Final result website e comme
DAFTAR ISI
BAB 1 ― PENDAHULUAN
Latar Belakang
2
Tujuan dan Manfaat 3
Tujuan Penulisan
3
Manfaat Penulisan 3
Metodologi Penulisan
Objek Penulisan
3
3
Teknik Pengambilan Data 3
BAB 2 ― PEMBAHASAN
ISACA (Information System Audit and Control Association)
Kode Etik Profesional
4
4
CISA (Certified Information Systems Auditor)
5
COBIT (Control Objective for Information and related Tecnology)
Pengertian
6
Sejarah Perkembangan
7
Tujuan Pembentukan
7
Kegunaan
8
Kerangka Kerja
8
Konsep Pengendalian
Pengguna
6
12
13
Sumber Daya TI
13
COBIT 4.1 vs COBIT 5
14
Contoh Penerapan dalam Organisasi
17
Page | 1
BAB 3 ― PENUTUP
Simpulan
20
Saran 20
BAB I
Pendahuluan
1.1
Latar Belakang
Pengendalian (controlling) adalah salah satu fungsi manajemen dalam mencapai
tujuan organisasi, yang merupakan manifestasi dari usaha manajemen untuk
mengurangi
resiko
kerugian
dan
penyimpangan
dalam
suatu
organisasi.
Pengendalian Internal yang efektif merupakan salah satu faktor kunci dalam
kesuksesan sebuah organisasi. Dengan adanya sistem pengendalian internal yang
efektif, dapat membantu dalam mencapai tujuan organisasi yang antara lain dapat
mengurangi resiko kerugian organisasi, menghasilkan suatu laporan keuangan yang
andal dan sesuai, serta meningkatkan efisiensi. Dengan semakin dominannya
penggunaan komputer dalam membantu kegiatan operasional diberbagai organisasi,
maka diperlukan standar-standar yang tepat sebagai alat pengendali internal untuk
menjamin bahwa data elektronik yang diproses adalah benar. Sehingga data
elektronik tersebut menghasilkan pelaporan keuangan perusahaan yang dapat
dipertanggungjawabkan. Dalam perkembangannya terdapat banyak standar –
standar kontrol yang muncul dengan latar belakang yang berbeda. Oleh karena itu,
dalam penulisan ini akan diuraikan salah satu standar kontrol untuk EDP (Electronic
Data Processing) yaitu COBIT (Control Obejctive for Information and related
Technology). Framework COBIT digunakan untuk menyusun dan menerapkan
model audit sistem infromasi dengan tujuan untuk memberikan masukan dan
rekomendasi bagi pihak manajemen organisasi untuk perbaikan pengelolaan sistem
informasi di masa mendatang. COBIT dirancang agar dapat menjadi alat bantu yang
dapat memecahkan permasalahan dalam memahami dan mengelola resiko serta
keuntungan yang behubungan dengan sumber daya informasi organisasi.
Page | 2
1.2
Tujuan dan Manfaat
1.2.1 Tujuan Penulisan
Adapun tujuan dari penulisan paper ini adalah :
• Meneliti metode COBIT yang ada agar dapat mengevaluasi kelebihan dan
kekurangan sistem informasi dalam organisasi dengan efektif.
• Menganalisa dan mengidentifikasi kebutuhan keamanan yang diperlukan
organisasi, khususnya dalam mengelola teknologi informasi.
• Menjabarkan lebih luas tentang pengetahuan Audit Sistem Informasi dan
Teknologi Informasi terkait dengan standar COBIT
1.2.2 Manfaat Penulisan
Adapun manfaat – manfaat dari penulisan paper ini adalah :
• Memberikan penilaian yang berorientasi pada bisnis dengan menggunakan
standar COBIT terhadap kebutuhan kontrol organisasi bagi pihak manajemen
• Proses dan hasil penelitian dapat dijadikan arah dalam penerapan IT
Governance yang baik bagi organisasi.
• Memberikan pemahaman secara intens tentang konsep COBIT
1.3
Metodologi Penulisan
1.3.1
Objek Penulisan
Objek tulisan ini adalah COBIT sebagai landasan untuk menyusun dan menerapkan
model audit sistem infromasi dalam memberikan masukan dan rekomendasi bagi
pihak manajemen perusahaan untuk perbaikan pengelolaan sistem informasi di
masa mendatang.
1.3.2
Teknik Pengambilan Data
Page | 3
Informasi mengenai COBIT sebagai topik penulisan diperoleh dari berbagai sumber
baik berupa internet, perkuliahan dengan mata kuliah terkait, maupun jurnal atau
tesis yang relevan dengan objek yang dikaji.
BAB 2
PEMBAHASAN
2.1
ISACA (Information System Audit and Control Association)
ISACA atau Information Systems Audit and Control Association merupakan
perkumpulan atau asosiasi yang anggota-anggotanya terdiri dari Auditors,
Indonesian System Auditor dan mereka yang mempunyai minat terhadap control,
audit dan security system informasi.
2.1.1
Kode Etik Profesional
The Information Systems Audit and Control Association (ISACA) mengeluarkan kode
etik professional (Code of Professional Ethics) untuk dijadikan panduan perilaku bagi
para personal maupun professional anggota asosiasi dan atau para penyandang
sertifikasi, yaitu anggota dan para penyandang sertifikasi ISACA, harus :
1. Mendukung penerapan, dan mendorong kesesuaian dengan, standar, prosedur
dan pengendalian sistem informasi yang tepat.
2. Melakukan tugas-tugas mereka secara sungguh-sungguh (due diligence) dan
profesional, sesuai dengan standar-standar professional dan praktik terbaik (best
practices).
3. Memenuhi kebutuhan para stakeholders dengan secara jujur dan memenuhi
aturan/hukum, sambil menjaga tindakan dan perilaku, dan tidak terlibat dalam
tindakan-tindakan yang merugikan profesi.
Page | 4
4. Tetap menjaga privasi dan kerahasiaan informasi yang diperoleh selama
melakukan tugas-tugas mereka, kecuali hal itu diminta oleh pihak yang berwajib
(legal authority). Informasi semacam itu tak boleh digunakan untuk keuntungan
pribadi atau diberikan kepada pihak yang tidak berkompeten.
5. Tetap menjaga kompetensi di bidang masing – masing dan bersedia hanya
melakukan kegiatan tersebut, yang dapat mereka harapkan untuk diselesaikan
dengan kompetensi profesional.
6. Memberitahu para pihak yang berkompeten mengenai hasil kerja yang dilakukan;
memberitahu semua fakta nyata kepada mereka.
7. Mendukung edukasi professional kepada para stakeholder dalam upaya
meningkatkan pemahaman mereka mengenai keamanan dan pengendalian
sistem informasi.
2.2
CISA (Certified Information Systems Auditor)
Program Certified Information Systems Auditor™ (CISA) didirikan pada Tahun 1978
oleh Information Systems Audit and Control Association® (ISACA) dengan tujuan:
a. Mengembangkan dan memelihara instrument testing yang dapat digunakan
untuk mengevaluasi kompetensi individu dalam melakukan audit sistem
informasi.
b. Menyediakan mekanisme untuk memotivasi sistem informasi auditor untuk
memelihara kompetensi dan memonitor kesuksesan maintenance program.
c. Membantu top manajemen dalam membangun fungsi audit sistem informasi
dengan menyediakan kriteria untuk seleksi dan pengembangan personel.
Program CISA telah menjadi satu-satunya designation yang dikenal secara global
untuk audit sistem informasi dan profesional kontrol. CISA designation mendapat
penghargaan tinggi dari pemerintah dan pemilik perusahaan di berbagai industri,
Page | 5
bahkan telah menjadi kriteria pekerjaan dan/atau kemajuan dalam organisasi.
Dengan dikenal sebagai CISA, akan memberikan nilai profesional dan sejumlah
besar keuntungan. Pencapaian dari program CISA mendemonstrasikan keahlian
audit sistem informasi serta memberikan tanda dalam melayani sebuah organisasi
dengan perbedaan. Mereka yang telah memiliki gelar CISA akan bergabung dengan
para profesional dunia yang telah mendapatkan professional designation.
