DAFTAR ISI
BAB 1 ― PENDAHULUAN
Latar Belakang 2
Tujuan dan Manfaat 3
Tujuan Penulisan 3
Manfaat Penulisan 3
Metodologi Penulisan 3
Objek Penulisan 3
Teknik Pengambilan Data 3
BAB 2 ― PEMBAHASAN
ISACA (Information System Audit and Control Association) 4
Kode Etik Profesional 4
CISA (Certified Information Systems Auditor) 5
COBIT (Control Objective for Information and related Tecnology) 6 Pengertian 6
Sejarah Perkembangan 7 Tujuan Pembentukan 7 Kegunaan 8
Kerangka Kerja 8
Konsep Pengendalian 12 Pengguna 13
Sumber Daya TI 13
COBIT 4.1 vs COBIT 5 14
BAB 3 ― PENUTUP Simpulan 20 Saran 20
BAB I
Pendahuluan
1.1 Latar Belakang
1.2 Tujuan dan Manfaat
1.2.1 Tujuan Penulisan
Adapun tujuan dari penulisan paper ini adalah :
• Meneliti metode COBIT yang ada agar dapat mengevaluasi kelebihan dan kekurangan sistem informasi dalam organisasi dengan efektif.
• Menganalisa dan mengidentifikasi kebutuhan keamanan yang diperlukan organisasi, khususnya dalam mengelola teknologi informasi.
• Menjabarkan lebih luas tentang pengetahuan Audit Sistem Informasi dan Teknologi Informasi terkait dengan standar COBIT
1.2.2 Manfaat Penulisan
Adapun manfaat – manfaat dari penulisan paper ini adalah :
• Memberikan penilaian yang berorientasi pada bisnis dengan menggunakan standar COBIT terhadap kebutuhan kontrol organisasi bagi pihak manajemen • Proses dan hasil penelitian dapat dijadikan arah dalam penerapan IT
Governance yang baik bagi organisasi.
• Memberikan pemahaman secara intens tentang konsep COBIT
1.3 Metodologi Penulisan
1.3.1 Objek Penulisan
Objek tulisan ini adalah COBIT sebagai landasan untuk menyusun dan menerapkan model audit sistem infromasi dalam memberikan masukan dan rekomendasi bagi pihak manajemen perusahaan untuk perbaikan pengelolaan sistem informasi di masa mendatang.
Informasi mengenai COBIT sebagai topik penulisan diperoleh dari berbagai sumber baik berupa internet, perkuliahan dengan mata kuliah terkait, maupun jurnal atau tesis yang relevan dengan objek yang dikaji.
BAB 2
PEMBAHASAN
2.1 ISACA (Information System Audit and Control Association)
ISACA atau Information Systems Audit and Control Association merupakan perkumpulan atau asosiasi yang anggota-anggotanya terdiri dari Auditors, Indonesian System Auditor dan mereka yang mempunyai minat terhadap control, audit dan security system informasi.
2.1.1 Kode Etik Profesional
The Information Systems Audit and Control Association (ISACA) mengeluarkan kode etik professional (Code of Professional Ethics) untuk dijadikan panduan perilaku bagi para personal maupun professional anggota asosiasi dan atau para penyandang sertifikasi, yaitu anggota dan para penyandang sertifikasi ISACA, harus :
1. Mendukung penerapan, dan mendorong kesesuaian dengan, standar, prosedur dan pengendalian sistem informasi yang tepat.
2. Melakukan tugas-tugas mereka secara sungguh-sungguh (due diligence) dan profesional, sesuai dengan standar-standar professional dan praktik terbaik (best practices).
4. Tetap menjaga privasi dan kerahasiaan informasi yang diperoleh selama melakukan tugas-tugas mereka, kecuali hal itu diminta oleh pihak yang berwajib (legal authority). Informasi semacam itu tak boleh digunakan untuk keuntungan pribadi atau diberikan kepada pihak yang tidak berkompeten.
