Minggu, 17 April 2022

RESUME COBIT Kerja TFOBIRDalam

Nama : Nur Aisah Amini

Nim : 193100054

Mata kuliah : Audit Sistem Informasi

Nama dosen : Asti Ratnasari, M.Kom

Keterangan Resume : BAB 1

 

Judul: Kerja TFOBIRDalam

Volume:

Tahun: 2022

Penulis: Nur Aisah Amini

 

A.    Latar Belakang

Beberapa tahun terakhir, menjadi semakin jelas bahwa ada kebutuhan akan kerangka acuan untuk mengembangkan dan mengelola pengendalian internal dan tingkat keamanan yang sesuai dalam teknologi informasi . Dengan demikian, organisasi yang sukses memerlukan apresiasi dan pemahaman dasar tentang risiko dan kendala TI di semua tingkatan dalam perusahaan untuk mencapai arah yang efektif dan kontrol yang memadai. TI. Akibatnya, tata kelola perusahaan dan tata kelola TI tidak lagi dapat dianggap sebagai disiplin ilmu yang terpisah dan berbeda. Tata kelola perusahaan yang efektif memfokuskan keahlian dan pengalaman individu dan kelompok di tempat yang paling produktif, memantau dan mengukur kinerja, dan memberikan jaminan untuk masalah kritis.

Tata kelola TI menyediakan struktur yang menghubungkan proses TI, sumber daya TI, dan informasi dengan strategi dan tujuan perusahaan. Tata kelola TI mengintegrasikan dan melembagakan cara optimal untuk merencanakan dan mengatur, memperoleh dan mengimplementasikan, memberikan dan mendukung, serta memantau dan mengevaluasi kinerja TI. Tata kelola TI merupakan bagian integral dari keberhasilan tata kelola perusahaan dengan memastikan peningkatan terukur yang efisien dan efektif dalam proses perusahaan terkait. Melihat interaksi proses tata Kelola perusahaan dan TI secara lebih rinci, tata kelola perusahaan, sistem dimana entitas diarahkan dan dikendalikan, mendorong dan menetapkan tata Kelola TI. TI sebenarnya dapat mempengaruhi peluang strategis yang digariskan oleh perusahaan.

Menerapkan praktik terbaik yang diterima secara umum untuk memastikan bahwa perusahaan mencapai tujuan strategis dan operasionalnya. Mencapai tujuan tersebut mengharuskan entitas untuk mengambil beberapa tingkat risiko tidak ada imbalan tampa beberapa tingkat risiko. Dari tujuan ini mengalir arah organisasi, yang menentukan aktivitas perusahaan tertentu, dengan menggunakan sumber daya perusahaan. HAsil kegiatan perusahaan diukur dan dilaporkan, memberikan masukan untuk revisi konstan dan peliharaan control, melalui siklus lagi.

Manajemen TI juga diatur oleh praktik terbaik untuk memastikan bahwa informasi perusahaan dan teknologi terkait mendukung tujuan bisnisnya, sumber dayanya digunakan secara bertanggung jawab, dan risikonya dikelola dengan tepat. Praktik-praktik ini  membentuk dasar untuk arah kegiatan TI, yang dapat dicirikan sebagai merencanakan dan mengatur, memperoleh dan menerapkan, menyampaikan dan mendukung, dan memantau dan mengevaluasi, untuk tujuan ganda mengelola risiko ( untuk mendapatkan keamanan, keandalan, dan kepatuhan ) dan mewujudkan manfaat ( meningkatkan efektivitas an efesien).

Model control bisnis secara keseluruhan, seperti COSO (Committee of Sponsoring Organizations of the Treadway Commission, Internal Control-Integrated Framework, 1992, COSO Enterprise Risk Management Framwork, 2004) di AS, Turnbull di Inggris, CoCo di kanada dan King di Afrika Selatan telah dikembangkan dan diterbitkan. Namun, model control terfokus ini tidak menyediakan model control yang komprehensif dan dapet digunakan atas TI yang mendukung proses bisnis. Tujuan COBIT adalah untuk menjambatani kesenjangan ini dengan memberikan landasan yang terkait erat dengan tujuan bisnis sambal berfokus pada TI.

Institute of Certified Public Accountants di AS dan Dewan Pengembangan Layanan Jaminan CICA di
Kanada, sebagian didasarkan pada tujuan pengendalian COBIT. SysTrust dirancang untuk meningkatkan kenyamanan manajemen, pelanggan dan mitra bisnis dengan sistem yang mendukung bisnis atau aktivitas tertentu. Layanan SysTrust mengharuskan akuntan publik memberikan layanan jaminan di mana ia mengevaluasi dan menguji apakah suatu sistem dapat diandalkan ketika diukur terhadap empat prinsip penting: ketersediaan, keamanan, integritas dan pemeliharaan.
Tujuan utama COBIT adalah pengembangan tujuan pengendalian terutama dari tujuan bisnis dan perspektif kebutuhan. Selanjutnya, tujuan dan pedoman audit dikembangkan dari perspektif tujuan pengendalian.