Sertifikasi profesional ini memberikan bukti pencapaian pengetahuan dan keahlian
profesional tersebut. Dengan kata lain, sertifikasi untuk exclusive program worldwide
untuk professional audit IS, kontrol, dan keamanan di bidang mereka adalah
Certified Information Systems Auditor™(CISA) Designation. Seperti Certified
Professional Accountant (CPA) atau Chartered Accountant (CA) designation
untuk profesional akuntansi, CISA designation menunjukkan kemampuan individu
dalam mengaplikasikan audit SI, kontrol, prinsip dan praktik keamanan. Bagi
employers worldwide, profesional audit SI dan kontrol dengan CISA designation
lebih diminati dan seringkali mendapatkan kompensasi yang lebih tinggi. Sebagai
tambahan, pemegang CISA ini juga tetap perlu berkecimpung dalam profesi mereka
dengan mengikuti pendidikan profesional yang berkesinambungan.
2.3
COBIT (Control Objective for Information and related Tecnology)
2.3.1
Pengertian COBIT
Control Objectives for Information and Related Technology (COBIT) dapat
definisikan sebagai alat pengendalian untuk informasi dan teknologi terkait dan
merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang
dikembangkan oleh Information System Audit and Control Association (ISACA)
melalui lembaga yang dibentuknya yaitu Information and Technology Governance
Institute (ITGI) pada tahun 1992. Secara terstruktur, COBIT terdiri dari seperangkat
control objectives untuk bidang teknologi informasi, dirancang untuk memungkinkan
tahapan bagi audit. Menurut IT Governance Institute, COBIT adalah sekumpulan
dokumentasi best practices untuk IT governance yang dapat membantu auditor,
manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis,
kebutuhan kontrol dan permasalahan-permasalahan teknis dalam perusahaan.
Page | 6
COBIT memungkinkan kebijakan pembangunan yang jelas dan baik untuk seluruh
organisasi kontrol TI. COBIT menekankan peraturan, membantu organisasi untuk
meningkatkan
nilai
dicapai
dari
TI,
dan
memungkinkan
pengaturan
dan
penyederhanaan pelaksanaan pada kerangka COBIT.
2.3.2
Sejarah Perkembangan COBIT
COBIT yang pertama kali diluncurkan pada tahun 1996, mengalami perubahan
berupa perhatian lebih kepada dokumen sumber, revisi pada tingkat lebih lanjut
serta tujuan pengendalian rinci dan tambahan seperangkat alat implementasi
(implementation tool set) pada edisi keduanya yang dipublikasikan pada tahun 1998.
COBIT pada edisi ketiga ditandai dengan masuknya penerbit utama baru COBIT
yaitu ITGI. COBIT edisi 4.1 diperluas dengan arahan lebih kepada IT Governance.
COBIT edisi kelima merupakan versi terakhir dari tujuan pengendalian untuk
informasi dan teknologi terkait dengan mencakup keseluruhan dari COBIT 4.1
dengan tambahan tentang Risk IT dan Val IT. ISACA telah meluncurkan Val IT yang
berhubungan dengan proses COBIT untuk proses manajemen senior yang
dibutuhkan untuk mendapatkan nilai baik dari investasi TI.
2.3.3
Tujuan Pembentukan COBIT
Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan
mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu
up to date untuk digunakan dalam kegiatan bisnis sehari-hari. Dengan bahasa lain,
COBIT dapat pula dikatakan sebagai sekumpulan dokumentasi best practices untuk
IT governance yang dapat membantu auditor, manajemen and pengguna (user)
untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan –
permasalahan teknis, meningkatkan tingkatan kemapanan proses dalam IT dan
memenuhi ekspektasi bisnis dari IT. COBIT mampu menyediakan bahasa yang
umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di
seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan
terhadap corporate governance dan kebutuhan perusahaan agar mampu berbuat
lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi
yang sulit. Fokus utama COBIT adalah harapan bahwa melalui adopsi COBIT ini
Page | 7
perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan
mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.
2.3.4
Kegunaan COBIT
Dalam membantu auditor, COBIT memiliki fungsi – fungsi diantaranya adalah :
Meningkatkan pendekatan/program audit
Mendukung audit kerja dengan arahan audit secara rinci
Memberikan petunjuk untuk IT governance
Sebagai penilaian benchmark untuk kendali IS/IT
Meningkatkan control IS/IT
Sebagai standarisasi pendekatan/program audit.
2.3.5
Kerangka Kerja COBIT
Page | 8
COBIT Framework
COBIT merupakan kerangka kerja pengendalian internal yang berkaitan dengan
teknologi informasi, yang dipublikasikan oleh Information System Audit and Control
Foundation di tahun 1996 dan di-update pada tahun 1998 dan 2000. COBIT dibuat
dengan tujuan melakukan penelitian dan pengembangan terhadap sekumpulan
kontrol teknologi informasi, yang dapat diterima secara internasional bagi
kepentingan auditor dan manajer bisnis suatu organisasi. COBIT mengelompokkan
semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi
ke dalam empat buah domain proses, meliputi :
1. Plan and Organise (10 proses)
Meliputi strategi dan taktik yang berkaitan dengan identifikasi pemanfaatan IT
yang dapat memberikan kontribusi dalam pencapaian tujuan bisnis.
Proses dalam domain ini adalah :
Menetapkan rencana strategis TI
Menetapkan susunan informasi
Menetapkan kebijakan teknologi
Menetapkan hubungan dan organisasi TI
Mengelola investasi IT
Mengkomunikasikan arah dan tujuan manajemen
Mengelola sumberdaya manusia
2. Acquire and Implement (7 proses)
Merupakan domain proses yang merealisasikan strategi IT, serta solusi – solusi
IT yang diperlukan untuk diterapkan pada proses bisnis organisasi. Pada domain
ini pula dilakukan pengelolaan perubahan terhadap sistem eksisting untuk
menjamin proses yang berkesinambungan.
Page | 9
Langkah – langkah domain ini adalah :
Mengidentifikasi solusi terotomatisasi
Mendapatkan dan memelihara software aplikasi
Mendapatkan dan memelihara infrastruktur teknologi
Mengembangkan dan memelihara prosedur
Memasang dan mengakui sistem
Mengelola perubahan
3. Delivery and Support (13 proses)
Domain ini berfokus utama pada aspek penyampaian atau pengiriman dari IT.
Domain ini mencakup area-area seperti pengoperasian aplikasi – aplikasi dalam
sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan
pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan
ini termasuk isu atau masalah keamanan dan juga pelatihan.
Proses dalam domain ini adalah :
Menetapkan dan mengelola tingkat pelayanan
Mengelola pelayanan kepada pihak lain
Mengelola kinerja dan kapasitas
Memastikan pelayanan yang kontinyu
Memastikan keamanan sistem
4. Monitor and Evaluate (4 proses)
Merupakan domain yang memberikan pandangan bagi pihak manejemen
berkaitan dengan kualitas dan kepatuhan dari proses yang berlangsung dengan
kendali-kendali yang diisyaratkan.
Proses dalam domain ini sebagai berikut :
Memonitor proses
Page | 10
Menaksir kecukupan pengendalian internal
Mendapatkan kepastian yang independen
Kerangka kerja COBIT juga memasukan hal-hal berikut :
1. Maturity Models
Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5)
dibandingkan dengan “the best in the class in the Industry” dan juga International
best practices.
Skala – skala maturity models akan dijabarkan sebagai berikut :
Skala 0 - Not Existance
Karena perusahaan tidak menyadari pentingnya membuatperencanaan strategis
di bidang teknologi informasi. Dalam skala ini penting untuk dilakukan evaluasi
pengendalian dan dijadikan sebagai temuan yang penting.
Skala 1 – Initial
Adanya fakta – fakta bahwa perusahaan telah menyadari akan pentingnya
pembuatan perencanaan strategis di bidang teknologi informasi. Namun, tidak
ada prosesyang distandarisasi; perencanaan, perancangan dan manajemen
masih belum terorganisir dengan baik. Dalam skala ini keperluan untuk dijadikan
temuan tidak diutamakan, karena tingkat kemungkinan terjadinya resiko tidak
sebesar skala nol.
Skala 2 – Repeatable
Perusahaan telah menetapkan prosedur untuk dipatuhi oleh karyawan, namun
belum dikomunikasikan dan belum adanya pemberian latihan formal kepada
setiap karyawan mengenai prosedur; dan tanggung jawab diberikan sepenuhnya
kepada individu sehingga pemberian kepercayaan sepenuhnya kemungkinan
dapat terjadi penyalahgunaan.
Page | 11
Skala 3 – Defined
Seluruh proses telah didokumentasikan dan telah dikomunikasikan,serta
dilaksanakan berdasarkan metode pengembangan sistem komputerisasi yang
baik, namun belum ada proses evaluasi terhadap sistem tersebut, sehingga
masih ada kemungkinan terjadinya penyimpangan.
