Anda di halaman 1dari 12

COBIT Framework Sebagai Solusi Audit Oleh Sindhu Wardhana 9C Khusus/30/10406005327

Teknologi, COBIT dan Risiko Audit Pada beberapa tahun belakangan ini terutama sejak digunakannya komputer sebagai perangkat standar dalam operasi perusahaan, penggunaan Teknologi Informasi dalam pencatatan akuntansi dan kontrol internal perusahaan semakin luas digunakan. Bahkan perusahaan kecil sekarang ini sudah banyak yang menggunakan software dalam melakukan proses akunting mereka. Menurut Arens, 2010, ada beberapa perubahan pada kontrol internal perusahaan yang terjadi dikarenakan integrasi antara TI dan sistem akuntansi, antara lain : Kontrol komputer menggantikan kontrol manual, hal ini disebabkan kelebihannya dalam menangani transaksi bisnis yang besar dan kompleks dan lebih murah secara biaya, selain itu human error dapat dikurangi yang pada umumnya terjadi pada pencatatan transaksi. Informasi dengan kualitas yang lebih tinggi tersedia, pada umumnya komputer memiliki kemampuan administrasi secara lebih efektif dibandingkan manual sehingga menghasilkan informasi yang lebih baik. Akan tetapi meskipun TI menyediakan informasi yang lebih baik ada beberapa resiko bawaan yang dihasilkan oleh sistem, secara spesifik risiko potensial menurut Arens adalah sebagai berikut : 1. Resiko atas hardware dan data Ketergantungan kepada kapabilitas fungsi hardware dan software Kesalahan sistematis versus kesalahan random Akses yang tidak diotorisasi Kehilangan data 1. Berkurangnya jejak audit Visibilitas dari jejak audit Berkurangnya keterlibatan manusia Kurangnya otorisasi tradisional 1. Kebutuhan akan pengalaman TI dan pemisahan tugas TI Pengurangan dalam pemisahan tugas Kebutuhan akan pengalaman TI Untuk mengatasi resiko yang ada berkaitan dengan digunakannya TI pada perusahaan dibutuhkan kontrol secara umum maupun kontrol aplikasi. Kontrol tersebut dapat tercakup dalam implementasi COBIT (Control Objectives for Information and related Technology) pada perusahaan. Yang nantinya akan memudahkan auditor dalam melakukan audit pada perusahaan yang memiliki sistem yang bergantung pada TI. COBIT merupakan suatu standar untuk mengontrol teknologi informasi, dikembangkan dan dipromosikan oleh IT Governance Institute. COBIT dirancang sebagai tool IT governance yang membantu dalam memahami dan mengatur resiko dan keuntungan yang berhubungan dengan dan IT (Purwanto, 2010). COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. COBIT sendiri memiliki panduan yang khusus mengenai audit yang bernama COBIT Audit Guidelines, sehingga COBIT sangat selaras dengan kebutuhan audit baik internal maupun eksternal.

Gambar 1.a. COBIT and Family Products (COBIT 3rd Edition Audit Guidelines) Sering para auditor mengambil kendali dalam usaha standardisasi Internasional karena mereka secara terus-menerus berhadapan dengan kebutuhan untuk memperkuat opini mereka tentang kontrol internal bagi manajemen. Tanpa adanya framework COBIT tentu saja akan menjadikan hal ini sulit untuk dilaksanakan. Kemudian auditor juga semakin sering dipanggil oleh manajemen untuk secara aktif memberikan konsultasi dan saran bagi keamanan IT dan isu yang berhubungan dengan internal kontrol perusahaan.

Gambar 1.b. COBIT and Criteria Matching (COBIT 3rd Edition Audit Guidelines)

Gambar 1.c. COBIT Framework Overview

COBIT Frameworks dan Program Audit COBIT memiliki kerangka yang sangat informatif dan membantu dalam penyusunan Program Audit yang akan dilakukan oleh auditor. Oleh karena itu perusahaan yang mengembangkan sistemnya dan melakukan kontrol dengan menggunakan COBIT memiliki framework pengembangan akan mempermudah auditor untuk membuat audit program dan melakukan audit. Dikarenakan kerangka COBIT mengikat kebutuhan bisnis untuk informasi dan tata kelola untuk tujuan fungsi layanan teknologi informasi dan kontrolnya, dengan pemilahan tata kelola TI perusahaan menjadi 4 process, 34 domain dan 241 tujuan pengendalian spesifik.