B.    Hasil Pembahasan

Perusahaan energi AS mengadopsi COBIT sebagai tanggapan terhadap peraturan Sarbanes -Oxley. Itu telah mencari struktur, dan alih-alih mengembangkan kerangka kontrolnya sendiri, ia lebih suka mengadopsi kerangka kerja yang diterima secara international COBIT. Mereka telah memberi wewenang kepada komite audit dewan untuk memastikan bahwa kita melakukan pekerjaan kita. Komite audit telah memberi wewenang kepada C-suite untuk memastikan kami melakukan pekerjaan kami, dan C-suite telah meminta komite pengarah TI ini untuk memastikan kami memiliki kontrol internal yang memadai untuk TI. Komite pengarah TI, sebaliknya, meminta CIO dan tim manajemennya untuk membuat kami nyaman bahwa ini berkaitan dengan TI, dan kami akan menggunakan COBIT untuk melakukanny.

1.     OBIT : MANAJEMEN, PENGGUNA DAN AUDITOR

·       Mnajemen Untuk membantu mereka menyeimbangkan risiko dan mengendalikan investasi di lingkungan IT yang sering tidak terduga

·       Pengguna Untuk mendapatkanjaminan tentang keamanan dan control layanan TI yang disediakan oleh pihak internal atau ketiga.

·       Auditor Untuk menyediakan kerangka kerja untuk membantu mereka memberikan pendapat tentang tingkat jaminan atas materi pelajaran tertentu yang diaudit dan/atau memberikan saran kepada manajemen tentang masalah internal control.

2.     Sertifikasi CISA dan CISM

Untuk target audiens di atas, ISACA juga telah mengembangkan program sertifikasi. TM mengukur keunggulan di bidang audit, kontrol, dan keamanan IS.

3.     COBITSPESIFIKASI KERANGKA

Untuk memahami sepenuhnya kerangka kerja COBI, definisi berikut diberikan. Pengendalian diadaptasi dari laporan COSO (Internal Control—Integrated Framework) dan tujuan pengendalian TI diadaptasi dari

Systems Auditability and Control (SAC) Report, The Institute of Internal Auditors (IIA) Research Foundation, 1991 dan 1994. Control adalah didefinisiskan sebagai kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang umtuk membrikan jaminan yang wajar bahwa tujuan bisnsi akan tercapai dan kejadian yang tidak diinginkan akan dicegah atau dideteksi dan diperbaiki.

Tujuan pengendalian TI didefinisikan sebagai pernyataan tentang hasil atau tujuan yang diinginkan yang dicapai dengan menerapkan prosedur pengendalian dalam aktivitas TI tertentu. COBIT bertujuan untuk menjembatani kesenjangan yang ada di antara keduanya.COBIT diposisikan lebih komprehensif untuk manajemen dan beroperasi pada tingkat yang lebih tinggi daripada standar teknologi murni untuk manajemen sistem informasi.

Untuk memenuhi tujuan bisnis, informasi harus sesuai dengan kriteriaa tertentu. Kriteria ini dirujuk, dalam COBIT, sebagai persyaratan bisnis untuk informasi.

Persyaratan kualitas meliputi :

·       Kualitas

·       Biaya

·       Pengeriman

Persyaratan fidusia (COSO) meliputi :

·       Efektivitas dan efesiensi operasi

·       Keandalan informasi

·       Kepatuhan terhadap hukum dan peraturan

Persratan kemanan meliputi :

·       Kerahasiaan

·       Integritas

·       Ketersediana

Memulai analisis dari persyaratan kualitas, fidusia dan keamanan yang lebih luas, tujuh kategori berbeda, tentu saja tumpang tindih, diekstraksi.COBIDefinisi kerja Efektivitas—Berkaitan dengan informasi yang relevan dan berkaitan dengan proses bisnis serta disampaikan secara tepat waktu, benar, konsisten, dan dapat digunakan

Ø  Efisiensi—Menyangkut penyediaan informasi melalui optimal ( penggunaan sumber daya yang paling produktif dan ekonomis)

Ø  Kerahasiaan—Menyangkut perlindungan informasi sensitif dari pengungkapan yang tidak sah

Ø  Integritas—Berkaitan dengan keakuratan dan kelengkapan informasi serta validitasnya sesuai dengan nilai dan harapan bisnis

Ø  Ketersediaan—Berkaitan dengan informasi tersedia ketika dibutuhkan oleh proses bisnis sekarang dan di masa depan. Ini juga menyangkut pengamanan sumber daya yang diperlukan dan kemampuan terkait.

