Analisis Kinerja Sistem Materi ke – 9
ISACA dan COBIT
ABSTRAK
Teknologi informasi digunakan oleh perusahaan untuk meningkatkan efektifitas
dan efisiensi kerja suatu perusahaan. Untuk mengetahui bahwa teknologi informasi telah
digunakan sesuai dengan tujuan dan kegunaannya, maka dibutuhkan suatu audit terhadap
teknologi informasi. Artikel ini merupakan kajian pustaka mengenai audit teknologi
informasi pada perusahaan yang menggunakan metode COBIT. Penilaian metode COBIT
dilakukan dengan cara kualitatif yang memerlukan perspektif manusia, dimana jika
penilaian ini dilakukan oleh orang yang berbeda bisa didapatkan hasil yang juga
berbeda. Untuk dapat menyempurnakan metode yang digunakan pada audit teknologi
informasi maka kajian pustaka serta penelitian harus selalu dilakukan.
Kata Kunci : audit, teknologi, informasi, COBIT, kualitatif
PENDAHULUAN
Perusahaan menggunakan teknologi khususnya teknologi informasi untuk
meningkatkan efektifitas dan efisiensi sehingga visi, misi, dan tujuan perusahaan dapat
tercapai. Untuk mengetahui bahwa teknologi informasi sudah digunakan sesuai dengan
fungsi kegunaan dan tujuan peruntukkannya, maka dibutuhkan suatu audit terhadap
teknologi informasi itu sendiri. Artikel ini merupakan kajian pustaka mengenai audit
teknologi informasi pada perusahaan yang menggunakan metode COBIT. Penilaian
metode COBIT dilakukan dengan cara kualitatif yang memerlukan perspektif manusia.
Jika penilaian kualitatif ini dilakukan oleh orang yang berbeda bisa didapatkan hasil
yang juga berbeda.
Control Objectives for Information and Related Technology (COBIT) adalah salah
satu pedoman penting untuk tata kelola teknologi informasi, dimana COBIT
menyediakan alat yang berguna bagi perusahaan dalam melakukan evaluasi sendiri
terhadap sistem tata kelola teknologi informasinya. (Abu-Musa, 2009).
TINJAUAN PUSTAKA
Auditor seharusnya menggunakan perangkat lunak khusus untuk memastikan
bahwa peraturan telah diimplementasikan dengan tepat. Sistem audit fokus pada entitas
spesifik dan pengendalian TI (Teknologi Informasi) yang tersedia untuk proses bisnis.
Pada sistem audit terdapat diantaranya seperti : i). Tinjuan terhadap sistem informasi
tsetiaji @copyleft 2019 1
Analisis Kinerja Sistem Materi ke – 9
umum dan pengendalian aplikasi, ii). Aktivitas lifecycle dari pengembangan sistem, iii).
Validasi data dan verifikasi. Auditor patuh pada standar, kode etik, penasehat, COBIT
(Control Objectives for Information and Related technology), dan CAAT
(ComputerAssisted Audit Techniques) (Vazakidis, 2005)
Hamzah (2006) dalam artikelnya membahas mengenai metode COBIT yang
diterapkan dalam pengelolaan perusahaan agar penggunaan teknologi informasi sesuai
dengan kebutuhan perusahaan.
Volders (2005) dalam proyeknya mengkombinasikan COBIT QuickStart dengan
pendekatan Gartner untuk mendefinisikan prioritas untuk teknologi informasi
berdasarkan pada strategi perusahaan. Berikut ini pada gambar 1. menunjukkan
pertanyaan awal “Watch the Heat” dari COBIT QuickStart yang diisi oleh Kepala
Bagian Informasi pada perusahaan.
Definitely Disagree
Neither Agree nor
Do not completely
Somewhat Agree
Fully Agree
Disagree
Disagree
The IT infrastructure is an open, as opposed to closed,
system (interconnections with customers, suppliers, etc)
There are IT-related regulation or contractual requirements
applying to the enterprise.