Gambar 1.d. COBIT Waterfall and Navigation Aids

(ISACA, 2006) COBIT akan lebih memudahkan auditor dalam menentukan lingkup audit yang dilaksanakan. Hal ini menjadikan COBIT memiliki keuntungan bagi audit antara lain : COBIT Framework menghubungkan antara proses, sumberdaya dan kriteria sehingga lebih mudah bagi auditor untuk melakukan perencanaan audit dengan lebih baik dan cepat. Konsep COBIT diakui secara Internasional, sehingga banyak perusahaan yang menggunakannya. Hal ini menjadikan auditor tidak perlu mempelajari lagi standar internal kontrol perusahaan. Kerangka COBIT dapat menjembatani gap komunikasi antara fungsi TI perusahaan dengan auditor secara lebih baik, hal ini dikarenakan COBIT menyediakan pendekatan yang umum dan dapat dipahami oleh semua. COBIT menyediakan dukungan yang kuat terhadap audit, ini akan mengurangi biaya audit dan menyediakan audit dan opini yang lebih baik secara kualitas. Dari keuntungan yang telah disebutkan memang terlihat bahwa kerangka COBIT merupakan tools yang sangat berguna bagi pelaksanaan audit, akan tetapi tetap ada batasan-batasan dalam penggunaan COBIT dalam audit, antara lain : COBIT Framework bukan merupakan tools untuk membuat rencana audit secara keseluruhan. COBIT Framework bukan merupakan tools untuk mempelajari audit dasar. COBIT Framework tidak bertujuan untuk menjelaskan proses rinci komputasi yang terjadi.

Gambar 1.d. COBIT Framework (COBIT 3rd Edition Audit Guidelines)

Konklusi Framework COBIT merupakan tools yang sangat tepat bagi para auditor untuk merencanakan dan melaksanakan auditnya. COBIT menjadi solusi pemetaan standar sistem TI perusahaan yang berguna bagi auditor untuk memahami sistem secara keseluruhan. Dengan lingkupnya yang luas dan lebih kepada tingkat manajemen menjadikan COBIT sangat align dengan pelaksanaan audit. Hal itu terlihat pada komparasi

antara standar kontrol TI lain yang pada umumnya digunakan oleh perusahaan yaitu COBIT, ITIL dan ISO27001 yang dapat dilihat dengan tabel dan gambar sebagai berikut : AREA Fungsi Area Penyusun Implementasi Konsultan COBIT Mapping IT Process 4 Process and 34 Domain ISACA Information System Audit Accounting Firm, IT Consulting Firm ITIL Mapping IT Service Level Management 9 Process OGC Manage Service Level IT Consulting firm ISO27001 Information Security Framework 11 Domain ISO Board Compliance to security standard IT Consulting firm, Security Firm, Network Consultant

Tabel 1.a. Perbandingan ISO 27001, COBIT dan ITIL (www.securityprocedure.com)

Diagram perbandingan ISO 27001, COBIT, ITIL, ISO 9000 dan COSO ( Nguyen, 2010) Pada gambar di atas terlihat COBIT memiliki rentang lingkup yang luas dan memiliki fungsi pada tingkat yang lebih manajerial (What) bukan kepada teknis penggunaan (How). Dan pada tabel dari www.securityprocedure.com dapat terlihat Konsultan yang berkaitan dengan penggunaan COBIT salah satunya adalah Accounting Firm. Sehingga dapat disimpulkan COBIT sangatlah berkaitan dan berguna pagi audit terutama sebagai solusi untuk mengikuti arus perubahan teknologi dan metodologi yang sangat cepat berkembang. Karena jika standar tidak ada auditor akan sangat kesulitan apabila melakukan audit pada banyak perusahaan yang memiliki standar pengendalian khususnya sistem informasi yang berbeda-beda. Akan tetapi bukan berarti COBIT dapat dijadikan patokan sepenuhnya bagi pelaksanaan audit yang berhubungan dengan teknologi, masih banyak aturan dan standar lain yang mungkin lebih kuat secara hukum legal dan secara kualitas dibandingkan dengan

COBIT Framework. Tugas auditor adalah bagaimana menggunakan COBIT Framework sebagai tools dalam melaksanakan audit yang lebih cepat, tepat dan berkualitas untuk memenuhi kebutuhan para stakeholder.

