5.

3 Penggunaan CoBIT untuk menilai pengendalian internal

Penggunaan CoBIT ini dapat membantu auditor untuk menavigasi kerangka kerja COBIT yang
diterbitkan dan menggunakannya untuk mengembangkan dan menilai pengendalian internal
perusahaan
Berdasarkan tiga dimensi kubus control COBIT ini , setiap proses TI harus dievaluasi melalui lima
langkah:
I Pengendalian atas apa ( nama proses )
II Dapat memberikan kepuasan ( daftar kebutuhan bisnis )
III Berfokus pada apa ( daftar tujuan TI penting )
IV Dapat dicapai dengan apa ( daftar pernyataan kontrol)
V Dan diukur dengan ( daftar kunci metrik )
Proses lima langkah ini bisa dijalankan dari point I ke bawah serta bisa menjadi script untuk
memahami kontrol yang mendukung setiap proses dalam perusahaan . Unsur penting di sini adalah
mendefinisikan nomor IV agar mendukung setiap proses
dan nomor V untuk identifikasi.
kerangka COBIT mengatakan bahwa pengendalian
proses apapun harus puas dengan daftar yang
mendukung kebutuhan bisnis dan tujuan-tujuan bisnis
serta harus fokus pada tujuan terpenting TI.




Komponen tujuan pengendalian CoBIT terdiri dari 4 tujuan pengendalian tingkat tinggi
yang tercermin dalam 4 domain, yaitu:
a. Perencanaan dan pengorgaanisasian
Domain ini meliputi taktik, strategi, dan memberikan perhatian tentang cara bagaimana
IT dapat memberikan kontribusinya yang terbaik bagi pncapaian tujuan organisasi.
Di domain ini cobit memiliki 10 level PO (planning and organizing):
1. PO1 Tentukan rencana strategis .
2. PO2 Menetapkan arsitektur informasi .
3. PO3 Menentukan arah teknologi .
4. PO4 Menetapkan proses TI , perusahaan , dan hubungan .
5. PO5 Mengelola investasi TI .
6. PO6 Mengkomunikasikan tujuan manajemen dan arah .
7. PO7 Mengelola sumber daya manusia TI .
8. PO8 Mengelola kualitas .
9. PO9 Menilai dan mengelola risiko TI .
10. PO10 Mengelola proyek
Untuk setiap tujuan COBIT juga mengandung apa disebut diagram RACI . Diagram RACI adalah alat
yang baik untuk mengidentifikasi peran dan tanggung jawab dalam suatu proses . Menggunakan
spreadsheet , kegiatan diidentifikasi dalam sisi kolom dengan fungsi atau deskripsi posisi cells ke
Langkah navigasi kerangka kerja
CoBIT

atas . Tanggung jawab untuk kegiatan tersebut diidentifikasi dalam perpotongan cell melalui satu
atau beberapa inisial RACI :
R = Bertanggung jawab , atau memiliki masalah atau proses .
A = Akuntabel , atau yang harus menandatangani aktivitas sebelum berlaku efektif .
C = Dikonsultasikan , atau yang memiliki informasi dan / atau kemampuan untuk menyelesaikan
kerja .

b. Akuisisi dan Implementasi
Untuk dapat mewujudkan strategi IT, kebutuhan atas solusi teknologi perlu diidentifikasi,
dikembangkan sendiri atau dibeli dan harus bisa diimplementasikan serta diintegrasikan
kedalam proses bisnis.. Domain ini umumnya menjawab pertanyaan manajemen sebagai
berikut:
AI1 Mengidentifikasi solusi otomatis.
AI2 Memperoleh dan memelihara perangkat lunak aplikasi.
AI3 Memperoleh dan memelihara infrastruktur teknologi.
AI4 Mengaktifkan operasi dan menggunakan.
AI5 pengadaan sumber daya TI.
AI6 Mengelola perubahan.
AI7 Instal dan akreditasi solusi dan perubahan

