review cobit, togav dan zachman

Upload: lukman

Post on 10-Jul-2015

526 views

Category:

Documents


2 download

TRANSCRIPT

COBIT, ZACHMAN & TOGAF

DEFINISI & TEORI TENTANG SISTEM AUDIT TI COBIT, ZACHMAN & TOGAF

I.

COBIT (Control Objectives for Information and Related Technology).

I.1 Latar Belakang dan Sejarah Singkat COBIT (Isaca, p76) COBIT edisi keempat adalah merupakan versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait, release pertama diluncurkan oleh yayasan ISACF pada tahun 1996. COBIT edisi kedua, merefleksikan suatu peningkatan sejumlah dokumen sumber, revisi pada tingkat tinggi dan tujuan pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set), yang telah dipublikasikan pada tahun 1998. COBIT pada edisi ke tiga ditandai dengan masuknya penerbit utama baru COBIT yaitu Institut IT Governance. Institut IT Governance dibentuk oleh ISACA dan yayasan terkait pada tahun 1998 dan memberikan pemahaman lebih dan mengadopsi prinsip-prinsip pengaturan TI. Melalui penambahan pedoman manajemen (management guidelines) untuk COBIT edisi ketiga dan fokusnya diperluas dan ditingkatkan pada IT Governance. Institut IT Governance mengambil peranan yang penting dalam pengembangan publikasi. COBIT pada umumnya didasarkan pada tujuan pengendalian (Control Objectives) ISACF dan telah ditingkatkan dengan teknik internasional yang ada, professional, pengaturan, dan standar khusus industri. Hasil tujuan pengendalian telah dikembangkan untuk aplikasi sistem informasi yang luas pada organisasi. Istilah pada umumnya dapat diterima dan diterapkan secara eksplisit digunakan dalam pengertian yang sama dengan prinsip Generally Accepted Accounting Principles (GAAP). Komponen COBIT terdiri dari Executive Summary, Framework, Control Objectives, Audit Guidelines, Implemenation Tool Set, Management Guidelines.

I.2 Pengertian COBIT (weber, p57) COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance.

Page | 1

COBIT, ZACHMAN & TOGAF

Cobit dirancang sebagai alat penguasaan IT yang membantu dalam pemahaman dan memanage resiko, manfaat serta evaluasi yang berhubungan dengan IT. merupakan suatu kontrol atas kerangka kerja tata kelola TI dengan menjabarkan mengapa tata kelola TI dibutuhkan, siapa yang memberikan keputusan dan memonitornya, dan keputusan apa yang harus dibuat. COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool). COBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian dan keamanan. COBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen COBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT. Cobit merupakan standar Tata Kelola TI yang dikembangkan oleh IT Governance Institute (ITGI), yaitu sebuah organisasi yang melakukan studi tentang model Tata Kelola TI yang berbasis di Amerika Serikat. Berbeda dengan standar-standar Tata Kelola TI lainnya, COBIT mempunyai cakupan yang lebih luas, komprehensif, dan mendalam dalam melihat proses pengelolaan TI. Struktur COBIT terdiri dari ringkasan eksekutif (executive summary), kerangka kerja (framework) berorientasi proses bisnis yang mencakup seluruh akti_tas TI, pedoman manajemen (management guidelines), sasaran pengendalian rinci (detailed control objec-tives), pedoman audit (audit guidelines), dan kumpulan alat implementasi (implementation tool set). COBIT memungkinkan organisasi mengembangkan kebijakan yang jelas dan praktekpraktek terbaik (best practices) untuk pengendalian TI, COBIT dirancang sebagai tool Tata Kelola TI guna membantu manajemen dalam mengelola dan memahami resiko-resiko dan keuntungan-keuntungan yang berhubungan dengan informasi dan TI terkait . Dalam mendukung Tata Kelola TI, COBIT menyediakan suatu kerangka kerja (framework) yang memastikan bahwa TI telah diselaraskan dengan proses bisnis, sumber daya TI telah digunakan dengan bertanggung jawab, dan resiko-resiko TI telah ditangani dengan tepat. COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadayaPage | 2

COBIT, ZACHMAN & TOGAF

profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola paraprofesionaltersebut.

Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional. Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants (CPAs) dan Chartered Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley compliance.

Sertifikasi non COBIT yang merupakan pengakuan profesional auditor IT diterbitkan olehISACA, sebagai afiliasi ITGI yaitu Certified Information Systems Auditor (CISA)dan Certified Information Security Manager (CISM).

I.3 Misi dan Visi COBIT COBIT memiliki misi melakukan riset, mengembangkan, mempublikasikan, dan mempromosikan makalah-makalah, serta meng-update tatanan atau ketentuan TI controls objective yang dapat diterima umum (generally accepted control objectives) berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya. Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi informasi (Information Technology Governance).

I.4 Kerangka Kerja COBIT (Calder, p147) Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas (activities and tasks) yang diperlukan untuk mencapai hasil yang dapat diukur. Dalam Aktivitas terdapat konsep siklus hidup yang di dalamnya terdapat kebutuhan pengendalian khusus. Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas (activities and tasks) dengan keuntungan atauPage | 3

COBIT, ZACHMAN & TOGAF

perubahan (pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya dikelompokan bersama kedalam domain. Pengelompokan ini sering disebut sebagai tanggung jawab domain dalam struktur organisasi dan yang sejalan dengan siklus manajemen atau siklus hidup yang dapat diterapkan pada proses TI. Kerangka kerja COBIT merupakan kumpulan praktek-praktek terbaik (best practices) dan bersifat generik, digunakan sebagai acuan dalam menentukan sasaran kendali (control objectives) dan proses-proses TI yang diperlukan dalam pengelolaan TI. Konsep dasar dari kerangka kerja COBIT adalah bahwa kendali untuk TI didekati dengan melihat informasi yang dibutuhkan untuk mendukung sasaran dan kebutuhan proses bisnis, dan melihat informasi sebagai hasil perpaduan dari berbagai penggunaan sumber daya TI yang harus di kelola melalui proses TI. Untuk memastikan terpenuhinya kebutuhan proses bisnis akan informasi, maka kendali yang tepat untuk pengukuran harus dide_nisikan, diimplementasikan dan dipantau ke seluruh sumber daya-sumber daya tersebut. Kerangka kerja COBIT terdiri dari 3 level control objectives, dimulai dari level yang paling bawah yaitu activities. Activities merupakan kegiatan rutin yang memiliki konsep siklus hidup. Selanjutnya kumpulan activities dikelompokkan ke dalam proses TI (processes), kemudian proses-proses TI yang memiliki permasalahan yang sama dikelompokkan ke dalam domain (domains). konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu (1) kriteria informasi (information criteria), (2) sumberdaya TI (IT resources), (3) proses TI (IT processes).

Gambar 2.6 Kubus COBITPage | 4

COBIT, ZACHMAN & TOGAF

Dalam kerangka kerja sebelumnya, domain diidentifikasikan dengan memakai susunan manajemen yang akan digunakan dalam kegiatan harian organisasi. Kemudian empat domain yang lebih luas diidentifikasikan, yaitu PO, AI, DS, dan M. Definisi keempat domain tersebut, dimasukan dalam klasifikasi tingkat tinggi sebagai berikut : (a) PO, domain ini mencakup level strategis dan taktis, dan konsennya pada identifikasi cara TI yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis. (b) AI, untuk merealisasikan strategi TI, solusi TI yang perlu diidentifikasikan, dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam proses bisnis. (c) DS, domain ini menyangkut penyampaian aktual dari layanan yang diperlukan, dengan menyusun operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada pelatihan, domain ini termasuk proses data aktual melalui sistem aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi. (d) M, semua proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitas dan pemenuhan kebutuhan pengendalian. Domain ini mengarahkan kesalahan manajemen pada proses pengendalian organisasi dan penjaminan independen yang disediakan oleh audit internal dan eksternal atau diperolah dari sumber alternatif.

