MAKALAH AUDIT INTERNAL II

“COBIT and Information Technology Governance”

Disusun Oleh :

Sakina Sumbari ( 1810246936 )

Meliana Wida Sari ( 1810246940 )

Vika Miftahul Jannah ( 1810246945 )

PROGRAM PASCASARJANA

MAGISTER AKUNTANSI

UNIVERSITAS RIAU

2020
 DAFTAR ISI

DAFTAR ISI...................................................................................................................................1

KATA PENGANTAR....................................................................................................................2

BAB I PENDAHULUAN..............................................................................................................3
1.1 Latar Belakang................................................................................................................... 3

BAB II LANDASAN TEORI........................................................................................................ 7

2.1 Kerangka Kerja COBIT.................................................................................................... 7
2.1.1 Sumber Daya IT.................................................................................................. 17
2.1.2 Proses IT..............................................................................................................17
2.1.3 Persyaratan Bisnis............................................................................................... 19
2.2 Menggunakan COBIT untuk Menilai Kontrol Internal...................................................19
2.2.1 Perencanaan dan Organisasi................................................................................23
2.2.2 Akuisisi dan Implementasi.................................................................................. 27
2.2.3 Pengiriman dan Dukungan.................................................................................. 30
2.2.4 Monitoring dan Evaluasi..................................................................................... 34
2.2.5 Berdasar Kontrol................................................................................................. 38
2.2.6 Dikendalikan oleh Pengukuran........................................................................... 39
2.2.7 Identifikasi Proses COBIT.................................................................................. 41
2.3 COBIT dan Sarbanes-Oxley........................................................................................... 41
2.4 Penelitian mengenai Penilaian Tata Kelola Teknologi Informasi padaSistem
Logistik PT XYZ Berdasarkan COBIT (Ruslam et al., 2018)........................................43
2.4.1 Latar Belakang.................................................................................................... 43
2.4.2 Tujuan, Ruang Lingkup dan Batasan Penelitian................................................. 44
2.4.3 Metode Pengumpulan dan Analisis Data............................................................ 45
2.4.4 Rekomendasi IT Goals........................................................................................ 45
2.4.5 Rekomendasi Business Goals..............................................................................46
2.4.6 Kesimpulan......................................................................................................... 47

DAFTAR PUSTAKA................................................................................................................... 48

1
 KATA PENGANTAR

Puji syukur kami panjatkan atas kehadiran Tuhan Yang Maha Esa, yang telah
memberikan berkat, anugrah dan karunia-Nya, sehingga kami dapat menyelesaikan makalah ini
dengan tepat pada waktunya.
Makalah ini dibuat sebagai tugas mata kuliah Audit Internal II. Makalah ini akan
memberikan informasi penjelasan mengenai COBIT and Information Technology Governance.
Isi dari makalah ini diharapkan dapat berguna dan dapat memberikan informasi bagi para
pembaca. Namun, kami menyadari bahwa makalah ini masih jauh dari kesempurnaan dan masih
banyak memiliki kekurangan. Oleh karena itu, kami menerima saran dan kritik untuk
penyempurnaan makalah ini.

Penyusun,

Kelompok

2
 BAB I
PENDAHULUAN

1.1 Latar Belakang

Control Objectives for Information and Related Technology (COBIT) dapat definisikan
sebagai alat pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka
untuk pengendalian terhadap teknologi informasi yang dikembangkan oleh Information System
Audit and Control Association (ISACA) melalui lembaga yang dibentuknya yaitu Information
and Technology Governance Institute (ITGI) pada tahun 1992.
COBIT yang pertama kali diluncurkan pada tahun 1996, mengalami perubahan berupa
perhatian lebih kepada dokumen sumber, revisi pada tingkat lebih lanjut serta tujuan
pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set) pada
edisi keduanya yang dipublikasikan pada tahun 1998. COBIT pada edisi ketiga ditandai dengan
masuknya penerbit utama baru COBIT yaitu ITGI. COBIT edisi keempat merupakan versi
terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait.
Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan
mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date
untuk digunakan dalam kegiatan bisnis sehari-hari. Dengan bahasa lain, COBIT dapat pula
dikatakan sebagai sekumpulan dokumentasi best practices untuk IT governance yang dapat
membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis,
kebutuhan kontrol dan permasalahan-permasalahan teknis melalui pengendalian terhadap
masing-masing dari 34 proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan
memenuhi ekspektasi bisnis dari IT. COBIT mampu menyediakan bahasa yang umum sehingga
dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat
dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap corporate governance dan
kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun
ketika terjadi kondisi ekonomi yang sulit.
Fokus utama COBIT adalah harapan bahwa melalui adopsi COBIT ini perusahaan akan
mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren
yang teridentifikasi didalamnya. CobiT adalah kerangka kerja kontrol internal yang penting yang

3
dapat berdiri sendiri tetapi merupakan alat pendukung penting untuk mendokumentasikan dan
memahami kontrol internal COSO dan Sarbanes-Oxley (SOx). Meskipun penekanan awal CobiT
adalah pada teknologi informasi (TI), Kerangka kerja ini telah diperluas dan para profesional di
berbagai tingkatan bisnis akan mendapat manfaat dari memiliki pemahaman tentang kerangka
kerja CobiT dan penggunaannya sebagai alat untuk mendokumentasikan, meninjau, dan
memahami SOx kontrol internal. Standar dan kerangka kerja CobiT diterbitkan dan dikelola oleh
IT Governance Institute (ITGI) dan afiliasinya yang erat organisasi profesional, Information
Systems Audit and Control Association (ISACA).
Certified Information Systems Auditor (CISA) dan sertifikasi professional Certified
Information Systems Manager (CISM). ISACA awalnya dikenal sebagai EDP Auditor’s
Association (EDPAA), kelompok profesional yang dimulai pada tahun 1967 oleh auditor internal
dalam organisasi profesional, Institute of Internal Auditor (IIA), pada waktu itu kurang
memperhatikan pentingnya sistem komputer dan kontrol teknologi sebagai bagian dari kegiatan
audit internal. Seiring waktu, organisasi profesional ini memperluas fokusnya dan menjadi
ISACA, dan IIA juga telah sejak lama memiliki masalah teknologi. EDPAA, awalnya organisasi
profesional audit TI pemula, mulai mengembangkan pedoman profesional audit TI sesaat setelah
pembentukannya.
Sama seperti EDPAA berkembang menjadi ISACA dan sekarang ITGI, IT aslinya standar
audit menjadi seperangkat kontrol internal berorientasi TI yang sangat baik tujuan yang
berkembang menjadi CobiT, sekarang dalam versi 2007 versi 4.1. Dengan hampir semua proses
perusahaan saat ini dengan hal-hal yang terkait dengan IT, keseluruhan area tata kelola TI sangat
penting. Dapat dilihat di Exhibit 5.1, kerangka kerja CobiT mencakup lima area kontrol internal,
dengan sebuah penekanan pada tata kelola TI:
1. Penyelarasan strategis. Upaya harus dilakukan untuk menyelaraskan kegiatan operasi dan TI
dengan semua operasi perusahaan lainnya. Ini termasuk memastikan hubungan antara bisnis
perusahaan dan rencana TI serta mendefinisikan, memelihara, dan memvalidasi hubungan
kualitas dan nilai.
2. Nilai pengiriman. Proses harus ada untuk memastikan bahwa TI dan unit operasi lainnya
memberikan manfaat yang dijanjikan sepanjang siklus pengiriman dan menentang strategi
yang mengoptimalkan biaya, menekankan pada nilai-nilai intrinsik TI dan kegiatan terkait.

4
3. Manajemen sumber daya. Dengan penekanan pada IT, harus ada investasi optimal dan
manajemen yang tepat, TI kritis sumber daya, aplikasi, informasi, infrastruktur, dan orang-
orang. Usaha Tata kelola TI tergantung pada pengoptimalan pengetahuan dan infrastruktur.
4. Manajemen risiko. Manajemen di semua tingkatan, harus memiliki kejelasan pemahaman
tentang risiko perusahaan, persyaratan kepatuhan, dan dampak risiko yang signifikan. Baik TI
dan operasi lainnya memiliki tanggung jawab manajemen risiko mereka sendiri dan bersama
yang mungkin secara individu atau bersama-sama berdampak pada seluruh perusahaan.
5. Pengukuran kinerja. Proses harus melacak dan memantau implementasi strategi, penyelesaian
proyek, penggunaan sumber daya, kinerja proses, dan pengiriman layanan. Mekanisme tata
kelola TI harus menerjemahkan strategi implementasi menjadi tindakan untuk mencapai
tujuan.

Exhibit 5.1 IT Governance Focus Areas

Kelima kontrol internal CobiT ini menunjukkan berbagai macam aktivitas perusahaan
yang merupakan serangkaian area fokus yang merupakan elemen dalam kerangka CobiT dan
umumnya mewakili tata kelola TI. Beberapa perusahaan pertama kali menggunakan versi CobiT
sebelumnya untuk membantu mendokumentasikan dan mengatur SOx Section 404 persyaratan
kontrol internal setelah undang-undang itu pertama menjadi hukum. Kerangka kerja CobiT
adalah dan masih merupakan alat yang efektif untuk mendokumentasikan TI dan semua kontrol
internal lainnya. Namun, bab ini melihat kerangka kerja CobiT yang lebih baru dan versi saat ini

5
dengan perspektif yang lebih luas menggunakan CobiT untuk membantu dalam manajemen,
organisasi, dan audit proses tata kelola TI.
Bagian berikut ini memberikan deskripsi keseluruhan tentang CobiT kerangka kerja,
dalam versi 4.1 terbaru, dan elemen kunci yang menghubungkan tujuan bisnis dengan tujuan TI
melalui kontrol utama dan pengukuran yang efektif. Selain itu, bab ini akan menjelaskan
pemetaan standar CobiT. Kerangka kerja CobiT adalah mekanisme yang efektif untuk
mendokumentasikan dan memahami kontrol internal di semua tingkatan. Meskipun CobiT
pertama kali dimulai terutama sebagai satu set bahan pedoman '' audit TI ''.

6
 BAB II
LANDASAN TEORI

2.1 Kerangka Kerja COBIT

Proses TI dan aplikasi perangkat lunak serta perangkat keras pendukungnya adalah
kegiatan utama dalam perusahaan modern saat ini. Baik bisnis ritel, dengan kebutuhan untuk
melacak inventarisnya dan membayar karyawan, atau perusahaan besar, semua membutuhkan
rangkaian yang saling berhubungan dan proses TI yang rumit terkait erat dengan operasi bisnis
mereka. Hubungan ini pada tingkat tinggi, dengan penyediaan persyaratan proses bisnis untuk
membangun dan memproses TI, kemudian menyediakan informasi TI yang diperlukan untuk
mengoperasikan proses bisnis tersebut. Semua proses bisnis dan sumber daya TI pendukungnya
bekerja dalam hubungan itu. TI tidak dapat dan tentu saja tidak boleh memberi tahu proses
operasi bisnis dan sistem TI yang harus mereka pertimbangkan untuk diterapkan. Dalam sistem
TI, manajer teknis kadang-kadang merasa punya banyak jawaban dan solusi sistem yang
dipromosikan untuk bisnis mereka, kadang-kadang dengan hasil yang sangat kontraproduktif.
Namun, telah terjadi perubahan dan operasi TI dan bisnis pada umumnya harus saling
menguntungkan hubungan dalam persyaratan dan informasi.
TI memiliki tanggung jawab atas serangkaian lainnya area proses terkait. Proses anak
perusahaan ini bernama Maturity Model dan Tujuan Kegiatan yang akan dibahas nanti dalam bab
ini. Selain itu, proses ini diaudit oleh atau melalui panduan audit, mereka diukur dengan ukuran
indikator kinerja, dan kegiatan efektif melalui serangkaian tujuan kegiatan. Semua ini menjadi
bagian CobiT, kerangka kerja kontrol termasuk TI dan proses bisnis.
Kerangka kerja pengendalian internal COSO dan kerangka kerjanya pentingnya dalam
mendefinisikan kontrol internal SOx. Orang mungkin bertanya, ''Saya mengerti menggunakan
kontrol internal COSO, mengapa ada kerangka kerja lain?" Jawaban untuk pertanyaan ini adalah
CobiT memberikan pendekatan alternatif untuk mendefinisikan dan mendeskripsikan kontrol
internal yang lebih menekankan pada TI kontrol internal COSO. Informasi dan proses TI
pendukung adalah sumber daya paling berharga untuk hampir semua organisasi saat ini, dan
manajemen memiliki tanggung jawab utama untuk menjaga TI pendukung aset, termasuk sistem

7
otomatis. Kombinasi manajemen, pengguna TI, dan auditor semua perlu memahami proses dan
kontrol yang mendukungnya. Kombinasi ini memfokuskan tentang efektivitas dan efisiensi
proses TI dan bisnis secara keseluruhan. Prinsip-prinsip dasar CobiT menuntut adanya
persyaratan bisnis yang mendorong permintaan akan sumber daya TI dan sumber daya itu
memulai proses TI untuk mengembangkan informasi perusahaan secara berkelanjutan. Idenya
adalah masing-masing dari empat kelompok ini memiliki fokus yang berbeda mengenai
persyaratan bisnis sistem TI mereka, sumber daya pendukungnya, serta proses TI terkait.
Pengelolaan berdasarkan kualitas, biaya, dan pengiriman yang sesuai sumber daya terkait TI yang
komponen kontrolnya sama dengan tiga elemen COSO kontrol internal. Bagian ketiga dari
kerangka ini adalah proses TI yang membutuhkan tingkat kerahasiaan, ketersediaan, dan kontrol
integritas. Kontrol internal atas sumber daya TI sangat didasarkan pada saling ketergantungan
dari keempat efektivitas dan efisiensi komponen TI.
Tata kelola TI adalah konsep kunci CobiT saat ini yang tidak sama dengan elemen CobiT
sebelum SOx. Ini adalah konsep kontrol internal yang penting, dengan IT Governance Institute
memainkan peran kepemimpinan yang kuat. CobiT telah menggambarkan perannya dalam tata
kelola TI melalui pentagon-shaped diagram, menggambarkan fokus tata kelola TI CobiT area.
CobiT mendefinisikan tata kelola TI di serangkaian bidang utama mulai dari menjaga fokus pada
keberpihakan strategis hingga pentingnya pengukuran risiko dan kinerja saat mengelola sumber
daya IT. Kami akan melihat referensi ke area fokus tata kelola TI ini pentagon saat kami
menavigasi melalui kerangka kerja CobiT untuk lebih memahami kontrol internal terkait SOX.
Selain tiga kelompok proses yang saling berhubungan ini, CobiT dalam kontrol tiga
dimensi TI: sumber daya, proses, dan persyaratan bisnis. Tiga dimensi ini sesuai dengan apa yang
disebut CobiT kubus. Mirip dengan COSO framework cube, CobiT Model ini melihat kontrol TI
dari perspektif tiga dimensi. Namun, dimensi menghadap ke depan, dengan deskripsi aliran
proses yang bergambar diagram, membuat takut beberapa orang non-IT dari mempertimbangkan
penggunaan CobiT. Profesional yang tidak mengerti IT melihat diagram proses di muka kubus
CobiT harus menggunakan pendekatan ini''. Kerangka kerja CobiT berharga untuk memahami
kontrol internal SOx dan meningkatkan praktik TI tata kelola.