There is a need to provide outside assurance about IT
Enterprise management is aware of IT issues and wonders
whether a minimums baseline is sufficient
Enterprise management has identified the need for significant
formal training relative to IT
Some IT practices and procedures have been defined,
standardised and documented in a sustainable manner
Enterprise management knows that common tools would
make some IT processes more efective and efficient
The IT expert(s) of the enterprise is need for
developing/improving business process.
Gambar 1. Penilaian Pertama “Watch the Heat” Sumber : (Volders, 2005)
tsetiaji @copyleft 2019 2
Analisis Kinerja Sistem Materi ke – 9
Langkah kedua (Volders, 2005) adalah “Stay in The Blue Zone”, dimana perusahaan
tidak berada dalam daerah biru untuk 4 kriteria dari 7 kriteria yang ada, yaitu : SCS
(Simple Command Structure), SCP (Short Communications Path), SOC (Span of
Control), ITL (IT Leadership), ITS (IT Strategic Importance), ITE (IT Expenditure),
dan SEG (Segregation). Berikut ini adalah gambar dari penilaian “Blue Zone”.
Gambar 2. Penilaian Kedua “Stay in the Blue Zone” Sumber : (Volders, 2005)
Setelah melewati dua penilaian didapatkan dokumen hasil dimana tingkat
kematangan dari kemampuan yang digunakan. (Volders, 2005) Kerangka kerja sederhana
dibuat untuk mencirikan kerangka kerja COBIT dari berbagai dimensi, termasuk
didalamnya yaitu : i). Perluasan teori atau orientasi penerapan, ii). Apakah dari praktisi,
kalangan akademisi, sektor organisasi yang sedang berkembang, industri, lokasi geografis
dan tingkat pemanfaatan. Pengembangan kerangka kerja ini akan memberikan
kemudahan untuk memeriksa pustaka yang tersedia dan pustaka yang akan diterbitkan.
(Ridley, 2004)
tsetiaji @copyleft 2019 3
Analisis Kinerja Sistem Materi ke – 9
Level 1
COBIT as an illustration of IT governance control
Level 2
Reviews of spesific IT governance control methodologies
Level 3
COBIT Implementation
Practitioner-orientation Sector organizational size Academic-orientation
Degree of utilization
Geographic location
Industry
Comparison between COBIT and other IT
governance control methodologies
Control objective approach
IT governance
Audit and similar
Gambar 3. Kerangka Kerja COBIT dan Implementasi. Sumber: (Ridley, 2004)
Abu-Musa (2009) melakukan suatu studi tentang pengaruh kerangka kerja COBIT
untuk mengevaluasi dan meningkatkan implementasi tata kelola teknologi informasi pada
organisasi di Saudi Arabia. Penelitian dilakukan dengan memberikan kuisioner untuk
mengetahui formalitas, audit, tanggung jawab dan akuntabilitas dari proses COBIT.
Hasilnya menunjukkan sebagian besar responden mengatakan bahwa departemen TI
memiliki tanggung jawab untuk melaksanakan proses COBIT pada organisasinya. Tetapi
banyak juga responden yang mengatakan bahwa proses audit TI tidak dilakukan.
KERANGKA KERJA COBIT
ISACA (The International Systems Audit and Control Association) adalah asosiasi
professional yang menangani audit, control, keamanan, dan governance untuk Sistem
tsetiaji @copyleft 2019 4
Analisis Kinerja Sistem Materi ke – 9
Informasi, yang mempunyai anggota sekitar 35.000 dari 100 negara di Asia, Amerika
Tengah, Amerika Utara, Eropa, Afrika, Amerika Selatan, dan Oceania.
