Nama : Nur Aisah Amini
Nim : 193100054
Mata kuliah : Audit Sistem Informasi
Nama dosen : Asti Ratnasari, M.Kom
Keterangan Resume : BAB 1
Judul: Kerja TFOBIRDalam
Volume:
Tahun: 2022
Penulis: Nur Aisah Amini
A. Latar Belakang
Beberapa tahun
terakhir, menjadi semakin jelas bahwa ada kebutuhan akan kerangka acuan
untuk mengembangkan dan mengelola pengendalian internal dan tingkat keamanan
yang sesuai dalam teknologi informasi . Dengan
demikian, organisasi yang sukses memerlukan apresiasi dan pemahaman dasar
tentang risiko dan kendala TI di semua tingkatan dalam perusahaan untuk
mencapai arah yang efektif dan kontrol yang memadai. TI.
Akibatnya, tata kelola perusahaan dan tata kelola TI tidak lagi dapat
dianggap sebagai disiplin ilmu yang terpisah dan berbeda. Tata kelola
perusahaan yang efektif memfokuskan keahlian dan pengalaman individu dan
kelompok di tempat yang paling produktif, memantau dan mengukur
kinerja, dan memberikan jaminan untuk masalah kritis.
Tata kelola TI menyediakan
struktur yang menghubungkan proses TI, sumber daya TI, dan informasi
dengan strategi dan tujuan perusahaan. Tata kelola TI mengintegrasikan dan
melembagakan cara optimal untuk merencanakan dan mengatur, memperoleh dan
mengimplementasikan, memberikan dan mendukung, serta memantau dan
mengevaluasi kinerja TI. Tata kelola TI merupakan bagian integral dari
keberhasilan tata kelola perusahaan dengan memastikan peningkatan terukur yang
efisien dan efektif dalam proses perusahaan terkait. Melihat interaksi proses
tata Kelola perusahaan dan TI secara lebih rinci, tata kelola perusahaan,
sistem dimana entitas diarahkan dan dikendalikan, mendorong dan menetapkan tata
Kelola TI. TI sebenarnya dapat mempengaruhi peluang strategis yang digariskan
oleh perusahaan.
Menerapkan praktik terbaik yang
diterima secara umum untuk memastikan bahwa perusahaan mencapai tujuan
strategis dan operasionalnya. Mencapai tujuan tersebut mengharuskan entitas
untuk mengambil beberapa tingkat risiko tidak ada imbalan tampa beberapa
tingkat risiko. Dari tujuan ini mengalir arah organisasi, yang menentukan aktivitas
perusahaan tertentu, dengan menggunakan sumber daya perusahaan. HAsil kegiatan
perusahaan diukur dan dilaporkan, memberikan masukan untuk revisi konstan dan
peliharaan control, melalui siklus lagi.
Manajemen TI juga diatur
oleh praktik terbaik untuk memastikan bahwa informasi perusahaan dan teknologi
terkait mendukung tujuan bisnisnya, sumber dayanya digunakan secara bertanggung
jawab, dan risikonya dikelola dengan tepat. Praktik-praktik ini membentuk dasar untuk arah kegiatan TI, yang
dapat dicirikan sebagai merencanakan dan mengatur, memperoleh dan menerapkan,
menyampaikan dan mendukung, dan memantau dan mengevaluasi, untuk tujuan ganda
mengelola risiko ( untuk mendapatkan keamanan, keandalan, dan kepatuhan ) dan
mewujudkan manfaat ( meningkatkan efektivitas an efesien).
Model control bisnis secara keseluruhan, seperti
COSO (Committee of Sponsoring Organizations of the Treadway Commission, Internal
Control-Integrated Framework, 1992, COSO Enterprise Risk Management
Framwork, 2004) di AS, Turnbull di Inggris, CoCo di kanada dan King di
Afrika Selatan telah dikembangkan dan diterbitkan. Namun, model control
terfokus ini tidak menyediakan model control yang komprehensif dan dapet
digunakan atas TI yang mendukung proses bisnis. Tujuan COBIT
adalah untuk menjambatani kesenjangan ini dengan memberikan landasan yang
terkait erat dengan tujuan bisnis sambal berfokus pada TI.
