COBIT
Definisi
COBIT
Control Objective for Information & Related
Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk
IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen,
untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan
masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI dengan menyediakan
kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu,
kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan,
resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara
bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap
dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan
oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh
negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para
profesional tersebut.
Maksud
dari Cobit
Maksud utama dari COBIT :
1. Menyediakan kebijakan yang jelas dan praktik2 yang
baik untuk IT governance dalam organisasi tingkatan dunia.
2. Membantu senior management memahami dan memanage
resiko2 terkait dengan TI. COBIT melaksanakannya dengan menyediakan satu
kerangka IT governance dan petunjuk control objective rinci untuk managemen,
pemilik proses business , users, dan auditors.
Tujuan
Cobit
1. Diharapkan dapat membantu menemukan berbagai
kebutuhan manajemen yang berkaitan dengan TI.
2. Agar dapat mengoptimalkan investasi TI Menyediakan
ukuran atau kriteria ketika terjadi penyelewengan atau penyimpangan. Adapun
manfaat jika tujuan tersebut tercapai adalah : 1. Dapat membantu manajemen
dalam pengambilan keputusan. 2. Dapat mendukung pencapian tujuan bisnis.
3. Dapat meminimalisasikan adanya tindak kecurangan/
fraud yangmerugikan perusahaan yang bersangkutan.
Landasan
Cobit
·
Menyediakan informasi yang dibutuhkan untuk mencapai sasaran2,
·
Suatu organisasi harus memanage sumberdaya TI nya melalui satu kumpulan proses2
yang dikelompokkan secara alami.
·
Grup2 proses COBIT disusun secara sederhana dan berorientasi pada hirarki
bisnis
·
Setiap proses merujuk sumberdaya TI, dan persyaratan2 kualitas,
fiduciary/kepercayaan, dan keamanan dari informasi
Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri atas beberapa
arahan/pedoman, yakni:
- Control
Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi
(high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning
& Organization , Acquisition & Implementation , Delivery
& Support , dan Monitoring & Evaluation.
- Audit
Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang
bersifat rinci (detailed control objectives) untuk membantu para auditor
dalam memberikan management assurance dan/atau saran
perbaikan.
- Management
Guidelines
Berisi arahan, baik secara umum maupun spesifik,
mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab
pertanyaan-pertanyaan berikut :
v Sejauh mana TI harus bergerak atau digunakan,
dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
v Apa saja indikator untuk suatu kinerja yang
bagus.
v Apa saja faktor atau kondisi yang harus
diciptakan agar dapat mencapai sukses ( critical success factors ).
v Apa saja risiko-risiko yang timbul, apabila
kita tidak mencapai sasaran yang ditentukan.
v Bagaimana dengan perusahaan lainnya, apa yang
mereka lakukan.
v Bagaimana mengukur keberhasilan dan bagaimana
pula membandingkannya.
Manfaat dan Pengguna COBIT
Secara manajerial target pengguna COBIT dan manfaatnya
adalah :
- Direktur
dan Eksekutif
Untuk memastikan manajemen mengikuti dan
mengimplementasikan strategi searah dan sejalan dengan TI.
- Manajemen
v Untuk mengambil keputusan investasi TI.
v Untuk keseimbangan resiko dan kontrol
investasi.
v Untuk benchmark lingkungan TI sekarang dan
masa depan.
- Pengguna
Untuk memperoleh jaminan keamanan dan control produk
dan jasa yang dibutuhkan secara internal maupun eksternal.
- Auditors
v Untuk memperkuat opini untuk manajemen dalam
control internal.
v Untuk memberikan saran pada control minimum
yang diperlukan.