Skala 4 - Managed
Proses komputerisasi telah dapat dimonitor dan dievaluasi denganbaik,
manajemen proyek pengembangan sistem komputerisasi sudah dijalankan
denganlebih terorganisir.
Skala 5 – Optimised
Best Practices (pedoman terbaik) telah diikuti dan diotomatisasi pada sistem
berdasarkan proses yang terencana, terorganisir dan menggunakan metodologi
yang tepat.
2. Critical Success Factors (CSFs)
Adalah arahan implementasi bagi manajemen agar dapat melakukan kontrol atas
proses TI.
3. Key Goal Indicators (KGIs)
Merupakan kinerja proses-proses TI sehubungan dengan business requirement.
4. Key Performance Indicators (KPIs)
Adalah kinerja proses-proses TI sehubungan dengan process goals.
2.3.6
Konsep Pengendalian COBIT
Page | 12
Dalam hal tujuan pengendalian, COBIT mendefinisikannya sebagai “Suatu
pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan
mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”. COBIT
melihat pengendalian dalam tiga dimensi berbeda yaitu Sumber IT, Proses IT, dan
Kriteria Informasi IT. Sumber IT sebagai dimensi pertama akan dijabarkan lebih
mendalam pada sub-bab berikutnya. Proses IT sebagai dimensi kedua dari COBIT
terdiri dari tiga segmen, yaitu domains, proses, dan aktivitas. Sedangkan dalam
dimensi ketiganya, COBIT menetapkan kriteria informasi yang berguna dalam
mendukung tercapainya tujuan organisasi dengan merujuk pada kebutuhan
informasi di organisasi atau perusahaan. COBIT mengkombinasikan beberapa
prinsip penyusunan informasi berdasarkan model model yang sudah ada, dan
merumuskannya kedalam tiga kategori utama, yaitu quality, fiduciary responsibility
dan security yang kemudian diuraikan lebih lanjut dalam kriteria-kriteria sebagai
berikut :
Efektifitas
Efisiensi
Kerahasiaan
Integritas
Ketersediaan
Kepatuhan
2.3.7
Pengguna COBIT
COBIT dirancang untuk digunakan oleh tiga pengguna berbeda yaitu :
1. Manajemen
Dengan
penerapan
COBIT,
manajemen
dapat
terbantu
dalam
proses
penyeimbangan resiko dan pengendalian investasi dalam lingkungan IT yang tidak
dapat diprediksi.
Page | 13
2. User
Pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan
keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak
ketiga.
3. Auditor
Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang
dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian
internal yang ada.
2.3.8
Sumber Daya TI
Sumber daya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau
diidentifikasikan sebagai berikut :
Data, adalah obyek-obyek dalam pengertian yang lebih luas (yakni internal dan
eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.
Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur
manual maupun yang terprogram.
Teknologi, mencakup hardware, sistem operasi, sistem manajemen database,
jaringan (networking), multimedia, dan lain- lain.
Fasilitas, adalah semua sumber daya untuk menyimpan dan mendukung system
informasi.
Manusia termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan,
mengorganisasikan
atau
melaksanakan,
memperoleh,
menyampaikan,
mendukung dan memantau layanan sistem informasi.
2.3.9
COBIT 4.1 vs COBIT 5
COBIT dikenal luas sebagai standard defacto untuk kerangka kerja tata kelola TI (IT
Governance) dan yang terkait dengannya. Di sisi lain standard atau framework ini
Page | 14
terus berevolusi sejak pertama kali diluncurkan di 1996 hingga rilis terakhir yaitu
COBIT 5 yang diluncurkan pada Juni 2012 yang lalu. Pada setiap rilisnya, kerangka
kerja ini melakukan pergeseran – pergeseran beberapa paradigma. Teknologi
Informasi dan pemanfaatannya yang berkembang dengan cepat tentunya menuntut
perubahan dalam tata cara pengelolaannya juga, sehingga frameworknya juga perlu
penyesuaian. Selain itu penerapan apapun pada tataran konseptual ke dalam
tataran praktis akan selalu memunculkan titik-titik yang dapat diperbaiki dan
disempurnakan terus-menerus. Perbaikan yang cukup telah dilakukan terhadap
COBIT framework untuk posisi sebagai model tata kelola teknologi informasi di
perusahaan. Tidak seperti pendahulunya (COBIT 4.1) dan ITIL v3, COBIT 5
framework mengalamatkan tiga tingkat dari sebuah framework tata kelola TI.
Perbaikan dalam COBIT 5 meliputi restrukturisasi deskripsi dari proses individu,
mengidentifikasi dasar praktek-praktek yang sebenarnya dalam setiap proses dan
menggambarkan kegiatan utama dalam setiap dasar praktek. Perubahan yang
paling signifikan untuk COBIT adalah reorganisasi framework dari sebuah model
proses TI ke framework tata kelola TI dengan serangkaian penerapan tata kelola TI,
sistem manajemen untuk perbaikan terus-menerus di kegiatan TI dan model proses
dengan dasar praktek. COBIT 5 akan didasarkan pada prinsip-prinsip tata kelola
perusahaan yang sehat dan akan membantu organisasi mengelola risiko
operasional, serta tetap bertahan di atas persyaratan kepatuhan yang terus
berkembang.
Ada beberapa perubahan penting yang dibawa oleh COBIT rilis teranyar ini
dibanding versi pendahulunya. Apakah itu?
Pertama, prinsip baru dalam tata kelola TI untuk organisasi, Governance of
Enterprise IT (GEIT). COBIT 5, sebagaimana juga Val IT dan Risk IT, lebih
berorientasi pada prinsip dibanding pada proses. Berdasarkan feedback yang
masuk, menyatakan bahwa ternyata penggunaan prinsip – prinsip lebih mudah
dipahami dan diterapkan dalam konteks enterprise secara lebih efektif.
Kedua, COBIT 5 memberi penekanan lebih kepada Enabler. Walaupun sebenarnya
COBIT 4.1 juga menyebutkan adanya enabler – enabler, hanya saja COBIT 4.1 tidak
Page | 15
menyebutnya dengan enabler. Sementara COBIT 5 menyebutkan secara spesifik
ada 7 enabler dalam implementasinya. Berikut ini adalah ketujuh enabler COBIT 5
dan perbandingan untuk hal yang sama di COBIT 4.1 :
1. Prinsip-prinsip, kebijakan dan kerangka kerja. Kalau di COBIT 4.1, poin-poin ini
tersebar dalam beberapa proses-proses COBIT 4.1.
2. Proses-proses. Proses adalah sentral dari COBIT 4.1.
3. Struktur Organisasi. Dalam COBIT 4.1, struktur organisasi tercermin dalam
RACI chart yang mendefinisikan peran dan tanggung-jawab para pihak dalam
setiap proses.
4. Kultur, etika dan perilaku. Poin ini terselip di beberapa proses COBIT 4.1
5. Informasi. Dalam COBIT 4.1, informasi merupakan salah satu sumber daya TI
(IT resources).
6. Layanan, Infrastruktur, dan Aplikasi. Dalam COBIT 4.1, infrastruktur dan
aplikasi (disatukan dengan layanan) merupakan sumber daya TI juga.
7. Orang, keterampilan (skills) dan kompetensi . Dalam COBIT 4.1, hanya
disebutkan “orang” sebagai salah satu sumber daya (walau sebenarnya
mencakup juga keterampilan dan kompetensinya)
Ketiga, COBIT 5 mendefinisikan model referensi proses yang baru dengan
tambahan domain governance dan beberapa proses baik yang sama sekali baru
ataupun modifikasi proses lama serta mencakup aktifitas organisasi secara end-toend. Selain mengkonsolidasikan COBIT 4.1, Val IT, dan Risk IT dalam sebuah
framework, COBIT 5 juga dimutakhirkan untuk menyelaraskan dengan best
practices yang ada seperti misalnya ITIL v3 2011 dan TOGAF.
Page | 16
Keempat, seperti disinggung sebelumnya, bahwa dalam COBIT 5 terdapat prosesproses baru yang sebelumnya belum ada di COBIT 4.1, serta beberapa modifikasi
pada proses-proses yang sudah ada sebelumnya di COBIT 4.1. Secara sederhana
dapat dikatakan bahwa model referensi proses COBIT 5 ini sebenarnya
mengintegrasikan konten COBIT 4.1, Risk IT dan Val IT. Sehingga proses-proses
pada COBIT 5 ini lebih holistik, lengkap dan mencakup aktifitas bisnis dan IT secara
end-to-end.
