DAFTAR ISI

DAFTAR ISI

CHAPTER 5
ANOTHER INTERNAL CONTROL FRAMEWORK : CobiT
5.1

Pengantar COBIT .... 3

5.2

Kerangka COBIT

5.3

Menggunakan COBIT untuk Menilai Pengendalian Intern .............

5.4

Langkah-langkah untuk Menjelajahi Framework COBIT ....

5.5

COBIT Jaminan Kerangka Bimbingan 9

5.6

COBIT dalam Perspektif .. 10

BAB 5
KERANGKA LAIN PENGENDALIAN INTERNAL LAIN :COBIT
PENDAHULUAN
COBIT merupakan kerangka pengendalian internal yang berorientasi pada IT. COBIT
bukanlah pengganti untuk kerangka pengendalian internal COSO tetapi cara yang berbeda
untuk melihat pengendalian internal sekarang ini di dunia IT. Meskipun awalnya diluncurkan
sebagai alat untuk membantu apa yang pernah disebut "computer auditor baik internal dan
eksternal, COBIT adalah alat yang berguna untuk mengevaluasi semua pengendalian internal
di suatu perusahaan. Ini menekankan dan memberikan panduan pada hubungan TI dengan
sumber daya bisnis lainnya untuk memberikan nilai keseluruhan untuk perusahaan hari ini.
Bab ini adalah gambaran kerangka COBIT dan komponen utamanya. Lebih penting lagi,
menggambarkan hubungan antara tujuan COBIT dan kerangka pengendalian internal COSO
untuk digunakan dalam pemeriksaan audit internal. Sebagai tambahan, kerangka
pengendalian internal COSO dan pengetahuan akan CobiT akan membantu auditor internal
untuk memahami lebih baik peraturan atas pengendalian TI dan risikonya di lingkungan
perusahaan.
5.1 Pengantar COBIT
COBIT merupakan akronim yang semakin diakui oleh auditor dan banyak profesional
TI. Meskipun kadang-kadang disingkat COBIT daripada penunjukan benar seperti CobiT,
singkatan atau kata singkatan C ontrol ob sasarannya untuk i nformasi dan terkait T
echnology.

Penekanan kerangka kerja ini pada pengendaian dan teknologi. COBIT

merupakan

kerangka pengendalian internal penting yang dapat berdiri sendiri tetapi

merupakan penting dukungan alat untuk mendokumentasikan dan memahami pengendalian

internal COSO dan SOx. Meskipun penekanan asli COBIT adalah pada TI, kerangka telah
diperluas. Auditor di banyak perusahaan setidaknya harus memiliki pemahaman tentang
kerangka COBIT dan penggunaannya sebagai alat untuk mendokumentasikan, mengkaji, dan
memahami pengendalian SOx .

Standard an kerangka kerja COBIT ditempatkan dan

diperbaharui secara berkala oleh IT Governance Institute (ITGI, www.itgi.org) dan berafiliasi
erat profesional organisasi, Audit dan Pengendalian Asosiasi Sistem Informasi (ISACA).
ISACA lebih berfokus pada IT audit sementara penekanan ITGI adalah pada penelitian dan
proses pemerintahan. ISACA juga mengarahkan Informasi Certified Systems Auditor (CISA).

Kerangka CobiT sering digambarkan sebagai pentagon yang meliputi lima bidang luas akan
pengendalian internal. Penakan utama atas pentingnya konsep IT pemerintahan adalah :

Keselarasan strategis. Upaya harus di tempat untuk menyelaraskan operasi dan kegiatan

dengan semua operasi perusahaan lainnya.

Nilai pengiriman. Proses seharusnya di tempatkan untuk memastikan bahwa IT dan unit
operasi lain memberikan manfaat yang dijanjikan di seluruh siklus pengiriman dan dengan
Strategi yang mengoptimalkan biaya sementara menekankan nilai-nilai intrinsik dari IT

dan kegiatan yang berhubungan.

Manajemen risiko. Manajemen , di semua tingkatan , harus memiliki pemahaman yang

jelas akan risiko perusahaan , persyaratan kepatuhan , dan dampak risiko yang signifikan.
Pengelolaan sumber daya. Dengan penekanan pada TI, harus ada secara optimal
investasi, dan pengelolaan yang baik, sumber daya TI, aplikasi, informasi, infrastruktur,
dan orang-orang. IT governance yang efektif tergantung pada optimasi pengetahuan dan

infrastruktur.
Pengukuran kinerja. Proses harus di tempatkan untuk melacak dan memantau
implementasi strategi, penyelesaian proyek, penggunaan sumber daya, proses kinerja, dan
pelayanan. Mekanisme tata kelola TI harus menerjemahkan implementasi

pemikiran

strategi ke dalam tindakan dan pengukuran untuk mencapai tujuan tersebut.

