-IT GOVERNANCE-
COBIT (Control Objectives for Information and Related Technology) merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1992. COBIT Framework merupakan standar kontrol yang umum di dunia teknologi informasi, dengan memberikan kerangka kerja dan kontrol terhadap teknologi informasi yang dapat diterima dan diterapkan secara internasional.
COBIT dirancang untuk digunakan oleh tiga pengguna berbeda yaitu :
1. Manajemen
Dengan penerapan COBIT, manajemen dapat terbantu dalam proses penyeimbangan resiko dan pengendalian investasi dalam lingkungan IT yang tidak dapat diprediksi.
2. Pengguna
Pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
3. Auditor
Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.
COBIT berorientasi proses dan dijadikan standar panduan untuk mengelola organisasi atau perusahaan dalam mencapai tujuannya dengan memanfaatkan IT. Adapun aspek yang mendasari COBIT adalah kebutuhan bisnis (Business Requierement), sumber daya TI (IT Resources), Proses TI (IT Processes), dan Kriteria Informasi (Information). Masing-masing aspek saling berhubungan dan terkait satu sama lain seperti gambar berikut:
1. Kebutuhan bisnis suatu organisasi atau perusahaan harus memenuhi kebutuhan akan informasi dalam hal kualitas (quality), kepercayaan (fiduciary) dan keamanan (security) yang diuraikan pada kriteria informasi sesuai COBIT sebagai berikut:
a. Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.
b. Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.
c. Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.
d. Integrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.
e. Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.
f. Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.
g. Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.
2. Sumber daya TI dalam COBIT dapat dijabarkan sebagai berikut :
a. Data. obyek-obyek dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.
b. Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram.
c. Teknologi, mencakup hardware, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan lain- lain.
d. Fasilitas, semua sumber daya untuk menyimpan dan mendukung system informasi.
e. Manusia, termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan, mengorganisasikan atau melaksanakan, memperoleh, menyampaikan, mendukung dan memantau layanan sistem informasi.
3. Proses TI terdiri dari tiga segmen, yaitu domain, proses, dan aktivitas.
COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam empat buah domain proses, meliputi :
a. Plan and Organise (10 proses)
Meliputi strategi dan taktik yang berkaitan dengan identifikasi pemanfaatan IT yang dapat memberikan kontribusi dalam pencapaian tujuan bisnis.
Proses dalam domain ini adalah :
· Menetapkan rencana strategis TI
· Menetapkan susunan informasi
· Menetapkan kebijakan teknologi
· Menetapkan hubungan dan organisasi TI
· Mengelola investasi IT
· Mengkomunikasikan arah dan tujuan manajemen
· Mengelola sumberdaya manusia
b. Acquire and Implement (7 proses)
Merupakan domain proses yang merealisasikan strategi IT, serta solusi – solusi IT yang diperlukan untuk diterapkan pada proses bisnis organisasi. Pada domain ini pula dilakukan pengelolaan perubahan terhadap sistem eksisting untuk menjamin proses yang berkesinambungan.
Langkah – langkah domain ini adalah :
· Mengidentifikasi solusi terotomatisasi
· Mendapatkan dan memelihara software aplikasi
· Mendapatkan dan memelihara infrastruktur teknologi
· Mengembangkan dan memelihara prosedur
· Memasang dan mengakui sistem
· Mengelola perubahan
c. Delivery and Support (13 proses)
Domain ini berfokus utama pada aspek penyampaian atau pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi – aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu atau masalah keamanan dan juga pelatihan.
Proses dalam domain ini adalah :
· Menetapkan dan mengelola tingkat pelayanan
· Mengelola pelayanan kepada pihak lain
· Mengelola kinerja dan kapasitas
· Memastikan pelayanan yang kontinyu
· Memastikan keamanan sistem
d. Monitor and Evaluate (4 proses)
Merupakan domain yang memberikan pandangan bagi pihak manejemen berkaitan dengan kualitas dan kepatuhan dari proses yang berlangsung dengan kendali-kendali yang diisyaratkan.
Proses dalam domain ini sebagai berikut :
· Memonitor proses
· Menaksir kecukupan pengendalian internal
· Mendapatkan kepastian yang independen
-RISK MANAGEMENT-
Pada COBIT, secara khusus dibahas mengenai manajemen resiko pada proses PO9
Resiko adalah segala hal yang mungkin berdampak pada kemampuan organisasi dalam mencapai tujuannya. Framework manajemen resiko TI dengan menggunakan COBIT terdiri dari :
1. Penetapan Objektif
Kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objektif TI.
