Wikipedia

Hasil penelusuran

Sabtu, 28 Mei 2016

COBIT ( Control Objectives for Information and related Technology )

COBIT

Control Objectives for Information and related Technology adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan pengguna ( user ) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.


Latar Belakang dan Sejarah Singkat


COBIT edisi ketiga adalah merupakan versi terakhir dari tujuan pengendalian untuk 
informasi dan teknologi terkait, release pertama diluncurkan oleh yayasan ISACA pada 
tahun 1996. COBIT edisi kedua, merefleksikan suatu peningkatan sejumlah dokumen 
sumber, revisi pada tingkat tinggi dan tujuan pengendalian rinci dan tambahan seperangkat
alat implementasi  (implementation tool set ), yang telah dipublikasikan pada tahun 1998.
COBIT edisi ke tiga ditandai dengan masuknya penerbit utama baru COBIT yaitu Institut IT
Governance. 


nInstitut IT Governance dibentuk oleh ISACA dan yayasan terkait pada tahun 1998  dan memberikan pemahaman lebih dan mengadopsi prinsip-prinsip pengaturan TI. Melalui penambahan pedoman  manajemen (management guidelines) untuk COBIT edisi ketiga

nDan fokusnya diperluas dan ditingkatkan pada  IT Governance. Institut  IT Governance mengambil peranan yang penting dalam pengembangan publikasi.



Pengertian COBIT 
nCOBIT dapat diartikan sebagai  tujuan pengendalian untuk informasi dan teknologi  terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi  yang dikembangkan dan dipromosikan oleh Institut IT Governance.
nCOBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang  disiapkan untuk mengatur teknologi informasi ( IT Governance tool).
nCOBIT  telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi  standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian  dan keamanan
nCOBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT memungkinkan  perusahaan untuk mengimplementasikan pengaturan TI secara efektif dan pada dasarnya  dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen
nCOBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT. 


Kerangka Kerja COBIT 
nKebutuhan Pengendalian Teknologi Informasi
nAgar organisasi meraih kesuksesan, maka perlu memperhatikan dan memahami  mengenai resiko dan keterbatasan TI disemua level organisasi agar mencapai arahan yang efektif dan pengendalian ya ng memadai.
nManajemen harus memutuskan investasi yang memadai bagi pengendalian  (control) dan  keamanan (security) TI dan menyeimbangkan resiko dan investasi pengendalian yang tidak terprediksi dalam lingkungan TI. Oleh karena itu, kebutuhan terhadap manajemen kerangka kerja (framework) yang jelas, secara umum diterima sebagai praktek- praktek pengendalian dan keamanan TI untuk  benchmark terhadap perencanaan dan kondisi  TI yang ada
nTerdapat kebutuhan yang meningkat dari user atas layanan TI untuk penjaminan, akreditasi dan audit atas layanan TI, baik yang  disediakan oleh pihak ketiga maupun yang disediakan oleh pihak internal.


Lingkungan Bisnis

nDi era kompetisi global seperti sekarang ini, organisasi harus melakukan restrukturisasi terhadap kegiatan operasionalnya dan menggunakan keunggulan TI untuk meningkatkan posisi daya saing organisasi.   

Dampak fungsi audit sistem informasi pada suatu organisasi


Obyek Perlindungan Aset (Asset Saveguarding Objectives) 

nAset SI di dalam organisasi adalah H/W, S/W, Fasilitas,  User (Knowledge), file data,dokumentasi sistem, dan persediaan barang.
nSebaiknya semua aset harus dilindungi oleh sistem pengendalian internal. 


Obyek Integritas Data(Data Integrity Objectives) 
nIntegritas data adalah merupakan konsep dasar di dalam audit SI. Data terdiri dari atribut- atribut yang harus berisi : lengkap (completeness), dapat dipercaya (soundness), bersih (purity), dan benar (veracity).
nJika integritas data tidak dipelihara, maka organisasi tidak akan mendapatkan  representasi data yang benar untuk suatu aktifitas, akibatnya organisasi tidak dapat berkompetisi

Obyek Efektivitas Sistem (System Efective Objectives) 
nAudit efektivitas sering dilakukan setelah sistem berjalan untuk beberapa waktu.
nManajemen membutuhkan hasil audit efektivitas untuk mengambil keputusan apakah sistem terus dijalankan atau dihentikan sementara untuk proses modifikasi

Obyek Efisiensi Sistem (System Efficiency Objectives) 
nEfisiensi SI dilakukan dengan cara menggunakan sumber daya yang minimum untuk menyelesaikan  suatu tujuan obyek (pekerjaan).
nVariasi sumber daya terdiri dari  mesin, waktu, peripheral, S/W sistem, dan pekerja.