Institute of Certified Public Accountants di AS
dan Dewan Pengembangan Layanan Jaminan CICA di
Kanada, sebagian didasarkan pada tujuan
pengendalian COBIT. SysTrust dirancang untuk meningkatkan kenyamanan
manajemen, pelanggan dan mitra bisnis dengan sistem yang mendukung bisnis
atau aktivitas tertentu. Layanan SysTrust mengharuskan akuntan publik
memberikan layanan jaminan di mana ia mengevaluasi dan menguji apakah suatu
sistem dapat diandalkan ketika diukur terhadap empat prinsip penting:
ketersediaan, keamanan, integritas dan pemeliharaan. Tujuan utama COBIT adalah
pengembangan tujuan pengendalian terutama dari tujuan bisnis dan perspektif
kebutuhan. Selanjutnya, tujuan
dan pedoman audit dikembangkan dari perspektif tujuan pengendalian.
B. Hasil Pembahasan
Perusahaan energi AS mengadopsi COBIT sebagai
tanggapan terhadap peraturan Sarbanes -Oxley. Itu telah mencari struktur, dan
alih-alih mengembangkan kerangka kontrolnya sendiri, ia lebih suka mengadopsi
kerangka kerja yang diterima secara international COBIT. Mereka telah memberi
wewenang kepada komite audit dewan untuk memastikan bahwa kita melakukan
pekerjaan kita. Komite audit telah memberi wewenang kepada C-suite untuk
memastikan kami melakukan pekerjaan kami, dan C-suite telah meminta komite
pengarah TI ini untuk memastikan kami memiliki kontrol internal yang memadai
untuk TI. Komite pengarah TI, sebaliknya, meminta CIO dan tim
manajemennya untuk membuat kami nyaman bahwa ini berkaitan dengan TI, dan
kami akan menggunakan COBIT untuk melakukanny.
1.
OBIT : MANAJEMEN, PENGGUNA DAN AUDITOR
·
Mnajemen Untuk membantu mereka menyeimbangkan
risiko dan mengendalikan investasi di lingkungan IT yang sering tidak terduga
·
Pengguna Untuk mendapatkanjaminan tentang keamanan
dan control layanan TI yang disediakan oleh pihak internal atau ketiga.
·
Auditor Untuk menyediakan kerangka kerja untuk
membantu mereka memberikan pendapat tentang tingkat jaminan atas materi
pelajaran tertentu yang diaudit dan/atau memberikan saran kepada manajemen
tentang masalah internal control.
2.
Sertifikasi CISA dan CISM
Untuk target audiens di atas, ISACA juga telah mengembangkan program
sertifikasi. TM mengukur keunggulan di bidang
audit, kontrol, dan keamanan IS.
3.
COBITSPESIFIKASI KERANGKA
Untuk memahami
sepenuhnya kerangka kerja COBI, definisi berikut diberikan. Pengendalian
diadaptasi dari laporan COSO (Internal Control—Integrated Framework) dan tujuan
pengendalian TI diadaptasi dari
Systems Auditability and Control (SAC) Report, The
Institute of Internal Auditors (IIA) Research Foundation, 1991 dan 1994.
Control adalah didefinisiskan sebagai kebijakan, prosedur, praktik, dan
struktur organisasi yang dirancang umtuk membrikan jaminan yang wajar bahwa
tujuan bisnsi akan tercapai dan kejadian yang tidak diinginkan akan dicegah
atau dideteksi dan diperbaiki.