Kelima, Praktik dan Aktifitas. Praktik dan aktifitas tata kelola dan manajemen pada
COBIT 5 sebenarnya ekuivalen dengan control objective COBIT 4.1 serta prosesproses pada Val IT dan Risk IT. Sementara itu aktifitas pada COBIT 5 sebenarnya
identik dengan dengan control practices pada COBIT 4.1 dan management practices
pada Val IT dan Risk IT.
Keenam, Goal dan Metrik. COBIT 5 menggunakan konsep goal dan metrik yang
sama dengan COBIT 4.1, Val IT, dan Risk IT. Hanya saja COBIT 5 mengubah
namanya menjadi enterprise-goal, IT-related goal dan process goal untuk
mencerminkan view secara organisasi. COBIT 5 juga memberikan contoh-contoh
goal dan metriknya pada tingkatan enterprise, proses dan manajemen pada
tingkatan praktis. Inilah bedanya dengan COBIT 4.1, Val IT, dan Risk IT yang
bermain satu tingkatan di bawahnya.
Ketujuh, Input dan Output. Framework COBIT 5 menyediakan input dan output
untuk setiap management practice, sementara COBIT 4.1 hanya menyediakan ini
pada tingkatan proses saja. Hal ini dapat dijadikan petunjuk tambahan dalam
mendesain proses-proses berikut produk kerja yang dihasilkan dan membantu
integrasi antar proses-proses yang ada.
Kedelapan, RACI Chart. Pada dasarnya COBIT 5 menyediakan diagram RACI yang
menjelaskan peran dan tanggung jawab dengan cara yang sama seperti pada
COBIT 4.1, Val IT, maupun Risk IT. Hanya saja COBIT 5 memberikan diagram yang
lebih lengkap, detail dan rentang yang lebih jelas dari setiap pihak baik IT maupun
bisnis untuk setiap praktik manajemen. Tentunya hal ini akan lebih memudahkan
dalam proses desain dan penerapan proses-prosesnya.
Page | 17
Kesembilan, Model dan Asesmen terhadap Process Capability. Framework COBIT
5 tidak lagi menggunakan pendekatan berbasis CMM seperti yang digunakan dalam
COBIT 4.1, Val IT, maupun Risk IT. Sebagai gantinya COBIT 5 akan menggunakan
pendekatan baru yang berbasis pada ISO/IEC 15504. Pendekatan yang digunakan
COBIT 4.1, Val IT dan Risk IT menggunakan atribut dan skala pengukuran yang
berbeda dengan pendekatan berbasis ISO/IEC 15504 ini. Pendekatan baru ini
menurut ISACA merupakan pendekatan yang lebih baik, handal dan juga lebih
repeatable sebagai sebuah metode penilaian kematangan/kemampuan proses. Bagi
yang sudah biasa menggunakan metode sebelumnya berbasis CMM, maka tentu
dibutuhkan penyesuaian – penyesuaian dan penyelarasan – penyelarasan.
2.3.10 Contoh Penerapan COBIT Dalam Organisasi
Implementasi pada BUMN
Dipandang dari cukup luasnya cakupan COBIT dalam pengendalian IT organisasi,
maka dapat disimpulkan bahwa BUMN dapat (bahkan seharusnya) mengadopsi
guidelines COBIT dalam pengelolaan dan pengendalian IT-nya. Sebelum uraian
lebih lanjut mengenai aspek – aspek COBIT yang sesuai untuk BUMN, terlebih
dahulu akan diuraikan mengenai keunggulan – keunggulan COBIT dalam
pengendalian internal terhadap manajemen sistem dan informasi sebagai berikut :
Akseptansi secara internasional, karena didasarkan atas pengalaman praktik dan
profesionalitas para ahli di seluruh dunia.
Memenuhi standar ISO17799, COSO I dan II, dan standar – standar terkait
lainnya.
COBIT menjadi jembatan komunikasi antara fungsi IT, bisnis dan auditor dengan
menyediakan suatu pendekatan umum yang dapat dimengerti oleh semuanya
pihak.
COBIT berorientasi kepada manajemen, dapat diaplikasikan, dan mudah
digunakan.
COBIT menyediakan dukungan yang kuat untuk audit IT, meminimalisasi biaya
resiko audit, dan dapat meningkatkan kualitas audit dan opini audit.
Page | 18
COBIT dapat menghemat waktu dalam mengimplementasikan praktek-praktek
yang efektif.
COBIT bersifat fleksibel dan mudah beradaptasi untuk menyesuaikan dengan
ukuran dan budaya organisasi, serta kebutuhan khusus lainnya.
COBIT adalah sebuah konsep yang lengkap dan terintegrasi, dan dikelola oleh
organisasi non profit yang sudah memiliki reputasi, yakni ISACA.
Selain berbagai keunggulan – keunggulan yang disebutkan diatas, terdapat
beberapa alasan lain mengapa sebuah organisasi mengadopsi COBIT yaitu :
COBIT memberikan perhatian kepada tata kelola IT yang baik (Good IT
Governance).
Untuk menguji akuntabilitas manajemen terhadap sumber daya teknologi
informasi.
Adanya kebutuhan khusus untuk pengendalian sumber daya TI.
Sebuah solusi yang berorientasi bisnis, karena COBIT mengedepankan
penggunaan sumber daya TI yang efektif dan efisien.
COBIT menyediakan kerangka untuk penilaian resiko atas IT.
Berbasis otorisasi.
Meningkatkan komunikasi antara manajemen, pengguna (users), dan auditor.
Dari keuntungan diatas, dapat disimpulkan bahwa penerapan COBIT dalam
pengelolaan IT BUMN adalah sebuah keharusan. Keseluruhan aspek dalam
kerangka kerja COBIT dapat diadopsi, uraian singkat berikut akan memberikan
penjelasan lebih lanjut :
Manajemen dapat mengadopsi control objectives COBIT dalam perancangan
model pengelolaan dan pengendalian IT perusahaan. Proses perancangan
tersebut dapat diadopsi dari langkah – langkah atau proses yang ada dalam
domain – domain COBIT.
Page | 19
Manajemen dapat mengadopsi management guideline COBIT sebagai tools
dalam perumusan kebijakan management baik kebijakan mengenai IT maupun
kebijakan lainnya yang berhubungan dengan kinerja organisasi.
Pengawas internal (auditor) dapat menggunakan audit guideline COBIT sebagai
standar dalam perancangan dan pelaksanaan audit atas sistem informasi
organisasi. Secara rinci, auditor menggunakannya dalam :
Perencanaan audit dan pengembangan program audit.
Validasi kontrol – kontrol TI
Evaluasi resiko – resiko TI
Mudahnya adopsi COBIT dalam pengelolaan IT pada dasarnya disebabkan oleh
mudahnya modifikasi guidelines COBIT sesuai dengan kondisi industri dan kondisi
IT perusahaan atau organisasi.
BAB 3
PENUTUP
3.1 Simpulan
Melalui penulisan ini, dapat disimpulkan :
a. Pengendalian merupakan aspek penting dalam manajemen organisasi dalam
mengurangi resiko kerugian dan penyimpangan dalam organisasi tersebut.
b. COBIT adalah suatu standar dalam audit sistem informasi yang berperan dalam
pengendalian terhadap teknologi informasi yang diterima secara internasional.
Page | 20
c. COBIT berfungsi dalam mendukung kinerja audit dengan arahan atau guidelines
secara rinci, serta memberikan petunjuk untuk tata kelola TI dalam organisasi
d. Keseluruhan aspek dalam kerangka kerja COBIT dapat digunakan sebagai
landasan perumusan kebijakan management baik kebijakan mengenai IT
maupun kebijakan lainnya yang berhubungan dengan kinerja organisasi.
3.2 Saran
Cobit dapat dijadikan sebagai alat bantu yang digunakan untuk mengefektifkan 4
good practices IT governance dalam organisasi dimana 4 good practices tersebut
merupakan domain dari COBIT, yaitu Planning-Organization (PO), AcquisitionImplementation (AI), Delivery-Support (DS), dan Monitoring (M). Kerangka kerja
COBIT digunakan untuk membantu auditor, manajemen dan pengguna untuk
menjembatani gap antara resiko bisnis, kebutuhan control dan permasalahanpermasalahan teknis. Dari keunggulan – keunggulan COBIT tersebut dapat
diketahui bahwa COBIT merupakan tools yang baik bagi manajemen perusahaan
atau organisasi dalam menerapkan kinerja audit sistem informasi yang bertujuan
mengurangi kemungkinan resiko dan mendukung manajemen dalam melakukan
perbaikan tata kelola sistem informasi dalam organisasi agar menjadi lebih baik lagi.
