Control Objective for Information and related Technology (COBIT) 4.1

COBIT adalah a set of best practices (framework) bagi pengelolaan teknologi informasi (IT management). COBIT disusun oleh IT Governance Institute (ITGI) dan Information Systems Audit and Control Association (ISACA), tepatnya Information System Audit Control Foundation’s (ISACF) pada tahun 1992. Edisi pertamanya dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi online dikeluarkan tahun 2003) dan COBIT versi 4 diterbitkan pada Desember 2005.

COBIT dan ISO/IEC 17799:2005 merupakan standar yang sekarang banyak digunakan (ISO/IEC 17799:2005 adalah code of practice for implementation security management), dan keduanya bersifat saling melengkapi. Ruang lingkup ISO/IEC 17799:2005 adalah aspek security, sedangkan COBIT bersifat lebih luas, merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan dan dikenal sebagai acuan model (seperti: COSO), dan disejajarkan dengan standar industri (seperti: ITIL, CMM, BS7799, ISO9000), COBIT juga dilengkapi dengan IT balance scorecard. Paket produk COBIT terdiri dari: executive summary, framework, control objectives, audit guidelines, implementation tool set, serta management guidelines, yang sangat berguna atau dibutuhkan oleh auditor, para IT user, dan para manajer.

Kerangka kerja (Framework) COBIT terdiri atas beberapa arahan (guidelines), yakni:

1. Control Objectives

Terdiri atas empat tujuan pengendalian tingkat-tinggi (high-level control objectives) yang tercermin dalam empat domain, yaitu: plan & organize, acquisition & implementation, delivery & support, dan monitoring. Empat domain COBIT dirinci lagi menjadi 34 high-level control objectives, antara lain:

1.1. Plan and Organise

Membahas mengenai strategi, taktik, dan pengidentifikasian teknologi  informasi dalam mendukung tercapainya tujuan bisnis. Realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk perspektif yang berbeda. Domain ini harus dapat menjawab pertanyaan-pertanyaan manajemen tentang:

1. Apakah strategi teknologi informasi dan bisnis selaras?
2. Apakah perusahaan memanfaatkan sumber daya yang ada secara optimal?
3. Apakah setiap orang dalam organisasi mengerti tujuan dari penerapan teknologi informasi?
4. Apakah resiko teknologi informasi telah dimengerti dan dikelola?
5. Apakah kualitas sistem teknologi informasi sesuai dengan kebutuhan bisnis?

Pada domain Plan and Organize (PO) terdapat sepuluh high-level control objectives, antara lain:

1. PO1: Define a Strategic IT Plan

2. PO2: Define the Information Architecture

3. PO3: Determine Technological Direction

4. PO4: Define the IT Processes, Organisation and Relationships

5. PO5: Manage the IT Investment

6. PO6: Communicate Management Aims and Direction

7. PO7: Manage IT Human Resources

8. PO8: Manage Quality

9. PO9: Assess and Manage IT Risks

10. PO10: Manage Projects

1.2. Acquire and Implement

Domain Acquire and Implement berfungsi untuk merealisasikan strategi teknologi informasi, solusi-solusi teknologi informasi perlu untuk diidentifikasi, dibangun atau dibeli, sebaik diimplementasikan dan diintegrasikan pada proses bisnis. Domain ini membahas tentang perubahan-perubahan dalam teknologi informasi dan perawatan terhadap sistem yang ada untuk memastikan bahwa solusi yang ada dapat memenuhi tujuan bisnis. Domain ini harus dapat menjawab pertanyaan-pertanyaan manajemen tentang:

1.Apakah proyek baru dapat memberikan solusi untuk menjawab kebutuhan bisnis?

2.Apakah proyek baru dapat memberikan solusi terhadap nilai ketepatan waktu dan nilai anggaran biaya (budget)?

3.Apakah sistem baru berjalan dengan baik ketika diimplementasikan?

4.Apakah perubahan yang dilakukan tidak mengganggu proses atau kegiatan operasional bisnis yang ada?

Pada domain Acquire and Implement (AI) terdapat tujuh high-level control objectives, antara lain:

1. AI1: Identify Automated Solutions

2. AI2: Acquire and Maintain Application software

3. AI3: Acquire and Maintain Technology Infrastructure

4. AI4: Enable Operation and Use

5. AI5: Procure IT Resources

6. AI6: Manage Changes

7. AI7: Install and Accredit Sollutions and Changes

1.3. Deliver and Support

Domain ini berfokus pada aspek penyampaian teknologi informasi dari layanan yang dibutuhkan, yang termasuk penyampaian teknologi informasi, manajemen keamanan dan kesinambungan, pendukung layanan bagi para pengguna, manajemen data dan fasilitas-fasilitas operasional. Domain ini harus mampu menjawab pertanyaan tentang:

1.Apakah layanan teknologi informasi yang diberikan sesuai dengan prioritas-prioritas bisnis?

2.Apakah biaya untuk teknologi informasi sudah dioptimalkan?

3.Apakah pekerja mampu menggunakan sistem teknologi informasi secara produktif dan aman?

4.Apakah kerahasiaan, integritas, dan ketersediaan tersedia untuk keamanan informasi?

Pada domain Deliver and Support (DS) terdapat tiga belas high-level control 

objectives, antara lain:

1. DS1: Define and Manage Service Levels

2. DS2: Manage Third-party Services

3. DS3: Manage Performance and Capacity

4. DS4: Ensure Continuous Service

5. DS5: Ensure Systems Security

6. DS6: Identify and Allocate Costs

7. DS7: Educate and Train Users

8. DS8: Service Desk and Incidents

9. DS9: Manage the Configuration

10. DS10: Manage Problems

11. DS11: Manage Data

12. DS12: Manage the Physical Environment

13. DS13: Manage Operations

1.4. Monitor and Evaluate

Semua proses teknologi informasi perlu dinilai secara teratur akan kualitas dan kesesuaiannya terhadap kebutuhan-kebutuhan kontrol. Domain ini membahas tentang manajemen performa, pengawasan terhadap kontrol internal,  kesesuaian dengan peraturan, dan penyediaan tata kelola. Domain ini harus dapat menjawab pertanyaan-pertanyaan tentang:

1.Apakah performa teknologi informasi diukur untuk mendeteksi permasalahan-permasalahan sebelum terlambat?

2.Apakah manajemen memastikan bahwa kontrol internal benar-benar efektif dan efisien?

3.Dapatkh performa teknologi informasi dihubungkan kembali dengan tujuan bisnis (bussiness goals)?

4.Apakah resiko, kontrol, kesesuaian, dan performa diukur dan dilaporkan?

Pada domain Monitor and Evaluate terdapat empat subdomain, antara lain:

1. ME1: Monitor and Evaluate IT Performance

2. ME2: Monitor and Evaluate Internal Control

3. ME3: Ensure Regulatory Compliance

4. ME4: Provide IT Governance