Tujuan pengendalian TI didefinisikan sebagai
pernyataan tentang hasil atau tujuan yang diinginkan yang dicapai dengan
menerapkan prosedur pengendalian dalam aktivitas TI tertentu. COBIT bertujuan untuk menjembatani
kesenjangan yang ada di antara keduanya.COBIT diposisikan lebih
komprehensif untuk manajemen dan beroperasi pada tingkat yang lebih tinggi
daripada standar teknologi murni untuk manajemen sistem informasi.
Untuk memenuhi tujuan bisnis, informasi harus sesuai dengan kriteriaa
tertentu. Kriteria ini dirujuk, dalam COBIT, sebagai persyaratan bisnis untuk
informasi.
Persyaratan kualitas meliputi :
· Kualitas
· Biaya
· Pengeriman
Persyaratan fidusia (COSO) meliputi :
· Efektivitas dan efesiensi operasi
· Keandalan informasi
·
Kepatuhan terhadap hukum dan peraturan
Persratan kemanan meliputi :
·
Kerahasiaan
· Integritas
·
Ketersediana
Memulai
analisis dari persyaratan kualitas, fidusia dan keamanan yang lebih luas, tujuh
kategori berbeda, tentu saja tumpang tindih, diekstraksi.COBIDefinisi kerja
Efektivitas—Berkaitan dengan informasi yang relevan dan berkaitan dengan proses
bisnis serta disampaikan secara tepat waktu, benar, konsisten, dan dapat
digunakan
Ø
Efisiensi—Menyangkut
penyediaan informasi melalui optimal ( penggunaan sumber daya yang paling
produktif dan ekonomis)
Ø
Kerahasiaan—Menyangkut
perlindungan informasi sensitif dari pengungkapan yang tidak sah
Ø
Integritas—Berkaitan
dengan keakuratan dan kelengkapan informasi serta validitasnya sesuai dengan
nilai dan harapan bisnis
Ø
Ketersediaan—Berkaitan
dengan informasi tersedia ketika dibutuhkan oleh proses bisnis sekarang dan di
masa depan. Ini juga menyangkut pengamanan sumber daya yang diperlukan dan
kemampuan terkait.
Ø
dengan
kepatuhan terhadap undang-undang, peraturan, dan pengaturan kontrak yang tunduk
pada proses bisnis, yaitu, kriteria bisnis yang diberlakukan secara eksternal
efektivitas dalam situasi ini berkaitan dengan
aksebilitas dan kegunaan fungsi untuk audiens target. Ini menjadi ukuran
keberhasilan yang memungkiankan bisnis mencapai proposi nilainya dan menjadi
ukuran TI utama untuk proyek (setidaknya dalam dimensi proyek ini).
Ada satu set sumber daya TI yang dibutuhkan untuk
memebantu memenuhi kebutuhan bisnis. Sumber daya nya adalah :
Ø Data yaitu objek dalam arti yang luas (
eksternal, dan internal), struktur dan tidak struktur, grafik, suara, dll.
Ø System aplikasi yaitu dipahami sebagai jumlah
prosedur manual dan terprogram
Ø
Teknologi yaitu perangkat keras, pengoprasian
sistema, sistema manajemen bisnis data, jaringan, multimedia, dll.
Ø Fasilitas yaitu semua sumber daya untuk menampung
dan mendukung sistem informasi
Ø Orang yaitu keterampilan, kesadaran, dan
produktivitas staf untuk merencanakan, mengatur memperoleh, menyampaikan,
mendukung , memantau, dan mengevaluasi system infomasi dan layanan.
COBIT terdiri dari tujuan control tingkat tinggi dan struktur
keseluruhan untuk klarifikasi mereka. Teori yang mendasari klarifikasi tersebut
adalah bahwa pada dasarnya ada tiga tingakat upaya TI Ketika mempertimbangkan
pengelolaan sumber daya TI.
Definisi untuk empat
domain yang diidentifikasi untuk klasifikasi tingkat tinggi adalah:
Ø Merencanakan
dan mengatur—Domain ini mencakup strategi dan taktik, dan menyangkut
identifikasi cara terbaik TI dapat berkontribusi pada pencapaian tujuan bisnis.
