Bab 6 COBIT and Other ISACA Guidance

Introduction To COBIT

COBIT (awalnya ditulis sebagai CobiT) adalah akronim yang semakin dikenal
oleh banyak auditor internal dan eksternal dan profesional TI. COBIT adalah kerangkan
pengendalian internal yang penting yang dapat berdiri sendiri, namun juga penting
sebagai alat pendukung untuk mendokumentansikan dan memahami konovitas internal
COSO dan Sox. Pengetahuan umum tentang COBIT harus menjadi sebuah persyaratan
internal auditor CBOK.

Standar dan kerangka kerja COBIT dikeluarkan dan diperbarui secara berkala oleh
IT Governance Institute (ITGI) dan organisasi profesional Audit dan Kontrol Sistem
Informasi (ISACA) yang terkait erat. ISACA lebih fokus pada audit TI. Sementa penekanan
ITGI adalah pada proses penelitian dan tata kelola. ISACA awalnya dikenal sebagai
Electronic Data Processing Auditor Association (EDPAA), sebuah grup profesional yang
dimulai tahun 1967 oleh auditor internal yang merasa Organisasi profesional mereka
Institute of Internal Auditor (IIA) tidak memberi cukup perhatian pentingnya sistem TI dan
kontrol teknologi sebagai bagian dari kegiatan audit internal. EDP pernah berdiri untuk
pengolahan data elektronik. Seiring waktu, perusahaan profesional ini memperluas
fokusnya dan menjadi ISACA, sementara IIA juga telah lama memegang isu teknologi
yang kuat
COBIT memiliki lima bidang utama seputar konsep inti yang penting bagi tata kelola
TI:
1. Keselarasan Strategis. Upaya harus dilakukan untuk menyelaraskan operasi dan
aktivitas TI dengan semua operasi perusahaan lainnya.
2. Penyampaian Nilai. Proses harus ada untuk memastikan TI dan operasi
unit lainnyamemberikan manfaat yang dijanjikan sepanjang siklus pengiriman
dan dengan strategi itu mengoptimalkan biaya sambil menekankan nilai intrinsik TI
dan aktivitas terkait.
3. Manajemen Risiko. Manajemen di semua level harus memiliki pemahaman
yang jelas tentang penilaian risiko perusahaan, persyaratan kepatuhan, dan dampak
signifikan risiko.
4. Manajemen Sumber Daya. Dengan penekanan pada TI, harus ada investasi yang
optimal, dan pengelolaan yang tepat, sumber daya TI kritis, aplikasi, informasi,
infrastruktur dan manusia. Tata kelola TI yang efektif bergantung pada optimalisasi
pengetahuan dan infrastruktur.
5. Pengukuran Kinerja. Proses harus di tempat untuk melacak dan memantau
implementasi strategi, penyelesaian proyek, penggunaan sumber daya, kinerja proses,
dan pengiriman layanan. Mekanisme tata kelola TI harus menerjemahkan
implementasi strategi menjadi tindakan dan pengukuran untuk mencapai tujuan ini.
COBIT Framewrok
COBIT membantu perusahaan untuk menciptakan nilai IT yag optimal, menjaga
keseimbangan antara mewujudkan manfaat dan mengoptimalisasi tingkat resiko dan sumber
yang digunakan
COBIT memungkinkan informasi dan teknologi yang berhubungan untuk dikelola
dan diatur dengan cara yang menyeluruh pada setiap bagian perusahaan, mengambil peran
penuh pada bisnis dan area fungsional dan tanggung jawab perusahaan, denan
mempertimbangkan bahwa IT berhubungan dengan stakeholders yang berasal dari internal
dan eksternal perusahaan.
Sebagai titik klarifikasi, semua referensi untuk COBIT mencakup versi saat ini, 5.
COBIT versi sebelumnya telah lebih dari orientasi TI, sehingga sulit untuk dipahami oleh
banyak profesi non-IT nasional. COBIT telah disederhanakan selama bertahun-tahun, dan
versi 5 adalah penting dan alat yang berguna untuk mengevaluasi dan memahami kontrol
internal. COBIT 5 – Principle dan Enablers adalah umum dan bermanfaat untuk semua
ukuran perusahaan, baik itu komersial ataupun tidak, atau untuk penyedia layanan publik.

