AUDIT TEKNOLOGI SISTEM
INFORMASI
4KA06
Nama & NPM
1. Bagus Putra Nata 12114000
2. Billy Jodhi Sangkala 12114162
3. Edgardo Hamdola 13114389
4. Siti Kardiyanti Sukma 1A114359
COBIT
Pengertian COBIT
Control Objectives for Information and related
Technology (COBIT) merupakan panduan standar praktik manajemen teknologi
informasi yang dimana menjadi sekumpulan dokumentasi best practices untuk IT
governance yang dapat membantu auditor, manajemen dan user untuk menjembatani
gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan
teknis. Tujuan utama COBIT adalah menyediakan kebijakan yang jelas dan good
practice untuk IT governance, membantu manajemen senior dalam memahami dan
mengelola risiko-risiko yang berhubungan dengan IT.
CARA KERJA COBIT
Auditor SISTEM INFORMASI dan IT, profesional
penjamin dan asesor melakukan audit, kerja jaminan atau penilaian proses TI
(TASK) dan, selain tujuan akhir, memiliki tugas umum untuk diselesaikan seperti
merencanakan dan melaksanakan aktivitas dan melaporkan hasilnya.
Menggunakan COBIT menjelaskan secara rinci
bagaimana melakukan penilaian, sebagai contoh bagaimana cara menentukan apakah
suatu proses kerja berada pada kemampuan tingkat 1 dan sebuah refleksi tentang
mengapa dan bagaimana auditor, profesional penjamin dan penilai harus
memikirkan dan meningkatkan tingkat kemampuan mereka sendiri.
Proses level
kapabilitas
PROCESS LEVEL |
CAPABILITY |
0 (Tidak lengkap) |
Prosesnya tidak diimplementasikan atau gagal mencapai tujuan prosesnya. Pada tingkat ini, hanya sedikit atau tidak ada bukti pencapaian tujuan proses yang sistematis. |
1 (Performa) |
Proses yang diimplementasikan mencapai tujuan prosesnya. |
2 (Managed) |
Proses yang dilakukan sekarang dilaksanakan dengan cara yang dikelola (direncanakan, dipantau dan disesuaikan) dan produk kerjanya ditetapkan, dikontrol dan dipelihara dengan tepat. |
3 (Estabilisasi) |
Proses yang dikelola sekarang diimplementasikan dengan menggunakan proses yang didefinisikan yang mampu mencapai hasil prosesnya. |
4 (Prediksi) |
Proses yang telah mapan sekarang beroperasi dalam batasan yang ditetapkan untuk mencapai hasil prosesnya. |
5 (Optimasisasi) |
Proses yang dapat diprediksi terus ditingkatkan untuk memenuhi tujuan bisnis saat ini dan yang diproyeksikan |
Atribut proses digunakan untuk menilai setiap
proses
Indikator untuk mendasarkan hasil penilaian
masing-masing atribut proses (berdasarkan dan selaras dengan ISO / IEC 15504):
Tingkat Kemampuan 1 Indikator khusus untuk
setiap proses dan menilai apakah atribut berikut telah tercapai: Proses yang
diimplementasikan mencapai tujuan prosesnya. Level 1 membahas isi rinci dari
proses COBIT 5, jadi kita perlu mendefinisikan karyanya dalam COBIT 5 terms.
Tingkat kemampuan 2 sampai 5-Penilaian
kemampuan didasarkan pada indikator kinerja generik. Ini disebut generik karena
berlaku di semua proses, namun berbeda dari satu tingkat kemampuan ke tingkat
lainnya.
Tingkat Kemampuan 1: Mendefinisikan
Spesifikasi Proses Kerja
Ada kerangka audit yang sangat dikenal dan
berguna, seperti ITAF ISACA: Kerangka Praktik Profesional untuk Audit Intern /
Assurance5 atau Standar Internasional untuk Standar Praktik Audit Internal
(Standar), 6 namun secara umum , aspek kunci adalah sama.
Setelah COBIT 5, seseorang harus
mendefinisikan proses itu sendiri, termasuk tujuan, hasil, praktik dasar dan
produk kerja.
Indikator Kemampuan Proses Tingkat 2 sampai 5
Penilaian tingkat kemampuan 2 sampai 5
didasarkan pada indikator kinerja proses generik.8 Ada enam tingkat kemampuan
dan sembilan atribut proses (PA) yang terkait. Setiap PA memiliki indikator
yang disebut "praktik generik," atau alat untuk mencapai kemampuan
yang ditangani oleh mereka dan "produk kerja" yang dibutuhkan untuk
mendukung pengelolaan suatu proses.