Ø Memperoleh
dan mengimplementasikan—Untuk mewujudkan strategi TI, solusi TI perlu
diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan
diintegrasikan ke dalam proses bisnis.
Ø Deliver
and support—Domain ini berkaitan dengan pengiriman aktual layanan yang
dibutuhkan, yang berkisar dari operasi tradisional atas aspek keamanan dan
kontinuitas hingga pelatihan.
Ø Monitor
dan evaluasi—Semua proses TI perlu dinilai secara teratur dari waktu ke waktu
untuk kualitas dan kepatuhannya terhadap persyaratan kontrol.
Jelas bahwa Tindakan pengendalian atas proses TI tidak akan selalu
memenuhi semua kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang
sama.
Ø Primer
Ø Skunder
Ø Kosong
COBIKELUARGA PRODUK
COBIT menyediakan
beberapa produk yang menjelaskan berbagai komponen COBIT secara rinci. Bagian
berikut berisi penjelasan singkat tentang produk yang paling penting,
menggunakan proses DS2 mengelola layanan pihak ketiga untuk semua contoh
produk, dan kemudian contoh masing-masing.
OBJEKTIF KONTROL
COBIT menyediakan satu set 34 tujuan kontrol
tingkat tinggi, satu untuk setiap proses TI, dikelompokkan ke dalam
empat domain: merencanakan dan mengatur, memperoleh dan
menerapkan, menyampaikan dan mendukung, dan memantau dan
mengevaluasi. Dengan mengatasi 34 tujuan pengendalian tingkat tinggi
ini, pemilik proses bisnis dapat memastikan bahwa sistem kontrol yang
memadai disediakan untuk lingkungan TI. Secara total, COBIT
berisi 318 tujuan kontrol terperinci atas semua 34 proses TI.
Tujuan
kontrol tingkat tinggi untuk DS2 mengelola layanan pihak ketiga Kontrol atas
proses TI dalam mengelola layanan pihak ketiga yang memenuhi persyaratan bisnis
untuk memastikan bahwa peran dan tanggung jawab pihak ketiga didefinisikan
dengan jelas, dipatuhi, dan terus memenuhi persyaratan diaktifkan dengan
tindakan pengendalian yang ditujukan untuk meninjau dan memantau perjanjian dan
prosedur yang ada untuk efektivitas dan kepatuhannya terhadap kebijakan
organisasi dan mempertimbangkan
Ø
Perjanjian
layanan pihak ketiga
Ø
Manajemen kontrak
Ø
Perjanjian kerahasiaan
Ø
Persyaratan hukum dan peraturan
Ø
Pemantauan
dan pelaporan pemberian layanan
Ø
Penilaian
risiko perusahaan dan TI
Ø
Penghargaan
dan penalti kinerja
Ø
Akuntabilitas
organisasi internal dan eksternal
Ø
Analisis
varians biaya dan tingkat layanan
Tujuan
kontrol terperinci untuk DS2 mengelola layanan pihak ketiga Antarmuka pemasok
Manajemen harus memastikan bahwa semua layanan penyedia pihak ketiga
diidentifikasi dengan benardan bahwa antarmuka teknis dan organisasi dengan
pemasok didokumentasikan.
PRAKTEK KONTROL
Praktik kontrol memperluas kemampuan COBIT
dengan memberikan tingkat detail tambahan kepada praktisi. Proses TI
COBIT, persyaratan bisnis, dan tujuan kontrol terperinci menentukan
apa yang perlu dilakukan untuk menerapkan struktur kontrol yang efektif. Gambar 11 memberikan contoh praktik
kontrol, sekali lagi menggunakan DS2 Manage third-party services.
Mengapa melakukannya?