COBIT dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari
ISACA. Kerangka kerja COBIT terdiri atas beberapa arahan, yaitu : Control Objective,
Audit Guideline, Management Guidelines. Audit guideline memberikan ulasan tentang
proses teknologi informasi dengan 318 rekomendasi yang menjelaskan control objective
untuk memberikan kepastian pengelolaan dan/atau saran pengembangan.
Management guidelines memberikan arah secara umum atau spesifik mengenai
apa saja yang harus dilakukan, dan untuk menjawab pertanyaan sebagai berikut :
1. Seberapa jauh harus bejalan, dan biaya yang dikeluarkan untuk mendapatkan
manfaat.
2. Indikator apa saja untuk memperoleh kinerja yang baik.
3. Faktor apa saja yang harus ada untuk mendapatkan sukses.
4. Resiko apa saja yang dapat terjadi jika tidak tercapainya tujuan.
5. Apa yang dilakukan oleh perusahaan yang lain.
6. Bagaimana melakukan pengukuran dan membandingkannya.
Control objective dikelompokkan ke dalam 4 domain : i). Perencanaan dan
Organisasi (Planning and Organisation), ii). Akuisisi dan implementasi (acquisition and
implementation), iii). Pengiriman dan dukungan (delivery and support), iv). Pemantauan
(monitoring). Dapat dilihat pada gambar 4.
Organisasi dan perencanaan terdiri dari : menentukan rencana strategis TI,
menentukan arsitektur informasi, menentukan arah teknologi, menentukan organisasi TI
dan hubungannya, mengelola investasi TI, tujuan komunikasi manajemen dan arahnya,
mengelola sumber daya, memastikan kepatuhan dengan persyaratan eksternal, menilai
resiko, mengatur proyek, mengelola kualitas.
Akuisisi dan implementasi terdiri dari : mengidentifikasi solusi otomatis,
menerima dan memelihara aplikasi perangkat lunak, menerima dan memelihara
infrastuktur teknologi, mengembangkan dan memelihara prosedur, menginstal dan
akreditasi sistem, mengelola perubahan.
Pengiriman dan dukungan terdiri dari : definisi dan mengelola pelayanan,
mengelola layanan pihak ketiga, mengelola kinerja dan kapasitas, memastikan layanan
berkelanjutan, memastikan keamanan sistem, identifikasi dan alokasi biaya, mendidik
dan melatih pengguna, membantu dan memberikan saran pelanggan, mengelola
konfigurasi, mengelola masalah dan kejadian, mengelola data, mengelola fasilitas,
mengelola operasi.
tsetiaji @copyleft 2019 5
Analisis Kinerja Sistem Materi ke – 9
Pemantauan terdiri dari : pemantauan proses, menilai kecukupan pengendalian
internal, memperoleh jaminan independen, menyediakan untuk audit independen.
Empat domain tersebut akan membentuk suatu informasi yang memperhatikan
efektif, efisien, kerahasiaan, integritas, ketersediaan, pemenuhan, dan keandalan. Selain
itu informasi juga diperoleh dari sumber daya TI, yaitu : manusia, sistem aplikasi,
teknologi, fasilitas, dan data.
tsetiaji @copyleft 2019 6
Analisis Kinerja Sistem Materi ke – 9
Gambar 4. Proses COBIT dengan Empat Domain. Sumber: ITGI
HASIL DAN PEMBAHASAN
tsetiaji @copyleft 2019 7
Analisis Kinerja Sistem Materi ke – 9
Audit dilakukan tidak hanya dalam hal keuangan, tetapi teknologi informasi juga
memerlukan suatu audit untuk mengetahui bahwa teknologi informasi tersebut sesuai
dengan peruntukkannya. Dari hasil penelitian Abu-Musa (2009) didapatkan hasil bahwa
audit teknologi informasi belum dilakukan oleh banyak perusahaan di Saudi.
