PENGERTIAN COBIT
Control Objective for Information
and related Technology,
disingkat COBIT, adalah suatu panduan standar praktik manajemen teknologi informasi. COBIT menciptakan sebuah
jembatan antara manajemen TI dan para eksekutif bisnis. COBIT mampu menyediakan
bahasa yang umum sehingga dapat dipahami oleh semua pihak & dopsi yang
cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin
besarnya perhatian yang diberikan terhadap corporate governance dan kebutuhan perusahaan agar mampu berbuat
lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi
yang sulit.
Fokus utama dari COBIT ini adalah
harapan bahwa melaui adopsi COBIT ini perusahaan akan mampu meningkatkan nilai
tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang
teridentifikasi didalamnya. COBIT dikembangkan oleh IT (Governance Institute)
(ITGI), yang merupakan bagian dari Information Systems Audit and Control
Association (ISACA). Saat ini pengembangan terbaru dari standar ini adalah
COBIT edisi 5.0.
Manfaat yang diberikan oleh informasi
dan teknologi pada perusahaan, yaitu:
1.
Menjaga
kualitas informasi untuk mendukung pengambilan keputusan bisnis.
2.
Menghasilkan
nilai bisnis dari investasi pemanfaatan IT yaitu mencapai tujuan
strategis dan merealisasikan manfaat bisnis melalui penggunaan IT yang efektif
dan inovatif.
3.
Mencapai
keunggulan operasional melalui penerapan teknologi yang handal dan efisien.
4.
Menjaga
resiko yang behubungan dengan penerapan pada tingkat yang masih bisa
ditoleransi mengoptimalkan biaya penggunaan IT service dan teknologi.
COBIT memiliki 4 cakupan domain,
yaitu:
·
Perencanaan
dan organisasi (plan and organise)
·
Pengadaan
dan implementasi (acquire and implement)
·
Pengantaran
dan dukungan (deliver and support)
·
Pengawasan
dan evaluasi (monitor and evaluate)
Dibawah ini akan dijelaskan lebih lanjut mengenai analisis
COBIT pada PT. Kereta Api Indonesia.
Profil
PT. Kereta Api Indonesia
PT. Kereta Api
Indonesia (Persero) yang selanjutnya disingkat sebagai PT. KAI adalah Badan
Usaha Milik Negara yang menyediakan, mengatur, dan mengurus jasa angkutan
kereta api di Indonesia. PT. KAI merupakan salah satu operator kereta api terbesar
di indonesia. Dalam masa lima tahun terakhir sejak 2009, PT. KAI telah
melakukan langkah revolusioner dalam merevatilisasi bisnis sesuai perubahan
jaman dan kondisi eksternal yang dinamik.
4
Cakupan Domain COBIT
1. Plan and Organise (PO)
Secara umum domain ini meliputi
strategi dan taktik, serta identifikasi bagaimana TI dapat berkontribusi
terhadap pencapaian sasaran bisnis. Domain ini dibagi ke dalam 10 fase dalam
prosesnya, yaitu:
·
PO1: Mendefinisikan
rencana strategis TI
Analisis: PT
KAI sudah terdapat IT Master Plan yang
berisikan tentang rencana kerja dan investasi strategis pengembangan TI untuk
jangka panjang selama 5 tahun dan untuk jangka pendek dibuat untuk kurun waktu
kurang dari 1 tahun.
·
PO2: Mendefinisikan
arsitektur informasi
Analisis: PT
KAI belum dapat terdapat model arsitektur informasi terstandard yang digunakan.
·
PO3: Menentukan arahan
teknologi
Analisis: Manajemen
PT KAI telah merancang arah pengembangan teknologi perusahaan. Hal ini ditandai
dengan rencana penambahan modul ERP perusahaan, peningkatan infrastruktur TI
perusahaan dan berbagai sertifikasi ISO dalam bidang teknologi informasi.
