Ini adalah versi penulis dari pekerjaan
Ini adalah versi penulis dari pekerjaan yang diserahkan / diterima untuk publikasi
dalam sumber berikut:
Al Omari, Loai, Barnes, Paul H., & Pitman, Grant (2012) Mengoptimalkan COBIT
5 untuk tata kelola TI: contoh dari sektor publik. Dalam Prosiding
yang ATISR 2012: 2 Konferensi Internasional tentang dan Terapan Teoritis
Sistem Informasi Riset (2. ATISR2012), Academy of Taiwan
Sistem Informasi Penelitian, Taipei, Taiwan.
Berkas ini telah didownload dari: http://eprints.qut.edu.au/55561/
Copyright 2012 silakan berkonsultasi penulis
Pemberitahuan: Perubahan diperkenalkan sebagai hasil dari proses penerbitan seperti
copy-editing dan format mungkin tidak tercermin dalam dokumen ini. Untuk sebuah
versi definitif dari karya ini, silakan merujuk ke sumber diterbitkan:
Mengoptimalkan COBIT 5 untuk IT Governance
ABSTRAK
Tujuan pengendalian bagi informasi dan teknologi terkait (COBIT) telah berkembang
menjadi salah satu IT Governance yang paling signifikan (ITG) kerangka kerja yang tersedia dan juga
yang terbaik cocok untuk audit, karena menyediakan bimbingan yang luas di sekitar proses IT
dan terkait tujuan bisnis. Namun, mengingat kendala waktu dan sumber daya
di mana sektor publik Australia dipaksa untuk beroperasi, melaksanakan audit
kerangka ukuran COBIT secara keseluruhan sering dianggap terlalu besar tugas. sebagai
alternatif untuk implementasi penuh tidak jarang untuk sektor publik untuk "cherry
memilih "kontrol dari kerangka dalam upaya untuk mengurangi ukurannya. Makalah ini melaporkan
Penelitian dilakukan untuk mengevaluasi potensi untuk menggunakan sub-set dioptimalkan dari
COBIT 5 audit ITG di organisasi sektor publik Australia. Sebuah metodologi survei itu
digunakan untuk menentukan kontrol-tujuan dianggap sebagai yang paling penting untuk
pemilihan organisasi sektor publik. Dua belas kontrol-tujuan diidentifikasi sebagai
yang paling penting untuk organisasi sektor publik Queensland. Sepuluh dari mereka
juga diidentifikasi oleh penelitian sebelumnya, tampaknya mungkin untuk mendapatkan sebuah subset dioptimalkan
dari COBIT 5 yang akan baik abadi dan relevan di geografis dan
konteks organisasi.
1. PERKENALAN
organisasi sektor publik memiliki, tujuan mendasar sering tidak berwujud yang unik (mis
kesehatan, pendidikan) yang diharapkan akan diserahkan ke sejumlah besar pelanggan
di bawah kendala anggaran dan tepat waktu. Pertunjukan di bawah tekanan tidak baru untuk umum
organisasi sektor karena mereka terus mengalami pergeseran fokus terhadap
Prestasi hemat biaya tujuan ini dengan peningkatan penekanan Informasi
Teknologi (IT) untuk mendukung pemberian layanan. Namun, informasi yang mengatur
teknologi (atau tata kelola TI) bukanlah tugas yang mudah karena diakui menjadi kritis
masalah yang dihadapi sektor publik saat ini [1].
Di sektor publik, dua jenis audit dapat didefinisikan: audit keuangan dan
audit kinerja [2]. Melakukan penilaian tata kelola TI (ITG)
proses-sering disebut sebagai ITG audit- dianggap bagian dari yang terakhir dan
berorientasi memeriksa kinerja, efisiensi, efektivitas dan sering
menekankan konformasi akuntabilitas atau kepatuhan untuk memastikan keselarasan dengan
tujuan bisnis dan akhirnya memberikan nilai dari investasi TI [3]. Faktanya,
penggunaan kerangka mapan untuk memandu penilaian ITG akan menghasilkan
dalam penilaian yang lebih komprehensif dan dapat diandalkan [4]. Namun, kurangnya
dikembangkan
metodologi dan alat untuk mengimbangi perubahan yang terjadi dalam audit dan
bidang teknologi telah diidentifikasi sebagai tantangan dalam melakukan pemeriksaan ITG di
sektor publik Australia [5].
COBIT telah terus mencapai pengakuan di seluruh dunia sebagai sumber terpercaya untuk
ITG dan audit dan menjadi standar utama untuk mengadopsi untuk menghubungkan proses TI untuk
tujuan bisnis [6-8]. Selain itu, industri swasta dan publik, pemerintah,
akuntansi dan audit yang perusahaan telah menerima kerangka global. Versi baru,
COBIT 5, membagi ITG menjadi lima domain: Evaluasi, langsung dan Monitor (EDM); Meluruskan,
Rencana dan Atur (APO); Membangun, Memperoleh dan Melaksanakan (BAI); Menyampaikan,
layanan dan
Dukungan (DSS); dan Monitor, Evaluasi dan Kaji (MEA), yang dipecah menjadi 37
proses tingkat tinggi dan lebih dari 300 kontrol rinci mencakup berbagai IT
manajemen dan tata kelola [9]. organisasi sektor publik bisa melihat
menerapkan kerangka kerja audit ukuran COBIT secara keseluruhan terlalu besar tugas.