Ø  dengan kepatuhan terhadap undang-undang, peraturan, dan pengaturan kontrak yang tunduk pada proses bisnis, yaitu, kriteria bisnis yang diberlakukan secara eksternal

efektivitas dalam situasi ini berkaitan dengan aksebilitas dan kegunaan fungsi untuk audiens target. Ini menjadi ukuran keberhasilan yang memungkiankan bisnis mencapai proposi nilainya dan menjadi ukuran TI utama untuk proyek (setidaknya dalam dimensi proyek ini).

Ada satu set sumber daya TI yang dibutuhkan untuk memebantu memenuhi kebutuhan bisnis. Sumber daya nya adalah :

Ø  Data yaitu objek dalam arti yang luas ( eksternal, dan internal), struktur dan tidak struktur, grafik, suara, dll.

Ø  System aplikasi yaitu dipahami sebagai jumlah prosedur manual dan terprogram

Ø  Teknologi yaitu perangkat keras, pengoprasian sistema, sistema manajemen bisnis data, jaringan, multimedia, dll.

Ø  Fasilitas yaitu semua sumber daya untuk menampung dan mendukung sistem informasi

Ø  Orang yaitu keterampilan, kesadaran, dan produktivitas staf untuk merencanakan, mengatur memperoleh, menyampaikan, mendukung , memantau, dan mengevaluasi system infomasi dan layanan.

COBIT terdiri dari tujuan control tingkat tinggi dan struktur keseluruhan untuk klarifikasi mereka. Teori yang mendasari klarifikasi tersebut adalah bahwa pada dasarnya ada tiga tingakat upaya TI Ketika mempertimbangkan pengelolaan sumber daya TI.

Definisi untuk empat domain yang diidentifikasi untuk klasifikasi tingkat tinggi adalah:

Ø  Merencanakan dan mengatur—Domain ini mencakup strategi dan taktik, dan menyangkut identifikasi cara terbaik TI dapat berkontribusi pada pencapaian tujuan bisnis.

Ø  Memperoleh dan mengimplementasikan—Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis.

Ø  Deliver and support—Domain ini berkaitan dengan pengiriman aktual layanan yang dibutuhkan, yang berkisar dari operasi tradisional atas aspek keamanan dan kontinuitas hingga pelatihan.

Ø  Monitor dan evaluasi—Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk kualitas dan kepatuhannya terhadap persyaratan kontrol.

Jelas bahwa Tindakan pengendalian atas proses TI tidak akan selalu memenuhi semua kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama.

Ø  Primer

Ø  Skunder

Ø  Kosong

COBIKELUARGA PRODUK

COBIT menyediakan beberapa produk yang menjelaskan berbagai komponen COBIT secara rinci. Bagian berikut berisi penjelasan singkat tentang produk yang paling penting, menggunakan proses DS2 mengelola layanan pihak ketiga untuk semua contoh produk, dan kemudian contoh masing-masing.

OBJEKTIF KONTROL
COBIT menyediakan satu set 34 tujuan kontrol tingkat tinggi, satu untuk setiap proses TI, dikelompokkan ke dalam empat domain: merencanakan dan mengatur, memperoleh dan menerapkan, menyampaikan dan mendukung, dan memantau dan mengevaluasi. Dengan mengatasi 34 tujuan pengendalian tingkat tinggi ini, pemilik proses bisnis dapat memastikan bahwa sistem kontrol yang memadai disediakan untuk lingkungan TI. 
Secara total, COBIT berisi 318 tujuan kontrol terperinci atas semua 34 proses TI.

Tujuan kontrol tingkat tinggi untuk DS2 mengelola layanan pihak ketiga Kontrol atas proses TI dalam mengelola layanan pihak ketiga yang memenuhi persyaratan bisnis untuk memastikan bahwa peran dan tanggung jawab pihak ketiga didefinisikan dengan jelas, dipatuhi, dan terus memenuhi persyaratan diaktifkan dengan tindakan pengendalian yang ditujukan untuk meninjau dan memantau perjanjian dan prosedur yang ada untuk efektivitas dan kepatuhannya terhadap kebijakan organisasi dan mempertimbangkan

Ø  Perjanjian layanan pihak ketiga

Ø   Manajemen kontrak

Ø   Perjanjian kerahasiaan

Ø   Persyaratan hukum dan peraturan

Ø  Pemantauan dan pelaporan pemberian layanan

Ø  Penilaian risiko perusahaan dan TI

Ø  Penghargaan dan penalti kinerja

Ø  Akuntabilitas organisasi internal dan eksternal

Ø  Analisis varians biaya dan tingkat layanan

Tujuan kontrol terperinci untuk DS2 mengelola layanan pihak ketiga Antarmuka pemasok Manajemen harus memastikan bahwa semua layanan penyedia pihak ketiga diidentifikasi dengan benardan bahwa antarmuka teknis dan organisasi dengan pemasok didokumentasikan.

