Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan
Visit : www.freesharing.verwalten.ch/forum
Control Objectives for Information and related Technology (COBIT) adalah seperangkat praktik terbaik (kerangka) untuk teknologi informasi (TI) manajemen yang dibuat oleh Information Systems Audit and Control Association (ISACA), dan IT Governance Institute (ITGI) pada tahun 1996. COBIT memberikan manajer, auditor, dan pengguna TI dengan satu set diterima secara umum langkah-langkah, indikator, proses dan praktik terbaik untuk membantu mereka dalam memaksimalkan manfaat yang diperoleh melalui penggunaan teknologi informasi dan pengembangan tata kelola TI yang sesuai dan pengendalian dalam sebuah perusahaan. COBIT pertama kali dirilis pada tahun 1996. Misinya adalah "untuk meneliti, mengembangkan, mempublikasikan dan mempromosikan otoritatif, up-to-date, set internasional yang diterima secara umum tujuan pengendalian teknologi informasi untuk sehari-hari digunakan oleh para manajer bisnis dan auditor." Manajer, Auditor, dan pengguna manfaat dari pengembangan COBIT karena membantu mereka memahami sistem IT mereka dan memutuskan tingkat keamanan dan kontrol yang diperlukan untuk melindungi perusahaan mereka 'aset melalui pengembangan model tata kelola TI. COBIT memiliki proses 34 tingkat tinggi yang mencakup 210 tujuan pengendalian dikategorikan dalam empat domain: Perencanaan dan Organisasi, Akuisisi dan Implementasi, Delivery dan Support, dan Monitoring dan Evaluasi. COBIT memberikan manfaat kepada para manajer, IT pengguna, dan auditor. Para manajer mengambil manfaat dan keuntungan dari COBIT karena menyediakan dengan fondasi yang terkait TI untuk suatu keputusan dan investasi yang mempunyai dasar. Pengambilan keputusan lebih efektif karena COBIT bantu manajemen dalam mendefinisikan rencana TI strategis, mendefinisikan informasi arsitektur, mendapatkan TI yang diperlukan hardware dan software untuk menjalankan strategi TI, menjamin pelayanan yang berkesinambungan, dan pemantauan kinerja sistem TI. User IT mempunyai keuntungan dari COBIT karena jaminan yang diberikan kepada mereka oleh COBIT's didefinisikan kontrol, keamanan, dan proses pemerintahan. Manfaat COBIT auditor karena membantu mereka mengidentifikasi isu-isu kontrol TI dalam infrastruktur TI perusahaan. Hal ini juga membantu mereka membenarkan temuan audit mereka. Baru-baru ini, ISACA telah dirilis Val IT, yang berkorelasi dengan proses-
Visit : www.freesharing.verwalten.ch/forum
proses COBIT untuk proses manajemen senior diperlukan untuk mendapatkan nilai yang baik dari investasi TI.
Sejarah COBIT COBIT memiliki empat rilis utama : •
Pada tahun 1996, edisi pertama dirilis COBIT.
•
Pada tahun 1998, edisi kedua menambahkan "Pedoman Pengelolaan".
•
Pada tahun 2000, edisi ketiga dirilis. o
•
Pada tahun 2003, sebuah versi on-line menjadi tersedia.
Pada Desember 2005, edisi keempat awalnya dirilis. o
Mei 2007, saat ini revisi 4,1 dirilis.
Cobit Versi 4 COBIT Versi 4 signifikan meningkat pada COBIT 3 oleh konsolidasi sebagian besar buku yang terpisah ke dalam satu volume untuk kemudahan penggunaan. Sub bagian baru untuk setiap proses meliputi: •
Referensi silang input dan output ke dan dari proses COBIT lain (yang dapat membantu menjadi petunjuk)
•
Kegiatan untuk setiap proses, dengan tugas Tanggungjawab (RACI) matriks untuk setiap kegiatan (menunjukkan apa CFO, CEO, IT Service Manager, Development Manager, dll harus melakukan atau terlibat didalamnya).
