AUDIT TEKNOLOGI DAN INFORMASI

COBIT 5.0 FOR ASSURANCE

OLEH :
FITRIA FENTI (NIM. 14146013)
HAFEASI PITRA ROSMENA (NIM. 14146014)

MAGISTER CHIEF INFORMATION OFFICER

UNIVERSITAS NEGERI PADANG
2015

COBIT 5.0 UNTUK JAMINAN TI

Tujuan :
1. Memahami penggerak, kepentingan dan target beberapa pihak terhadap
perspektif asuransi
2. Memahami komponen dari kegiatan asuransi
3. Mengerti bagaimana menggunakan COBIT 5 pada pemerintahan dan
pelaksanaan kegiatan asuransi.
4. Mengerti bagaimana memberikan asuransi dengan penggunaan COBIT 5 di
perusahaan.
5. Memahami bagaimana kaitan COBIT 5 terhadap standar Audit TI lainnya.

COBIT 5 memungkinkan tercapainya tujuan perusahaan untuk menjaga

keseimbangan antara realisasi keuntungan dan penggunaan sumber daya dan risiko
yang ada secara optimal dengan penggunaan informasi teknologi sebagai salah satu
cara untuk menciptakan business value.
COBIT 5.0 for assurance -- Publikasi ini menciptakan tampilan informasi
Assurance COBIT 5, untuk memberikan bimbingan bagi konstituen jaminan ISACA
ini informasi. Ini harus dianggap sebagai setara dengan jaminan COBIT 5 untuk
Keamanan Informasi. Hal ini telah tersedia pada kuartal kedua tahun 2013.

I.

DEFINISI JAMINAN
Jaminan diartikan bahwa, berdasarkan hubungan akuntabilitas antara dua

pihak atau lebih, audit IT dan jaminan profesional mungkin terlibat untuk
mengeluarkan komunikasi tertulis yang menyatakan kesimpulan tentang materi
pelajaran kepada pihak jawab.
Keterlibatan jaminan dapat mencakup dukungan dalam pernyataan audit
keuangan, penilaian dari nilai yang diberikan oleh IT terhadap perusahaan,
pemenuhan kebutuhan standar dan praktis; pemenuhan kesepakatan maupun regulasi.
Adapun Standar formal framework jaminan TI dari ISACA diantaranya :
(Information Technology Assurance Framework ITAF), Institute of Internal

Auditors (IIA), International Professional Practices Framework (IPPF) and the

American Institute of Certified Public Accountants (AICPA).

Perspektif dalam Asuransi ada dua macam yang dapat diidentifikasikan :

1. Perspektif Fungsi Asuransi ; menjelaskan bagaimana masing-masing
enabler (pada gambar di atas) memberikan kontribusi dalam penyediaan
keseluruhan jaminan. Misalnya :
- Pada struktur organisasi mana yang diminta untuk memberikan
jaminan (badan/ Comite audit/ dll)
- Bagian informasi mana yang diminta untuk memberikan jaminan.
2. Perspektif Penilaian ; menjelaskan bahwa jaminan perlu disediakan.
Perspektif penilaian memberikan Penjelasan rinci mengenai proses
jaminan inti, termasuk proses yang ada pada COBIT 5 yaitu : MEA01,
MEA02, MEA03.

Dua perpektif dalam penyediaan jaminan menurut COBIT 5

II.

PRINSIP DALAM PEMBERIAN JAMINAN MENURUT COBIT

Berdasarkan prinsip yang ada pada COBIT 5, Pemberian jaminan TI pada
perusahaan juga akan mengikuti 5 prinsip tersebut.

Prinsip pada COBIT 5.0

A. Meeting stakeholder needs

Berguna untuk pendefinisan prioritas untuk implementasi, perbaikan, dan
jaminan. Kebutuhan stakeholder diterjemahkan ke dalam Goals Cascade
menjadi tujuan yang lebih spesifik, dapat ditindaklajuti dan disesuaikan,
dalam konteks : Tujuan perusahaan (Enterprise Goal), Tujuan yang terkait
IT (IT-related Goal), Tujuan yang akan dicapai enabler (Enabler Goal).
Selain itu sistem tata kelola harus mempertimbangkan seluruh stakeholder
ketika membuat keputusan mengenai penilaian manfaat, resource dan
risiko.
Stakeholder dalam jaminan TI meliputi :

Internal Stakeholder :
- Badan dan komite audit
- Kelompok audit, risiko
- Manajemen eksekutif
- Manajemen bisnis
External Stakeholder :
- Investor
- Auditor eksternal
- Peraturan
- Partner Bisnis
- Pelanggan/klien

COBIT dirancang untuk digunakan oleh tiga pengguna berbeda yaitu :

1.

