Track: Keduanya (K). Untuk Direksi/Manajer dan Praktisi TI.
COBIT 2019 memuat 40 governance dan management objectives yang tersebar di 5 domain. Tidak semua objectives sama relevannya untuk perusahaan utilitas air. Tabel ini memetakan objectives yang paling relevan ke konteks operasional BUMD air minum (PDAM/PDAB) di Indonesia.
Prinsip Seleksi
Pemilihan berdasarkan tiga kriteria:
- Dampak ke layanan publik air - apakah kegagalan area ini menyebabkan gangguan layanan?
- Tekanan regulasi - apakah area ini diatur eksplisit oleh SPBE, UU PDP, UU ITE, atau regulasi sektoral PUPR/Kemendagri?
- Realitas sumber daya - apakah area ini dapat dijangkau dengan tim TI tipikal 8 sampai 18 orang?
Domain EDM - Evaluate, Direct, Monitor
Domain governance yang menjadi tanggung jawab Direksi dan Dewan Pengawas.
Tabel TK1.1 Domain EDM - Evaluate, Direct, Monitor
| COBIT Objective | Konteks Utilitas Air | Bukti Audit Tipikal |
|---|---|---|
| EDM01 Memastikan kerangka tata kelola TI | Adanya komite pengarah TI lintas direktorat; SK pengangkatan; rapat berkala terdokumentasi | SK komite, notulen, agenda berkala |
| EDM02 Memastikan penyerahan manfaat | Setiap proyek TI > Rp 500 juta memiliki business case dengan ROI/benefit tertentu | Dokumen business case, post-implementation review |
| EDM03 Memastikan optimalisasi risiko | Risk register TI di-review minimum kuartalan oleh komite | Risk register, notulen review |
| EDM04 Memastikan optimalisasi sumber daya | Daftar aset TI lengkap, kapasitas tim dipetakan, anggaran TI proporsional dengan ekspektasi | Aset register, struktur organisasi TI, anggaran |
| EDM05 Memastikan transparansi stakeholder | Pelaporan kinerja TI ke Direksi, Dewan Pengawas, dan Pemda (sebagai pemegang saham) | Laporan triwulanan/tahunan TI |
Domain APO - Align, Plan, Organize
Domain management untuk strategi dan perencanaan TI.
Tabel TK1.2 Domain APO - Align, Plan, Organize
| COBIT Objective | Konteks Utilitas Air | Bukti Audit Tipikal |
|---|---|---|
| APO01 Mengelola kerangka manajemen TI | Adanya kebijakan tata kelola TI tertulis dan disetujui Direksi | Dokumen kebijakan, tanggal pengesahan |
| APO03 Mengelola arsitektur enterprise | Application portfolio terdokumentasi (billing, SCADA, GIS, ESDM permit, dll) | Diagram arsitektur, daftar aplikasi |
| APO07 Mengelola sumber daya manusia | Pemetaan kompetensi tim TI, rencana suksesi, training plan | Skill matrix, training record |
| APO12 Mengelola risiko | Risk register TI per domain (operasional, keamanan, kepatuhan) | Risk register, risk treatment plan |
| APO13 Mengelola keamanan | Kebijakan keamanan informasi, Information Security Management System | Kebijakan, sertifikasi (jika ada), audit log |
| APO14 Mengelola data | Klasifikasi data (data pelanggan = sensitif, data operasional = internal), kebijakan retensi | Data classification matrix, retention policy |
Domain BAI - Build, Acquire, Implement
Domain untuk implementasi proyek dan perubahan.
Tabel TK1.3 Domain BAI - Build, Acquire, Implement
| COBIT Objective | Konteks Utilitas Air | Bukti Audit Tipikal |
|---|---|---|
| BAI01 Mengelola program dan proyek | Setiap proyek TI mengikuti project lifecycle dengan gate review | Project charter, gate review minutes |
| BAI03 Mengelola identifikasi solusi | Setiap inisiatif baru melewati solution assessment (build, buy, atau partnership) | Solution comparison matrix |
| BAI06 Mengelola perubahan TI | Change advisory board untuk perubahan sistem produksi (terutama SCADA, billing) | CAB minutes, change request log |
| BAI09 Mengelola aset | Aset register lengkap dengan asset tagging, lokasi, owner, kondisi | Asset register dengan audit trail |
| BAI10 Mengelola konfigurasi | Configuration Management Database untuk infrastruktur kritis | CMDB, configuration baseline |
Domain DSS - Deliver, Service, Support
Domain untuk operasional layanan TI sehari-hari.
Tabel TK1.4 Domain DSS - Deliver, Service, Support
| COBIT Objective | Konteks Utilitas Air | Bukti Audit Tipikal |
|---|---|---|
| DSS01 Mengelola operasi | Service Operations dengan SLA terukur untuk sistem core | SLA dokumen, monitoring dashboard |
| DSS02 Mengelola permintaan layanan dan insiden | Service desk dengan ticketing system; MTTR/MTBF terlacak | Ticket database, incident report |
| DSS03 Mengelola masalah | Problem management untuk insiden berulang | RCA dokumen, problem record |
| DSS04 Mengelola kelangsungan | Business Continuity Plan dan Disaster Recovery Plan yang diuji minimal tahunan | BCP/DRP dokumen, DR test report |
| DSS05 Mengelola layanan keamanan | Security operations: log monitoring, vulnerability management, patch management | Security event log, vuln scan report |
Domain MEA - Monitor, Evaluate, Assess
Domain untuk pengawasan, audit, dan kepatuhan.
Tabel TK1.5 Domain MEA - Monitor, Evaluate, Assess
| COBIT Objective | Konteks Utilitas Air | Bukti Audit Tipikal |
|---|---|---|
| MEA01 Memantau kinerja dan kepatuhan | Performance dashboard TI: SLA, uptime, ticket KPI | Dashboard, laporan bulanan |
| MEA02 Memantau sistem pengendalian internal | Control self-assessment tahunan; audit internal TI | CSA report, audit internal TI |
| MEA03 Memantau kepatuhan regulasi | Mapping regulasi (SPBE, PDP, ITE, sektoral) ke kontrol; review kepatuhan berkala | Compliance matrix, kepatuhan review |
Prioritas Implementasi (Roadmap 18 Bulan)
Untuk perusahaan yang memulai dari maturity rendah (level 1 sampai 2), urutan implementasi yang disarankan:
Bulan 1 sampai 3: EDM01 (kerangka tata kelola), APO12 (risk register awal), MEA03 (mapping kepatuhan).
Bulan 4 sampai 9: APO01 (kebijakan TI), APO13 (keamanan dasar), BAI06 (change management), DSS02 (service desk dasar), DSS04 (BCP/DRP awal).
Bulan 10 sampai 18: APO14 (data management), BAI09 (asset register), DSS05 (security operations), MEA01 (dashboard kinerja).
Sisanya (EDM02, EDM05, APO03, APO07, BAI01, BAI03, BAI10, DSS01, DSS03, MEA02) dapat diimplementasi paralel atau di fase berikutnya tergantung prioritas organisasi.
Catatan akses: COBIT 2019 framework dokumentasinya berbayar di ISACA (ISACA member discount tersedia). Acuan ringkasan publik tersedia di halaman resmi ISACA. Padanan Indonesia governance objectives di tabel di atas adalah interpretasi penulis, bukan terjemahan resmi.
Disclaimer: Pemetaan ini bersifat ilustratif dan harus disesuaikan dengan kondisi unik setiap organisasi. Bukan substitusi untuk konsultasi profesional atau audit oleh pihak independen.