PRAKTEK KONTROL
Praktik kontrol memperluas kemampuan COBIT dengan memberikan tingkat detail tambahan kepada praktisi. Proses TI COBIT, persyaratan bisnis, dan tujuan kontrol terperinci menentukan apa yang perlu dilakukan untuk menerapkan struktur kontrol yang efektif. 
Gambar 11 memberikan contoh praktik kontrol, sekali lagi menggunakan DS2 Manage third-party services.

Mengapa melakukannya?

Mengindentifikasi dan mendefinisikan antarmuka teknis dan organisasi yang disediakan oleh pemasok pihak ketiga sejalan dengan praktik pengendalian akan mempromosikan hubungan yanga mendukung tujuan organisasi secara keseluruhan, memfasilitas komunikasi yang efektif dan efisien, memastikan bahwa kepemilikan elemen-elemen tersebut disetiap sisi batas antara organisasi dan penyediaan layanan pihak ketiga jelas, dan oleh kerana itu menghindari kesenjangan atau tumpeng tindih dalam tanggaung jawab yang dapat menyebabkan hilangnya layanan atau inf

AUDIT PEDOMAN

Praktik Pengendalian

1.     Kebijakan dan prosedur terkait dengan pemeliharaan daftar pemasok utama untuk fungsi TI dikembangkan.

2.     Daftar pemasok TI ditinjau secara berkala untuk memastikan bahwa daftar tersebut tetap terkini.

3.     Kebijakan dan prosedur yang berkaitan dengan pemeliharaan register antarmuka sistem dikembangkan.

PANDUAN MANAJEMEN Pedoman manajemenCOBIT menyediakan hubungan penting antara kontrol TI dan tata kelola TI. Mereka berorientasi pada tindakan dan generik, dan memberikan arahan manajemen untuk mendapatkan informasi perusahaan dan proses terkait di bawah kendali, memantau pencapaian tujuan organisasi, memantau dan meningkatkan kinerja dalam setiap proses TI, dan membandingkan pencapaian organisasi.

Pedoman manajemen meliputi

1.       Model kematangan Ini Pendekatan, seperti yang diilustrasikan pada gambar 12, telah diturunkan dari model kematangan yang didefinisikan oleh Software Engineering Institute untuk kematangan kemampuan pengembangan perangkat lunak.

2.      Faktor keberhasilan kritis (CSF)

CSF menentukan masalah atau tindakan paling penting bagi manajemen untuk dipertimbangkan atau dilakukan untukmencapai kendali atas dan dalam proses TI.

3.      Sasaran utama (KGI) menetukan ukuran yang memberitahu manajemen, setelah falta, apakah proses TI telah mencapai persyaratan bisnisnya.

4.      Indikator kinerja utama (KPI) menentukan ukuran untuk menetukan seberapa baik kinerja proses TI dalam memungkinkan tujuan menjadi dicapai.

TmenawarkanT dan Balanced Scorecard
KGI dan KPI yang disediakan dalam COBIinformasi yang berguna untuk membantu membangun balanced scorecard untuk departemen TI atau domain atau proses tertentu TI. Penting tidak hanya untuk menentukan metrik di setiap perspektif, tetapi juga untuk mengidentifikasi hubungan sebab akibat antara KPI dan KGI.
Dan KPI tanpa KGI dapat menyebabkan investasi yang signifikan tanpa pengukuran yang tepat yang menunjukkan apakah strategi manajemen tingkat layanan yang dipilih efektif.

COBIT ORIENTASI TUJUAN BISNIS

COBIT ditujukan untuk mencapai tujuan bisnis. Tujuan pengendalian membuat hubungan yang jelas dan berbeda dengan tujuan bisnis untuk mendukung penggunaan yang signifikan di luar komunitas jaminan.
Pada domain dan proses yang teridentifikasi, tujuan pengendalian tingkat tinggi diidentifikasi dan alasan diberikan untuk mendokumentasikan tautan ke tujuan bisnis. Selain itu, pertimbangan dan pedoman disediakan untuk menentukan dan mengimplementasikan tujuan pengendalian TI.
Bersama-sama, mereka membentuk kerangka kerja COBIT. Kerangka kerja ini didasarkan pada aktivitas penelitian yang telah mengidentifikasi 34 tujuan pengendalian tingkat tinggi dan 318 tujuan pengendalian terperinci.