2. Identifikasi Resiko
Identifikasi resiko merupakan proses untuk mengetahui resiko. Sumber resiko bisa berasal dari :
• Manusia, proses dan teknologi
• Internal (dari dalam perusahaan) dan eksternal(dari luar perusahaan)
• Bencana (hazard), ketidakpastian (uncertainty) dan kesempatan (opportunity).
Dari ketiga sumber resiko tersebut dapat diketahui kejadian-kejadian yang dapat mengganggu perusahaan dalam mencapai objektifnya.
3. Penilaian Resiko
Penilaian resiko merupakan proses untuk menilai seberapa sering resiko terjadi atau seberapa besar dampak dari resiko. Dampak resiko terhadap bisnis (business impact) bisa berupa : dampak terhadap financial, menurunnya reputasi disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan aset yang dapat dinilai (sistem dan data), dan penundaan proses pengambilan keputusan.
Sedangkan kecenderungan (likelihood) terjadinya resiko dapat disebabkan oleh sifat alami dari bisnis, struktur dan budaya organisasi, sifat alami dari sistem (tertutup atau terbuka, teknologi baru dan lama), dan kendali-kendali yang ada. Proses penilaian resiko bisa berupa resiko yang tidak dapat dipisahkan (inherent risks) dan sisa resiko (residual risks).
4. Respon Resiko
Untuk melakukan respon terhadap resiko adalah dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen resiko. Jika sisa resiko masih melebihi resiko yang dapat diterima (acceptable risks), maka diperlukan respon resiko tambahan. Proses-proses pada framework COBIT (dari 34 Control Objectives) yang sesuai untuk manajemen resiko adalah :
• PO1 (Define a Stretegic IT Plan) dan PO9 (Assess and Manage Risks)
• AI6 (Manages Change)
• DS5 (Ensure System and Security) dan DS11 (Manage Data)
• ME1 (Monitor and Evaluate IT Performance)
5. Monitor Resiko
Setiap langkah dimonitor untuk menjamin bahwa resiko dan respon berjalan sepanjang waktu.
1. Teknik audit berbantuan computer (Computer Assisted Audit Techniques/CAAT)
yang terdiri atas Auditing Around the Computer, dimana dengan teknik ini auditor menguji reliability dari computer generated information dengan terlebih dahulu menghitung hasil yang diinginkan dari transaksi yang dimasukkan dalam system, dan kemudian membandingkan hasil perhitungan dengan hasil proses atau output. Jika terbukti akurat dan valid, maka diasumsikan bahwa system pengendalian berfungsi seperti yang seharusnya. Kondisi ini cocok jika system aplikasi otomasi sederhana dan ringkas. Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan software akuntansi yang bervariasi dan melakukan proses secara periodic.
2. Auditing With the Computer
adalah auditing dengan pendekatan computer, menggunakan teknik yang bervariasi yang biasa juga disebut Computer Assisted Audit Technique (CAAT). Penggunaan CAAT telah meningkatkan secara dramatis kapabilitas dan efektifitas auditor, dalam melakukan susbstantif test. Salah satu CAAT yang lazim dipakai adalah general audit software (GAS). GAS sering dipakai untuk melakukan substantive test dan digunakan test of control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes fungsi algoritma yang komplek dalam program computer. Tetapi ini memerlukan pengalaman yang luas dalam penggunaan software ini.
3. Audit Through the Computer
yang merupakan teknik focus pada testing tahapan pemrosesan computerised, logic program, edit routines dan program controls. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dikembangkan dengan baik, dan memenuhi edit routines dan programme check yang memadai, maka error dan kecurangan tidak akan mudah terjadi tanpa terdeteksi.
Langkah dasar Audit SI
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:
Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak.
Tetapkan langkah-langkah audit yang rinci.
Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
Telaah apakah tujuan audit tercapai.
Sampaikan laporan kepada pihak yang berkepentingan.
Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.
