Anda di halaman 1dari 7

6.1.

Pengenalan tentang COBIT


COBIT (awalnya ditulis sebagai CobiT) adalah akronim yang semakin
dikenal oleh banyak auditor internal dan eksternal dan profesional TI. COBIT
adalah kerangka pengendalian internal yang penting yang dapat berdiri sendiri,
namun juga merupakan alat pendukung penting untuk mendokumentasikan dan
memahami kontrol internal COSO dan SOx.

Meskipun penekanan asli COBIT berorientasi pada IT, kerangka kerja


telah diperluas, dan auditor internal di banyak perusahaan saat ini setidaknya
memiliki pemahaman tentang kerangka COBIT dan penggunaannya sebagai alat
untuk mendokumentasikan, meninjau, dan memahami kontrol internal SOx.
Pengetahuan umum tentang COBIT seharusnya merupakan persyaratan CBOK
auditor internal.

Standar dan kerangka kerja COBIT dikeluarkan dan diperbaharui secara


berkala oleh IT Governance Institute; (ITGI; www.itgi.org) dan Information
Systems Audit and Control Association (ISACA) yang berafiliasi erat. ISACA
lebih fokus pada audit TI, sedangkan penekanan ITGI adalah pada proses
penelitian dan tata kelola. ISACA juga mengarahkan pengujian dan penetapan
profesional Certified Information Systems Auditor sebaik sertifikasi dan pengujian
Certified Information Security Manager yang baru. ISACA awalnya dikenal
sebagai Electronic Data Processing Auditors Association (EDPAA), sebuah
kelompok profesional yang dimulai pada tahun 1967 oleh auditor internal yang
merasa organisasi profesional mereka, Institute of Internal Auditor (IIA), tidak
memberikan perhatian yang cukup terhadap pentingnya kontrol teknologi dan
sistem TI sebagai bagian dari kegiatan audit internal.

EDPAA, yang awalnya merupakan organisasi profesional audit TI pemula,


mulai mengembangkan materi panduan profesional audit TI lama setelah
pembentukannya. Sama seperti EDPAA yang berevolusi menjadi ISACA dan
sekarang ITGI, standar audit TI yang asli menjadi seperangkat tujuan
pengendalian internal yang sangat baik yang berevolusi menjadi COBIT, Lima
area penekanan utama COBIT disusun seputar konsep inti penting tata kelola TI:

1. Strategic alignment (Keselarasan strategis)


Upaya yang seharusnya dilakukan untuk menyelaraskan operasi dan kegiatan
TI dengan semua operasi perusahaan lainnya. Ini termasuk membangun
keterkaitan antara operasi bisnis perusahaan dan rencana TI serta proses
untuk menentukan, memelihara, dan memvalidasi hubungan kualitas dan
nilai.
2. Value delivery (Penyampaian nilai)
Proses harus dilakukan untuk memastikan bahwa TI dan unit operasi lainnya
memberikan manfaat yang dijanjikan selama siklus pengiriman dan dengan
strategi yang mengoptimalkan biaya sambil menekankan nilai intrinsik TI dan
aktivitas terkait.
3. Risk management (Manajemen risiko)
Manajemen di semua tingkat harus memiliki pemahaman yang jelas
mengenai selera perusahaan terhadap risiko, persyaratan kepatuhan, dan
dampak dari risiko signifikan. Baik TI maupun operasi lainnya memiliki
tanggung jawab sendiri dan tanggung jawab pengelolaan bersama yang
mungkin secara individu atau kombinasi berdampak pada keseluruhan
perusahaan.
4. Resource management (Pengelolaan sumber daya)
Dengan penekanan pada TI, harus ada investasi yang optimal, dan
pengelolaan sumber daya, aplikasi, informasi, infrastruktur, dan orang-orang
TI yang tepat. Tata kelola TI yang efektif bergantung pada optimalisasi
pengetahuan dan infrastruktur.
5. Performance measurement (Pengukuran kinerja)
Proses harus dilakukan untuk melacak dan memantau implementasi strategi,
penyelesaian proyek, penggunaan sumber daya, kinerja proses, dan
pemberian layanan. Mekanisme tata kelola TI harus menerjemahkan strategi
implementasi ke dalam tindakan dan pengukuran untuk mencapai tujuan ini.

Kelima masalah pengendalian internal COBIT ini atau bidang


penekanannya adalah elemen kerangka kerja dan mendefinisikan tata
kelola TI. Kerangka COBIT adalah alat yang efektif untuk
mendokumentasikan TI dan semua kontrol internal lainnya.