5.2 Kerangka COBIT
Auditor internal harus memahami kebutuhan dan persyaratan berbagi informasi pada
kedua sisi . IT memiliki tanggung jawab atas serangkaian area proses terkait lainnya yang
diaudit oleh atau melalui pedoman audit yang ditetapkan , yang diukur dengan serangkaian
kinerja langkah-langkah dan kegiatan indikator , dan dibuat efektif melalui serangkaian
kegiatan.

COBIT

memberikan

pendekatan

alternatif

untuk

mendefinisikan

dan

menggambarkan kontrol internal yang memiliki penekanan lebih atas IT daripada kerangka
pengendalian internal COSO.
(A) Cube Komponen COBIT: IT Resources
Sumber daya TI seharusnya di pikirkan ketika mengevaluasi pengendalian lingkungan
TI, identifikasinya yaitu:

1. Aplikasi yang terdiri dari kedua sistem pengguna otomatis dan manual prosedur
untuk memproses informasi
2. Informasi, termasuk input, output, dan data diolah, untuk digunakan oleh bisnis
4

Proses
3. Teknologi dan fasilitas komponen infrastruktur termasuk hardware, beroperasi disistem ing, database, jaringan, dan rumah lingkungan
4. Personil

kunci

dan

khusus

untuk

merencanakan,

mengatur, memperoleh,

menerapkan, dukungan, memantau, dan mengevaluasi layanan TI

(B) COBIT Cube Komponen
(I) PROSES IT. IT Proses dan terdiri dari tiga segmen : domain , proses , dan kegiatan.
Domain adalah pengelompokan proses TI ke daerah-daerah organisasi tanggung jawab.
COBIT mendefinisikan empat bidang domain yang spesifik :
1. Perencanaan dan enterprise. Daerah domain ini meliputi strategi dan taktik yang
memungkinkan TI untuk berkontribusi terbaik dan mendukung tujuan bisnis
perusahaan.
2. Akuisisi dan implementasi. Solusi TI perlu diidentifikasi, Perkembangan dibangun
atau diperoleh, dan keduanya diimplementasikan dan terintegrasi dengan bisnis
3. Pengiriman dan dukungan. daerah domain ini meliputi pengiriman sebenarnya
diperlukan layanan, baik aplikasi dan alat-alat infrastruktur. Sebenarnya proses data
aplikasi dan kontrol telah tercakup dalam domain ini.
4. Monitoring dan evaluasi. Daerah ini mencakup proses kontrol, termasukkualitas dan
pemantauan kepatuhan, serta eksternal dan audit internal

prosedur cepat

terkoordinasi.
COBIT menggambarkan masing-masing domain daerah secara lebih rinci

Tentukan rencana strategis TI.

Menentukan arsitektur informasi.
Menentukan arah teknologi.
Tentukan perusahaan TI dan hubungan.
Mengelola investasi TI.
Komunikasikan tujuan manajemen dan arah.
Mengelola sumber daya manusia.
Memastikan kepatuhan terhadap persyaratan eksternal.
Menilai risiko.
Mengelola proyek.
Mengelola kualitas.

(Ii) PERSYARATAN BISNIS

Dimensi ketiga dari kubus COBIT digambarkan sebagai Kebutuhan Bisnis . Tujuh
komponen harus dipertimbangkan untuk semua kebutuhan bisnis dengan pertimbangan

diberikan sumber daya yang diperlukan dan IT

proses :
1. Efektivitas
2. Efisiensi
3. Kerahasiaan
4. Integritas
5. Tersedianya
6. Pemenuhan
7. Keandalan
Semua sistem TI secara keseluruhan harus dievaluasi berdasarkan pada tujuh bidang tersebut.
Tekanan akan bervariasi tergantung pada jenis proses, tetapi semua proses TI harus memiliki
kriteria ini. Fungsi bisnis biasanya menetapkan persyaratan tersebut untuk umum.
5.3 Menggunakan COBIT untuk Menilai Pengendalian Intern
Meskipun setiap dimensi kubus COBIT dapat digunakan untuk memahami kontrol
lingkungan, empat domain yang telah dibahas sebelumnya, dimulai dengan perencanaan dan
perusahaan, berfungsi sebagai langkah pertama yang efektif. Berdasarkan ini kontrol tiga
kubus COBIT dimensi, setiap proses TI harus dievaluasi melalui lima langkah navigasi di
cara ini:
1.
2.
3.
4.
5.

