DAFTAR ISI

BAB 1 PENDAHULUAN Latar Belakang ........................................................................................................... 2 Tujuan dan Manfaat ................................................................................................... 3 Tujuan Penulisan ............................................................................................. 3 Manfaat Penulisan ........................................................................................... 3 Metodologi Penulisan ................................................................................................ 3 Objek Penulisan .............................................................................................. 3 Teknik Pengambilan Data ............................................................................... 3

BAB 2 PEMBAHASAN ISACA (Information System Audit and Control Association) ..................................... 4 Kode Etik Profesional ...................................................................................... 4 CISA (Certified Information Systems Auditor) ........................................................... 5 COBIT (Control Objective for Information and related Tecnology) ............................ 6 Pengertian ....................................................................................................... 6 Sejarah Perkembangan ................................................................................... 7 Tujuan Pembentukan ...................................................................................... 7 Kegunaan ........................................................................................................ 8 Kerangka Kerja ................................................................................................ 8 Konsep Pengendalian ................................................................................... 12 Pengguna ...................................................................................................... 13 Sumber Daya TI ............................................................................................ 13 COBIT 4.1 vs COBIT 5 .................................................................................. 14 Contoh Penerapan dalam Organisasi............................................................ 17 BAB 3 PENUTUP Simpulan .................................................................................................................. 20 Saran........................................................................................................................ 20
Page | 1

BAB I Pendahuluan

1.1

Latar Belakang

Pengendalian (controlling) adalah salah satu fungsi manajemen dalam mencapai tujuan organisasi, yang merupakan manifestasi dari usaha manajemen untuk mengurangi resiko kerugian dan penyimpangan dalam suatu organisasi.

Pengendalian Internal yang efektif merupakan salah satu faktor kunci dalam kesuksesan sebuah organisasi. Dengan adanya sistem pengendalian internal yang efektif, dapat membantu dalam mencapai tujuan organisasi yang antara lain dapat mengurangi resiko kerugian organisasi, menghasilkan suatu laporan keuangan yang andal dan sesuai, serta meningkatkan efisiensi. Dengan semakin dominannya penggunaan komputer dalam membantu kegiatan operasional diberbagai organisasi, maka diperlukan standar-standar yang tepat sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Sehingga data elektronik tersebut menghasilkan pelaporan keuangan perusahaan yang dapat dipertanggungjawabkan. Dalam perkembangannya terdapat banyak standar standar kontrol yang muncul dengan latar belakang yang berbeda. Oleh karena itu, dalam penulisan ini akan diuraikan salah satu standar kontrol untuk EDP (Electronic Data Processing) yaitu COBIT (Control Obejctive for Information and related Technology). Framework COBIT digunakan untuk menyusun dan menerapkan model audit sistem infromasi dengan tujuan untuk memberikan masukan dan rekomendasi bagi pihak manajemen organisasi untuk perbaikan pengelolaan sistem informasi di masa mendatang. COBIT dirancang agar dapat menjadi alat bantu yang dapat memecahkan permasalahan dalam memahami dan mengelola resiko serta keuntungan yang behubungan dengan sumber daya informasi organisasi.

Page | 2

1.2

Tujuan dan Manfaat

1.2.1 Tujuan Penulisan Adapun tujuan dari penulisan paper ini adalah : Meneliti metode COBIT yang ada agar dapat mengevaluasi kelebihan dan kekurangan sistem informasi dalam organisasi dengan efektif. Menganalisa dan mengidentifikasi kebutuhan keamanan yang diperlukan organisasi, khususnya dalam mengelola teknologi informasi. Menjabarkan lebih luas tentang pengetahuan Audit Sistem Informasi dan Teknologi Informasi terkait dengan standar COBIT

1.2.2 Manfaat Penulisan Adapun manfaat manfaat dari penulisan paper ini adalah : Memberikan penilaian yang berorientasi pada bisnis dengan menggunakan standar COBIT terhadap kebutuhan kontrol organisasi bagi pihak manajemen Proses dan hasil penelitian dapat dijadikan arah dalam penerapan IT Governance yang baik bagi organisasi. Memberikan pemahaman secara intens tentang konsep COBIT

1.3

Metodologi Penulisan

1.3.1

Objek Penulisan

Objek tulisan ini adalah COBIT sebagai landasan untuk menyusun dan menerapkan model audit sistem infromasi dalam memberikan masukan dan rekomendasi bagi pihak manajemen perusahaan untuk perbaikan pengelolaan sistem informasi di masa mendatang.