Saat ini metode COBIT adalah salah satu pendekatan yang digunakan untuk
melakukan audit terhadap TI. Pada langkah awal penggunaan COBIT Quickstart
(Volders, 2005) auditor diminta untuk merespon beberapa pernyataan dimana tersedia 5
alternatif, yaitu : i). Definitely Disagree, ii). Do Not Completely Disagree, iii). Neither
Agree nor Disagree, iv). Somewhat Agree, dan v). Fully Agree. Selanjutnya ada langkah
kedua untuk penilaian hingga didapatkan dokumen hasil. Dilihat dari langkah awal
penilaian “Watch the Heat” pada COBIT QuickStart menunjukkan bahwa pernyataan
dan alternatif yang tersedia adalah jenis pernyataan kualitatif, dimana pernyataan tersebut
menggunakan perspektif manusia untuk menjawabnya meskipun jawaban tersebut telah
disediakan. Sehingga jika pernyataan ini diajukan kepada auditor yang berbeda, maka
bisa didapatkan respon yang berbeda pula.
Ridley (2004) membuat pendekatan sederhana terhadap kerangka kerja COBIT
untuk memberikan kemudahan bagi perkembangan kerangka kerja yang digunakan untuk
audit teknologi informasi.
KESIMPULAN
Audit teknologi informasi penting dilakukan oleh perusahaan untuk mengetahui
fungsi dan kegunaan atas investasinya terhadap teknologi informasi. Salah satu
pendekatan audit yang digunakan adalah COBIT, yang menggunakan kerangka
kerja/penilaian kualitatif melalui perspektif manusia terhadap pernyataan yang diajukan.
Sehingga jika pernyataan diajukan kepada orang yang berbeda, bisa didapatkan hasil
yang berbeda pula.
Kajian pustaka dan penelitian mengenai audit teknologi informasi sebaiknya terus
dilakukan, sehingga dapat menemukan atau menyempurnakan metode yang telah ada
untuk melakukan audit terhadap teknologi informasi.
DAFTAR PUSTAKA
Abu-Musa, A.A. (2009). Exploring COBIT Processes for ITG in Saudi
Organizations: An Empirical Study. The International Journal of Digital Accounting
Researh. Vol.9. pp.99126. ISSN:1577-8517.
tsetiaji @copyleft 2019 8
Analisis Kinerja Sistem Materi ke – 9
Hamzah, A. (2006). Tata Laksana Teknologi Informasi Metode COBIT. Seminar
Nasional Aplikasi Teknologi Informasi 2006 (SNATI). Yogyakarta.
Ridley, G, Young, J., dan Carroll, P. (2004). COBIT and its Utilization : A Framework
from the Literature. Hawaii, Proceedings of 37th Hawaii International Conference on
System Sciences.
Vazakidis, A, dan Folinas , D. (2005). The Effects of Technology in the Auditing Process
of Government Tax Provisions : The Case of Feigned and Forged Invoices in Greece.
Journal of Information Technology Impact. Vol 5 No. 3 pp.99-108.
Volders, G. (2005). IT GovernancePractical Case Using COBIT QuickStart. Information
Systems Audit and Control Association.
http://techtraining.brevard.k12.fl.us/BE TC2007/GrachisAuditguidelines.pdf, akses 12
Maret 2011.