Saya Pengendalian ( nama proses )

Yang memuaskan ( daftar kebutuhan bisnis )
Dengan berfokus pada ( daftar tujuan TI penting )
Apakah IV dicapai dengan ( daftar pernyataan kontrol )
Dan diukur dengan ( daftar metrik kunci )

Proses lima langkah ini bisa pergi dari nomor turun atau bisa mulai dari tingkat dasar
dan menavigasi ke atas.
5.4 Langkah-langkah untuk Menjelajahi Framework COBIT
(A) Perencanaan dan Enterprise
Untuk domain ini, COBIT memanggil untuk 10 Perencanaan tingkat tinggi dan
Pengorganisasian (PO) tujuan pengendalian, yang didefinisikan dan nomor dengan cara ini:
PO1 Tentukan rencana strategis.
PO2 Menentukan arsitektur informasi.
PO3 Menentukan arah teknologi.
PO4 Mendefinisikan proses TI, perusahaan, dan hubungan.
6

PO5 Mengelola investasi TI.

PO6 Komunikasikan tujuan manajemen dan arah.
PO7 Mengelola sumber daya manusia TI.
PO8 Mengelola kualitas.
PO9 Menilai dan mengelola risiko TI.
PO10 Mengelola proyek.
COBIT kemudian menjelaskan enam tujuan yang lebih rinci di bawah PO1:
PO1.1 Manajemen nilai TI.
PO1.2 Keselarasan Bisnis-IT.
PO1.3 Penilaian kinerja saat ini.
PO1.4 IT rencana strategis.
PO1.5 IT rencana taktis.
PO1.6 Manajemen portofolio TI.
tujuan PO1.4 pada rencana strategis menyatakan:
Buat rencana strategis yang mendefinisikan, dalam kerjasama dengan stakeholder yang
relevaners, bagaimana TI akan memberikan kontribusi untuk tujuan strategis perusahaan itu
(gol) dan biaya dan risiko terkait. Ini mencakup bagaimana TI akan mendukung investasi ITenabled program dan pelayanan operasional. Ini mendefinisikan bagaimana tujuan akan
bertemu dan diukur dan akan menerima secara formal sign-off dari para pemangku
kepentingan. Itu IT rencana strategis harus mencakup investasi / biaya operasional, sumber
pendanaan, strategi sourcing, strategi akuisisi, dan persyaratan hukum dan peraturan.
Rencana strategis harus cukup rinci untuk memungkinkan definisi taktis Rencana IT.
(B) Akuisisi dan Implementasi
Setiap tujuan pengendalian tingkat tinggi COBIT membahas prosedur pengendalian dalam
format umum yang sama. Apakah itu upaya pengembangan perangkat lunak di-rumah atau
pur- komponen IT dikejar, direkomendasikan akuisisi dan implementasi tingkat tinggi Tujuan
di sini adalah:
AI1 Mengidentifikasi solusi otomatis.
AI2 Memperoleh dan memelihara perangkat lunak aplikasi.
AI3 Memperoleh dan memelihara infrastruktur teknologi.
AI4 Aktifkan operasi dan digunakan.
AI5 Pengadaan sumber daya TI.
AI6 Mengelola perubahan.
AI7 Instal dan akreditasi solusi dan perubahan.
7

Tujuan untuk mengelola perubahan mengikuti lima langkah yang samas:

I. Kontrol atas Proses TI mengelola perubahan
II. Yang memenuhi kebutuhan bisnis untuk TI menanggapi bisnis persyaratan sejalan dengan
strategi bisnis, sekaligus mengurangi solusi dan cacat pengiriman dan pengerjaan ulang
III. Dengan berfokus pada pengendalian penilaian dampak, otorisasi, dan im- Implementasi
dari semua perubahan pada infrastruktur TI, aplikasi, dan solusi teknis, meminimalkan
kesalahan karena permintaan tidak lengkap spesifik- kation dan implementasi penghentian
IV. Dicapai dengan
1.
2.
3.
4.