Pada tingkat 2, kinerja proses sekarang
diimplementasikan dengan cara yang dikelola (direncanakan, dipantau dan
disesuaikan) dan produk kerjanya ditetapkan, dikontrol dan dipelihara dengan
tepat. Sepintas, profesional bisa berpikir bahwa persyaratan ini termasuk dalam
proses audit dan mereka terpenuhi di level 1, namun bedanya adalah persyaratan
dokumentasi. Mungkin kegiatan penugasan dan, tentu saja, laporannya
didokumentasikan di tingkat 1, namun prosesnya sendiri harus didokumentasikan.
Pada level 2, dokumentasi proses harus
menentukan siapa yang bertanggung jawab atas disainnya (pemilik proses) dan
ruang lingkupnya; peran; Grafik yang bertanggung jawab, akuntabel, konsultasi
dan informasi (RACI); dan matriks kontrol internal. Pada level 3, sebuah
dokumen menguraikan kegiatan yang dibutuhkan untuk mencapai hasil proses yang
dipersyaratkan ("prosedur proses") dan diperlukan sebuah peta proses,
sehingga dokumentasi proses selesai.
Pertimbangan yang sama berlaku untuk sisa
produk kerja tingkat 2, rencana proses, rencana kualitas dan catatan kualitas.
Pada tingkat ini, aspek yang sangat penting dari laporan tugas ditetapkan,
termasuk konten, kriteria kualitas (yang akan ditinjau dan disetujui),
dokumentasi dan pengendaliannya, termasuk identifikasi, ketertelusuran dan
persetujuan, dan prosedur untuk versi dan perubahan kontrol menjadi terapan.
Pada level 3, proses yang telah mapan
menyelesaikan level 2 dan menambahkan dua produk kerja: kebijakan dan standar
dan catatan kinerja proses. Pada tingkat ini, proses yang dikelola sekarang
diimplementasikan dengan menggunakan proses yang didefinisikan yang mampu
mencapai hasil prosesnya.
Indikatornya meliputi produk berikut:
· Proses standar yang ditetapkan, termasuk
pedoman penjajaran yang tepat, dan urutan dan interaksi dengan proses lainnya
· Kompetensi dan peran serta infrastruktur
yang dibutuhkan untuk melaksanakan proses yang telah ditetapkan
· Metode yang sesuai untuk memantau
keefektifan dan kesesuaian proses yang ditetapkan
Pada titik ini, timbul pertanyaan, termasuk:
Mana tingkat yang tepat untuk mematuhi standar profesional-level 3 atau level 1?
Indikator menunjukkan jawabannya. Paling tidak, tingkat 3: Proses yang
didefinisikan mampu mencapai hasil proses, termasuk proses analisis dan hasil
pengukuran produk, mengidentifikasi dan menerapkan tindakan perbaikan, dan
membangun kembali kontrol.
Pada tingkat 4, proses yang mapan sekarang
beroperasi dalam batasan yang ditetapkan untuk mencapai hasil prosesnya dengan
mengukur hasil dan mengendalikan prosesnya.
Pada level 5, Optimizing Process, adalah
tujuan dan sumber daya yang bagus dan usaha harus diberikan untuk mencapainya.
HAL YANG DAPAT DI
PELAJARI DARI COBIT
· Sejauh mana Anda (TI) harus bergerak, dan
apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
· Apa saja indikator untuk suatu kinerja yang
bagus?
· Apa saja faktor atau kondisi yang harus
diciptakan agar dapat mencapai sukses ( ritical success factors )?
· Apa saja risiko-risiko yang timbul, apabila
kita tidak mencapai sasaran yang ditentukan?
· Bagaimana dengan perusahaan lainnya – apa
yang mereka lakukan?
· Bagaimana Anda mengukur keberhasilan dan
bagaimana pula membandingkannya.
CONTOH PENERAPAN STUDI
KASUS MENGGUNAKAN COBIT
Implementasi COBIT untuk IT di Pemerintahan,
resiko dan penyesuaian di Ecopetrol S.A.
Abstrak
Ecopetrol S.A adalah perusahaan minyak mentah
dan gas alam yang terintegrasi secara vertikal yang bergerak di bidang
eksplorasi, pengembangan dan produksi minyak mentah dan gas alam. Pada tahun
2007, Ecopetrol memperbarui strategi perusahaannya dengan tujuan pertumbuhan
yang jelas untuk tahun-tahun depan yang memerlukan perubahan dan peningkatan
penting dalam struktur organisasi dan proses yang mendukung tujuan strategis.
Akibatnya, ada tonggak penting, seperti
transformasi sifat hukum perusahaan, inisiasi operasi internasional dan
penerapan kerangka kerja COSO untuk memperkuat sistem pengendalian internal.
