Perusahaan yang Menerapkan COBIT
COBIT
Apa itu COBIT? COBIT merupakan kepanjangan dari Control Objectives for Information and Related Technology yaitu sekumpulan dokumentasi dan panduan yang mengarahkan pada IT governance yang dapat membantu auditor, manajemen, dan pengguna (user) untuk menjembatani pemisah antara resiko bisnis, kebutuhan kontrol, dan permasalahan-permasalahan teknis. Dapat dikatakan bahwa COBIT merupakan sebuah kerangka kerja yang harus digunakan oleh suatu organisasi bersamaan dengan sumber daya lainnya untuk membentuk suatu standar yang umum berupa panduan pada lingkungan yang lebih spesifik. COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan (guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.
Sejarah COBIT
COBIT dan sejarah perkembangannya COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap kontrol, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, dan COBIT versi 4 yang lebih mengarah kepada IT governance. COBIT merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan yang dilengkapi dengan balance scorecard dan dapat digunakan sebagai acuan model (seperti COSO) dan disejajarkan dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.
Cobit memiliki 4 Cakupan Domain :
1. Perencanaan dan Organisasi (Planning and Organization)
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
2. Pengadaan dan Implementasi (Acquire and Implement)
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
3. Pengantaran dan Dukungan (Deliver and Support)
Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.
4. Pengawasan dan Evaluasi (Monitor and Evaluate)
Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.
Apa itu COBIT? COBIT merupakan kepanjangan dari Control Objectives for Information and Related Technology yaitu sekumpulan dokumentasi dan panduan yang mengarahkan pada IT governance yang dapat membantu auditor, manajemen, dan pengguna (user) untuk menjembatani pemisah antara resiko bisnis, kebutuhan kontrol, dan permasalahan-permasalahan teknis. Dapat dikatakan bahwa COBIT merupakan sebuah kerangka kerja yang harus digunakan oleh suatu organisasi bersamaan dengan sumber daya lainnya untuk membentuk suatu standar yang umum berupa panduan pada lingkungan yang lebih spesifik. COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan (guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.
Sejarah COBIT
COBIT dan sejarah perkembangannya COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap kontrol, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, dan COBIT versi 4 yang lebih mengarah kepada IT governance. COBIT merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan yang dilengkapi dengan balance scorecard dan dapat digunakan sebagai acuan model (seperti COSO) dan disejajarkan dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.
Cobit memiliki 4 Cakupan Domain :
1. Perencanaan dan Organisasi (Planning and Organization)
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
2. Pengadaan dan Implementasi (Acquire and Implement)
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
3. Pengantaran dan Dukungan (Deliver and Support)
Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.
4. Pengawasan dan Evaluasi (Monitor and Evaluate)
Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.
Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:
1. Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.
2. Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.
3. Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.
4. Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.
5. Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.
6. Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.
7. Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.
Implementasi Terhadap PT. Telkom
1. DSS01 – Mengelola Operasi
Berdasarkan analisis Gap yang di dapat dengan Level target yang ingin dicapai pada DSS01, maka berikut adalah beberapa rekomendasi yang dapat berikan untuk meningkatkan kualitas Bagian Bina Lingkungan Unit CDC PT Telkom:
1) Pembangunan kesadaran dan pemahaman untuk menjaga perangkat dan infrastruktur IT kepada staff melalui:
- Training / pelatihan
- Imbauan melalui gambar dan tulisan di sudut-sudut ruangan dan ketika log-in computer. Meskipun terdapat kontrak maintenance namun kerusakan membuat hambatan bagi jalannya operasional (minimal hambatannya adalah terdapatnya space waktu produktif yang terbuang).
2) Diperlukan adanya pengawasan monitoring ruangan secara 24 jam dengan menggunakan kamera CCTV, karena didalam ruangan belum menggunakan monitoring yang memiliki fungsional melihat sudut-sudut ruangan.
3) Perlu adanya sistem pengawasan piket atau yang bertugas dengan cara memastikan di waktu awal mulai piket, waktu pertengahan piket, serta waktu akhir piket.
4) Perlu diadakannya rapat evaluasi mingguan untuk membuat evaluasi dan proyeksi mengenai jalannya operation (performansi) yang berikutnya dapat dihasilkan list point evaluasi mingguan dan list point proyeksi seminggu kedepan dalam menjalankan operation IT (seperti : evaluasi pembagian tugas, evaluasi pemrosesan data, dsb).
