COBIT
Control
Objectives for Information and related Technology adalah
sekumpulan
dokumentasi
best practices untuk IT
governance yang dapat membantu
auditor, manajemen dan
pengguna
( user ) untuk menjembatani
gap antara risiko
bisnis,
kebutuhan
kontrol
dan
permasalahan-permasalahan
teknis.
Latar Belakang dan Sejarah Singkat
COBIT edisi ketiga adalah merupakan versi terakhir dari tujuan pengendalian untuk
informasi
dan
teknologi
terkait,
release pertama
diluncurkan
oleh
yayasan
ISACA pada
tahun 1996. COBIT edisi
kedua,
merefleksikan suatu peningkatan sejumlah dokumen
sumber,
revisi
pada
tingkat
tinggi
dan
tujuan
pengendalian rinci dan tambahan seperangkat
alat implementasi (implementation
tool set ), yang telah dipublikasikan pada tahun 1998.
COBIT edisi
ke
tiga
ditandai
dengan
masuknya
penerbit
utama
baru
COBIT yaitu
Institut IT
Governance.
nInstitut IT Governance dibentuk
oleh
ISACA dan
yayasan
terkait
pada
tahun
1998 dan memberikan pemahaman lebih dan mengadopsi prinsip-prinsip pengaturan TI. Melalui penambahan pedoman manajemen
(management guidelines) untuk COBIT edisi ketiga
nDan
fokusnya
diperluas
dan
ditingkatkan pada
IT Governance. Institut
IT Governance mengambil peranan yang penting dalam pengembangan publikasi.
Pengertian COBIT
nCOBIT
dapat
diartikan
sebagai tujuan pengendalian untuk
informasi
dan
teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi
yang dikembangkan dan dipromosikan oleh Institut IT Governance.
nCOBIT
pertama
sekali
diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi ( IT Governance tool).
nCOBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar
yang baik
bagi
praktek
pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem
informasi,
dan
pelaksana
pengendalian dan
keamanan.
nCOBIT,
di terbitkan
oleh
Institut
IT Governance. Pedoman COBIT memungkinkan perusahaan
untuk
mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat
diterapkan
di seluruh
organisasi.
Khususnya,
komponen
pedoman
manajemen
nCOBIT
yang berisi
sebuah
respon
kerangka
kerja
untuk
kebutuhan
manajemen
bagi
pengukuran
dan
pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT.
Kerangka Kerja COBIT
nKebutuhan Pengendalian Teknologi Informasi
nAgar
organisasi
meraih
kesuksesan,
maka
perlu
memperhatikan dan memahami mengenai
resiko
dan
keterbatasan TI disemua level organisasi agar mencapai arahan yang efektif dan pengendalian ya ng memadai.
nManajemen harus memutuskan investasi yang memadai bagi pengendalian
(control) dan keamanan
(security) TI dan menyeimbangkan resiko dan investasi pengendalian yang tidak terprediksi dalam lingkungan TI. Oleh karena itu, kebutuhan terhadap manajemen kerangka kerja (framework) yang jelas,
secara
umum
diterima
sebagai
praktek-
praktek
pengendalian dan keamanan TI untuk
benchmark terhadap perencanaan dan kondisi
TI yang ada.
nTerdapat kebutuhan yang meningkat dari user atas layanan TI untuk penjaminan, akreditasi dan audit atas layanan TI, baik yang
disediakan
oleh
pihak
ketiga
maupun
yang disediakan
oleh
pihak
internal.
Lingkungan Bisnis
nDi
era kompetisi
global seperti
sekarang
ini,
organisasi
harus
melakukan
restrukturisasi terhadap kegiatan operasionalnya dan menggunakan keunggulan TI untuk meningkatkan posisi daya saing organisasi.
Dampak fungsi audit sistem informasi pada suatu organisasi
Obyek
Perlindungan Aset (Asset Saveguarding Objectives)
nAset
SI di dalam
organisasi
adalah
H/W, S/W, Fasilitas, User (Knowledge), file data,dokumentasi sistem, dan persediaan barang.
nSebaiknya
semua
aset
harus
dilindungi
oleh
sistem
pengendalian internal.