1.3.2

Teknik Pengambilan Data

Informasi mengenai COBIT sebagai topik penulisan diperoleh dari berbagai sumber baik berupa internet, perkuliahan dengan mata kuliah terkait, maupun jurnal atau tesis yang relevan dengan objek yang dikaji.

Page | 3

BAB 2 PEMBAHASAN

2.1

ISACA (Information System Audit and Control Association)

ISACA atau Information Systems Audit and Control Association merupakan perkumpulan atau asosiasi yang anggota-anggotanya terdiri dari Auditors, Indonesian System Auditor dan mereka yang mempunyai minat terhadap control, audit dan security system informasi.

2.1.1

Kode Etik Profesional

The Information Systems Audit and Control Association (ISACA) mengeluarkan kode etik professional (Code of Professional Ethics) untuk dijadikan panduan perilaku bagi para personal maupun professional anggota asosiasi dan atau para penyandang sertifikasi, yaitu anggota dan para penyandang sertifikasi ISACA, harus :

1. Mendukung penerapan, dan mendorong kesesuaian dengan, standar, prosedur dan pengendalian sistem informasi yang tepat.

2. Melakukan tugas-tugas mereka secara sungguh-sungguh (due diligence) dan profesional, sesuai dengan standar-standar professional dan praktik terbaik (best practices).

3. Memenuhi kebutuhan para stakeholders dengan secara jujur dan memenuhi aturan/hukum, sambil menjaga tindakan dan perilaku, dan tidak terlibat dalam tindakan-tindakan yang merugikan profesi.

4. Tetap menjaga privasi dan kerahasiaan informasi yang diperoleh selama melakukan tugas-tugas mereka, kecuali hal itu diminta oleh pihak yang berwajib (legal authority). Informasi semacam itu tak boleh digunakan untuk keuntungan pribadi atau diberikan kepada pihak yang tidak berkompeten.

Page | 4

5. Tetap menjaga kompetensi di bidang masing masing dan bersedia hanya melakukan kegiatan tersebut, yang dapat mereka harapkan untuk diselesaikan dengan kompetensi profesional.

6. Memberitahu para pihak yang berkompeten mengenai hasil kerja yang dilakukan; memberitahu semua fakta nyata kepada mereka.

7. Mendukung edukasi professional kepada para stakeholder dalam upaya meningkatkan pemahaman mereka mengenai keamanan dan pengendalian sistem informasi.

2.2

CISA (Certified Information Systems Auditor)

Program Certified Information Systems Auditor (CISA) didirikan pada Tahun 1978 oleh Information Systems Audit and Control Association (ISACA) dengan tujuan:

a. Mengembangkan dan memelihara instrument testing yang dapat digunakan untuk mengevaluasi kompetensi individu dalam melakukan audit sistem informasi.

b. Menyediakan mekanisme untuk memotivasi sistem informasi auditor untuk memelihara kompetensi dan memonitor kesuksesan maintenance program.

c. Membantu top manajemen dalam membangun fungsi audit sistem informasi dengan menyediakan kriteria untuk seleksi dan pengembangan personel.

