Nama : Siti Umaiyah Achdiyati S

Nim : 193100059
Semester :6
Mata Kuliah : Audit Sistem Informasi
Nama Dosen : Asti Ratnasari, M.Kom
Keterangan Resume : Bab 1

BAB 1: KERANGKA COBIT

Dalam beberapa tahun terakhir, menjadi semakin jelas bahwa ada kebutuhan akan
kerangka acuan untuk mengembangkan dan mengelola pengendalian internal dan
tingkat keamanan yang sesuai dalam teknologi informasi (TI). COBIT (Tujuan
Kontrol untuk Informasi dan Teknologi terkait) menyediakan kerangka kerja
kontrol dan keamanan untuk TI. Kerangka kerja COBIT dijelaskan dalam bab ini.
KONTEKS COBIT: MUNCULNYA PERUSAHAAN DAN TATA
KELOLANYA
Tata kelola perusahaan yang efektif memfokuskan keahlian dan pengalaman
individu dan kelompok di tempat yang paling produktif, memantau dan mengukur
kinerja, dan memberikan jaminan untuk masalah kritis. TI, yang telah lama
dianggap hanya sebagai penggerak strategi perusahaan, kini harus dianggap sebagai
bagian integral dari strategi itu
Tata kelola TI merupakan bagian integral dari keberhasilan tata kelola perusahaan
dengan memastikan peningkatan terukur yang efisien dan efektif dalam proses
perusahaan terkait. Tata kelola TI memungkinkan perusahaan untuk mengambil
keuntungan penuh dari informasinya, sehingga memaksimalkan manfaat,
memanfaatkan peluang dan mendapatkan keunggulan kompetitif
Melihat interaksi proses tata kelola perusahaan dan TI secara lebih rinci (gambar
1), tata kelola perusahaan, sistem di mana entitas diarahkan dan dikendalikan,
mendorong dan menetapkan tata kelola TI. Pada saat yang sama, TI harus
memberikan masukan penting untuk, dan merupakan komponen penting dari,
rencana strategis. TI sebenarnya dapat mempengaruhi peluang strategis yang
digariskan oleh perusahaan.
Perusahaan yang dikelola dengan baik menerapkan praktik terbaik yang diterima
secara umum untuk memastikan bahwa perusahaan mencapai tujuan strategis dan
operasionalnya. Mencapai tujuan tersebut mengharuskan entitas untuk mengambil
beberapa tingkat risiko—tidak ada imbalan tanpa beberapa tingkat risiko. Entitas
melembagakan kontrol atas strategi dan operasi untuk mengelola risikonya dan
membantu pencapaian tujuan dan strateginya.
Praktik-praktik ini membentuk dasar untuk arah kegiatan TI, yang dapat dicirikan
sebagai merencanakan dan mengatur, memperoleh dan mengimplementasikan,
menyampaikan dan mendukung, dan memantau dan mengevaluasi, untuk tujuan
ganda mengelola risiko (untuk mendapatkan keamanan, keandalan, dan kepatuhan)
dan mewujudkan manfaat (meningkatkan efektivitas dan efisiensi). Laporan
dikeluarkan tentang hasil kegiatan TI, yang diukur terhadap berbagai praktik dan
kontrol, dan kemudian siklus dimulai lagi. Siklus ini diilustrasikan pada gambar 2.
Model kontrol bisnis keseluruhan, seperti COSO (Committee of Sponsoring
Organizations of the Treadway Commission, Internal Control—Integrated
Framework, 1992, COSO Enterprise Risk Management Framework, 2004) di AS,
Turnbull di Inggris, CoCo di Kanada dan King di Afrika Selatan telah
dikembangkan dan diterbitkan. Selain itu, ada sejumlah model kontrol khusus TI,
seperti Kode Etik Keamanan dari Departemen Perdagangan dan Industri (DTI),
Inggris, Pedoman Kontrol Teknologi Informasi dari Canadian Institute of Chartered
Accountants (CICA), Kanada, dan Buku Pegangan Keamanan dari Institut Nasional
Standar dan Teknologi (NIST), AS. Namun, model kontrol terfokus ini tidak
menyediakan model kontrol yang komprehensif dan dapat digunakan atas TI yang
mendukung proses bisnis.
