepatuhan, mengoptimalkan
dan mengevaluasi respon, memperoleh jaminan bahwa persyaratan telah dipenuhi
dan, akhirnya, mengintegrasikan TI kepatuhan pelaporan dengan sisa bisnis.
Kontrol
atas proses TI Memastikan kepatuhan dengan persyaratan eksternal yang memenuhi
kebutuhan bisnis untuk TI memastikan kepatuhan terhadap hukum, peraturan dan
persyaratan kontrak dengan berfokus pada mengidentifikasi semua hukum,
peraturan dan kontrak dan tingkat yang sesuai kepatuhan IT dan mengoptimalkan
proses IT untuk mengurangi risiko ketidakpatuhan dicapai dengan:
·
Mengidentifikasi persyaratan hukum, peraturan dan kontrak
yang berhubungan dengan
IT
·
Menilai dampak dari persyaratan kepatuhan
·
Pemantauan dan pelaporan kepatuhan dengan
persyaratan ini
Dan diukur dengan
·
Biaya IT non-kepatuhan, termasuk pemukiman dan
denda
·
Rata-rata lag waktu antara identifikasi masalah
kepatuhan eksternal dan resolusi
·
Frekuensi ulasan kepatuhan
Bagaimana
COBIT membantu organisasi memenuhi dalam Regulatory & Compliance ?
Banyak organisasi yang membutuhkan bantuan guna memenuhi
persyaratan kinerja dan kepatuhan atau compliance. Sebuah perusahaan konsultan
di Uni Emirat Arab bekerja dengan tiga organisasi yang berbeda untuk membantu
setiap organisasi yang bertemu dengan tata kelola, risiko dan kepatuhan
persyaratan (GRC). Organisasi termasuk sebuah organisasi pemerintah (5,000-plus
karyawan dengan anggota staf TI 170-plus), lembaga keuangan besar (8,000-plus
karyawan, beroperasi di 3 negara dengan anggota staf TI 250-plus) dan
konglomerat besar (25,000-plus karyawan, beroperasi di 10 negara dengan anggota
staf TI 200-plus).
Konsultan
ditentukan bahwa cara terbaik untuk membantu nasabah-nasabah tersebut bergerak
dari mana mereka adalah untuk memenuhi syarat-syarat GRC adalah dengan
menggunakan COBIT 5. Gambar 1 menunjukkan kebutuhan dari klien dan mengapa
COBIT 5 bertekad untuk menjadi kerangka terbaik untuk mempekerjakan.
Setiap organisasi memiliki prioritas yang perlu
diperhatikan. Beberapa isu-isu lebih penting yang umum untuk semua organisasi 3
adalah:
- Memenuhi persyaratan kepatuhan terhadap peraturan
- Melakukan end-to-end proses penilaian kemampuan
untuk mengidentifikasi kekuatan, kelemahan, dan area membutuhkan perbaikan
- Mengembangkan kerangka kerja manajemen risiko
- Paling penting, kebutuhan untuk membawa semua fungsi
individu didalamnya menjadi umum, terintegrasi model
Salah satu organisasi telah menggunakan COBIT 4.1 selama
3 tahun, dan bermigrasi ke COBIT 5 juga bagian dari persyaratan. Yang mana COBIT
5 merupakan sebagai proses pedoman dan
model penilaian kemampuan, lalu COBIT 4.1 dan Risk IT yang digunakan untuk
memenuhi kebutuhan klien.
Mendapatkan
dukungan dari manajemen
Stakeholder tahu bahwa menerapkan perubahan kritis dalam
setiap organisasi membutuhkan pemahaman dan dukungan dari manajemen senior.
Dalam kasus ini, bahwa dukungan adalah penting. Dukungan dari manajemen senior
diperoleh dengan mengidentifikasi daerah sakit bisnis dan pemetaan mereka untuk
COBIT untuk menjelaskan perlunya kontrol-driven ITU.
Organisasi juga digunakan COBIT 5 tujuan cascade
mekanisme untuk menjelaskan bagaimana proyek-proyek ini akan lebih
menyelaraskan dengan tujuan bisnis. Organisasi menunjukkan pentingnya
pendekatan holistik — salah satu COBIT 5 prinsip (gambar 2) — untuk
meningkatkan kinerja itu.
Figure 2—COBIT 5 Principles
Source: ISACA, COBIT 5, USA, 2012
Setiap
organisasi memiliki tujuan yang sama. Masing-masing yang diperlukan untuk
menerapkan kosa kata umum antara semua fungsi — untuk memenuhi kebutuhan
kinerja bisnis dan mencapai persyaratan peraturan kepatuhan dan audit.