8
 Kelima masalah kontrol internal COBIT atau bidang-bidang yang ditekankan adalah
elemen kerangka kerja dan mendefinisikan tata kelola TI. Kerangka kerja COBIT adalah alat
yang efektif untuk mendokumentasikan TI dan semua kontrol internal lainnya, Kerangka kerja
COBIT sebagai berikut:

1. Meeting
Stakeholder

5.Separating
2. Covering the
Governance
Enterprise
from
Management
COBIT
Principles

3. Applying a
4. Enabling a
Single
Holistic
Integrated
Approach
Framework

Exhibit 6.1 Five Principles of Internal Controls

PRINCIPLE 1: Meeting Stakeholder Needs

Prinsip pertama COBIT, menyatakan suatu perusahaan dan manajemen utamanya harus
mengakui bahwa perusahaan mereka ada untuk menciptakan nilai bagi para pemangku
kepentingan, baik investor, pelanggan, karyawan, pengguna, atau lainnya. Akibatnya, semua
perusahaan, komersial atau tidak, harus memiliki konsep penciptaan nilai ini sebagai tujuan
manajemen dan tata kelola utama. Ini adalah pernyataan yang jelas yang sayangnya tidak selalu
benar.
Para pemimpin perusahaan di semua tingkatan menjaga prioritas pribadi dan organisasi
mereka di atas mereka yang memiliko keuntungan yang lebih besar dari keseluruhan perusahaan.
Penciptaan nilai, sebagaimana didefinisikan dalam COBIT, berarti mewujudkan berbagai manfaat
dengan biaya sumber daya yang optimal, risiko, dan pemanfaatan sumber daya. Manfaat ini dapat

9
berupa keuangan untuk perusahaan komersial atau layanan publik untuk entitas pemerintah.
COBIT untuk pemangku kepentingan perlu ditransformasikan menjadi strategi yang dapat
ditindaklanjuti yang memenuhi kebutuhan pemangku kepentingan menjadi tujuan spesifik dan
yang disesuaikan dengan perusahaan dan TI, yang disebut COBIT sebagai tujuan yang
memungkinkan. Ini memerlukan penetapan tujuan spesifik di setiap tingkat dan di setiap area
perusahaan dalam mendukung tujuan keseluruhan dan persyaratan pemangku kepentingan,
dengan demikian secara efektif mendukung penyelarasan antara kebutuhan perusahaan dan solusi
serta layanan TI.
COBIT mendefinisikan ini sebagai proses mengidentifikasi TI dan kebutuhan manajemen
dan kemudian membangun tujuan dari kebutuhan tersebut. Ketika memulai peninjauan mengikuti
prinsip-prinsip COBIT, auditor internal harus mundur dan mengembangkan pemahaman tentang
kebutuhan keuangan, pelanggan, internal, dan perusahaan dari perusahaan. Konsep COBIT untuk
mengidentifikasi "kebutuhan" sebagai lawan dari kebutuhan untuk menetapkan tujuan, menurut
pendapat penulis ini, adalah konsep yang agak kabur. Bertanya kepada manajer IT, "Apa
kebutuhan Anda untuk meningkatkan kontrol internal organisasi Anda?" Pasti akan mendorong
mereka untuk menjawab dalam hal tujuan mereka, berpikir sebagian besar hampir sama. Namun
demikian.
COBIT selanjutnya menyarankan bahwa kebutuhan TI dan manajemen yang
teridentifikasi ini harus diformalkan dan diubah menjadi tujuan yang lebih jelas. Ini sering dapat
secara efektif dilakukan dengan menggunakan pendekatan balanced scorecard. Balanced
scorecard adalah alat penting yang harus menjadi bagian dari CBOK auditor internal. COBIT
menyarankan bahwa pertama-tama serangkaian tujuan perusahaan harus ditetapkan, diikuti oleh
latihan yang sama untuk menetapkan tujuan TI. Proses penetapan tujuan ini mencerminkan
orientasi IT COBIT yang berat meskipun ada protes sebagai alat evaluasi pengendalian internal
manajemen secara keseluruhan.
Tujuan tata kelola dari realisasi manfaat dan risiko serta optimalisasi sumber daya. Huruf
P pada pameran menunjukkan bahwa tujuannya adalah sangat penting untuk tujuan, sedangkan S
menunjukkan bahwa itu adalah kepentingan sekunder atau kurang penting. Sebagai langkah
terakhir dalam menerapkan prinsip pertama ini, COBIT menyerukan kepada tim untuk
mengimplementasikan proses ini untuk mengubah tujuan yang telah ditetapkan ini menjaditujuan
yang memungkinkan COBIT. Rangkaian sasaran COBIT ini penting untuk memungkinkan

10
definisi prioritas untuk implementasi, peningkatan, dan jaminan tata kelola TI perusahaan
berdasarkan pada tujuan strategis perusahaan dari risiko terkait. Dalam praktiknya, tujuan ini
harus membantu perusahaan untuk menentukan tujuan dan sasaran yang relevan dan nyata pada
berbagai tingkat tanggung jawab.

PRINCIPLE 2: Covering the Enterprise End to End

COBIT membahas tata kelola dan manajemen informasi dan teknologi terkait dari perspektif
perusahaan, bukan yang sangat umum bagi sebagian besar auditor internal. COBIT memerlukan
integrasi tata kelola TI perusahaan, dan sistem tata kelola TI perusahaan diajukan oleh COBIT
harus berintegrasi dengan baik dalam semua sistem tata kelola. COBIT sejalan dengan pandangan
tentang tata kelola TI yang mencakup semua fungsi dan proses yang diperlukan untuk mengatur
dan mengelola informasi perusahaan dan teknologi terkait semua informasi dapat diproses.
Mengingat ruang lingkup perusahaan yang diperluas, COBIT juga menangani semua layanan TI
internal dan eksternal yang relevan, serta proses bisnis internal dan eksternal.
COBIT memberikan pandangan holistik dan sistemik tentang tata kelola dan manajemen
TI perusahaan berdasarkan sejumlah enabler. Kami telah mengambil istilah holistik dari COBIT.
Ini adalah salah satu istilah yang sering digunakan oleh akademisi tetapi tidak oleh auditor
internal ketika mereka membahas kemajuan tinjauan mereka, atau oleh banyak manajer
perusahaan. Ini mengacu pada pandangan menyeluruh yang mencakup segala sesuatu
berdasarkan sifat, fungsi, dan sifat-sifat komponen dan interaksinya. Gagasan di sini adalah
tujuan penciptaan nilai COBIT dari realisasi manfaat, risiko, dan optimalisasi sumber daya harus
mendorong tata kelola. Enabler ini harus mencakup seluruh perusahaan. Artinya, mereka harus
mencakup segala sesuatu dan semua orang, internal dan eksternal, yang relevan dengan tata
kelola dan manajemen informasi perusahaan dan TI, termasuk kegiatan dan tanggung jawab baik
fungsi TI maupun fungsi bisnis non-TI.
Informasi adalah salah satu dari kategori enabler COBIT, model dimana COBIT 5
mendefinisikan enabler dan setiap pemangku kepentingan untuk mendefinisikan persyaratan yang
luas dan lengkap untuk informasi dan siklus hidup pemrosesan informasi, sehingga
menghubungkan bisnis dan kebutuhannya akan informasi yang memadai dan fungsi TI, dan
mendukung fokus bisnis.

11
 Penggerak tata kelola adalah sumber daya organisasi untuk tata kelola, seperti kerangka
kerja, prinsip, struktur, proses, dan praktik, melalui atau ke arah mana tindakan diarahkan dan
tujuan dapat dicapai. Enablers juga menyertakan sumber daya perusahaan, misalnya kemampuan
layanan (infrastruktur TI, aplikasi, dan sebagainya), orang, dan informasi. Kurangnya sumber
daya atau faktor dapat memengaruhi kemampuan perusahaan untuk menciptakan nilai.

PRINCIPLE 3: Kerangka Terintegrasi Tunggal

COBIT adalah kerangka kerja tunggal dan terintegrasi karena sejalan dengan standar dan
kerangka kerja lain yang relevan saat ini, seperti ITIL®, dan memungkinkan perusahaan untuk
menggunakan COBIT sebagai tata kelola kerangka kerja dan integrator kerangka kerja
manajemen yang menyeluruh. Hal ini memberikan dasar untuk mengintegrasikan secara efektif
kerangka kerja, standar, dan praktik. Kerangka kerja tunggal berfungsi sebagai sumber pedoman
yang konsisten dan terintegrasi dalam bahasa umum nonteknis, teknologi-agnostik.
COBIT menyediakan arsitektur sederhana untuk menyusun pedoman dan memproduksi
rangkaian produk yang konsisten. Ini memiliki tujuan untuk mengintegrasikan pengetahuan yang
sebelumnya tersebar di berbagai kerangka kerja seperti COSO. Tidak disebutkan dalam
dokumentasi COBIT tentang hubungannya dengan Standar Internasional IIA untuk Praktik
Profesional Audit Internal. Namun, COBIT adalah alat alternatif yang harus dipertimbangkan
oleh auditor internal sebagai alternatif pengendalian internal. meninjau kerangka kerja,
khususnya mengingat penekanan COBIT pada sistem dan proses TI. Kerangka kerja COBIT
memberikan panduan tentang tata kelola dan manajemen TI enterprise yang menyelaraskan
dengan standar dan kerangka kerja lain yang relevan, seperti ITIL® dan standar ISO. Exhibit 6.4
menggambarkan keseluruhan sasaran COBIT dan aliran metrik.

12
 Stakeholder Drivers

Influences

Stakeholder Needs

Ben fits Risk Resource

Reali ation Optimization Optimization

Enterprise Goals

Cascades to

IT-Related Goals

Cascades to

Enabler Goals

Exhibit 6.4 COBIT Goals and Metrics

PRINCIPLE 4: Mengungkapkan Pendekatan Holistik

Enabler adalah faktor-faktor yang secara individual dan kolektif, mempengaruhi apakah sesuatu
akan berhasil, tata kelola dan manajemen atas IT perusahaan. Enabler didorong oleh tujuan yang
mengalir dari prinsip 3, di mana tujuan terkait TI tingkat tinggi menentukan apa yang harus
dicapai oleh enabler yang berbeda. Exhibit 6.5 menjelaskan kelas atau jenis enabler ini:
• Prinsip, kebijakan, dan kerangka kerja adalah sarana yang memungkinkan untuk
menerjemahkan perilaku yang diinginkan ke dalam panduan praktis untuk manajemen sehari-
hari.
• Pemberdayaan struktur organisasi adalah entitas pengambil keputusan utama dalam suatu
perusahaan.
• Budaya, etika, dan perilaku individu dan perusahaan sering kali dianggap remeh sebagai
faktor keberhasilan dalam kegiatan tata kelola dan manajemen.

13
• Pemberdayaan informasi tersebar di seluruh organisasi dan mencakup semua informasi yang
diproduksi dan digunakan oleh perusahaan. Informasi diperlukan untuk menjaga agar
organisasi tetap berjalan dan diatur dengan baik, tetapi pada tingkat operasional, informasi
seringkali merupakan produk utama dari perusahaan itu sendiri.
• Layanan, infrastruktur, dan pemungkin aplikasi mencakup infrastruktur, teknologi, dan
aplikasi yang menyediakan perusahaan dengan pemrosesan dan layanan teknologiinformasi.
• Keterampilan dan kompetensi profesional pribadi diperlukan untuk berhasil menyelesaikan
semua kegiatan dan untuk membuat keputusan yang benar dan mengambil tindakankorektif.
COBIT adalah informasi, yang perlu dikelola sebagai sumber daya, dan informasi lainnya,
seperti laporan manajemen dan informasi intelijen bisnis, merupakan faktor penting untuk tata
kelola dan manajemen perusahaan. Hal ini termasuk layanan, infrastruktur, dan aplikasi serta
orang dan keterampilan dan kompetensi mereka.
Ada empat dimensi umum bagi enabler: (1) pemangku kepentingan internal, (2) tujuan pemangku
kepentingan eksternal, (3) siklus hidup enabler pemangku kepentingan, dan (4) adil.
Setiap enabler memiliki pemangku kepentingan yang memainkan peran aktif dan / atau
memiliki minat. Misalnya, proses memiliki pihak yang berbeda yang melakukan kegiatan proses
dan / atau yang memiliki kepentingan dalam hasil proses; struktur organisasi memiliki pemangku
kepentingan, masing-masing dengan peran dan minatnya sendiri yang merupakan bagian dari
struktur. Stakeholder dapat bersifat internal atau eksternal bagi perusahaan, semuanya memiliki
kepentingan dan kebutuhan mereka sendiri yang terkadang saling bertentangan. Kebutuhan
pemangku kepentingan termasuk tujuan perusahaan, yang pada gilirannya mencakup tujuan
terkait TI untuk perusahaan.