VERSI COBIT
• Versi
1
• Versi
2
• Versi
3.0
• Versi
4.0
• Versi
4.1
• Versi
5
COBIT 4 DAN COBIT 5
COBIT 4.0
Cobit 4.0 memberikan fokus bisnis yang cukup kuat
untuk mengatasi tanggung jawab para direktur dan pegawai. Cobit 4.0 menandai
pembaharuan pertama dari isi cobit sejak dirilisnya edisi cobit ketiga di tahun
2000. Edisi pertama diterbitkan di tahun 1994. Studi kasus pelaksanaan Cobit di
organisasi interasional utama misalnya Unisys, Sun microsystems dan DPR Amerika
juga terdapat di cobit case studies.
“Cobit 4.0 tidak kelihatan seperti sebuah buku
akademik. Ada materi yang cukup berguna pada setiap halaman”, ujarChristoper
Fox, ACA. “Cobit 4.0 mampu menjadi sebuah dokumen yang sangat
bermanfaat”.
Cobit 4.0 juga mencakup bimbingan bagi para direktur
dan semua level manajemen dan terdiri dari empat seksi :
š Gambaran luas mengenai eksekutif
š Kerangka Kerja
š Isi utama (tujuan pengendalian, petunjuk
manajemen dan model kedewasaan)
š Appendiks (pemetaan, ajuan silang dan daftar
kata-kata)
Fungsi lainnya :
š Menganalisa bagaimana tujuan pengendalian dapat
dipetakan ke dalam lima wilayah penentuan IT agar dapat mengidentifikasi gap
potensial.
š Menyesuaikan dan memetakan cobit ke standar
yang lain (ITIL, CMM, COSO, PMBOK, ISF dan ISO 17799)
š Mengklarifikasikan indikator tujuan utama (KGI)
dan indikator hubungan kinerja utama (KPI), dengan mengenal bagaimana KPI dapat
bergerak mencapai KGI.
š Menghubungkan tujuan bisnis, IT dan proses IT
(penelitian mendalam di delapan industri dengan pandangan yang lebih jelas
tentang bagaimana proses Cobit mendukung tercapainya tujuan IT spesifik dan
dengan perluasan, tujuan bisnis).
Cobit 4.0 bisa menggantikan komponen edisi ketiga yang
menyangkut ringkasan eksekutif, kerangka kerja, tujuan pengontrolan dan
petunjuk manajemen. Pekerjaan sedang dilakukan agar bisa mengatasi petunjuk
audit.
COBIT 4.1
COBIT versi 4.1 adalah model standarpengelolaan
IT yang telah mendapatkanpengakuan secara luas, dikembangkan
olehInformation Technology Governance Institute(ITGI) dari Information System
Audit andControl Association (ISACA).
Menurut IT Governance Institute, 2007,menyatakan bahwa
pada versi 4.1 ini diuraikan good practices, domain-domain dan proses kerangka
kerja (framework) TI yang ada.
COBIT 5
COBIT 5 adalah kerangka bisnis untuk tata kelola dan
manajemen perusahaan IT (IT gevornance framework), dan juga kumpulan alat yang
mendukung para manager untuk menjembatani jarak (gap) antara kebutuhan
yang dikendalikan (control requirments), masalah teknis (technical issues) dan
resiko bisnis (business risk). COBIT 5 adalah evolusi dari framework sebelumnya
yakni, COBIT 4.1 yang ditambah dengan Val IT 2.0 dan Risk
IT.
Skala maturity dari Framework COBIT
Maturity model adalah suatu metode untuk mengukur
level pengembangan manajemen proses, yang berarti adalah mengukur sejauh mana
kapabilitas manajemen tersebut. Seberapa bagusnya pengembangan atau kapabilitas
manajemen tergantung pada tercapainya tujuan-tujuan COBIT yang . Sebagai contoh
adalah ada beberapa proses dan sistem kritikal yang membutuhkan manajemen
keamanan yang lebih ketat dibanding proses dan sistem lain yang tidak begitu
kritikal. Di sisi lain, derajat dan kepuasan pengendalian yang dibutuhkan untuk
diaplikasikan pada suatu proses adalah didorong pada selera resiko Enterprise
dan kebutuhan kepatuhan yang diterapkan.
Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.
Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.
Maturity model dapat digunakan untuk memetakan :
1. Status pengelolaan TI perusahaan pada saat itu.
2. Status standart industri dalam bidang TI saat ini
(sebagai pembanding)
3. status standart internasional dalam bidang TI saat
ini (sebagai pembanding)
4. strategi pengelolaan TI perusahaan (ekspetasi
perusahaan terhadap posisi pengelolaan TI perusahaan)
Tingkat kemampuan pengelolaan TI pada skala maturity
dibagi menjadi 6 level :
· Level 0(Non-existent); perusahaan tidak
mengetahui sama sekali proses teknologi informasi di perusahaannya
· Level 1(Initial Level); pada level ini,
organisasi pada umumnya tidak menyediakan lingkungan yang stabil untuk
mengembangkan suatu produk baru. Ketika suatu organisasi kelihatannya mengalami
kekurangan pengalaman manajemen, keuntungan dari mengintegrasikan pengembangan
produk tidak dapat ditentukan dengan perencanaan yang tidak efektif, respon
sistem. Proses pengembangan tidak dapat diprediksi dan tidak stabil, karena
proses secara teratur berubah atau dimodifikasi selama pengerjaan berjalan
beberapa form dari satu proyek ke proyek lain. Kinerja tergantung pada
kemampuan individual atau term dan varies dengan keahlian yang
dimilikinya.
· Level 2(Repeatable Level); pada level ini,
kebijakan untuk mengatur pengembangan suatu proyek dan prosedur dalam
mengimplementasikan kebijakan tersebut ditetapkan. Tingkat efektif suatu proses
manajemen dalam mengembangankan proyek adalah institutionalized, dengan
memungkinkan organisasi untuk mengulangi pengalaman yang berhasil dalam
mengembangkan proyek sebelumnya, walaupun terdapat proses tertentu yang tidak
sama. Tingkat efektif suatu proses mempunyai karakteristik seperti; practiced,
dokumentasi, enforced, trained, measured, dan dapat
ditingkatkan. Product requirement dan dokumentasi perancangan selalu
dijaga agar dapat mencegah perubahan yang tidak diinginkan.
· Level 3(Defined Level); pada level ini, proses
standar dalam pengembangan suatu produk baru didokumentasikan, proses ini
didasari pada proses pengembangan produk yang telah diintegrasikan.
Proses-proses ini digunakan untuk membantu manejer, ketua tim dan anggota tim
pengembangan sehingga bekerja dengan lebih efektif. Suatu proses yang telah
didefenisikan dengan baik mempunyai karakteristik; readiness criteria,
inputs, standar dan prosedur dalam mengerjakan suatu proyek, mekanisme
verifikasi, output dan kriteria selesainya suatu proyek. Aturan dan tanggung
jawab yang didefinisikan jelas dan dimengerti. Karena proses perangkat lunak
didefinisikan dengan jelas, maka manajemen mempunyai pengatahuan yang baik
mengenai kemajuan proyek tersebut. Biaya, jadwal dan kebutuhan proyek dalam
pengawasan dan kualitas produk yang diawasi.
· Level 4(Managed Level); Pada level ini,
organisasi membuat suatu matrik untuk suatu produk, proses dan pengukuran
hasil. Proyek mempunyai kontrol terhadap produk dan proses untuk mengurangi
variasi kinerja proses sehingga terdapat batasan yang dapat diterima. Resiko
perpindahan teknologi produk, prores manufaktur, dan pasar harus diketahui dan
diatur secara hati-hati. Proses pengembangan dapat ditentukan karena proses
diukur dan dijalankan dengan limit yang dapat diukur.
· Level 5(Optimized Level); Pada level ini,
seluruh organisasi difokuskan pada proses peningkatan secara terus-menerus.