Perusahaan mencatatkan sahamnya di New York Stock Exchange pada bulan September
2008.
Sejalan dengan penerapan strategis dan untuk
memberikan respon tepat waktu dan efektif terhadap persyaratan yang dihasilkan
oleh situasi perusahaan, Divisi Teknologi Informasi memutuskan pada tahun 2008
untuk mengintegrasikan sistem manajemen TI, berdasarkan kerangka kerja yang
tepat. COBIT dipilih sebagai kerangka tata kelola TI yang tepat untuk
menerapkan sistem manajemen TI-nya.
Latar Belakang Studi
Kasus
Ecopetrol S.A adalah perusahaan minyak terpadu
terbesar di Kolombia dengan sekitar 7.000 karyawan langsung. Ini adalah salah
satu dari 40 perusahaan minyak teratas di dunia dan empat perusahaan minyak
terbesar di Amerika Latin. Selain Kolombia, yang menyumbang 60 persen dari
total produksi Ecopetrol, perusahaan tersebut terlibat dalam kegiatan
eksplorasi dan produksi di Brazil, Peru dan Amerika Serikat (Teluk Meksiko).
Ecopetrol juga meningkatkan partisipasinya dalam bio-fuel.
Daftar tahunan majalah Forbes dari 2.000
perusahaan terbesar di dunia (April 2010) menunjukkan bahwa Ecopetrol berada
pada posisi 222, dengan informasi berikut: Penjualan $ 14,26 miliar, Keuntungan
$ 2,40 miliar, Aset $ 27,20 miliar dan Nilai Pasar $ 54,14 miliar.
Tata Kelola Perusahaan Ecopetrol terdiri dari
praktik korporasi terbaik yang diperlukan untuk melestarikan etika bisnis dan
administrasi dan pengendalian perusahaan yang benar. Hal ini memungkinkan
perusahaan untuk bersaing melalui pengakuan dan penghormatan terhadap hak
pemegang saham, investor dan pemangku kepentingan lainnya berdasarkan pada
kebijakan yang jelas mengenai transparansi dalam pengelolaan dan pengungkapan
informasi tentang bisnis, yang pada gilirannya akan menghasilkan kepercayaan
yang lebih besar di antara para pemangku kepentingan dan pasar di umum. Sistem
pengendalian internal Ecopetrol dibingkai dalam standar internasional (COSO).
Divisi Teknologi Informasi Ecopetrol
bergantung pada Wakil Presiden Layanan dan Teknologi dan bertanggung jawab atas
proses manajemen informasi bagi perusahaan di dua bidang utama: pengembangan
dan implementasi solusi TI dan penyediaan layanan teknologi informasi dan
infrastruktur untuk mendukung proses bisnis.
Divisi Teknologi Informasi, yang memiliki
sekitar 150 karyawan langsung, bertanggung jawab untuk memastikan tata kelola
TI. Ini memiliki struktur internal yang sangat kuat, didistribusikan dengan
cara yang sesuai dengan kebutuhan proyek pengembangan bisnis, implementasi,
operasi dan dukungan solusi, dan memberikan layanan yang dibutuhkan. Selain
itu, berisi Unit Manajemen dan Arsitektur dan area Informasi Keamanan yang
merespons tingkat tertinggi Divisi TI untuk memandu proses yang terkait dengan
Tata Kelola, Risiko dan Kepatuhan TI.
Proses penjelasan
studi kasus
Pada tahun 2008, Divisi Teknologi Informasi
memilih COBIT sebagai kerangka tata kelola TI yang tepat untuk mengintegrasikan
sistem manajemen TI, berdasarkan karakteristik COBIT berikut:
Ini memungkinkan pemetaan tujuan TI ke tujuan
bisnis.
Ini menghasilkan keselarasan yang lebih baik,
berdasarkan fokus bisnis.
Ini memberikan pandangan tentang apa yang TI
lakukan yang dapat dimengerti oleh manajemen.
Ini menunjukkan adanya kepemilikan dan tanggung
jawab yang jelas berdasarkan orientasi proses.
Hal ini umumnya diterima oleh pihak ketiga dan
regulator.
Ini memberikan pemahaman bersama di antara
semua pemangku kepentingan, berdasarkan bahasa yang sama.
Ini memenuhi persyaratan COSO dan Sarbanes-Oxley
untuk lingkungan kontrol TI.