I.5 Keuntungan dan Kelemahan COBIT (Calder, p 180) COBIT memiliki criteria informasi yang baik, yakni: Efektif dan Efisiensi : Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar, onsisten, dan berguna. Rahasia : Proteksi terhadap informasi yang sensitive dari akses yang tidak bertanggung jawab. Integritas : Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi. Ketersediaan : Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan. Kepatuhan Nyata : Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen Kelemahan COBIT : apakah semua control objective dan detailed control objective harus diadopsi, ataukah sebagian saja? Bagaimana memilihnya?

Page | 5

COBIT, ZACHMAN & TOGAF

II.

ZACHMAN FRAMEWORK

II.1 Pengertian ZACHMAN FRAMEWORK Zachman Framework, dikeluarkan oleh Zachman Institut for Framework

Advancement (ZIFA) sebagai hasil pemikiran dari John Zachman. John Zachman mempublikasikan pendekatan yang berbeda untuk system development. Zachman Framework tidak menentukan dari mana aktifitas pengembangan aplikasi mulai dilakukan. Penggunaan asumsi dapat digunakan untuk menentukan kontrol terhadap ruang lingkup disain sistem. Untuk melakukan penegasan validasi asumsi, organisasi dapat menggunakan Zachman rows bersilangan dengan Zachman column untuk mendapatkan true drivers yaitu: 1. What, 2. How, 3. Where, 4. Who, 5. When, dan 6. Why. John Zachman mendefinisikan kolom dalam matriks untuk menggambarkan data, fungsi, lokasi (dimana bisnis berada), orang-orang yang seharusnya ada dan terlibat dalam organisasi, waktu untuk peristiwa yang terjadi, dan motivasi yang menentukan bagaimana bisnis berjalan. Kemudian, pada bagian baris digambarkan mengenai aspek-aspek development process yaitu: ruang lingkup, model bisnis, model sistem informasi, model teknologi, komponen model, dan sistem fungsi. Zachman Framework menggambarkan arsitektur organisasi secara umum dan menguraikannya sebagai enterprise system yang kompleks. Dalam dunia bisnis, organisasi akan dituntut untuk melakukan manajemen terhadap perubahan. Tujuan dari manajemen perubahan berhubungan dengan keunggulan bersaing antara organisasi dengan para pesaingnya. Zachman Framework diperkenalkan sebagai standar yang telah digunakan oleh organisasi-organisasi sukses dunia. Contohnya: Johnson and Johnson,Federal Express, Hewlett-Packard, Microsoft, dan lain-lain.

Page | 6

COBIT, ZACHMAN & TOGAF

Framework Zachman bukan sebuah metologi karena framework ini tidak menyebutkan metoda dan proses spesifik untuk mengumpulkan, mengelola dan

menggunakan informasi yang dituliskan pada framework tersebut. Framework Zachman lebih tepat digunakan sebagai sebuah alat untuk melakukan taksonomi pada pengelolaan artifak arsitektur (dokumen perancangan, spesifikasi dan model) yang mampu menunjukan siapa target artifak tersebut (misalnya pemilik bisnis, pengembang, dan lain-lain), dan isu utama apa yang terdapat pada artifak tersebut. Beberapa sumber literatur memperkenalkan implementasi Framework Zachman dalam berbagai hal, misalnya: Framework untuk mengorganisasi dan menganalisis data. Framework untuk arsitektur enterprise Sistem klasifikasi atau skema klasifikasi Matriks dalam bentuk 6x6. Model dua dimensi atau model analitis Baris-baris pada Framework mewakili tingkat abstraksi yang digunakan untuk melakukan analisis sistem. Scope (ruang lingkup): lapisan abstraksi paling tinggi, diwakili dari ide-ide dan konsep-konsep idealistis. Model enterprise menggambarkan tingkat konseptualitas, dimana pemodelan awal dilakukan untuk mendefinisikan konsep bisnis yang mengimplementasikan ruang lingkup. Model sistem adalah tingkat dimana obyek-obyek yang konseptual dirubah menjadi struktur-struktur logik . Model Teknologi mendefinisikan obyek secara fisik yang akan mewakili strukstruktur logik . Representasi detail, lapisan ini terdiri dari implementasi-implementasi penuh dari spesifikasi secara fisik untuk setiap kategori . Aktivitas utama pengelolaan data skala enterprise yang terdapat pada kolom-kolom framework adalah: Data merupakan perwujudan dari informasi. Function Hardware People TimePage | 7

COBIT, ZACHMAN & TOGAF

Motivation Setiap sel yang didefinisikan oleh interaksi dari tingkat abstraksi dengan lapisan aktivitas Enterprise, akan memiliki berbagai arti dan isi berdasarkan subyek framework yang digunakan.