14
 Processes &
Information
Culture,
Ethics

Service Capabilities

Organizatio
nal

Skills &
Competencies
Principles & Policies

Exhibit 6.5 COBIT Enabler Types

PRINCIPLE 5: Memisahkan Tata Kelola dari Manajemen

Prinsip kelima COBIT berfokus pada pentingnya konsep manajemen dan tata kelola yang
terpisah namun terkait dalam perusahaan yang berorientasi pada TI. Kerangka kerja COBIT
membuat perbedaan yang jelas antara tata kelola dan manajemen. Dua disiplin ilmu ini meliputi
berbagai jenis kegiatan, memerlukan struktur organisasi yang berbeda, dan melayani tujuan yang
berbeda. Perbedaan ini adalah kunci dari pandangan COBIT tentang tata kelola danmanajemen.
Tata kelola berasal dari kata kerja Yunani yang berarti “mengarahkan.” Sistem tata kelola
mengacu pada semua cara dan mekanisme yang memungkinkan banyak pemangku kepentingan
dalam suatu perusahaan yang terorganisir dalam mengevaluasi kondisi dan opsi; pengaturan arah;
dan memantau kepatuhan, kinerja, dan kemajuan terhadap rencana, untuk memenuhi tujuan
perusahaan tertentu. Cara dan mekanisme di sini termasuk kerangka kerja, prinsip, kebijakan,
sponsorship, struktur, dan mekanisme keputusan, serta peran dan tanggung jawab, proses, dan
praktik untuk menetapkan arah dan memantau kepatuhan dan kinerja yang selaras dengan tujuan

15
keseluruhan. Di sebagian besar perusahaan, tata kelola adalah tanggung jawab dewan direksi di
bawah kepemimpinan CEO dan ketua.
Sering dibedakan dari tata kelola, manajemen memerlukan penggunaan sumber daya,
orang, proses, praktik secara bijaksana untuk mencapai tujuan yang diidentifikasi. Manajemen
bertanggung jawab atas pelaksanaan sesuai arahan yang ditetapkan oleh badan atau unit pemandu.
Manajemen adalah tentang perencanaan, pembangunan, pengorganisasian, dan pengendalian
kegiatan operasional agar sejalan dengan arahan yang ditetapkan oleh badan tata kelola. Dari
definisi tata kelola dan manajemen, jelas bahwa mereka terdiri dari berbagai jenis kegiatan,
dengan tanggung jawab yang berbeda; namun, mengingat peran tata kelola untuk mengevaluasi,
mengarahkan, dan memantau diperlukan serangkaian interaksi antara tata kelola dan manajemen
untuk menghasilkan sistem tata kelola yang efisien dan efektif.
Interaksi ini, menggunakan struktur enabler, ditunjukkan pada tingkat tinggi COBIT
menekankan bahwa tata kelola dan manajemen adalah jenis kegiatan yang berbeda, dengan
tanggung jawab yang berbeda. Namun, mengingat peran tata kelola untuk mengevaluasi,
mengarahkan, dan memantau diperlukan serangkaian interaksi antara tata kelola dan manajemen
untuk menghasilkan sistem tata kelola yang efisien dan efektif. Interaksi ini, menggunakan
struktur enabler, kemudian dikaitkan dengan proses peninjauan kontrol internal tertentu dari
kerangka kerja COBIT.
Kerangka kerja COBIT terdiri dari beberapa guidelines (arahan), yakni :
a. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang tercermin
dalam 4 domain, yaitu planning and organization, acquisition and implementation, delivery
and support, dan monitoring.
b. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management assurance atau saran perbaikan.
c. Management Guidelines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti dilakukan,
seperti : apa saja indicator untuk suatu kinerja yang bagus, apa saja resiko yang timbul, dan
lain-lain.
d. Maturity Models

16
 Untuk memetakan status maturitas proses-proses TI (dalam skala 0 – 5).

2.1.1 Sumber Daya IT

Melihat lebih dekat pada kubus CobiT, sisi atau dimensi Sumber Daya TI kerangka kerja
tiga dimensi ini mewakili semua TI organisasi sumber daya atau aset, termasuk orang-orangnya,
sistem aplikasi, diinstal teknologi, fasilitasnya, dan nilai data. Sisi kanan ini framework cube
mewakili keprihatinan dan pertimbangan yang diperlukan untuk semua dari sumber daya yang
diperlukan untuk kontrol dan administrasi sumber daya TI dalam suatu organisasi. Sumber daya
ini, baik secara individu maupun kelompok, harus dipertimbangkan ketika mengevaluasi kontrol
dalam lingkungan TI. CobiT sumber diidentifikasi sebagai berikut:
! Aplikasi yang terdiri dari sistem pengguna otomatis dan prosedur manual untuk memproses
informasi.
! Informasi, termasuk input data, output, dan proses digunakan oleh proses bisnis.
! Komponen infrastruktur yang terdiri dari komponen teknologi dan fasilitas, termasuk
perangkat keras, sistem operasi, database, jaringan, dan lingkungan yang menampung dan
mendukung mereka.
! Personel kunci dan khusus untuk merencanakan, mengatur, memperoleh,
mengimplementasikan, mendukung, memantau, dan mengevaluasi sistem dan layanan
informasi telah memulai deskripsi CobiT dari sisi kanan kubus CobiT tiga dimensi, tetapi
pengguna kerangka CobiT harus selalu mempertimbangan kontrol dalam hal bagaimana
mereka berhubungan dengan komponen kubus CobiT yang lain. Ada interkoneksi dan
hubungan untuk semua proses dan kontrol dalam perspektif tiga dimensi ini.

2.1.2 Proses IT
Dimensi kerangka CobiT kedua dan yang menghadap ke depan proses TI dan terdiri dari
tiga segmen: domain, proses, dan kegiatan. Domain adalah pengelompokan proses TI yang cocok
dengan organisasi dalam bidang tanggung jawab nasional. Ada empat area domain spesifik yang
didefinisikan dalam CobiT:
1. Perencanaan dan pengorganisasian. Area domain ini mencakup strategi dan taktik yang
memungkinkan TI untuk berkontribusi dan mendukung bisnis mencapai tujuan perusahaan.

17
 Jenis pesan visi strategis TI harus dikomunikasikan ke seluruh perusahaan — misi TI dan apa
yang ingin dicapai untuk semua pihak.
2. Akuisisi dan implementasi. Solusi TI perlu diidentifikasi, dikembangkan, atau diakuisisi, dan
keduanya diimplementasikan dan diintegrasikan dengan proses bisnis. Area domain ini
mencakup perubahan dan pemeliharaan dari sistem yang ada.
3. Pengiriman dan dukungan. Area domain ini mencakup pengiriman actual layanan yang
dibutuhkan, baik alat aplikasi maupun infrastruktur. Sebenarnya proses data aplikasi dan
kontrol tercakup dalam domain ini.
4. Pemantauan dan evaluasi. Area ini termasuk proses kontrol, termasuk pemantauan kualitas
dan kepatuhan, serta eksternal dan prosedur evaluasi audit internal.
Dalam organisasi TI, proses untuk mengidentifikasi dan membangun aplikasi yang baru
disebut prosedur System Development Life Cycle (SDLC), dapat dilihat sebagai bagian dari
domain implementasi CobiT dan dengan jaminan kualitas bagian dari domain pemantauan.
Deskripsi CobiT menggambarkan masing-masing bidang domain ini secara lebih rinci. Untuk
domain perencanaan dan organisasi, itu menyarankan proses spesifik berikut:
! Tetapkan rencana TI strategis.
! Tetapkan arsitektur informasi.
! Menentukan arah teknologi.
! Tetapkan organisasi dan hubungan IT.
! Kelola investasi TI.
! Komunikasikan tujuan dan arahan manajemen.
! Mengelola sumber daya manusia.
! Pastikan kepatuhan dengan persyaratan eksternal.
! Menilai risiko.
! Mengelola proyek.
! Kelola kualitas.
Proses individu adalah tingkat berikutnya ke bawah. Akhirnya, kegiatan adalah tindakan
diperlukan untuk mencapai hasil yang terukur. Aktivitas memiliki siklus hidup, sedangkan
tugasnya tersendiri. Untuk siklus hidup, kita bisa memikirkan proses SDLC di mana
menggunakan CobiT untuk menilai kontrol internal. Aplikasi baru dirancang, diimplementasikan,

18
dioperasikan dari waktu ke waktu, dan kemudian direvisi atau diganti dengan proses yang
ditingkatkan.

2.1.3 Persyaratan Bisnis

Dimensi ketiga untuk model atau kubus CobiT digambarkan sebagai persyaratan bisnis,
dan memiliki tujuh komponen:
1. Efektivitas
2. Efisiensi
3. Kerahasiaan
4. Integritas
5. Ketersediaan
6. Kepatuhan
7. Keandalan
Semua sistem atau proses TI secara keseluruhan harus dievaluasi dengan
mempertimbangkan ke tujuh bidang kriteria ini. Penekanan akan bervariasi tergantung pada jenis
proses, tetapi semua proses TI harus memiliki kriteria ini. Fungsi bisnis biasanya akan
menetapkan persyaratan umum kebutuhan bisnis dan TI.
Mirip dengan model kontrol internal COSO cube dan model atau kerangka kerja risiko
perusahaan COSO, CobiT kubus menyajikan cara yang efektif untuk memahami hubungan antara
persyaratan bisnis, proses TI, dan sumber daya TI. Tiga dimensi sifat model menekankan
hubungan silang dan saling tergantung antara proses bisnis dan TI. Di dunia kita yang bergantung
pada IT, ini adalah cara yang berguna untuk melihat dan memahami kontrol internal. CobiT
adalah serangkaian proses untuk fokus pada bisnis dan tujuan TI, kontrol utama, dan identifikasi
metrik pengukuran utama.

2.2 Menggunakan COBIT untuk Menilai Kontrol Internal

Sebagai tambahan pada CobiT kubus di Exhibit 5.4, dengan bagian depan yang
ditampilkan diagram alir proses untuk menekankan hubungan, CobiT dapat digunakan bagi
banyak bisnis dan bahkan TI profesional. Bahan referensi dasar CobiT diterbitkan manual 200
halaman terutama dengan berbagai bagan dan tabel. Ini adalah serangkaian materi yang
bermanfaat, tetapi beberapa studi perlu untuk memahami sepenuhnya konsep di balik kerangka

19
kerja CobiT, meskipun ITGI baru-baru ini menerbitkan dokumen ringkasan eksekutif berbasis
web yang menggambarkan versi terbaru mereka 4.1.4 Bagian-bagian berikut dirancang untuk
membantu menavigasi melalui kerangka kerja CobiT yang diterbitkan, dan yang lebih penting
menggunakannya untuk mengembangkan dan menilai kontrol internal perusahaan.
Meskipun setiap dimensi dari cube CobiT dapat digunakan untuk memahami lingkungan
kontrol, empat domain yang dibahas sebelumnya, dimulai dengan perencanaan dan organisasi,
adalah langkah pertama yang efektif. Berdasarkan tiga dimensi cube kontrol CobiT ini, setiap
proses TI dievaluasi melalui lima langkah navigasi sebagai berikut:
I. Kontrol [Nama Proses]
II. Yang memenuhi [daftar persyaratan bisnis]
III. Dengan berfokus pada [daftar tujuan TI penting]
IV. Dicapai dengan [daftar pernyataan kontrol]
V. Dan diukur dengan [daftar metrik kunci]

Exhibit 5.4 CobiT Cube

Proses lima langkah ini dapat dimulai dari angka I ke bawah atau dapat mulai dari tingkat
dasar. Dalam kedua kasus tersebut, kerangka kerja CobiT mengatakan kontrol dari setiap proses
harus dipenuhi oleh daftar persyaratan bisnis pendukung dan tujuan bisnis tersebut harus fokus
pada tujuan TI yang penting. Proses yang ditunjuk hanya akan menjadi nama yang tidak
digunakan kecuali didukung oleh bisnis spesifik dan persyaratan TI untuk mendorong dan

20
mengatur proses itu. Masing-masing persyaratan tersebut harus ditentukan oleh satu atau lebih
pernyataan kontrol dengan praktik kontrol khusus. Akhirnya, kami tidak dapat menilai apakah
masalah beroperasi secara efektif dan metrik pengukuran utama diperlukan. Meskipun penekanan
CobiT secara historis adalah pada IT, jenis analisis ini harus digunakan untuk pengendalian
internal, baik terkait IT maupun tidak.
Setiap tujuan kontrol utama dalam materi panduan CobiT yang diterbitkan didasarkan
pada kerangka navigasi. Pojok kiri atas pameran menunjukkan persyaratan bisnis. Untuk setiap
kontrol, ini dapat ditandai dengan P untuk persyaratan primer, S untuk sekunder, atau kosong jika
tidak berlaku untuk tujuan kontrol. Pojok kanan bawah mencantumkan area sumber daya TI. Jika
ada yang berlaku, mereka dicatat dengan tanda centang. Bagian diarsir atau ditandai jika mereka
adalah kepentingan utama atau sekunder.
Pusat setiap halaman memiliki ‘‘Kontrol atas proses TI dari serangkaian pernyataan yang
diselesaikan untuk setiap sasaran kontrol. Kami akan menunjukkan contoh pernyataan lengkap
saat kami meninjau domain CobiT di bagian berikut. Bagian berikut melihat navigasi CobiT di
berbagai domain yang dipilih untuk memberi manfaat bagi organisasinya. Fungsi audit internal
perusahaan, dan khususnya spesialis audit TI, seharusnya menggunakan dan memahami CobiT.
Organisasi profesional ITGI, di http://itgi.org/, juga memiliki beragam penawaran tentang
penggunaan CobiT.
COBIT membagi langkah-langkah yang diperlukan untuk mengevaluasi kontrol dan
proses TI menjadi apa yang COBIT sebut sebagai lima area domain:
1. Mengevaluasi, Mengarahkan, dan Memantau (EDM).
2. Menyelaraskan, Merencanakan, dan Mengatur (APO).
3. Membangun, Memperoleh, dan Melaksanakan (BAI).
4. Memberikan, Layanan, dan Dukungan (DSS).
5. Memantau, Mengevaluasi, dan Menilai (MEA).
Lima inisial area pengidentifikasian domain ini, seperti MEA untuk domain kelima, akan
digunakan sebagai bagian dari deskripsi elemen COBIT kami selama pengantar singkat kami
untuk COBIT di bagian selanjutnya dalam bab ini. Area domain ini selanjutnya dirangkum
menjadi peta proses keseluruhan untuk manajemen TI perusahaan, dan kami menekankan di sini
bahwa COBIT adalah alat untuk mengendalikan dan mengevaluasi semua kontrol internal
perusahaan, meskipun fokusnya terutama berorientasi pada TI.

