Cobit Frame Work (Mika Halaman 9-13)

The Need For A Control Framework For IT Governance (Kebutuhan Untuk Kontrol Tata
Kelola IT)

Kerangka kontrol untuk tata kelola TI mendefinisikan alasan atas tata kelola IT diperlukan
pemangku kepentingan dan apa yang dibutuhkan untuk menyelesaikannya.

Mengapa ?

Semakin menyadarkan manajemen puncak terhadap besarnya dampak yang dapat dimiliki
oleh suatu informasi pada keberhasilan suatu perusahaan. Manajemen mengharapkan
peningkatan pemahaman tentang cara dioperasikan dan kemungkinan yang menjadi pengaruh
keberhasilan untuk keunggulan kompetitif. Khususnya, manajemen puncak perlu tahu jika
informasi yang dikelola oleh perusahaan, sehingga:

• Mungkin untuk mencapai tujuan;

• Cukup Tangguh untuk belajar dan beradaptasi;

• Bijaksana mengelola risiko yang akan dihadapi;

• Tepat mengenali peluang dan bertindak atas mereka.

Perusahaan-perusahaan yang sukses memahami risiko IT dan memanfaatkan keuntungan dari

itu dan menemukan cara untuk menghadapinya dengan :

• Menyelaraskan strategi IT dengan strategi bisnis;

• Meyakinkan investor dan pemegang saham bahwa 'standar kehati-hatian' di sekitar dapat
mengurangi risiko yang sedang dihadapi oleh perusahaan;

• strategi IT bertingkat dan tujuan menurun perusahaan;

• Mendapatkan nilai dari investasi IT;

• Menyediakan struktur organisasi yang memfasilitasi pelaksanaan strategi dan tujuan;

• Membangun hubungan dan komunikasi yang efektif antara bisnis dan IT, dan dengan mitra
eksternal;

• Pengukuran kinerja IT.

Perusahaan tidak memberikan efektif terhadap persyaratan bisnis dan pemerintahan tanpa
mengadopsi dan menerapkan kerangka kerja tata kelola dan kontrol untuk:

• Membuat link ke persyaratan bisnis;

• Membuat kinerja terhadap persyaratan ini transparan;

• Mengatur kegiatannya mejadi model proses yang umumnya diterima;

• Identifikasi sumber daya yang besar untuk menjadi pengaruh;

• Tentukan tujuan pengendalian manajemen untuk dipertimbangkan.

Lebih jauh lagi, tata kelola dan kontrol kerangka yang menjadi bagian dari IT manajemen
praktik yang baik adalah memungkinkan untuk membentuk enabler untuk tata kelola dan
kepatuhan terhadap peningkatan persyaratan peraturan yang menerus.

Praktek IT yang baik menjadi signifikan karena sejumlah faktor:

• Manajer bisnis dan direksi menuntut kembalian yang lebih baik dari investasi IT, yaitu, bahwa
IT memberikan apa yang dibutuhkan oleh bisnis untuk meningkatkan nilai stakeholder;

• Keprihatinan peningkatan level yang umum dari pengeluaran IT;

• Kebutuhan untuk memenuhi persyaratan peraturan untuk mengendalikan IT di area seperti

pribadi atau dan pelaporan keuangan (misalnya, kita Sarbanes-Oxley Act, Basel II) dan di
sektor tertentu seperti keuangan, farmasi dan kesehatan;

• Pemilihan penyedia layanan dan pengelolaan Layanan outsourcing dan akuisisi;

• Semakin kompleks berhubungan dengan risiko, seperti keamanan jaringan.

• Tata Kelola IT inisiatif yang mencakup adopsi kontrol kerangka kerja dan praktek-praktek
yang baik untuk membantu memantau dan memperbaiki kegiatan IT penting untuk
meningkatkan nilai bisnis dan mengurangi risiko usaha;

• Kebutuhan untuk mengoptimalkan biaya dengan mengikuti, mana yang mungkin,

standarisasi, daripada mengembangankan pendekatan khusus;

• Penerimaan kedewasaan dan konsekuensi dari pertumbuhan kerangka kerja yang

dianggap baik, seperti COBIT, IT Infrastructure Library (ITIL), ISO 27000 series on
information security-related standards, ISO 9001:2000 Quality Management Systems—

Requirements, Capability Maturity Model ® Integration (CMMI), Projects in Controlled

Environments 2 (PRINCE2) and A Guide to the Project Management Body of Knowledge
(PMBOK);

• Kebutuhan untuk perusahaan untuk menilai bagaimana mereka melakukan perlawanan

terhadap standar umum yang diterima dan rekan-rekan mereka (pembandingan).