5. Tetap menjaga kompetensi di bidang masing – masing dan bersedia hanya melakukan kegiatan tersebut, yang dapat mereka harapkan untuk diselesaikan dengan kompetensi profesional.
6. Memberitahu para pihak yang berkompeten mengenai hasil kerja yang dilakukan; memberitahu semua fakta nyata kepada mereka.
7. Mendukung edukasi professional kepada para stakeholder dalam upaya meningkatkan pemahaman mereka mengenai keamanan dan pengendalian sistem informasi.
2.2 CISA (Certified Information Systems Auditor)
Program Certified Information Systems Auditor™ (CISA) didirikan pada Tahun 1978 oleh Information Systems Audit and Control Association® (ISACA) dengan tujuan:
a. Mengembangkan dan memelihara instrument testing yang dapat digunakan untuk mengevaluasi kompetensi individu dalam melakukan audit sistem informasi.
b. Menyediakan mekanisme untuk memotivasi sistem informasi auditor untuk memelihara kompetensi dan memonitor kesuksesan maintenance program.
c. Membantu top manajemen dalam membangun fungsi audit sistem informasi dengan menyediakan kriteria untuk seleksi dan pengembangan personel.
bahkan telah menjadi kriteria pekerjaan dan/atau kemajuan dalam organisasi. Dengan dikenal sebagai CISA, akan memberikan nilai profesional dan sejumlah besar keuntungan. Pencapaian dari program CISA mendemonstrasikan keahlian audit sistem informasi serta memberikan tanda dalam melayani sebuah organisasi dengan perbedaan. Mereka yang telah memiliki gelar CISA akan bergabung dengan para profesional dunia yang telah mendapatkan professional designation.
Sertifikasi profesional ini memberikan bukti pencapaian pengetahuan dan keahlian profesional tersebut. Dengan kata lain, sertifikasi untuk exclusive program worldwide untuk professional audit IS, kontrol, dan keamanan di bidang mereka adalah Certified Information Systems Auditor™(CISA) Designation. Seperti Certified Professional Accountant (CPA) atau Chartered Accountant (CA) designation
untuk profesional akuntansi, CISA designation menunjukkan kemampuan individu dalam mengaplikasikan audit SI, kontrol, prinsip dan praktik keamanan. Bagi employers worldwide, profesional audit SI dan kontrol dengan CISA designation lebih diminati dan seringkali mendapatkan kompensasi yang lebih tinggi. Sebagai tambahan, pemegang CISA ini juga tetap perlu berkecimpung dalam profesi mereka dengan mengikuti pendidikan profesional yang berkesinambungan.
2.3 COBIT (Control Objective for Information and related Tecnology)
2.3.1 Pengertian COBIT
COBIT memungkinkan kebijakan pembangunan yang jelas dan baik untuk seluruh organisasi kontrol TI. COBIT menekankan peraturan, membantu organisasi untuk meningkatkan nilai dicapai dari TI, dan memungkinkan pengaturan dan (implementation tool set) pada edisi keduanya yang dipublikasikan pada tahun 1998. COBIT pada edisi ketiga ditandai dengan masuknya penerbit utama baru COBIT yaitu ITGI. COBIT edisi 4.1 diperluas dengan arahan lebih kepada IT Governance. COBIT edisi kelima merupakan versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait dengan mencakup keseluruhan dari COBIT 4.1 dengan tambahan tentang Risk IT dan Val IT. ISACA telah meluncurkan Val IT yang berhubungan dengan proses COBIT untuk proses manajemen senior yang dibutuhkan untuk mendapatkan nilai baik dari investasi TI.
2.3.3 Tujuan Pembentukan COBIT
perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.
2.3.4 Kegunaan COBIT
Dalam membantu auditor, COBIT memiliki fungsi – fungsi diantaranya adalah : Meningkatkan pendekatan/program audit
Mendukung audit kerja dengan arahan audit secara rinci Memberikan petunjuk untuk IT governance
Sebagai penilaian benchmark untuk kendali IS/IT Meningkatkan control IS/IT
Sebagai standarisasi pendekatan/program audit.