Yang paling terkait erat dengan COBIT dari perspektif TI adalah Prinsip dan
Kriteria SysTrustTM untuk keandalan sistem. SysTrust adalah penerbitan resmi
dari Komite Eksekutif Layanan Jaminan dari American Institute of Certified Public
Accountants (AICPA) di AS dan Dewan Pengembangan Layanan Jaminan CICA
di Kanada, sebagian didasarkan pada tujuan pengendalian COBIT.
Fokus utama COBIT adalah pengembangan kebijakan yang jelas dan praktik yang
baik untuk keamanan dan kontrol di TI untuk dukungan di seluruh dunia oleh
organisasi komersial, pemerintah dan profesional. Tujuan utamanya adalah
pengembangan tujuan pengendalian terutama dari tujuan bisnis dan perspektif
kebutuhan.
Apa yang Dipikirkan oleh Chief Finance Officer (CFO) dari Perusahaan
Energi tentang Cobit
Sebuah perusahaan energi AS mengadopsi COBIT sebagai tanggapan terhadap
peraturan Sarbanes-Oxley. Itu telah mencari struktur, dan alih-alih
mengembangkan kerangka kontrolnya sendiri, ia lebih suka mengadopsi kerangka
kerja yang diterima secara internasional—COBIT. CFO, yang merupakan anggota
komite pengarah TI organisasi, menyatakan: “Dewan direksi bertanggung jawab
atas pengendalian internal kami.
COBIT AUDIENCE: MANAJEMEN, PENGGUNA DAN AUDITOR
COBIT dirancang untuk digunakan oleh tiga audiens yang berbeda
• Manajemen—Untuk membantu mereka menyeimbangkan risiko dan
mengendalikan investasi di lingkungan TI yang sering tidak terduga
• Pengguna—Untuk mendapatkan jaminan keamanan dan kontrol layanan TI yang
disediakan oleh pihak internal atau ketiga
• Auditor—Menyediakan kerangka kerja untuk membantu mereka memberikan
pendapat tentang tingkat keyakinan atas materi pokok tertentu yang diaudit
dan/atau memberikan nasihat kepada manajemen tentang pengendalian internal
Sertifikasi CISA dan CISM
Ujian Certified Information Systems AuditorTM (CISA®) mengukur keunggulan
di bidang audit, kontrol, dan keamanan IS. Certified Information Security
Manager® (CISM®) adalah untuk individu yang harus mempertahankan
pandangan gambaran besar dengan mengelola, merancang, mengawasi, dan menilai
keamanan informasi perusahaan. Untuk informasi lebih lanjut tentang program-
program ini, silakan kunjungi www.isaca.org .
SPESIFIKASI KERANGKA COBIT
Untuk sepenuhnya memahami kerangka kerja COBIT, definisi berikut disediakan.
Pengendalian diadaptasi dari laporan COSO (Internal Control—Integrated
Framework) dan tujuan pengendalian TI diadaptasi dari Systems Auditability and
Control (SAC) Report, The Institute of Internal Auditors (IIA) Research
Foundation, 1991 dan 1994.
Konsep yang mendasari kerangka kerja COBIT adalah bahwa kontrol dalam TI
didekati dengan berkonsentrasi pada informasi yang diperlukan untuk mendukung
tujuan atau persyaratan bisnis, dan dengan melihat informasi sebagai hasil dari
aplikasi gabungan dari yang terkait dengan TI. sumber daya yang perlu dikelola
oleh proses TI.
COBIT tidak berusaha untuk menemukan kembali roda untuk persyaratan fidusia;
Definisi COSO untuk efektivitas dan efisiensi operasi, keandalan informasi dan
kepatuhan terhadap hukum dan peraturan digunakan. Namun, keandalan informasi
diperluas untuk mencakup semua informasi—bukan hanya informasi keuangan.
Memulai analisis dari persyaratan kualitas, fidusia dan keamanan yang lebih luas,
tujuh kategori berbeda, tentu saja tumpang tindih, diekstraksi. Definisi kerja COBIT
untuk masing-masing berikut:
• Efektivitas—Berkaitan dengan informasi yang relevan dan berkaitan dengan
proses bisnis serta disampaikan secara tepat waktu, benar, konsisten, dan dapat
digunakan
• Efisiensi—Menyangkut penyediaan informasi melalui penggunaan sumber daya
secara optimal (paling produktif dan ekonomis)
• Kerahasiaan—Tentang perlindungan informasi sensitif dari pengungkapan yang
tidak sah
• Integritas—Berkaitan dengan keakuratan dan kelengkapan informasi serta
validitasnya sesuai dengan nilai dan harapan bisnis
• Availability—Berkaitan dengan informasi yang tersedia saat dibutuhkan oleh
proses bisnis sekarang dan di masa depan. Ini juga menyangkut pengamanan
sumber daya yang diperlukan dan kemampuan terkait.