Page | 21
BAB 1 ― PENDAHULUAN
Latar Belakang
2
Tujuan dan Manfaat 3
Tujuan Penulisan
3
Manfaat Penulisan 3
Metodologi Penulisan
Objek Penulisan
3
3
Teknik Pengambilan Data 3
BAB 2 ― PEMBAHASAN
ISACA (Information System Audit and Control Association)
Kode Etik Profesional
4
4
CISA (Certified Information Systems Auditor)
5
COBIT (Control Objective for Information and related Tecnology)
Pengertian
6
Sejarah Perkembangan
7
Tujuan Pembentukan
7
Kegunaan
8
Kerangka Kerja
8
Konsep Pengendalian
Pengguna
6
12
13
Sumber Daya TI
13
COBIT 4.1 vs COBIT 5
14
Contoh Penerapan dalam Organisasi
17
Page | 1
BAB 3 ― PENUTUP
Simpulan
20
Saran 20
BAB I
Pendahuluan
1.1
Latar Belakang
Pengendalian (controlling) adalah salah satu fungsi manajemen dalam mencapai
tujuan organisasi, yang merupakan manifestasi dari usaha manajemen untuk
mengurangi
resiko
kerugian
dan
penyimpangan
dalam
suatu
organisasi.
Pengendalian Internal yang efektif merupakan salah satu faktor kunci dalam
kesuksesan sebuah organisasi. Dengan adanya sistem pengendalian internal yang
efektif, dapat membantu dalam mencapai tujuan organisasi yang antara lain dapat
mengurangi resiko kerugian organisasi, menghasilkan suatu laporan keuangan yang
andal dan sesuai, serta meningkatkan efisiensi. Dengan semakin dominannya
penggunaan komputer dalam membantu kegiatan operasional diberbagai organisasi,
maka diperlukan standar-standar yang tepat sebagai alat pengendali internal untuk
menjamin bahwa data elektronik yang diproses adalah benar. Sehingga data
elektronik tersebut menghasilkan pelaporan keuangan perusahaan yang dapat
dipertanggungjawabkan. Dalam perkembangannya terdapat banyak standar –
standar kontrol yang muncul dengan latar belakang yang berbeda. Oleh karena itu,
dalam penulisan ini akan diuraikan salah satu standar kontrol untuk EDP (Electronic
Data Processing) yaitu COBIT (Control Obejctive for Information and related
Technology). Framework COBIT digunakan untuk menyusun dan menerapkan
model audit sistem infromasi dengan tujuan untuk memberikan masukan dan
rekomendasi bagi pihak manajemen organisasi untuk perbaikan pengelolaan sistem
informasi di masa mendatang. COBIT dirancang agar dapat menjadi alat bantu yang
dapat memecahkan permasalahan dalam memahami dan mengelola resiko serta
keuntungan yang behubungan dengan sumber daya informasi organisasi.
Page | 2
1.2
Tujuan dan Manfaat
1.2.1 Tujuan Penulisan
Adapun tujuan dari penulisan paper ini adalah :
• Meneliti metode COBIT yang ada agar dapat mengevaluasi kelebihan dan
kekurangan sistem informasi dalam organisasi dengan efektif.
• Menganalisa dan mengidentifikasi kebutuhan keamanan yang diperlukan
organisasi, khususnya dalam mengelola teknologi informasi.
• Menjabarkan lebih luas tentang pengetahuan Audit Sistem Informasi dan
Teknologi Informasi terkait dengan standar COBIT
1.2.2 Manfaat Penulisan
Adapun manfaat – manfaat dari penulisan paper ini adalah :
• Memberikan penilaian yang berorientasi pada bisnis dengan menggunakan
standar COBIT terhadap kebutuhan kontrol organisasi bagi pihak manajemen
• Proses dan hasil penelitian dapat dijadikan arah dalam penerapan IT
Governance yang baik bagi organisasi.
• Memberikan pemahaman secara intens tentang konsep COBIT
1.3
Metodologi Penulisan
1.3.1
Objek Penulisan
Objek tulisan ini adalah COBIT sebagai landasan untuk menyusun dan menerapkan
model audit sistem infromasi dalam memberikan masukan dan rekomendasi bagi
pihak manajemen perusahaan untuk perbaikan pengelolaan sistem informasi di
masa mendatang.
1.3.2
Teknik Pengambilan Data
Page | 3
Informasi mengenai COBIT sebagai topik penulisan diperoleh dari berbagai sumber
baik berupa internet, perkuliahan dengan mata kuliah terkait, maupun jurnal atau
tesis yang relevan dengan objek yang dikaji.
BAB 2
PEMBAHASAN
2.1
ISACA (Information System Audit and Control Association)
ISACA atau Information Systems Audit and Control Association merupakan
perkumpulan atau asosiasi yang anggota-anggotanya terdiri dari Auditors,
Indonesian System Auditor dan mereka yang mempunyai minat terhadap control,
audit dan security system informasi.
2.1.1
Kode Etik Profesional
The Information Systems Audit and Control Association (ISACA) mengeluarkan kode
etik professional (Code of Professional Ethics) untuk dijadikan panduan perilaku bagi
para personal maupun professional anggota asosiasi dan atau para penyandang
sertifikasi, yaitu anggota dan para penyandang sertifikasi ISACA, harus :
1. Mendukung penerapan, dan mendorong kesesuaian dengan, standar, prosedur
dan pengendalian sistem informasi yang tepat.
2. Melakukan tugas-tugas mereka secara sungguh-sungguh (due diligence) dan
profesional, sesuai dengan standar-standar professional dan praktik terbaik (best
practices).
3. Memenuhi kebutuhan para stakeholders dengan secara jujur dan memenuhi
aturan/hukum, sambil menjaga tindakan dan perilaku, dan tidak terlibat dalam
tindakan-tindakan yang merugikan profesi.
Page | 4
4. Tetap menjaga privasi dan kerahasiaan informasi yang diperoleh selama
melakukan tugas-tugas mereka, kecuali hal itu diminta oleh pihak yang berwajib
(legal authority). Informasi semacam itu tak boleh digunakan untuk keuntungan
pribadi atau diberikan kepada pihak yang tidak berkompeten.
5. Tetap menjaga kompetensi di bidang masing – masing dan bersedia hanya
melakukan kegiatan tersebut, yang dapat mereka harapkan untuk diselesaikan
dengan kompetensi profesional.
6. Memberitahu para pihak yang berkompeten mengenai hasil kerja yang dilakukan;
memberitahu semua fakta nyata kepada mereka.
7. Mendukung edukasi professional kepada para stakeholder dalam upaya
meningkatkan pemahaman mereka mengenai keamanan dan pengendalian
sistem informasi.
2.2
CISA (Certified Information Systems Auditor)
Program Certified Information Systems Auditor™ (CISA) didirikan pada Tahun 1978
oleh Information Systems Audit and Control Association® (ISACA) dengan tujuan:
a. Mengembangkan dan memelihara instrument testing yang dapat digunakan
untuk mengevaluasi kompetensi individu dalam melakukan audit sistem
informasi.
b. Menyediakan mekanisme untuk memotivasi sistem informasi auditor untuk
memelihara kompetensi dan memonitor kesuksesan maintenance program.
c. Membantu top manajemen dalam membangun fungsi audit sistem informasi
dengan menyediakan kriteria untuk seleksi dan pengembangan personel.
Program CISA telah menjadi satu-satunya designation yang dikenal secara global
untuk audit sistem informasi dan profesional kontrol. CISA designation mendapat
penghargaan tinggi dari pemerintah dan pemilik perusahaan di berbagai industri,
Page | 5
bahkan telah menjadi kriteria pekerjaan dan/atau kemajuan dalam organisasi.
Dengan dikenal sebagai CISA, akan memberikan nilai profesional dan sejumlah
besar keuntungan. Pencapaian dari program CISA mendemonstrasikan keahlian
audit sistem informasi serta memberikan tanda dalam melayani sebuah organisasi
dengan perbedaan. Mereka yang telah memiliki gelar CISA akan bergabung dengan
para profesional dunia yang telah mendapatkan professional designation.