Siapa ?

Kerangka kerja tata kelola dan kontrol perlu melayani berbagai pemangku kepentingan internal
dan eksternal, masing-masing dari mereka memiliki kebutuhan khusus:

• Para pemangku kepentingan dalam perusahaan yang memiliki kepentingan dalam

menghasilkan nilai dari investasi IT:

-Orang yang membuat keputusan investasi;

-Orang yang memutuskan tentang persyaratan;

-Mereka yang menggunakan Layanan.

• Internal dan eksternal stakeholder yang menyediakan layanan IT :

-Mereka yang mengelola organisasi IT dan prosesnya;

-Mereka yang mengembangkan kemampuan;

-Mereka yang mengoperasikan layanan.

• Internal dan eksternal stakeholder yang mempunyai tanggung jawab kontrol risiko:

-Mereka yang bertanggung jawab dengan keamanan, privasi, dan/atau risiko;

-Mereka yang melakukan fungsi kepatuhan;

-Mereka yang membutuhkan atau memberikan jaminan layanan.

Apa ?

Untuk memenuhi persyaratan yang tercantum dalam bagian sebelumnya, kerangka kerja untuk
tata kelola IT dan kontrolnya harus :

• Memberikan fokus bisnis untuk mengaktifkan kesejajaran antara bisnis dan tujuan;

• Membentuk proses orientasi untuk menentukan ruang lingkup dan luasnya cakupan, dengan
struktur yang ditetapkan agar memudahkan navigasi dari konten;
• Umumnya dapat diterima menjadi konsisten dengan standar dan praktek-praktek IT yang baik
diterima dan independen dari teknologi tertentu;

• Menyediakan bahasa yang umum dengan seperangkat istilah dan definisi yang umumnya
dapat dipahami oleh seluruh stakeholder;

• Membantu memenuhi persyaratan peraturan dengan menjadi konsisten yang diterima umum
standar tata kelola perusahaan (e.g., COSO) dan kontrol IT yang diharapkan oleh regulator
dan auditor eksternal

Bagaimana COBIT Memenuhi Kebutuhan

Business-Focused

Orientasi bisnis adalah tema utama dari COBIT. Hal ini dirancang bukan hanya untuk
dipekerjakan oleh penyedia layanan TI, pengguna dan auditor, tetapi juga, dan lebih penting,
untuk memberikan panduan yang komprehensif untuk pengelolaan dan pemilik proses bisnis.

Figure 5—Basic COBIT Principle

to drive the

Kriteria Informasi COBIT

• Efektivitas, berkaitan dengan informasi yang relevan dan berkaitan dengan proses bisnis
serta disampaikan secara tepat waktu, benar, konsisten dan bermanfaat.

• Efisiensi, mengenai penyediaan informasi melalui penggunaan optimal sumber daya (paling
produktif dan ekonomis).
• Kerahasiaan, keprihatinan perlindungan informasi yang sensitif dari pengungkapan yang
tidak sah.

• Memiliki integritas, yang berkaitan dengan ketepatan dan kelengkapan informasi serta
keabsahannya sesuai dengan nilai-nilai bisnis dan harapan.

• Ketersediaan, berkaitan dengan informasi yang tersedia bila diminta oleh proses bisnis
sekarang dan di masa depan. Ini juga menyangkut menjaga sumber daya diperlukan dan
kemampuan yang terkait.

• Kepatuhan, berkaitan dengan mematuhi hukum, peraturan dan perjanjian kontrak yang
proses bisnis subjek, yaitu, eksternal dikenakan kriteria bisnis serta kebijakan internal.

• Keandalan, berkaitan dengan penyediaan informasi sesuai untuk manajemen untuk

mengoperasikan entitas dan latihan tanggung jawab fidusia dan pemerintahan.