Teknologi informasi sudah digunakan terintegrasi untuk otomatisasi proses kerja
dalam perusahaan, meningkatkan kualitas, efektifitas, serta kemampuan
beradaptasi perusahaan. Tim pengembangan produk menganalisis kesalahan
dan defects untuk menentukan penyebab kesalahannya. Proses
pengembangan melakukan evaluasi untuk mencegah kesalahan yang telah diketahui
dan defects agar tidak terjadi lagi.
Contoh
Kasus
Domain : Monitoring and Evaluation
Kasus : Evaluasi Kinerja Sistem Informasi E-Filing
Menggunakan COBIT 5 Pada Kantor Pelayanan Pajak Pratama Kota Salatiga
Kantor Pelayanan Pajak (KPP) Pratama merupakan salah
satu instansi di bawah Kementerian Keuanngan. Tugas utama dari KPP Pratama
yaitu melaksanakan penyuluhan, pelayanan, dan pengawasan terhadap Wajib Pajak
khususnya dibidang Pajak Penghasilan, Pajak Penjualan, Pajak Pertambahan Nilai,
serta pajak tidak langsung lainnya. Dalam pelaksanaan tugasnya KPP Pratama
menerapkan sistem IT governance untuk pencapaian tujuan bisnis namun kurangnya
tata kelola dalam penerapan sistem IT governance mengakibatkan kurang optimalnya
KPP Pratama dalam menjalankan tugas dan pencapaian tujuan. Diperlukan penilaian
tingkat kematangan IT governance untuk mengetahui pencapaian KPP Pratama dari
tujuan bisnisnya, sehingga menghasilkan rekomendasi untuk memperbaiki tata
kelola dalam penerapan IT Governance. Dalam menilai tingkat kematangannya
digunakan pendekatan dengan COBIT 5. Dengan 15 responden dari 2 divisi
menggunakan metode deskriptif kuantitatif dan kuesioner penelitian berfokus
pada domain proses APO 13, BAI 06, dan DSS 05. Domain proses yang digunakan
dalam penelitian didapat dari hasil pemetaan terhadap tujuan bisnis, tujuan TI,
dan terkait proses TI. Hasilnya rata-rata tingkat kematangan dari ketiga domain
proses yaitu 1,22 dengan berada pada level 1 (Performed Process).
Temuan
Masalah
Dari hasil analisa dan penilaian tingkat kematangan
ditemukan adanya masalah. Masalah yang ditimbulkan terkait SI E-Filing
diantaranya tidak dilakukannya komunikasi dalam lingkup KPP Pratama mengenai
keamanan sistemnya. KPP Pratama sebatas melaporkan masalah yang timbul dari SI
E-Filing ke DJP Pusat sesuai prosedur yang telah ditentukan, tanpa melakukan
diskusi internal dalam KPP Pratama. Dengan melakukan diskusi internal
setidaknya KPP Pratama yang bertugas memberi penyuluhan dan melakukan
pengawasan dapat benar-benar memahami pentingnya keamanan sistem.
Temuan lainnya adalah tidak adanya evaluasi terhadap
E-Filing kepada WP sebagai pengguna. Evaluasi diperlukan untuk mengetahui
tingkat pengoptimalan WP dalam menggunakan SI E-Filing. Dengan begitu KPP
Pratama dapat mengetahui hal yang mengakibatkan E-Filing kurang optimal bagi
WP, dan dapat menghasilkan penanganan yang tepat untuk masalah terkait
pengoptimalan penggunaan oleh WP. Sebagai pihak yang menjadi pelaksana KPP
Pratama tidak memiliki aktivitas mendokumentasikan dan merencanakan secara
terprosedur, hanya melaporkan dan menunggu solusi dari DJP Pusat sebagai pihak
yang memiliki otoritas.