Obyek Integritas Data(Data Integrity Objectives)
nIntegritas
data adalah
merupakan
konsep
dasar
di dalam
audit SI. Data terdiri dari atribut- atribut yang harus berisi : lengkap (completeness), dapat
dipercaya
(soundness), bersih
(purity), dan
benar
(veracity).
nJika
integritas
data tidak
dipelihara,
maka
organisasi
tidak
akan
mendapatkan representasi data yang benar untuk suatu aktifitas, akibatnya organisasi tidak dapat berkompetisi.
Obyek Efektivitas Sistem (System Efective Objectives)
nAudit efektivitas sering dilakukan setelah sistem berjalan untuk beberapa waktu.
nManajemen
membutuhkan
hasil
audit efektivitas
untuk
mengambil
keputusan
apakah
sistem
terus
dijalankan
atau
dihentikan
sementara
untuk
proses modifikasi.
Obyek Efisiensi Sistem (System Efficiency Objectives)
nEfisiensi
SI dilakukan
dengan
cara
menggunakan
sumber
daya
yang minimum untuk menyelesaikan suatu
tujuan
obyek
(pekerjaan).
nVariasi
sumber
daya
terdiri
dari mesin, waktu, peripheral, S/W sistem,
dan
pekerja.
Faktor-faktor yang mempengaruhi organisasi
sehingga perlu melakukan
audit dan
pengendalian
nOrganizational Costs of Data Loss
nData dapat menyebabkan kebutuhan sumber daya menjadi kritis untuk keberlangsungan operasional organisasi (baik untuk memberikan gambaran masa lalu,masa kini dan masa yang akan datang).
nJika
data akurat,
maka
organisasi
akan
mempunyai
kemampuan
untuk beradaptasi dan
bertahan
dalam
lingkungan
yang berubah.
Jika
tidak
(data hilang),
maka organisasi akan mengalami kehilangan data yang cukup penting. Contoh jika data master barang
di
suatu
toko
swalayan
rusak,
maka
kasir
tidak dapat melakukan transaksi pembelian yang dilakukan oleh konsumen.
Cost
of Incorrect Decision Making
nUntuk
membuat
keputusan
yang berkualitas
dan
dapat
dipercaya,
maka
perlu
di dukung
oleh
data yang akurat
melalui
sistem
informasi
berbasis
komputer. Termasuk
: deteksi,
investigasi,
dan
koreksi
proses yang diluar
kontrol (connection of out-of-control process).
nAkibat
data yang salah
akan
mempunyai
dampak
terhadap
minat
investor terhadap
perusahaan.
Contoh
: jika
penyediaan
laporan
keuangan
salah (in accurate financial information), maka
investor akan
membatalkan
atas keputusan
investasinya.
nPenting
juga
diperhatikan
tentang
‘aturan-aturan
keputusan
yang akurat
(accurate decision
rules). Contoh
jika
aturan
pengambilan
keputusan
(decision rule) dalam
sistem
pakar
untuk
mendukung
diagnosis, salah,
mengakibatkan
dokter
akan
salah
dalam
memberikan
keputusan
/ pemberian
resep
kepada
pasiennya,
ini
akan
berakibat
fatal.
Cost
of Computer Abuse
nSebagian
besar
sebab
yang mendorong
pengembangan
fungsi
audit SI di perusahaan
adalah
akibat
seringnya
terjadi
penyalahgunaan
komputer. Penyalahgunaan
komputer
: “segala
kejadian
yang berhubungan
dengan
teknologi komputer
yang mengakibatkan
kerugian
pada
korban
atau
mengakibatkan
kehilangan
yang diakibatkan
oleh
pelaku
kejahatan
untuk
mencari
keuntungan” Sebagian
besar
tipe penyalahgunaan komputer adalah
nHacking : seseorang
yang tidak
mempunyai
akses
otoritas
terhadap
sistem komputer untuk
membaca,
memodifikasi
atau
menghapus
program atau
data untuk
mengacaukan
proses.
nVirus : adalah
program yang menyerang
file executable, area sistem atau
disk, atau
file data yang berisi macro yang mengakibatkan
kekacauan
operasi komputer
atau
kerusakan
data / program.
nIllegal
Physical Access : seseorang yang mengambil
keuntungan
melalui akses
fisik
secara
ilegal
terhadap
fasilitas
komputer.
Contoh
memasuki
ruang komputer
atau
ruang
terminal secara
ilegal,
merusak
H/W, atau
copy program dan
data yang bukan
merupakan
wewenangnya.
nAbuse
of Privilages
: seseorang
yang menggunakan
hak-
hak
istimewanya
untuk
maksud
dan
tujuan
yang bukan
merupakan
otoritasnya.