SASARAN BISNIS DAN TUJUAN IT

Sementara kriteria informasi generik metode untuk menentukan kebutuhan bisnis,

mendefinisikan satu set generik bisnis dan tujuan menyediakan dasar yang terkait dengan
bisnis dan lebih halus untuk mendirikan kebutuhan bisnis dan mengembangkan metrik yang
memungkinkan pengukuran terhadap tujuan tersebut. Setiap usaha menggunakannya untuk
mengaktifkan inisiatif Bisnis, dan ini dapat diwakili sebagai tujuan bisnis untuk itu. Apendiks
menyediakan matriks generik sasaran dan tujuan dan menunjukkan bagaimana mereka peta
dengan kriteria informasi.

Figure 6—Defining IT Goals and Enterprise Architecture for IT

Influence
Information
Services

imply
Information
Criteria
Sumber Daya IT

Sumber daya TI yang diidentifikasi dalam COBIT dapat didefinisikan sebagai berikut:

• Aplikasi adalah otomatis pengguna sistem dan prosedur manual yang memproses informasi.

• Informasi adalah data, dalam segala bentuk mereka, masukan, diproses dan output oleh
sistem informasi dalam bentuk apapun yang digunakan oleh bisnis.

• Infrastruktur adalah teknologi dan fasilitas (yaitu, perangkat keras, sistem operasi, sistem
manajemen database, Jaringan, multimedia, dan lingkungan yang memiliki dan mendukung
mereka) yang memungkinkan pemrosesan aplikasi.

• Orang yang personil yang diperlukan untuk merencanakan, mengatur, memperoleh,

menerapkan, memberikan, mendukung, memantau dan mengevaluasi sistem informasi dan
layanan. Mereka mungkin internal, outsourcing atau dikontrak yang diperlukan.

Process-oriented
COBIT mendefinisikan kegiatan dalam model generik proses dalam empat domain. Domain ini
adalah rencana dan Organise, Acquire dan melaksanakan, memberikan dan mendukung, dan
memantau dan mengevaluasi. Domain peta itu tanggung jawab tradisional daerah
rencana,membangung, menjalankan dan memantau.

Figure 8—The Four Interrelated Domains of

COBIT

Untuk mengaturnya secara efektif, sangat penting untuk menghargai kegiatan dan risiko di
dalamnya yang perlu dikelola. Mereka biasanya disusun ke dalam domain tanggung jawab
rencana, membangun, menjalankan dan memantau. Dalam kerangka COBIT, domain ini,
seperti yang ditunjukkan pada gambar 8, disebut:
• Rencana dan mengatur (PO) — menyediakan arah untuk solusi pengiriman (AI) dan Jasa
pengiriman (DS)

• Memperoleh dan menerapkan (AI) — menyediakan solusi dan melewati mereka akan
berubah menjadi Layanan

• Memberikan dan dukungan (DS) — menerima solusi dan membuat mereka dapat dipakai
bagi pengguna akhir

• Memantau dan mengevaluasi (ME) — memonitor semua proses untuk memastikan bahwa
arah disediakan diikuti

MERENCANAKAN DAN MENGATUR

Realisasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang
berbeda. Organisasi yang tepat serta infrastruktur teknologi harus menempatkan di tempat.
Domain ini biasanya membahas pertanyaan-pertanyaan manajemen berikut:

• Apakah itu dan strategi bisnis selaras?

• Apakah perusahaan mencapai mengoptimalkan penggunaan sumber daya?

• Apakah semua orang di dalam organisasi memahami tujuan itu?

• Apakah itu risiko dipahami dan dikelola?

• Apakah kualitas sistem IT cocok untuk kebutuhan bisnis?

MEMPEROLEH DAN MENERAPKAN

Untuk menyadari strategi TI, solusi IT harus diidentifikasi, dikembangkan atau diperoleh, serta
dilaksanakan dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan
sistem yang ada ditutupi oleh domain ini untuk memastikan solusi yang terus memenuhi tujuan
bisnis. Domain ini biasanya membahas pertanyaan-pertanyaan manajemen berikut:

• Apakah proyek-proyek baru cenderung memberikan solusi yang memenuhi kebutuhan

bisnis?

• Apakah proyek-proyek baru cenderung dikirimkan tepat waktu dan sesuai anggaran?