COBIT Framework
COBIT merupakan kerangka kerja pengendalian internal yang berkaitan dengan teknologi informasi, yang dipublikasikan oleh Information System Audit and Control Foundation di tahun 1996 dan di-update pada tahun 1998 dan 2000. COBIT dibuat dengan tujuan melakukan penelitian dan pengembangan terhadap sekumpulan kontrol teknologi informasi, yang dapat diterima secara internasional bagi kepentingan auditor dan manajer bisnis suatu organisasi. COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam empat buah domain proses, meliputi :
1. Plan and Organise (10 proses)
Meliputi strategi dan taktik yang berkaitan dengan identifikasi pemanfaatan IT yang dapat memberikan kontribusi dalam pencapaian tujuan bisnis.
Proses dalam domain ini adalah :
Menetapkan rencana strategis TI Menetapkan susunan informasi Menetapkan kebijakan teknologi
Menetapkan hubungan dan organisasi TI Mengelola investasi IT
Mengkomunikasikan arah dan tujuan manajemen Mengelola sumberdaya manusia
2. Acquire and Implement (7 proses)
Langkah – langkah domain ini adalah :
Mengidentifikasi solusi terotomatisasi
Mendapatkan dan memelihara software aplikasi Mendapatkan dan memelihara infrastruktur teknologi Mengembangkan dan memelihara prosedur
Memasang dan mengakui sistem Mengelola perubahan
3. Delivery and Support (13 proses)
Domain ini berfokus utama pada aspek penyampaian atau pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi – aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu atau masalah keamanan dan juga pelatihan.
Proses dalam domain ini adalah :
Menetapkan dan mengelola tingkat pelayanan Mengelola pelayanan kepada pihak lain
Mengelola kinerja dan kapasitas Memastikan pelayanan yang kontinyu Memastikan keamanan sistem
4. Monitor and Evaluate (4 proses)
Merupakan domain yang memberikan pandangan bagi pihak manejemen berkaitan dengan kualitas dan kepatuhan dari proses yang berlangsung dengan kendali-kendali yang diisyaratkan.
Proses dalam domain ini sebagai berikut :
Menaksir kecukupan pengendalian internal Mendapatkan kepastian yang independen
Kerangka kerja COBIT juga memasukan hal-hal berikut :
1. Maturity Models
Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices.
Skala – skala maturity models akan dijabarkan sebagai berikut :
Skala 0 - Not Existance
Karena perusahaan tidak menyadari pentingnya membuatperencanaan strategis di bidang teknologi informasi. Dalam skala ini penting untuk dilakukan evaluasi pengendalian dan dijadikan sebagai temuan yang penting.
Skala 1 – Initial
Adanya fakta – fakta bahwa perusahaan telah menyadari akan pentingnya pembuatan perencanaan strategis di bidang teknologi informasi. Namun, tidak ada prosesyang distandarisasi; perencanaan, perancangan dan manajemen masih belum terorganisir dengan baik. Dalam skala ini keperluan untuk dijadikan temuan tidak diutamakan, karena tingkat kemungkinan terjadinya resiko tidak sebesar skala nol.
Skala 2 – Repeatable
Skala 3 – Defined
Seluruh proses telah didokumentasikan dan telah dikomunikasikan,serta dilaksanakan berdasarkan metode pengembangan sistem komputerisasi yang baik, namun belum ada proses evaluasi terhadap sistem tersebut, sehingga masih ada kemungkinan terjadinya penyimpangan.
Skala 4 - Managed
Proses komputerisasi telah dapat dimonitor dan dievaluasi denganbaik, manajemen proyek pengembangan sistem komputerisasi sudah dijalankan denganlebih terorganisir.
Skala 5 – Optimised
Best Practices (pedoman terbaik) telah diikuti dan diotomatisasi pada sistem berdasarkan proses yang terencana, terorganisir dan menggunakan metodologi yang tepat.