Sebagai alternatif untuk implementasi penuh tidak jarang untuk sektor publik untuk
"Cherry pick" mengontrol dari kerangka dalam upaya untuk mengurangi ukurannya. Ini akan
menyebabkan menciptakan set berbeda dari alat audit yang akan digunakan nanti dalam program
audit. Sebagai
Hasilnya, temuan program audit ini akan tanpa ragu menjadi tidak konsisten
di sektor publik. Di masa lalu, studi berfokus pada ITG dan COBIT di lebar
berbagai sektor industri dan lokasi geografis telah dilakukan untuk
memeriksa yang kontrol-tujuan tingkat tinggi yang dianggap sebagai yang paling
penting dalam kerangka. Dalam mengidentifikasi kontrol-tujuan yang paling penting
dari COBIT, untuk mengurangi jumlah langkah audit yang ITG, bentuk singkatan dari
kerangka dikembangkan untuk membantu organisasi -dalam khususnya sektoral publik
mengukur kontrol dan proses secara sederhana dan membantu auditor untuk melaksanakan
program audit ITG efisien.
Mengingat kurangnya penelitian ilmiah ke dalam kerangka [10], tujuan
makalah ini adalah untuk menguji mana dari kontrol-tujuan tingkat tinggi dari COBIT 5 adalah
dianggap oleh peserta dari sektor publik Queensland menjadi yang paling penting
dan apakah kontrol-tujuan tersebut akan berlaku di seluruh geografis lainnya
dan konteks organisasi. Makalah ini juga akan menyelidiki pilihan untuk mendefinisikan
dioptimalkan sub-set dari COBIT 5 cocok untuk digunakan oleh sektor publik Australia.
2. LATAR BELAKANG
2.1 COBIT untuk Audit ITG
Sejak pertama kali diperkenalkan enam belas tahun yang lalu pada tahun 1996, kerangka COBIT
memiliki
secara konsisten dipelihara dan dikembangkan untuk menjadi tak terpisahkan dari IT
pemerintahan dengan tujuan utama mendefinisikan serangkaian proses yang diperlukan untuk
3
kemudi sumber daya TI untuk mencapai tujuan bisnis. Kerangka kerja sering
digunakan sebagai sistem kepatuhan pemeriksaan karena didasarkan pada kontrol wajib pajak dan
dipandu oleh Capability Maturity Model (CMM) untuk memfasilitasi identifikasi risiko
eksposur dan realisasi manfaat [11].
Secara umum, audit penilaian yang sistematis, obyektif dan independen yang dibutuhkan oleh
masyarakat pada umumnya untuk memperoleh dan mengevaluasi tingkat korespondensi atau
kepatuhan
dengan pra-didirikan kriteria [12, 13]. Dalam arena sektor publik, audit yang merupakan penting
Mekanisme untuk menampilkan akuntabilitas yang lebih besar dalam memberikan pelayanan kepada
masyarakat
dan menunjukkan efisiensi dalam mengelola sumber daya publik [14]. Bahkan, audit dalam
sektor publik dianggap mempromosikan tata pemerintahan yang baik, menghubungkan proses bisnis
dan
tujuan, dan secara substansial meningkatkan efektivitas dan efisiensi sektor publik
organisasi [15-17]. Oleh karena itu, kontribusi umum auditor untuk sektor publik
akuntabilitas dan reformasi di Australia eksplisit karena menjunjung tinggi nilai-nilai
transparansi dan good governance [18].
Di masa lalu, Kantor Audit Nasional (ANAO) lingkup Australia audit adalah
diperpanjang dari pemeriksaan hanya keuangan untuk menyertakan kinerja dan audit lingkungan
untuk
mencerminkan pentingnya audit kinerja untuk meningkatkan akuntabilitas
Pemerintah [19]. Tidak seperti audit keuangan yang berfokus pada akuntabilitas fiskal,
audit kinerja menyediakan tingkat jaminan pada penggunaan efektif dan efisien
sumber daya dan dana publik. Hal ini menyajikan organisasi sektor publik dengan
rekomendasi untuk memperoleh hasil yang lebih baik berdasarkan evaluasi kinerja
atau kriteria audit didefinisikan [20]. COBIT dianggap cocok dengan ANAO dan lainnya
Negara Audit kantor (mis Kantor Audit Tasmanian) harapan sebagai alat audit untuk
menentukan efektivitas dan efisiensi pengelolaan operasional oleh masyarakat
organisasi sektor sistem TI yang dipilih [21, 22]. Dalam banyak kasus, kriteria audit yang
tidak statis dan sering berasal dari undang-undang (mis Sarbanes-Oxley Act), standar
(Mis ISO 27001), praktik terbaik dan kerangka kerja (mis COBIT, COSO) atau hanya
didorong oleh analisis kegagalan pemerintahan sebelumnya [23].
