COBIT (Control Objectives for
Information and related Technology)
COBIT Framework dikembangkan oleh IT
Governance Institute, sebuah organisasi yang melakukan studi tentang model
pengelolaan TI yang berbasis di Amerika Serikat. COBIT berorientasi pada bisnis
dan di-design dan dikerjakan tidak hanya oleh user dan auditor,
tetapi juga sebuah panduan kemprehensif bagi pihak manajemen maupun pemilik bisnis
proses tersebut. COBIT
adalah kerangka bisnis untuk tata
kelola dan manajemen perusahaan IT (IT goverrnance framework), dan juga
kumpulan alat yang mendukung para manager untuk menjembatani jarak (gap)
antara kebutuhan yang dikendalikan (control requirments), masalah teknis
(technical issues) dan resiko bisnis (business risk). COBIT Framework terdiri
atas 4 domain utama, yakni :
1) Plan
and organize. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan
strategi TI dengan strategi perusahaan;
2) Acquire and implement. Domain ini
menitikberatkan pada proses pemilihan, pengadaan, dan penerapan teknologi
informasi yang digunakan;
3) Deliver
and support. Domain ini menitikberatkan pada proses pelayanan TI dan dukungan
teknisnya;
4) Monitor
and evaluate. Domain ini menitikberatkan pada proses pengawasan dan
mengevaluasi pengelolaan TI pada organisasi.
Gambar
1. Framework COBIT
COBIT
mempunyai model kematangan (maturity model) untuk mengontrol
proses-proses TI, dengan menggunakan metode penilaian (scoring) sehingga
suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-existent
sampai dengan optimized (dari 0 sampai 5). Maturity model ini
akan memetakan :
1. Current
status dari organisasi, untuk melihat posisi organisasi saat ini;
2. Current
status dari kebanyakan industri saat ini, sebagai perbandingan;
3. Current
status dari standar internasional, sebagai perbandingan tambahan; dan
4. Strategi
organisasi dalam rangka perbaikan, level yang ingin dicapai oleh organisasi.
Gambar 2. Model maturity COBIT
Keuntungan COBIT
a) Lebih Efektif dan Efisien
b) Berhubungan dengan informasi yang
relevan dan informasi dikirim tepat waktu.
c) Terintegritas
d) Berhubungan dengan ketepatan dan
kelengkapan dari sebuah informasi.
e) Berhubungan dengan tersedianya
informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.
Kerugian COBIT
a) COBIT hanya memberikan panduan
kendali dan tidak memberikan panduan implementasi
b) Kerumitan dalam penerapan.
c) COBIT hanya berfokus pada kendali
dan pengukuran.
d) COBIT kurang dalam memberikan
panduan keamanan
ISO/IEC 17799
ISO/IEC 17799 dikembangkan oleh The International Organization for
Standardization (ISO) dan The International Electrotechnical
Commission (IEC), dengan
titel ”Information Technology - Code of Practice for Information Security
Management”. ISO/IEC 17799 dirilis pertama kali pada bulan desember 2000.
ISO/IEC 27002 merupakan sebuah seri penduan dan prinsip-prinsip yang berfungsi
untuk menginisiasi, implementasi, pemeliharaan dan meningkatkan kinerja
manajemen teknologi informasi dalam sebuah organisasi IT. ISO/IEC 1799
bertujuan memperkuat 3 elemen dasar keamanan informasi, yaitu
1) Confidentiality,
memastikan bahwa informasi hanya dapat diakses oleh yang berhak
2) Integrity, menjaga akurasi
dan selesainya informasi dan metode pemrosesan;
3) Availability,
memastikan bahwa user yang terotorisasi mendapatkan
akses kepada informasi dan aset yang terhubung dengannya ketika memerlukannya.
