Penggunaan Teknologi Informasi atau TI dan komunikasi terus berkembang pesat. Alhasil, Terciptalah Cobit 5 yang sangat penting bagi organisasi untuk meningkatkan efektifitas dan efisiensi dalam kegiatan operasionalnya. Oleh karena itu,dibutuhkan pengelolaan TI yang benar sehingga memberikan manfaat lebih untuk perusahaan.
Penggunaan sistem informasi memiliki banyak risiko, sehingga jika terjadi masalah akan berdampak secara keseluruhan. Oleh karena itu, dibutuhkan pengelolaan manajemen risiko untuk mengelola kemungkinan resiko yang terjadi. COBIT 5 adalah salah satu framework tata kelola TI yang digunakan.
Apa Itu COBIT 5 ?
Control Objectives for Information and related Technology ver.5.0 atau yang dikenal dengan COBIT 5 adalah suatu panduan standar praktek manajemen teknologi informasi (TI). COBIT 5 menjadi framework atau kerangka kerja tata kelola TI (teknologi informasi) bagi organisasi atau perusahaan.
COBIT 5 berisi kumpulan perangkat yang mendukung dan memungkinkan para manager untuk menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan (control requirement), masalah teknis (technical issues), dan praktik baik ( good practice). COBIT merupakan kerangka kerja manajemen teknologi informasi yang diciptakan oleh Informasi System Audit And Control Association (ISACA) dan IT Governance Institute (ITG). COBIT 5 merupakan framework yang sudah dilengkapi beberapa fitur terbaru yang dirilis COBIT pada tahun 2012.
COBIT 5 adalah penyempurnaan dari versi terdahulunya yaitu COBIT 4.1 yang dilengkapi dengan 5 prinsip dan 7 enablers. Pada versi terdapat sejumlah perbedaan. Jika pada COBIT 4.1 lebih mengarah pada tata kelola informasi, maka COBIT 5 lebih berfokus pada tata kelola informasi sebagai kerangka kerja pada bidang manajemen dan bisnis.
Tujuan COBIT 5
COBIT 5 bertujuan untuk menunjang kinerja dalam suatu perusahaan agar dapat mencapai tujuan dan nilai yang sangat optimal dari pengelolaan TI. Kerangka kerja COBIT ini sangat komprehensif, sehingga bisa mewujudkan keseimbangan antara manfaat dan mengoptimalkan tingkat resiko serta penggunaan sumber daya yang ada.
Keputusan bisnis yang baik harus berdasarkan pada pengetahuan yang berasal dari informasi yang relevan, komprehensif dan tepat waktu, yang dapat dihasilkan jika informasi memenuhi kriteria informasi. Jadi pada dasarnya, COBIT 5 berguna sebagai pengembangan untuk suatu tujuan pengendalian informasi dan tata kelola teknologi informasi yang dikelola oleh IT Governance Institute.
COBIT 5 memiliki kerangka kerja yang menentukan pengendalian dalam bidang TI berdasarkan informasi yang diperlukan untuk mendukung proses bisnis dan informasi yang kemudian menghasilkan dari penerapan informasi sumber daya terbaik berdasarkan prinsip dasar COBIT 5.
COBIT 5 memiliki tujuan pengendalian yang terintegrasi dari 5 domain yaitu : Planning and Enterprise (OP), Acquisition and Implementation (AI), Delivery, and Support (DSS) serta Monitoring And Evaluate (MEA), Evaluated, Direct and Monitor (EDM).
Prinsip Dasar COBIT 5
COBIT 5 memiliki dasar 5 prinsip kunci dalam menjalankan governance dan management suatu IT enterprise. Kelima prinsip COBIT 5 yaitu:
-
Meeting Stakeholder Needs
COBIT 5 terdiri dari proses-proses dan enabler untuk mendukung penciptaan nilai bisnis melalui penerapan IT. Suatu perusahaan bisa menyesuaikan COBIT 5 dengan konteks kebutuhan perusahaan tersebut.