• Kepatuhan—Berurusan dengan mematuhi undang-undang, peraturan, dan
pengaturan kontrak yang tunduk pada proses bisnis, yaitu, kriteria bisnis yang
diberlakukan secara eksternal
• Keandalan informasi—Berkaitan dengan penyediaan informasi yang tepat bagi
manajemen untuk mengoperasikan entitas dan bagi manajemen untuk
melaksanakan tanggung jawab pelaporan keuangan dan kepatuhannya.
Bagaimana Grup Keuangan Besar Kanada Mengidentifikasi dan
Menggunakan Kriteria Informasi
Grup keuangan utama Kanada sedang merencanakan implementasi portal untuk
pelanggannya. Kasus bisnis untuk proyek e-bisnis ini menyatakan pembenaran
berikut, antara lain. Portal akan:
• Mengurangi biaya back-office dengan memperkenalkan layanan mandiri kepada
pelanggan.
• Menyediakan alat akses data yang kuat untuk staf dukungan call center.
Efektivitas dalam situasi ini berkaitan dengan aksesibilitas dan kegunaan fungsi
untuk audiens sasaran. Manajemen kemudian memilih ukuran spesifik yang
menunjukkan pencapaian tujuan tersebut. Keyakinannya adalah bahwa jika tujuan
ini tercapai, maka tingkat penerimaan pelanggan akan cukup untuk menurunkan
beban dan merampingkan pekerjaan untuk menghasilkan ekonomi yang dibangun
ke dalam kasus bisnis.
Perlu juga dicatat bahwa kerangka kerja tidak secara khusus mengacu pada
dokumentasi semua hal material yang berkaitan dengan proses TI tertentu. Sebagai
praktik yang baik, dokumentasi dianggap penting untuk pengendalian yang baik;
oleh karena itu, kurangnya dokumentasi akan menyebabkan tinjauan dan analisis
lebih lanjut untuk pengendalian kompensasi di area spesifik mana pun yang
ditinjau.
Lalu bagaimana organisasi dapat memuaskan diri mereka sendiri bahwa informasi
yang mereka peroleh menunjukkan karakteristik yang mereka butuhkan? Di sinilah
kerangka kerja tujuan pengendalian TI diperlukan. Gambar 6 mengilustrasikan
konsep ini.
Kerangka kerja COBIT terdiri dari tujuan kontrol tingkat tinggi dan struktur
keseluruhan untuk klasifikasi mereka. Teori yang mendasari klasifikasi tersebut
adalah bahwa pada dasarnya ada tiga tingkat upaya TI ketika mempertimbangkan
pengelolaan sumber daya TI.
Dengan demikian, kerangka konseptual dapat didekati dari tiga sudut pandang:
• Kriteria informas
• sumber daya TI
• proses TI
Definisi untuk empat domain yang diidentifikasi untuk klasifikasi tingkat tinggi
adalah:
• Rencanakan dan atur—Domain ini mencakup strategi dan taktik, dan menyangkut
identifikasi cara terbaik TI dapat berkontribusi pada pencapaian tujuan bisnis.
• Dapatkan dan implementasikan—Untuk mewujudkan strategi TI, solusi TI perlu
diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan
diintegrasikan ke dalam proses bisnis.
• Kirim dan dukung—Domain ini berkaitan dengan pengiriman aktual layanan yang
diperlukan, yang berkisar dari operasi tradisional atas aspek keamanan dan
kontinuitas hingga pelatihan.
• Pantau dan evaluasi—Semua proses TI perlu dinilai secara teratur dari waktu ke
waktu untuk kualitas dan kepatuhannya terhadap persyaratan control.
Jelas bahwa tindakan pengendalian atas proses TI tidak akan selalu memenuhi
semua kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama.
Singkatnya, untuk memberikan informasi yang dibutuhkan organisasi untuk
mencapai tujuannya, tata kelola TI harus dilakukan oleh organisasi untuk
memastikan bahwa sumber daya TI dikelola oleh serangkaian proses TI yang
dikelompokkan secara alami.
