Pengertian COBIT
Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practice
untuk IT Governance yang dapat membantu auditor, pengguna (user), dan
manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan
kontrol dan masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI dengan
menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis.
Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis,
memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber
daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling
lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan
secara berkelanjutan oleh lembaga swadaya profesional auditor yang
tersebar di hampir seluruh negara. Dimana di setiap negara dibangun
chapter yang dapat mengelola para profesional tersebut.
Kerangka Kerja COBITKerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:
- Control Objectives
- Audit Guidelines
- Management Guidelines
v Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
v Apa saja indikator untuk suatu kinerja yang bagus.
v Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors ).
v Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.
v Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan.
v Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.
Manfaat dan Pengguna COBIT
Secara manajerial target pengguna COBIT dan manfaatnya adalah :
- Direktur dan Eksekutif
- Manajemen
v Untuk keseimbangan resiko dan kontrol investasi.
v Untuk benchmark lingkungan TI sekarang dan masa depan.
- Pengguna
- Auditors
v Untuk memberikan saran pada control minimum yang diperlukan.
Frame Work COBIT
COBIT dikeluarkan oleh IT Governance Institute (ITGI). COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan maturity model.
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
- Effectiveness
- Efficiency
- Confidentiality
- Integrity
- Availability
- Compliance
- Reliability
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada :
- Applications
- Information
- Infrastructure
- People
- Business-focused
- Process-oriented
- Controls-based
- Measurement-driven
COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam
organisasi menjadi 34 proses yang terbagi ke dalam 4 buah domain proses,
meliputi :
Domain ini mencakup :
v PO1 – Menentukan rencana strategis
v PO2 – Menentukan arsitektur informasi
v PO3 – Menentukan arah teknologi
v PO4 – Menentukan proses TI, organisasi dan hubungannya
v PO5 – Mengelola investasi TI
v PO6 – Mengkomunikasikan tujuan dan arahan manajemen
v PO7 – Mengelola sumber daya manusia
v PO8 – Mengelola kualitas
v PO9 – Menilai dan mengelola resiko TI
v PO10 – Mengelola proyek
Domain ini meliputi:
v AI1 – Mengidentifikasi solusi yang dapat diotomatisasi.
v AI2 – Mendapatkan dan maintenance software aplikasi.
v AI3 – Mendapatkan dan maintenance infrastuktur teknologi
v AI4 – Mengaktifkan operasi dan penggunaan
v AI5 – Pengadaan sumber daya IT.
v AI6 – Mengelola perubahan
v AI7 – Instalasi dan akreditasi solusi dan perubahan.
Domain ini meliputi :
v DS1 – Menentukan dan mengelola tingkat layanan.
v DS2 – Mengelola layanan dari pihak ketiga
v DS3 – Mengelola performa dan kapasitas.
v DS4 – Menjamin layanan yang berkelanjutan
v DS5 – Menjamin keamanan sistem.
v DS6 – Mengidentifikasi dan mengalokasikan dana.
v DS7 – Mendidik dan melatih pengguna
v DS8 – Mengelola service desk dan insiden.
v DS9 – Mengelola konfigurasi.
v DS10 – Mengelola permasalahan.
v DS11 – Mengelola data
v DS12 – Mengelola lingkungan fisik
v DS13 – Mengelola operasi.
Domain ini meliputi:
v ME1 – Mengawasi dan mengevaluasi performansi TI.
v ME2 – Mengevaluasi dan mengawasi kontrol internal
v ME3 – Menjamin kesesuaian dengan kebutuhan eksternal.
v ME4 – Menyediakan IT Governance.
COBIT Maturity Model
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang bisa digunakan untuk penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan (maturity level). COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).
- Planning & Organization.
Domain ini mencakup :
v PO1 – Menentukan rencana strategis
v PO2 – Menentukan arsitektur informasi
v PO3 – Menentukan arah teknologi
v PO4 – Menentukan proses TI, organisasi dan hubungannya
v PO5 – Mengelola investasi TI
v PO6 – Mengkomunikasikan tujuan dan arahan manajemen
v PO7 – Mengelola sumber daya manusia
v PO8 – Mengelola kualitas
v PO9 – Menilai dan mengelola resiko TI
v PO10 – Mengelola proyek
- Acquisition & Implementation.
