TUGAS
AUDIT SISTEM INFORMASI
Disusun oleh:
ABUYASIN SABDA HANI (1)
AHMAD SURYAWAN OKTAFIADI (5)
ARIEF ISTI PRAMUSINTA (9)
FERDHI FIAN ANSHORI (13)
I GEDE YUDI HENRAYANA (17)
MIKHA ANDRI MANALU (21)
OSCAR EDO CHRISANDY (25)
PUTU AGUS RAY KARUNIA (29)
RICKY NUGRAHA LAUDA (33)
TRI MULYADI WIBOWO (37)
I. Pendahuluan
Dengan adanya tata kelola Teknologi Informasi/Information Technology (TI/IT),
proses bisnis perusahaan akan menjadi jauh lebih transparan dan dapat
dipertanggungjawabkan. Selain itu, akuntabilitas tiap fungsi atau individu akan semakin
jelas. Tata kelola IT bukan hanya penting bagi teknis IT saja, tetapi juga direksi dan
bahkan komisaris, yang bertanggung jawab terhadap investasi dan pengelolaan risiko
perusahaan dengan tujuan untuk meraih keuntungan optimum investasi IT dan sekaligus
memastikan semua potensi risiko investasi IT telah diantisipasi dan dapat dikendalikan.
Keputusan bisnis yang baik harus didasarkan pada pengetahuan yang berasal dari
informasi yang relevan, komprehensif, dan tepat waktu yang mana membutuhkan tata
kelola IT yang baik. Karena penerapan IT ini memerlukan biaya yang tidak sedikit dan
disertai risiko kegagalan yang tidak kecil, maka IT harus dikelola selayaknya aset
perusahaan lainnya. Penerapan IT di perusahaan harus ditunjang dengan suatu tata
kelola IT (IT Governance) mulai dari perencanaan sampai implementasinya yang
mengacu pada standar yang sudah mendapatkan pengakuan secara luas. Ada beberapa
standar tata kelola IT yang digunakan oleh perusahaan-perusahaan di dunia, dua di
antaranya adalah COBIT dan ISO.
COBIT (Control Objectives for Information and related Technology) adalah suatu
panduan standar praktek manajemen teknologi informasi dan sekumpulan dokumentasi
best practices untuk tata kelola IT yang dapat membantu auditor, manajemen, dan
pengguna untuk menjembatani pemisah (gap) antara risiko bisnis, kebutuhan
pengendalian, dan permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT
Governance Institute (ITGI), yang merupakan bagian dari Information Systems Audit and
Control Association (ISACA). COBIT memberikan arahan (guidelines) yang berorientasi
pada bisnis. Olejh karena itu, business process owners dan manajer, termasuk juga
auditor dan pengguna, diharapkan dapat memanfaatkan arahan ini dengan sebaik-
baiknya. COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang
menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada
tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada
manajemen, COBIT versi 4 pada bulan Desember 2005 dan versi 4.1 pada bulan Mei
2007 lebih mengarah pada tata kelola IT, dan terakhir COBIT versi 5 pada bulan Juni
2012 yang menekankan tata kelola IT pada perusahaan.
1
Sementara itu, Organisasi Standar Internasional, atau yang disebut dengan istilah
ISO, adalah suatu asosiasi global yang terdiri dari badan-badan standardisasi nasional
yang beranggotakan tidak kurang dari 140 negara. ISO merupakan suatu organisasi di
luar pemerintahan (Non-Government Organization/NGO) yang berdiri sejak tahun 1947.
Misi dari ISO adalah untuk mendukung pengembangan standardisasi dan kegiatan-
kegiatan terkait lainnya dengan harapan untuk membantu perdagangan internasional,
dan juga untuk membantu pengembangan kerjasama secara global di bidang ilmu
pengetahuan, teknologi dan kegiatan ekonomi. Kegiatan pokok ISO adalah menghasilkan
kesepakatan-kesepakatan internasional yang kemudian dipublikasikan sebagai standar
internasional. ISO yang berkaitan dengan IT di antaranya ISO 27001, ISO 27002, dan
ISO 31000.
Tulisan ini akan membahas mengenai perbandingan antara COBIT 5 dan ISO
yang berkaitan dengan IT. Tulisan ini diharapkan mampu memberikan pemahanan yang
komprehensif kepada pembaca mengenai COBIT 5 dan ISO yang berkaitan dengan IT.
Pemahaman komprehensif atas setiap standar tentunya akan membantu perusahaan
untuk memilih standar tata kelola TI yang paling sesuai dengan sumber daya dan
kebutuhan perusahaan.
2
semua proses yang diperlukan dan enabler lain untuk mendukung penciptaan nilai
melalui penggunaan IT. Karena setiap perusahaan memiliki tujuan yang berbeda, sebuah
perusahaan dapat menyesuaikan COBIT 5 sesuai dengan konteks sendiri melalui goal
cascade, menerjemahkan tujuan perusahaan (level atas) menjadi tujuan yang lebih
spesifik dan terkait dengan IT.