PENJELASAN AUDIT IT PADA DOMAIN EDM, APO, BAI, DSS, MEA
1. EDM (Evaluate, Direct, and Monitor)
Proses tata kelola ini berurusan dengan tujuan tata pemangku kepentingan dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada TI dan pemantauan hasilnya. Berikut domain proses EDM:
a) EDM01 Ensure Governance Framework Setting and Maintenance (Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola)
b) EDM02 Ensure Benefits Delivery (Memastikan Memberi Manfaat)
c) EDM03 Ensure Risk Optimisation (Memastikan Pengoptimalan Risiko)
d) EDM04 Ensure Resource Optimisation (Memastikan Pengoptimalan Sumber Daya)
e) EDM05 Ensure Stakeholder Transparency (Memastikan Transparansi Pemangku Kepentingan)
2. APO (Align, Plan, and Organise)
Memberikan arah untuk pengiriman solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan mengidentifikasi kekhawatiran cara terbaik TI agar dapat berkontribusi pada pencapaian tujuan bisnis. Realisasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi yang tepat, serta infrastruktur teknologi, harus dimasukkan ke dalam tempatnya. Berikut domain proses APO:
a) APO01 Manage The IT Management Framework (Mengelola Kerangka Manajemen TI)
b) APO02 Manage Strategy (Mengelola Strategi)
c) APO03 Manage Enterprise Architecture (Mengelola Arsitektur Bisnis)APO04 Manage Innovation (Mengelola Perubahan)
d) APO05 Manage Portfolio (Mengelola Dokumen)
e) APO06 Manage Budget and Costs (Mengelola Anggaran dan Biaya)
f) APO07 Manage Human Resources (Mengelola Sumber Daya Manusia)
g) APO08 Manage Relationships (Mengelola Relasi)
h) APO09 Manage Service Agreements (Mengelola Perjanjian Layanan)
i) APO10 Manage Suppliers (Mengelola Pemasok)
j) APO11 Manage Quality (Mengelola Kualitas)
k) APO12 Manage Risk (Mengelola Risiko)
l) APO13 Manage Security (Mengelola Keamanan)
3. BAI (Build, Acquire, and Implement)
Memberikan solusi dan melewatinya sehingga akan berubah menjadi layanan. Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan terintegrasi ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga dicakup oleh domain ini, untuk memastikan bahwa solusi terus memenuhi tujuan bisnis. Berikut domain proses BAI:
a) BAI01 Manage Programmes and Project (Mengelola Program Dan Proyek)
b) BAI02 Manage Requirements Definition (Mengelola Definisi Persyaratan)
c) BAI03 Manage Solutions Identification and Build (Mengelola Identifikasi Solusi dan Pembangunan)
d) BAI04 Manage Availability and Capacity (Mengelola Ketersediaan dan Kapasitas)
e) BAI05 Manage Organisational Change Enablement (Mengelola Pemberdayaan Organisasi Perubahan)
f) BAI06 Manage Changes (Mengelola Perubahan)
g) BAI07 Manage Change Acceptance and Transitioning (Mengelola Penerimaan Perubahan dan Transisi)
h) BAI08 Manage Knowledge (Mengelola Pengetahuan)
i) BAI09 Manage Assets (Mengelola Kepemilikan)
j) BAI10 Manage Configuration (Mengelola Susunan)
4. DSS (Deliver, Service, and Support)
Menerima solusi dan dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan pengiriman aktual dan dukungan layanan yang dibutuhkan, yang meliputi pelayanan, pengelolaan keamanan dan kelangsungan, dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional. Berikut domain proses DSS:
a) DSS01 Manage Operations (Mengelola Operasi)
b) DSS02 Manage Service Requests and Incidents (Mengelola Layanan Permohonan dan Kecelakaan)
c) DSS03 Manage Problems (Mengelola Masalah)
d) DSS04 Manage Continuity (Mengelola Keberlangsungan)
e) DSS05 Manage Security Services (Mengelola Jasa Keamanan)
f) DSS06 Manage Business Process Controls (Mengelola Kontrol Proses Bisnis)
5. MEA (Monitor, Evaluate, and Assess)
Monitor semua proses untuk memastikan bahwa arah yang disediakan diikuti. Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhan mereka. Domain ini tertuju pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola. Berikut domain proses MEA:
a) MEA01 Monitor, Evaluate and Assess Performance and Conformance (Memantau, Evaluasi dan Menilai Kinerja Dan Penyesuaian)
b) MEA02 Monitor, Evaluate and Assess The System of Internal Control (Memantau, Evaluasi dan Menilai Sistem Pengendalian Internal)
c) MEA03 Monitor, Evaluate and Assess Compliance with External Requirements (Memantau, Evaluasi dan Menilai Kepatuhan dengan Persyaratan Eksternal)
Sumber:
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-An-International-Source-For-Information-Technology-Controls.aspx
https://www.researchgate.net/publication/323186666_COBIT_5_UNTUK_MANAJEMEN_TEKNOLOGI_INFORMASI_PROSES_BISNIS_PERUSAHAAN/link/5a8540ffaca272c99ac41a31/download
https://gisagisni.wordpress.com/2014/03/25/control-objective-for-information-and-related-technology-cobit/
http://cobitindo.blogspot.com/2013/04/it-risk-management-framework-by-cobit.html
https://donniejunior21.wordpress.com/2015/11/27/it-audit/
Tidak ada komentar:
Posting Komentar