2. DSS02 – Mengelola Permintaan Layanan dan Insiden
Berdasarkan analisis Gap yang di dapat dan dengan Level target yang ingin dicapai pada DSS02, maka berikut adalah beberapa rekomendasi yang dapat penulis berikat untuk meningkatkan kualitas Bagian Bina Lingkungan Unit CDC PT Telkom:
1) Perlu dibuat fungsi Helpdesk dari user (Bina Lingkungan) kepada Manager Sistem Informasi Perencanaan dan Pengendalian (PRANDAL) untuk mengefisiensikan waktu dalam pelaporan insiden
2) Setiap perubahan terhadap aplikasi didokumentasikan dalam Log Book yang merecord aktivitas sebagai berikut :
- Change request oleh user
- Manager pengelolaan sistem informasi CDC melakukan review change request kemudian diteruskan ke ITSS
- Manager pengelolaan sistem informasi CDC melakukan transport ke production Logbook tersebut digunakan untuk memitigasi resiko perubahan yang tidak terotorisasi, akses yang tidak terotorisasi dan ketidaktersediaan data finansial.
3) Membuat skema klasifikasi dan prioritas dari permintaan layanan yang diperoleh dari user (Bina Lingkungan) sebelum diteruskan kepada ITSS agar proses perbaikan dan pembaharuan dilakukan berdasarkan urutan prioritas.
4) Menentukan Level-Level insiden terutama untuk insiden besar dan insiden tentang keamanan yang terjadi dari pelaporan user agar dapat dibuat mitigasi pola pencegahan terhadap potensi insiden yang akan terjadi.
3. DSS03 – Mengelola Masalah
Berdasarkan analisis Gap yang di dapat dan dengan Level target yang ingin dicapai pada DSS03, maka berikut adalah beberapa rekomendasi yang dapat penulis berikat untuk meningkatkan kualitas Bagian Bina Lingkungan Unit CDC PT Telkom:
1) Membuat fungsi troubleshooter untuk dapat mengetahui problem yang terjadi secara cepat dan tepat sasaran.
2) Menentukan permanent fix terhadap akar permasalahan yang telah dianalisis
4. DSS04 – Mengelola Keberlanjutan
Berdasarkan analisis Gap yang di dapat dan dengan Level target yang ingin dicapai pada DSS04, maka berikut adalah beberapa rekomendasi yang dapat penulis berikat untuk meningkatkan kualitas Bagian Bina Lingkungan Unit CDC PT Telkom:
1) Bagian Perencanaan dan Pengendalian CDC PT Telkom melakukan monitoring dan memastikan proses backup/restore yang dilakukan oleh ITSS reliability dan availibility data terpenuhi.
2) Dilakukannya tindak lanjut dari proses monitoring backup/restore tersebut untuk memitigasi resiko data aplikasi keuangan yang hilang karena ketidaklengkapan atau ketidak cukupan backup dan restore.
3) Rapat budget commitee per 3 bulan dalam mengontrol, mengevaluasi, dan membuat proyeksi kedepan perlu dilaksanakan secara konsisten, agar pelaksanaan dapat selalu dilakukan perbaikan demi target blue print 5 tahun dapat tercapai.
4) Untuk verifikasi data penerima bantuan yang tidak dalam jumlah besar (missal : dibawah Rp 10.000.000,00) cukup menggunakan Voice Processing Recording (VPR) sehingga langsung terekam data yang dibutuhkan melalui wawancara dan tidak perlu dilakukan survey ke tempat lokasi.
5) Perlu membuat tim khusus untuk survey lokasi bantuan, khususnya objek penerima bantuan yang jarak lokasinya jauh, agar proporsional dalam pembagian tugas karyawan sehingga tidak ada pekerjaan yang tertunda.
6) Perlu diadakannya pelatihan mengenai proses bisnis Bina Lingkungan bagi karyawan, diadakan rutin 1 tahun 1 kali, untuk membekali atau meng-upgrade pengetahuan mengenai persoalan sosial dan bina lingkungan, juga menambah kepekaan rasa peduli sosial bagi setiap karyawan.
7) Perlu menggunakan lembar internal control secara otomatis dari SIM, tidak perlu menggunakan Microsoft Word untuk membuat lembar internal control, sudah langsung otomatiasi dengan SIM.