2. Critical Success Factors (CSFs)
Adalah arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
3. Key Goal Indicators (KGIs)
Merupakan kinerja proses-proses TI sehubungan dengan business requirement.
4. Key Performance Indicators (KPIs)
Adalah kinerja proses-proses TI sehubungan dengan process goals.
Dalam hal tujuan pengendalian, COBIT mendefinisikannya sebagai “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”. COBIT melihat pengendalian dalam tiga dimensi berbeda yaitu Sumber IT, Proses IT, dan Kriteria Informasi IT. Sumber IT sebagai dimensi pertama akan dijabarkan lebih mendalam pada sub-bab berikutnya. Proses IT sebagai dimensi kedua dari COBIT terdiri dari tiga segmen, yaitu domains, proses, dan aktivitas. Sedangkan dalam dimensi ketiganya, COBIT menetapkan kriteria informasi yang berguna dalam mendukung tercapainya tujuan organisasi dengan merujuk pada kebutuhan informasi di organisasi atau perusahaan. COBIT mengkombinasikan beberapa prinsip penyusunan informasi berdasarkan model model yang sudah ada, dan merumuskannya kedalam tiga kategori utama, yaitu quality, fiduciary responsibility
dan security yang kemudian diuraikan lebih lanjut dalam kriteria-kriteria sebagai berikut :
Efektifitas Efisiensi Kerahasiaan Integritas Ketersediaan Kepatuhan
2.3.7 Pengguna COBIT
COBIT dirancang untuk digunakan oleh tiga pengguna berbeda yaitu :
1. Manajemen
2. User
Pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
3. Auditor
Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.
2.3.8 Sumber Daya TI
Sumber daya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau diidentifikasikan sebagai berikut :
Data, adalah obyek-obyek dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.
Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram.
Teknologi, mencakup hardware, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan lain- lain.
Fasilitas, adalah semua sumber daya untuk menyimpan dan mendukung system informasi.
Manusia termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan, mengorganisasikan atau melaksanakan, memperoleh, menyampaikan, mendukung dan memantau layanan sistem informasi.
2.3.9 COBIT 4.1 vs COBIT 5
terus berevolusi sejak pertama kali diluncurkan di 1996 hingga rilis terakhir yaitu COBIT 5 yang diluncurkan pada Juni 2012 yang lalu. Pada setiap rilisnya, kerangka kerja ini melakukan pergeseran – pergeseran beberapa paradigma. Teknologi Informasi dan pemanfaatannya yang berkembang dengan cepat tentunya menuntut perubahan dalam tata cara pengelolaannya juga, sehingga frameworknya juga perlu penyesuaian. Selain itu penerapan apapun pada tataran konseptual ke dalam mengidentifikasi dasar praktek-praktek yang sebenarnya dalam setiap proses dan menggambarkan kegiatan utama dalam setiap dasar praktek. Perubahan yang paling signifikan untuk COBIT adalah reorganisasi framework dari sebuah model proses TI ke framework tata kelola TI dengan serangkaian penerapan tata kelola TI, sistem manajemen untuk perbaikan terus-menerus di kegiatan TI dan model proses dengan dasar praktek. COBIT 5 akan didasarkan pada prinsip-prinsip tata kelola perusahaan yang sehat dan akan membantu organisasi mengelola risiko dipahami dan diterapkan dalam konteks enterprise secara lebih efektif.
menyebutnya dengan enabler. Sementara COBIT 5 menyebutkan secara spesifik ada 7 enabler dalam implementasinya. Berikut ini adalah ketujuh enabler COBIT 5 dan perbandingan untuk hal yang sama di COBIT 4.1 :
1. Prinsip-prinsip, kebijakan dan kerangka kerja. Kalau di COBIT 4.1, poin-poin ini tersebar dalam beberapa proses-proses COBIT 4.1.