·
PO4: Mendefinisikan
proses TI, organisasi dan keterhubungannya
Analisis: PT
KAI telah memiliki pembagian tugas yang jelas pada divisi TI. Hal ini
dituangkan dalam tugas pokok inti divisi TI. Selain itu keamanan informasi
sudah dilakukan dengan melakukan encrypton
serta cryptographic pada
informasi perusahaan.
·
PO5: Mengelola investasi
TI
Analisis: Pada PT
KAI manajemen telah menentukan prioritas investasi TI yang sesuai dengan budget
perusahaan selain itu penetapan penetapan budget untuk investasi TI telah
dilakukan oleh dewan direksi untuk setiap tahunnya. Perencanaan penggunaan dana
investasi TI ini dituangkan dalam IT
Master Plan perusahaan.
·
PO6: Mengomunikasikan
tujuan dan arahan manajemen
Analisis: Manajemen
PT KAI telah secara aktif mengomunikasiskan penerapan TI antara dewan direksi
dan divisi TI. Hal ini dilakukan melalui rapat koordinasi dan evaluasi yang
rutin dilakukan baik secara horizontal maupun vertical.
·
PO7: Mengelola sumber
daya TI
Analisis: Pada
PT KAI terdapat pendekatan strategis untuk merekrut dan mengelola IT personnel.
Rencana training resmi telah ditetapkan untuk SDM TI. Program rotasi karyawan
sudah ditetapkan dalam rangka pengembangan skill manajemen dan teknik.
·
PO8: Mengelola kualitas
Analisis: Pada
PT KAI manajemen telah menerapkan ISO 9001 yang mengatur tentang quality management system terhadap
berbagai divisi dan sarana pada perusahaan. Hal ini menunjukan bahwa manajemen
telah menyadarinya sebuah kebutuhan atas kualitas mutu.
·
PO9: Menaksir dan
mengelola resiko TI
Analisis: Pada
PT KAI, manajemen khususnya divisi TI belum memiliki pengukuran risiko yang
terdokumentasi dan formal.
·
PO10: Mengelola proyek
Analisis: Pada
PT KAI sudah terdapat gambaran dan rencana mengenai pengembangan TI pada
perusahaan yang tergambarkan dalam Master
Plan IT. Walau begitu dalam manajemen proyek belum terdapat kerangka kerja
formal, perusahaan masih menggunakan pendekatan tradisional dalam menjalankan
proyek.
2. Acquire and Implement (AI)
Domain ini menggambarkan bagaimana
perubahan dan pemeliharaan dari sistem yang ada selaras dengan sasaran bisnis.
Domain AI terbagi menjadi tujuh proses TI, yaitu:
·
AI1: Mengidentifikasi
Solusi Otomatis
Analisis: Pada
PT KAI rencana pembelian atau pembuatan mengenai proyek TI sudah dilakukan
tahapan perencanaanoleh business process
owner terkait. Rencana ini mencakup mengenai biaya, waktu dan spesifikasi
proyek yang diinginkan.
·
AI2: Memperoleh dan Memelihara
Software Aplikasi
Analisis: Pada
PT KAI saat perusahaan memutuskan untuk membuat atau membeli sebuah aplikasi
atau perangkat TI maka persyaratan dan spesifikasi diberikan oleh tim BPO. Spesifikasi
dan persyaratan ini akan dikonsultasikan dengan divisi TI dan ditraslasikan
kedalam sebuah solusi yang terencana.
·
AI3: Memperoleh dan
Memlihara Infrastruktur Teknologi
Analisis: PT
KAI sudah melakukan perawatan dan perencanaan pemeliharaan infrastruktur secara
berkala. Pada datacenter perusahaan
setiap minggu sistem akan di switch ke
back-up system untuk dirotasi dan
memastikan bahwa sistem cadangan bekerja.
·
AI4: Memungkinkan
Operasional dan Penggunaan
Analisis: Pada
PT KAI dalam memastikan penerapan sebuah sistem atau aplikasi baru agar dapat
digunakan oleh end-user divisi TI
melakukan pelatihan kepada para pengguna.