Program CISA telah menjadi satu-satunya designation yang dikenal secara global untuk audit sistem informasi dan profesional kontrol. CISA designation mendapat penghargaan tinggi dari pemerintah dan pemilik perusahaan di berbagai industri, bahkan telah menjadi kriteria pekerjaan dan/atau kemajuan dalam organisasi. Dengan dikenal sebagai CISA, akan memberikan nilai profesional dan sejumlah besar keuntungan. Pencapaian dari program CISA mendemonstrasikan keahlian audit sistem informasi serta memberikan tanda dalam melayani sebuah organisasi
Page | 5

dengan perbedaan. Mereka yang telah memiliki gelar CISA akan bergabung dengan para profesional dunia yang telah mendapatkan professional designation. Sertifikasi profesional ini memberikan bukti pencapaian pengetahuan dan keahlian profesional tersebut. Dengan kata lain, sertifikasi untuk exclusive program worldwide untuk professional audit IS, kontrol, dan keamanan di bidang mereka adalah Certified Information Systems Auditor(CISA) Designation. Seperti Certified Professional Accountant (CPA) atau Chartered Accountant (CA) designation untuk profesional akuntansi, CISA designation menunjukkan kemampuan individu dalam mengaplikasikan audit SI, kontrol, prinsip dan praktik keamanan. Bagi employers worldwide, profesional audit SI dan kontrol dengan CISA designation lebih diminati dan seringkali mendapatkan kompensasi yang lebih tinggi. Sebagai tambahan, pemegang CISA ini juga tetap perlu berkecimpung dalam profesi mereka dengan mengikuti pendidikan profesional yang berkesinambungan.

2.3

COBIT (Control Objective for Information and related Tecnology)

2.3.1

Pengertian COBIT

Control Objectives for Information and Related Technology (COBIT) dapat definisikan sebagai alat pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan oleh Information System Audit and Control Association (ISACA) melalui lembaga yang dibentuknya yaitu Information and Technology Governance Institute (ITGI) pada tahun 1992. Secara terstruktur, COBIT terdiri dari seperangkat control objectives untuk bidang teknologi informasi, dirancang untuk memungkinkan tahapan bagi audit. Menurut IT Governance Institute, COBIT adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis dalam perusahaan. COBIT memungkinkan kebijakan pembangunan yang jelas dan baik untuk seluruh organisasi kontrol TI. COBIT menekankan peraturan, membantu organisasi untuk meningkatkan nilai dicapai dari TI, dan memungkinkan pengaturan dan

penyederhanaan pelaksanaan pada kerangka COBIT.

Page | 6

2.3.2

Sejarah Perkembangan COBIT

COBIT yang pertama kali diluncurkan pada tahun 1996, mengalami perubahan berupa perhatian lebih kepada dokumen sumber, revisi pada tingkat lebih lanjut serta tujuan pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set) pada edisi keduanya yang dipublikasikan pada tahun 1998. COBIT pada edisi ketiga ditandai dengan masuknya penerbit utama baru COBIT yaitu ITGI. COBIT edisi 4.1 diperluas dengan arahan lebih kepada IT Governance. COBIT edisi kelima merupakan versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait dengan mencakup keseluruhan dari COBIT 4.1 dengan tambahan tentang Risk IT dan Val IT. ISACA telah meluncurkan Val IT yang berhubungan dengan proses COBIT untuk proses manajemen senior yang dibutuhkan untuk mendapatkan nilai baik dari investasi TI.

2.3.3

Tujuan Pembentukan COBIT

Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari. Dengan bahasa lain, COBIT dapat pula dikatakan sebagai sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan permasalahan teknis, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT. COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap corporate governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit. Fokus utama COBIT adalah harapan bahwa melalui adopsi COBIT ini perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.

Page | 7

2.3.4

Kegunaan COBIT

Dalam membantu auditor, COBIT memiliki fungsi fungsi diantaranya adalah : Meningkatkan pendekatan/program audit Mendukung audit kerja dengan arahan audit secara rinci Memberikan petunjuk untuk IT governance Sebagai penilaian benchmark untuk kendali IS/IT Meningkatkan control IS/IT Sebagai standarisasi pendekatan/program audit.

2.3.5

Kerangka Kerja COBIT

COBIT Framework

COBIT merupakan kerangka kerja pengendalian internal yang berkaitan dengan teknologi informasi, yang dipublikasikan oleh Information System Audit and Control Foundation di tahun 1996 dan di-update pada tahun 1998 dan 2000. COBIT dibuat dengan tujuan melakukan penelitian dan pengembangan terhadap sekumpulan kontrol teknologi informasi, yang dapat diterima secara internasional bagi
Page | 8

kepentingan auditor dan manajer bisnis suatu organisasi. COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam empat buah domain proses, meliputi :

1. Plan and Organise (10 proses) Meliputi strategi dan taktik yang berkaitan dengan identifikasi pemanfaatan IT yang dapat memberikan kontribusi dalam pencapaian tujuan bisnis.

