RESUME

INTERNAL AUDIT

CHAPTER 6 : COBIT and Other ISACA Goals

Dibuat oleh :

1. Annisha Octavia Puspa (041711333011)

2. Firdha Amatul Azizah (041711333053)

6.1 INTRODUCTION TO COBIT

COBIT (awalnya ditulis sebagai CobiT) adalah akronim yang semakin dikenal
olehb a n ya k a u d i t o r i n t e r n a l d a n e k s t e r n a l d a n p r o f e s i o n a l T I. C O B IT
a d a l a h k e r a n gk a pengendalian internal yang penting yang dapat berdiri
sendiri, namun juga penting alatpendukung untuk mendokumentasikan dan
memahami konotivitas internal COSO dan SOx.Pengetahuan umum tentang
COBIT harus menjadi sebuah persyaratan internal auditor CBOK.Standar dan
kerangka kerja COBIT dikeluarkan dan diperbarui secara berkala oleh IT Governance
Institute (ITGI) dan organisasi profesional Audit dan KontrolSistem Informasi
(ISACA) yang terkait erat.
ISACA lebih fokus pada Audit TI, sementarapenekanan ITGI adalah pada
proses penelitian dan tata kelola. ISACA awalnya dikenalsebagai Electronic
Data Processing Auditor Association (EDPAA), sebuah grup profesionalyang
dimulai tahun 1967 oleh auditor internal yang merasa Organisasi profesional
mereka,Institute of Internal Auditor (IIA), tidak memberi cukup perhatian
pentingnya sistem TI dankontrol teknologi sebagai bagian dari kegiatan audit
internal. EDP pernah berdiri untukpengolahan data elektronik, hari ini hampir
istilah kuno untuk IT. Seiring waktu, perusahaanprofesional ini memperluas
fokusnya dan menjadi ISACA, sementara IIA juga telah lamamemeluk isu
teknologi yang kuat.Prinsip kerangka kerja COBIT sering digambarkan sebagai
pentagon meliputi limapoin dan area kontrol internal yang saling terkait, seperti yang
diilustrasikan pada gambar.COBIT memiliki lima bidang utama seputar konsep inti yang
penting bagi tata kelola TI:
1 . Keselarasan Strategis. Upaya harus dilakukan untuk menyelaraskan operasi dan
aktivitasTI dengan semua operasi perusahaan lainnya.
2. Penyampaian Nilai. Proses harus ada untuk memastikan TI dan operasi
unit lainnyamemberikan manfaat yang dijanjikan sepanjang siklus pengiriman
dan dengan strategi itumengoptimalkan biaya sambil menekankan nilai intrinsik TI
dan aktivitas terkait.
3. Manajemen Risiko. Manajemen di semua level harus memiliki pemahaman
yang jelastentang penilaian risiko perusahaan, persyaratan kepatuhan, dan dampak
signifikan risiko.
4. Manajemen Sumber Daya. D e n ga n p e n e k a n a n p a d a T I, h a r u s a d a
i n v e s t a s i ya n go p t i m a l , d a n p e n g e l o l a a n ya n g t e p a t , s u m b e r d a ya
T I k r i t i s , a p l i k a s i , i n f o r m a s i , infrastruktur, dan manusia. Tata kelola
TI yang efektif bergantung pada optimalisasipengetahuan dan infrastruktur.
5. Pengukuran kinerja. Proses harus ada untuk melacak dan memantau
implementasi strategi, penyelesaian proyek, penggunaan sumber daya, kinerja
proses, dan pemberian layanan. Mekanisme tata kelola IT harus mempunyai strategi
implementasi menjadi tindakan dan pengukuran untuk mencapai tujuan.
6.2 COBIT FRAMEWORK

Framework COBIT terdiri dari 34 high-level control objective, dimana tiap-tiap IT

proses dikelompokkan dalam empat domain utama:
1. Planning and Organization
Mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI
dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi
sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang
baik pula.
 PO1 Define a strategic information technology plan
 PO2 Define the information architecture
 PO3 Determine the technological direction
 PO4 Define the IT organisation and relationships
 PO5 Manage the investment in information technology
 PO6 Communicate management aims and direction
 PO7 Manage human resources
 PO8 Ensure compliance with external requirements
 PO9 Assess risks
 PO10 Manage projects
 PO11 Manage quality
2. Acquisition and Implementation
Identifikasi solusi TI dan kemudian diimplementasikan dan diintegrasikan dalam
proses isnis untukb mewujudkan strategi TI.
 AI1 Identify automated solutions
 AI2 Acquire and maintain application software
 AI3 Acquire and maintain technology infrastructure
 AI4 Develop and maintain IT procedures
 AI5 Install and accredit systems
 AI6 Manage changes

3. Delivery and Support

Domain yang berhubungan dengan penyampaian layanan yang diinginkan, yang
terdiri dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai
dengan pengadaan training.
 DS1 Define and manage service levels
 DS2 Manage third-party services
 DS3 Manage performance and capacity
 DS4 Ensure continuous service
 DS5 Ensure systems security
 DS6 Identify and allocate costs
 DS7 Educate and train users
 DS8 Assist and advise customers
 DS9 Manage the configuration
 DS10 Manage problems and incidents
 DS11 Manage data
 DS12 Manage facilities
 DS13 Manage operations

4. Monitoring
Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan
kesesuaiannya dengan kebutuhan control.
 M1 Monitor the process
  M2 Assess internal control adequacy
 M3 Obtain independent assurance
 M4 Provide for independent audit

6.3 PRINCIPLE 1 : MEETING STAKEHOLDER NEEDS

Keberadaan sebuah perusahaan untuk menciptakan nilai kepada stakeholdernya –
termasuk stakeholders untuk keamanan informasi – didasarkan pada pemeliharaan
keseimbangan antara realisasi keuntungan dan optimalisasi risiko dan penggunaan
sumber daya yang ada. Optimalisasi risiko dianggap paling relevan untuk keamanan
informasi. Setiap perusahaan memiliki tujuan yang berbeda-beda sehingga perusahaan
tersebut harus mampu menyesuaikan atau melakukan customize COBIT 5 ke konteks
perusahaan yang dimiliki.

6.4 PRINCIPLE 2 : COVERING THE ENTERPRISE END TO END

COBIT 5 mengintegrasikan IT enterprise pada organisasi pemerintahan dengan cara:

 Mengakomodasi seluruh fungsi dan proses yang terdapat pada enterprise. COBIT 5
tidak hanya fokus pada ‘fungsi IT’, namun termasuk pada pemeliharaan informasi dan
teknologi terkait sebagai aset layaknya aset-aset yang terdapat pada enterprise.
 Mengakomodasi seluruh stakeholders, fungsi dan proses yang relevan dengan
keamanan informasi.