c. Pengiriman dan pendukung
Domain ini memeberikan perhatian terhadap ketersediaan dari kebutuhan yang
diinginkan, pengelolaan dari keamanan dan pelayanan bagi customer, pengelolaan ats
data dan fasilitas operasional. Tujuan pengendalian COBIT DS adalah untuk meningkatkan
proses bisnis . Keduanya baik CoBIT dan ITIL meliputi area yang penting dari apa yang dikenal
sebagai manajemen layanan TI , proses yang diperlukan untuk memastikan operasional TI yang
efisien. Domain ini umumya berisikan :
DS1 Mendefinisikan dan mengelola tingkat layanan .
DS2 Mengelola layanan pihak ketiga .
DS3 Mengelola kinerja dan kapasitas .
DS4 Pastikan layanan secara kontinu .
DS5 Menjamin sistem keamanan .
DS6 Mengidentifikasi dan mengalokasikan biaya .
DS7 mendidik dan melatih users .
DS8 Mengelola service desk dan insiden .
DS9 Mengelola konfigurasi .
DS10 Mengelola masalah .
DS11 Mengelola data .
DS12 Mengelola lingkungan fisik .
DS13 Mengelola operasi .
Tujuan pengendalian ini merupakan daerah yang penting dari operasional TI yang secara historis
sering belum mendapat perhatian yang cukup . COBIT merangkum bagaimana masing-masing
tujuan pengendalian dicapai dan diukur dan mempertimbangkan hubungan dan saling
ketergantungan di semua tiga sisi dari kubus COBIT
.
d. Pengawasan
Semua proses IT perlu dinilai secara teratur sepanjan waktu untuk dapat
menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk
pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi
serta penilaian independen yang dilakukan oleh auditor internal maupun eksternal,
atau dapat diperoleh dari sumber-sumber alternatif lainnya.
Komponen domain ME memiliki empat
tujuan pengendalian prinsip :
ME1 pemantauan dan evaluasi kinerja TI .
ME2 Memantau dan mengevaluasi
pengendalian internal .
ME3 Memastikan kepatuhan terhadap
peraturan .
ME4 Menyediakan tata kelola TI .


Daerah ini merupakan daerah kepentingan bagi auditor internal maupun anggota
perusahaan di luar operasional TI . Bahan pengendalian untuk ME2 pada pemantauan dan
mengevaluasi pengendalian internal adalah contoh yang baik dari kekuatan COBIT. Hal ini
menyatakan bahwa proses monitoring dan evaluasi pengendalian internal dicapai dengan
mendefinisikan sistem pengendalian TI yang tertanam dalam kerangka proses TI , dengan melakukan
monitoring dan melaporkan efektivitas pengendalianl internal , dan dengan melaporkan
pengecualian kepada manajemen untuk tindakan korektif . Ini benar-benar proses Deming PDCA ,
dan harus diukur dengan :
Jumlah pelanggaran pengendalian intern
jumlah inisiatif peningkatan pengendalian
Jumlah dan cakupan pengendalian penilaian sendiri
COBIT Memantau dan Mengevaluasi Pengendalian Internal. Tujuan ini memiliki tujuh
rincian yang mendukung tujua. COBIT berorientasi pada tinjauan internal terutama
sumber daya area TI, pedoman ini penting bagi auditor internal dalam mereview dari
semua pengendalian internal lainnya :
ME2.1 Pemantauan Kerangka Pengendalian Intern . auditor internal
harus terus memantau lingkungan pengendalian dan kerangka menggunakan
industri praktek terbaik dan benchmarking untuk meningkatkan lingkungan dan kerangka
pengendalian.
ME2.2 Ulasan Pengawas. Selain auditor ulasan , COBIT panggilan untuk
manajemen untuk memantau dan melaporkan efektivitas pengendalian internal IT
melalui mereview pengawasan, termasuk kepatuhan terhadap kebijakan dan standar ,
keamanan informasi , pengendalian perubahan , dan pengendalian dibuat pada perjanjian
tingkat-layanan .
ME2.3 Kontrol Pengecualian . Mencatat informasi mengenai semua pengecualian kontrol
dan memastikan bahwa itu mengarah pada analisis penyebab yang mendasari hal tersebut
serta tindakan korektif yang diperlukan.
ME2.4 pengendalian penilaia- sendirii . Manajemen TI harus mengevaluasi kelengkapan
dan efektivitas pengendalian internal atas proses TI mereka melalui program
berkelanjutan dari self-assessment.
ME2.5 Jaminan Pengendalian Intern . IT harus mendapatkan sesuai kebutuhan ,
selanjutnya
jaminan kelengkapan dan efektivitas pengendalian internal melalui
ulasan pihak ketiga oleh fungsi kepatuhan perusahaan , audit internal ,
konsultan luar , atau lembaga sertifikasi .
ME2.6 Pengendalian Internal pada Pihak Ketiga . Menilai status masing-masing internal
eksternal yang menyediakan pengendalian internal dan mengkonfirmasi bahwa mereka
mematuhi hukum dan persyaratan peraturan dan kewajiban kontrak .