21
 Untuk setiap area domain proses ini, COBIT mendefinisikan apa yang disebutnya praktik
manajemen kunci spesifik. Misalnya, area domain Deliver, Service, and Support (DSS),
ditunjukkan pada item baris yang lebih rendah, menunjukkan enam area proses untuk domain itu,
dari DSS 01, Kelola Operasi, melalui DSS 06, Man-age Process Kontrol. Dokumentasi COBIT
kemudian latihan dengan deskripsi Proses Pengaktifan terperinci untuk masing-masing. Sebagai
contoh, COBIT memanggil Proses yang Diaktifkan DSS 04 Mengelola Kontinuitas, kemudian
berlatih hingga DSS 04.01, Menentukan Kebijakan Kontinuitas Bisnis.
Serangkaian kategori proses tujuan kontrol yang serupa telah ditetapkan untuk setiap kategori
proses COBIT. Tujuan dari proses kontrol yang terperinci tetapi cukup spesifik adalah untuk
membantu membuat kasus bisnis untuk implementasi dan peningkatan tata kelola dan manajemen
TI. Tujuan mereka adalah untuk mengenali titik nyeri yang khas dan memicu kejadian, dengan
tujuan keseluruhan menciptakan lingkungan yang tepat untuk operasi dan implementasi TI.
COBIT menetapkan satu set 17 tujuan terkait TI yang dapat dipetakan ke masing-masing
proses ini, dengan sasaran dibagi menjadi beberapa kategori yang dilabeli Korporat, Pelanggan,
Internal, dan satu yang disebut Pembelajaran dan Pertumbuhan. Sasaran terkait COBIT IT ini
kemudian dipetakan ke faktor-faktor untuk dua proses COBIT, EDM (Evaluate, Direct, and
Monitor) dan DSS (Deliver, Service, and Support). Pemetaan tentang bagaimana setiap tujuan
terkait IT didukung oleh proses terkait COBIT dan diungkapkan menggunakan skala di mana:
• P berarti koneksi utama antara tujuan terkait TI dan proses terkait COBIT, ketika ada
hubungan penting di mana proses COBIT yang ditunjuk adalah dukungan utama untuk
pencapaian tujuan terkait TI.
• S adalah singkatan dari sekunder, ketika ada hubungan yang kurang penting dan proses
COBIT adalah dukungan sekunder untuk tujuan yang berhubungan dengan IT.
• Ruang kosong di pameran mengatakan tidak ada hubungan yang kuat di sini.
Misalnya, proses COBIT DSS 07 untuk Mengelola Keamanan memiliki hubungan yang
kuat atau primer dengan tujuan terkait TI yang ditetapkan sebagai kepatuhan dan dukungan untuk
hukum dan peraturan yang terkait dengan bisnis. Proses DSS 07 yang sama juga memiliki
hubungan sekunder dengan beberapa tujuan TI lainnya, seperti nomor 7, pengiriman layanan TI
sesuai dengan persyaratan bisnis (Gambar 6.8).
Kerangka kerja COBIT mungkin tampak terlalu terlalu rinci untuk auditor internal dan
sering tampak terlalu rumit dengan berbagai tujuan dan sasaran. Nilai opsional hanya dapat

22
direalisasikan dari peningkatan COBIT jika secara efektif diadopsi dan disesuaikan dengan
lingkungan unik masing-masing perusahaan. Setiap pendekatan implementasi juga perlu
mengatasi tantangan spesifik, termasuk mengelola perubahan budaya dan perilaku.
Pedoman COBIT menekankan bahwa tata kelola dan manajemen adalah berbagai jenis
kegiatan, masing-masing dengan tanggung jawab yang berbeda. Namun, mengingat peran
pengarah tata kelola untuk mengevaluasi, mengarahkan, dan memantau serangkaian interaksi
diperlukan antara tata kelola dan manajemen untuk menciptakan sistem tata kelola yang efisien
dan efektif. Interaksi ini, menggunakan struktur enabler, kemudian diikat ke proses review
kontrol internal tertentu, kekuatan nyata dari kerangka kerja COBIT.

2.2.1 Perencanaan dan Organisasi

Harus ada kelompok proses tingkat tinggi yang menetapkan arah untuk perusahaan dan
sumber daya TI-nya. Pada tahap perencanaan dan organisasi dibagi atas 10 bagian yang
mendukung terwujudnya perencanaan dan organisasi yang baik. Bagian-bagian tersebut yaitu:
a. PO1 Define a strategic IT Plan (mendefinisikan rencana TI strategis)
Rencana ini bersifat jangka pendek dan jangka panjang. Dalam mendefinisikan rencana
tersebut perlu menganalisa dengan berpedoman pada kekuatan, kelemahan, peluang, dan
ancaman. Selain itu, rencana strategis TI harus mengacu pada visi, misi, dan tujuan dari
perusahaan dengan adanya penggunaan TI. Rencana strategis TI harus didukung dengan
rancangan, struktur, dan menciptakan kebijakan, teknologi, dan hubungan yang dinamis.
b. PO2 Define the Information Architecture (mendefinisikan arsitektur teknologi informasi)
Definisikan struktur jaringan dan cara pendistribusiannya. Masing-masing sistem dan
distribusi yang digunakan mempunyai keunggulan dan kelemahan tersendiri, baik berkenaan
dengan pemeliharaan dan pengiriman data, resiko serta biaya yang dikeluarkan.
c. PO3 Determine technological direction (menentukan arah teknologi)
Fungsi layanan informasi menentukan arah teknologi untuk mendukung bisnis sehingga
dibutuhkan penyusunan rencana infrastruktur teknologi dan arsitektur yang menentukan dan
mengelola ekspektasi yang jelas dan realistis yang ditawarkan teknologi dalam hal produk,
layanan dan mekanisme pengiriman. Rencana tersebut diperbaharui secara teratur dan
mencakup aspek-aspek seperti arsitektur sistem, arah teknologi, rencana akuisisi, standar,
strategi migrasi dan kontingensi. Hal ini memungkinkan respon yang tepat waktu terhadap

23
 perubahan dalam lingkungan yang kompetitif, skala ekonomi untuk sistem informasi
kepegawaian dan investasi, serta sebagai peningkatan interoperabilitas platform dan aplikasi.
d. PO4 Define the IT Procceses, organisation and relationships (mendefinisikan organisasi TI
dan hubungannya)
Organisasi TI umumnya dibagi atas input, pemrosesan, dan output berhubungan dengan
aktifitas yang ada di organisasi, baik dalam tingkat organisasi, fungsi, kelompok, dan individu.
Organisasi TI berhubungan dengan aktifitas-aktifitas yang dilakukan di organisasi, baik data
transaksi siklus pendapatan, siklus pengeluaran, siklus manajemen sumber daya manusia, dan
siklus konversi. Data transaksi dan data non transaksi tersebut digunakan sebagai bahan untuk
membuat keputusan oleh pihak internal dan eksternal.
e. PO5 Manage the IT Investment (mengelola investasi TI)
Tujuan pengelolaan investasi untuk keberlangsungan bisnis, memperbaiki efisiensi dan
efektifitas, keunggulan kompetitif, dan meningkatkan infrastruktur. Dalam mengelola
investasi TI diperlukan strategi yang meliputi teori option real dan teori ketergantungan
sumber daya.
f. PO6 Communicate management aims and direction (mengkomunikasikan tujuan dan arah
manajemen)
Perencanaan dan organisasi informasi agar tujuan dan arah komunikasi manajemen cepat,
tepat dan memiliki komunikasi baik yang bersifat upward, donward, horisontal maupun
vertikal. Dengan adanya kecepatan dan ketepatan arah dan tujuan informasi tersebut akan
dihasilkan keputusan yang efektif.
g. PO7 Manage the IT human resources (mengelola SDM)
Dalam organisasi yang paling sulit adalah mengelola SDM karena mengelola SDM mencakup
sifat, sikap, dan perilaku manusia yang ada di organisasi. Dengan adanya penggunaan TI akan
merubah sifat, sikap, dan perilaku SDM yang ada di organisasi, selain adanya penentangan
terhadap penggunaan TI di dalam organisasi. Ini dikarenakan teknologi akan merubah strategi
yang berdampak pada struktur dan budaya organisasi serta mengakibatkan perubahan pada
sifat, sikap, dan perilaku individu yang ada di organisasi.
h. PO8 Manage Quality (mengelola kualitas)

24
 Kualitas yang dihasilkan harus sesuai dengan kebutuhan pihak internal dan eksternal
perusahaan. Dalam mengelola kualitas yang perlu diperhatikan selain kevaliditasan dan
keabsahan informasi juga kecepatan dan ketepatan informasi tersebut.
i. PO9 Assess and manage IT Risk (Menilai dan Mengelola Risiko TI)
Mengkaji resiko yang berkaitan dengan TI meliputi sistem, pengembangan sistem dan
keamanan sistem juga resiko yang berkaitan dengan resiko pengamanan tempat dari
kerusakan yang disebabkan oleh manusia yang disengaja atau tidak disengaja maupun oleh
faktor alam. Penggunaan TI seharusnya juga memfokuskan pada faktor-faktor yang dapat
mengindikasikan perubahan pada tiga tipe resiko, yaitu resiko melekat, resiko pengendalian,
dan resiko struktur pengendalian.
j. PO10 Manage Projects (mengelola proyek)
Dalam mengelola proyek harus disesuaikan apakah perencanaan dan organisasi yang
dijadwalkan sesuai dengan pelaksanaan yang dikerjakan.
Ini semua adalah konsep tingkat tinggi sehingga banyak manajer berdebat, mereka
memiliki rencana strategis, telah mendefinisikan arsitektur informasi mereka, atau memenuhi
semua tujuan PO tingkat tinggi ini. Namun, CobiT melakukan latihan ke masing-masing area
tujuan kontrol ini dengan lebih rinci. Menggunakan PO1 pada mendefinisikan rencana strategis
sebagai contoh, ada enam tujuan yang lebih rinci:
PO1.1: Manajemen Nilai TI
PO1.2: Penyelarasan Bisnis-TI
PO1.3: Penilaian Kinerja Saat Ini
PO1.4: Rencana Strategis TI
PO1.5: Rencana Taktis IT PO1.6:
Manajemen Portofolio TI
Penomoran di sini penting karena materi pedoman CobiT merujuk masing-masing tujuan
ini dan dalam hal referensi untuk input dan output mereka. Materi panduan memberikan deskripsi
tingkat tinggi untuk masing-masing tujuan. Untuk PO1.4 tentang rencana strategis, materi
panduan menyatakan:
“Untuk perusahaan yang strategis, inco-operasi dengan pemangku kepentingan yang relevan,
bagaimana TI akan berkontribusi pada tujuan strategis perusahaan (sasaran) dan terkait biaya dan
risiko. Hal ini akan menunjukkan bahwa saya akan mendukung program investasi dan

25
penyampaian layanan operasional yang dimungkinkan oleh TI. Ini mendefinisikan bagaimana
tujuan akan dipenuhi dan langkah-langkah dan menerima sign-off formal dari para pemangku
kepentingan. Rencana strategis TI harus mencakup investasi/anggaran operasional, sumber
pendanaan, strategi sumber, strategi akuisisi, dan persyaratan hukum dan peraturan. Rencana
strategis harus cukup rinci untuk memungkinkan definisi rencana TI taktis”.
Paragraf ini adalah contoh dari salah satu tujuan kontrol yang diuraikan di seluruh
pedoman CobiT. Itu tidak memberi tahu profesional bagaimana caranya menulis rencana strategis
TI tetapi memberikan panduan yang sangat baik untuk membangun rencana seperti itu, terlepas
dari ukuran atau status perusahaan. Peran CobiT membantu auditor internal, tujuan audit tersebut
dapat dikembangkan dengan tujuan kontrol dan mengembangkan area tinjauan audit tersebut.
Untuk setiap tujuan CobiT, materi panduan berisi grafik RACI yang mendukung. Alat
yang berkembang dari inisiatif kualitas pada tahun 1960-an, bagan atau model RACI adalah alat
yang baik untuk mengidentifikasi peran dan tanggung jawab. Dengan menggunakan format
spreadsheet, kegiatan diidentifikasi dalam kolom samping dan dengan fungsi atau deskripsi posisi
dalam sel di bagian atas. Responsible, Accountable, Consulted and/or Informed (RACI) Chart
adalah matriks yang menggambarkan peran berbagai pihak dalam penyelesaian suatu pekerjaan
dalam suatu proyek atau proses bisnis. Matriks ini sangat bermanfaat dalam menjelaskan peran
dan tanggung jawab antar bagian didalam suatu proyek atau proses. Berikut ini penjelasan dari
RACI Chart antara lain :
R = Responsible (Pelaksana) = Orang yang melakukan pekerjaan untuk mencapai tugas.
A = Accountable (Penanggungjawab) = Orang yang bertanggungjawab.
C = Consulted (Penasehat) = Orang yang dimintai pendapat tentang suatu pekerjaan.
I = Informed (Terinformasi) = Orang yang selalu mendapatkan informasi tentang kemajuan
pekerjaan.
Format bagan ini dapat berguna di banyak bidang untuk membantu mengidentifikasi
tanggung jawab di luar area. RACI chart diadaptasi dari CobiT, pada tujuan PO1 untuk
menentukan rencana TI strategis. Turun kolom tanggung jawab dalam contoh ini, Pemilik proses
bisnis bertanggung jawab untuk menganalisis program portofolio, diinformasikan pada proses
untuk membangun rencana strategis, dan bertindak sebagai konsultan pada kegiatan lain untuk
tujuan kontrol ini. Jenis grafik RACI ini muncul dalam panduan yang diterbitkan untuk masing-
masing tujuan kontrol CobiT.