Sertifikasi profesional ini memberikan bukti pencapaian pengetahuan dan keahlian
profesional tersebut. Dengan kata lain, sertifikasi untuk exclusive program worldwide
untuk professional audit IS, kontrol, dan keamanan di bidang mereka adalah
Certified Information Systems Auditor™(CISA) Designation. Seperti Certified
Professional Accountant (CPA) atau Chartered Accountant (CA) designation
untuk profesional akuntansi, CISA designation menunjukkan kemampuan individu
dalam mengaplikasikan audit SI, kontrol, prinsip dan praktik keamanan. Bagi
employers worldwide, profesional audit SI dan kontrol dengan CISA designation
lebih diminati dan seringkali mendapatkan kompensasi yang lebih tinggi. Sebagai
tambahan, pemegang CISA ini juga tetap perlu berkecimpung dalam profesi mereka
dengan mengikuti pendidikan profesional yang berkesinambungan.
2.3
COBIT (Control Objective for Information and related Tecnology)
2.3.1
Pengertian COBIT
Control Objectives for Information and Related Technology (COBIT) dapat
definisikan sebagai alat pengendalian untuk informasi dan teknologi terkait dan
merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang
dikembangkan oleh Information System Audit and Control Association (ISACA)
melalui lembaga yang dibentuknya yaitu Information and Technology Governance
Institute (ITGI) pada tahun 1992. Secara terstruktur, COBIT terdiri dari seperangkat
control objectives untuk bidang teknologi informasi, dirancang untuk memungkinkan
tahapan bagi audit. Menurut IT Governance Institute, COBIT adalah sekumpulan
dokumentasi best practices untuk IT governance yang dapat membantu auditor,
manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis,
kebutuhan kontrol dan permasalahan-permasalahan teknis dalam perusahaan.
Page | 6
COBIT memungkinkan kebijakan pembangunan yang jelas dan baik untuk seluruh
organisasi kontrol TI. COBIT menekankan peraturan, membantu organisasi untuk
meningkatkan
nilai
dicapai
dari
TI,
dan
memungkinkan
pengaturan
dan
penyederhanaan pelaksanaan pada kerangka COBIT.
2.3.2
Sejarah Perkembangan COBIT
COBIT yang pertama kali diluncurkan pada tahun 1996, mengalami perubahan
berupa perhatian lebih kepada dokumen sumber, revisi pada tingkat lebih lanjut
serta tujuan pengendalian rinci dan tambahan seperangkat alat implementasi
(implementation tool set) pada edisi keduanya yang dipublikasikan pada tahun 1998.
COBIT pada edisi ketiga ditandai dengan masuknya penerbit utama baru COBIT
yaitu ITGI. COBIT edisi 4.1 diperluas dengan arahan lebih kepada IT Governance.
COBIT edisi kelima merupakan versi terakhir dari tujuan pengendalian untuk
informasi dan teknologi terkait dengan mencakup keseluruhan dari COBIT 4.1
dengan tambahan tentang Risk IT dan Val IT. ISACA telah meluncurkan Val IT yang
berhubungan dengan proses COBIT untuk proses manajemen senior yang
dibutuhkan untuk mendapatkan nilai baik dari investasi TI.
2.3.3
Tujuan Pembentukan COBIT
Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan
mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu
up to date untuk digunakan dalam kegiatan bisnis sehari-hari. Dengan bahasa lain,
COBIT dapat pula dikatakan sebagai sekumpulan dokumentasi best practices untuk
IT governance yang dapat membantu auditor, manajemen and pengguna (user)
untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan –
permasalahan teknis, meningkatkan tingkatan kemapanan proses dalam IT dan
memenuhi ekspektasi bisnis dari IT. COBIT mampu menyediakan bahasa yang
umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di
seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan
terhadap corporate governance dan kebutuhan perusahaan agar mampu berbuat
lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi
yang sulit. Fokus utama COBIT adalah harapan bahwa melalui adopsi COBIT ini
Page | 7
perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan
mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.
2.3.4
Kegunaan COBIT
Dalam membantu auditor, COBIT memiliki fungsi – fungsi diantaranya adalah :
Meningkatkan pendekatan/program audit
Mendukung audit kerja dengan arahan audit secara rinci
Memberikan petunjuk untuk IT governance
Sebagai penilaian benchmark untuk kendali IS/IT
Meningkatkan control IS/IT
Sebagai standarisasi pendekatan/program audit.
2.3.5
Kerangka Kerja COBIT
Page | 8
COBIT Framework
COBIT merupakan kerangka kerja pengendalian internal yang berkaitan dengan
teknologi informasi, yang dipublikasikan oleh Information System Audit and Control
Foundation di tahun 1996 dan di-update pada tahun 1998 dan 2000. COBIT dibuat
dengan tujuan melakukan penelitian dan pengembangan terhadap sekumpulan
kontrol teknologi informasi, yang dapat diterima secara internasional bagi
kepentingan auditor dan manajer bisnis suatu organisasi. COBIT mengelompokkan
semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi
ke dalam empat buah domain proses, meliputi :
1. Plan and Organise (10 proses)
Meliputi strategi dan taktik yang berkaitan dengan identifikasi pemanfaatan IT
yang dapat memberikan kontribusi dalam pencapaian tujuan bisnis.
Proses dalam domain ini adalah :
Menetapkan rencana strategis TI
Menetapkan susunan informasi
Menetapkan kebijakan teknologi
Menetapkan hubungan dan organisasi TI
Mengelola investasi IT
Mengkomunikasikan arah dan tujuan manajemen
Mengelola sumberdaya manusia
2. Acquire and Implement (7 proses)
Merupakan domain proses yang merealisasikan strategi IT, serta solusi – solusi
IT yang diperlukan untuk diterapkan pada proses bisnis organisasi. Pada domain
ini pula dilakukan pengelolaan perubahan terhadap sistem eksisting untuk
menjamin proses yang berkesinambungan.
Page | 9
Langkah – langkah domain ini adalah :
Mengidentifikasi solusi terotomatisasi
Mendapatkan dan memelihara software aplikasi
Mendapatkan dan memelihara infrastruktur teknologi
Mengembangkan dan memelihara prosedur
Memasang dan mengakui sistem
Mengelola perubahan
3. Delivery and Support (13 proses)
Domain ini berfokus utama pada aspek penyampaian atau pengiriman dari IT.
Domain ini mencakup area-area seperti pengoperasian aplikasi – aplikasi dalam
sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan
pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan
ini termasuk isu atau masalah keamanan dan juga pelatihan.
Proses dalam domain ini adalah :
Menetapkan dan mengelola tingkat pelayanan
Mengelola pelayanan kepada pihak lain
Mengelola kinerja dan kapasitas
Memastikan pelayanan yang kontinyu
Memastikan keamanan sistem
4. Monitor and Evaluate (4 proses)
Merupakan domain yang memberikan pandangan bagi pihak manejemen
berkaitan dengan kualitas dan kepatuhan dari proses yang berlangsung dengan
kendali-kendali yang diisyaratkan.
Proses dalam domain ini sebagai berikut :
Memonitor proses
Page | 10
Menaksir kecukupan pengendalian internal
Mendapatkan kepastian yang independen
Kerangka kerja COBIT juga memasukan hal-hal berikut :
1. Maturity Models
Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5)
dibandingkan dengan “the best in the class in the Industry” dan juga International
best practices.
Skala – skala maturity models akan dijabarkan sebagai berikut :
Skala 0 - Not Existance
Karena perusahaan tidak menyadari pentingnya membuatperencanaan strategis
di bidang teknologi informasi. Dalam skala ini penting untuk dilakukan evaluasi
pengendalian dan dijadikan sebagai temuan yang penting.
Skala 1 – Initial
Adanya fakta – fakta bahwa perusahaan telah menyadari akan pentingnya
pembuatan perencanaan strategis di bidang teknologi informasi. Namun, tidak
ada prosesyang distandarisasi; perencanaan, perancangan dan manajemen
masih belum terorganisir dengan baik. Dalam skala ini keperluan untuk dijadikan
temuan tidak diutamakan, karena tingkat kemungkinan terjadinya resiko tidak
sebesar skala nol.
Skala 2 – Repeatable
Perusahaan telah menetapkan prosedur untuk dipatuhi oleh karyawan, namun
belum dikomunikasikan dan belum adanya pemberian latihan formal kepada
setiap karyawan mengenai prosedur; dan tanggung jawab diberikan sepenuhnya
kepada individu sehingga pemberian kepercayaan sepenuhnya kemungkinan
dapat terjadi penyalahgunaan.
Page | 11
Skala 3 – Defined
Seluruh proses telah didokumentasikan dan telah dikomunikasikan,serta
dilaksanakan berdasarkan metode pengembangan sistem komputerisasi yang
baik, namun belum ada proses evaluasi terhadap sistem tersebut, sehingga
masih ada kemungkinan terjadinya penyimpangan.