Manajemen
Dengan penerapan COBIT, manajemen dapat terbantu dalam proses
penyeimbangan resiko dan pengendalian investasi dalam lingkungan IT yang
tidak dapat diprediksi.

2.

User
Pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas
layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal
atau pihak ketiga.

3.

Auditor
Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini
yang dihasilkan dan untuk memberikan saran kepada manajemen atas
pengendalian internal yang ada.

Tidak semua stakeholder memiliki kebutuhan jaminan yang sama, dan untuk
alasan tersebut jenis jaminan dapat dibedakan berdasarkan keterlibatan
jaminannya :
-

Self assessment ; perbedaan utama antara jaminan jenis ini dengan

yang lain bahwa jaminan ini tidak melibatkan pihak ketiga.

Audit Internal / pemenuhan ulasan
Dilakukan oleh pihak ketiga yang tidak terlibat dalam fungsi enablernya, tetapi bekerja dalam satu organisasi yang sama dengan pemilik
perusahaan. Jenis ini lebih banyak mengulas tentang kemandirian dari
pada penilaian diri karena auditor tidak terlibat dalam fungsi enabler-

nya.
Audit Eksternal
Hampir sama dengan jenis audit internal, namun terdapat perbedaan
utama : kelompok yang melakukan audit tidak bekerja dalam
perusahaan yang sama dengan pemilik perusahaan.
Untuk lebih jelasnya, perbedaan jenis keterlibatan jaminan terdapat

pada gambar berikut,

B. Covering enterprise end-to-end, bermanfaat untuk mengintegrasikan
tata kelola TI perusahaan kedalam tata kelola perusahaan. Sistem tata

kelola TI yang diusung COBIT 5 dapat menyatu dengan sistem tata kelola
perusahaan dengan mulus.
Prinsip kedua ini juga meliputi semua fungsi dan proses yang dibutuhkan
untuk mengatur dan mengelola TI perusahaan dimanapun informasi
diproses. Dalam lingkup perusahaan, COBIT 5 menangani semua layanan
TI internal maupun eksternal, dan juga proses bisnis internal dan
eksternal.
C. Applying a single intergrated framework, sebagai penyelarasan diri
dengan standar dan framework relevan lain, sehingga perusahaan memapu
menggunakan COBIT 5 sebagai framework tata kelola umum dan
integrator. Selain itu prinsip ini menyatukan semua pengetahuan yang
sebelumnya tersebar dalam berbagai framework ISACA (COBIT, VAL IT,
Risk IT, BMIS, ITAF, dll).
D. Enabling a holistic approach, yakni COBIT 5 memandang bahwa setiap
enabler saling memperngaruhi satu sama lain dan menentukan apakah
penerapan COBIT 5 akan berhasil.

COBIT 5 memandang bahwa setiap enabler saling mempengaruhi satu sama

lain dan menentukan apakah penerapan COBIT 5 akan berhasil.

Enabler didorong oleh penjabaran tujuan.

Perbandingan dari Jenis Keterlibatan Jaminan

E. Separating governance from management, COBIT membuat perbedaan

yang cukup jelas antara tata kelola dan manajemen. Kedua hal tersebut
mencakup brbagai kegiatan yang berbeda, memerlukan struktur organisasi
yang berbeda, dan melayani untuk tujuan yang berbeda pula.

Perbedaan Governance (Tata Kelola) dengan Management (Manajemen) :

-

Governance adalah tata kelola yang memastikan bahwa tujuan perusahaan

dapat dicapai dengan melakukan evaluasi terhadap kebutuhan, kondisi, dan
pilihan stakeholder, menerapkan arah melalui prioritas dan pengambilan
keputusan terhadap arah dan tujuan yang telah disepakati. Pada Kebanyakan
perusahaan, tata kelola adalah tanggung jawab dari dewan direksi dibawah
kepemimpinan ketua.

Management (Manajemen) berfungsi sebagai perencana, membangun,

menjalankan dan memonitor aktifitas-aktifitas yang sejalan dengan arah yang
ditetapkan oleh badan tata kelola untuk mencapai tujuan perusahaan. Pada
kebanyakan perusahaan, manajemen menjadi tanggung jawab eksekutif
manajemen dibawah pimpinan CEO.

Kerangka COBIT 5 menjelaskan tujuh kategori :

1. Prinsip,

kebijakan

dan

kerangka

kerja

adalah

kendaraan

untuk

menerjemahkan perilaku yang diinginkan menjadi panduan praktis untuk

sehari-hari manajemen.
2. Proses menggambarkan set terorganisir praktek dan kegiatan untuk mencapai
tujuan tertentu dan menghasilkan set output dalam mendukung pencapaian
keseluruhan TI-tujuan yang terkait.
3. Struktur organisasi adalah pengambilan keputusan kunci entitas dalam suatu
perusahaan.
4. Budaya, etika dan perilaku individu dan perusahaan yang sangat sering
diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan
manajemen.