Proses dalam domain ini adalah : Menetapkan rencana strategis TI Menetapkan susunan informasi Menetapkan kebijakan teknologi Menetapkan hubungan dan organisasi TI Mengelola investasi IT Mengkomunikasikan arah dan tujuan manajemen Mengelola sumberdaya manusia

2. Acquire and Implement (7 proses) Merupakan domain proses yang merealisasikan strategi IT, serta solusi solusi IT yang diperlukan untuk diterapkan pada proses bisnis organisasi. Pada domain ini pula dilakukan pengelolaan perubahan terhadap sistem eksisting untuk menjamin proses yang berkesinambungan. Langkah langkah domain ini adalah : Mengidentifikasi solusi terotomatisasi Mendapatkan dan memelihara software aplikasi Mendapatkan dan memelihara infrastruktur teknologi Mengembangkan dan memelihara prosedur Memasang dan mengakui sistem Mengelola perubahan

Page | 9

3. Delivery and Support (13 proses) Domain ini berfokus utama pada aspek penyampaian atau pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu atau masalah keamanan dan juga pelatihan.

Proses dalam domain ini adalah : Menetapkan dan mengelola tingkat pelayanan Mengelola pelayanan kepada pihak lain Mengelola kinerja dan kapasitas Memastikan pelayanan yang kontinyu Memastikan keamanan sistem

4. Monitor and Evaluate (4 proses) Merupakan domain yang memberikan pandangan bagi pihak manejemen berkaitan dengan kualitas dan kepatuhan dari proses yang berlangsung dengan kendali-kendali yang diisyaratkan. Proses dalam domain ini sebagai berikut : Memonitor proses Menaksir kecukupan pengendalian internal Mendapatkan kepastian yang independen

Kerangka kerja COBIT juga memasukan hal-hal berikut : 1. Maturity Models Untuk memetakan status maturity proses-proses TI (dalam skala 0 5) dibandingkan dengan the best in the class in the Industry dan juga International best practices.

Page | 10

Skala skala maturity models akan dijabarkan sebagai berikut : Skala 0 - Not Existance Karena perusahaan tidak menyadari pentingnya membuatperencanaan strategis di bidang teknologi informasi. Dalam skala ini penting untuk dilakukan evaluasi pengendalian dan dijadikan sebagai temuan yang penting. Skala 1 Initial Adanya fakta fakta bahwa perusahaan telah menyadari akan pentingnya pembuatan perencanaan strategis di bidang teknologi informasi. Namun, tidak ada prosesyang distandarisasi; perencanaan, perancangan dan manajemen masih belum terorganisir dengan baik. Dalam skala ini keperluan untuk dijadikan temuan tidak diutamakan, karena tingkat kemungkinan terjadinya resiko tidak sebesar skala nol. Skala 2 Repeatable Perusahaan telah menetapkan prosedur untuk dipatuhi oleh karyawan, namun belum dikomunikasikan dan belum adanya pemberian latihan formal kepada setiap karyawan mengenai prosedur; dan tanggung jawab diberikan sepenuhnya kepada individu sehingga pemberian kepercayaan sepenuhnya kemungkinan dapat terjadi penyalahgunaan. Skala 3 Defined Seluruh proses telah didokumentasikan dan telah dikomunikasikan,serta dilaksanakan berdasarkan metode pengembangan sistem komputerisasi yang baik, namun belum ada proses evaluasi terhadap sistem tersebut, sehingga masih ada kemungkinan terjadinya penyimpangan.

Skala 4 - Managed Proses komputerisasi telah dapat dimonitor dan dievaluasi denganbaik, manajemen proyek pengembangan sistem komputerisasi sudah dijalankan denganlebih terorganisir.