5. DSS05 – Mengelola Keamanan Layanan
Berdasarkan analisis Gap yang di dapat dan dengan Level target yang ingin dicapai pada DSS05, maka berikut adalah beberapa rekomendasi yang dapat penulis berikat untuk meningkatkan kualitas Bagian Bina Lingkungan Unit CDC PT Telkom:
1) Melakukan penetration test secara periodik, yaitu 3 bulan 1 kali
2) Menentukan otorisasi terhadap devices yang boleh mengakses informasi institusi dan jaringan insitusi, artinya screening terhadap kode device (pencatatan kodefikasi dan pembuatan sistem screening).
3) Menerapkan enkripsi informasi saat pengiriman berdasarkan klasifikasinya agar informasi tersebut aman.
6. DSS06 – Mengelola Kontrol Proses Bisnis
Berdasarkan analisis Gap yang di dapat dan dengan Level target yang ingin dicapai pada DSS06, maka berikut adalah beberapa rekomendasi yang dapat penulis berikat untuk meningkatkan kualitas Bagian Bina Lingkungan Unit CDC PT Telkom:
1) Melakukan inovasi proses bisnis dalam bantuan sosial setiap 2 tahun 1 kali merujuk kepada evaluasi blueprint 1 tahun 1 kali.
2) Memantau dan mengevaluasi prosedur keamanan untuk melindungi aset informasi.
3) Membuat kebijakan dalam penentuan peran yang berwenang untuk mengakses aktivitas atau data yang bersifat sensitif, dijelaskan secara rinci dan didokumentasikan.
4) Membuat kebijakan terhadap pemberian hukuman kepada pegawai yang melakukan pelanggaran-pelanggaran dalam pemantauan kegiatan proses bisnis.
5) Menyimpan dengan baik atau mengarsipkan data seperti sumber informasi, rekaman transaksi untuk dijadikan bukti dalam pengukuran penilaian keberlangsungan proses bisnis dan dapat sebagai rekomendasi.
6) Mengidentifikasi jenis-jenis data yang bersifat rahasia, membuat prosedur penyimpanan dan penghapusan yang tepat.
Kesimpulan
Berdasarkan audit yang dilakukan pada Bina Lingkungan SGM CDC PT Telkom dalam studi kasus. COBIT 5 Domain DSS (Deliver, Service and Support) maka kesimpulan yang bisa didapatkan adalah:
1) Pada tahap pra audit telah diperoleh proses domain DSS COBIT 5 yang dimana merupakan keseluruhan proses dari domain DSS yang sesuai dengan kondisi tata kelola Bina Lingkungan SGM CDC PT Telkom dan digunakan sebagai ruang lingkup dan digunakan sebagai ruang lingkup dan standar audit yaitu DSS01, DSS02, DSS03, DSS04, DSS05, DSS06.
2) Dari hasil audit, diketahui ada 1 proses yang mempunyai Level kapabilitas 3 yaitu DSS04, ada 5 proses yang mempunyai Level kapabilitas 4 yaitu DSS01, DSS02, DSS03, DSS05 dan DSS06.
3) Menurut Level kapabilitas masing-masing proses, ditentukan Level target masing-masing proses yaitu berupa 1 Level di atas Level kapabilitas, yang ditentukan berdasar analisis dan juga persetujuan dengan stakeholder, sehingga didapat Level target untuk DSS01, DSS02, DSS03, DSS05 dan DSS06 adalah Level 5, untuk DSS04 adalah Level.
4) Level capability keseluruhan yang diperoleh berdasarkan keseluruhan rata-rata adalah 4, yang berarti sebagian besar aktifitas pada domain DSS untuk Bina Lngkungan SGM CDC PT Telkom telah dilakukan, ada standar penerapan dalam melakukan proses tersebut, telah termonitor, terukur, dan telah dilakukan perencanaan prediksi kedepan sudah berjalan dengan baik.
5) Level target yang ingin dicapai adalah 5 Optimizing process, sehingga rekomendasi yang disusun adalah sebagai berikut :
a. Memperketat kontrol terhadap proses yang berlangsung untuk mempertahankan proses yang sudah berjalan cukup baik.
b. Membuat inovasi-inovasi terhadap proses bisnis agar berjalan variatif kea rah yang lebih baik.
6) Berdasarkan prioritas, maka Domain yang masih tertinggal adalah DSS04 yaitu manage continuity, maka perlu dilaksanakan terlebih dahulu rekomendasinya untuk meningkatkan performansi dalam berlangsungnya bisnis proses.
7) Meningkatkan dan konsisten dalam mengontrol dan mengevaluasi pencapaian terhadap blue print 5 tahunan, khususnya kontrol dan evaluasi per 3 bulan dan per tahun.
Sumber:
Komentar
Posting Komentar