Penerapan dan Pemanfaatan Empat Domain COBIT pada Proses Audit Sistem Informasi

-

COBIT (Control Objective for Information and related Technology)  adalah suatu panduan standar praktik manajemen teknologi informasi. COBIT dirancang sebagai alat penguasaan teknologi informasi yang membantu dalam pemahaman dan memanage resiko, manfaat serta evaluasi yang berhubungan dengan teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.0 merupakanversi terbaru. Disusun oleh  Information Systems Audit and Control Foundation (ISACF®) pada tahun 1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information Technology Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada tahun 2007.

COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework audit sistem informasi karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.

Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional. Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants (CPAs) dan Chartered Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley compliance. Sertifikasi non COBIT yang merupakan pengakuan profesional auditor IT diterbitkan olehISACA, sebagai afiliasi ITGI yaitu Certified Information Systems Auditor (CISA®)dan Certified Information Security Manager® (CISM®)[1].
Tujuan utama COBIT adalah memberikan kebijaksanaan yang jelas dan latihan yang bagus bagi IT Governance bagi organisasi di seluruh dunia untuk membantu manajemen senior untuk memahami dan mengatur resiko-resiko yang berhubungan dengan TI.  COBIT melakukannya dengan menyediakan kerangka kerja IT Governance dan petunjuk control objective yang rinci bagi manajemen, pemilik proses bisnis, pemakai dan auditor. Ada beberapa istilah di dalam COBIT antara lain COBIT Vision yaitu sebagai model untuk penguasaan IT serta Cobit Mission untuk melakukan penelitian, pengembangan, publikasi dan promosi terhadap control objective dari teknologi informasi yang secara umum diterima di lingkungan internasional untuk pemakaian sehari-hari oleh manager dan auditor [2]. 

COBIT dikenal sebagai best practice dalam membangun framework kontrol dan IT audit baik diadopsi sebagian maupun seluruhnya. 56% responden perusahaan di Indonesia mengatakan bahwa COBIT merupakan standard yang digunakan untuk melakukan audit IT Governance. Alasan utama perusahaan dalam penggunaan COBIT antara lain untuk perencanaan audit dan pengembangan program audit, memvalidasi kontrol-kontrol IT, mengevaluasi resiko – resiko IT, mengurangi resiko – resiko IT, serta sebagai framework untuk meningkatkan kinerja IT. Sekitar 30% COBIT digunakan hanya sebagai referensi, 40% digunakan sebagai pedoman umum, 42% sebagai sebagian dari framework kontrol dan IT audit, 11% digunakan sebagai framework control, dan IT audit secara keseluruhan, 3% diadopsi sebagai kebijakan perusahaan[3].

COBIT adalah kerangka IT Governance yang ditujukan kepada manajemen, staf pelayanan TI, control department, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis (business process owners). Untuk memastikan confidenciality, integrity, dan availability data serta sensitifitas dan kritikal informasi.

Konsep dasar kerangka kerja COBIT adalah bahwa penentuan kendali dalam TI berdasarkan informasi yang dibutuhkan untuk mendukung tujuan bisnis dan informasi yang dihasilkan dari gabungan penerapan proses TI dan sumber daya terkait. Dalam penerapan pengelolaan TI terdapat dua jenis model kendali yaitu model kendali bisnis (business controls model) dan model kendali TO (IT focused control model), COBIT mencoba untuk menjembatani kesenjangan dari kedua jenis model tersebut. Pada dasarnya kerangka kerja COBIT terdiri dari tiga tingkat control objectives, yaitu activities dan task, process, serta domains. Activities dan task merupakan kegiatan rutin yang memiliki konsep daur hidup, sedangkan task merupakan kegiatan yang dilakukan secara terpisah. Selanjutnya kumpulan activity dan task ini dikelompokkan dalam proses TI yang memiliki permasalahan pengelolaan TI yang sama dikelompokkan ke dalam domains[4].

Gambar 1 Kerangka Kerja COBIT[5]

Dalam Gambar 1 dijelaskan kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni Control Objectives yang merupakan rancangan yang terdiri dari 34 high level control objectives yang menggambarkan proses TI yang terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang tercermin dalam 4 domain, yaitu planning and organization , acquisition and implementation , delivery and support , serta monitoring and evaluate.  Selain itu terdapat pula Audit Guidelines yang berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan atau saran perbaikan. Management Guidelines sangat penting pula dalam kerangka ini karena berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan seperti sejauh mana TI harus bergerak, apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya, apa saja indikator untuk suatu kinerja yang bagus, apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors), apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan, bagaimana dengan perusahaan lainnya – apa yang mereka lakukan, serta bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya. Selain kerangka kerja dibutuhkan pula suatu framework sebagai patokan audit dengan standar COBIT yang terdapat di dalam Gambar 2.
Gambar 2 Framework COBIT[5]

Pada Gambar 2 menjelaskan framework COBIT yang terdiri atas empat tujuan pengendalian tingkat-tinggi (high-level control objectives) yang tercermin dalam empat domain, yaitu planning and organization , acquisition and implementation , delivery and support , serta IT monitoring.