ISO/IEC 17799 terdiri dari 10 domain, yaitu :
1) Security
policy, memberikan panduan dan masukan pengelolaan dalam meningkatkan
keamanan informasi;
2) Organizational
security, memfasilitasi pengelolaan keamanan informasi dalam organisasi;
3) Asset
classification and control, melakukan inventarisasi aset dan
melindungi aset tersebut dengan efektif;
4) Personnel security, meminimalisasi
resiko human error, pencurian, pemalsuan atau penggunaan peralatan yang
tidak selayaknya;
5) Physical
and environmental security, menghindarkan violation, deterioration
atau disruption dari data yang dimiliki;
6) Communications
and operations management, memastikan penggunaan yang baik dan
selayaknya dari alat-alat pemroses informasi;
7) Access
control, mengontrol akses informasi;
8) Systems
development and maintenance, memastikan bahwa keamanan telah
terintegrasi dalam sistem informasi yang ada;
9) Business continuity management,
meminimalkan dampak dari terhentinya proses bisnis dan melindungi proses-proses
perusahaan yang mendasar dari kegagalan dan kerusakan yang besar; serta
10) Compliance,
menghindarkan terjadinya tindakan pelanggaran atas hukum, kesepakatan atau
kontrak, dan kebutuhan keamanan.
Keuntungan ISO-17799
a) Standar ini merupakan tanda kepercayaan dalam seluruh keamanan
perusahaan.
b) Manajemen kebijakan terpusat dan prosedur.
c) Menjamin layanan informasi yang tepat guna.
d) Mengurangi biaya manajemen
e) Dokumentasi yang lengkap atas segala perubahan/revisi.
Kerugian
ISO_17799
a) Memerlukan biaya yang mahal sehingga hanya dapat
diaplikasikan dalam organisasi besar dengan struktur keuangan yang kuat.
b) Tidak cocok di Indonesia karena kebanyakan
memakai COSO dan COBIT.
c) ISO/IEC 17799 tidak memfokuskan
pada effectiveness dan efficiency serta hanya memberikan sedikit
perhatian pada reliability.
COSO – Committee of Sponsoring Organization of the Treadway
Commission
Sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan
kualitas pelaporan finansial mencakup etika bisnis, kontrol internal dan corporate
governance. Komite ini didirikan pada tahun 1985 untuk mempelajari
faktor-faktor yang menunjukkan ketidaksesuaian dalam laporan finansial.
Pada awal tahun 90-an,
PricewaterhouseCouper bersama komite ini melakukan extensive study mengenai
kontrol internal, yang menghasilkan COSO Framework yang digunakan untuk
mengevaluasi efektifitas kontrol internal suatu perusahaan. Sejak itu,
komunitas finansial global, termasuk badan-badan regulator seperti public
accounting dan internal audit professions, telah mengadopsi COSO.
Hal ini juga bernilai untuk perusahaan manapun yang ingin memastikan sistem
kontrol internalnya dengan menggunakan standar internasional.
Kerangka
kerja COSO terdiri atas 3 dimensi, yaitu :
1) Pertama, komponen kontrol COSO. COSO mengidentifikasi 5 komponen
kontrol yang diintegrasikan dan dijalankan dalam semua unit bisnis, dan akan
membantu mencapai sasaran kontrol internal, yakni monitoring, information
and communications, control activities, risk assessment, dan control
environment.
2) Kedua, sasaran kontrol
internal. Sasaran kontrol internal dikategorikan menjadi beberapa area, yakni
1. Operations,
efisisensi dan efektifitas operasi dalam mencapai sasaran bisnis yang juga
meliputi tujuan performansi dan keuntungan;
2. Financial reporting,
persiapan pelaporan anggaran finansial yang dapat dipercaya; dan
3. Compliance,
pemenuhan hukum dan aturan yang dapat dipercaya.
3) Ketiga, unit/aktifitas
terhadap organisasi. Dimensi ini mengidentifikasikan unit/aktifitas pada
organisasi yang menghubungkan kontrol internal. Kontrol internal menyangkut
keseluruhan organisasi dan semua bagian-bagiannya. Kontrol internal seharusnya
diimplementasikan terhadap unit-unit dan aktifitas organisasi.
Gambar 3. framework coso
Keuntungan COSO
a) CEO/CFO
perusahaan Australia yang menjadi bagian SEC dan mungkin memerlukan layanan kantor
pusat untuk beberapa tes
b) Manajer
kunci (biasanya dalan keuangan) dan auditor internal yang bekerja untuk
organisasi di atasnya dan memerlukan bantuan informasi dari CEO/CFO, agar
mereka dapat menerapkan standar Sarbanes-Oxley
c) Manajer
senior yang memerlukan kepastian organisasi, apakah telah memiliki sistem
kontrol internal untuk menyediakan kemampuan memasarkan dan meningkatkan harga
saham
Kerugian COSO
Peningkatana terhadap pengendalian menagement resiko dengan
kerangka kerja yang sistimatis mengenai kepastian dokumen pelanggan
Perbedaan antara COSO,
COBIT, dan ISO-17799
COSO
|
COBIT
|
ISO-17799
|
|
Fokus Pengguna
|
manajemen
|
manajemen, operator dan auditor sistem informasi.