GARTNER HYPE CYCLE Oleh Sindhu Wardhana 9C Khusus/30/10406005327

"The task is not so much to see what no one yet has seen, but to think what nobody yet has thought about that which everybody sees." Arthur Schopenhauer (Fenn, 2010)

Timing is Everything Teknologi baru terus bermunculan setiap harinya, tetapi tidak semua teknologi dapat berhasil diimplementasikan secara baik, dan ketika adopsi teknologi tersebut terlalu dini akan dapat menyebabkan kesalahan fatal dalam hal finansial dan/atau kemampuan kompetitif (Fenn, 2010). Gartner Hype Cycle bertujuan untuk membantu para pengguna teknologi khususnya perusahaan dan organisasi untuk memahami dan menyeimbangkan antara pertukaran resiko dan hasil yang akan diperoleh dari penggunaan teknologi yang ada. Tentu saja hal ini sangat berkaitan dengan pemilihan teknologi yang tepat pada waktu yang tepat, karena dengan pemilihan teknologi yang tepat saja tidaklah cukup untuk memastikan kebutuhan vital perusahaan akan tercapai dengan baik.

Gambar 2.a. Yahoo logo dan Blu-ray vs HD-DVD Contoh yang dirasa cukup untuk menggambarkan bahwa timing merupakan hal yang sangat penting adalah kegagalan Yahoo saat melakukan beberapa akuisisi yang banyak dikritik, akuisisi website sekaligus teknologinya pada tahun 2007 dan 2008 yang menghabiskan sekitar 1,2 miliar dolar hanya memiliki hasil yang kecil bagi Yahoo (Tartakoff, 2009). Akuisisi yang dirasa kurang berhasil bahkan gagal tersebut antara lain seperti Jumpcut, Maven Networks, Geocities, Flickr dan lainnya, hal ini meskipun sangat berkaitan dengan kurang baiknya manajemen Yahoo itu sendiri, kegagalan tersebut juga berkaitan dengan waktu aplikasi teknologi, contohnya adalah Jumpcut yang meskipun menawarkan beberapa fitur baru berat untuk masuk dalam segmen video online, karena YouTube sudah menguasai di segmen tersebut. Contoh lain untuk kesalahan pemilihan teknologi adalah penggunaan standar baru Blu-ray Disc atau HD-DVD yang akhirnya dimenangkan oleh Blu-

ray, sehingga perusahaan yang sudah terlanjur menggunakan standar HD-DVD pada perangkatnya terpaksa harus beralih dan mengeluarkan dana yang tidak sedikit. Oleh karena itu sangatlah penting bagi Chief Information Officer (CIO), Chief Technology Officer (CTO) maupun Chief Executive Officer (CEO) untuk memahami teknologi mana yang akan mereka pilih dan kapan teknologi tersebut sudah layak untuk diimplementasikan, Gartner Hype Cycle sangatlah membantu untuk mengatasi permasalahan ini.

Gambar 2.a. Logo Gartner The History of Gartner Hype Cycle Sejak Tahun 1995, Gartner sebuah perusahaan yang bergerak di bidang riset dan pengawasan teknologi yang bermarkas di Stamford, Connecticut, Amerika Serikat, menggunakan hype cycle untuk mengkarakterisasikan antusiasme berlebihan atau hype dan kekecewaan yang terjadi sesudahnya yang pada umumnya terjadi dengan diperkenalkannya suatu teknologi. Hype cycle juga menunjukkan bagaimana dan kapan teknologi bergerak melebihi hype yang kemudian memberikan keuntungan yang dapat diaplikasikan dan diakui secara luas. Hype cycle diklaim mampu memisahkan antara hype dengan realitas dan membuat CIO maupun CEO dapat memutuskan suatu teknologi sudah siap untuk diadopsi atau belum (wikipedia.com).