COBIT Versi 4,1 COBIT Versi 4.1 kini tersedia dari ISACA web site. Perubahan utama adalah: •
Disederhanakan deskripsi dari "Tujuan"
•
Proses dan (bidirectional) hubungan antara "Bisnis", yang "TI Tujuan", dan "Proses TI"
Visit : www.freesharing.verwalten.ch/forum
Harap dicatat bahwa ringkasan di bawah ini didasarkan pada COBIT versi 4.0, yang memiliki perubahan besar dari mantan COBIT versi 3.2.
COBIT keluarga produk (versi 4.0) COBIT paket yang lengkap terdiri dari: •
Ringkasan Eksekutif
•
Pemerintahan dan Control Framework
•
Tujuan
•
Pedoman Pengelolaan
•
Panduan Implementasi
•
IT Assurance Guide
Ringkasan Eksekutif Keputusan bisnis yang didasarkan pada tepat waktu, relevan dan informasi ringkas. Yang khusus dirancang untuk waktu-menekan eksekutif dan manajer senior, para COBIT Ringkasan Eksekutif terdiri dari Ikhtisar Eksekutif yang memberikan kesadaran dan pemahaman menyeluruh tentang konsep-konsep kunci COBIT dan prinsip. Juga termasuk adalah sinopsis dari Framework, yang memberikan pemahaman yang lebih rinci konsep-konsep dan prinsip-prinsip, sementara COBIT mengidentifikasi empat domain (Perencanaan dan Organisasi, Akuisisi dan Implementasi, Delivery dan Support, Monitoring dan Evaluasi) dan 34 proses TI. Kerangka Organisasi yang sukses dibangun di atas kerangka yang solid data dan informasi. Menjelaskan bagaimana proses TI menyampaikan informasi bahwa kebutuhan bisnis untuk mencapai tujuannya. Pengiriman ini dikendalikan melalui 34 tingkat tinggi tujuan pengendalian, satu untuk setiap proses TI, terdapat dalam empat domain. Rangka mengidentifikasi mana dari tujuh Informasi Kriteria (efektivitas, efisiensi, kerahasiaan, integritas, ketersediaan, kepatuhan dan keandalan), serta yang sumber daya TI (orang,
Visit : www.freesharing.verwalten.ch/forum
aplikasi, informasi dan infrastruktur) yang penting bagi proses-proses TI untuk sepenuhnya mendukung bisnis . Kontrol Tujuan Kunci untuk mempertahankan profitabilitas dalam lingkungan yang berubah secara teknologis adalah seberapa baik Anda tetap memegang kendali. COBIT's. Tujuan Control COBIT memberikan wawasan kritis yang diperlukan untuk menggambarkan kebijakan yang jelas dan latihan yang baik untuk IT kontrol. Termasuk di sini pernyataan dari hasil yang diinginkan atau tujuan yang ingin dicapai dengan menerapkan 215 spesifik dan rinci tujuan pengendalian seluruh tingkat tinggi 34 proses TI. Pedoman Pengelolaan Untuk memastikan perusahaan sukses, Anda harus secara efektif mengelola persatuan antara proses bisnis dan sistem informasi. Pedoman Pengelolaan baru terdiri dari Maturity Model, untuk membantu menentukan tahapan-tahapan dan tingkat harapan kontrol dan membandingkan mereka melawan norma-norma industri; Critical Success Factors, untuk mengidentifikasi tindakan yang paling penting untuk mencapai kontrol atas proses TI Key Goal Indicators, untuk mencari target tingkat kinerja, dan kunci untuk menaikkan performa, untuk mengukur apakah proses pengendalian TI merupakan pertemuan tujuannya. Pedoman Pengelolaan ini akan membantu menjawab pertanyaanpertanyaan perhatian langsung kepada semua pihak yang memiliki saham dalam keberhasilan perusahaan. IT Assurance Guide Untuk memastikan bahwa tujuan pengendalian sedang dicapai, ada implisit perlu menilai kontrol terkait dengan mereka. The Assurance Panduan menyediakan alat untuk menilai kontrol yang dibutuhkan dalam setiap bentuk, dari hasil desain. Panduan juga memungkinkan untuk inisiatif jaminan perencanaan dan scoping di standar, cara berulang sehingga bisnis dan IT dapat dinilai di bawah satu kerangka, sepenuhnya kompatibel dengan ISACA's ITAF. Ada kesalahpahaman bahwa Panduan Jaminan adalah penerus