Dalam menjaga keamanan layanan tidak ditemukan adanya
ketentuan pihak yang memiliki tanggung jawab. Dari hasil wawancara semua staff
KPP Pratama memiliki tanggung jawab dalam menjaga keamanan layanan, namun pada
hasil survei sebagian banyak responden menyatakan tidak adanya penanggung
jawab. Tidak adanya ketentuan penanggung jawab tersebut menjadi rancu ketika
nantinya terjadi masalah, pihak yang menemui masalah tidak dapat tau pasti
kemana hal tersebut harus dikomunikasikan terlebih dahulu sebelum langsung ke
DJP Pusat (sebagai pihak yang memiliki otoritas).
Rekomendasi
Rekomendasi yang dihasilkan dari hasil temuan dari
penilaian tingkat kematangan SI E-Filing diantaranya dengan melakukan
komunikasi antar penanggung jawab di KPP Pratama yang memegang tanggungjawab
terkait pengunaan SI E-Filing yaitu seksi PDI dan seksi pelayanan. Sehingga
komunikasi tidak hanya dilakukan antara KPP Pratama dengan DJP Pusat saja
tetapi juga internal dari KPP Prtama, sehingga para penanggung jawab KPP
Pratama benar-benar memahami pentingnya menjaga keamanan sistem.
Untuk mengetahui keberhasilan dari tujuan E-Filing KPP
Pratama dapat melakukan survey terhadap E-Filing kepada WP yang menjadi
pengguna SI E-Filing sehingga mengetahui capaian dari tujuan bisnis yang ingin
memberikan kemudahan bagi WP dan memberikan pelayanan berbasis teknologi modern
Dalam melakukan penyesuaian KPP Pratama perlu melakukan
prediksi terhadap resiko yang mungkin timbul akibat adanya perubahan aktivitas
dari pelaporan manual ke pelaporan terkomputerisasi. Meskipun hal tersebut
menjadi otoritas DJP Pusat namun KPP Pratama yang berhubungan langsung dengan
pengguna (WP) dapat melakukan dengan perkiraan resiko yang mungkin timbul dari
implementasi SI E-Filing baik dari sisi pengguna maupun support IT. Dari
perkiraan resiko tersebut KPP Pratama dapat meminimalkan resiko.
Menentukan
tanggung jawab atas pengoperasian layanan sistem informasi E-Filing. Dengan
ditentukan maka jelas pihak yang bertanggung jawab dan pihak yang membantu
dalam pengoperasian layanan. Akan lebih baik lagi jika struktur organisasi
diperjelas dengan job description pada masing-masing bagiannya. Setiap staf juga
dipastikan memahami masing-masing job description pada posisi yang mereka
tempati.
Kesimpulan
A.
Hasil penilaian kinerja Sistem Informasi E-Filing KPP Pratama Kota Salatiga
dari 3 proses pada COBIT 5 belum ada yang mencapai level 3. Agustinus Fritz
Wijaya, Anneke Tri Andani 70 JUTEI Volume.1 No.1 April 2017 ISSN 2579-3675,
e-ISSN 2579-5538 DOI 10.21460/jutei.2017.11.9
B.
Rata-rata tingkat kematangan kinerja Sistem Informasi E-Filing KPP Pratama Kota
Salatiga dari ketiga proses yang dianalisa adalah 1,22 berada pada Level 1
(Performed). Diartikan bahwa telah dilakukan implementasi tetapi tidak ada kontrol
serta perencanaan yang terstruktur.
C.
Sebagian besar aktivitas dalam kendali DJP Pusat dan semua kebijakan ada pada
DJP Pusat. KPP Pratama Kota Salatiga sebagai pelaksana yang melaksanakan
pelayanan, penyuluhan dan pengawasan Wajib Pajak dengan prosedur dari DJP
Pusat.
D.
COBIT 5 menyediakan kerangka kerja untuk mengukur dan memantau kinerja TI.
Sehingga dalam evaluasi kinerja SI E-Filing tepat jika menggunakan pendekatan
dengan COBIT 5.
E.
Tata kelola TI pada KPP Pratama belum dilakukan secara menyeluruh sehingga
harapan yang dicapai saat ini belum optimal.
Daftar
Pustaka
No comments:
Post a Comment