Page | 11

Skala 5 Optimised Best Practices (pedoman terbaik) telah diikuti dan diotomatisasi pada sistem berdasarkan proses yang terencana, terorganisir dan menggunakan metodologi yang tepat.

2. Critical Success Factors (CSFs) Adalah arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI. 3. Key Goal Indicators (KGIs) Merupakan kinerja proses-proses TI sehubungan dengan business requirement. 4. Key Performance Indicators (KPIs) Adalah kinerja proses-proses TI sehubungan dengan process goals.

2.3.6

Konsep Pengendalian COBIT

Dalam hal tujuan pengendalian, COBIT mendefinisikannya sebagai Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu. COBIT melihat pengendalian dalam tiga dimensi berbeda yaitu Sumber IT, Proses IT, dan Kriteria Informasi IT. Sumber IT sebagai dimensi pertama akan dijabarkan lebih mendalam pada sub-bab berikutnya. Proses IT sebagai dimensi kedua dari COBIT terdiri dari tiga segmen, yaitu domains, proses, dan aktivitas. Sedangkan dalam dimensi ketiganya, COBIT menetapkan kriteria informasi yang berguna dalam mendukung tercapainya tujuan organisasi dengan merujuk pada kebutuhan informasi di organisasi atau perusahaan. COBIT mengkombinasikan beberapa prinsip penyusunan informasi berdasarkan model model yang sudah ada, dan merumuskannya kedalam tiga kategori utama, yaitu quality, fiduciary responsibility

Page | 12

dan security yang kemudian diuraikan lebih lanjut dalam kriteria-kriteria sebagai berikut : Efektifitas Efisiensi Kerahasiaan Integritas Ketersediaan Kepatuhan

2.3.7

Pengguna COBIT

COBIT dirancang untuk digunakan oleh tiga pengguna berbeda yaitu : 1. Manajemen Dengan penerapan COBIT, manajemen dapat terbantu dalam proses

penyeimbangan resiko dan pengendalian investasi dalam lingkungan IT yang tidak dapat diprediksi.

2. User Pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.

3. Auditor Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.

2.3.8

Sumber Daya TI

Sumber daya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau diidentifikasikan sebagai berikut :
Page | 13

Data, adalah obyek-obyek dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya. Sistem aplikasi, dipahami untuk menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram. Teknologi, mencakup hardware, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan lain- lain. Fasilitas, adalah semua sumber daya untuk menyimpan dan mendukung system informasi. Manusia termasuk staf ahli, kesadaran dan produktivitas untuk merencanakan, mengorganisasikan atau melaksanakan, memperoleh, menyampaikan,

mendukung dan memantau layanan sistem informasi.

2.3.9

COBIT 4.1 vs COBIT 5

COBIT dikenal luas sebagai standard defacto untuk kerangka kerja tata kelola TI (IT Governance) dan yang terkait dengannya. Di sisi lain standard atau framework ini terus berevolusi sejak pertama kali diluncurkan di 1996 hingga rilis terakhir yaitu COBIT 5 yang diluncurkan pada Juni 2012 yang lalu. Pada setiap rilisnya, kerangka kerja ini melakukan pergeseran pergeseran beberapa paradigma. Teknologi Informasi dan pemanfaatannya yang berkembang dengan cepat tentunya menuntut perubahan dalam tata cara pengelolaannya juga, sehingga frameworknya juga perlu penyesuaian. Selain itu penerapan apapun pada tataran konseptual ke dalam tataran praktis akan selalu memunculkan titik-titik yang dapat diperbaiki dan disempurnakan terus-menerus. Perbaikan yang cukup telah dilakukan terhadap COBIT framework untuk posisi sebagai model tata kelola teknologi informasi di perusahaan. Tidak seperti pendahulunya (COBIT 4.1) dan ITIL v3, COBIT 5 framework mengalamatkan tiga tingkat dari sebuah framework tata kelola TI. Perbaikan dalam COBIT 5 meliputi restrukturisasi deskripsi dari proses individu, mengidentifikasi dasar praktek-praktek yang sebenarnya dalam setiap proses dan menggambarkan kegiatan utama dalam setiap dasar praktek. Perubahan yang paling signifikan untuk COBIT adalah reorganisasi framework dari sebuah model proses TI ke framework tata kelola TI dengan serangkaian penerapan tata kelola TI, sistem manajemen untuk perbaikan terus-menerus di kegiatan TI dan model proses
Page | 14

dengan dasar praktek. COBIT 5 akan didasarkan pada prinsip-prinsip tata kelola perusahaan yang sehat dan akan membantu organisasi mengelola risiko operasional, serta tetap bertahan di atas persyaratan kepatuhan yang terus berkembang.