Gambar 2.c. 5 Tahapan Gartner Hype Cycle (Fenn, 2010)

The Five Phase of Gartner Hype Cycle Dari Gartner.com, ada 5 kunci tahapan yang terjadi pada Gartner Hype Cycle yang merupakan siklus hidup suatu teknologi, tahapan tersebut antara lain : 1. Technology Trigger : Terobosan teknologi yang potensial akan menjadikan media tertarik dan cerita tentang bukti konsep awal suatu teknologi membuat teknologi tersebut mendapatkan publikasi yang signifikan. Seringnya pada tahap ini tidak ada produk yang dapat digunakan dan kemungkinan keuntungan komersial belum dapat dibuktikan. 2. Peak of Inflated Expectations : Publikasi awal menghasilkan banyak cerita sukses yang sering dibarengi dengan banyak pula kegagalan. Beberapa perusahaan mengambil untuk mengadopsi, beberapa tidak. 3. Trough Disillusionment : Ketertarikan mulai pudar ketika percobaan dan implementasi gagal untuk dilakukan, produsen teknologi terguncang atau gagal. Investasi hanya berlanjut apabila penyedia teknologi yang selamat dari guncangan meningkatkan produk mereka untuk memuaskan para pengguna teknologi awal. 4. Slope of Enlightenment : Setelah mengetahui bagaimana teknologi dapat berguna bagi perusahaan mulai nyata dan secara luas dipahami, produk generasi kedua dan ketiga muncul dari penyedia teknologi. Perusahaan yang mendanai pilot-projects bertambah, akan tetapi perusahaan yang konservatif tetap berhati-hati. 5. Plateau of Productivity : Adopsi teknologi yang mainstream mulai bermunculan, kriteria dalam penilaian penyedia dan viabilitas semakin terdefinisi dengan baik. Aplikasi dan relevansi teknologi yang digunakan secara luas pada pasar menghasilkan kesuksesan bagi penyedia dan pengguna teknologi. Selain kelima tahapan tadi Gartner juga mendefinisikan waktu yang dibutuhkan suatu teknologi untuk mencapai mainstream, yang disimbolkan seperti terlihat pada gambar 2.c. Sedangkan untuk melihat secara lengkap bagaimana aktivitas pengembangan suatu teknologi berjalan pada hype cycle dapat dilihat pada gambar di bawah ini :

Gambar 2.d Tahapan Gartner Hype Cycle dan Proses Teknologi Berkembang (www.gartner.com) The Use of Gartner Hype Cycle Gartner Hype Cycle ini memberikan perspektif antar industri pada terobosan teknologi yang memiliki potensi (Fenn, 2010). Analisa posisi pada Gartner Hype Cycle berdasar pada penilaian konsensus dari hype dan maturity suatu teknologi, yang dapat digunakan pada perencanaan adopsi teknologi dalam portofolio teknologi perusahaan. Menurut Fenn, 2010, dalam aplikasinya perusahaan harus tetap memperhatikan tambahan dan melakukan revisi yang berdasar masukkan dari hype cycle teknologi dan industri lainnya. Menurut para ahli dari Gartner, Hype Cycle membantu perencana teknologi sebagai alat edukasi yang dapat : 1. Membangun ekspektasi bahwa hampir semua teknologi tidak dapat menghindari progress untuk melalui pola antusiasme berlebihan dan disillusionment sebelum membuktikan nilai sebenarnya dari teknologi tersebut. 2. Menyediakan gambaran relatif dari tingkat dan langkah maturity teknologi dalam segmen IT tertentu, seperti area teknologi, pemasaran horizontal atau vertikal atau demografi tertentu audiens. 3. Memiliki pesan yang jelas dan sederhana, perusahaan tidak harus menginvestasikan sumberdayanya yang disebabkan oleh antusiasme yang berlebihan, tetapi tidak juga tidak peduli dengan teknologi karena teknologi tersebut tidak memenuhi ekspektasi awal yang berlebih.

Gambar 2.e Emerging Technology Hype Cycle - 2010 (Fenn, 2010)

Dari sisi pengguna teknologi, banyak pengguna Gartner Hype Cycles yang menggunakan siklus ini sebagai bagian dari perencanaan teknologinya, karena laporan dari Gartner Hype Cycle ini merupakan sumberdaya informasi yang berharga bagi perencanaan strategis perusahaan. Pada umumnya pengguna akan memilih beberapa topik siklus yang berhubungan langsung dengan kegiatan utama perusahaannya, contohnya adalah bank yang ingin membangun call center akan fokus pada hype cycle seperti Financial Services Payment System, Emerging Technologies, Banking and Investment Services dan lainnya. Sedangkan bagi penyedia teknologi, Garter Hype Cycle digunakan sebagai cara untuk memahami bagaimana pasar akan bereaksi terhadap produk dan jasa mereka berdasarkan ekspektasi dan sikap komunitas pengguna. Mereka mendapatkan nilai tambah dari hasil mengamati Hype Cycle bagi kandidat teknologi dan kemampuannya dalam memberikan pengaruh terhadap produk di masa depan. Investor pada umumnya mengamati Hype Cycle untuk mengadopsi teknologi sebelum mencapai Peak of Inflated Expectations atau pada awal dari Slope of Enlightenment sebelum menuju ke adopsi mainstream.