Dalam menanggapi kebutuhan untuk kontrol internal ITG, kerangka COBIT adalah
dikembangkan untuk memberikan dasar metodis untuk penataan dan melakukan Audit ITG
[24]. asal kerangka dalam audit dan fokus pada menyelaraskan bisnis dengan IT
tujuan dan proses untuk meningkatkan ITG membuatnya menjadi alat yang kuat untuk kinerja
pengukuran pengendalian internal layanan TI [25].
2.2 Kerangka COBIT
Penambahan baru dari kerangka, COBIT 5, diterbitkan pada tahun 2012, melihat pergeseran
orientasi kerangka terhadap bisnis melalui pembentukan satu terintegrasi
kerangka kerja yang terdiri dari model yang berbeda (mis Val IT, Risiko IT). Ini
penggabungan sebagian besar karena kebutuhan diakui untuk memberikan yang komprehensif
dasar pilihan tidak hanya untuk pengguna dan auditor, tetapi juga untuk manajer senior dan
pemilik proses bisnis untuk mencakup semua aspek bisnis dan TI fungsional
tanggung jawab yang mengarah ke tata kelola dan manajemen hasil yang efektif [25, 26].
Kerangka kerja ini memberikan panduan yang luas untuk memastikan keselarasan IT dan
tujuan bisnis dengan mendefinisikan serangkaian proses; mulai dari strategi untuk
pengembangan operasional dan dukungan, memberikan sarana untuk mengevaluasi proses jatuh
tempo,
dan memaksimalkan manfaat sekaligus mengurangi risiko. COBIT 5 mengidentifikasi lima prinsip
dasar,
tujuh kategori enabler untuk memerintah dan mengelola kebutuhan informasi, baru
Proses model referensi, tujuan peningkatan dan metrik, dan sejalan dengan ISO / IEC
15504 model proses penilaian kemampuan dan ISO / IEC 38500 "Perusahaan
tata kelola teknologi informasi "[9]. Sejumlah proses dari sebelumnya
4
versi kerangka digabung dalam COBIT 5 dan beberapa proses tunggal dari
versi sebelumnya dibagi untuk membentuk proses terpisah untuk memungkinkan lebih spesifik
bimbingan. Misalnya, PO9 "Menilai Risiko" dibagi menjadi APO12 "Mengelola Risiko" dan
EDM03 "Pastikan Optimisation Risiko" untuk menutupi aspek tata kelola risiko.
Dari perspektif pemeriksaan ITG, pergeseran dari CMM sebelumnya diadopsi oleh COBIT
4 atau 4,1 [27] dengan ISO / IEC 15504 Kemampuan Proses Model (PCM) memiliki
merevolusi COBIT 5 memberikan canggih dalam menilai kemampuan di proses
tingkat bukannya menilai kematangan di tingkat perusahaan. Pendekatan baru ini tidak
hanya lebih konsisten dan berulang, tetapi juga diverifikasi dan dapat menunjukkan
traceability terhadap bukti objektif yang dikumpulkan selama pengkajian [28]. PCM
telah digunakan secara luas oleh institusi keuangan di Eropa untuk melakukan internal yang
kontrol audit dengan tujuan menilai kebutuhan perbaikan proses. Hal ini menambah
keuntungan organisasi harus berharap dari pelaksanaan COBIT 5 sebagai
kemitraan antara kerangka dan PCM memberikan skala pengukuran
kuantitatif mengevaluasi keberadaan, kecukupan, efektivitas, dan kompatibilitas
proses ITG [29].
2.3 Studi COBIT Sebelumnya
Terlepas dari sumber daya yang luas elektronik yang tersedia di COBIT, yang dirancang untuk
praktisi dan diproduksi dalam hubungannya dengan ISACA dan ITGI, sangat sedikit
penelitian akademik dapat ditemukan bahwa ketat mengevaluasi kerangka kerja
efektivitas atau menyelidiki bagaimana telah diadopsi di sektor swasta dan publik
seluruh dunia [30, 31]. Artinya, dengan COBIT 5 karena hanya baru-baru ini
selesai dan dirilis penelitian lebih lanjut untuk efektivitas melalui memanjang
Penelitian dibenarkan. Ada penelitian sebelumnya yang melibatkan pendahulu COBIT 5
dan studi ini akan diperiksa.