Mengindentifikasi dan mendefinisikan antarmuka teknis dan organisasi
yang disediakan oleh pemasok pihak ketiga sejalan dengan praktik pengendalian
akan mempromosikan hubungan yanga mendukung tujuan organisasi secara
keseluruhan, memfasilitas komunikasi yang efektif dan efisien, memastikan bahwa
kepemilikan elemen-elemen tersebut disetiap sisi batas antara organisasi dan
penyediaan layanan pihak ketiga jelas, dan oleh kerana itu menghindari
kesenjangan atau tumpeng tindih dalam tanggaung jawab yang dapat menyebabkan
hilangnya layanan atau inf
AUDIT PEDOMAN
Praktik Pengendalian
1. Kebijakan
dan prosedur terkait dengan pemeliharaan daftar pemasok utama untuk fungsi TI
dikembangkan.
2. Daftar
pemasok TI ditinjau secara berkala untuk memastikan bahwa daftar tersebut tetap
terkini.
3. Kebijakan
dan prosedur yang berkaitan dengan pemeliharaan register antarmuka sistem
dikembangkan.
PANDUAN MANAJEMEN Pedoman
manajemenCOBIT menyediakan hubungan penting antara kontrol TI dan tata kelola
TI. Mereka berorientasi pada tindakan dan generik, dan memberikan arahan
manajemen untuk mendapatkan informasi perusahaan dan proses terkait di bawah
kendali, memantau pencapaian tujuan organisasi, memantau dan meningkatkan
kinerja dalam setiap proses TI, dan membandingkan pencapaian organisasi.
Pedoman manajemen meliputi
1.
Model
kematangan Ini Pendekatan, seperti yang diilustrasikan pada gambar
12, telah diturunkan dari model kematangan yang didefinisikan oleh
Software Engineering Institute untuk kematangan kemampuan pengembangan
perangkat lunak.
2.
Faktor
keberhasilan kritis (CSF)
CSF menentukan masalah atau tindakan paling
penting bagi manajemen untuk dipertimbangkan atau dilakukan untukmencapai
kendali atas dan dalam proses TI.
3.
Sasaran utama
(KGI) menetukan ukuran yang memberitahu manajemen, setelah falta, apakah proses
TI telah mencapai persyaratan bisnisnya.
4.
Indikator
kinerja utama (KPI) menentukan ukuran untuk menetukan seberapa baik kinerja
proses TI dalam memungkinkan tujuan menjadi dicapai.
TmenawarkanT dan Balanced Scorecard
KGI dan KPI yang disediakan dalam COBIinformasi
yang berguna untuk membantu membangun balanced scorecard untuk departemen TI
atau domain atau proses tertentu TI. Penting tidak hanya untuk menentukan
metrik di setiap perspektif, tetapi juga untuk mengidentifikasi hubungan
sebab akibat antara KPI dan KGI.
Dan KPI tanpa KGI dapat menyebabkan investasi
yang signifikan tanpa pengukuran yang tepat yang menunjukkan apakah strategi
manajemen tingkat layanan yang dipilih efektif.
COBIT ORIENTASI TUJUAN BISNIS
COBIT ditujukan untuk mencapai tujuan
bisnis. Tujuan pengendalian membuat hubungan yang jelas dan berbeda dengan
tujuan bisnis untuk mendukung penggunaan yang signifikan di luar komunitas
jaminan.
Pada domain dan proses yang
teridentifikasi, tujuan pengendalian tingkat tinggi diidentifikasi dan
alasan diberikan untuk mendokumentasikan tautan ke tujuan bisnis. Selain
itu, pertimbangan dan pedoman disediakan untuk menentukan dan
mengimplementasikan tujuan pengendalian TI.
Bersama-sama, mereka membentuk kerangka
kerja COBIT. Kerangka kerja ini didasarkan pada aktivitas penelitian yang
telah mengidentifikasi 34 tujuan pengendalian tingkat tinggi dan 318 tujuan
pengendalian terperinci.