Faktor-faktor yang mempengaruhi organisasi
 sehingga perlu melakukan  audit dan pengendalian
nOrganizational Costs of Data Loss
nData dapat menyebabkan kebutuhan sumber daya menjadi kritis untuk keberlangsungan operasional organisasi (baik untuk memberikan gambaran masa lalu,masa kini dan masa yang akan datang). 
nJika data akurat, maka organisasi akan mempunyai kemampuan untuk  beradaptasi  dan bertahan dalam lingkungan yang berubah. Jika tidak (data hilang), maka  organisasi akan mengalami kehilangan data yang cukup penting. Contoh jika data master barang di suatu toko swalayan rusak, maka kasir tidak  dapat melakukan transaksi pembelian yang dilakukan oleh konsumen

Cost of Incorrect Decision Making 
nUntuk membuat keputusan yang berkualitas dan dapat dipercaya, maka perlu di dukung oleh data yang akurat melalui sistem informasi berbasis komputer.     Termasuk : deteksi, investigasi, dan koreksi proses yang diluar kontrol  (connection of out-of-control process).  
nAkibat data yang salah akan mempunyai dampak terhadap minat investor  terhadap perusahaan. Contoh : jika penyediaan laporan keuangan salah  (in accurate financial information), maka investor akan membatalkan atas  keputusan investasinya.   
nPenting juga diperhatikan tentangaturan-aturan keputusan yang akurat (accurate decision rules). Contoh jika aturan pengambilan keputusan (decision rule) dalam sistem pakar untuk mendukung diagnosis, salah, mengakibatkan dokter akan salah dalam memberikan keputusan / pemberian resep kepada pasiennya, ini akan berakibat fatal. 


Cost of Computer Abuse
nSebagian besar sebab yang mendorong pengembangan fungsi audit SI di  perusahaan adalah akibat seringnya terjadi penyalahgunaan komputer.    Penyalahgunaan komputer : “segala kejadian yang berhubungan dengan teknologi  komputer yang mengakibatkan kerugian pada korban atau mengakibatkan kehilangan yang diakibatkan oleh pelaku kejahatan untuk mencari keuntungan”   Sebagian besar tipe penyalahgunaan komputer adalah
nHacking  : seseorang yang tidak mempunyai akses otoritas terhadap sistem  komputer  untuk membaca, memodifikasi atau menghapus program atau data  untuk mengacaukan proses. 
nVirus  : adalah program yang menyerang file executable, area sistem atau disk,  atau file data yang berisi macro yang mengakibatkan kekacauan operasi  komputer atau kerusakan data / program.  
nIllegal Physical Access : seseorang yang mengambil keuntungan melalui  akses fisik secara ilegal terhadap fasilitas komputer. Contoh memasuki ruang  komputer atau ruang terminal secara ilegal, merusak H/W, atau copy program  dan data yang bukan merupakan wewenangnya.
nAbuse of Privilages : seseorang yang menggunakan hak- hak istimewanya  untuk maksud dan tujuan yang bukan merupakan otoritasnya. Contohmembuat copy data yang rahasia (sensitif) akan tetapi tidak meminta ijin atau persetujuan kepada yang berwenang.

Pendekatan Audit SI
nPesatnya perkembangan dunia komputer, diikuti dengan peningkatan pengetahuan auditor, ternyata mengundang dua perlakuan berbeda terhadap komputer, yaitu :
   (1)  Komputer dipergunakan sebagai alat bantu auditor dalam melaksanakan audit, misalnya untuk mengambil contoh transaksi, memproses data akuntansi, mencetak surat konfirmasi piutang dan sebagainya.
n(2)  Komputer dijadikan sebagai target audit, karena data di entry ke komputer dan  hasilnya dianalisa untuk menilai kehandalan pemrosesan dan keakuratan program  komputer. 
Dengan berjalannya evolusi tersebut, maka muncullah pendekatan audit sistem informasi  yang dapat dikategorikan ke dalam tiga kelompok, yaitu

(a) auditing around the computer
(b) auditing with the computer dan 
(c) auditing throught the computer .