26
 Materi CobiT juga diakhiri dengan analisis ringkasan tujuan kontrol tersebut. Ini adalah
serangkaian pertimbangan berbasis metrik yang menguraikan tujuan kegiatan untuk tujuan
kontrol tertentu yang diukur dengan seperangkat indikator kinerja utama (KPI), yang mendorong
tujuan proses diukur dengan indikator tujuan utama terkait. Yang terakhir mendorong tujuan TI
yang diukur dengan indikator tujuan utama TI. Proses dan serangkaian dokumentasi CobiT
pendukung ini akan dijelaskan saat kami meninjau tujuan kontrol CobiT lainnya.
Untuk tujuan kontrol utama PO, materi panduan membahas masing-masing tujuan kontrol
di sini dengan cara yang sama dan mengikuti pendekatan yang sama. Untuk setiap tujuan, CobiT
menguraikan atau menyarankan pendekatan review kontrol tingkat tinggi. Sebagai contoh, PO3.5
objektif pada arsitektur TI memerlukan fungsi tersebut. Panduan yang penting, tetapi banyak
sumber daya TI yang lebih kecil tidak memiliki sumber daya untuk membangun fungsi formal.
Pedoman yang baik, tetapi manajer yang menggunakan CobiT dan auditor yang mengevaluasi
kepatuhan harus selalu ingat bahwa ini adalah serangkaian materi panduan praktik terbaik tetapi
bukan standar atau persyaratan wajib.

2.2.2 Akuisisi dan Implementasi

Setiap tujuan kontrol level tinggi CobiT membahas prosedur kontrol dalam format umum
yang sama. Apakah itu merupakan upaya pengembangan perangkat lunak in-house atau
komponen TI yang dibeli. Pada tahap akuisisi dan implementasi dibagi atas tujuh bagian agar
akuisisi dan implementasi penggunaan TI sesuai dengan kebutuhan organisasi. Bagian-bagian
tersebut yaitu :
a. AI1 Identify automated solutions (identifikasi solusi otomatis)
Identifikasi ini akan memudahkan menemukan penyebab mengapa penggunaan TI mengalami
gangguan atau tidak berjalan dengan semestinya. Selain itu, identifikasi ini akan
mempermudah dalam memperbaiki bagian-bagian yang mengalami gangguan dengan cepat
dan tepat.
b. AI2 Acquire and maintain aplication software (memperoleh dan memelihara software
aplikasi)
Dalam memperoleh software aplikasi dapat melalui pembuatan sendiri, membeli di pasaran
atau memesan software tersebut ke pihak di luar perusahaan. Sedangkan dalam pemeliharaan
software tersebut, selain dengan melakukan cadangan dan penggandaan pada software

27
 tersebut dapat juga dilakukan pembaruan, baik dengan pengembangan sendiri atau melalui
pihak pembuat software tersebut.
c. AI3 Acquire and maintain technology infratructure (memperoleh dan memelihara
infrastruktur teknologi)
Dalam mencari infrastruktur teknologi perlu diperhatikan harga, keandalan, kesesuaian, dan
keawetan serta mudah dalam memelihara infrastruktur tersebut.
d. AI4 Enable operation and use (Memungkinkan operasi dan penggunaan)
Penyediaan pengetahuan tentang sistem baru memerlukan produksi dokumentasi dan manual
bagi pengguna dan TI dan menyediakan pelatihan untuk memastikan penggunaan yang tepat
serta pengoperasian aplikasi dan infrastruktur.
e. AI5 Procure IT resources (Mendapatkan sumber daya TI)
Sumber daya, termasuk orang-orang, hardware, software dan jasa TI perlu dibeli. Hal ini
memerlukan definisi dan penegakan prosedur pengadaan, pemilihan vendor, pengaturan
kontrak, dan akuisisi itu sendiri untuk memastikan bahwa organisasi memiliki semua sumber
daya yang diperlukan secara tepat waktu dan hemat biaya.
f. AI6 Manage Changes (mengelola perubahan)
Akuisisi dan implementasi yang dijalankan tidak selamanya sesuai dengan kebutuhan
perusahaan yang selalu dinamis, kompleks, dan selalu berkembang. Untuk itu perlu
melakukan pengelolaan perubahan, baik pada solusi penanganan masalah, pencarian dan
pemelihara software aplikasi dan infrastruktur prosedur serta pengakreditasian sistem.
g. AI7 Install and accredit sulotions and changes (menginstal dan mengakreditasi sistem dan
perubahannya)
Dalam melakukan penginstalan terhadap sistem yang baru harus dilihat dan dibaca petunjuk
untuk melakukan hal tersebut. Kehati-hatian dan ketelitian juga perlu diperhatikan dalam
penginstalan, upayakan membaca semua perintah yang ada jangan hanya menekan tombol ya
atau lanjut pada setiap perintah yang muncul. Sistem yang diterapkan apakah sistem yang
terintegrasi seperti Entrerprise Resource Planning (ERP) ataukah sistem yang memerlukan
pengembangan bagian perbagian sesuai dengan kebutuhan organisasi. Untuk
pengakreditasian sistem, biasanya dilakukan oleh pihak yang mengeluarkan sistem tersebut.
Untuk itu, perlu dipertimbangkan apakah dalam pembelian dan penggunaan sistem hanya
memerlukan satu kali pengakreditasian atau dalam jangka waktu berkala.

28
 Masing-masing tujuan terperinci dalam domain ini mencakup prosedur kontrol atas
implementasi alat baru. Sementara penekanannya pada perangkat lunak, konsep kontrol internal
dapat diterapkan pada akuisisi dan implementasi banyak perangkat perusahaan baru.
Meskipun tidak memungkinkan cakupan lengkap dari setiap tujuan kontrol, kami akan
memeriksa AI6 tentang mengelola perubahan sebagai contoh bagaimana CobiT menggunakan
kerangka dasarnya untuk menguraikan pentingnya area kontrol ini. Misalnya, sebelumnya telah
menguraikan lima langkah proses CobiT untuk mengevaluasi tujuan kontrol. AI6 tentang
mengelola perubahan dijelaskan sebagai berikut:
I. Kontrol atas proses TI mengelola perubahan.
II. Itu memenuhi kebutuhan bisnis untuk TI dalam menanggapi kebutuhan bisnis sejalan dengan
strategi bisnis, sambil mengurangi solusi dan cacat pengiriman dan pengerjaan ulang.
III. Dengan berfokus pada pengontrolan penilaian dampak, otorisasi, dan implementasi semua
perubahan pada infrastruktur TI, aplikasi, dan solusi teknis, meminimalkan kesalahan karena
spesifikasi permintaan yang tidak lengkap dan menghentikan implementasi dari perubahan
yang tidak sah.
IV. Dicapai oleh:
• Menentukan dan mengomunikasikan prosedur, termasuk perubahan darurat.
• Menilai, memprioritaskan, dan mengesahkan perubahan.
• Melacak status dan melaporkan perubahan.
V. Dan diukur dengan:
• Jumlah gangguan atau kesalahan data yang disebabkan oleh spesifikasi yang tidak akurat
atau penilaian dampak yang tidak lengkap.
• Pengerjaan ulang aplikasi atau infrastruktur yang disebabkan oleh spesifikasi perubahan
yang tidak memadai.
• Persen perubahan yang mengikuti proses kontrol perubahan internal.
Serangkaian pernyataan ini, diambil dari pedoman CobiT, menjelaskan persyaratan
kontrol dan pengukuran untuk mencapai tujuan kontrol. Bahan pedoman CobiT memiliki
seperangkat pernyataan yang serupa untuk setiap tujuan kontrol. Ini berguna ketika mencoba
memahami karakteristik masing-masing kontrol dengan lebih baik.
Materi panduan yang sama melihat bagaimana masing-masing tujuan kontrol
berhubungan dengan dua sisi lain dari kubus CobiT. Untuk AI6 ini, Kelola Perubahan, tujuan

29
kontrol ini menunjukkan bahwa pada sumber daya IT, semuanya penting atau memiliki tanda
centang dalam memahami tujuan kontrol ini. Artinya, objek kontrol berdampak pada Aplikasi,
Informasi, Infrastruktur, dan Orang-orang. Beralih ke sisi kiri atas dimensi persyaratan bisnis
lembar navigasi, materi panduan menunjukkan apakah mereka penting, primer, sekunder, atau
tidak penting. Untuk AI6 ini contoh tujuan kontrol, efektivitas persyaratan bisnis, efisiensi,
integritas, dan ketersediaan. adalah primer, sedangkan keandalan adalah kepentingan sekunder.
Ada dua yang utama, kerahasiaan dan kepatuhan, tidak dianggap signifikan terhadap tujuan
kontrol ini.
Untuk setiap tujuan kontrol, yang menunjukkan bahwa untuk tujuan kontrol AI6 ini,
Penyampaian nilai, merupakan hal yang terpenting dengan manajemen sumber daya sekunder.
Profesional yang bekerja dengan salah satu tujuan pengendalian CobiT biasanya dapat
menyimpulkan mengapa bidang tata kelola TI tertentu telah ditetapkan sebagai signifikansi
primer atau sekunder.

2.2.3 Pengiriman dan Dukungan

Dengan mengikuti format umum yang sama, tujuan kontrol CobiT tingkat tinggi ketiga
disebut Deliver and Support (DS). Tujuan pengendalian ini sebagian besar mencakup masalah
manajemen layanan dan banyak dari tujuan ini terkait dengan tujuan proses bisnis ITIL. Ini
benar-benar menyoroti beberapa perubahan pada pemahaman tentang kontrol internal yang telah
berkembang sejak diberlakukannya SOx pada tahun 2002. Baik CobiT dan ITIL, tetapi SOx
Section 404 penekanan pada kontrol internal yang efektif telah menyatukan semuanya. Tujuan
kontrol CobiT DS juga mirip dengan kontrol internal ITIL untuk meningkatkan proses bisnis.
Keduanya mencakup bidang penting dikenal sebagai manajemen layanan TI, proses yang
diperlukan untuk memastikan operasi TI yang efisien dan untuk memberikan layanan ini.
Pada hari-hari sebelumnya, kekhawatiran tentang kontrol internal TI memfokuskan
melakukan kontrol aplikasi-per-aplikasi individual. Sementara kontrol umum tingkat yang lebih
tinggi seperti keamanan atau perencanaan pemulihan bencana, auditor dan lainnya memfokuskan
tinjauan mereka pada kontrol komputasi dan menyeimbangkan dalam aplikasi tertentu. Namun,
bagaimanapun dirancang dengan baik, semua aplikasi IT harus beroperasi dalam suasana pabrik
yang efisien dan hampir otomatis. Akan selalu ada masalah yang lebih kecil, seperti pengguna
sistem yang sah menjadi terkunci karena lupa kata sandi. Ada kebutuhan akan layanan yang

30
efisien dan proses manajemen masalah untuk melaporkan dan menyelesaikan masalah-masalah
tersebut. Pada tahap pengiriman dan dukungan terdiri atas 13 bagian, dimana ketiga belas bagian
tersebut membuat pengiriman dan dukungan sesuai dengan apa yang diinginkan. Sasaran kontrol
CobiT DS mencakup:
a. DS1 Define and manage service levels (menentukan dan mengelola tingkat layanan)
Untuk menentukan dan mengelola layanan perlu diperhatikan siapa yang melakukan,
ditujukan kepada siapa, dan bagaimana penentuan dan pengelolaan layanan serta berapa biaya
yang dikeluarkan.
b. DS2 Manage third-party services (mengelola layanan pihak ketiga)
Dalam hal ini, perlu dilihat sampai seberapa jauh dan seberapa banyak pengelolaan layanan
yang akan diberikan. Pengelolaan layanan pihak ketiga diusahakan dapat memuaskan sesuai
kebutuhannya sehingga pengelolaan layanan pihak ketiga tersebut dapat berlanjut secara terus
menerus.
c. DS3 Manage performance and capacity (mengelola performa dan kapasitas)
Performa TI dan yang berkaitan dengan TI selalu diupayakan yang terbaik dan kapasitas yang
berkenaan dengan penggunaan dan pengelolaan TI selalu ditingkatkan disesuaikan dengan
kebutuhan organisasi maupun pihak di luar organisasi.
d. DS4 Ensure Contuous System (menyakinkan keberlanjutan sistem)
Sistem yang akan digunakan dalam mendukung peningkatan kinerja organisasi diupayakan
keberlanjutannya. Untuk itu, dalam memilih dan menerapkan sistem perlu dilihat apakah
sistem tersebut kompabilitas dan dapat digunakan lebih lanjut.
e. DS5 Ensure system security (memastikan keamanan sistem)
Keamanan sistem merupakan salah satu titik yang krusial dikarenakan semua data dan
informasi yang ada tercakup dalam sistem tersebut. Keamanan sistem yang baik adalah
keamanan sistem yang terintegrasi.
f. DS6 Identify and allocate costs (identifikasi dan alokasi biaya)
Dalam pengiriman dan dukungan untuk menghasilkan informasi identifikasi TI dan yang
berkaitan dengan TI harus sesuai dengan kebutuhan organisasi. Alokasi biaya harus
diperhitungkan dengan cermat dan cerdas sehingga sesuai dengan alokasi yang timbul
berkenaan dengan penggunaan TI dan yang berkaitan dengan TI.
g. DS7 Educate and train users (mendidik dan melatih pengguna)