Makalah ini akan memeriksa tiga penelitian sebelumnya seperti yang dijelaskan pada Tabel 1. Dalam
semua ini
studi, peserta dari organisasi yang berbeda -yang terdiri dari IT, audit dan
bisnis experts- meneliti tingkat tinggi kontrol-tujuan dari COBIT yang
kerangka kerja dan persepsi yang ditawarkan pada yang paling penting kontrol TI untuk mencapai
organisasi / tujuan bisnis dalam upaya untuk merancang alat self-assessment atau
dioptimalkan sub-set untuk audit kinerja. Setelah itu, organisasi berhasil
dilakukan penilaian kinerja terhadap dioptimalkan sub-set memanfaatkan
enam-titik skala kematangan COBIT (yang didasarkan pada CMM) untuk mengidentifikasi daerahdaerah
perbaikan. Penelitian terbaru dalam konteks Australia yang lebih luas setidaknya enam
tahun. Dalam perubahan lingkungan yang cepat dari IT dan rilis terbaru dari COBIT 5,
penelitian lebih lanjut diharapkan untuk memimpin temuan yang lebih relevan.
2.4 Tujuan Penelitian
Tujuan prinsip dari penelitian ini adalah untuk mendefinisikan sebuah sub-set dioptimalkan dari
COBIT 5
cocok untuk pemeriksaan ITG di sektor publik Australia. Tambahan Tujuan penelitian ini adalah untuk
membandingkan temuan penelitian ini dengan studi internasional dan nasional sebelumnya
untuk memberikan indikasi penerapan dioptimalkan sub-set di berbagai
konteks geografis dan organisasi.
Mengidentifikasi sub-set dioptimalkan berdasarkan prioritas kontrol-tujuan tingkat tinggi sebagai
yang paling penting dari kerangka COBIT memberikan cara untuk mengurangi jumlah
langkah-langkah audit, sehingga lebih relevan dan terfokus pada isu-isu secara rutin
dihadapi oleh organisasi sektor publik. [32-34]
5
3. METODOLOGI
3.1 Penelitian desain dan pengumpulan data
Tulisan ini didasarkan pada analisis dari hasil survei yang diberikan kepada target
peserta dalam organisasi sektor publik dianggap memiliki infrastruktur IT dari
ukuran yang cukup untuk memeriksa tata kelola TI. Perhatian khusus diberikan untuk memastikan
representasi dari berbagai organisasi sektor publik dari pemerintah bisnis
perusahaan, departemen konvensional dan pemerintah daerah.
Uji coba kuesioner diberikan kepada lima pemimpin pemikiran dari
Queensland sektor publik. Berdasarkan umpan balik mereka, tidak ada perubahan lebih lanjut yang
diperlukan untuk instrumen dikembangkan. Survei termasuk peserta diambil dari
tiga kelompok pemeriksaan perwakilan yang berbeda untuk membatasi kerangka sampel Bias. Itu
populasi sasaran termasuk peserta pada tingkat yang berbeda (c-suite, manajer dan
IT, audit dan bisnis perwira senior) yang memiliki pengetahuan ITG dalam
Queensland sektor publik.
Online-kuesioner yang terdiri dari dua bagian dikembangkan sebagai data
Instrumen pengumpulan untuk mengumpulkan pengukuran / persepsi komponen
diusulkan dioptimalkan sub-set dari COBIT sebagai kerangka audit yang ITG. Serupa dengan
Penelitian oleh Gerke dan Ridley [34], bagian pertama ditangkap informasi umum tentang
peserta seperti jenis organisasi, tingkat jabatan dan peringkat
keakraban dengan baik proses TI dan tujuan bisnis pada lima titik Likert-type.
Bagian kedua meminta peserta untuk menilai 37 tingkat tinggi kontrol-tujuan dari
kerangka COBIT 5 sesuai dengan kepentingan mereka untuk organisasi sektor publik
pada skala yang sama. The peringkat dianalisis untuk menghasilkan daftar peringkat untuk
menentukan tingkat tinggi kontrol-tujuan yang dianggap paling penting untuk
organisasi sektor publik Queensland. Validitas dan generalisasi masalah yang
diidentifikasi dan ditangani melalui seleksi dari seluruh penduduk (organisasi QG)
dan memastikan bahwa peserta pilot uji diidentifikasi untuk menghindari mengambil bagian diulang
di
kuesioner.
Analisis 3.2 Data
Data yang dikumpulkan dalam penelitian ini termasuk serangkaian penilaian untuk dua bagian dari
57 responden yang respon individu yang tidak bisa dilacak. Untuk menghasilkan peringkat
daftar tujuan pengendalian, penilaian dari bagian kedua dari kuesioner yang
dianalisis untuk memberikan skor total, rata-rata dan standar deviasi untuk masing-masing 37
Tingkat tinggi kontrol-tujuan. Data diurutkan dalam urutan berdasarkan total. Di
kasus pencocokan total, tujuan kontrol-tingkat tinggi kemudian diurutkan secara ascending
memesan berdasarkan pada nilai-nilai standar deviasi.