-
Covering the Enterprise end-to-end
COBIT 5 mengintegrasikan pengelolaan IT perusahaan terhadap tata kelola organisasi. Hal ini bisa terjadi karena COBIT 5 mencakup seluruh fungsi dan proses yang ada di perusahaan.
COBIT 5 mempertimbangkan seluruh enabler dari governance dan management terkait IT dengan sudut pandang perusahaan dan end to-end. Artinya, COBIT 5 mempertimbangkan seluruh entitas di perusahaan sebagai bagian yang saling mempengaruhi satu sama lain.
-
Applying a Single, Integrated Framework
COBIT 5 selaras dengan standar lain yang biasanya menyediakan panduan untuk sebagian dari aktivitas IT. COBIT 5 merupakan framework yang membahas high level terkait governance dan management IT perusahaan. COBIT 5 menyediakan panduan high level dan panduan detail disediakan oleh standar-standar lain yang terkait.
-
Enabling a Holistic Approach
Governance dan management IT perusahaan yang efektif dan efisien butuh pendekatan bersifat menyeluruh, yaitu mempertimbangkan semua komponen yang saling berinteraksi. COBIT 5 mendefinisikan sekumpulan enabler untuk mendukung implementasi governance dan management sistem IT perusahaan secara lebih komprehensif.
-
Separating Governance From Management
COBIT 5 memberi pemisahan yang jelas antara governance dan management. Kedua hal ini meliputi aktivitas yang berbeda, sehingga membutuhkan struktur organisasi yang berbeda dan melayani dengan tujuan yang berbeda.
Domain COBIT 5
Domain kerja COBIT 5 berfokus pada 2 area utama, yaitu area governance atau Tata Kelola sementara area kedua pada management atau bisnis. Pada area governance hanya ada 1 domain yaitu EDM (Evaluate, Direct, and Monitor) sementara pada pada area management ada 4 domain yaitu APO (Align, Plan, and Organize), BAI (Build, Acquire, and Implement), DSS (Deliver, Service, and Support), MEA (Monitor, Evaluate, and Asses).
Selanjutnya, pada setiap domain terdapat sub domain, yaitu untuk area governance ada 5 subdomain dan untuk management lebih banyak yaitu 37 sub domain.
Simak daftar sub domain yang terdapat pada kerangka kerja COBIT 5 sebagai berikut:
Domain EDM (Evaluate, Direct, and Monitor).
EDM merupakan domain yang memiliki fokus pada tujuan stakeholder untuk melakukan proses penilaian dan pengoptimalisasi resiko dan sumber daya. Domain ini meliputi praktik serta kegiatan untuk tujuan agar evaluasi berhasil dilakukan dengan tepat dan strategis serta mengarahkan kepada tim IT.
- EDM001: Memastikan pengaturan kerangka kerja tata kelola dan pemeliharaan.
- EDM002: Memastikan penyimpanan manfaat.
- EDM003: Memastikan optimasi risiko.
- EMD004: Memastikan optimasi sumber daya.
- EMD005: Memastikan transparansi stakeholder.
Domain APO (Align, Plan and Organize)
APO sendiri bertujuan untuk memberikan arahan serta solusi bagi domain BAI dan penyediaan layanan dan dukungan pada domain DSS. Domain APO mencakup pengambilan strategi serta identifikasi resiko. Sebanyak 13 sub domain APO yaitu sebagai berikut:
- APO01 : Mengelola kerangka kerja manajemen TI
- APO02 : Mengelola strategi
- APO03 : Mengelola enterprise arsitektur
- APO04 : Mengelola inovasi
- APO05 : Mengelola portofolio
- APO06 : Mengelola anggaran dan biaya
- APO07 : Mengelola sumber daya
- APO08 : Mengelola hubungan
- APO09 : Mengelola Perjanjian Layanan
- APO10 : Mengelola pemasok
- APO11 : Mengelola kualitas
- APO12 : Mengelola risiko
- APO13 : Mengelola keamanan
Domain DSS (Deliver, Service and Support).