EXHIBIT 6.1 Five Principles of Internal Controls

6.2 COBIT FRAMEWORK


COBIT menyediakan pendekatan untuk mendefinisikan dan
menggambarkan pengendalian internal yang lebih menekankan IT daripada
kerangka pengendalian internal COSO versi terbaru. Informasi dan proses
pendukung IT umumnya merupakan aset paling berharga dari hampir semua
perusahaan saat ini, dan manajemen memiliki tanggung jawab utama untuk
melindungi aset IT, termasuk sistem otomatis. Kombinasi manajemen, pengguna
IT, dan auditor internal perlu memahami proses terkait informasi ini dan kontrol
yang mendukungnya. Kombinasi ini berfokus pada efektivitas dan efisiensi
sumber daya IT, proses IT, dan bisnis secara keseluruhan

Bagian berikut akan membahas masing-masing lima prinsip COBIT,


mulai dari prinsip 1 untuk memenuhi kebutuhan stakeholder, hingga prinsip 5
tentang pemisahan tata kelola dari manajemen. Tata kelola IT merupakan
konsep COBIT yang tidak terlalu ditekankan sebagai elemen pengendalian
internal yang penting, baik dalam kerangka COSO original atau di SOx. Konsep
pengendalian internal yang penting saat ini, COBIT mendefinisikan tata kelola IT
sebagai rangkaian utama mulai dari menjaga fokus pada strategi terhadap
pentingnya pengukuran risiko dan kinerja saat mengelola sumber daya IT.

COBIT memiliki tujuan untuk mencakup semua pengendalian internal


perusahaan, terutama menyediakan kerangka komprehensif yang dirancang untuk
membantu perusahaan dalam mencapai tujuan mereka untuk tata kelola dan
pengelolaan IT perusahaan . Hal ini membantu perusahaan menciptakan nilai
optimal dari IT dengan menjaga keseimbangan antara mewujudkan manfaat dan
mengoptimalkan tingkat risiko dan penggunaan sumber daya.
COBIT adalah alat yang penting dan berguna dan sumber referensi untuk
auditor internal. Auditor internal harus mempertimbangkan untuk menggunakan
COBIT versi saat ini untuk meninjau dan menilai pengendalian internal.

6.3 PRINCIPLE 1: MEETING STAKEHOLDER NEEDS


Prinsip pertama COBIT, menyatakan bahwa perusahaan dan manajemen
utamanya harus menyadari bahwa perusahaan mereka ada untuk menciptakan
nilai bagi pemangku kepentingan mereka, yaitu investor, pelanggan, karyawan,
pengguna, atau lainnya. Konsekuensinya, ada perusahaan, komersial atau tidak,
harus memiliki konsep penciptaan nilai tujuan tata kelola dan manajemen utama.
Ini adalah pernyataan yang jelas, namun tidak selalu benar. pemimpin perusahaan
di semua tingkat menjaga prioritas pribadi dan organisasi mereka di depan
mereka yang memenuhi kebaikan keseluruhan perusahaan secara keseluruhan.

Penciptaan nilai, seperti yang didefinisikan dalam COBIT, berarti


menyadari berbagai manfaat pada biaya sumber daya, risiko, dan pemanfaatan
sumber daya yang optimal. Manfaat ini dapat berupa berbagai bentuk, termasuk
keuangan untuk perusahaan komersial atau layanan publik untuk entitas
pemerintah. COBIT meminta pemangku kepentingan perlu ditransformasikan
menjadi strategi yang dapat ditindaklanjuti yang menerjemahkan kebutuhan
pemangku kepentingan ke tujuan spesifik dan tujuan yang disesuaikan dengan
spesifikasi, apa yang COBIT sebut sebagai tujuan pemberdayaan. Hal ini
menuntut penetapan tujuan spesifik di setiap tingkat dan di setiap area perusahaan
untuk mendukung keseluruhan tujuan dan persyaratan pemangku kepentingan,
dan dengan demikian secara efektif mendukung keselarasan antara kebutuhan
perusahaan dan solusi dan layanan TI. COBIT mendefinisikan hal ini sebagai
proses identifikasi kebutuhan TI dan manajemen dan kemudian membangun
tujuan dari kebutuhan tersebut. COBIT menunjukkan bahwa tujuan pertama
perusahaan harus ditetapkan, diikuti oleh latihan yang sama untuk menetapkan
tujuan TI.

Exhibit 6.3 menunjukkan daftar 17 keuangan generik, pelanggan, internal,


dan pembelajaran
Masing-masing tujuan ini berlawanan dengan tujuan tata kelola COBIT
tentang realisasi manfaat dan pengoptimalan sumber daya dan sumber daya.
Huruf P menunjukkan bahwa itu adalah tujuan utama yang sangat penting,
sementara S menunjukkan bahwa itu adalah kepentingan sekunder atau kurang
penting.

Sebagai langkah terakhir dalam menerapkan prinsip pertama ini, COBIT


meminta tim yang menerapkan proses ini untuk mencetuskan tujuan yang telah
ditetapkan menjadi tujuan pemberdayaan COBIT. Rangkaian tujuan COBIT ini
penting untuk mendefinisikan prioritas untuk implementasi, peningkatan, dan
kepastian tata kelola perusahaan TI berdasarkan tujuan strategis perusahaan
mengenai risiko yang terkait. Dalam prakteknya, tujuan ini harus membantu
perusahaan untuk menentukan tujuan dan sasaran yang relevan dan nyata di
berbagai tingkat tanggung jawab.