Sebagai bagian dari analisis statistik yang digunakan oleh penelitian ini, peringkat menjadi sasaran
untuk t-test sampel mahasiswa yang dipasangkan untuk mengidentifikasi perbedaan yang signifikan
antara
control-tujuan. Tes dimulai dari atas daftar -the peringkat tertinggi
control-objective- (DSS05) pada p
dalam sumber berikut:
Al Omari, Loai, Barnes, Paul H., & Pitman, Grant (2012) Mengoptimalkan COBIT
5 untuk tata kelola TI: contoh dari sektor publik. Dalam Prosiding
yang ATISR 2012: 2 Konferensi Internasional tentang dan Terapan Teoritis
Sistem Informasi Riset (2. ATISR2012), Academy of Taiwan
Sistem Informasi Penelitian, Taipei, Taiwan.
Berkas ini telah didownload dari: http://eprints.qut.edu.au/55561/
Copyright 2012 silakan berkonsultasi penulis
Pemberitahuan: Perubahan diperkenalkan sebagai hasil dari proses penerbitan seperti
copy-editing dan format mungkin tidak tercermin dalam dokumen ini. Untuk sebuah
versi definitif dari karya ini, silakan merujuk ke sumber diterbitkan:
Mengoptimalkan COBIT 5 untuk IT Governance
ABSTRAK
Tujuan pengendalian bagi informasi dan teknologi terkait (COBIT) telah berkembang
menjadi salah satu IT Governance yang paling signifikan (ITG) kerangka kerja yang tersedia dan juga
yang terbaik cocok untuk audit, karena menyediakan bimbingan yang luas di sekitar proses IT
dan terkait tujuan bisnis. Namun, mengingat kendala waktu dan sumber daya
di mana sektor publik Australia dipaksa untuk beroperasi, melaksanakan audit
kerangka ukuran COBIT secara keseluruhan sering dianggap terlalu besar tugas. sebagai
alternatif untuk implementasi penuh tidak jarang untuk sektor publik untuk "cherry
memilih "kontrol dari kerangka dalam upaya untuk mengurangi ukurannya. Makalah ini melaporkan
Penelitian dilakukan untuk mengevaluasi potensi untuk menggunakan sub-set dioptimalkan dari
COBIT 5 audit ITG di organisasi sektor publik Australia. Sebuah metodologi survei itu
digunakan untuk menentukan kontrol-tujuan dianggap sebagai yang paling penting untuk
pemilihan organisasi sektor publik. Dua belas kontrol-tujuan diidentifikasi sebagai
yang paling penting untuk organisasi sektor publik Queensland. Sepuluh dari mereka
juga diidentifikasi oleh penelitian sebelumnya, tampaknya mungkin untuk mendapatkan sebuah subset dioptimalkan
dari COBIT 5 yang akan baik abadi dan relevan di geografis dan
konteks organisasi.
1. PERKENALAN
organisasi sektor publik memiliki, tujuan mendasar sering tidak berwujud yang unik (mis
kesehatan, pendidikan) yang diharapkan akan diserahkan ke sejumlah besar pelanggan
di bawah kendala anggaran dan tepat waktu. Pertunjukan di bawah tekanan tidak baru untuk umum
organisasi sektor karena mereka terus mengalami pergeseran fokus terhadap
Prestasi hemat biaya tujuan ini dengan peningkatan penekanan Informasi
Teknologi (IT) untuk mendukung pemberian layanan. Namun, informasi yang mengatur
teknologi (atau tata kelola TI) bukanlah tugas yang mudah karena diakui menjadi kritis
masalah yang dihadapi sektor publik saat ini [1].
Di sektor publik, dua jenis audit dapat didefinisikan: audit keuangan dan
audit kinerja [2]. Melakukan penilaian tata kelola TI (ITG)
proses-sering disebut sebagai ITG audit- dianggap bagian dari yang terakhir dan
berorientasi memeriksa kinerja, efisiensi, efektivitas dan sering
menekankan konformasi akuntabilitas atau kepatuhan untuk memastikan keselarasan dengan
tujuan bisnis dan akhirnya memberikan nilai dari investasi TI [3]. Faktanya,
penggunaan kerangka mapan untuk memandu penilaian ITG akan menghasilkan
dalam penilaian yang lebih komprehensif dan dapat diandalkan [4]. Namun, kurangnya
dikembangkan
metodologi dan alat untuk mengimbangi perubahan yang terjadi dalam audit dan
bidang teknologi telah diidentifikasi sebagai tantangan dalam melakukan pemeriksaan ITG di
sektor publik Australia [5].
COBIT telah terus mencapai pengakuan di seluruh dunia sebagai sumber terpercaya untuk
ITG dan audit dan menjadi standar utama untuk mengadopsi untuk menghubungkan proses TI untuk
tujuan bisnis [6-8]. Selain itu, industri swasta dan publik, pemerintah,
akuntansi dan audit yang perusahaan telah menerima kerangka global. Versi baru,
COBIT 5, membagi ITG menjadi lima domain: Evaluasi, langsung dan Monitor (EDM); Meluruskan,
Rencana dan Atur (APO); Membangun, Memperoleh dan Melaksanakan (BAI); Menyampaikan,
layanan dan
Dukungan (DSS); dan Monitor, Evaluasi dan Kaji (MEA), yang dipecah menjadi 37
proses tingkat tinggi dan lebih dari 300 kontrol rinci mencakup berbagai IT
manajemen dan tata kelola [9]. organisasi sektor publik bisa melihat
menerapkan kerangka kerja audit ukuran COBIT secara keseluruhan terlalu besar tugas.