Domain in meliputi bidang kinerja aplikasi pada sistem TI sehingga proses yang dijalankan bisa berjalan secara efektif dan efisien. DSS memiliki 6 sub domain yaitu:
- DSS01 : Mengelola operasi
- DSS02 : Mengelola layanan permintaan dan insiden
- DSS03 : Mengelola masalah
- DSS04 : Mengelola keberlangsungan
- DSS05 : Mengelola pengendalian proses biaya
- DSS06 : Mengelola Pengendalian proses bisnis
Domain BAI (Build, Acquire and Implement).
Domain BAI memiliki fokus pada pembangunan teknologi informasi dan pada keselarasan terhadap kebutuhan stakeholder serta untuk tujuan memenuhi arahan target proses bisnis suatu perusahaan. Domain BAI punya 10 sub domain yaitu:
- BAI01 : Mengelola program dan proyek
- BAI02 : Mengelola definisi kebutuhan
- BAI03 : Mengelola identifikasi solusi dan membangun
- BAI04 : Mengelola ketersediaan dan kapasitas
- BAI05 : Mengelola pemberdayaan dan perubahan organisasi
- BAI06 : Mengelola perubahan
- BAI07 : Mengelola penerimaan perubahan dan transisi
- BAI08 : Mengelola pengetahuan
- BAI09 : Mengelola aset
- BAI10 : Mengelola konfigurasi
Domain MEA (Monitor, Evaluate and Assess).
MEA merupakan domain yang berfokus pada area manajemen dan proses pengawasan bagaimana teknologi informasi dikelola pada perusahaan atau organisasi. Domain ini bertujuan memastikan agar desain dan kontrol patuh terhadap regulasi, serta juga melakukan monitor yang berhubungan langsung dengan proses penilaian secara independen untuk efektivitas suatu TI. Diketahui ada 3 sub domain pada domain MEA yaitu:
- MEA01 : Monitor, Evaluasi dan Menilai kinerja dan kesesuaian
- MEA02 : Monitor, Mengevaluasi dan Menilai sistem pengendalian internal
- MEA03 : Mengevaluasi dan menilai kepatuhan dengan eksternal
Audit Tata Kelola TI Berdasarkan COBIT Domain APO 12
Domain APO mencakup strategi dan taktik, serta mengidentifikasi cara terbaik dimana TI dapat berkontribusi dalam pencapaian tujuan organisasi. APO memiliki 13 domain proses, diantaranya APO12 yaitu manage risk.
Domain APO12 memiliki 6 sub domain, yaitu:
-
APO12.01 Collect Data / mengumpulkan data terkait risiko.
Mengidentifikasi serta membuat daftar data terkait peristiwa risiko yang telah menyebabkan atau mungkin akan menyebabkan risiko terhadap TI. Daftar data risiko terkait TI harus relevan dari masalah dan insiden yang terjadi.
-
APO12.02 Analyse Risk / Menganalisis risiko atau mengembangkan resiko.
Menjelaskan pandangan aktual atau informasi yang bisa memperkuat risiko TI terkait relevansi dan aktualnya risiko TI. Tujuan Analisis risiko adalah untuk mendukung keputusan mengenai perlakuan risiko dan evaluasi terhadap risiko tersebut. Analisis risiko nantinya dipertimbangkan melalui semua faktor risiko dengan meninjau aspek risiko yaitu dampak risiko dan peluang risiko.
Pada tahap ini dilakukan pengukuran tingkat risiko lewat dampak dan peluang risiko. Dimana peluang dalam risiko memiliki nilai kecil, sedang, dan tinggi. Sementara, nilai dari dampak risiko meliputi dampak ringan, sedang dan berat. Dari peluang dan dampak risiko nantinya pemahaman dan evaluasi mengenai temuan risiko akan lebih dalam untuk selanjutnya dapat menemukan hasil masukan bagi evaluasi risiko.