·
AI5: Memenuhi Sumber Daya
TI
Analisis: Pada
PT KAI pengadaan kebijakan dan prosedur akuisisi TI telah ditetapkan,
didokumentasikan dan dikomunikasikan. Kebijakan dan prosedur akuisisi TI di PT
KAI mengacu kepada proses bisnis perusahaan secara keseluruhan. Manajemen TI
mengkomunikasikan kebutuhan akuisisi dan manajemen kontrak melalui fungsi TI.
·
AI6: Mengelola Perubahan
Analisis: Pada
PT KAI sudah terdapat dokumentasi formal mengenai perubahan yang berkaitan
dengan TI yang mencakup prosedur, proses, kebijakan dan sistem. Perubahan sistem
yang besar misalnya pada saat penerapan ERP SAP dilakukan sesuai dengan
standard sistem terkait yang mencakup persiapan proyek, business blueprint hingga persiapan go live.
·
AI7: Instalasi dan
Akreditasi Solusi beserta Perubahannya
Analisis: Hal
ini tidak dapat dibahas lebih lanjut karena pada pengujian dan pengetesan
sebuah sistem yang mempengaruhi operasi secara besar perusahaan menyerahkan
sepenuhnya test environment dan test procedure kepada pihak eksternal
dan vendor yang menyediakan jasa
pengadaan sistem.
3. Deliver and Support (DS)
Domain ini mencakup penyampaian
hasil aktual dari layanan yang diminta, termasuk pengelolaan kelancaran dan
keamanan, dukungan layanan terhadap pengguna serta pengelolaan data dan
operasional fasilitas, yang meliputi:
·
DS1: Mengidentifikasi dan
Mengelola Tingkat Layanan
Analisis: Pada
PT KAI untuk berbagai pelayanan TI yang terkait dengan pihak eksternal maupun
internal, manajemen menentukan batasan SLA minimum yakni kehandalan
(reliability) 99,9%. Untuk pihak eksternal manajemen TI melakukan penilaian
performa setiap bulan untuk memastikan tingkat operasional memenuhi SLA yang
telah ditentukan.
·
DS2: Mengelola Layanan
Pihak Ketiga
Analisis: Pada
PT KAI untuk pelayanan yang disediakan oleh pihak ketiga seperti RTS, jaringan
dan sebagainya sudah memiliki dokumentasi SLA dalam bentuk perjanjian formal. Perjanjian
mengenai SLA ini mengatur hal-hal penting seperti kehandalan minimum mengenai
layanan, penalty bila target tidak tercapai dan berbagai hal lainnya.
·
DS3: Mengelola Kinerja
dan Kapasitas
Analisis: Pada
PT KAI penentuan kapasitas dan performa pada bidang TI sudah diselaraskan
dengan peramalan kebutuhan bisnis. Hal ini sesuai dengan manajemen stratejik
perusahaan yang disudah mempertimbangkan berbagai asumsi makro dan perkembangan
bisnis. Pembuatan IT Master Plan sudah diselaraskan dengan manajemen stratejik
perusahaan.
·
DS4: Memastikan Layanan
yang Berkelanjutan
Analisis: PT
KAI sudah memiliki beberapa IT Continuity Plan untuk beberapa infrastruktur
vital seperti datacenter yang
memiliki 2 offsite back up storage yang terletak di Jakarta dan BSD.
·
DS5: Memastikan Keamanan
Sistem
Analisis: Pada
PT KAI perusahaan telah melakukan berbagai langkah pengamanan informasi. Hal ini
dapat dilihat dari penerapan pembatasan akses pengguna yang dibagi menjadi 3
level, penggunaan firewall pada datacenter perusahaan, encrypton pada server mail hingga
pengadopsian ISO 27001 mengenai standardisasi keamanan informasi sesuai dengan
standard internasional.