tsetiaji @copyleft 2019 9
Anda mungkin juga menyukai
- AnaKinSis 07-ManajemenKontrolKeamananSistemDokumen5 halamanAnaKinSis 07-ManajemenKontrolKeamananSistema_setiajiBelum ada peringkat
- AnaKinSis 06-ManajemenKontrolPemrogramanDokumen13 halamanAnaKinSis 06-ManajemenKontrolPemrogramana_setiajiBelum ada peringkat
- AnaKinSis 05-ManajemenKontrolPengembanganSistemDokumen16 halamanAnaKinSis 05-ManajemenKontrolPengembanganSistema_setiajiBelum ada peringkat
- AnaKinSis 01-KonsepDasarDokumen12 halamanAnaKinSis 01-KonsepDasara_setiajiBelum ada peringkat
- 04.PeTekSIM1 KonsepDasarSI STIDokumen9 halaman04.PeTekSIM1 KonsepDasarSI STIa_setiajiBelum ada peringkat
- 06 PeTekSIM1-PeranManajemenDokumen4 halaman06 PeTekSIM1-PeranManajemena_setiajiBelum ada peringkat
- 05 PeTekSIM1-KonsepDasarPengambilanKeputusanManajemenDokumen6 halaman05 PeTekSIM1-KonsepDasarPengambilanKeputusanManajemena_setiajiBelum ada peringkat
- Anakinsis.11 Isacadancobit 1bDokumen16 halamanAnakinsis.11 Isacadancobit 1ba_setiajiBelum ada peringkat
- 13 SIBank TeknologiMobileBankinDokumen4 halaman13 SIBank TeknologiMobileBankina_setiajiBelum ada peringkat
- 12 Ksi-AbcDokumen7 halaman12 Ksi-Abca_setiajiBelum ada peringkat
- The Man-QS76 1-22Dokumen19 halamanThe Man-QS76 1-22a_setiajiBelum ada peringkat
- 01 PeTekSIM1-PengembangPeranSTIDokumen10 halaman01 PeTekSIM1-PengembangPeranSTIa_setiajiBelum ada peringkat
- 13 14 SIBank TeknologiInternetMobileDokumen8 halaman13 14 SIBank TeknologiInternetMobilea_setiajiBelum ada peringkat
- 12 SIBank TeknologiInternetBankingDokumen4 halaman12 SIBank TeknologiInternetBankinga_setiajiBelum ada peringkat
- 11 Ksi-AbcDokumen7 halaman11 Ksi-Abca_setiajiBelum ada peringkat
- 04 SIBank JasaBankDokumen6 halaman04 SIBank JasaBanka_setiajiBelum ada peringkat
- 11 SIBank SistemKliringNasionalBankIndonesiaDokumen8 halaman11 SIBank SistemKliringNasionalBankIndonesiaa_setiajiBelum ada peringkat
- Anakinsis.10 ISACAdanCOBIT-1aDokumen17 halamanAnakinsis.10 ISACAdanCOBIT-1aa_setiajiBelum ada peringkat
- AnaKinSis.08 AuditSistemInformasiPadaPerbankanDokumen19 halamanAnaKinSis.08 AuditSistemInformasiPadaPerbankana_setiajiBelum ada peringkat
- 10 SIBank TeknologiPerbankanDokumen11 halaman10 SIBank TeknologiPerbankana_setiajiBelum ada peringkat
- 01 SIBank PendahuluanDokumen5 halaman01 SIBank Pendahuluana_setiajiBelum ada peringkat
- 06 SIBank ArsitekturBankDokumen5 halaman06 SIBank ArsitekturBanka_setiajiBelum ada peringkat
- 07 SIBank BankIndonesiaDokumen3 halaman07 SIBank BankIndonesiaa_setiajiBelum ada peringkat
- 09 SIBank AnalisisKinerjaBankDokumen4 halaman09 SIBank AnalisisKinerjaBanka_setiajiBelum ada peringkat
- 03 SIBank T4DanaBankDokumen4 halaman03 SIBank T4DanaBanka_setiajiBelum ada peringkat
- 05 SIBank KliringDokumen4 halaman05 SIBank Kliringa_setiajiBelum ada peringkat
- 08 SIBank MnjDanaBankDokumen5 halaman08 SIBank MnjDanaBanka_setiajiBelum ada peringkat
- 02 SIBank DanaBankDokumen4 halaman02 SIBank DanaBanka_setiajiBelum ada peringkat
- AnaKinSis 04-PelaksanaanAuditSistInfoDokumen14 halamanAnaKinSis 04-PelaksanaanAuditSistInfoa_setiajiBelum ada peringkat