Pada kuartal terakhir tahun 2008, Divisi
Teknologi Informasi Ecopetrol mendefinisikan pedoman, proses dan tujuan
pengendalian untuk diterapkan. Demikian pula, divisi tersebut mengidentifikasi
sumber daya internal yang akan mendukung pelaksanaan sistem dan mengalokasikan
sumber daya untuk menyewa konsultan eksternal yang dibutuhkan.
Tim tersebut membentuk sebuah proyek,
memberikan pertimbangan khusus untuk isu-isu berikut ini:
· Alokasi sumber daya dan tim interdisipliner
dengan perwakilan dari wilayah yang terlibat dalam TI
· Mendefinisikan titik-titik hubungan dengan
Unit Bisnis dan Unit Dukungan lainnya dan berinteraksi dengan bidang-bidang
utama - Keuangan, Risiko, Strategi, Mutu, dan Audit Internal dan Eksternal -
secara berkesinambungan
· Integrasi dan konvergensi dengan tim
pendukung TI dalam Operasi Transportasi yang mengantisipasi upaya implementasi
COBIT.
· Alignment dengan proyek bisnis: Penguatan
sistem pengendalian internal (COSO) dan Compliance (Sarbanes-Oxley Act). Kami
mempertimbangkan berbagai inisiatif bisnis dan proyek yang sedang berjalan
untuk memastikan koordinasi dan integrasi usaha.
· Sebuah garis pelaporan pada tingkat
manajemen tertinggi, dengan pertemuan tindak lanjut mingguan mengenai proyek
tersebut
· Identifikasi aplikasi sebelumnya
(Sarbanes-Oxley, komponen tinggi dalam SAP) dan yang lainnya penting untuk
proses bisnis. Sama halnya, memahami orang, sumber daya dan infrastruktur yang
terkait dengan aplikasi ini.
Ecopetrol memilih untuk menerapkan 28 proses
COBIT, memberikan prioritas pada tujuan pengendalian yang mendukung kepatuhan
Sarbanes-Oxley. Divisi Teknologi Informasi mengembangkan latihan internal untuk
menentukan tingkat kematangan proses ini. Setelah menyimpulkan bahwa mereka
berada pada tingkat kematangan rata-rata 2, tim mengidentifikasi kesenjangan
dan membuat rencana tindakan untuk mencapai level 3 untuk proses yang paling
penting.
Tim proyek kemudian mengembangkan desain dan
dokumentasi proses dan, kemudian, pelaksanaan dan pemantauan operasi untuk
menyelesaikan penyesuaian yang diperlukan. Akibatnya, pada bulan Juni 2009,
Divisi telah menerapkan dan mengamankan 14 proses COBIT prioritas tinggi. Pada
bulan Desember 2009, semua 28 telah dilaksanakan.
Selama paruh kedua tahun 2009 dan kuartal
pertama tahun 2010, audit internal dan eksternal dikembangkan untuk kepatuhan
Sarbanes-Oxley. Beberapa tindakan diimplementasikan untuk perbaikan dan
perbaikan proses dan kontrol utama TI. Akibatnya, auditor eksternal melaporkan
bahwa tidak ada kekurangan atau kelemahan material yang signifikan dalam
pengendalian TI yang perlu dilaporkan oleh CIO, CFO, CEO atau auditor.
Pada bulan Desember 2009, proyek COBIT
menerima penghargaan perusahaan untuk keunggulan dalam mengenali kinerja tim
proyek, inisiatif dan kerja sama tim.
Kesimpulan dari studi
kasus
Selama kuartal terakhir tahun 2009, Divisi
Teknologi Informasi mengontrak konsultan eksternal untuk melakukan penilaian
tingkat kematangan COBIT untuk empat belas proses kritis. Penilaian tersebut
menegaskan pencapaian tingkat 3 dalam dua belas proses dan tingkat 4 dalam dua
proses.
Pada tahun 2010, Divisi TI menyusun rencana
keberlanjutan dan optimalisasi untuk sistem manajemen TI-nya, berdasarkan pada
premis memiliki visi, organisasi, dan model operasi yang komprehensif, dan
memanfaatkan teknologi informasi untuk mencapai otomasi dalam proses dan
kontrol TI.
Perusahaan juga merestrukturisasi area IT
Compliance, sebagai referensi praktik praktik kerangka COBIT yang baik.
Isu utama yang menghasilkan hasil yang sangat
baik pada tahun pertama implementasi COBIT dalam sistem manajemen TI Ecopetrol
meliputi:
· Implementasi COBIT disusun sebagai proyek,
dengan rencana kerja yang terperinci, tonggak sejarah yang jelas, alokasi kerja
tim dengan dedikasi dan kepercayaan pada manajemen proyek, manajemen risiko,
dan pengendalian waktu dan hasil proyek.