Sebagai alternatif untuk implementasi penuh tidak jarang untuk sektor publik untuk
"Cherry pick" mengontrol dari kerangka dalam upaya untuk mengurangi ukurannya. Ini akan
menyebabkan menciptakan set berbeda dari alat audit yang akan digunakan nanti dalam program
audit. Sebagai
Hasilnya, temuan program audit ini akan tanpa ragu menjadi tidak konsisten
di sektor publik. Di masa lalu, studi berfokus pada ITG dan COBIT di lebar
berbagai sektor industri dan lokasi geografis telah dilakukan untuk
memeriksa yang kontrol-tujuan tingkat tinggi yang dianggap sebagai yang paling
penting dalam kerangka. Dalam mengidentifikasi kontrol-tujuan yang paling penting
dari COBIT, untuk mengurangi jumlah langkah audit yang ITG, bentuk singkatan dari
kerangka dikembangkan untuk membantu organisasi -dalam khususnya sektoral publik
mengukur kontrol dan proses secara sederhana dan membantu auditor untuk melaksanakan
program audit ITG efisien.
Mengingat kurangnya penelitian ilmiah ke dalam kerangka [10], tujuan
makalah ini adalah untuk menguji mana dari kontrol-tujuan tingkat tinggi dari COBIT 5 adalah
dianggap oleh peserta dari sektor publik Queensland menjadi yang paling penting
dan apakah kontrol-tujuan tersebut akan berlaku di seluruh geografis lainnya
dan konteks organisasi. Makalah ini juga akan menyelidiki pilihan untuk mendefinisikan
dioptimalkan sub-set dari COBIT 5 cocok untuk digunakan oleh sektor publik Australia.
2. LATAR BELAKANG
2.1 COBIT untuk Audit ITG
Sejak pertama kali diperkenalkan enam belas tahun yang lalu pada tahun 1996, kerangka COBIT
memiliki
secara konsisten dipelihara dan dikembangkan untuk menjadi tak terpisahkan dari IT
pemerintahan dengan tujuan utama mendefinisikan serangkaian proses yang diperlukan untuk
3
kemudi sumber daya TI untuk mencapai tujuan bisnis. Kerangka kerja sering
digunakan sebagai sistem kepatuhan pemeriksaan karena didasarkan pada kontrol wajib pajak dan
dipandu oleh Capability Maturity Model (CMM) untuk memfasilitasi identifikasi risiko
eksposur dan realisasi manfaat [11].
Secara umum, audit penilaian yang sistematis, obyektif dan independen yang dibutuhkan oleh
masyarakat pada umumnya untuk memperoleh dan mengevaluasi tingkat korespondensi atau
kepatuhan
dengan pra-didirikan kriteria [12, 13]. Dalam arena sektor publik, audit yang merupakan penting
Mekanisme untuk menampilkan akuntabilitas yang lebih besar dalam memberikan pelayanan kepada
masyarakat
dan menunjukkan efisiensi dalam mengelola sumber daya publik [14]. Bahkan, audit dalam
sektor publik dianggap mempromosikan tata pemerintahan yang baik, menghubungkan proses bisnis
dan
tujuan, dan secara substansial meningkatkan efektivitas dan efisiensi sektor publik
organisasi [15-17]. Oleh karena itu, kontribusi umum auditor untuk sektor publik
akuntabilitas dan reformasi di Australia eksplisit karena menjunjung tinggi nilai-nilai
transparansi dan good governance [18].
Di masa lalu, Kantor Audit Nasional (ANAO) lingkup Australia audit adalah
diperpanjang dari pemeriksaan hanya keuangan untuk menyertakan kinerja dan audit lingkungan
untuk
mencerminkan pentingnya audit kinerja untuk meningkatkan akuntabilitas
Pemerintah [19]. Tidak seperti audit keuangan yang berfokus pada akuntabilitas fiskal,
audit kinerja menyediakan tingkat jaminan pada penggunaan efektif dan efisien
sumber daya dan dana publik. Hal ini menyajikan organisasi sektor publik dengan
rekomendasi untuk memperoleh hasil yang lebih baik berdasarkan evaluasi kinerja
atau kriteria audit didefinisikan [20]. COBIT dianggap cocok dengan ANAO dan lainnya
Negara Audit kantor (mis Kantor Audit Tasmanian) harapan sebagai alat audit untuk
menentukan efektivitas dan efisiensi pengelolaan operasional oleh masyarakat
organisasi sektor sistem TI yang dipilih [21, 22]. Dalam banyak kasus, kriteria audit yang
tidak statis dan sering berasal dari undang-undang (mis Sarbanes-Oxley Act), standar
(Mis ISO 27001), praktik terbaik dan kerangka kerja (mis COBIT, COSO) atau hanya
didorong oleh analisis kegagalan pemerintahan sebelumnya [23].