3
Governance memastikan bahwa tujuan perusahaan dapat dicapai dengan melakukan
evaluasi terhadap kebutuhan, kondisi, dan pilihan stakeholder, menerapkan arah melalui
prioritas dan pengambilan keputusan terhadap arah dan tujuan yang telah disepakati.
Pada kebanyakan perusahaan, governance adalah tanggung jawab dari dewan komisaris
di bawah kepemimpinan komisaris utama. Sementara itu, manajemen berfungsi sebagai
perencana, membangun, menjalankan, dan memonitor aktifitas-aktifitas yang sejalan
dengan arah yang ditetapkan oleh dewan komisaris untuk mencapai tujuan perusahaan.
Pada kebanyakan perusahaan, manajemen menjadi tanggung jawab manajemen
eksekutif di bawah pimpinan Chief Executive Officer (CEO).
4
Dalam rilis pertama, standar 27002 dimaksudkan untuk meliputi semua lembaga
yang membutuhkan keamanan informasi. Ini berarti perusahaan, organisasi non-profit,
lembaga pemerintah, dan entitas bisnis semua akan mengikuti standar yang sama.
Namun, versi selanjutnya memisahkan standar untuk berbagai sektor agar lebih efisien.
Beberapa bab berkaitan dengan sumber daya manusia dan interaksi mereka dengan
informasi, sementara yang lain memuat cara sebuah bisnis untuk mengontrol akses dan
kelangsungan usaha dengan prosedur keamanan mereka.
ISO 27002 berisi rincian tentang pengendalian dan prosedur yang digunakan
untuk menjaga informasi tetap aman. Standar lainnya, seperti ISO 27001, hanya berisi
bagian kecil tentang kontrol. Sebaliknya, 27002 banyak berkaitan dengan kontrol tapi
menawarkan sedikit dalam hal manajemen. Pada ISO 27001, semua aspek manajemen
tersebut turut dimasukkan.
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan proses
manajemen risiko. Terdapat sebelas prinsip manajemen risiko yang harus dipegang
teguh dan diterapkan saat membangun kerangka kerja dan melakukan implementasi
proses manajemen risiko. Kesebelas prinsip tersebut adalah
a. Memberikan nilai tambah dan melindungi nilai organsasi;
b. Bagian terpadu dari seluruh proses organisasi;
c. Bagian dari pengambilan keputusan;
d. Secara khusus menangani ketidakpastian;
e. Sistematis, terstruktur, dan tepat waktu;
f. Berdasarkan informasi terbaik yang tersedia;
g. Disesuaikan dengan kebutuhan organisasi;
5
h. Mempertimbangkan faktor budaya dan manusia;
i. Transparan dan inklusif;
j. Dinamis, berulang, dan responsif terhadap perubahan; dan
k. Memfasilitasi perbaikan sinambung dan peningkatan organisasi.
Gambar 1
Hubungan antara Prinsip, Kerangka Kerja, dan Proses Manajemen Risiko
6
9) memastikan bahwa kerangka untuk mengelola risiko terus tetap sesuai
b. Perencanaan kerangka kerja manajemen risiko:
1) Memahami organisasi dan konteksnya
2) Kebijakan menetapkan manajemen risiko
3) Akuntabilitas
4) Integrasi ke dalam proses organisasi
5) Sumberdaya
6) Membangun komunikasi internal dan mekanisme pelaporan
7) Membangun komunikasi eksternal dan mekanisme pelaporan
c. Penerapan manajemen risiko:
1) Menerapkan kerangka untuk mengelola risiko
2) Melaksanakan proses manajemen risiko
d. Monitoring dan review terhadap kerangka kerja manajemen risiko
e. Perbaikan kerangka kerja manajemen risiko secara berkelanjutan.
Gambar 2
Hubungan antar Komponen dalam Kerangka Kerja Manajemen Risiko
7
3. Penilaian risiko (terdiri atas identifikasi, analisis, dan evaluasi risiko);
4. Perlakuan risiko;
5. Monitoring dan review.
Implementasi secara mendetail dan menyeluruh pada prinsip, kerangka kerja dan proses
manajemen risiko berdasarkan ISO 31000: 2009 tersebut diharapkan dapat
meningkatkan efektivitas manajemen risiko organisasi.
Gambar 3
Proses Manajemen Risiko
8
bahwa COBIT 5 hanya berisi kriteria bagaimana tata kelola IT yang baik. COBIT 5 tidak
memberikan rincian implementasi tata kelola IT yang baik. Rincian implementasi tata
kelola IT yang baik diserahkan kepada user dari COBIT 5.
Gambar 4
Hubungan antara COBIT, ISO, ITIL, dan COSO
Salah satu irisan yang terjadi pada Gambar 4 di atas adalah antara COBIT 5 dan
ISO seri 9000 (terutama ISO 9001). ISO 9001 berlaku sebagai standarisasi manajemen
9
kualitas (standard quality control). ISO 9001 sebagai standard quality control juga
mengatur mengenai quality control di bidang IT. COBIT 5 dan ISO 9001 bersinggunggan
pada area quality control yang terkait dengan IT.