5. Informasi diperlukan untuk menjaga organisasi berjalan dengan baik dan

diatur, tetapi pada tingkat operasional, informasi sangat sering produk utama
dari perusahaan itu sendiri.
6. Layanan, infrastruktur dan aplikasi meliputi infrastruktur, teknologi dan
aplikasi yang menyediakan perusahaan dengan pengolahan informasi
teknologi dan jasa.
7. Orang, keterampilan dan kompetensi yang diperlukan untuk berhasil
menyelesaikan semua kegiatan, dan untuk membuat keputusan yang benar
dan mengambil tindakan korektif.

III.

Perspektif Jaminan Fungsi : Prinsip, kebijakan dan framework yang

berkaitan dengan jaminan.

Model yang digunakan untuk menentukan prinsip dan kebijakan dalam jaminan TI
adalah Framework ITAF (IT Assurance Framework).

Stakeholder dalam penjelasan tentang prinsip, kebijakan dan kerangka kerja

pada jaminan TI bisa dikelompokkan atas stakeholder internal dan eksternal

perusahaan. Yang meliputi manajemen eksekutif, kepatuhan petugas, manajer

risiko, auditor internal dan eksternal, penyedia layanan dan pelanggan serta

beberapa peraturan lembaga.

Goals prinsip, kebijakan dan framework sebagai instrumen dari aturan
organisasi dalam mendukung tercapainya tujuan perusahaan dan nilai
perusahaan. Kebijakan yang baik adalah :
- Efektif mampu mencapai tujuan yang dinyatakan
- Efisien memastikan bahwa prinsip yang diterapkan merupakan
-

langkah efisien
Non intrusive adanya pemikiran logis bagi mereka yang mematuhi
peraturan.

Life Cycle kebijakan memiliki life cycle yang harus mampu mendukung

pencapaian tujuan yang telah didefinisikan.

Good practices membutuhkan kebijakan sebagai bagian menyeluruh
dalam kerangka kerja manajemen dan tata kelola, memberikan struktur
hirarki terhadap semua kebijakan yang ditetapkan secara jelas sebagai
prinsip penting.

Tabel berikut menyajikan aspek prinsip, kebijakan dan framework ITAF

IV.

Model Proses

Model proses disini dapat dimaksud sebagai domain pada COBIT 5 yang
menentukan penyediaan jaminan pada perusahaan. Adapun proses pendukung
utama dalam penyediaan jaminan pada perusahaan disajikan pada figure 16.

Suatu proses didefinisikan sebagai perlakuan yang dipengaruhi oleh kebijakan

organisasi dan prosedur yang menerima masukan dari beberapa sumber
(termasuk proses lain), manipulasi masukan dan hasil keluaran. (contohnya
layanan).
Model proses akan menunjukkan stakeholder, Tujuan, life cycle dan good
practices. Sebagaimana yang ditampilkan pada figure 12 diatas.
Pada perspektif jaminan fungsi proses COBIT 5 dalam menyajikan proses terkait
informasi dan jaminan khusus informasi meliputi :
-

tujuan proses pada setiap proses dengan jumlah yang terbatas dari

tujuan proses kaminan khusus.

Gambaran detail tentang proses tindakan.
Proses Utama yang Mendukung Penyediaan Jaminan

Proses pendukung lainnya dalam penyediaan jaminan

V.

Model Struktur Organisasi pada Jaminan Inti

Model struktur organisasi juga menunjukkan :
Stakeholder stakeholder pada struktur organisasi bisa berasal dari organisasi
internal dan eksternal, yang merupakan anggota individu pada struktur,

struktur lain, entitas organisasi, klien, peratutan dan supplier.

Goals tujuan struktur organisasi sendiri termasuk memiliki mandat yang
tepat, prinsip operasi dan aplikasi yang mudah dipahami. Keluaran dari
srtuktur organisasi ini seharusnya termasuk sejumlah kegiatan dan keputusan

yang benar.
Life Cycle suatu struktur organisasi memiliki sebuah siklus hidup.
Good practices sejumlah Perlakuan yang benar pada struktur organisasi
dapat dikemukakan sebagai : prinsip operasi (frekuensi pertemuan, aturan
tentang rumah tangga organisasi dan dokumentasi), komposisi (anggota pada
Struktur organisasi), rentang kendali (batasan tentang keputusan struktur

organisasi yang tepat), tingkatan keputusan yang tepat (keputusan terstruktur

yang diambil pihak berwenang)
Perspektif Fungsi Jaminan : jaminan yang terkait dengan struktur organisasi.

Struktur Organisasi Inti yang Mendukung Jaminan

Struktur lainnya yang relevan dalam pengadaan jaminan, diantaranya :

VI.