Dalam menanggapi kebutuhan untuk kontrol internal ITG, kerangka COBIT adalah
dikembangkan untuk memberikan dasar metodis untuk penataan dan melakukan Audit ITG
[24]. asal kerangka dalam audit dan fokus pada menyelaraskan bisnis dengan IT
tujuan dan proses untuk meningkatkan ITG membuatnya menjadi alat yang kuat untuk kinerja
pengukuran pengendalian internal layanan TI [25].
2.2 Kerangka COBIT
Penambahan baru dari kerangka, COBIT 5, diterbitkan pada tahun 2012, melihat pergeseran
orientasi kerangka terhadap bisnis melalui pembentukan satu terintegrasi
kerangka kerja yang terdiri dari model yang berbeda (mis Val IT, Risiko IT). Ini
penggabungan sebagian besar karena kebutuhan diakui untuk memberikan yang komprehensif
dasar pilihan tidak hanya untuk pengguna dan auditor, tetapi juga untuk manajer senior dan
pemilik proses bisnis untuk mencakup semua aspek bisnis dan TI fungsional
tanggung jawab yang mengarah ke tata kelola dan manajemen hasil yang efektif [25, 26].
Kerangka kerja ini memberikan panduan yang luas untuk memastikan keselarasan IT dan
tujuan bisnis dengan mendefinisikan serangkaian proses; mulai dari strategi untuk
pengembangan operasional dan dukungan, memberikan sarana untuk mengevaluasi proses jatuh
tempo,
dan memaksimalkan manfaat sekaligus mengurangi risiko. COBIT 5 mengidentifikasi lima prinsip
dasar,
tujuh kategori enabler untuk memerintah dan mengelola kebutuhan informasi, baru
Proses model referensi, tujuan peningkatan dan metrik, dan sejalan dengan ISO / IEC
15504 model proses penilaian kemampuan dan ISO / IEC 38500 "Perusahaan
tata kelola teknologi informasi "[9]. Sejumlah proses dari sebelumnya
4
versi kerangka digabung dalam COBIT 5 dan beberapa proses tunggal dari
versi sebelumnya dibagi untuk membentuk proses terpisah untuk memungkinkan lebih spesifik
bimbingan. Misalnya, PO9 "Menilai Risiko" dibagi menjadi APO12 "Mengelola Risiko" dan
EDM03 "Pastikan Optimisation Risiko" untuk menutupi aspek tata kelola risiko.
Dari perspektif pemeriksaan ITG, pergeseran dari CMM sebelumnya diadopsi oleh COBIT
4 atau 4,1 [27] dengan ISO / IEC 15504 Kemampuan Proses Model (PCM) memiliki
merevolusi COBIT 5 memberikan canggih dalam menilai kemampuan di proses
tingkat bukannya menilai kematangan di tingkat perusahaan. Pendekatan baru ini tidak
hanya lebih konsisten dan berulang, tetapi juga diverifikasi dan dapat menunjukkan
traceability terhadap bukti objektif yang dikumpulkan selama pengkajian [28]. PCM
telah digunakan secara luas oleh institusi keuangan di Eropa untuk melakukan internal yang
kontrol audit dengan tujuan menilai kebutuhan perbaikan proses. Hal ini menambah
keuntungan organisasi harus berharap dari pelaksanaan COBIT 5 sebagai
kemitraan antara kerangka dan PCM memberikan skala pengukuran
kuantitatif mengevaluasi keberadaan, kecukupan, efektivitas, dan kompatibilitas
proses ITG [29].
2.3 Studi COBIT Sebelumnya
Terlepas dari sumber daya yang luas elektronik yang tersedia di COBIT, yang dirancang untuk
praktisi dan diproduksi dalam hubungannya dengan ISACA dan ITGI, sangat sedikit
penelitian akademik dapat ditemukan bahwa ketat mengevaluasi kerangka kerja
efektivitas atau menyelidiki bagaimana telah diadopsi di sektor swasta dan publik
seluruh dunia [30, 31]. Artinya, dengan COBIT 5 karena hanya baru-baru ini
selesai dan dirilis penelitian lebih lanjut untuk efektivitas melalui memanjang
Penelitian dibenarkan. Ada penelitian sebelumnya yang melibatkan pendahulu COBIT 5
dan studi ini akan diperiksa.