31
 Untuk mendidik dan melatih pengguna perlu diperhatikan jenjang pendidikan pengguna,
pelibatan pengguna dalam penggunaan maupun pengembangan sistem, kemampuan teknis
pengguna, ukuran organisasi, dukungan manajemen, formalisasi pengembangan sistem
informasi, program pendidikan dan pelatihan pengguna, serta komite pengarah. Dengan
memperhatikan hal tersebut, diharapkan akan adanya kepuasan penguna sistem informasi dan
pengguna sistem.
h. DS8 Manage service desk and incidents
Service desk diperlukan untuk merespon secara tepat waktu dan efektif untuk melayani
pertanyaan dan masalah pengguna TI yang dirancang dan pelaksanaan yang lebih baik serta
proses manajemen insiden termasuk menyiapkan fungsi service desk dengan pendaftaran,
analisa penyebab insiden dan resolusi. Manfaat bisnis meliputi peningkatan produktivitas
melalui resolusi yang cepat dari permintaan pengguna. Selain itu, bisnis dapat mengatasi
penyebab insiden melalui pelaporan yang efektif.
i. DS9 Manage the konfiguration (mengelola konfirugasi)
Dalam mengelola konfirugasi harus disesuaikan dengan kemampuan dan kebutuhan
pengguna internal dan kecepatan dalam menanggapi tuntutan pihak eksternal. Untuk itu
konfirugasi sistem dan jaringan perlu diperhatikan untuk memenuhi hal tersebut.
j. DS10 Manage problems (mengelola masalah)
Setiap timbul permasalahan harus cepat ditangani dan dikelola agar tidak menyebabkan
penurunan kinerja organisasi secara keseluruhan. Mengelola masalah berkaitan dengan TI
tidak begitu susah yang sulit adalah mengelola masalah dengan pengguna TI tersebut.
k. DS11 Manage data (mengelola data)
Langkah-langkah mengelola data adalah dengan melakukan penginputan pada sumber data,
pengumpulan data, pemeliharaan data, pengendalian data dan menghasilkan data kepada
pengguna. Dalam pemeliharaan data melibatkan langkah-langkah pengklasifikasian,
pemindahan atau penggandaan, penyortiran, penggelompokkan, penggabungan, penghitungan,
peringkasan, dan perbandingan.
l. DS12 Manage the phisycal enviroment (mengelola lingkungan fisik)
Perlindungan untuk peralatan komputer dan personil membutuhkan fasilitas fisik yang
dirancang dan dikelola dengan baik. Proses pengelolaan lingkungan fisik meliputi
pendefinisian persyaratan situs fisik, memilih fasilitas yang tepat dan merancang proses yang

32
 efektif untuk memantau faktor lingkungan dan mengelola akses fisik. Manajemen yang
efektif dari lingkungan fisik mengurangi gangguan bisnis dari kerusakan peralatan komputer
dan personil.
m. DS13 Manage operations (mengelola operasi)
Pada penggunaan TI, operasi yang berkaitan dengan sistem dan prosedur dikelola dengan
baik. Dengan adanya pengelolaan sistem dan prosedur yang baik, informasi yang dihasilkan
dari penggunaan TI akan handal dan valid selain meminimalisir dan meniadakan resiko
berkaitan dengan pengelolaan operasi tersebut.
Tujuan pengendalian ini mewakili bidang penting dari operasi IT yang belum mendapat
perhatian yang memadai oleh auditor internal atau anggota manajemen lainnya. Bahan CobiT
melihat ini dalam format umum yang sama untuk meringkas bagaimana setiap tujuan kontrol
dicapai dan diukur serta hubungan dan saling ketergantungan di ketiga sisi kubus CobiT.
Banyak dari area tujuan kontrol ini belum mendapatkan perhatian yang memadai dalam
banyak tinjauan kontrol internal sebelum SOx Section 404. Tujuan COSO membahas kontrol
internal pada tingkat tinggi tetapi tidak membahas masalah-masalah kontrol internal terkait
manajemen layanan yang lebih terperinci. Sasaran kontrol CobiT DS10 untuk manajemen
masalah adalah contoh:
“Efektif menangani masalah manajemen meminta identifikasi dan klasifikasi masalah, analisis
dan penyelesaian masalah. Proses pengelolaan masalah ini mencakup rekomendasi untuk
perbaikan, pemeliharaan, dan peninjauan status tindakan korektif. Proses manajemen masalah
yang efektif meningkatkan tingkat layanan, mengurangi biaya, dan meningkatkan kenyamanan
dan kepuasan pelanggan”.
Pengguna TI dan auditor internal telah mengalami masalah dan frustrasi selama bertahun-
tahun dengan berbagai sistem dan aplikasi. Fungsi-fungsi TI yang tidak sensitif sering tidak
melakukan pekerjaan yang sesuai untuk menyelesaikan masalah yang dilaporkan. Selain itu, jika
aplikasi benar-benar gagal, akan ada upaya yang kuat untuk mengembalikannya ke dalam operasi,
tetapi masalah yang lebih kecil dan kurang kritis akan diselesaikan dengan pertimbangan dalam
pembaruan berikutnya.
Materi panduan CobiT yang diterbitkan mengaitkan tujuan kontrol ini dengan orang lain
yang memberikan input dan juga output. Misalnya saja tujuannya AI6 tentang perubahan
otorisasi, DS8 untuk pelaporan insiden, DS9 untuk manajemen konfigurasi TI, dan DS13 pada

33
log kesalahan semua memberikan input ke tujuan kontrol DS10. Tujuan kami bukan untuk
mereproduksi konten lengkap dari tujuan kontrol CobiT yang diterbitkan tetapi untuk memberi
pembaca rasa untuk pendekatannya. Di sini dan untuk semua domain dan tujuan, CobiT
menyediakan cara yang kuat untuk melihat kontrol internal terkait TI dan hubungannya.
Kami telah membahas bagaimana setiap kontrol CobiT memiliki serangkaian tujuan
kontrol terperinci, memiliki input dan output tujuan kontrol lainnya, dan memiliki grafik fungsi
penyeimbang RACI dan tanggung jawab untuk setiap kontrol. Selain itu, materi kerangka kerja
CobiT memiliki bagian Sasaran dan Metrik untuk setiap sasaran kontrol. Sasaran dan diagram
metrik ini untuk tujuan kontrol manajemen masalah DS10. Setiap tujuan kontrol CobiT memiliki
serangkaian analisis yang sangat berguna. Contoh manajemen masalah, ada tiga tujuan atau
metrik pengukuran yang disarankan yang harus dipertimbangkan. Salah satunya adalah
melakukan analisis sebab-akibat masalah yang dilaporkan. Sasaran penting yang terkadang
terlewatkan, bagan RACI terkait menyoroti bahwa manajer masalah bertanggung jawab atas
kegiatan ini melalui konsultasi dengan orang lain.
Di bawah setiap tujuan kegiatan adalah tabel indikator kinerja utama yang menggerakkan
serangkaian tujuan proses. Dengan konten spesifik yang berbeda untuk setiap kontrol CobiT,
jenis analisis ini menyediakan semua pihak dengan pengaturan yang baik untuk mengukur kinerja
area kontrol dan menetapkan metrik untuk menilai pencapaian tujuan-tujuan ini. Analisis ini
untuk tujuan kontrol yang dipilih dari manajemen masalah adalah contoh dari materi CobiT.
Banyak operasi TI memiliki beberapa jenis fungsi help-desk untuk melaporkan dan
menyelesaikan masalah. Di sini, kami memiliki beberapa saran untuk jenis tindakan dan metrik
yang dapat digunakan untuk mengevaluasi pencapaian tujuan kontrol ini.
Tabel tujuan dan sasaran yang serupa serta tujuan kontrol terperinci ada untuk setiap
tujuan kontrol. Ini adalah standar atau persyaratan yang mirip dengan standar audit SOx di bawah
AS5, atau standar praktik profesional audit internal. Namun, CobiT menyediakan bahan panduan
yang sangat baik untuk membangun dan kemudian mengukur kontrol internal yang efektif.

2.2.4 Monitoring dan Evaluasi

Domain CobiT keempat disebut Monitoring dan Evaluasi (ME), tujuan kontrol yang
menekankan CobiT sebagai proses loop tertutup yang tidak pernah berakhir. CobiT menyebut
langkah-langkah garis dasar pembentukan suatu organisasi untuk mengukur kinerjanya dan

34
memberikan peluang pada periode mendatang. Area domain ini mencakup area jaminan kualitas
yang secara tradisional lebih umum di bidang manufaktur dan operasi lainnya daripada di bidang
TI. Meskipun tidak dibahas dalam materi panduan CobiT, karya perintis W. Edwards Deming
menyediakan cara untuk mempertimbangkan area domain CobiT ini.
Sebagai konsultan yang membantu membangun kembali Jepang setelah Perang Dunia II,
Deming mengembangkan standar kualitas dan pendekatan yang membantu Jepang menetapkan
praktik kualitas yang sekarang digunakan di seluruh dunia saat ini. Di antara pendekatan lain,
Deming mengembangkan pendekatan sistem kualitas yang menyatakan agar proses bisnis
dianalisis dan diukur untuk mengidentifikasi sumber variasi yang menyebabkan produk
menyimpang dari persyaratan pelanggan. Dia mengusulkan agar setiap proses bisnis ditempatkan
dalam lingkaran umpan balik yang berkelanjutan sehingga manajer dapat mengidentifikasi dan
mengubah bagian-bagian dari proses yang membutuhkan perbaikan. Ini harus menjadi siklus
berkelanjutan yang tidak pernah berakhir di mana kita harus selalu memantau kinerja proses saat
ini dan mengambil tindakan untuk mengimplementasikan peningkatan pada proses itu. Deming
menyebut ini siklus Plan, Do, Check, Act (PDCA). Langkah-langkahnya adalah:
Langkah 1. Rencanakan: Proses bisnis harus dirancang atau direvisi untuk meningkatkan hasil.
Langkah 2. Lakukan: Terapkan untuk merencanakan dan mengukur kinerjanya.
Langkah 3. Periksa: Nilai pengukuran dan laporkan hasilnya.
Langkah 4. Bertindak: Tentukan perubahan yang diperlukan untuk meningkatkan hasil.
Meskipun fokus Deming adalah pada produksi industri, konsepnya telah diteruskan dan
sangat sesuai untuk lingkungan bisnis saat ini termasuk operasi TI dan pemantauan kontrol
internal SOx. Mengikuti format yang sama dengan domain CobiT lainnya, pada tahap
pemantauan terdiri atas empat bagian. Adapun bagian-bagian tersebut yaitu :
a. ME1 Monitor and evaluate IT Performance (memonitor dan mengavaluasi kinerja TI)
Pemonitoran proses dilakukan tidak hanya pada saat tahap input, pemrosesan dan output tetapi
juga dilakukan pada saat pra input dan pasca output. Pemonitoran ini bertujuan agar teknologi
yang dilakukan berjalan dengan baik, selain itu bila ada permasalahan dapat teratasi dengan
cepat dan tepat.
b. ME2 Monitor and evaluate internal control (mengawasi dan mengavaluasi kelayakan kontrol
internal)

35
 Kelayakan kontrol internal bertujuan untuk mencapai tujuan pengendalian internal. Adapun
tujuan pengendalian internal adalah adanya keefektifan dan keefisienan pada operasi,
reliabilitas pada pelaporan, dan kepatuhan dengan undang-undang dan regulasi yang ada.
Untuk itu kelayakan internal meliputi struktur pengendalian internal yang terdiri atas
lingkungan pengendalian, penilaian resiko, pengendalian aktifitas, informasi dan komunikasi
serta pemantauan. Kelayakan internal selalu dilakukan evaluasi secara berkala.
c. ME3 Ensure compliance with external requirments (Memastikan Kepatuhan dengan
Kebutuhan External)
Pengawasan kepatuhan yang efektif mengharuskan pembentukan proses review untuk
memastikan kepatuhan terhadap hukum, peraturan dan persyaratan kontrak. Proses ini meliputi
identifikasi persyaratan kepatuhan, mengoptimalkan, mengevaluasi respon, memperoleh
jaminan bahwa persyaratan telah dipenuhi dan mengintegrasikan pelaporan kepatuhan TI.
d. Provide IT governance (Menyediakan Tata Kelola)
Pembuatan kerangka kerja tata kelola yang efektif termasuk menetapkan struktur organisasi,
proses, kepemimpinan, peran dan tanggung jawab untuk memastikan bahwa investasi TI yang
dilakukan selaras dan disampaikan sesuai dengan strategi dan tujuan perusahaan.
Mengikuti format yang sama dengan domain CobiT lainnya, area ini harus menjadi minat
khusus untuk auditor, spesialis kontrol internal, dan anggota dari perusahaan baru yang mungkin
berada di luar operasi IT. Kontrol bahan untuk ME2 tentang pemantauan dan evaluasi kontrol
internal adalah contoh yang baik dari kekuatan CobiT. Ini menyatakan bahwa proses pemantauan
dan evaluasi pengendalian internal dicapai dengan sistem kendali TI yang tertanam dalam
kerangka proses TI, dengan memantau dan melaporkan efektivitas pengendalian internal ini, dan
dengan melaporkan pengecualian kepada manajemen untuk tindakan korektif.
Ini proses Deming PDCA yang dibahas, dan harus diukur dengan:
• Jumlah pelanggaran kontrol internal.
• Jumlah inisiatif peningkatan kontrol.
• Jumlah dan cakupan penilaian mandiri kontrol.
Seperti sebagian besar kerangka kerja CobiT, materi ini berfokus pada kontrol TI, tetapi
banyak dari konsep ini dapat digeneralisasikan ke keseluruhan proses peninjauan kontrol internal.
Ukuran penilaian diri kontrol mengacu pada proses tinjauan internal yang sedang berlangsung