Domain ini meliputi:
v AI1 – Mengidentifikasi solusi yang dapat diotomatisasi.
v AI2 – Mendapatkan dan maintenance software aplikasi.
v AI3 – Mendapatkan dan maintenance infrastuktur teknologi
v AI4 – Mengaktifkan operasi dan penggunaan
v AI5 – Pengadaan sumber daya IT.
v AI6 – Mengelola perubahan
v AI7 – Instalasi dan akreditasi solusi dan perubahan.
- Delivery & Support.
Domain ini meliputi :
v DS1 – Menentukan dan mengelola tingkat layanan.
v DS2 – Mengelola layanan dari pihak ketiga
v DS3 – Mengelola performa dan kapasitas.
v DS4 – Menjamin layanan yang berkelanjutan
v DS5 – Menjamin keamanan sistem.
v DS6 – Mengidentifikasi dan mengalokasikan dana.
v DS7 – Mendidik dan melatih pengguna
v DS8 – Mengelola service desk dan insiden.
v DS9 – Mengelola konfigurasi.
v DS10 – Mengelola permasalahan.
v DS11 – Mengelola data
v DS12 – Mengelola lingkungan fisik
v DS13 – Mengelola operasi.
- Monitoring and Evaluation.
Domain ini meliputi:
v ME1 – Mengawasi dan mengevaluasi performansi TI.
v ME2 – Mengevaluasi dan mengawasi kontrol internal
v ME3 – Menjamin kesesuaian dengan kebutuhan eksternal.
v ME4 – Menyediakan IT Governance.
COBIT Maturity Model
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang bisa digunakan untuk penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan (maturity level). COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).
Pengertian Audit Sistem Informasi
Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional dan
audit sistem informasi (teknologi informasi). Audit TI merupakan proses
pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer
yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga
integritas data, dapat membantu pencapaian tujuan organisasi secara efektif,
serta menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relatif
baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan
TI untuk mensupport aktifitas bisnis.
Ada beberapa aspek yang
diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan
menyangkut efektifitas, efisiensi, availability system, reliability,
confidentiality, dan integrity, serta aspek security. Selanjutnya adalah audit
atas proses, modifikasi program, audit atas sumber data, dan data file. Audit
TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain:
Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu
Komputer, dan Behavioral Science.
Tahapan-tahapan dalam audit TI pada prinsipnya sama dengan audit pada umumnya.
Meliputi tahapan perencanaan, yang menghasilkan suatu program audit yang
didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan
efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan
dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali
menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap
aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan
terlihat pada audit program. Selanjutnya adalah pengumpulan bukti (evidence),
pendokumentasian bukti tersebut dan mendiskusikan dengan auditee tentang temuan
apabila jika ditemukan masalah yang memerlukan tindakan perbaikan dari auditee.
Terakhir adalah membuat laporan audit.
Dalam pelaksanaannya,
auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik
termasuk survei, interview, observasi dan review dokumentasi (termasuk review
source-code bila diperlukan). Bisa jadi bukti-bukti audit yang diambil oleh
auditor mencakup bukti elektronis (data dalam bentuk file softcopy). Dalam
proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu, audit
around computer, audit trought computer dan audit with computer. Jika tingkat
pemakaian TI tinggi maka audit yang dominan digunakan adalah audit with
computer atau yang biasa disebut dengan teknik audit berbantuan computer atau
menggunakan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan
untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian,
transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Tentunya
untuk aspek sekuriti adakalanya auditor dituntut mempunyai keahlian teknis yang
cukup memadai untuk menguji keamanan sistem.
Standar yang digunakan
dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA
yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing
Guidance dan IS Auditing Procedure. Standar adalah sesuatu yang harus dipenuhi
oleh IS Auditor. Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi
standar dalam berbagai penugasan audit, dan prosedur memberikan contoh
langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu
sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa menggunakan
judgement profesional ketika menggunakan guidance dan procedure.