Model Budaya, Etika dan Perilaku

Pada model Budaya, Etika dan Perilaku akan ditunjukkan :

Stakeholder sama seperti model sebelumnya bahwa stakeholder pada

model ini juga bisa organisasi intenal dan eksternal.

Goals Tujuan dari buudaya, etika dan perilaku terkait tentang : etika

organisasi, etika individu, perilaku individu.

Life Cycle dimulai dari budaya yang telah ada, sebuah organisasi dapat
mengidentifikasi perubahan kebutuhan dan bekerja melalui implementasi.

Beberapa tools dapat digunakan.

Good Practices untuk menciptakan, mendorong, dan mempertahankan
perilaku yang diinginkan melalui bisnis yang meliputi : komunikasi,
kesadaran atas sikap yang diinginkan, hukum dan norma.

Perilaku yang diinginkan dapat dikategorikan berdasarkan tiga tingkatan dalam

organisasi : perusahaan yang luas, jaminan yang profesional, manajemen.
Sebagaimana yang ditampilkan pada tabel di bawah,

Tabel Perilaku Relevan Dalam Pengadaan Jaminan.

VII.

Model Informasi
Informasi adalah sumber daya utama untuk semua perusahaan. Informasi
tersebut diciptakan, digunakan, disimpan, ditampilkan, dan dimusnahkan.
Teknologi mempunyai peran penting pada kegiatan- kegiatan tersebut. Teknologi
kemudian menjadi berkembang pada semua aspek bisnis dan pribadi.
Manfaat apa yang diberikan oleh informasi dan teknologi pada perusahaan?
Salah satunya untuk pengambilan keputusan, contohnya aplikasi DSS.
Adapun beberapa item informasi dalam mendukung jaminan :

Jaminan standar dan regulasi mendukung dalam pengerjaan seluruh

anisiatif jaminan.
Jaminan daftar temuan -- sebuah daftar permasalahan/temuan yang
muncul selama kegiatan jaminan.

Jaminan fungsi kebijakan dan prosedur memberikan panduan pada

pekerja dan manajemen.

Jaminan fungsi kualitas standar diterapkan pada semua inisiatif

jaminan.
Jaminan laporan penggudangan menangani semua salinan laporan

jaminan.
Jaminan template memandu penyelesaian kegiatan jaminan inti, seperti

lingkup, program audit/jaminan, daftar temuan dan pelaporan jaminan.

Piagam audit menyediakan framework fungsional dan organisasi dalam

kegiatan organisasi.
Laporan jaminan panitia audit digunakan untuk menjumlahkan seluruh

kegiatan jaminan. Misalnya : status penyelesaian rencana audit.

Rencana audit penawaran framework yang terdiri dari semua kegiatan

jaminan spesifik.
Strategi audit mendefinisikan tujuan jaminan secara jelas lingkup dan

fokus dari pendekatan jaminan.

Rencana kepatuhan harus menyertakan seluruh kegiatan pemenuhan

yang spesifik. Setiap jenis rencana pemenuhan harus jelas.

Strategi kepatuhan mendefinisikan dengan jelas tujuan kepatuhan

sebagai lingkup dan fokus pendekatan kepatuhan.

Kebutuhan finansial dan anggaran terdiri atas kebutuhan anggaran

asuransi seperti HR, Travel dan tools.

Framework kompetisi HR mengidentifikasi tingkat kompetensi jaminan

utama dan sertifikasi.

Jaminan seluruh bidang TI mendefinisikan wilayah pertanggung
jawaban penyedia jaminan TI. Biasanya berdasarkan struktur tingkatan
tinggi

yang

mengelompokkan

dan

menghubungkan

enabler

organisasi/bisnis.
Faktor peraturan dan legal kumpulan semua faktor legal dan peraturan

yang mempengaruhi inisiatif jaminan.

Strategi Risiko mendefinisikan secara jelas tujuan risiko.
Daftar Risiko meliputi hasil perencanaan risiko, meliputi konsekuensi.

Masukan Informasi Tambahan

VIII.

Model Layanan, Infrastruktur dan Aplikasi

Layanan yang berkaitan dengan Jaminan

Aplikasi Pendukung Terkait Jaminan TI dan Penjelasannya

Berdasarkan penerimaan standar Audit secara umum dan konsep baru dari COBIT
5.0 (enabler) suatu pendekatan jaminan dapat menjelaskan penggabungan alur kerja
dan metode COBIT tersebut. Gambar berikut ini merupakan penjelasan tentang
COBIT 5.0 berdasarkan pendekatan keterlibatan Jaminan.

Pendekatan keterlibatan jaminan mengacu secara tegas kepada kategori enabler

COBIT 5.0. framework COBIT 5.0 menjelaskan bahwa enabler saling berhubungan,
misalnya. Proses yang menggunakan struktur organisasi, sebagai informasi (input
dan output)