6.4 PRINCIPLE 2: COVERING THE ENTERPRISE END TO END


COBIT membahas tata kelola dan pengelolaan teknologi dan informasi
terkait dari perspektif end-to-end perusahaan, bukan ekspresi yang sangat umum
bagi sebagian besar auditor internal. Ini berarti bahwa COBIT meminta integrasi
tata kelola perusahaan IT, sistem tata kelola perusahaan TI yang diusulkan oleh
COBIT harus terintegrasi secara mulus dalam sistem pemerintahan manapun.
COBIT sejalan dengan pandangan mengenai tata kelola TI yang mencakup semua
fungsi dan proses yang diperlukan untuk mengatur dan mengelola informasi
perusahaan dan teknologi terkait di mana pun informasi tersebut dapat diproses.
Dengan cakupan perusahaan yang diperluas ini, COBIT juga menangani semua
layanan TI internal dan eksternal yang relevan, serta proses bisnis internal dan
eksternal.

Keseluruhan gagasan di sini adalah bahwa tujuan penciptaan nilai COBIT


atas realisasi, risiko, dan pengoptimalan sumber dana harus mendorong beberapa
enabler pemerintahan. Enabler ini harus mencakup perusahaan secara lebar dan
ujung ke ujung. Artinya, mereka harus termasuk dalam segala hal dan setiap
orang, baik internal maupun eksternal, yang relevan dengan tata kelola dan
pengelolaan informasi perusahaan dan TI terkait, termasuk kegiatan dan tanggung
jawab fungsi TI dan fungsi bisnis non-TI.

Informasi adalah salah satu kategori enabler COBIT, model dimana


COBIT 5 menugaskan enabler dan memungkinkan setiap pemangku kepentingan
untuk memenuhi persyaratan informasi dan siklus pemrosesan informasi yang
lengkap, sehingga menghubungkan bisnis dan kebutuhan akan informasi dan
fungsi TI yang memadai, dan mendukung fokus dan konteks bisnis.
Enabler pemerintahan adalah sumber organisasi untuk pemerintahan,
seperti kerangka kerja, prinsip, struktur, proses, dan praktik, melalui atau ke arah
mana tindakan diarahkan dan tujuan dapat dicapai. Enabler juga memasukkan
sumber daya perusahaan-misalnya, kemampuan layanan (infrastruktur TI, aplikasi,
dan sebagainya), orang, dan informasi. Kurangnya sumber daya atau enabler
dapat mempengaruhi kemampuan perusahaan untuk menciptakan nilai.

6.8 Using COBIT to Assess Internal Controls


COBIT mencakup empat domain:
Perencanaan dan Organisasi (PO)
Pengadaan dan Implementasi (AI)
Pengantaran dan Dukungan (DS)
Monitoring dan Evaluasi (ME)
COBIT menyediakan tujuan tingkat perusahaan dan TI melalui serangkaian input
dan output untuk hampir setiap pengelolaan dan praktik. Tujuan proses
pengendalian yang rinci namun cukup spesifik adalah untuk mebantu perusahaan
mengimplementasikan dan mengembangkan tata kelola dan manajemen TI.
COBIT mendefinisikan 17 sasaran terkait TI yang dapat dipetakan ke
masing-masing tujuan yang dibagi dalam kategori yang diberi label corporate,
customer, interprocess dan learning and growth.

P adalah singkatan dari primary, yaitu hubungan antara tujuan terkait TI dan
proses terkait COBIT yang mendukung untuk pencapaian sasaran yang terkait
dengan TI

S adalah singkatan dari secondary, yaitu bila ada hubungan yang kurang
penting dan proses COBIT merupakan dukungan sekunder untuk tujuan yang
berhubungan dengan TI
Blank space menunjukkan tidak adanya hubungan

6.9 Mapping COBIT to COSO Internal Control


Kerangka pengendalian internal COSO menyatakan bahwa pengendalian
internal adalah proses yang dibentuk oleh dewan direksi, manajemen senior dan
personil lainnya yang dirancang untuk memberikan keyakinan memadai
mengenai pencapaian tujuan yang telah ditetapkan. Tujuan pengendalian internal
COSO meliputi efektivitas, efisiensi operasi, pelaporan keuangan yang handal,
dan kepatuhan terhadap peraturan perundang-undangan. ISACA dan ITGI
memperluas peran COBIT untuk memenuhi persyaratan kualitas dan keamanan
dalam kategori efektivitas, efisiensi, kerahasiaan, integritas, ketersediaan,
kepatuhan dan keandalan. Target pengguna COSO adalah umum dan manajemen
senior. Sedangkan COBIT digunakan oleh pengguna teknologi informasi (TI),
manajemen TI, auditor internal dan eksternal yang berfokus ke TI.