• Akan baru sistem bekerja dengan baik ketika dilaksanakan?

• Akan perubahan dibuat tanpa mengganggu operasi bisnis saat ini?

MEMBERIKAN DAN MENDUKUNG

Domain ini berkaitan dengan pengiriman sebenarnya diperlukan layanan, yang meliputi Jasa
pengiriman, manajemen keamanan dan kontinuitas, layanan dukungan untuk pengguna dan
manajemen data dan operasional dan fasilitas. Itu biasanya alamat pertanyaan manajemen
berikut:

• Apakah layanan TI yang disampaikan sesuai dengan prioritas bisnis?

• Apakah biayanya dioptimalkan?

• Apakah tenaga kerja dapat menggunakan sistem TI produktif dan aman?

• Apakah memadai kerahasiaan, integritas dan ketersediaan untuk keamanan informasi?

MEMANTAU DAN MENGEVALUASI

Semua proses perlu untuk secara teratur dinilai dari waktu ke waktu untuk kualitas dan
mematuhi persyaratan kontrol. Domain ini Alamat manajemen kinerja, pemantauan
pengendalian intern, kepatuhan terhadap peraturan dan pemerintahan. Itu biasanya alamat
pertanyaan manajemen berikut:

• Apakah kinerja diukur untuk mendeteksi masalah sebelum terlambat?

• Apakah manajemen memastikan bahwa pengendalian internal efektif dan efisien?

• Dapat itu kinerja terhubung kembali ke tujuan bisnis?

• Apakah kontrol kerahasiaan, integritas dan ketersediaan yang memadai untuk keamanan
informasi?

Berbasis kontrol

COBIT mendefinisikan tujuan pengendalian bagi semua proses 34, serta proses menyeluruh
dan kontrol aplikasi.

PROSES MEMBUTUHKAN KONTROL

Kontrol didefinisikan sebagai kebijakan, prosedur, praktek dan struktur organisasi yang
dirancang untuk memberikan jaminan yang wajar bahwa tujuan bisnis akan tercapai dan
peristiwa-peristiwa yang tidak diinginkan akan dicegah atau dideteksi dan dikoreksi.
Tujuan Kontrol IT yaitu menyediakan set lengkap tingkat tinggi persyaratan untuk
dipertimbangkan oleh manajemen untuk kontrol yang efektif dari masing-masing proses.
Mereka:

• Pernyataan manajerial tindakan untuk meningkatkan nilai atau mengurangi risiko;

• Terdiri dari kebijakan, prosedur, praktek dan struktur organisasi;

• Dirancang untuk memberikan jaminan yang wajar bahwa tujuan bisnis akan tercapai dan
peristiwa-peristiwa yang tidak diinginkan akan dicegah atau dideteksi dan dikoreksi.

Manajemen perusahaan perlu membuat pilihan relatif terhadap tujuan pengendalian ini :

• Memilih orang-orang yang ditetapkan;

• Memutuskan pada orang-orang yang akan diimplementasikan;

• Memilih cara melaksanakan mereka (frekuensi, span, otomatisasi, dll.);

• Menerima risiko tidak melaksanakan orang-orang yang mungkin ditetapkan.

(ERP MIKA HAL 546-552)

ENTERPRISE RESOURCE PLANNING SYSTEMS

ERP adalah paket software yang melibatkan banyak modul software yang berkembang
terutama dari sisitem tradisional Manufacturing Resource Planning (MRP II). Tujuan dari ERP
adalah untuk mengintegrasikan proses-proses kunci organisasi seperti order entry,
manufacturing, pembelian dan utang dagang, penggajian, dan sumber daya manusia. Dalam
model system informasi tradisional tiap departemen atau fungsi mempunyai system komputer
sendiri yang didesain untuk mengoptimalkan kinerjanya tiap departeman dan fungsi. ERP
menggabungkan semua ini menjadi satu system yang terintegrasi yang mengaskses satu
database sehingga memungkinkan sharing informasi dan meningkatkan komunikasi dalam
perusahaan.
Sistem Informasi Tradisional
Komunikasi yang tidak efektif antar system tradisional sering menyebabkan proses disain
system yang terbagi-bagi. Tiap sistem di disain untuk menylesaikan masalah operasional
spesifik daripada sebagai bagian dari stategi keseluruhan. Sistem ERP mendukung arus
informasi yang halus. Lintas organisasi dengan menyediakan lingkungan yang standar untuk
bisnis perusahaan dan database operasional umum yang mendukung operasi.