II.2 Karakteristik Zachman Framework: a. Mengkategorikan deliverables dari EA b. Kegunaan EA yang terbatas c. Banyak diadopsi di seluruh dunia d. Perspektif view yang kurang menyeluruh e. Merupakan tool untuk perencanaan

Hal-hal yang perlu diperhatikan ketika menerapkan framework Zachman adalah : 1. Sudut pandang terhadap obyek, karena kita tidak mungkin menuliskan semua hal tentang enterprise dalam satu framework Zachman. 2. Pengisian terhadap setiap sel, yang harus konsisten dengan sudut pandang, sebab jika tidak konsisten maka framework Zachman akan menghasilkan pandangan yang bias terhadap kondisi di suatu perusahaan.

Page | 8

COBIT, ZACHMAN & TOGAF

Gambar Framework ZACHMAN

Berikut ini merupakan uraian matriks Enterprise Architecture Zachman Framework yang diimplementasikan di Fakultas Teknologi Informasi.

2.1 WHAT Objek : Data. Fokus : Hubungan antar entitas. Deskripsi : Kolom What menguraikan informasi organisasi yaitu: data. Data yang diuraikan merupakan data yang memiliki relasi dengan data lainnya. (contohnya: data kodepos yang menjadi bermanfaat ketika digunakan bersama dengan data alamat).

2.2 HOW Objek : Proses dan fungsi. Fokus : Pernyataan fungsi / Input dan Output Deskripsi : Kolom How disediakan untuk mendeskripsikan fungsionalitas dari sistem informasi. Bagaimana organisasi bekerja? Bagaimana memenuhi pesanan? Bagaimana mengelola tempat penyimpanan/ gudang? atau bagaimana data digunakan sebagai uraian proses input /output.

2.3 WHERE Objek : Jaringan Fokus : Nodes, Links

Page | 9

COBIT, ZACHMAN & TOGAF

Deskripsi : Kolom Where menunjukkan lokasi kerja dari organisasi. Memungkinkan organisasi berada di satu bangunan, beberapa kantor atau di sekeliling dunia. Jika semua lokasi organisasi saling terkoneksi maka diperlukan identifikasi terlebih dahulu.

2.4 WHO Objek : Sumber daya manusia. Fokus : Pekerjaan, peran dan tanggung jawab. Deskripsi : Kolom Who membahas mengenai alokasi sumber daya manusia serta struktur dan tanggung jawab dalam organisasi. Kolom Who menguraikan orang-orang dalam perusahaan dan pekerjaan (atau produk) kinerja pegawai.

2.5 WHEN Objek : Waktu. Fokus : Siklus waktu. Deskripsi : Kolom When digunakan untuk mendisain event-event yang memiliki relasi dalam membangun kriteria kinerja dan tingkat kualitatif untuk sumber daya organisasi.

2.6 WHY Objek : Motivasi. Fokus : Maksud dan tujuan organisasi. Deskripsi : Kolom Why menguraikan tentang motivasi, tujuan akhir yang ingin dicapai beserta strategi / metode yang digunakan organisasi.

Page | 10

COBIT, ZACHMAN & TOGAF

III. THE OPEN GROUP ARCHITECTURE TECHNIQUE (TOGAF)III.1 Pengertian The Open Group Architecture Technique (TOGAF) Adalah sebuah framework yang dikembangkan oleh The Open Groups Architecture Framework pada tahun 1995. Awalnya TOGAF digunakan oleh Departemen Pertahanan Amerika Serikat namun pada perkembangannya TOGAF banyak digunakan pada berbagai bidang seperti perbankan, industri manufaktur dan juga pendidikan. TOGAF ini digunakan untuk mengembangkan enterprise architecture, dimana terdapat metode dan tools yang detil untuk mengimplementasikannya, hal inilah yang membedakan dengan framework EA lain misalnya framework Zachman. Salah satu kelebihan menggunakan framework TOGAF ini adalah karena sifatnya yang fleksibel dan bersifat open source. TOGAF memberikan metode yang detil bagaimana membangun dan mengelola serta mengimplementasikan arsitektur enterprise dan sistem informasi yang disebut dengan Architecture Development Method (ADM) (Open Group, 2009).