36
tentang kelengkapan dan efektivitas kontrol internal. Banyak fungsi audit internal menggunakan
jenis proses penilaian ini.
Tujuan Monitor dan Evaluasi Pengendalian Internal ini memiliki tujuh tujuan pendukung
yang terperinci. Kontrol terperinci dijelaskan sebagai berikut:
ME2.1: Pemantauan Kerangka Kontrol Internal. Melakukan pengawasan lingkungan dan kontrol
pekerjaan. Penilaian menggunakan praktik industri dan tanda tangan digunakan untuk
meningkatkan kerangka kerja kendali TI.
ME2.2: Tinjauan Pengawasan. Memantau dan melaporkan efektivitas kontrol internal atas TI
melalui tinjauan pengawasan, misalnya, kepatuhan terhadap kebijakan dan standar, keamanan
informasi, kontrol perubahan, dan kontrol yang ditetapkan dalam perjanjian tingkat layanan.
ME2.3: Kontrol Pengecualian. Catat informasi mengenai kontrol dan mengarah pada analisis
penyebab mendasar dan tindakan korektif. Manajemen harus memutuskan hal mana yang harus
dikomunikasikan kepada individu yang bertanggung jawab dan hal mana yang harus ditingkatkan.
Manajemen juga bertanggung jawab untuk memberi tahu pihak-pihak yang terkena dampak.
ME2.4: Kontrol Penilaian Diri. Mengevaluasi kelengkapan dan keefektifan kontrol internal
manajemen atas proses, kebijakan, dan kontrak TI melalui melanjutkan program penilaian diri.
ME2.5: Jaminan Pengendalian Internal. Sesuai kebutuhan, jaminan lebih lanjut tentang
kelengkapan dan keefektifan pengendalian internal melalui peninjauan pihak ketiga oleh fungsi
kepatuhan perusahaan, audit internal, konsultan luar, atau badan sertifikasi.
ME2.6: Kontrol Internal di Pihak Ketiga. Menilai status kontrol internal masing-masing penyedia
eksternal internal. Pastikan bahwa penyedia layanan eksternal mematuhi persyaratan hukum dan
peraturan dan kewajiban kontrak.
ME2.7: Tindakan Perbaikan. Identifikasi dan mulai tindakan perbaikan berdasarkan penilaian
dan pelaporan kontrol. Ini termasuk tindak lanjut dari semua penilaian termasuk: (1) peninjauan,
negosiasi, dan pembentukan tanggapan manajemen, (2) penugasan tanggung jawab untuk
remediasi atau penerimaan risiko, dan (3) melacak hasil dari tindakan yang diambil.
Sasaran kontrol CobiT ini digambarkan secara rinci tetapi memberikan celah untuk
berbagai prosedur kontrol yang bahkan lebih terperinci. Misalnya, ME2.1 tentang pemantauan
kerangka kontrol internal memerlukan auditor internal atau spesialis kontrol internal lainnya

37
untuk mengembangkan prosedur kontrol terperinci, yang disebut program audit. Mereka biasanya
akan menghasilkan program atau langkah tes.
Tujuan kontrol ini, serta semua yang lain dalam dokumentasi CobiT, memiliki bagian
untuk menilai kematangan setiap kontrol internal. Istilah kematangan di sini mengacu pada
Capability Maturity Model (CMM), ukuran penilaian lima tingkat yang dirancang dan
dikembangkan oleh Carnegie Mellon University. Model ini telah menetapkan level kapan kontrol
dapat dinilai, dari level CMM 1 yang tidak ada, hingga level 2 dari kontrol awal atau ad-hoc, dan
ke level 5, disebut kontrol yang dioptimalkan. Bahan panduan CobiT menilai masing-masing
kontrolnya terhadap ukuran CMM. Sebagai contoh, CobiT mendefinisikan bahwa suatu
perusahaan akan berada pada level 3, kontrol proses yang ditentukan untuk ME2, Memantau dan
Mengevaluasi Kontrol Internal, ketika manajemen mendukung dan telah melakukan pemantauan
kontrol internal. Pedoman selanjutnya mengatakan bahwa kebijakan dan prosedur seharusnya
dikembangkan untuk memproses dan melaporkan kegiatan pemantauan pengendalian internal.
Untuk mencapai tingkat CMM ini, program pendidikan dan pemantauan perusahaan untuk
pemantauan pengendalian internal seharusnya telah ditentukan dan diluncurkan.
Materi CobiT memiliki serangkaian panduan tingkat CMM untuk masing-masing kontrol
internalnya. Meskipun dirangkum pada tingkat yang sangat tinggi, pedoman model ini
memungkinkan organisasi menilai kinerjanya sehubungan dengan masing-masing kontrol
internal CobiT.

2.2.5 Berdasar Kontrol

COBIT mendefinisikan tujuan pengendalian untuk semua 34 proses, serta proses
menyeluruh dan pengendalian aplikasi. Kontrol didefinisikan sebagai kebijakan, prosedur,
praktek dan struktur organisasi yang dirancang untuk memberikan jaminan bahwa tujuan bisnis
akan tercapai dan peristiwa yang tidak diinginkan akan dicegah atau dideteksi dan dikoreksi.
Tujuan pengendalian TI adalah menyediakan satu set persyaratan untuk dipertimbangkan oleh
manajemen untuk kontrol yang efektif setiap proses TI.
Kerangka kerja pengendalian COBIT, memberikan kaitan yang jelas antara kebutuhan
tata kelola teknologi informasi, proses TI dan pengendalian TI, karena tujuan TI diorganisasikan
menurut proses TI. Setiap proses TI yang yang terdapat dalam COBIT mempunyai tujuan kendali
tingkat tinggi dan sejumlah tujuan kendali detail secara keseluruhan pengendalian tersebut

38
merupakan karakteristik proses yang dikelola secara baik. Kontrol TI secara umum adalah
kontrol yang tertanam dalam proses dan layanan TI contohnya pengembangan sistem, perubahan
manajemen dan operasi komputer, sedangkan kontrol aplikasi adalah kontrol yang terdapat dalam
aplikasi proses bisnis seperti kelengkapan, akurasi, validitas, otorisasi dan pembagian tugas.
COBIT menganggap desain dan implementasi pengendalian aplikasi otomatis menjadi tanggung
jawab TI, yang tercakup dalam domain Acquire and Implement, berdasarkan kebutuhan bisnis
yang didefinisikan dengan menggunakan kriteria informasi COBIT.

2.2.6 Dikendalikan oleh Pengukuran

Pedoman manajemen untuk COBIT, yang terdiri dari model maturity, KGI, dan KPI,
yang kemudian menyediakan manajemen dengan alat untuk menilai dan mengukur lingkungan TI
organisasi terhadap 34 proses TI yang diidentifikasikan COBIT. Saat ini manajemen TI terkait
risiko tersebut dipahami sebagai bagian inti dari pengaturan organisasi. Pengaturan TI yang
merupakan bagian dari pengaturan organisasi, menjadi lebih dirasakan peranannya dalam
mencapai tujuan organisasi dengan menambah nilai melalui penyeimbangan risiko terhadap nilai
kembali atas TI dan prosesnya. Pengaturan TI merupakan pelengkap suksesnya pengaturan
organisasi melalui peningkatan yang efisien dan efektif sehubungan dengan proses organisasi.
Pengaturan TI menyediakan struktur yang berhubungan dengan proses TI, sumber daya TI, dan
informasi untuk strategi dan tujuan organisasi. Lebih lanjut, pengaturan TI mengintegrasikan dan
melembagakan praktek yang berhubungan.
a. Model Maturity
COBIT melihat bahwa menerapkan mekanisme governance secara efektif tidaklah mudah,
namun harus melalui berbagai tahap maturity (kematangan) tertentu. Model maturity untuk
mengontrol proses TI, sehingga manajemen dapat mengetahui dimana posisi organisasi
sekarang, dan diposisi dimana organisasi ingin berada. Secara umum posisi maturity sebuah
organisasi terkait dengan keberadaan dan kinerja proses IT Governance dapat dikategorikan
menjadi enam tingkatan, yaitu;
• 0 Non existent (tidak ada), merupakan posisi kematangan terendah, yang merupakan suatu
kondisi dimana organisasi merasa tidak membutuhkan adanya mekanisme proses IT
Governance yang baku, sehingga tidak ada sama sekali pengawasan terhadap IT
Governance yang dilakukan oleh organisasi.

39
 • 1 Initial (inisialisasi), sudah ada beberapa inisiatif mekanisme perencanaan, tata kelola,
dan pengawasan sejumlah IT Governance yang dilakukan, namun sifatnya masih ad hoc,
sporadis, tidak kosisten, belum formal, dan reaktif.
• 2 Repeatable (dapat diulang), kondisi dimana organisasi telah memiliki kebiasaan yang
terpola untuk merencanakan dan mengelola IT Governance dan dilakukan secara
berulang-ulang secara reaktif, namun belum melibatkan prosedur dan dokumen formal.
• 3 Defined (ditetapkan), pada tahapan ini organisasi telah memiliki mekanisme dan
prosedur yang jelas mengenai tata cara dan manajemen IT Governance, dan telah
terkomunikasikan dan tersosialisasikan dengan baik di seluruh jajaran manajemen.
• 4 Managed (diatur), merupakan kondisi dimana manajemen organisasi telah menerapkan
sejumlah indikator pengukuran kinerja kuantitatif untuk memonitor efektivitas
pelaksanaan manajemen IT Governance.
• 5 Optimised (dioptimalisasi), level tertinggi ini diberikan kepada organisasi yang telah
berhasil menerapkan prinsip-prinsip governance secara utuh dan mengacu best practice,
dimana secara utuh telah diterapkan prinsip-prinsip governance, seperti transparency,
accountability, responsibility, dan fairness.
Dengan adanya maturity level model, maka organisasi dapat mengetahui posisi
kematangannya saat ini, dan secara terus menerus serta berkesinambungan harus berusaha
untuk meningkatkan levelnya sampai tingkat tertinggi agar aspek governance terhadap
teknologi informasi dapat berjalan secara efektif. Untuk pengukuran tingkat maturity level
perprosesnya dapat dilihat di COBIT 4.1.
b. Key Goal Indicators (KGI)
KGI merupakan ukuran yang digunakan untuk menunjukan pencapaian tujuan dari kendali
yang diterapkan pada setiap proses TI. KGI dinyatakan dalam bentuk kriteria informasi :
1. Ketersediaan informasi yang dibutuhkan untuk mendukung kebutuhan bisnis (avaibility).
2. Integritas dan keamanan sistem (Integrity and confidentiality).
3. Efisiensi biaya dari proses dan operasi yang dilakukan (Cost efficiency).
4. Tingkat kehandalan, efektifitas proses dan ketaatan terhadap prosedur, hukum dan
regulasi (reliability, effectiveness and compliance).
c. Key Performance Indicators (KPI)

40
 KPI merupakan ukuran yang digunakan untuk menunjukkan kinerja setiap proses TI. KPI
merupakan lead indikator, KPI diukur pada saat proses berjalan (before the fact). KGI fokus
pada hasil dan proses, sedangkan KPI fokus pada bagaimana proses tersebut dijalankan. KPI
dan KGI merupakan ukuran-ukuran yang digunakan untuk mengukur CSF. Berbeda dengan
KGI yang berorientasi pada kebutuhan bisnis, KPI berorientasi pada pengelolaan dan
penggunaan sumber daya TI. Sama halnya dengan KGI, KPI sering dinyatakan dalam bentuk
angka atau persen.

2.2.7 Identifikasi Proses COBIT

Identifikasi proses COBIT yang relevan dapat dilakukan dengan dua cara yaitu :
a. Pendekatan top down
Pendekatan dilakukan dari strategi bisnis (misalnya dari strategy map yang menjadi dasar
balanced scorecard organisasi, diidentifikasi sasaran-sasaran stategis TI (COBIT business
goals) atau dapat juga diidentifikasi dari peran TI pada inisiatif-insiatif strategis bisnis
organisasi. Lalu dari COBIT business goals dipetakan ke COBIT IT goals (bidang
kompetensi pengelolaan TI). Lalu dari COBIT IT goals dipetakan ke proses-proses
COBIT.
b. Pendekatan bottom up
Dari permasalahan operasional TI yang dialami organisasi dicarikan IT Goals COBIT
(bidang-bidang kompetensi TI) yang dapat mengatasi permasalahan tersebut.
Permasalahan termasuk tuntutan regulasi yang harus segera dipenuhi oleh organisasi. Dari
IT goals diperoleh seperangkat proses yang harus dikuasai organisasi. Proses-proses ini
umumnya saling terkait.

2.3 COBIT dan SARBANES-OXLEY

Keadaan saat ini dari SOx Bagian 404 persyaratan penilaian pengendalian internal dan
pendekatan yang lebih berbasis risiko untuk mengevaluasi pengendalian internal. CobiT adalah
alat yang ampuh, terutama di lingkungan dengan konsentrasi yang tinggi dalam proses dan
sumber daya TI, untuk membantu manajemen dan auditor internal untuk melakukan SOx Bagian
404 ini serta Bagian 302. Bagian 302 terutama berkaitan dengan tanggung jawab pribadi CEO dan
CFO untuk laporan keuangan dan pengungkapan terkait. SOx mengamanatkan bahwa auditor

41
eksternal organisasi harus melakukan tinjauan triwulanan terbatas untuk menentukan apakah ada
modifikasi signifikan terhadap struktur kontrol internal atau perubahan kontrol internal atas
pelaporan keuangan.
Baik kontrol internal COSO dan CobiT menggunakan kerangka kerja tiga dimensi untuk
menggambarkan lingkungan kontrol internal mereka. Mereka mirip, tetapi dengan sedikit
perbedaan klasifikasi dan terminologi. Larangan 5.9 menunjukkan bagaimana peta kerja CobiT
untuk menyusun model COSO internal kontrol. Ini menunjukkan bahwa kita dapat menggunakan
tujuan utama CobiT, mulai dari Perencanaan dan Organisasi hingga Pemantauan dan Evaluasi,
dan menggunakan panduan tujuan kontrol untuk masing-masing untuk memahami dan
mengevaluasi kontrol internal melalui lima komponen kontrol internal COSO. Proses aktual,
kemudian melakukan pekerjaan kepatuhan Bagian 404 sangat mirip dengan yang diuraikan pada
penilaian Bagian 404. Apakah mempertimbangkan kontrol internal COSO secara umum atau
menggunakan CobiT, seperti auditor internal, bergerak melalui proses dari perencanaan untuk
melakukan penilaian risiko dan melaporkan, mendokumentasikan, dan mengevaluasi kontrol
internal.
Karena CobiT dalam audit, desain, dan proses sistem TI, materi dokumentasi dan panduan
ini sangat bergantung pada desain sistem dan praktik rekayasa perangkat lunak. Misalnya,
dokumentasi untuk setiap tujuan kontrol CobiT menjelaskan cara menilai kontrol tersebut dalam
hal Capability Maturity Model (CMM) yang direferensikan sebelumnya, suatu pendekatan untuk
melihat organisasi dan proses dalam jangka waktu relatif seperti apakah proses ad hoc,
didefinisikan dan didokumentasikan, atau bahkan lebih baik.
Pengendalian ini dapat diandalkan untuk memberikan kontrol yang baik untuk menilai
kontrol internal atas tujuan kontrol CobiT individu atau seluruh organisasi. Suatu penilaian
pengendalian internal, misalnya, menemukan tahap 0, lingkungan kontrol tidak ada. Ini
menyiratkan kurangnya proses kontrol yang dapat dikenali dan ketidakmampuan untuk
memenuhi persyaratan Bagian 404 di tingkat mana pun. Ini adalah situasi yang ekstrem, dan jika
auditor internal adalah bagian dari organisasi yang tampaknya memiliki atribut penilaian tahap 0,
Harus ada pemberitahuan jika kontrolnya lemah. Pada dasarnya, penilai kontrol internal harus
berharap untuk temukan setidaknya tahap 2 dan tahap 3. Di bawah tahap 3, kontrol dan kebijakan
serta prosedur terkait harus ada dan didokumentasikan secara memadai pada tingkat yang
memadai bagi manajemen untuk dapat menegaskan kecukupan kontrol ini.