Mendefinisikan dan mengkomunikasikan prosedur perubahan, termasuk

perubahan darurat
Menilai, memprioritaskan, dan otorisasi perubahan
Pelacakan status dan melaporkan perubahan

V. Dan diukur dengan

1. Jumlah gangguan atau kesalahan data yang disebabkan oleh tidak akurat spesifikasi
atau penilaian dampak tidak lengkap
2. Aplikasi atau ulang infrastruktur akibat tidak memadai
3. mengubah spesifikasi Persen perubahan yang mengikuti perubahan internal kontrol
pro-cesses.
(C) Pengiriman dan Dukungan
Ada kebutuhan untuk pelayanan yang efisien dan masalah proses manajemen untuk
melaporkan dan mengatasi hal-hal tersebut. Tujuan mencakup banyak daerah-daerah penting:
DS1 Mendefinisikan dan mengelola tingkat layanan.
DS2 Mengelola layanan pihak ketiga.
DS3 Mengelola kinerja dan kapasitas.
DS4 Pastikan layanan secara kontinu.
DS5 Pastikan sistem keamanan.
DS6 Mengidentifikasi dan mengalokasikan biaya.
DS7 Mendidik dan melatih pengguna.
DS8 Mengelola service desk dan insiden.
DS9 Mengelola konfigurasi.
DS10 Mengelola masalah.
DS11 Mengelola data.
DS12 Mengelola lingkungan fisik.
DS13 Mengelola operasi.

Tujuan pengendalian ini merupakan daerah penting dari operasi TI yang historically sering
belum mendapat perhatian yang cukup. The COBIT materi merangkum bagaimana masingmasing tujuan pengendalian dicapai dan diukur dan mempertimbangkan hubungan dan saling
ketergantungan di semua tiga sisi dari kubus COBIT.
The COBIT DS10 Tujuan kontrol untuk manajemen masalah adalah sebuah contoh:
Manajemen masalah yang efektif mensyaratkan identifikasi dan klasifikasi masalah, analisis
akar penyebab dan penyelesaian masalah. Masalahnya manajemen Proses pemerintah juga
mencakup identifikasi rekomendasi untuk perbaikan, pemeliharaan catatan masalah dan
penelaahan tindakan korektif. Sebuah proses manajemen masalah yang efektif meningkatkan
tingkat layanan, mengurangi biaya, dan meningkatkan kenyamanan pelanggan dan
kepuasan.
(D) Monitoring dan Evaluasi
Domain COBIT keempat disebut Monitoring dan Evaluasi (ME), satu set tujuan kontrol yang
menekankan COBIT sebagai proses loop tertutup yang secara efektif tidak pernah berakhir.
COBIT panggilan untuk menetapkan langkah-langkah dasar untuk memungkinkan
perusahaan untuk meyakin bagaimana mereka melakukan dan memberikan mereka
kesempatan di masa depan periode.
5.5 COBIT Jaminan Kerangka Bimbingan
Sementara framework COBIT memberikan panduan untuk membangun internal yang efektif
kontrol dengan penekanan pada sumber daya TI, ITGI pada tahun 2008 dirilis Informasi yang
Teknologi Jaminan Framework (ITAF) Tujuan dari pedoman-COBIT terkait ini adalah untuk
menetapkan standar untuk Mengaudit IT dan peran dan tanggung jawab jaminan profesional,
pengetahuan dan keterampilan, dan ketekunan, perilaku dan persyaratan pelaporan. Judul dan
banyak referensi dalam buku ini menggunakan kata audit , pedoman ini COBIT baru
berfokus pada yang lain dan kurang umum kata-audit yang terkait, jaminan. Istilah ini juga
ditemukan dalam IIA dasarreferensi yang menyatakan:
Audit internal merupakan kegiatan independen, obyektif assurance dan konsultasi dirancang
untuk menambah nilai dan meningkatkan operasi organisasi. Ini membantu sebuah
organisasi mencapai tujuannya dengan membawa sistematis, disiplin approach untuk
mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata
kelola.

Tujuan keseluruhan dari sebuah ITAF adalah untuk mendefinisikan satu set standar untuk
membantu memastikan kualitas, konsistensi, dan reliabilitas penilaian TI, berdasarkan satuset
yang baik praktek penetapan pedoman dan prosedur.
5.6 COBIT dalam Perspektif
Jenis lingkungan yang kita hampir selalu menghadapi hari ini. Keputusan untuk
menggunakan COBIT dalam audit internal yang tidak harus menjadi keputusan satu kali atau
tingkat audit individu. Sebaliknya, audit internal harus melatih anggota kunci tim audit pada
penggunaan Cobit, kemudian mencoba menggunakannya untuk menilai pengendalian internal
pada beberapa audit lainnya sedang dikembangkan dan didokumentasikan menggunakan
teknik audit internal dibahas dalam Bab 7 dan 9. Bagi banyak perusahaan, COBIT akan
menawarkan beberapa perbaikan audit berkelanjutan proses. Penerapannya harus terlebih
dahulu dibicarakan dengan komite audit untuk menjelaskan alasan-alasan untuk mengubah
pendekatan audit internal.

10