Internal Control Framework CobiT
Internal Control Framework CobiT
A031181361
Pengiriman nilai. Proses harus ada untuk memastikan bahwa TI dan unit operasi lainnya
memberikan manfaat yang dijanjikan sepanjang siklus pengiriman dan dengan strategi yang
mengoptimalkan biaya sambil menekankan nilai intrinsik TI dan aktivitas terkait.
Manajemen risiko. Manajemen, di semua tingkatan, harus memiliki pemahaman yang jelas tentang
selera risiko perusahaan, persyaratan kepatuhan, dan dampaknya risiko yang signifikan. Baik TI dan
operasi lainnya memiliki tanggung jawab manajemen risiko sendiri dan bersama yang dapat
berdampak secara individu atau bersama-sama pada seluruh perusahaan.
Pengelolaan sumber daya. Dengan penekanan pada TI, harus ada investasi yang optimal dan
pengelolaan yang tepat dari sumber daya TI kritis, aplikasi, informasi, infrastruktur, dan orang-orang.
Tata kelola TI yang efektif bergantung pada optimalisasi pengetahuan dan infrastruktur.
Pengukuran kinerja. Proses harus ada untuk melacak dan memantau implementasi strategi,
penyelesaian proyek, penggunaan sumber daya, kinerja proses, dan pemberian layanan. Mekanisme
tata kelola TI harus menerjemahkan strategi implementasi menjadi tindakan dan pengukuran untuk
mencapai tujuan ini. Kelima masalah pengendalian internal CobiT ini adalah elemen kerangka CobiT
dan tata kelola TI yang jelas. Kerangka kerja CobiT adalah alat yang efektif untuk
mendokumentasikan TI dan semua kontrol internal lainnya.
melalui pedoman audit yang ditetapkan, diukur dengan serangkaian ukuran dan aktivitas indikator
kinerja, dan dibuat efektif melalui serangkaian tujuan aktivitas. Semua aktivitas ini merupakan bagian
dari CobiT, kerangka kerja kontrol termasuk TI dan proses bisnis. Auditor internal harus memahami
kebutuhan dan persyaratan berbagi informasi di kedua sisi. TI memiliki tanggung jawab atas
serangkaian area proses terkait lainnya yang diaudit oleh atau melalui pedoman audit yang ditetapkan,
diukur dengan serangkaian ukuran dan aktivitas indikator kinerja, dan dibuat efektif melalui
serangkaian tujuan aktivitas. Semua aktivitas ini merupakan bagian dari CobiT, kerangka kerja
kontrol termasuk TI dan proses bisnis.
Tata kelola TI adalah konsep CobiT kunci yang, sebelum SOx, tidak terlalu ditekankan
sebagai elemen CobiT. Ini adalah konsep pengendalian internal yang penting saat ini dengan ITGI
memainkan peran kepemimpinan yang kuat. Seperti yang dijelaskan dalam Tampilan 5.1, CobiT
mendefinisikan tata kelola TIsebagai serangkaian area utama mulai dari menjaga fokus pada
penyelarasan strategis hingga pentingnya pengukuran risiko dan kinerja.
a) Komponen Kubus CobiT: Sumber Daya TI
Sisi Sumber Daya TI dari kubus CobiT tiga dimensi mewakili semua aset TI
perusahaan, termasuk orang-orangnya, sistem aplikasi, teknologi terpasang, fasilitasnya, dan
nilai datanya. Melihat Tampilan 5.3, sisi kubus ini mewakili perhatian untuk semua sumber
daya yang diperlukan untuk pengoperasian sumber daya TI perusahaan. Baik secara individu
atau sebagai kelompok, sumber daya ini harus dipertimbangkan ketika mengevaluasi kontrol
dalam lingkungan TI, yang diidentifikasi sebagai:
Aplikasi terdiri dari sistem pengguna otomatis dan prosedur manual untuk memproses
informasi Informasi, termasuk input, output, dan data yang diproses, untuk digunakan oleh
proses bisnis
Komponen teknologi dan infrastruktur fasilitas termasuk perangkat keras, sistem operasi,
database, jaringan, dan lingkungan yang menampung dan mendukungnya
Personil kunci dan khusus untuk merencanakan, mengatur, memperoleh, menerapkan,
mendukung, memantau, dan mengevaluasi layanan TI
Perencanaan dan Pengorganisasian (PO) tingkat tinggi, didefinisikan dan dinomori dengan
cara ini:
PO1 Menentukan rencana strategis.