Critics and Conclusion Dari wikipedia, Ada banyak kritik yang ditujukan pada Gartner Hype Cycle, yang paling menonjol adalah bahwa itu bukanlah suatu siklus, karena hasil dari suatu adopsi teknologi tidak hanya bergantung pada sifat dasar teknologi itu sendiri, dimana hal tersebut tidak ilmiah, dan hype cycle tersebut tidak merefleksikan kecepatan perubahan teknolgi itu dikembangkan. Kritik lainnya adalah siklus tersebut tidak memiliki keuntungan yang nyata dalam pengembangan dan pemasaran suatu teknologi, hanyalah komentar mengenai tren yang akan terjadi. Terlepas dari kritik tersebut Gartner Hype Cycle terus digunakan karena tetap dirasakan perlu bagi para penggunanya terutama dalam proses perencanaan dan strategi penggunaan teknologi perusahaan. Meskipun dituduhkan tidak ilmiah, paling tidak Gartner Hype Cycle dapat memberikan gambaran secara utuh mengenai tren teknologi yang sedang dan akan mungkin terjadi untuk menghasilkan keputusan yang lebih berkualitas. Hal ini dapat mencegah kegagalan adopsi teknologi perusahaan yang dapat merugikan perusahaan yang material.

Daftar Pustaka COBIT Framework sebagai Solusi Audit Arens, Alvin A. Beasley. Elder. 2010. Auditing and Assurance Services 13th Edition : An Integrated Approach. Comparison between COBIT, ITIL and ISO 27001. http://www.securityprocedure.com /comparison-between-cobit-itil-and-iso-27001 (diakses 12 Januari 2012) ISACA. 2000. COBIT 3rd Edition Audit Guidelines. http://techtraining.brevard.k12.fl.us/ BETC 2007/Grachis-Auditguidelines.pdf (diakses 19 Januari 2012) Nguyen, Bang. 2010. A comparison of the business and technical drivers for ISO 27001, ISO 27002, COBIT and ITIL, http://trongbang86.blogspot.com/2010/11/comparison-ofbusiness-and-technical.html (diakses 12 Januari 2012) ISACA. 2006. Integrating COBIT into the IT Audit Process (Planning, Scope Development, Practices), http://isacamauritius.org/download/restricted/ISACA%20Mauritius%20%20Cobit.pdf (diakses 20 Januari 2012) Purwanto, Yudha. Shaufiah. 2010. Audit Teknologi Informasi Dengan COBIT 4.1 Dan IS Risk Assessment (Studi Kasus Bagian Pusat Pengolahan Data PTS XYZ). http:// downloads.ziddu.com/downloadfiles/9133494/COBIT_Full.doc (diakses 19 Januari 2012) Daftar Pustaka Gartner Hype Cycle Fenn, Jackie. 2010. Emerging Technology Hype Cycle 2010: Whats Hot and Whats Not, Fenn, Jackie. 2010. Hype Cycle for Emerging Technologies, 2010. Fenn, Jackie. Gammage. Raskino. 2011. Gartner's Hype Cycle Special Report for 2010. http://www.gartner.com/id=1417913 (diakses 20 Januari 2012) Fenn, Jackie. Gammage. Raskino. 2011. Gartner's Hype Cycle Special Report for 2011. http://www.gartner.com/DisplayDocument?id=1758314 (diakses 20 Januari 2012) Tartakoff, Joseph. 2009. As Yahoo Starts Buying Again, Some Lessons From Past Deals. http://paidcontent.org/article/419-what-yahoos-failed-acquisitions-tell-us-about-thecompany/ (diakses 20 Januari 2012) Warior, Anti SOPA. Hype Cycle. http://en.wikipedia.org/wiki/Hype_cycle (diakses 20 Januari 2012) Warior, Anti SOPA. Gartner. http://en.wikipedia.org/wiki/Gartner (diakses 20 Januari 2012)