Skala 4 - Managed
Proses komputerisasi telah dapat dimonitor dan dievaluasi denganbaik,
manajemen proyek pengembangan sistem komputerisasi sudah dijalankan
denganlebih terorganisir.
Skala 5 – Optimised
Best Practices (pedoman terbaik) telah diikuti dan diotomatisasi pada sistem
berdasarkan proses yang terencana, terorganisir dan menggunakan metodologi
yang tepat.
2. Critical Success Factors (CSFs)
Adalah arahan implementasi bagi manajemen agar dapat melakukan kontrol atas
proses TI.
3. Key Goal Indicators (KGIs)
Merupakan kinerja proses-proses TI sehubungan dengan business requirement.
4. Key Performance Indicators (KPIs)
Adalah kinerja proses-proses TI sehubungan dengan process goals.
2.3.6
Konsep Pengendalian COBIT
Page | 12
Dalam hal tujuan pengendalian, COBIT mendefinisikannya sebagai “Suatu
pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan
mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”. COBIT
melihat pengendalian dalam tiga dimensi berbeda yaitu Sumber IT, Proses IT, dan
Kriteria Informasi IT. Sumber IT sebagai dimensi pertama akan dijabarkan lebih
mendalam pada sub-bab berikutnya. Proses IT sebagai dimensi kedua dari COBIT
terdiri dari tiga segmen, yaitu domains, proses, dan aktivitas. Sedangkan dalam
dimensi ketiganya, COBIT menetapkan kriteria informasi yang berguna dalam
mendukung tercapainya tujuan organisasi dengan merujuk pada kebutuhan
informasi di organisasi atau perusahaan. COBIT mengkombinasikan beberapa
prinsip penyusunan informasi berdasarkan model model yang sudah ada, dan
merumuskannya kedalam tiga kategori utama, yaitu quality, fiduciary responsibility
dan security yang kemudian diuraikan lebih lanjut dalam kriteria-kriteria sebagai
berikut :
Efektifitas
Efisiensi
Kerahasiaan
Integritas
Ketersediaan
Kepatuhan
2.3.7
Pengguna COBIT
COBIT dirancang untuk digunakan oleh tiga pengguna berbeda yaitu :
1. Manajemen
Dengan
penerapan
COBIT,
manajemen
dapat
terbantu
dalam
proses
penyeimbangan resiko dan pengendalian investasi dalam lingkungan IT yang tidak
dapat diprediksi.
Page | 13
2. User
Pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan
keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak
ketiga.
3. Auditor
Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang
dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian
internal yang ada.
2.3.8
Sumber Daya TI
Sumber daya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau
diidentifikasikan sebagai berikut :
Data, adalah obyek-obyek dalam pengertian yang lebih luas (yakni internal dan
eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.
Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur
manual maupun yang terprogram.
Teknologi, mencakup hardware, sistem operasi, sistem manajemen database,
jaringan (networking), multimedia, dan lain- lain.
Fasilitas, adalah semua sumber daya untuk menyimpan dan mendukung system
informasi.
Manusia termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan,
mengorganisasikan
atau
melaksanakan,
memperoleh,
menyampaikan,
mendukung dan memantau layanan sistem informasi.
2.3.9
COBIT 4.1 vs COBIT 5
COBIT dikenal luas sebagai standard defacto untuk kerangka kerja tata kelola TI (IT
Governance) dan yang terkait dengannya. Di sisi lain standard atau framework ini
Page | 14
terus berevolusi sejak pertama kali diluncurkan di 1996 hingga rilis terakhir yaitu
COBIT 5 yang diluncurkan pada Juni 2012 yang lalu. Pada setiap rilisnya, kerangka
kerja ini melakukan pergeseran – pergeseran beberapa paradigma. Teknologi
Informasi dan pemanfaatannya yang berkembang dengan cepat tentunya menuntut
perubahan dalam tata cara pengelolaannya juga, sehingga frameworknya juga perlu
penyesuaian. Selain itu penerapan apapun pada tataran konseptual ke dalam
tataran praktis akan selalu memunculkan titik-titik yang dapat diperbaiki dan
disempurnakan terus-menerus. Perbaikan yang cukup telah dilakukan terhadap
COBIT framework untuk posisi sebagai model tata kelola teknologi informasi di
perusahaan. Tidak seperti pendahulunya (COBIT 4.1) dan ITIL v3, COBIT 5
framework mengalamatkan tiga tingkat dari sebuah framework tata kelola TI.
Perbaikan dalam COBIT 5 meliputi restrukturisasi deskripsi dari proses individu,
mengidentifikasi dasar praktek-praktek yang sebenarnya dalam setiap proses dan
menggambarkan kegiatan utama dalam setiap dasar praktek. Perubahan yang
paling signifikan untuk COBIT adalah reorganisasi framework dari sebuah model
proses TI ke framework tata kelola TI dengan serangkaian penerapan tata kelola TI,
sistem manajemen untuk perbaikan terus-menerus di kegiatan TI dan model proses
dengan dasar praktek. COBIT 5 akan didasarkan pada prinsip-prinsip tata kelola
perusahaan yang sehat dan akan membantu organisasi mengelola risiko
operasional, serta tetap bertahan di atas persyaratan kepatuhan yang terus
berkembang.
Ada beberapa perubahan penting yang dibawa oleh COBIT rilis teranyar ini
dibanding versi pendahulunya. Apakah itu?
Pertama, prinsip baru dalam tata kelola TI untuk organisasi, Governance of
Enterprise IT (GEIT). COBIT 5, sebagaimana juga Val IT dan Risk IT, lebih
berorientasi pada prinsip dibanding pada proses. Berdasarkan feedback yang
masuk, menyatakan bahwa ternyata penggunaan prinsip – prinsip lebih mudah
dipahami dan diterapkan dalam konteks enterprise secara lebih efektif.
Kedua, COBIT 5 memberi penekanan lebih kepada Enabler. Walaupun sebenarnya
COBIT 4.1 juga menyebutkan adanya enabler – enabler, hanya saja COBIT 4.1 tidak
Page | 15
menyebutnya dengan enabler. Sementara COBIT 5 menyebutkan secara spesifik
ada 7 enabler dalam implementasinya. Berikut ini adalah ketujuh enabler COBIT 5
dan perbandingan untuk hal yang sama di COBIT 4.1 :
1. Prinsip-prinsip, kebijakan dan kerangka kerja. Kalau di COBIT 4.1, poin-poin ini
tersebar dalam beberapa proses-proses COBIT 4.1.
2. Proses-proses. Proses adalah sentral dari COBIT 4.1.
3. Struktur Organisasi. Dalam COBIT 4.1, struktur organisasi tercermin dalam
RACI chart yang mendefinisikan peran dan tanggung-jawab para pihak dalam
setiap proses.
4. Kultur, etika dan perilaku. Poin ini terselip di beberapa proses COBIT 4.1
5. Informasi. Dalam COBIT 4.1, informasi merupakan salah satu sumber daya TI
(IT resources).
6. Layanan, Infrastruktur, dan Aplikasi. Dalam COBIT 4.1, infrastruktur dan
aplikasi (disatukan dengan layanan) merupakan sumber daya TI juga.
7. Orang, keterampilan (skills) dan kompetensi . Dalam COBIT 4.1, hanya
disebutkan “orang” sebagai salah satu sumber daya (walau sebenarnya
mencakup juga keterampilan dan kompetensinya)
Ketiga, COBIT 5 mendefinisikan model referensi proses yang baru dengan
tambahan domain governance dan beberapa proses baik yang sama sekali baru
ataupun modifikasi proses lama serta mencakup aktifitas organisasi secara end-toend. Selain mengkonsolidasikan COBIT 4.1, Val IT, dan Risk IT dalam sebuah
framework, COBIT 5 juga dimutakhirkan untuk menyelaraskan dengan best
practices yang ada seperti misalnya ITIL v3 2011 dan TOGAF.
Page | 16
Keempat, seperti disinggung sebelumnya, bahwa dalam COBIT 5 terdapat prosesproses baru yang sebelumnya belum ada di COBIT 4.1, serta beberapa modifikasi
pada proses-proses yang sudah ada sebelumnya di COBIT 4.1. Secara sederhana
dapat dikatakan bahwa model referensi proses COBIT 5 ini sebenarnya
mengintegrasikan konten COBIT 4.1, Risk IT dan Val IT. Sehingga proses-proses
pada COBIT 5 ini lebih holistik, lengkap dan mencakup aktifitas bisnis dan IT secara
end-to-end.