Contoh
: membuat
copy data yang rahasia (sensitif)
akan
tetapi
tidak
meminta
ijin
atau
persetujuan
kepada
yang berwenang.
Pendekatan Audit SI
nPesatnya
perkembangan
dunia
komputer,
diikuti
dengan
peningkatan
pengetahuan
auditor, ternyata
mengundang
dua
perlakuan
berbeda
terhadap
komputer,
yaitu
:
(1) Komputer
dipergunakan
sebagai
alat
bantu auditor dalam melaksanakan
audit, misalnya
untuk
mengambil
contoh
transaksi,
memproses
data akuntansi,
mencetak
surat
konfirmasi
piutang
dan
sebagainya.
n(2) Komputer
dijadikan
sebagai
target audit, karena data di entry ke
komputer
dan hasilnya
dianalisa
untuk
menilai
kehandalan
pemrosesan
dan
keakuratan
program komputer.
Dengan
berjalannya
evolusi
tersebut,
maka
muncullah
pendekatan
audit sistem
informasi yang dapat dikategorikan ke dalam tiga kelompok, yaitu :
(a) auditing around the computer
(b) auditing with the computer dan
(c) auditing throught
the computer .
Auditing
around the computer
n(a) Auditing around the computer
adalah mentrasir balik (trace -back) hasil olahan komputer yaitu tidak
menguji operasi pemrosesan dan program komputer secara langsung.
Terfokus pada input dan output sistem. (wilkinson & cerullo; 1997;374)
Auditing
with the computer
n(b) Auditing with the computer
nPendekatan ini menitikberatkan pada penggunaan komputer sebagai
alat bantu audit. Alat
bantu audit ini
berupa
komputer
dilengkapi
dengan
software audit umum (generale audit software, biasa disingkat GAS).
Contoh GAS antara lain ACL (Audit Command Language), IDEA
(Interactive Data Extraction and Analysis) dan lain- lain.
Auditing
throught the computer
n(c) Auditing throught
the computer
nauditor harus memperlakukan komputer sebagai target
audit dan
melakukan
audit throught
atau
memasuki
area program. Oleh sebab itu
pendekatan Auditing throught the computer termasuk
juga
dalam
CAATs (Computer Assisted Audit Technique) yaitu teknik audit berbantuan komputer (TABK).
Beberapa
auditor memutuskan menggunakan
pendekatan
Auditing throught
ini karena
alasan
berikut :
nA.Ketidakmampuan untuk melokalisir source document atau print-out
karena memang rancangan sistem pengarsipan yang digunakan
menghendaki demikian.
nB.Kekhawatiran bahwa jumlah yang ditunjukkan pada print-out
komputer tidak sama dengan saldo yang ada (ter-record) di file
komputer.
Tahapan Audit Sistem Informasi
nMenurut
Ron
Weber dalam
bukunya
Information Systems Control and Audit halaman 47- 55, terdapat 5 (lima) langkah atau tahapan audit sistem informasi yaitu :
1.
Perencanaan
Audit (Planning the Audits)
2.
Pengetesan
Kendali
(Tests of Controls)
3.
Pengetesan
Transaksi
(Tests of Transactions)
4.
Pengetesan
Keseimbangan atau Keseluruhan Hasil
(Tests of Balances or Overall Results)
5.
Pengakhiran
(penyelesaian) Audit (Completion of the Audit)
Sedangkan
menurut
Gallegos
Cs. dalam bukunya
Audit and Control of
Informtion Systems (chapter 10), tahapan
audit sistem informasi
mencakup aktivitas :
1.
Perencanaan
(Planning)
2.
Pemeriksaan
Lapangan
(Fieldwork)
3.
Pelaporan
(Reporting ) dan
4.
Tindak
Lanjut
(Follow Up)
Planning adalah
kegiatan
perencanaan
untuk
melaksanakan audit
Fieldwork
adalah
kegiatan
pemeriksaan
dan
evaluasi
sistem
yang dilaksanakan di lapangan
Reporting adalah
kegiatan
pelaporan
hasil-
hasil
yang diperoleh
dari
fieldwork
Follow
Up adalah
tindakan
lebih
lanjut
yang dilaksanakan oleh pihak manajemen berkaitan dengan laporan hasil pemeriksaan.