Ada beberapa perubahan penting yang dibawa oleh COBIT rilis teranyar ini dibanding versi pendahulunya. Apakah itu?

Pertama, prinsip baru dalam tata kelola TI untuk organisasi, Governance of Enterprise IT (GEIT). COBIT 5, sebagaimana juga Val IT dan Risk IT, lebih berorientasi pada prinsip dibanding pada proses. Berdasarkan feedback yang masuk, menyatakan bahwa ternyata penggunaan prinsip prinsip lebih mudah dipahami dan diterapkan dalam konteks enterprise secara lebih efektif.

Kedua, COBIT 5 memberi penekanan lebih kepada Enabler. Walaupun sebenarnya COBIT 4.1 juga menyebutkan adanya enabler enabler, hanya saja COBIT 4.1 tidak menyebutnya dengan enabler. Sementara COBIT 5 menyebutkan secara spesifik ada 7 enabler dalam implementasinya. Berikut ini adalah ketujuh enabler COBIT 5 dan perbandingan untuk hal yang sama di COBIT 4.1 :

1. Prinsip-prinsip, kebijakan dan kerangka kerja. Kalau di COBIT 4.1, poin-poin ini tersebar dalam beberapa proses-proses COBIT 4.1.

2. Proses-proses. Proses adalah sentral dari COBIT 4.1.

3. Struktur Organisasi. Dalam COBIT 4.1, struktur organisasi tercermin dalam RACI chart yang mendefinisikan peran dan tanggung-jawab para pihak dalam setiap proses.

4. Kultur, etika dan perilaku. Poin ini terselip di beberapa proses COBIT 4.1

5. Informasi. Dalam COBIT 4.1, informasi merupakan salah satu sumber daya TI (IT resources).
Page | 15

6. Layanan, Infrastruktur, dan Aplikasi. Dalam COBIT 4.1, infrastruktur dan aplikasi (disatukan dengan layanan) merupakan sumber daya TI juga.

7. Orang, keterampilan (skills) dan kompetensi. Dalam COBIT 4.1, hanya disebutkan orang sebagai salah satu sumber daya (walau sebenarnya mencakup juga keterampilan dan kompetensinya)

Ketiga, COBIT 5 mendefinisikan model referensi proses yang baru dengan tambahan domain governance dan beberapa proses baik yang sama sekali baru ataupun modifikasi proses lama serta mencakup aktifitas organisasi secara end-toend. Selain mengkonsolidasikan COBIT 4.1, Val IT, dan Risk IT dalam sebuah framework, COBIT 5 juga dimutakhirkan untuk menyelaraskan dengan best practices yang ada seperti misalnya ITIL v3 2011 dan TOGAF.

Keempat, seperti disinggung sebelumnya, bahwa dalam COBIT 5 terdapat prosesproses baru yang sebelumnya belum ada di COBIT 4.1, serta beberapa modifikasi pada proses-proses yang sudah ada sebelumnya di COBIT 4.1. Secara sederhana dapat dikatakan bahwa model referensi proses COBIT 5 ini sebenarnya mengintegrasikan konten COBIT 4.1, Risk IT dan Val IT. Sehingga proses-proses pada COBIT 5 ini lebih holistik, lengkap dan mencakup aktifitas bisnis dan IT secara end-to-end.

Kelima, Praktik dan Aktifitas. Praktik dan aktifitas tata kelola dan manajemen pada COBIT 5 sebenarnya ekuivalen dengan control objective COBIT 4.1 serta prosesproses pada Val IT dan Risk IT. Sementara itu aktifitas pada COBIT 5 sebenarnya identik dengan dengan control practices pada COBIT 4.1 dan management practices pada Val IT dan Risk IT.