|
management framework
|
Sudut Pandang
|
kesatuan beberapa proses secara umum
|
kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan
serta struktur organisasi
|
|
Tujuan yang
ingin dicapai
|
pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan
yang handal serta kesesuaian dengan peraturan yang berlaku
|
pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan
ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang
handal disesuaikan dengan peraturan yang berlaku
|
untuk meyakinkan kerahasiaan, integritas dan ketersediaan
asset informasi untuk perusahaan tetapi lebih penting lagi, bagi para
pelanggan.
|
Komponen/domain
|
pengendalian atas lingkungan, manajemen resiko, pengawasan serta
pengendalian atas aktivitas informasi dan komunikasi
|
perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas
dukungan serta pendistribusian
|
Kebijakan keamanan,
organisasi keamanan, Perencanaan Kesinambungan Bisnis, Pengembangan
system dan pemeliharaan, Keamanan Personil
|
Fokus
Pengendalian
|
Dari eSAC keseluruhan entitas
|
sisi teknologi informasi
|
InformationTechnology, Information
Security Management
|
Evaluasi
Internal Control
|
seberapa efektif pengendalian tersebut diterapkan dalam poin waktu
tertentu
|
seberapa efektif pengendalian tersebut diterapkan dalam periode waktu
yang sudah ditetapkan
|
keamanan informasi bersifat continually yaitu berlangsung terus selama perusahaan
masih beroperasi dan perusahaan masih menerapkan standar pengendalian kontrol
yang sama.
|
Pertanggungjawaban
internal control
|
dari eSAC ditujukan kepada manajemen
|
Dari CoBIT ditujukan kepada manajemen.
|
Operations,
finansial reporting, compliance
|
Perbandingan COBIT dengan ISO/IEC 17799
Tabel
1 menunjukkan bahwa ISO/IEC 17799 melakukan sebagian proses-proses pada seluruh
domain COBIT.
Tabel 1. Matriks Proses COBIT vs Standar ISO/IEC 17799
Hal ini menunjukkan bahwa
ISO/IEC 17799 mempunyai spektrum yang luas dalam hal pengelolaan TI sebagaimana
halnya COBIT, namun ISO/IEC 17799 tidak sedalam COBIT dalam hal detail
proses-proses yang dilakukan dalam domain-domain tersebut.
Perbandingan
COBIT dengan COSO
Tabel 2 menunjukkan bahwa
COSO melakukan sebagian proses di domain PO, AI, dan DS, namun tidak satupun
proses pada domain ME dilakukan. Hal ini menunjukkan bahwa COSO fokus kepada
proses penyelarasan TI dengan strategi perusahaan, dan sangat fokus dalam hal
desain dan implementasi TI.
Tabel 2. Matriks Proses COBIT vs Standar COSO
Tabel 3 memperlihatkan bahwa model-model standar
selain COBIT tidak mempunyai range spektrum yang seluas COBIT. Model - model tersebut hanya
melakukan sebagian dari proses-proses pengelolaan yang ada di dalam COBIT
COBIT mempunyai kompromi antara dimensi horisontal dan vertikal
yang lebih baik dari standar-standar lainnya. COBIT mempunyai spektrum proses
TI yang lebih luas dan lebih mendetail. Sedangkan COSO mempunyai detail yang
dangkal, walaupun spektrum proses teknis dan operasionalnya cukup luas.
Referensi:
- https://www.google.co.id/=TATA+KELOLA+TEKNOLOGI+INFORMASI(IT+GOVERNANCE)&oq=TATA+KELOLA+TEKNOLOGI+INFORMASI(IT+GOVERNANCE)
- https://www.google.co.id/=KOMBINASI+FRAMEWORK+COBIT+UNTUK+MEMBANGUN+MODEL+TATA+KELOLA+TEKNOLOGI+INFORMASI+DI
- https://elrafa.wordpress.com/2010/03/05/iso-17799/
- http://evilyanitribuana.blogspot.co.id/2014/11/internal-control-menurut-coso-dan-cobit.html