COBIT diidentifikasi sebagai kerangka
untuk memenuhi tujuan dari organisasi, dan cascade tujuan yang digunakan untuk
mengidentifikasi proses yang tepat.
Mencapai tujuan
Dalam setiap
kasus, organisasi yang menggunakan pendekatan yang sama untuk mencapai tujuan
mereka. Pertama, mereka tampil penilaian kemampuan proses awal untuk
mengidentifikasi kekuatan, kelemahan, dan risiko mereka. Dari sana, paling
penting proses dan kontrol (practices) untuk meningkatkan dan fokus yang dipilih.
Prioritas diberikan kepada kepatuhan dan audit persyaratan. Peta jalan ini
kemudian dikembangkan untuk meningkatkan proses (proyek jangka pendek dan
jangka panjang).
Untuk setiap
organisasi, peningkatan perjalanan dimulai dengan mengembangkan grafik yang
bertanggung jawab, akuntabel, Consulted dan informasi (RACI) untuk menetapkan
peran dan tanggung jawab, mendokumentasikan kebijakan dan prosedur. Lebih fokus
diberikan kepada organisasi perubahan manajemen melalui kesadaran sesi, sesi
kereta pelatih untuk personel kunci dan sering meninjau kemajuan.
Gambar 3
menunjukkan contoh bagaimana suatu proses tertentu atau masalah ditangani dan
diperbaiki. Proyek sistem dan manajemen siklus hidup pengembangan perbaikan
(SDLC) telah dipetakan ke COBIT 5 proses dan tujuan pengendalian.
Figure 3—Mapping Program and Project Management to COBIT
Processes and Control Objectives
|
Domain
|
Process ID
|
Process
Description
|
|
Program and
Project
Management |
APO06
|
Manage budget
and costs
|
|
APO07
|
Manage human
resources
|
|
|
APO08
|
Manage
relationships
|
|
|
APO10
|
Manage
suppliers
|
|
|
BAI01
|
Manage
programs and project
|
|
|
BAI02
|
Manage
requirements definition
|
|
|
BAI03
|
Manage
solutions identification and build
|
|
|
BAI06
|
Manage
changes
|
|
|
BAI07
|
Manage change
acceptance and transitioning
|
|
|
DSS01
|
Manage
operations
|
|
|
MEA01
|
Monitor,
evaluate and assess performance and conformance
|
Source: Global Success System FZ LLC. IT Domain mapped to COBIT Processes.
Reprinted with permission.
Regulatory compliance requirements juga telah dipetakan ke COBIT proses dan kontrol (figure 4).
Figure 4—Mapping Regulatory Compliance Requirements to COBIT Processes and Control Objectives
|
Domain
|
Process ID
|
Process Description
|
|
Information Security
Regulations |
APO13
|
Manage security
|
|
BAI09
|
Manage assets
|
|
|
APO12
|
Manage risk
|
|
|
DSS02
|
Manage service requests and incidents
|
|
|
DSS03
|
Manage problems
|
|
|
DSS05
|
Manage security services
|
|
|
DSS01
|
Manage operations
|
|
|
APO01
|
Manage the IT management framework
|
|
|
DSS04
|
Manage continuity
|
|
|
BAI01
|
Manage programs and projects
|
|
|
BAI02
|
Manage requirements definition
|
|
|
BAI03
|
Manage solutions identification and build
|
|
|
BAI07
|
Manage change acceptance and transitioning
|
|
|
DSS05
|
Manage security services
|
|
|
|
Process RACI charts, organization structure
|
|
|
MEA01
|
Monitor, evaluate and assess performance and conformance
|
|
|
MEA02
|
Monitor, evaluate and assess the system of internal
control
|
Source: Global Success System FZ LLC. Regulatory
Compliance Requirements mapped to COBIT Processes. Reprinted with permission.
Sebagai hasilnya, model (figure
5) diproduksi, dari yang COBIT dapat digunakan untuk memenuhi persyaratan
IT performance and compliance requirements klien.
Figure 5—Meeting IT Performance, Audit and Compliance Requirements Model
Source: Global Success System FZ LLC. Integrated IT Performance and Compliance Model. Reprinted with permission.
Model terpadu satu ini membantu
organisasi untuk memprioritaskan tujuan mereka dan memilih proses yang tepat dan
praktek-praktek untuk memenuhi kinerja TI dan kepatuhan peraturan persyaratan
mereka.
Daftar Pustaka
:
ini cobit 4.1 bukan cobit 5.0
BalasHapus