2. Proses-proses. Proses adalah sentral dari COBIT 4.1.
3. Struktur Organisasi. Dalam COBIT 4.1, struktur organisasi tercermin dalam RACI chart yang mendefinisikan peran dan tanggung-jawab para pihak dalam setiap proses.
4. Kultur, etika dan perilaku. Poin ini terselip di beberapa proses COBIT 4.1
5. Informasi. Dalam COBIT 4.1, informasi merupakan salah satu sumber daya TI (IT resources).
6. Layanan, Infrastruktur, dan Aplikasi. Dalam COBIT 4.1, infrastruktur dan aplikasi (disatukan dengan layanan) merupakan sumber daya TI juga.
7. Orang, keterampilan (skills) dan kompetensi. Dalam COBIT 4.1, hanya disebutkan “orang” sebagai salah satu sumber daya (walau sebenarnya mencakup juga keterampilan dan kompetensinya)
Keempat, seperti disinggung sebelumnya, bahwa dalam COBIT 5 terdapat proses-proses baru yang sebelumnya belum ada di COBIT 4.1, serta beberapa modifikasi pada proses-proses yang sudah ada sebelumnya di COBIT 4.1. Secara sederhana dapat dikatakan bahwa model referensi proses COBIT 5 ini sebenarnya mengintegrasikan konten COBIT 4.1, Risk IT dan Val IT. Sehingga proses-proses pada COBIT 5 ini lebih holistik, lengkap dan mencakup aktifitas bisnis dan IT secara end-to-end.
Kelima, Praktik dan Aktifitas. Praktik dan aktifitas tata kelola dan manajemen pada COBIT 5 sebenarnya ekuivalen dengan control objective COBIT 4.1 serta proses-proses pada Val IT dan Risk IT. Sementara itu aktifitas pada COBIT 5 sebenarnya identik dengan dengan control practices pada COBIT 4.1 dan management practices pada Val IT dan Risk IT.
Keenam, Goal dan Metrik. COBIT 5 menggunakan konsep goal dan metrik yang sama dengan COBIT 4.1, Val IT, dan Risk IT. Hanya saja COBIT 5 mengubah namanya menjadi enterprise-goal, IT-related goal dan process goal untuk mencerminkan view secara organisasi. COBIT 5 juga memberikan contoh-contoh goal dan metriknya pada tingkatan enterprise, proses dan manajemen pada tingkatan praktis. Inilah bedanya dengan COBIT 4.1, Val IT, dan Risk IT yang bermain satu tingkatan di bawahnya.
Ketujuh, Input dan Output. Framework COBIT 5 menyediakan input dan output untuk setiap management practice, sementara COBIT 4.1 hanya menyediakan ini pada tingkatan proses saja. Hal ini dapat dijadikan petunjuk tambahan dalam mendesain proses-proses berikut produk kerja yang dihasilkan dan membantu integrasi antar proses-proses yang ada.
Kesembilan, Model dan Asesmen terhadap Process Capability. Framework COBIT 5 tidak lagi menggunakan pendekatan berbasis CMM seperti yang digunakan dalam COBIT 4.1, Val IT, maupun Risk IT. Sebagai gantinya COBIT 5 akan menggunakan pendekatan baru yang berbasis pada ISO/IEC 15504. Pendekatan yang digunakan COBIT 4.1, Val IT dan Risk IT menggunakan atribut dan skala pengukuran yang berbeda dengan pendekatan berbasis ISO/IEC 15504 ini. Pendekatan baru ini menurut ISACA merupakan pendekatan yang lebih baik, handal dan juga lebih repeatable sebagai sebuah metode penilaian kematangan/kemampuan proses. Bagi yang sudah biasa menggunakan metode sebelumnya berbasis CMM, maka tentu dibutuhkan penyesuaian – penyesuaian dan penyelarasan – penyelarasan.