 KELUARGA PRODUK COBIT
Cobit menyediakan beberapa produk yang menjelaskan berbagai komponen cobit
secara rinci.
TUJUAN KONTROL
Cobit menyediakan satu set 34 tujuan kontrol tingkat tinggi, satu untuk setiap proses
TI, dikelompokkan ke dalam empat domain: merencanakan dan mengatur,
memperoleh dan menerapkan, menyampaikan dan mendukung, dan memantau dan
mengevaluasi. Dengan mengatasi 34 tujuan kontrol tingkat tinggi ini, pemilik
proses bisnis dapat memastikan bahwa sistem kontrol yang memadai disediakan
untuk lingkungan TI. Setiap tujuan pengendalian tingkat tinggi dibagi lagi dalam
daftar tujuan pengendalian yang terperinci. Secara total, Cobit berisi 318 tujuan
kontrol terperinci atas semua 34 proses TI. Gambar 10 memberikan contoh tujuan
pengendalian tingkat tinggi dan tujuan pengendalian rinci.
Contoh Tujuan Kontrol
Kontrol atas proses TI dalam mengelola layanan pihak ketiga yang memenuhi
persyaratan bisnis untuk memastikan bahwa peran dan tanggung jawab pihak ketiga
didefinisikan dengan jelas, dipatuhi, dan terus memenuhi persyaratan diaktifkan
oleh tindakan pengendalian yang ditujukan untuk peninjauan dan pemantauan
perjanjian dan prosedur yang ada untuk efektivitas dan kepatuhannya terhadap
kebijakan organisasi dan mempertimbangkan.
• Perjanjian layanan pihak ketiga
• Manajemen kontrak
• Perjanjian kerahasiaan
• Persyaratan hukum dan peraturan
• Pemantauan dan pelaporan pemberian layanan
• Penilaian risiko perusahaan dan TI
• Penghargaan dan penalti kinerja
• Akuntabilitas internal dan eksternal organisasi
• Analisis biaya dan varians tingkat layanan
Tujuan kontrol terperinci untuk DS2 mengelola layanan pihak ketiga
Antarmuka pemasok Manajemen harus memastikan bahwa semua layanan
penyedia pihak ketiga diidentifikasi dengan benar dan bahwa antarmuka teknis dan
organisasional dengan pemasok didokumentasikan.
 PEDOMAN AUDIT
Pedoman audit menguraikan dan menyarankan kegiatan penilaian yang akan
dilakukan sesuai dengan masing-masing dari 34 tujuan pengendalian TI tingkat
tinggi, memberikan panduan bermanfaat tentang siapa yang harus diwawancarai;
pertanyaan apa yang harus diajukan; dan bagaimana mengevaluasi pengendalian,
menilai kepatuhan, dan akhirnya membuktikan risiko dari setiap pengendalian yang
teridentifikasi tidak terpenuhi.
PEDOMAN MANAJEMEN
Pedoman manajemen COBIT menyediakan hubungan penting antara kontrol TI dan
tata kelola TI.
Pedoman pengelolaan tersebut antara lain:
• Model kedewasaan—Model kematangan untuk kontrol atas proses TI terdiri dari
metode penilaian, sehingga organisasi dapat menilai kematangannya untuk proses
TI, dari tidak ada hingga dioptimalkan, menggunakan skala bertahap dari 0 hingga
5.
• Faktor penentu keberhasilan (CSF)—CSF mendefinisikan masalah atau tindakan
paling penting bagi manajemen untuk dipertimbangkan atau dilakukan untuk
mencapai kontrol atas dan di dalam proses TI.
• Indikator tujuan utama (KGI)—KGI menentukan ukuran yang memberi tahu
manajemen, setelah fakta, apakah proses TI telah mencapai persyaratan bisnisnya.
Misalnya, KGI meliputi:
– Mencapai laba atas investasi atau manfaat nilai bisnis yang ditargetkan
– Peningkatan manajemen kinerja – Mengurangi risiko
• Indikator kinerja utama (KPI)—KPI menentukan ukuran untuk menentukan
seberapa baik kinerja proses TI dalam memungkinkan tercapainya tujuan.