Makalah ini akan memeriksa tiga penelitian sebelumnya seperti yang dijelaskan pada Tabel 1. Dalam
semua ini
studi, peserta dari organisasi yang berbeda -yang terdiri dari IT, audit dan
bisnis experts- meneliti tingkat tinggi kontrol-tujuan dari COBIT yang
kerangka kerja dan persepsi yang ditawarkan pada yang paling penting kontrol TI untuk mencapai
organisasi / tujuan bisnis dalam upaya untuk merancang alat self-assessment atau
dioptimalkan sub-set untuk audit kinerja. Setelah itu, organisasi berhasil
dilakukan penilaian kinerja terhadap dioptimalkan sub-set memanfaatkan
enam-titik skala kematangan COBIT (yang didasarkan pada CMM) untuk mengidentifikasi daerahdaerah
perbaikan. Penelitian terbaru dalam konteks Australia yang lebih luas setidaknya enam
tahun. Dalam perubahan lingkungan yang cepat dari IT dan rilis terbaru dari COBIT 5,
penelitian lebih lanjut diharapkan untuk memimpin temuan yang lebih relevan.
2.4 Tujuan Penelitian
Tujuan prinsip dari penelitian ini adalah untuk mendefinisikan sebuah sub-set dioptimalkan dari
COBIT 5
cocok untuk pemeriksaan ITG di sektor publik Australia. Tambahan Tujuan penelitian ini adalah untuk
membandingkan temuan penelitian ini dengan studi internasional dan nasional sebelumnya
untuk memberikan indikasi penerapan dioptimalkan sub-set di berbagai
konteks geografis dan organisasi.
Mengidentifikasi sub-set dioptimalkan berdasarkan prioritas kontrol-tujuan tingkat tinggi sebagai
yang paling penting dari kerangka COBIT memberikan cara untuk mengurangi jumlah
langkah-langkah audit, sehingga lebih relevan dan terfokus pada isu-isu secara rutin
dihadapi oleh organisasi sektor publik. [32-34]
5
3. METODOLOGI
3.1 Penelitian desain dan pengumpulan data
Tulisan ini didasarkan pada analisis dari hasil survei yang diberikan kepada target
peserta dalam organisasi sektor publik dianggap memiliki infrastruktur IT dari
ukuran yang cukup untuk memeriksa tata kelola TI. Perhatian khusus diberikan untuk memastikan
representasi dari berbagai organisasi sektor publik dari pemerintah bisnis
perusahaan, departemen konvensional dan pemerintah daerah.
Uji coba kuesioner diberikan kepada lima pemimpin pemikiran dari
Queensland sektor publik. Berdasarkan umpan balik mereka, tidak ada perubahan lebih lanjut yang
diperlukan untuk instrumen dikembangkan. Survei termasuk peserta diambil dari
tiga kelompok pemeriksaan perwakilan yang berbeda untuk membatasi kerangka sampel Bias. Itu
populasi sasaran termasuk peserta pada tingkat yang berbeda (c-suite, manajer dan
IT, audit dan bisnis perwira senior) yang memiliki pengetahuan ITG dalam
Queensland sektor publik.
Online-kuesioner yang terdiri dari dua bagian dikembangkan sebagai data
Instrumen pengumpulan untuk mengumpulkan pengukuran / persepsi komponen
diusulkan dioptimalkan sub-set dari COBIT sebagai kerangka audit yang ITG. Serupa dengan
Penelitian oleh Gerke dan Ridley [34], bagian pertama ditangkap informasi umum tentang
peserta seperti jenis organisasi, tingkat jabatan dan peringkat
keakraban dengan baik proses TI dan tujuan bisnis pada lima titik Likert-type.
Bagian kedua meminta peserta untuk menilai 37 tingkat tinggi kontrol-tujuan dari
kerangka COBIT 5 sesuai dengan kepentingan mereka untuk organisasi sektor publik
pada skala yang sama. The peringkat dianalisis untuk menghasilkan daftar peringkat untuk
menentukan tingkat tinggi kontrol-tujuan yang dianggap paling penting untuk
organisasi sektor publik Queensland. Validitas dan generalisasi masalah yang
diidentifikasi dan ditangani melalui seleksi dari seluruh penduduk (organisasi QG)
dan memastikan bahwa peserta pilot uji diidentifikasi untuk menghindari mengambil bagian diulang
di
kuesioner.
Analisis 3.2 Data
Data yang dikumpulkan dalam penelitian ini termasuk serangkaian penilaian untuk dua bagian dari
57 responden yang respon individu yang tidak bisa dilacak. Untuk menghasilkan peringkat
daftar tujuan pengendalian, penilaian dari bagian kedua dari kuesioner yang
dianalisis untuk memberikan skor total, rata-rata dan standar deviasi untuk masing-masing 37
Tingkat tinggi kontrol-tujuan. Data diurutkan dalam urutan berdasarkan total. Di
kasus pencocokan total, tujuan kontrol-tingkat tinggi kemudian diurutkan secara ascending
memesan berdasarkan pada nilai-nilai standar deviasi.
Sebagai bagian dari analisis statistik yang digunakan oleh penelitian ini, peringkat menjadi sasaran
untuk t-test sampel mahasiswa yang dipasangkan untuk mengidentifikasi perbedaan yang signifikan
antara
control-tujuan. Tes dimulai dari atas daftar -the peringkat tertinggi
control-objective- (DSS05) pada p