· Tim mendapat dukungan penuh dari manajemen,
memberikan laporan kemajuan mingguan, dan menimbulkan penyimpangan dan tindakan
yang memerlukan kepastian.
· Perusahaan ini menyewa perusahaan konsultan
khusus yang terkenal yang mengintegrasikan tim dengan pengetahuan dan
pengalaman yang luas.
· Bagian depan manajemen perubahan, termasuk
kegiatan pelatihan dan akreditasi profesional, telah ditetapkan.
· Perencanaan, pengembangan dan hasil proyek
dikomunikasikan secara efektif di dalam perusahaan.
· Cari perampasan praktik oleh pemilik proses
dan kontrol yang bertanggung jawab.
· Proyek ini terintegrasi dengan baik dengan
semua area yang terlibat, dan sinergi diungkit, terutama dengan tim pendukung
TI dalam Operasi Transportasi yang memberikan hasil usaha sebelumnya dan
menjamin perspektif pengguna bisnis.
· Komunitas praktik dan manajemen tentang
pelajaran telah dipetik.
· Strategi keberlanjutan dan optimalisasi
proses ditentukan.
· Divisi IT berinteraksi secara efektif dengan
tim audit.
· Fokus khusus diberikan pada segregasi tugas,
kontrol akses, perencanaan kontinuitas, pengembangan perangkat lunak dan
masalah keamanan informasi.
· Penilaian tingkat kedewasaan dilakukan oleh
pihak ketiga yang kompeten dan independen.
· Lebih dari 20 karyawan lulus ujian COBIT
Foundation dan memperoleh sertifikat COBIT.
· Beberapa karyawan menjadi anggota ISACA,
yang memberi mereka akses lebih mudah ke panduan yang lebih terperinci.
· Ecopetrol melakukan benchmarking perusahaan
minyak dan gas nasional dan internasional.
Ecopetrol berencana menyelesaikan 2010 dengan
31 proses COBIT yang terpasang pada sistem manajemen TI, beroperasi pada
tingkat 3, dengan tujuan untuk mencapai level 4 di tahun 2011. Divisi Teknologi
Informasi mempelajari draft dokumen COBIT 5 dan berencana untuk menerapkannya
segera seperti yang tersedia Ecopetrol juga memperluas praktik sistem manajemen
TI dan COBIT kepada perusahaan-perusahaan di kelompok bisnisnya di Kolombia,
Peru dan Brazil. Sistem manajemen TI akan tertanam dalam Sistem Manajemen
Perusahaan untuk memastikan integrasi dan penyelarasan praktik.
Dengan integrasi Sistem Manajemen TI yang
didukung oleh penerapan COBIT dan penataan model optimasi berkelanjutan dan
berbasis proses, Ecopetrol telah meletakkan dasar yang kuat untuk konsolidasi
tata kelola, risiko dan kepatuhan TI.
REVIEW 5 FITUR COBIT
1. Fitur penting pertama dari COBIT 5 adalah
bahwa ia dilepaskan dengan evolusi dari Model Kematangan COBIT 4.1 menjadi
Model Kemampuan Proses COBIT 5. Kedua Model melakukan tugas yang sama namun
struktur kerangka kerja dalam Process Capability Model baru dimodifikasi.
2. COBIT 5 memberikan fitur Balanced Scorecard
(BSC), yang digunakan untuk memahami nilai bisnis TI. Hal ini digunakan di
berbagai organisasi untuk mengukur pelaksanaan usaha di berbagai wilayah.
3. COBIT 5 dibuat agar lebih fokus pada Bisnis
dan TI sebagai Bentuk Terintegrasi. Ini akan membantu memperbaiki sistem
organisasi sebagai klarifikasi peran dan Komunikasi dan mencegah perusahaan
terkena bahaya oleh beberapa isu terkait teknologi dan informasi.
4. COBIT 5 dikembangkan untuk lebih fokus pada
tujuan proses, menambahkan nilai lebih pada pendekatan yang digunakan di sini
dibandingkan dengan COBIT 4.1.
5. COBIT 5 dibangun berdasarkan beberapa
prinsip dasar namun penting. ISACA, sendiri, mengemukakan prinsip-prinsip ini
yaitu:
• Bertemu Kebutuhan Pemangku Kepentingan
• Meliputi Enterprise End-to-end
• Menerapkan Kerangka Terpadu Tunggal
• Mengaktifkan Pendekatan Holistik
• Memisahkan Tata Kelola Dari Manajemen
Sumber :
https://www.knowledgehut.com/blog/it-security/4-key-features-of-cobit-5-foundation-to-improve-career
Tidak ada komentar:
Posting Komentar