TOGAF memandang enterprise architecture ke dalam empat kategori, Keempat kategori tersebut adalah: a. Business Architecture Mendeskripsikan tentang bagaimana proses bisnis untuk mencapai tujuan organisasi b. Application Architecture Merupakan pendeskripsian bagaimana aplikasi tertentu didesain dan bagaimana interaksinya dengan apikasi lainnya c. Data Architecture Adalah penggambaran bagaimana penyimpanan, pengelolaan dan pengaksesan data pada perusahaan d. Technical Architecture Gambaran mengenai infastruktur hardware dan software yang mendukung aplikasi dan bagaimana interaksinya. TOGAF secara umum memiliki struktur dan komponen sebagai berikut :Page | 11

COBIT, ZACHMAN & TOGAF

1.

Architecture Development Method (ADM) Merupakan bagian utama dari TOGAF

yang memberikan gambaran rinci bagaimana menentukan sebuah enterprise architecture secara spesifik berdasarkan kebutuhan bisnisnya. TOGAF ADM merupakan suatu metode yang komplek dan syarat dengan model yang bisa digunakan dalam proses pengembangan arsitektur. Dari beberapa penelitian yang sudah mencoba membandingkan metode arsitektur enterprise, lebih cendrung menyatakan bahwa TOGAF ADM adalah sebuah metode yang komplek (Zarvic dan Wieringa,2006). TOGAF ADM juga bisa digunakan untuk perencanaan arsitektur enterprise, perancangan, dan

pengembangan serta pengelolaan arsitektur sistem informasi organisasi (Yunis, 2006). Selain dari itu TOGAF ADM juga bisa diasosiasikan dengan framework atau metode lain,seperti Zachman Framework, COBIT dan lainnya (Open Group, 2009). Merupakan metode yang fleksibel yang dapat mengantifikasi berbagai macam teknik pemodelan yang digunakan dalam perancangan, karena metode ini bisa disesuaikan dengan perubahan dan kebutuhan selama perancangan dilakukan. Architecture Development Method (ADM) merupakan metodologi lojik dari TOGAF yang terdiri dari delapan fase utama untuk pengembangan dan pemeliharaan technical architecture dari organisasi. ADM membentuk sebuah siklus yang iteratif untuk keseluruhan proses, antar fase, dan dalam tiap fase di mana pada tiap-tiap iterasi keputusan baru harus diambil. Keputusan tersebut dimaksudkan untuk menentukan luas cakupan enterprise, level kerincian, target waktu yang ingin dicapai dan asset arsitektural yang akan digali dalam enterprise continuum. ADM merupakan metode yang umum sehingga jika diperlukan pada prakteknya ADM dapat disesuaikan dengan kebutuhan spesifik tertentu,misalnya digabungkan dengan framework yang lain sehingga ADM menghasilkan arsitektur yang spesifik terhadap organisasi.

2. Foundation Architecture (Enterprise Continuum) Foundation Architecture merupakan sebuah framework-within-a-framework dimana didalamnya tersedia gambaran hubungan untuk pengumpulan arsitektur yang relevan, juga

Page | 12

COBIT, ZACHMAN & TOGAF

menyediakan bantuan petunjuk pada saat terjadinya perpindahan abstraksi level yang berbeda. Foundation Architecture dapat dikumpulkan melalui ADM. Terdapat tiga bagian pada foundation architecture yaitu Technical Reference Model,Standard Information dan Building Block Information Base 3. Resource Base Pada bagian ini terdapat informasi mengenai guidelines, templates, checklists, latar belakang informasi dan detil material pendukung yang membantu arsitek didalam penggunaan ADM.

Gambar TOGAF FRAMEWORK

Page | 13

COBIT, ZACHMAN & TOGAF

Page | 14