2.3.10 Contoh Penerapan COBIT Dalam Organisasi
Implementasi pada BUMN
Dipandang dari cukup luasnya cakupan COBIT dalam pengendalian IT organisasi, maka dapat disimpulkan bahwa BUMN dapat (bahkan seharusnya) mengadopsi guidelines COBIT dalam pengelolaan dan pengendalian IT-nya. Sebelum uraian lebih lanjut mengenai aspek – aspek COBIT yang sesuai untuk BUMN, terlebih dahulu akan diuraikan mengenai keunggulan – keunggulan COBIT dalam pengendalian internal terhadap manajemen sistem dan informasi sebagai berikut :
Akseptansi secara internasional, karena didasarkan atas pengalaman praktik dan profesionalitas para ahli di seluruh dunia.
Memenuhi standar ISO17799, COSO I dan II, dan standar – standar terkait lainnya.
COBIT menjadi jembatan komunikasi antara fungsi IT, bisnis dan auditor dengan menyediakan suatu pendekatan umum yang dapat dimengerti oleh semuanya pihak.
COBIT berorientasi kepada manajemen, dapat diaplikasikan, dan mudah digunakan.
COBIT dapat menghemat waktu dalam mengimplementasikan praktek-praktek yang efektif.
COBIT bersifat fleksibel dan mudah beradaptasi untuk menyesuaikan dengan ukuran dan budaya organisasi, serta kebutuhan khusus lainnya.
COBIT adalah sebuah konsep yang lengkap dan terintegrasi, dan dikelola oleh organisasi non profit yang sudah memiliki reputasi, yakni ISACA.
Selain berbagai keunggulan – keunggulan yang disebutkan diatas, terdapat beberapa alasan lain mengapa sebuah organisasi mengadopsi COBIT yaitu :
COBIT memberikan perhatian kepada tata kelola IT yang baik (Good IT Governance).
Untuk menguji akuntabilitas manajemen terhadap sumber daya teknologi informasi.
Adanya kebutuhan khusus untuk pengendalian sumber daya TI.
Sebuah solusi yang berorientasi bisnis, karena COBIT mengedepankan penggunaan sumber daya TI yang efektif dan efisien.
COBIT menyediakan kerangka untuk penilaian resiko atas IT. Berbasis otorisasi.
Meningkatkan komunikasi antara manajemen, pengguna (users), dan auditor.
Dari keuntungan diatas, dapat disimpulkan bahwa penerapan COBIT dalam pengelolaan IT BUMN adalah sebuah keharusan. Keseluruhan aspek dalam kerangka kerja COBIT dapat diadopsi, uraian singkat berikut akan memberikan penjelasan lebih lanjut :
Manajemen dapat mengadopsi management guideline COBIT sebagai tools dalam perumusan kebijakan management baik kebijakan mengenai IT maupun kebijakan lainnya yang berhubungan dengan kinerja organisasi.
Pengawas internal (auditor) dapat menggunakan audit guideline COBIT sebagai standar dalam perancangan dan pelaksanaan audit atas sistem informasi organisasi. Secara rinci, auditor menggunakannya dalam :
Perencanaan audit dan pengembangan program audit. Validasi kontrol – kontrol TI
Evaluasi resiko – resiko TI
Mudahnya adopsi COBIT dalam pengelolaan IT pada dasarnya disebabkan oleh mudahnya modifikasi guidelines COBIT sesuai dengan kondisi industri dan kondisi IT perusahaan atau organisasi.
BAB 3
PENUTUP
3.1 Simpulan
Melalui penulisan ini, dapat disimpulkan :
a. Pengendalian merupakan aspek penting dalam manajemen organisasi dalam mengurangi resiko kerugian dan penyimpangan dalam organisasi tersebut.
c. COBIT berfungsi dalam mendukung kinerja audit dengan arahan atau guidelines secara rinci, serta memberikan petunjuk untuk tata kelola TI dalam organisasi d. Keseluruhan aspek dalam kerangka kerja COBIT dapat digunakan sebagai
landasan perumusan kebijakan management baik kebijakan mengenai IT maupun kebijakan lainnya yang berhubungan dengan kinerja organisasi.
3.2 Saran