Keenam, Goal dan Metrik. COBIT 5 menggunakan konsep goal dan metrik yang sama dengan COBIT 4.1, Val IT, dan Risk IT. Hanya saja COBIT 5 mengubah namanya menjadi enterprise-goal, IT-related goal dan process goal untuk mencerminkan view secara organisasi. COBIT 5 juga memberikan contoh-contoh goal dan metriknya pada tingkatan enterprise, proses dan manajemen pada
Page | 16

tingkatan praktis. Inilah bedanya dengan COBIT 4.1, Val IT, dan Risk IT yang bermain satu tingkatan di bawahnya.

Ketujuh, Input dan Output. Framework COBIT 5 menyediakan input dan output untuk setiap management practice, sementara COBIT 4.1 hanya menyediakan ini pada tingkatan proses saja. Hal ini dapat dijadikan petunjuk tambahan dalam mendesain proses-proses berikut produk kerja yang dihasilkan dan membantu integrasi antar proses-proses yang ada.

Kedelapan, RACI Chart. Pada dasarnya COBIT 5 menyediakan diagram RACI yang menjelaskan peran dan tanggung jawab dengan cara yang sama seperti pada COBIT 4.1, Val IT, maupun Risk IT. Hanya saja COBIT 5 memberikan diagram yang lebih lengkap, detail dan rentang yang lebih jelas dari setiap pihak baik IT maupun bisnis untuk setiap praktik manajemen. Tentunya hal ini akan lebih memudahkan dalam proses desain dan penerapan proses-prosesnya.

Kesembilan, Model dan Asesmen terhadap Process Capability. Framework COBIT 5 tidak lagi menggunakan pendekatan berbasis CMM seperti yang digunakan dalam COBIT 4.1, Val IT, maupun Risk IT. Sebagai gantinya COBIT 5 akan menggunakan pendekatan baru yang berbasis pada ISO/IEC 15504. Pendekatan yang digunakan COBIT 4.1, Val IT dan Risk IT menggunakan atribut dan skala pengukuran yang berbeda dengan pendekatan berbasis ISO/IEC 15504 ini. Pendekatan baru ini menurut ISACA merupakan pendekatan yang lebih baik, handal dan juga lebih repeatable sebagai sebuah metode penilaian kematangan/kemampuan proses. Bagi yang sudah biasa menggunakan metode sebelumnya berbasis CMM, maka tentu dibutuhkan penyesuaian penyesuaian dan penyelarasan penyelarasan.

2.3.10 Contoh Penerapan COBIT Dalam Organisasi Implementasi pada BUMN Dipandang dari cukup luasnya cakupan COBIT dalam pengendalian IT organisasi, maka dapat disimpulkan bahwa BUMN dapat (bahkan seharusnya) mengadopsi guidelines COBIT dalam pengelolaan dan pengendalian IT-nya. Sebelum uraian
Page | 17

lebih lanjut mengenai aspek aspek COBIT yang sesuai untuk BUMN, terlebih dahulu akan diuraikan mengenai keunggulan keunggulan COBIT dalam pengendalian internal terhadap manajemen sistem dan informasi sebagai berikut : Akseptansi secara internasional, karena didasarkan atas pengalaman praktik dan profesionalitas para ahli di seluruh dunia. Memenuhi standar ISO17799, COSO I dan II, dan standar standar terkait lainnya. COBIT menjadi jembatan komunikasi antara fungsi IT, bisnis dan auditor dengan menyediakan suatu pendekatan umum yang dapat dimengerti oleh semuanya pihak. COBIT berorientasi kepada manajemen, dapat diaplikasikan, dan mudah digunakan. COBIT menyediakan dukungan yang kuat untuk audit IT, meminimalisasi biaya resiko audit, dan dapat meningkatkan kualitas audit dan opini audit. COBIT dapat menghemat waktu dalam mengimplementasikan praktek-praktek yang efektif. COBIT bersifat fleksibel dan mudah beradaptasi untuk menyesuaikan dengan ukuran dan budaya organisasi, serta kebutuhan khusus lainnya. COBIT adalah sebuah konsep yang lengkap dan terintegrasi, dan dikelola oleh organisasi non profit yang sudah memiliki reputasi, yakni ISACA.