PO2 Menentukan gambaran informasi.
PO3 Menentukan arah teknologi.
PO4 Mendefinisikan proses TI, perusahaan, dan hubungan.
PO5 Mengelola investasi TI.
PO6 Komunikasikan tujuan manajemen dan arah.
PO7 Mengelola sumber daya manusia TI.
PO8 Mengelola kualitas.
PO9 Menilai dan mengelola risiko TI.
PO10 Mengelola proyek.
Ini semua adalah konsep tingkat tinggi di mana banyak manajer mungkin
berargumen, "Tentu saja!" ketika auditor internal menggunakan daftar ini untuk menanyakan
apakah mereka memiliki rencana strategis, telah mendefinisikan arsitektur informasi mereka,
atau sesuai dengan salah satu tujuan PO ini. Namun, CobiT menelusuri area tujuan control
yang telah ditentukan dengan lebih rinci. Meskipun banyak dari masalah yang serupa, hal ini
sangat kontras dengan elemen Pemantauan dari pengendalian internal COSO sebagaimana
dibahas dalam Bab 3. Di sana, konsepnya hanya berada pada level yang cukup tinggi; CobiT
jauh lebih spesifik. Misalnya, dengan menggunakan tujuan pengendalian PO1 ini untuk
mendefinisikan rencana strategis, CobiT kemudian menjelaskan enam tujuan yang lebih rinci
di bawah PO1:
PO1.1 Manajemen nilai TI.
PO1.2 Keselarasan Bisnis-IT.
PO1.3 Penilaian kinerja saat ini.
PO1.4 IT rencana strategis.
PO1.5 IT rencana taktis.
PO1.6 Manajemen portofolio TI.
Penomoran ini penting, karena COBIT diterbitkan dari referensi masing-masing dan
dan sebagai tujuan dalam hal input dan output mereka. Bahan COBIT diterbitkan
memberikan gambaran tingkat tinggi untuk masing-masing sasarannya. Sebagai contoh,
tujuan PO1.4 pada rencana strategis menyatakan:
“Membuat rencana strategis dapat didefinisikan bahwa, dalam kerjasama dengan para
pemangku kepentingan yang relevan, TI harus memberikan kontribusi untuk tujuan strategis
perusahaan itu (gol) dan biaya terkait dan risiko pengedaliannya. Ini mencakup bagaimana
TI akan mendukung program investasi dan pelayanan operasional. Ini mendefinisikan
bagaimana tujuan akan bertemu dan diukur dan akan diterima secara formal dari para
Satria Putra
A031181361
II. Yang memenuhi kebutuhan bisnis untuk TI menanggapi kebutuhan bisnis yang selaras
dengan strategi bisnis, sekaligus mengurangi solusi dan cacat pengiriman dan pengerjaan
ulang
III. Dengan berfokus pada pengendalian penilaian dampak, otorisasi, dan pelaksanaan
semua perubahan pada infrastruktur TI, aplikasi, dan solusi teknis, meminimalkan kesalahan
karena permintaan spesifikasi lengkap dan implementasi penghentian perubahan tidak sah
IV. Dapat dicapai dengan Mendefinisikan dan mengkomunikasikan prosedur perubahan,
termasuk perubahan darurat Menilai, memprioritaskan, dan otorisasi perubahan Status
Pelacakan dan pelaporan tentang perubahan
V. Dan diukur dengan Jumlah gangguan atau kesalahan data yang disebabkan oleh
spesifikasi yang tidak akurat atau tidak lengkap Application penilaian dampak atau ulang
infrastruktur akibat tidak memadai spesifikasi Persen perubahan perubahan yang mengikuti
perubahan internal mengontrol proses.