Visit : www.freesharing.verwalten.ch/forum
Pedoman Audit. Kenyataannya adalah bagaimanapun bahwa itu adalah buku yang sama sekali baru, yang didasarkan pada Control Practices. Pedoman Audit bukan merupakan bagian dari COBIT lagi, sebagai Panduan Jaminan bukan merupakan bagian dari buku, tapi publikasi yang terkait. COBIT struktur COBIT mencakup empat domain: •
Merencanakan dan Mengorganisasikan
•
Memperoleh dan Melaksanakan
•
Memberikan dan Dukungan
•
Monitor dan Evaluasi
Rencana dan Atur IT PROSES Merencanakan dan Mengorganisasikan PO1 Menetapkan Rencana Strategis dan arah PO2 Menetapkan Informasi Arsitektur PO3 Teknologi Tentukan Arah PO4 Tentukan Proses IT, Organisasi dan Hubungan PO5 Mengelola Investasi TI PO6 Komunikasikan Manajemen Tujuan dan Arah PO7 Mengelola Sumber Daya Manusia TI PO8 Mengatur Kualitas PO9 Menilai dan Mengelola Risiko TI PO10 Mengelola Proyek
Perolehan dan Melaksanakan Mengimplementasikan
domain
meliputi
mengidentifikasi
kebutuhan
TI,
memperoleh teknologi, dan mengimplementasikannya dalam perusahaan saat ini proses bisnis. Domain ini juga membahas pengembangan suatu rencana pemeliharaan yang Visit : www.freesharing.verwalten.ch/forum
harus mengadopsi sebuah perusahaan dalam rangka untuk memperpanjang kehidupan sistem TI dan komponennya. Tabel berikut berisi daftar proses-proses TI yang terkandung dalam Acquire dan Melaksanakan domain. IT PROSES Memperoleh dan Melaksanakan AI1 Identifikasi Otomatis Solusi AI2 Memperoleh dan Memelihara Aplikasi Perangkat Lunak AI3 Memperoleh dan Memelihara Teknologi Infrastruktur AI4 Aktifkan Operasi dan Penggunaan AI5 IT mendapatkan Resources AI6 Mengelola Perubahan AI7 Instal dan akreditasi Solusi, dan Perubahan
Memberikan dan Dukungan Memberikan dan mendukung domain berfokus pada aspek pengiriman teknologi informasi. Ini meliputi bidang-bidang seperti eksekusi aplikasi di dalam sistem IT dan hasil-hasilnya, serta, dukungan mengaktifkan proses-proses yang efektif dan efisien pelaksanaan sistem TI ini. Proses pendukung ini mencakup masalah-masalah keamanan dan pelatihan. Tabel berikut berisi daftar proses TI yang terkandung dalam Memberikan dan Dukungan domain. IT PROSES Memberikan dan Dukungan DS1 Tentukan dan Manage Service Levels DS2 Kelola pihak ketiga Layanan DS3 Mengelola Kinerja dan Kapasitas DS4 Pastikan Continuous Service DS5 Pastikan Sistem Keamanan DS6 Mengidentifikasi dan Mengalokasikan Biaya
Visit : www.freesharing.verwalten.ch/forum
DS7 Mendidik dan Kereta Pengguna DS8 Manage Service Desk dan Insiden DS9 Mengatur Konfigurasi DS10 Mengelola Masalah DS11 Mengelola Data DS12 Mengelola Lingkungan Fisik DS13 Mengelola Operasi
Monitor dan Evaluasi Monitor dan Evaluasi domain berkaitan dengan strategi perusahaan dalam menilai kebutuhan perusahaan dan apakah sistem TI saat ini masih memenuhi tujuan yang dirancang dan kontrol yang diperlukan untuk memenuhi persyaratan peraturan. Pemantauan juga mencakup masalah penilaian independen terhadap efektivitas sistem TI pada kemampuannya untuk memenuhi tujuan bisnis dan proses kontrol perusahaan oleh auditor internal dan eksternal. Tabel berikut berisi daftar proses-proses TI yang terkandung dalam Monitor dan Evaluasi domain. IT PROCESSES IT PROSES Monitor and Evaluate Monitor dan Evaluasi ME1 Processes Monitor dan Evaluasi Proses TI ME2 Monitor dan Evaluasi Internal Control ME3 Pastikan Regulatory Compliance ME4 Menyediakan IT Governance