Planning and Organization (PO) mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula. Domain PO terdiri dari 11 control objectives, yaitu define a strategic information technology plan(PO1), define the information architecture(PO2), determine the technological direction(PO3), define the IT organisation and relationships(PO4), manage the investment in information technology(PO5), communicate management aims and direction(PO6), manage human resources(PO7), ensure compliance with external requirements(PO8), assess risks(PO9), manage project(PO10), dan manage quality(PO11).

Acquisition and Implementation yaitu identifikasi solusi TI dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis untuk mewujudkan strategi TI.  Domain ini terdiri 6 control objectives, yaitu identify automated solutions(AI1),  acquire and maintain application software(AI2), acquire and maintain technology infrastructure(AI3), develop and maintain IT procedures(AI4), install and accredit systems(AI5), dan manage changes(AI6).

Sedangkan Delivery and Support berisi domain yang berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan pengadaan training. Domain DS terdiri dari 13 control objectives, yaitu define and manage service levels(DS1), manage third-party services(DS2), manage performance and capacity(DS3), ensure continuous service(DS4), ensure systems security(DS5), identify and allocate costs(DS6), educate and train users(DS7), assist and advise customers(DS8), manage the configuration(DS9), manage problems and incidents(DS10), manage data(DS11), manage facilities(DS12), dan manage operations(DS13).

Domain yang terakhir yaitu monitoring adalah domain yang menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan pada setiap proses TI harus diawasi dan dinilai kelayaknnya secara berkala. Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal dan eksternal. Berikut proses-proses TI pada domain monitoring and evaluate adalah monitor the process(M1), assess internal control adequacy(M2), obtain independent assurance(M3), serta provide for independent audit(M4)[5].


Reference:

  • [1] Governance, IT. 2007. COBIT 4.0. Chicago : IT Governance Institute. 
  • [2] Vision, Sharing. 2007. IT Audit Guideline Based on Cobit 4.1. http://www.sharingvision.biz (diakses tanggal 10 Desember 2011).
  • [3] Isaca. 2002. COBIT 3rd Edition Usage Survey: Growing Acceptance of COBIT. http://www.isaca.org (diakses tanggal 10 Desember 2011).
  • [4] Fletcher, Matthew. 2006. Five Domains of Information Technology Governance for Consideration by Boards of Directors. Portland : Information Management Program University of Oregon.
  • [5] Guide, IT Assurance. 2007. Using COBIT. Chicago : IT Governance Institute. 
  • [6] Prabowo, H. 1996. Pengantar Antropologi : Seri Diktat Kuliah. Depok : Uniersitas Gunadarma.
  • [7] Poerwandari, E.K. 1998. Pendekatan Kualitatif dalam Penelitian Psikologi. Jakarta : Fakultas Psikologi Universitas Indonesia. 
  • [8] Alwi, Hasan dkk. 2000. Tata Bahasa Baku Indonesia Edisi III. Jakarta : Balai Pustaka.
  • [9] Yin, RK. 2003. Case study research: Design and methods (3rd ed.). Thousand Oaks, CA : Sage. 


Comments

Post a Comment

Popular posts from this blog

Knowledge Management

-
Image
1.   Definisi Knowledge Knowledge semakin diakui sebagai keharusan strategis baru dalam organisasi, paradigma bahwa knowledge adalah kekuatan , aset organisasi, oleh karena itu, kita harus mengelola, menyimpannya, mempertahankan untuk meningkatkan keuntungan. Saat ini ada paradigma baru dari perspektif organisasi,  knowledge harus dibagi dalam rangka untuk tumbuh. Telah terbukti bahwa organisasi yang berbagi knowledge antara manajemen dan staf, organisasi tumbuh lebih kuat dan menjadi lebih kompetitif, ini adalah inti dari knowledge management (Filemon, 2008). Knowledge menurut Filemon (2008) Ketika informasi diproses lebih lanjut, ia memiliki potensi untuk menjadi pengetahuan ( knowledge ), informasi diproses lebih lanjut ketika seseorang menemukan pola hubungan yang ada antara data dan informasi, dan ketika seseorang mampu menyadari dan memahami pola dan implikasinya, maka koleksi data dan informasi menjadi pengetahuan ( knowledge ). Tapi knowledge tidak sekedar informasi ya
Read more

Independensi dan Profesionalisme Auditor Internal vs Auditor Eksternal

-
Independen dan profesionalisme menjadi syarat utama bagi orang yang bekerja sebagai auditor eksternal ataupun auditor internal, gambaran seseorang yang professional dalam profesi dicerminkan kedalam lima hal, yaitu: pengabdian pada profesi, kewajiban sosial, kemandirian, keyakinan terhadap profesi, dan hubungan dengan sesama profesi, auditor eksternal dan auditor internal yang memiliki pandangan profesionalisme yang tinggi akan memberikan kontribusi yang dapat dipercaya oleh para pengambil keputusan, tulisan ini bertujuan untuk mengetahui sejauh mana independensi dan profesionalisme auditor Internal dan auditor eksternal dalam menjalankan tugas sebagai seorang auditor. Pendahuluan Tulisan ini mengangkat isu bahwa auditor eksternal dan auditor internal yang memiliki pandangan profesionalisme dan indepedensi yang tinggi akan memberikan kontribusi yang dapat dipercaya oleh para pengambil keputusan. Pemeriksaan atas laporan keuangan sangat diperlukan, terutama bagi perusahaan berbad
Read more