COBIT dan Balanced Scorecard
KGI dan KPI yang disediakan di COBIT menawarkan informasi yang berguna
untuk membantu membangun kartu skor seimbang untuk departemen TI atau
domain atau proses TI tertentu. KGI dan KPI memberikan masukan untuk
menentukan metrik dalam perspektif yang berbeda dari balanced scorecard
(perspektif keuangan, perspektif pelanggan, proses internal, pembelajaran dan
inovasi). Dan KPI tanpa KGI dapat menyebabkan investasi yang signifikan tanpa
pengukuran yang tepat yang menunjukkan apakah strategi manajemen tingkat
layanan (SLM) yang dipilih efektif. Oleh karena itu, balanced scorecard yang baik
mengandung campuran KGI dan KPI terkait.
 Organisasi Transportasi Besar Menggunakan Balanced Scorecard dan
COBIT untuk Mengelola Produktivitas TI
De Lijn adalah grup transportasi milik publik utama di Belgia yang mempekerjakan
hampir 7.000 orang. Grup Gartner melaporkan bahwa De Lijn menggunakan
pendekatan kartu skor seimbang dan COBIT untuk meningkatkan daya tanggap
pelanggan dan produktivitas grup TI.
ORIENTASI TUJUAN BISNIS COBIT
Klasifikasi domain di mana tujuan kontrol tingkat tinggi berlaku (domain dan
proses) merupakan indikasi kebutuhan bisnis untuk informasi dalam domain itu,
serta sumber daya TI yang terutama dipengaruhi oleh tujuan kontrol. Bersama-
sama, mereka membentuk kerangka kerja COBIT. Kerangka kerja ini didasarkan
pada aktivitas penelitian yang telah mengidentifikasi 34 tujuan pengendalian
tingkat tinggi dan 318 tujuan pengendalian terperinci.
Studi Kasus COBIT: Pabrik Bir Afrika Selatan Terbatas
South African Breweries Limited (SAB Ltd.) memproduksi dan mendistribusikan
bir dan minuman nonalkohol di Eropa, Asia dan Afrika. Lebih dari 200 dari 7.000
karyawan organisasi bekerja di bidang sistem informasi. Setelah belajar tentang
COBIT dari Gartner Group, SAB Ltd. menggunakan COBIT untuk
mengembangkan dokumen strategi arsitektur TI dan perusahaan.
TABEL RINGKASAN COBIT
Seperti yang dibahas sebelumnya dalam teks, gambar 14 memberikan indikasi,
berdasarkan proses dan domain TI, kriteria informasi mana yang dipengaruhi oleh
tujuan pengendalian tingkat tinggi dan sumber daya TI mana yang dapat diterapkan.
Tabel tersebut memetakan kriteria informasi untuk masing-masing dari 34 proses
TI (tujuan pengendalian).
 PERTANYAAN TINJAUAN
1. Bagaimana siklus plan, do, check and correct berhubungan dengan tata kelola
TI?
2. Jelaskan persamaan dan perbedaan antara CoCo atau COSO dan COBIT.
Bisakah suatu entitas menggunakan CoCo atau COSO dan COBIT? Haruskah suatu
entitas mempekerjakan CoCo atau COSO dan COBIT?
3. Jelaskan target audiens COBIT.
4. Jelaskan tujuh kriteria informasi yang dirancang untuk ditangani oleh COBIT.
5. Diskusikan lima sumber daya TI yang diakui oleh kerangka kerja COBIT.
6. Apa perbedaan antara pedoman audit dan pedoman manajemen? Mengapa harus
ada pedoman terpisah dalam kerangka COBIT?
7. Apa perbedaan antara konsep umum kontrol dan kontrol di lingkungan TI?
8. Berikan dua contoh domain TI dan jelaskan masing-masing.
9. Apa perbedaan antara indikator sasaran utama dan indikator kinerja utama?
10. Apa yang dimaksud dengan model kedewasaan? Ciptakan model kedewasaan
untuk domain pengetahuan di luar teknologi informasi (misalnya, untuk siswa,
aktivitas atau organisasi olahraga atau budaya).
11. Apa itu proses TI? Berikan dua contoh proses TI

Referensi

Instatue, I. G. (n.d.). Cobit Student Book. Governance An International Journal Of

Policy And Administration.
Instatue, I. G. (n.d.). Komponen cobit untuk proses IT DS2. Governance An
International Journal Of Policy And Administration.

LINK BLOG
https://sitiumaiyahachdiyati.blogspot.com/2022/04/resume-buku-tentang-cobit-
bab-1-dengan_21.html