-
APO12.03 Maintain A Risk Profile / Memelihara atau Menjaga profil risiko
Sub domain ini menjaga semua profil risiko yang di dapat dari informasi analisis data risiko TI yang ada.
-
APO12.04 Articulate Risk /Mengkomunikasikan risiko.
Memberi informasi kepada pemangku kepentingan mengenai efektivitas manajemen risiko TI, rentang kerugian dan keuntungan mengenai risiko TI, peraturan dan juga dampak lain terkait risiko TI. Kemudian memeriksa penilaian pihak ketiga, audit internal dan penjamin obyektif untuk dimasukan ke dalam profil risiko.
Selanjutnya, melaporkan profil risiko yang ditemukan seperti keefektifan manajemen risiko, efektivitas pengendalian dan dampak terhadap profil risiko. Serta memberi pemahaman kepada pemangku kepentingan tentang apa skenario terburuk, reputasi dan pertimbangan hukum atau peraturan berlaku.
Sehingga pada tahap ini menghasilkan deskripsi peluang untuk menjadi pertimbangan oleh pemangku kepentingan terkait respon tepat dan tepat waktu.
-
APO12.05 Define a Risk Management Action Portofolio / Mendefinisikan portofolio tindakan Manajemen risiko.
Pengelolaan penanganan atau tindakan yang diambil untuk mengurangi risiko sebagai portofolio. Tahap ke-5 ini terdapat beberapa kegiatan yaitu:
- Mempertahankan pencatatan aktivitas risiko, pengendalian untuk pengelolaan risiko.
- Pemeriksaan setiap individu, memantau risiko dan menghimpun atau menerima dampaknya untuk berjalan dengan tingkat toleransi setiap individu.
- Merancang dan memutuskan proposal untuk pengendalian, pengurangan, pemetaan risiko TI dan memungkinkan peluang munculnya tindakan strategis dengan mempertimbangkan biaya
yang dibutuhkan, manfaat, dampak pada profil risiko, serta peraturan perusahaan yang harus diikuti.
-
APO12.06 Respond to Risk / Menanggapi risiko.
Menanggapi risiko secara tepat waktu untuk membatasi kerugian yang bisa ditimbulkan akibat risiko yang telah terdokumentasi. Tanggapan risiko bisa dalam bentuk tindakan yang meringankan risiko. Dalam meringankan risiko, bisa menggunakan profil risiko yang merupakan hasil dari penilaian risiko dengan rekomendasi tanggapan:
Oleh karena itu, pada subdomain ini terdapat beberapa kegiatan:
- Melaporkan kategori insiden beserta kerugian terkait TI dengan batas toleransi risiko kepada pemangku kepentingan dan sebagai pembaruan profil risiko.
- Mengidentifikasi dampak risiko dan menemukan penyebab risiko
- Mengkomunikasikan akar masalah, perbaikan proses, dan persyaratan untuk tindakan terhadap risiko tambahan, serta juga rencana tindakan yang tepat untuk menekan dampak risiko kepada pemangku kepentingan.
- Menerapkan rancangan solusi dari risiko yang tepat untuk mengurangi dampak dari risiko.
Baca juga:
- Sertifikasi CRISC, Apakah Layak Digunakan?
- Mengenal COBIT, Pengertian, Tujuan dan Pelatihan
- Cyber Security Dalam Menanggulangi Ancaman Cyber
Itulah penjelasan seputar audit tata kelola TI menggunakan framework COBIT 5 berdasarkan domain APO12. Dengan menerapkan audit menggunakan COBIT 5 berdasarkan APO 12 perusahaan atau organisasi memetakan risiko sehingga bisa memperkecil atau menghilangkan tingkat risiko yang dihadapi dan juga sebagai tindakan perbaikan risiko yang bermanfaat pada peningkatan kinerja organisasi.