Kelima, Praktik dan Aktifitas. Praktik dan aktifitas tata kelola dan manajemen pada
COBIT 5 sebenarnya ekuivalen dengan control objective COBIT 4.1 serta prosesproses pada Val IT dan Risk IT. Sementara itu aktifitas pada COBIT 5 sebenarnya
identik dengan dengan control practices pada COBIT 4.1 dan management practices
pada Val IT dan Risk IT.
Keenam, Goal dan Metrik. COBIT 5 menggunakan konsep goal dan metrik yang
sama dengan COBIT 4.1, Val IT, dan Risk IT. Hanya saja COBIT 5 mengubah
namanya menjadi enterprise-goal, IT-related goal dan process goal untuk
mencerminkan view secara organisasi. COBIT 5 juga memberikan contoh-contoh
goal dan metriknya pada tingkatan enterprise, proses dan manajemen pada
tingkatan praktis. Inilah bedanya dengan COBIT 4.1, Val IT, dan Risk IT yang
bermain satu tingkatan di bawahnya.
Ketujuh, Input dan Output. Framework COBIT 5 menyediakan input dan output
untuk setiap management practice, sementara COBIT 4.1 hanya menyediakan ini
pada tingkatan proses saja. Hal ini dapat dijadikan petunjuk tambahan dalam
mendesain proses-proses berikut produk kerja yang dihasilkan dan membantu
integrasi antar proses-proses yang ada.
Kedelapan, RACI Chart. Pada dasarnya COBIT 5 menyediakan diagram RACI yang
menjelaskan peran dan tanggung jawab dengan cara yang sama seperti pada
COBIT 4.1, Val IT, maupun Risk IT. Hanya saja COBIT 5 memberikan diagram yang
lebih lengkap, detail dan rentang yang lebih jelas dari setiap pihak baik IT maupun
bisnis untuk setiap praktik manajemen. Tentunya hal ini akan lebih memudahkan
dalam proses desain dan penerapan proses-prosesnya.
Page | 17
Kesembilan, Model dan Asesmen terhadap Process Capability. Framework COBIT
5 tidak lagi menggunakan pendekatan berbasis CMM seperti yang digunakan dalam
COBIT 4.1, Val IT, maupun Risk IT. Sebagai gantinya COBIT 5 akan menggunakan
pendekatan baru yang berbasis pada ISO/IEC 15504. Pendekatan yang digunakan
COBIT 4.1, Val IT dan Risk IT menggunakan atribut dan skala pengukuran yang
berbeda dengan pendekatan berbasis ISO/IEC 15504 ini. Pendekatan baru ini
menurut ISACA merupakan pendekatan yang lebih baik, handal dan juga lebih
repeatable sebagai sebuah metode penilaian kematangan/kemampuan proses. Bagi
yang sudah biasa menggunakan metode sebelumnya berbasis CMM, maka tentu
dibutuhkan penyesuaian – penyesuaian dan penyelarasan – penyelarasan.
2.3.10 Contoh Penerapan COBIT Dalam Organisasi
Implementasi pada BUMN
Dipandang dari cukup luasnya cakupan COBIT dalam pengendalian IT organisasi,
maka dapat disimpulkan bahwa BUMN dapat (bahkan seharusnya) mengadopsi
guidelines COBIT dalam pengelolaan dan pengendalian IT-nya. Sebelum uraian
lebih lanjut mengenai aspek – aspek COBIT yang sesuai untuk BUMN, terlebih
dahulu akan diuraikan mengenai keunggulan – keunggulan COBIT dalam
pengendalian internal terhadap manajemen sistem dan informasi sebagai berikut :
Akseptansi secara internasional, karena didasarkan atas pengalaman praktik dan
profesionalitas para ahli di seluruh dunia.
Memenuhi standar ISO17799, COSO I dan II, dan standar – standar terkait
lainnya.
COBIT menjadi jembatan komunikasi antara fungsi IT, bisnis dan auditor dengan
menyediakan suatu pendekatan umum yang dapat dimengerti oleh semuanya
pihak.
COBIT berorientasi kepada manajemen, dapat diaplikasikan, dan mudah
digunakan.
COBIT menyediakan dukungan yang kuat untuk audit IT, meminimalisasi biaya
resiko audit, dan dapat meningkatkan kualitas audit dan opini audit.
Page | 18
COBIT dapat menghemat waktu dalam mengimplementasikan praktek-praktek
yang efektif.
COBIT bersifat fleksibel dan mudah beradaptasi untuk menyesuaikan dengan
ukuran dan budaya organisasi, serta kebutuhan khusus lainnya.
COBIT adalah sebuah konsep yang lengkap dan terintegrasi, dan dikelola oleh
organisasi non profit yang sudah memiliki reputasi, yakni ISACA.
Selain berbagai keunggulan – keunggulan yang disebutkan diatas, terdapat
beberapa alasan lain mengapa sebuah organisasi mengadopsi COBIT yaitu :
COBIT memberikan perhatian kepada tata kelola IT yang baik (Good IT
Governance).
Untuk menguji akuntabilitas manajemen terhadap sumber daya teknologi
informasi.
Adanya kebutuhan khusus untuk pengendalian sumber daya TI.
Sebuah solusi yang berorientasi bisnis, karena COBIT mengedepankan
penggunaan sumber daya TI yang efektif dan efisien.
COBIT menyediakan kerangka untuk penilaian resiko atas IT.
Berbasis otorisasi.
Meningkatkan komunikasi antara manajemen, pengguna (users), dan auditor.
Dari keuntungan diatas, dapat disimpulkan bahwa penerapan COBIT dalam
pengelolaan IT BUMN adalah sebuah keharusan. Keseluruhan aspek dalam
kerangka kerja COBIT dapat diadopsi, uraian singkat berikut akan memberikan
penjelasan lebih lanjut :
Manajemen dapat mengadopsi control objectives COBIT dalam perancangan
model pengelolaan dan pengendalian IT perusahaan. Proses perancangan
tersebut dapat diadopsi dari langkah – langkah atau proses yang ada dalam
domain – domain COBIT.
Page | 19
Manajemen dapat mengadopsi management guideline COBIT sebagai tools
dalam perumusan kebijakan management baik kebijakan mengenai IT maupun
kebijakan lainnya yang berhubungan dengan kinerja organisasi.
Pengawas internal (auditor) dapat menggunakan audit guideline COBIT sebagai
standar dalam perancangan dan pelaksanaan audit atas sistem informasi
organisasi. Secara rinci, auditor menggunakannya dalam :
Perencanaan audit dan pengembangan program audit.
Validasi kontrol – kontrol TI
Evaluasi resiko – resiko TI
Mudahnya adopsi COBIT dalam pengelolaan IT pada dasarnya disebabkan oleh
mudahnya modifikasi guidelines COBIT sesuai dengan kondisi industri dan kondisi
IT perusahaan atau organisasi.
BAB 3
PENUTUP
3.1 Simpulan
Melalui penulisan ini, dapat disimpulkan :
a. Pengendalian merupakan aspek penting dalam manajemen organisasi dalam
mengurangi resiko kerugian dan penyimpangan dalam organisasi tersebut.
b. COBIT adalah suatu standar dalam audit sistem informasi yang berperan dalam
pengendalian terhadap teknologi informasi yang diterima secara internasional.
Page | 20
c. COBIT berfungsi dalam mendukung kinerja audit dengan arahan atau guidelines
secara rinci, serta memberikan petunjuk untuk tata kelola TI dalam organisasi
d. Keseluruhan aspek dalam kerangka kerja COBIT dapat digunakan sebagai
landasan perumusan kebijakan management baik kebijakan mengenai IT
maupun kebijakan lainnya yang berhubungan dengan kinerja organisasi.
3.2 Saran
Cobit dapat dijadikan sebagai alat bantu yang digunakan untuk mengefektifkan 4
good practices IT governance dalam organisasi dimana 4 good practices tersebut
merupakan domain dari COBIT, yaitu Planning-Organization (PO), AcquisitionImplementation (AI), Delivery-Support (DS), dan Monitoring (M). Kerangka kerja
COBIT digunakan untuk membantu auditor, manajemen dan pengguna untuk
menjembatani gap antara resiko bisnis, kebutuhan control dan permasalahanpermasalahan teknis. Dari keunggulan – keunggulan COBIT tersebut dapat
diketahui bahwa COBIT merupakan tools yang baik bagi manajemen perusahaan
atau organisasi dalam menerapkan kinerja audit sistem informasi yang bertujuan
mengurangi kemungkinan resiko dan mendukung manajemen dalam melakukan
perbaikan tata kelola sistem informasi dalam organisasi agar menjadi lebih baik lagi.
Page | 21