Tujuan pengendalian CobiT ini dijelaskan sebagai "rinci" tetapi memberikan celah
untuk berbagai prosedur pengendalian yang lebih luas lagi. Misalnya, ME2.1 tentang
pemantauan kerangka pengendalian internal meminta auditor internal untuk mengembangkan
prosedur pengendalian terperinci yang biasanya dapat menghasilkan program yang terdiri dari
lebih banyak pengujian atau langkah. Tujuan pengendalian CobiT ini, serta semua tujuan
lainnya dalam dokumentasi pendukung, memiliki bagian tentang menilai kematangan setiap
pengendalian internal. Kematangan di sini mengacu pada Model Kematangan Kemampuan
(CMM; kadang-kadang disebut CMMi, di mana saya singkatan dari integrasi area proses dan
praktik terbaik). CMMi adalah ukuran penilaian lima tingkat yang dirancang dan
dikembangkan oleh Universitas Carnegie Mellon. 3 Model tersebut telah menetapkan level
ketika kontrol dapat dinilai dari CMMi level 1 yang tidak ada, level 2 sebagai kontrol awal
Satria Putra
A031181361
atau ad hoc hingga level 5, kontrol yang dioptimalkan. CobiT menilai setiap kontrolnya
terhadap ukuran CMMi ini.
Misalnya, CobiT mendefinisikan bahwa perusahaan akan berada di Level 3,
pengendalian proses yang didefinisikan untuk ME2, Memantau dan Mengevaluasi
Pengendalian Internal, ketika manajemen mendukung dan telah melembagakan pemantauan
pengendalian internal. Panduan selanjutnya mengatakan bahwa kebijakan dan prosedur harus
dikembangkan untuk memproses dan melaporkan aktivitas pemantauan pengendalian internal.
Untuk mencapai level CMMi ini, program pendidikan dan pemantauan untuk pemantauan
pengendalian internal harus didefinisikan. Materi CobiT yang diterbitkan memiliki
seperangkat materi panduan tingkat kematangan CMMi yang terbatas untuk masing-masing
kontrol internal mereka. Meskipun dirangkum pada tingkat yang sangat tinggi, pedoman
model kedewasaan ini memungkinkan perusahaan untuk menilai bagaimana kinerjanya terkait
dengan masing-masing pengendalian internal CobiT.
pada awalnya dibangun terutama sebagai alat audit TI. Meskipun perpindahan dari ISACA ke sponsor
ITGI telah memperluas daya tarik dan fokusnya, fokus TI yang berat di banyak materi panduan CobiT
yang diterbitkan membuat takut beberapa calon pengguna. Kekuatan sebenarnya dari CobiT adalah
fokus tata kelola TI-nya, seperti yang dijelaskan dalam Tampilan 5.1.
Bagan tersebut menggambarkan pentingnya aliansi strategis bisnis dan sumber daya TI
dengan penyampaian nilai, pengelolaan sumber daya, pengelolaan risiko, dan proses pengukuran
kinerja. Kelima sumber daya ini memungkinkan perusahaan untuk membangun tata kelola TI yang
efektif, dan CobiT harus membantu dalam mengelola dan memahami konsep ini. Kami dapat
mengharapkan standar dan praktik yang diterbitkan CobiT untuk terus memperluas dan melampaui
konsep khusus "audit TI". Semua auditor internal harus memiliki pemahaman CBOK tentang CobiT
dan belajar menggunakan dan memahami kerangka penilaian pengendalian internal ini.