Berdasarkan 5 prinsip COBIT didasarkan pada lima prinsip kunci untuk tata kelola
dan manajemen perusahaan TI:
a. Prinsip 1: Pertemuan Kepetingan Kebutuhan
b. Prinsip 2: Meliputi Enterprise End-To-End
c. Prinsip 3: Menerapkan Kerangka, Single Terpadu
d. Prinsip 4: Mengaktifkan Pendekatan Kebutuhan
e. Prinsip 5: Memisahkan Tata Kelola Dari Manajemen

 Prinsip 1: Pertemuan Kepetingan Kebutuhan

Prinsip pertama COBIT yang menyatakan bahwa suatu perusahaan dan
manajemen utamanya harus menyadari bahwa usaha mereka ada untuk menciptakan
nilai bagi para pemangku kepentingan mereka, apakah mereka investor, pelanggan,
karyawan, pengguna, atau orang lain. Akibatnya, apapun perusahaan, komersial atau
 tidak, harus memiliki konsep penciptaan nilai ini sebagai utama tujuan manajemen
dan tata kelola.
Sebagaimana didefinisikan dalam COBIT, berarti mewujudkan berbagai
manfaat dengan biaya sumber daya yang optimal, risiko, dan pemanfaatan sumber
daya. Manfaat ini dapat mengambil banyak manfaat formulir, termasuk keuangan
untuk perusahaan komersial atau layanan publik untuk entitas pemerintah.
COBIT untuk kepentingan perlu ditransformasikan menjadi strategi yang dapat
ditindak lanjuti yang menerjemahkan kebutuhan kepentingan menjadi tujuan spesifik
dan yang terkait dengan perusahaan dan TI, sehingga menjadi tujuan yang
memungkinkan,dan dengan demikian secara efektif mendukung keselarasan antara
kebutuhan perusahaan dan solusi dan layanan TI.
COBIT mendefinisikan ini sebagai proses mengidentifikasi TI dan kebutuhan
manajemen dan kemudian membangun tujuan dari kebutuhan tersebut.

 Prinsip 2: Meliputi Enterprise End-To-End

COBIT menyatakan bahwa ini membahas tata kelola dan manajemen
informasi dan teknologi terkait dari perspektif ujung ke ujung perusahaan-bukan akhir
yang sangat umum bagi sebagian besar auditor internal. Ini berarti bahwa COBIT
memerlukan integrasi tata kelola TI perusahaan, dan bahwa sistem tata kelola untuk
perusahaan IT yang diusulkan oleh COBIT harus berintegrasi dengan mulus dalam
sistem tata kelola apa pun.
COBIT sejalan dengan pandangan tentang tata kelola TI yang mencakup
semua fungsi dan proses yang diperlukan untuk mengatur dan mengelola informasi
perusahaan dan teknologi terkait di mana pun informasi itu dapat diproses.
Dengan cakupan perusahaan yang luas ini, COBIT juga membahas semua masalah
internal dan layanan TI eksternal, serta proses bisnis internal dan eksternal.

 Prinsip 3: Menerapkan Kerangka, Single Terpadu

COBIT adalah kerangka kerja tunggal dan terintegrasi karena sejalan dengan
standar dan kerangka kerja lain yang relevan saat ini, seperti ITIL, dan
memungkinkan perusahaan untuk menggunakan COBIT sebagai tata kelola kerangka
kerja dan integrator kerangka kerja manajemen yang menyeluruh. Ini lengkap dalam
cakupan perusahaan, memberikan dasar untuk berintegrasi secara efektif kerangka
kerja lain, standar, dan praktik. Kerangka kerja tunggal menyeluruh berfungsi sebagai
sumber bimbingan yang konsisten dan terintegrasi dalam bahasa umum nonteknis,
teknologi-agnostik.

 Prinsip 4: Mengaktifkan Pendekatan Kebutuhan

Enabler adalah faktor-faktor yang, secara individu dan kolektif, mempengaruhi
apakah sesuatu akan bekerja dalam hal ini, tata kelola dan manajemen atas perusahaan
IT. Enabler didorong oleh tujuan yang mengalir dari prinsip 3, di mana tujuan terkait
TI tingkat tinggi menentukan apa yang harus dicapai oleh enabler yang berbeda.
Dijelaskan oleh kerangka kerja COBIT 5 dalam enam kategori :
 1. Principles, policies, and frameworks;Adalah alat untuk menerjemahkan
perilaku yang diinginkan ke dalam panduan praktis untuk manajemen sehari-
hari.
2. Organizational structure;Merupakan entitas pengambil keputusan utama
dalam suatu organisasi.
3. Culture, ethics, and behavior;Individu dan organisasi sangat sering
diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan
manajemen.
4. Information;Apakah meluas di seluruh organisasi, sesuai dengan semua
informasi yang dihasilkan dan digunakan oleh perusahaan. Informasi
diperlukan untuk menjaga agar organisasi tetap berjalan dan diatur dengan
baik, tetapi pada tingkat operasional, informasi seringkali merupakan produk
utama dari perusahaan itu sendiri.
5. Service, infrastructure, and application;Enablers Termasuk infrastruktur,
teknologi, dan aplikasi yang menyediakan perusahaan dengan pemrosesan dan
layanan teknologi informasi.
6. Personal professional skills and competencies;Diperlukan untuk
menyelesaikan semua kegiatan dengan sukses dan untuk membuat keputusan
yang benar dan mengambil tindakan korektif.