Selain berbagai keunggulan keunggulan yang disebutkan diatas, terdapat beberapa alasan lain mengapa sebuah organisasi mengadopsi COBIT yaitu : COBIT memberikan perhatian kepada tata kelola IT yang baik (Good IT Governance). Untuk menguji akuntabilitas manajemen terhadap sumber daya teknologi informasi. Adanya kebutuhan khusus untuk pengendalian sumber daya TI. Sebuah solusi yang berorientasi bisnis, karena COBIT mengedepankan penggunaan sumber daya TI yang efektif dan efisien. COBIT menyediakan kerangka untuk penilaian resiko atas IT.
Page | 18

Berbasis otorisasi. Meningkatkan komunikasi antara manajemen, pengguna (users), dan auditor.

Dari keuntungan diatas, dapat disimpulkan bahwa penerapan COBIT dalam pengelolaan IT BUMN adalah sebuah keharusan. Keseluruhan aspek dalam kerangka kerja COBIT dapat diadopsi, uraian singkat berikut akan memberikan penjelasan lebih lanjut : Manajemen dapat mengadopsi control objectives COBIT dalam perancangan model pengelolaan dan pengendalian IT perusahaan. Proses perancangan tersebut dapat diadopsi dari langkah langkah atau proses yang ada dalam domain domain COBIT. Manajemen dapat mengadopsi management guideline COBIT sebagai tools dalam perumusan kebijakan management baik kebijakan mengenai IT maupun kebijakan lainnya yang berhubungan dengan kinerja organisasi. Pengawas internal (auditor) dapat menggunakan audit guideline COBIT sebagai standar dalam perancangan dan pelaksanaan audit atas sistem informasi organisasi. Secara rinci, auditor menggunakannya dalam :

Perencanaan audit dan pengembangan program audit. Validasi kontrol kontrol TI Evaluasi resiko resiko TI

Mudahnya adopsi COBIT dalam pengelolaan IT pada dasarnya disebabkan oleh mudahnya modifikasi guidelines COBIT sesuai dengan kondisi industri dan kondisi IT perusahaan atau organisasi.

Page | 19

BAB 3 PENUTUP

3.1 Simpulan

Melalui penulisan ini, dapat disimpulkan : a. Pengendalian merupakan aspek penting dalam manajemen organisasi dalam mengurangi resiko kerugian dan penyimpangan dalam organisasi tersebut. b. COBIT adalah suatu standar dalam audit sistem informasi yang berperan dalam pengendalian terhadap teknologi informasi yang diterima secara internasional. c. COBIT berfungsi dalam mendukung kinerja audit dengan arahan atau guidelines secara rinci, serta memberikan petunjuk untuk tata kelola TI dalam organisasi d. Keseluruhan aspek dalam kerangka kerja COBIT dapat digunakan sebagai landasan perumusan kebijakan management baik kebijakan mengenai IT maupun kebijakan lainnya yang berhubungan dengan kinerja organisasi.

3.2 Saran

Cobit dapat dijadikan sebagai alat bantu yang digunakan untuk mengefektifkan 4 good practices IT governance dalam organisasi dimana 4 good practices tersebut merupakan domain dari COBIT, yaitu Planning-Organization (PO), AcquisitionImplementation (AI), Delivery-Support (DS), dan Monitoring (M). Kerangka kerja COBIT digunakan untuk membantu auditor, manajemen dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan control dan permasalahanpermasalahan teknis. Dari keunggulan keunggulan COBIT tersebut dapat diketahui bahwa COBIT merupakan tools yang baik bagi manajemen perusahaan atau organisasi dalam menerapkan kinerja audit sistem informasi yang bertujuan mengurangi kemungkinan resiko dan mendukung manajemen dalam melakukan perbaikan tata kelola sistem informasi dalam organisasi agar menjadi lebih baik lagi.

Page | 20