Selain itu, COBIT 5 dan ISO 27002 juga beririsan pada Gambar 4. COBIT 5
merupakan suatu Information System framework, sementara ISO ISO 27002 (beserta
ISO seri 27000 lainnya) merupakan information security framework. Information security
yang terkait dengan IT sendiri adalah bagian dari sistem informasi. ISO 27002 selain
mengatur mengenai keamanan informasi terkait IT juga mengatur tentang keamanan
informasi selain berbasis IT. Oleh karena itu, COBIT 5 dan ISO 27002 beririsan pada
bagian IT security framework.
Selain dengan ISO 9001 dan ISO 27002, COBIT 5 juga memiliki keterkaitan
dengan ISO 3100 yang mengatur mengenai manajemen risiko. Penjelasan lebih rinci
mengenai perbandingan antara COBIT 5 dan ISO 27002 dan ISO 31000 adalah sebagai
berikut.
Tabel 1
Perbandingan antara COBIT 5 dan ISO 27002
COBIT ISO 27002
Tujuan COBIT 5 (diterbitkan oleh ITGI) ISO 27002 memberikan
adalah suatu high-level framework rekomendasi best practice untuk
(relatif terhadap ITIL, ISO 27002 standar ISMS (Information
dan NIST) yang memetakan inti Security Management System) ,
proses IT dengan cara yang yang dalam pelaksanaannya
memungkinkan keberhasilan sering digunakan bersama
organisasi untuk melaksanakan dengan ISO 27001. ISO 27001
kebijakan dan prosedur kunci. dan ISO 27002 disusun oleh ISO
10
Persamaan COBIT 5 dengan ISO ISO 27001 hanya merumuskan
27002 adalah sama-sama sistem manajemen yang
menjawab 'apa' yang sedang mengontrol keamanan informasi,
dikelola, berbeda dengan ITIL tanpa memberikan kontrol tertentu
yang menjawab 'bagaimana' untuk setiap jenis industri. ISO
27002 memberikan arahan untuk
Namun, ISO 27002 berfokus mengontrol keamanan informasi
hanya pada keamanan informasi, untuk berbagai sektor industri
sedangkan COBIT memiliki yang berbeda.
lingkup yang lebih luas, dengan
mempertimbangkan semua
manajemen proses IT.
Common Uses COBIT 5 biasanya digunakan oleh ISO 27002 umumnya digunakan
eksekutif bisnis agar dapat oleh departemen IT pada suatu
berhasil dalam melaksanakan organisasi. Departemen IT
kebijakan dan prosedur kunci. berfokus pada pengendalian dan
keamanan informasi.
Selain itu, COBIT 5 sering
digunakan untuk
mengintegrasikan hal-hal terkait
pengendalian, isu-isu teknis, dan
risiko dalam suatu organisasi.
11
Kelemahan COBIT 5 relatif sulit ISO 27002 hanya berfokus pada
diimplementasikan karena tidak keamanan informasi sehingga
memberikan petunjuk memiliki ruang lingkup yang
pelaksanaan yang rinci. terbatas.
When to Use COBIT 5 cocok digunakan ketika ISO adalah sertifikat yang diakui
organisasi ingin menciptakan di hampir seliuruh penjuru dunia.
suatu organization-wide ISO 27002 cocok digunakan untuk
framework, bukan hanya organisasi yang ingin beroperasi
framewok keamanan informasi. lintas negara.
12
3.2. Perbandingan antara COBIT 5 dan ISO 31000
Baik COBIT 5 maupun ISO 31000 sama-sama mengatur mengenai manajemen
risiko, meskipun ISO 31000 tidak secara spesifik mengatur mengenai manajemen risiko
di bidang IT. Namun, COBIT 5 dan ISO 31000 memiliki beberapa perbedaan. Perbedaan
antara COBIT 5 dan ISO 31000 dapat dilihat pada Tabel 2.
Tabel 2
Perbandingan antara COBIT 5 dan ISO 31000
13
(3) penilaian risiko;
(4) perlakuan risiko; dan
(5)monitoring dan review.
14
IV. Simpulan
Adapun simpulan dari tulisan ini adalah sebagai berikut:
1. COBIT 5 dan ISO sama-sama merupakan framework di bidang IT yang diakui dan
banyak digunakan secara internasional.
2. COBIT 5 merupakan sebuah framework yang bersifat generic (umum, dengan
cakupan yang luas), sementara ISO merupakan framework yang lebih khusus,
spesifik, sempit, serta detil (rinci).
3. Selain memiliki persamaan, COBIT 5 juga memiliki beberapa perbedaan dengan ISO
(terutama ISO 27002 dan ISO 31000), sebagaimana terlihat pada Tabel 1 dan Tabel
2.
15
Daftar Referensi
Arora, Varun. Comparing Different Information Security Standards: COBIT vs. ISO 27001.
Carnegie Mellon University, Qatar. https://qatar.cmu.edu/media/assets/
CPUCIS2010-1.pdf (diakses 12 Oktober 2016).
ISACA. 2012. COBIT 5: A Business Framework for the Governance and Management of
Enterprise IT.
von Solms, Basie. 2005. Information Security Governance: COBIT or ISO 17799 or both?.
Computers & Security (2005) 24, hal. 99-104.
16