42
 Dengan SOx, semakin meningkatnya penekanan pada tata kelola TI, dan kekritisan TI
dalam sebagian besar pengendalian internal, CobiT telah melalui beberapa edisi hingga edisi 4.1
yang direferensikan sebelumnya. Asosiasi IT Governance yang disponsori oleh CobiT telah
melakukan pekerjaan yang luar biasa dengan menerbitkan publikasi yang memetakan kerangka
kerja CobiT ke standar lain dan kerangka kerja praktik. Sebagai contoh, ada studi yang sangat
rinci memetakan kerangka kerja CobiT untuk persyaratan audit SOx. Materi ulasan CobiT
Section 404 yang diterbitkan ini, dan juga dari versi CobiT sebelumnya, melakukan pekerjaan
yang sangat baik untuk mencocokkan tujuan kontrol TI dan CobiT dengan lima komponen COSO.
Berdasarkan pedoman CobiT yang diterbitkan. Misalnya, tujuan CobiT AI6 tentang Mengelola
Perubahan di bawah domain kontrol Acquire and Implement berdampak pada komponen COSO
dari Kegiatan dan Pemantauan Kontrol. Sasaran kontrol terperinci CobiT yang dipublikasikan
aktual akan mengikat ke masing-masing komponen COSO ini. Ada hubungan erat antara tujuan
dan komponen kontrol CobiT dan COSO ini.
Tujuan kontrol CobiT akan memberikan dukungan yang kuat untuk auditor internal atau
orang lain yang ingin menggunakan CobiT untuk melakukan peninjauan penilaian kontrol
internal SOx Bagian 404. Sementara konsep dapat digunakan di area kontrol internal,
penekanannya adalah pada aplikasi dan proses TI. Bagi organisasi, pemahaman dan penilaian
kontrol internal yang terkait dengan IT adalah bidang utama untuk mencapai kepatuhan SOx.
CobiT telah ada, banyak yang melihatnya hanya sebagai alat audit sistem informasi khusus dan
bukan bantuan yang lebih umum untuk pekerjaan audit internal lainnya. Meskipun penekanannya
pada TI, semua auditor internal harus mengeksplorasi dan mempertimbangkan menggunakan
kerangka kerja CobiT sebagai alat untuk membantu dengan persyaratan kepatuhan SOx saat ini.

2.4 Penelitian mengenai Penilaian Tata Kelola Teknologi Informasi pada Sistem
Logistik PT XYZ Berdasarkan COBIT (Ruslam et al., 2018)
2.4.1 Latar Belakang
PT XYZ merupakan salah satu perusahaan yang bergerak dibidang solusi jasa logistik. PT
XYZ mampu memberikan total solusi dari menyediakan hardware, software, network hingga
melakukan planning-developing-operating. Solusi yang diberikan oleh PT XYZ antara lain
pertukaran dokumen elektronis dan informasi, integrasi sistem logistik, menyediakan sistem
untuk kegiatan operasional pelaku logistik seperti pelabuhan, bandara, terminal, gudang,

43
transportasi serta menyediakan sistem informasi e-payment dan e-billing untuk jasa logistik.
Struktur bisnis ILCS adalah C2B2B2G, yaitu berhubungan dengan customer secara langsung,
korporasi, dan juga dengan pemerintah. Partner PT XYZ adalah para pelaku di bidang logistik
dan agensi pemerintah. PT XYZ mengintegrasikan sistem, sehingga seluruh kegiatan operasional
dalam bidang logistik dapat terhubung dan berjalan dengan lebih baik. PT XYZ hadir dengan 6
(enam) Produk Portofolio yang terdiri dari Logistics Community Solution, Logistics EBPP
(Electronic Bill Presentment and Payment), Port Wide Solution, Logistics Solution and
Automation, E-Trade, dan Logistics Support Service.
Dalam penyediaan layanan logistik, terdapat permasalahan-permasalahan yang berakar
pada kurangnya fungsi tata kelola Teknologi Informasi (TI). Permasalahan-permasalahan tersebut
antara lain pengelolaan dokumen logistik, keamanan informasi logistik, belum adanya tim
Quality Assurance yang independen, kontrol terhadap versi aplikasi yang digunakan. Selain itu,
belum tersedia system analist yang menguasai aplikasi/produk tertentu yang sifatnya Managed
Operation menjadi salah satu permasalahan yang perlu dipecahkan.
Penelitian ini membahas penilaian tata kelola Teknologi Informasi (TI) sesuai kerangka
kerja COBIT pada sistem logistik PT XYZ. Domain pada penelitian ini mencakup: Perencanaan
dan Pengorganisasian (PO), Pengadaan dan Implementasi (AI), Penyampaian Layanan dan
Dukungan (DS), dan Monitor dan Evaluasi (ME) (ITGI, 2007). Dengan adanya penelitian ini
diharapkan dapat memberikan rekomendasi perbaikan tata kelola teknologi informasi
berdasarkan COBIT 4.1, yang sesuai dengan kebutuhan bisnis PT XYZ.

2.4.2 Tujuan, Ruang Lingkup dan Batasan Penelitian

Penelitian ini bertujuan untuk memberikan rekomendasi perbaikan tata kelola TI pada
sistem logistik di lingkungan PT XYZ sesuai dengan kerangka kerja COBIT. COBIT yang
digunakan pada penelitian ini yaitu COBIT versi 4.1.
COBIT 4.1 merupakan kerangka kerja tata kelola TI yang fokus pada proses-proses, yang
dapat menjadi dasar dalam memberikan rekomendasi-rekomendasi peningkatan tata kelola TI
secara komprehensif di suatu organisasi (ITGI, 2007). Versi lain dari COBIT yaitu COBIT 5 yang
lebih fokus pada enabler-enabler, dengan pendekatan penilaian dan pedoman assurance yang
berbeda dengan COBIT 4.1; dimana COBIT 5 lebih menekankan pada Governance of Enterprise
IT (GEIT) (ISACA, 2012). Perbedaan-perbedaan antara COBIT 4.1. dengan COBIT 5

44
tersebut menyebabkan penerapan COBIT 5 memerlukan perencanaan yang baik, tidak dapat
dilakukan serta-merta di PT XYZ yang sebelumnya telah menerapkan COBIT 4.1. Oleh karena
itu, dalam penelitian ini digunakan COBIT 4.1.

2.4.3 Metode Pengumpulan dan Analisis Data

Pengumpulan data untuk penelitian ini dilakukan melalui observasi wawancara dengan
pegawai yang kompeten di lingkungan PT XYZ, yaitu Direktur Teknologi Informasi dan
Operasional, General Manager, Manager, serta staf berdasarkan struktur organisasi PT XYZ dan
peta peran dan tanggung jawab RACI Chart (Responsibility, Accountability, Consulted, dan
Informed) untuk masing-masing proses COBIT yang sesuai dengan permasalahan yang dihadapi
oleh organisasi (ITGI, 2007). Selain itu, dilakukan studi literatur dokumen formal organisasi PT
XYZ. Analisis data dalam penelitian ini menggunakan metode kualitatif dan kuantitatif melalui
studi literatur, hasil observasi, dan hasil wawancara.
Metode yang digunakan dalam perumusan proses penilaian adalah dengan menggunakan
model bottom up, yaitu dengan mengidentifikasi berbagai permasalahan yang ada di lapangan
melalui wawancara. Kemudian dari berbagai permasalahan tersebut kemudian akan dipetakan
delam proses-proses COBIT 4.1. Pertimbangan penggunaan metode ini adalah untuk
memudahkan identifikasi masalah yang ada, dan memetakannnya ke dalam proses COBIT.

2.4.4 Rekomendasi IT Goals

Rekomendasi IT Goals yang didapatkan dari pemetaan 10 proses COBIT 4.1 dan dapat
digunakan sebagai acuan dalam menentukan tujuan TI perusahaan, yaitu sebagai berikut:
1. Perusahaan harus tanggap terhadap kebutuhan bisnis yang sejalan dengan strategi bisnis.
2. Perusahaan harus tanggap terhadap kebutuhan tata kelola TI yang sejalan dengan keinginan
dewan direksi.
3. Perusahaan harus memastikan kepuasan pengguna terhadap layanan dan tingkat layananyang
ditawarkan.
4. Perusahaan harus menciptakan TI yang lincah terhadap perubahan teknologi/perubahan
layanan TI.
5. Perusahaan harus memperoleh dan mengelola infrastruktur TI yang terintegrasi dan
terstandarisasi.

45
6. Perusahaan harus memperoleh dan mengelola keterampilan TI guna menanggapi strategi TI.
7. Perusahaan harus mengintegrasikan applikasi dan solusi teknologi kedalam proses bisnis.
8. Perusahaan harus memastikan transparansi dan pemahaman dari biaya, manfaat, strategi,
kebijakan dan tingkat layanan TI.
9. Perusahaan harus memastikan penggunaan dan performa yang layak dari solusi teknologi dan
aplikasi.
10. Perusahaan harus memperhitungkan dan melindungi semua aset TI.
11. Perusahaan harus Mengoptimalkan infrastruktur, sumber daya dan kemampuan TI.
12. Perusahaan harus mengurangi solusi dan pelayanan yang tidak baik.
13. Perusahaan harus memastikan informasi yang penting dan rahasia aman dari pihak yang tidak
seharusnya mengakses.
14. Perusahaan harus memastikan bahwa transaksi bisnis terotomatisasi dan perpindahan data
dapat dipercaya.
15. Perusahaan harus memastikanlayanan dan infrastruktur TI dapat tahan dan pulih dari
kegagalan yang disebabkan oleh kesalahan, serangan yang disengaja maupun bencana alam.
16. Perusahaan harus memastikan pengaruh terhadap bisnis minimal saat terjadi gangguan
layanan TI atau perubahan TI.
17. Perusahaan harus memastikan layanan tersedia sebagaimana dibutuhkan.
18. Perusahaan harus memastikan pennyelesaian proyek tepat waktu dan tepat anggaran, sesuai
dengan standar mutu.
19. Perusahaan harus mengelola integritas informasi dan pemrosesan infrastruktur

2.4.5 Rekomendasi Business Goals

Pemetaan Business Goals yang didapatkan dari pemetaan IT Goals dapat digunakan
sebagai acuan dalam menentukan tujuan bisnis perusahaan. Tabel 4 menyajikan hasil pemetaan
Business Goals dengan IT Goals. Perspektif yang digunakan, yaitu: financial, customer, internal,
learning and growth prespective.
Berdasarkan tabel diatas, terdapat 16 (enam belas) business goals yang menjadi
rekomendasi perbaikan bagi perusahaan yaitu perusahaan harus:
1. Mengelola risiko bisnis yang berhubungan dengan TI.
2. Meningkatkan tata kelola dan transparansi perusahaan.

46
3. Meningkatkan orientasi dan layanan pelanggan.
4. Menawarkan produk dan layanan yang kompetitif.
5. Memastikan ketersediaan dan keberlangsungan layanan.
6. Menciptakan ketangkasan dalam memberi tanggapan terhadap perubahan kebutuhan.
7. Mencapai optimasi biaya dalam penyampaian layanan.
8. Memperoleh informasi yang dapat diandalkan dan berguna untuk pengambilan keputusan
strategis.
9. Meningkatkan dan menjaga kegunaan proses bisnis.
10. Memperkecil biaya proses.
11. Menghasilkan kepatuhan terhadap hukum eksternal, peraturan dan kontrak.
12. Menghasilkan kepatuhan terhadap kebijakan internal.
13. Mengelola perubahan bisnis.
14. Meningkatkan dan mengelola produktifitas operasional dan pegawai.
15. Mengelola inovasi produk dan bisnis.
16. Memperoleh dan memelihara orang-orang yang terampil dan yang memiliki motivasi.

2.4.6 Kesimpulan
Berdasarkan hasil analisis data dengan framework COBIT 4.1, dapat disimpulkan bahwa
rekomendasi yang diberikan mencakup rekomendasi perbaikan akar masalah, rekomendasi
perbaikan tingkat maturitas, rekomendasi IT Goals, dan rekomendasi Business Goals; yang
berasal dari 4 (empat) domain dalam COBIT 4.1, yaitu: Perencanaan dan Pengorganisasian (PO),
Pengadaan dan Implementasi (AI), Penyampaian Layanan dan Dukungan (DS), dan Monitor dan
Evaluasi (ME).. Saran untuk PT XYZ adalah menyusun rencana pelaksanaan tindakan perbaikan
sesuai dengan kemampuan organisasi.

47
 DAFTAR PUSTAKA

Moeller, Robert R. 2016. Brink’s Modern Internal Auditing: A Common Body of Knowledge,
Eighth Edition. Canada: John Wiley & Sons Inc.

48