COBIT dan standar lain COBIT dan ISO / IEC 27002:2007 COBIT dirilis dan digunakan terutama oleh komunitas TI, dan telah menjadi kerangka kerja yang diterima secara internasional untuk IT governance dan kontrol. ISO / IEC 27002: 2007 (The Code of Practice untuk Manajemen Keamanan Informasi) juga merupakan standar internasional dan praktik terbaik untuk menerapkan manajemen
Visit : www.freesharing.verwalten.ch/forum
keamanan. Dua standar tidak bersaing satu sama lain dan benar-benar saling melengkapi satu sama lain. COBIT biasanya meliputi area yang lebih luas, sementara ISO / IEC 27002 adalah sangat fokus di bidang keamanan. Tabel di bawah ini menggambarkan hubungan antar dua standar serta bagaimana ISO / IEC 27002 dapat diintegrasikan dengan COBIT. COBIT DOMAIN
1 2 3 4 5 6 7 8 9 10 11 12 13
Merencanakan dan Mengorganisasikan
- + - - + + + + - -
0
.
.
Memperoleh dan Melaksanakan
+ 0 0 - 0 + . . . .
.
.
.
Deliver and Support Memberikan dan Dukungan - + 0 + + . + 0 0 0
+
0
0
Monitor and Evaluate Monitor dan Evaluasi
.
.
.
- 0 - 0 . . . . . .
(+) Good match (lebih dari dua ISO / IEC 27002:2007 bertujuan dipetakan ke sebuah proses COBIT) (0) Mostly match (satu atau dua ISO / IEC 27002:2007 bertujuan dipetakan ke sebuah proses COBIT) (-) Tidak ada atau kecil cocok (tidak ada ISO / IEC 27002:2007 Tujuannya adalah dipetakan ke sebuah proses COBIT) (.) Tidak ada
COBIT dan Sarbanes Oxley Perusahaan publik yang tunduk pada US Sarbanes-Oxley Act of 2002 adalah didorong untuk mengadopsi COBIT dan Komite Organisasi Sponsoring dari Treadway Commission (COSO). Dalam memilih mana yang kontrol untuk mengimplementasikan kerangka kerja dalam rangka untuk memenuhi Sarbanes-Oxley, menunjukkan bahwa perusahaan-perusahaan mengikuti kerangka COSO. Menyatakan bahwa pengendalian internal adalah proses - yang didirikan oleh suatu badan dewan direksi, manajemen, dan personel lain - dirancang untuk memberikan keyakinan memadai mengenai pencapaian sasaran yang sudah ditetapkan. Pendekatan COBIT TI kontrol dengan melihat informasi - bukan hanya informasi keuangan - yang diperlukan
Visit : www.freesharing.verwalten.ch/forum
untuk mendukung kebutuhan bisnis dan TI yang terkait sumber daya dan proses. Tujuan pengendalian COSO fokus pada efektivitas, efisiensi operasi, pelaporan keuangan dapat diandalkan, dan kepatuhan terhadap hukum dan peraturan. Kedua kerangka memiliki khalayak yang berbeda. COSO ini berguna bagi manajemen pada umumnya, sementara COBIT berguna bagi manajemen TI, pengguna, dan auditor. COBIT TI secara khusus difokuskan pada kontrol. Karena perbedaan ini, auditor hendaknya tidak mengharapkan satu-ke-satu hubungan antara lima komponen pengendalian COSO dan empat tujuan COBIT domain. COBIT dan standar internasional lainnya Untuk informasi lebih standar internasional, lihat ISACA COBIT pemetaan. COBIT juga ditujukan oleh Forum Keamanan Informasi dalam Standar Praktek yang Baik dan dokumen lainnya.
Visit : www.freesharing.verwalten.ch/forum