 Prinsip 5: Memisahkan Tata Kelola Dari Manajemen

Prinsip COBIT yang tersisa dan kelima berfokus pada pentingnya konsep
manajemen dan tata kelola yang terpisah namun terkait dalam perusahaan berorientasi
IT.
Kerangka kerja COBIT membuat perbedaan yang jelas antara tata kelola dan
manajemen. Dua disiplin ilmu ini meliputi berbagai jenis kegiatan, memerlukan
struktur organisasi yang berbeda, dan melayani tujuan yang berbeda. Perbedaan ini
adalah kunci untuk pandangan COBIT tentang tata kelola dan manajemen.

Using COBIT To Assess Internal Controls

Sementara kontrol internal COSO dibangun di sekitar hanya model kerangka kerja
tunggal dan beberapa panduan umum untuk mengevaluasi dan menilai kontrol internal ini,
ada serangkaian materi yang luas dan terperinci yang mendukung penilaian kontrol internal
COBIT. Pada bagian ini, memberikan ringkasan terbatas dari beberapa bahan panduan
COBIT untuk memberikan rasa COBIT kepada auditor internal, tetapi profesional yang
tertarik mungkin ingin berkonsultasi dengan situs web ISACA untuk informasi lebih lanjut
dan untuk meminta salinan penuh dari materi pendukung.
COBIT membagi langkah-langkah yang diperlukan untuk mengevaluasi kontrol dan
proses TI ke dalam apa yang COBIT sebut sebagai beberapa area domain:
1. Evalate, Direct, and Monitor (EDM)
2. Align, Plan, and Organize (APO)
3. Build, Acquire, and Implement (BAI_
4. Deliver, Service, and Support (DSS)
5. Monitor, Evaluate, and Assess (MEA)
Mapping COBIT To COSO Internal Contorls
Kerangka kerja pengendalian internal COSO menyatakan bahwa pengendalian
internal adalah proses yang ditetapkan oleh dewan direksi, manajemen senior, dan personel
lain dari entitas yang dirancang untuk memberikan jaminan yang wajar mengenai pencapaian
tujuan yang dinyatakan. Meskipun memiliki tujuan yang serupa, COBIT mendekati kontrol
TI dengan melihat pada informasi tidak hanya informasi keuangan COSO yang diperlukan
untuk mendukung persyaratan bisnis dan sumber daya serta proses TI terkait.
Tujuan pengendalian COSO mencakup efektivitas, efisiensi operasi, pelaporan
keuangan yang andal, dan kepatuhan terhadap undang-undang dan peraturan. Peran utamanya
adalah untuk kontrol internal keuangan dan keuangan. Di sisi lain, sementara ISACA dan
ITGI mengakui dan membuat referensi eksplisit ke peran kontrol keuangan internal COSO,
mereka memperluas peran COBIT untuk mencakup persyaratan kualitas dan keamanan dalam
kategori efektivitas, efisiensi, kerahasiaan kepercayaan, integritas, ketersediaan, yang
tumpang tindih. kepatuhan, dan keandalan informasi. Kategori-kategori ini membentuk dasar
dari tujuan kontrol COBIT dalam lima area domainnya.
COSO dan COBIT melayani audiens yang berbeda. Sementara target audiens COSO
bersifat umum dan diarahkan ke manajemen senior, COBIT lebih ditujukan untuk manajemen
TI, pengguna TI, dan auditor internal dan eksternal TI. Baik COSO dan COBIT memandang
kontrol internal sebagai proses entitas yang luas, tetapi COBIT secara khusus berfokus pada
kontrol TI. Perbedaan ini pada hakekatnya menentukan dan menentukan sebagian besar
cakupan dari masing-masing kerangka kerja kontrol.