Aplikasi Inti (core Application) dari ERP

Berdasarkan fungsinya, ERP dibagi menjadi 2 kelompok umum yaitu core applications and
business analysis applications. Core applications adalah aplikasi yang mendukung oprasional
aktivitas sehari-hari pada bisnis. Core application tidak terbatas pada penjualan dan distribusi,
perencanaan bisnis, perencanaan produksi, pengendalian dasar perusahaan dan logistik.
core application juga dapat disebut aplikasi Online transaction processing(OLTP). Aplikasi ini
termasuk:

1. Fungsi Penjualan dan distribusi menangani order yang masuk dan menjadwal
pengiriman. termasuk memeriksa ketersediaan produk untuk memastikan pengiriman
yang tepat waktu dan memverifikasi batas kredit pelanggan. tidak seperti traditional
model, order pelanggan masuk dalam ERP hanya sekali.
2. Perencanaan bisnis terdiri dari perkiraan permintaan, perencanaan produksi produk,
dan detail arah informasi yang menjelaskan rangkaian dan tahapan dari proses yang
sedang berlangsung. Perencanaan kapasitas dan perencanaan produksi bisa sangat
 kompleks,oleh karena itu beberapa ERP menyediakan alat simulasi untuk membantu
manajer memutuskan bagaimana untuk menghindari kekurangan pada material,
tenaga kerja, atau fasilitas-fasilitas pabrik.sekali master production schedule selesai,
data masuk ke modul MRP ( Materials requirment planning), yang menyediakan tiga
bagian kunci pada informasi: laporan pengecualian, daftar material yang dibutuhkan,
daftar permintaan persediaan.
3. Pengendalian dasar perusahaan menyangkut jadwal produksi yang detail, pengiriman,
dan kegiatan penetapan biaya pekerja dihubungkan dengan proses produksi aktual.
4. Aplikasi logistik bertanggung jawab untuk meyakinkan pengiriman yang tepat waktu
kepada pelanggan.

OLAP (Online Analitycal Processing)

ERP adalah alat pendukung keputusan yang menyediakan manajemen informasi yang real-
time dan mengijinkan keputusan tepat waktu yang dibutuhkan untuk meningkatkan kinerja
dan mendapatkan keunggulan kompetitif. Online Analytical processing(OLAP) termasuk
pendukung keputusan, modeling, pengembalian informasi, pelaporan/analisis ad-hoc, dan
what-if analisis.

Konfigurasi Sistem ERP

1. Two Tier Model, pada two tier model, server menangani kedua tugas aplikasi dan database.
komputer klien bertanggung jawab untuk menyajikan data kepada pengguna dan menyalurkan
input pengguna kembali ke sever. bebrapa Vendor ERP menggunakan pendekatan ini pada
Local Area Network.
2. Three Tier Model, fungsi database dan aplikasi terpisah dalam three tier model. bentuk
ini khusus untuk sistem ERP yang luas dimana pengguan menggunakan wide area
network untuk berhubungan antar pengguna. awalnya, klien membangun komunikasi
dengan application server. kemudian application server memulai hubangan kedua ke
database server.

OLTP vs OLAP
Perbedaan OLTP dan OLAP dapat diringkas sebagai berikut. Aplikasi OLTP mendukung
tugas penting manajemen melalui Queri sedehana pada oprasional database. aplikasi OLAP
Mendukung tugas penting manajemen melalui pemeriksaan analisis pada gabungan data
yang kompleks yang didapat dari data warehouse.
OLAP server mendukung common analytical operation termasuk:
 Consolidation, adalah pengumpulan atau roll-up data.
 Drill-down, mengizinkan pengguna untuk melihat data sesuai pilihan tingkat
detail .
 Slicing and Dicing, memungkinkan pengguna untuk memeriksa data dari sudut
yang berbeda, sering dilaksanakan sepanjang waktu untuk menggambarkan tren
dan pola.
.