Pengumpulan Fakta
Terdapat
lima alat
dan
teknik
yang dapat
digunakan
dalam
mengumpulkan fakta, yaitu :
1.
Audit Software : secara umum membahas audit software, audit khusus
industri
software, high level language, utility software, expert systems, neural network software, dan
software lainnya.
2.
Code Review, Test Data, and Code Comparison : secara
umum
membahas
tentang
dimana
kesalahan
(error) program terjadi dengan cara melihat kode program, tes data dan perbandingan kode.
3.
Concurrent Auditing Techniques : membahas
tentang
teknik,
kebutuhan
dan
implementasi
untuk
audit bersamaan.
4.
Interviews,
Questionnaires, and Control Flowcharts : membahas
tentang
desain
dan
penggunaan
interview, kuisioner
dan
arus
pengendalian.
Wawancara
(Interviews), digunakan
untuk
memperoleh
baik
jumlah
(quantitative) maupun kualitas
(quality) informasi
selama
pekerjaan
pengumpulan
fakta.
Terdiri dari
tiga
fase
yaitu
:
(1) persiapan
wawancara
(preparing for interview);
(2) pelaksanaan
wawancara
(conducting the interview)
(3)
penganalisaan
hasil
wawancara
(analyzing the interview ).
Kuesioner
(Questionnaires), digunakan untuk mengumpulkan fakta
berdasarkan data, seperti apakah ada pengendalian dalam sistem
aplikasi. Empat
fase
kuesioner
yaitu
(1) desain pertanyaan (design of questions)
(2) desain skala respon (design of response scales)
(3) desain struktur dan layout (design of the layout and
structure)
(4) jaminan bahwa kuesioner valid dan dapat dipercaya (ensuring the questionnaire is valid and reliable).
Arus Pengendalian (Control Flowcharts), digunakan untuk
menggambarkan apakah
ada
pengendalian dalam sistem dan dimana
pengendalian itu berada dalam sistem.
5.
Performance Monitoring Tools, mendiskusikan tentang obyek dari
pengukuran kinerja, karakteristik dari pengawasan pengukuran,
hardware, software, dan
pengawasan
pengukuran
campuran
(hybrid),
bagaimana
hasil
dari
pengukuran
kinerja,
dan
resiko
untukpemeliharaan
integritas data sewaktu pengawasan kinerja dilakukan.
Proses
Audit
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya.
Tujuh langkah proses audit :
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat
disepakati
semua
pihak.
2. Tetapkan
langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah
laporan
beserta
kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah
apakah
tujuan
audit tercapai.
6. Sampaikan
laporan
kepada
pihak
yang berkepentingan.
7. Pastikan
bahwa
organisasi
mengimplementasikan managemen
risiko serta control practice.
Metodologi audit:
Audit subject.
Menentukan
apa
yang akan
diaudit.
Audit objective.
Menentukan
tujuan
dari
audit.
Audit Scope.
Menentukan
sistem,
fungsi,
dan
bagian
dari
organisasi
yang secara
spesifik/khusus
akan
diaudit.
Preaudit Planning.
Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan
dokumen-dokumen apa yang diperlukan untuk menunjang audit,
menentukan lokasi audit.
Audit procedures and steps for data
gathering.
Menentukan
cara
melakukan
audit untuk
memeriksa
dan
menguji
kendali,
menentukan
siapa
yang akan
diwawancara.
Evaluasi
hasil
pengujian
dan
pemeriksaan.
Spesifik
pada
tiap
organisasi.
Prosedur
komunikasi
dengan
pihak
manajemen.
Spesifik
pada
tiap
organisasi.
Audit Report Preparation.
Menentukan
bagaimana
cara
memeriksa
hasil
audit, yaitu
evaluasi
kesahihan
dari
dokumen-dokumen, prosedur, dan kebijakan dari
organisasi yang diaudit.
Struktur dan isi laporan
audit tidak baku, tapi umumnya terdiri atas:
Pendahuluan,
tujuan, ruang lingkup, lamanya audit, prosedur audit.
Kesimpulan umum dari auditor.
Hasil
audit. Apa
yang ditemukan
dalam
audit, apakah
prosedur
dan
kontrol
layak
atau
tidak
Rekomendasi.
Tanggapan
dari
manajemen
(bila
perlu).
Exit interview.
Interview terakhir antara auditor dengan pihak manajemen untuk
membicarakan temuan-temuan dan rekomendasi tindak lanjut.
Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih.