·
DS6: Mengidentifikasi dan
Mengalokasikan Biaya
Analisis: Pada
PT KAI sudah terdapat ketentuan dan dokumentasi mengenai biaya teknologi
informasi. Alokasi biaya TI perusahaan disesuaikan dengan kebutuhan bisnis dan
pelaksanaanya harus sesuai dengan yang telah direncanakan.
·
DS7: Mendidik dan Melatih
Pengguna
Analisis: Pada
PT KAI manajemen TI telah melakukan pelatihan baik terhadap internal divisi TI
dan kepada end-user agar
pengoperasian sistem berjalan efektif. PT KAI sudah memiliki dokumentasi dan
perencanaan formal mengenai pelatihan dan pendidikan pengguna, selain itu PT
KAI juga rutin melakukan sertifikasi bagi personel TI.
·
DS8: Mengelola service
desk
Analisis: Pada
PT KAI suda terdapat help desk untuk membantu pengguna akhir jika terdapat
permasalahan dalam sistem. Sudah terdapat SOP dan dokumentasi lainnya yang
membantu dan mengarahkan tugas help desk dalam menghadapi beberapa permasalahan
umum.
·
DS9: Mengelola
Konfigurasi
Analisis: PT
KAI belum memiliki manajemen konfigurasi secara formal dan terdokumentasi.
·
DS10: Mengelola
Permasalahan
Analisis: Pada
PT KAI permasalahan diidentifikasi apakah terjadi karena kesalahan pengguna
atau kesalahan sistem oleh help desk. Apabila kesalahan sistem terjadi terkait
dengan aplikasi yang disediakan eksternal vendor, maka penyelesaian masalah
menggunakan bantuan vendor.
·
DS11: Mengelola Data
·
DS12: Mengelola Lingkungan
Fisik
·
DS13: Mengelola Operasi
Analisis: Pada
PT KAI sudah melakukan beberapa manajemen terait operasi seperti pengawasan
infrastruktur TI, pengukuran kehandalan dan pemenuhan SLA, pembakuan dan
dokumentasi SOP terkait operasi serta perawatan terhadap insfrastruktur.
4. Monitor and Evaluate (ME)
Domain ini terkait dengan kinerja
manajemen, kontrol internal, pemenuhan terhadap aturan serta menyediakan tata
kelola. Fungsi doman ini sendiri adalah untuk memastikan seluruh proses TI
dapat dikontrol secara periodik yang bermaksud untuk menjaga kualitas dan
pemenuhan kebutuhan pasar. Berbeda dari domain yang lain, ME hanya terdiri dari
4 proses TI, yaitu:
·
ME1: Mengawasi dan
Mengevaluasi Kinerja TI
Analisis: Pada
PT KAI sudah melakukan pengawasan dan pengukuran kinerja untuk beberapa
pelayanan TI. Tingkat SLA berbagai infrastruktur TI diawasi oleh sistem
terintegrasi, evaluasi personil dilakukan sesuai KPI dan sudah dikembangkan
pendekatan balance scorecard untuk
pengukuran kinerja.
·
ME2: Mengawasi dan
Mengevaluasi Kontrol Internal
·
ME3: Memastikan Pemenuhan
terhadap Kebutuhan Eksternal
·
ME4: Menyediakan Tata
Kelola TI
Analisis: Salah
satu tujuan PT KAI adalah penerapan tata kelola perusahaan yang termasuk
didalamnya tata kelola informasi. Hal ini terlihat dengan pembentukan komite
audit di tahun 2012, pembentukan IT Steering Committee dan perunagah struktur
organisasi perusahaan. Perencanaan dan pendekatan BSC sudah digunakan untuk
memetakan tujuan perusahaan beserta KPI.
Implementasi
COBIT dipercaya dapat membantu perusahaan dalam hal meningkatkan
pendekatan/program audit, mendukung audit kerja dengan arahan audit secara
rinci, memberikan petunjuk untuk IT governance, sebagai penilaian benchmark
untuk kendali IS/IT, meningkatkan control IS/IT, dan sebagai standarisasi
pendekatan/program audit.
SUMBER
Komentar
Posting Komentar