Standar yang aplicable
untuk audit TI adalah terdiri dari 11 standar yaitu; S1. Audit charter, S2.
Audit Independent, S3. Profesional Ethic and standard, S4.Profesional
competence, S5. Planning, S6. Performance of Audit Work, S7. Reporting.
S8.Follow-Up Activity, F9. Irregularities and Irregular Act, S10. IT Governance
dan S11. Use of Risk Assestment in Audit Planning. IS Auditing Guideline
terdiri dari 32 guidance dalam mengaudit TI yang mengcover petunjuk mengaudit
area-area penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukan
langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik
seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes
intrution detection system, menganalisis firewall dan sebagainya. Jika
dibandingkan dengan audit keuangan, maka standar dari Isaca ini adalah setara
dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara
bagaimana audit dilakukan. Sedangkan bagaimana kondisi apa yang diaudit
diberikan penilaian berdasarkan standar tersendiri yaitu Cobit.
COBIT (Control Objective for Information Related Tecnology)
COBIT (Control Objective
for Information Related Tecnology) adalah kerangka tata kelola TI (IT
governance) yang ditujukan kepada manajemen, staf pelayanan TI, control
departemen, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis
(business process owner’s), untuk memastikan confidenciality, integrity and
availability data serta informasi sensitif dan kritikal. COBIT didesign terdiri
dari 34 high level control objectives yang menggambarkan proses TI yang terdiri
dari 4 domain yaitu: Plan and Organise, Acquire and Implement, Deliver and
Support dan Monitor and Evaluate. Dengan melakukan kontrol terhadap ke 34 objektif
tersebut, organisasi dapat memperoleh keyakinan akan kelayakan tata kelola dan
kontrol yang diperlukan untuk lingkungan TI. Untuk mendukung IT process
tersebut tersedia lagi sekitar 215 tujuan control yang lebih detil untuk
menjamin kelengkapan dan efektifitas implementasi. Saat ini sudah terbit Cobit
4.1
The COBIT Framework juga
memasukkan hal berikut Maturity Models – Untuk memetakan status maturity
proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class
in the Industry” dan juga International best practices. Critical Success
Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan
kontrol atas proses TI. Key Goal Indicators (KGIs) – Kinerja proses-proses TI
sehubungan dengan kebutuhan bisnis dan Key Performance Indicators (KPIs) –
Kinerja proses-proses TI sehubungan dengan process goals
COBIT dikembangkan sebagai suatu generally
applicable and accepted standard for good Information Technology (IT) security
and control practices . Istilah ” generally applicable and accepted ” digunakan
secara eksplisit dalam pengertian yang sama seperti Generally Accepted
Accounting Principles (GAAP). Suatu perencanaan audit TI dapat dimulai dengan
menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa
atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu,
misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan
dari proses-proses tersebut.
Hasil Audit? Siapa yang Melakukan Audit?
Auditor Sistem Informasi pada dasarnya melakukan
penilaian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu.
Kemudian berdasarkan pengujian Auditor akan memberikan rekomendasi perbaikan
yang diperlukan. Adakalanya judgement diperlukan berdasarkan kriteria yang
disepakati bersama. Penanggung jawab sistem yang diaudit tetap berada pada
pengelola sistem, bukan di tangan auditor. Atas rekomendasi yang diberikan
tentunya diharapkan ada tindak lanjut perbaikan bagi manajemen.
Siapakah sebaiknya yang melakukan audit sistem
informasi? Audit sistem informasi dapat dilakukan sebagai bagian dari
pengendalian internal yang dilakukan oleh fungsi TI. Tapi jika dibutuhkan opini
publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan
mengundang pihak ketiga (auditor independent) untuk melakukannya. Di AS hasil
audit sistem informasi terhadap bank harus dipublikasikan kepada publik. Dengan
demikian pengguna jasa, nasabah mengetahui kondisi layanan sistem informasi
pada bank tersebut. Jika sebuah hasil audit TI perlu dipublikasikan, tentunya
perlu perangkat hukum yang mengatur tata cara pelaporan tersebut