Auditing around the computer
n(a)   Auditing around the computer 
adalah mentrasir balik (trace -back) hasil olahan komputer yaitu tidak
menguji operasi pemrosesan dan program komputer secara langsung.
Terfokus pada input dan output sistem. (wilkinson & cerullo; 1997;374)

Auditing with the computer
n(b)   Auditing with the computer
nPendekatan ini menitikberatkan pada penggunaan komputer sebagai
alat bantu audit. Alat bantu audit ini berupa komputer dilengkapi dengan
software audit umum (generale audit software,  biasa disingkat GAS).
Contoh GAS antara lain ACL (Audit Command Language), IDEA
(Interactive Data Extraction and Analysis) dan lain- lain.

Auditing throught the computer
n(c)   Auditing throught the computer
nauditor harus memperlakukan komputer sebagai target audit dan
melakukan audit throught atau memasuki area program. Oleh sebab  itu
pendekatan  Auditing throught the computer termasuk juga dalam
CAATs (Computer Assisted Audit Technique) yaitu teknik audit berbantuan komputer (TABK).

Beberapa auditor memutuskan menggunakan
pendekatan  Auditing throught  ini karena
alasan berikut :

nA.Ketidakmampuan untuk melokalisir source document atau  print-out
karena memang rancangan sistem pengarsipan yang digunakan
menghendaki demikian
nB.Kekhawatiran bahwa jumlah yang ditunjukkan pada print-out
komputer tidak sama dengan saldo yang ada (ter-record) di file
komputer.

Tahapan Audit Sistem Informasi 

nMenurut Ron Weber dalam bukunya Information Systems Control and Audit halaman 47- 55, terdapat 5 (lima) langkah atau tahapan audit sistem informasi yaitu :
1.  Perencanaan Audit (Planning the Audits)
2.  Pengetesan Kendali (Tests of Controls)
3.  Pengetesan Transaksi (Tests of Transactions)
4.  Pengetesan Keseimbangan atau Keseluruhan  Hasil (Tests  of Balances or Overall Results)
5.  Pengakhiran (penyelesaian) Audit (Completion of the Audit)

Sedangkan menurut Gallegos Cs. dalam bukunya  Audit and Control of
Informtion Systems (chapter 10), tahapan audit sistem  informasi
mencakup aktivitas :

1.  Perencanaan (Planning)
2.  Pemeriksaan Lapangan (Fieldwork) 
3.  Pelaporan (Reporting ) dan
4.  Tindak Lanjut (Follow Up)

Planning  adalah kegiatan perencanaan untuk melaksanakan audit 
Fieldwork adalah kegiatan pemeriksaan dan evaluasi sistem yang dilaksanakan di lapangan
Reporting  adalah kegiatan pelaporan hasil- hasil yang diperoleh dari
fieldwork

Follow Up adalah tindakan lebih lanjut yang dilaksanakan oleh pihak manajemen berkaitan dengan laporan hasil pemeriksaan

Pengumpulan Fakta
Terdapat lima alat dan teknik yang dapat digunakan dalam mengumpulkan fakta, yaitu :
1.  Audit Software : secara umum membahas audit software, audit khusus industri software,  high level language,  utility software,  expert systems,  neural network software, dan software lainnya.
2.  Code Review, Test Data, and Code Comparison : secara umum membahas tentang dimana kesalahan (error) program terjadi dengan cara melihat kode program, tes data dan perbandingan kode.
3. Concurrent Auditing Techniques : membahas tentang teknik, kebutuhan dan implementasi untuk audit bersamaan.
4. Interviews, Questionnaires, and Control Flowcharts : membahas tentang desain dan penggunaan interview, kuisioner dan arus pengendalian.

Wawancara (Interviews),  digunakan untuk memperoleh baik jumlah (quantitative) maupun kualitas (quality) informasi selama pekerjaan pengumpulan fakta. Terdiri  dari tiga fase yaitu :
(1)    persiapan wawancara (preparing for interview);
(2)    pelaksanaan wawancara (conducting the interview)
(3) penganalisaan hasil wawancara (analyzing the interview ). 

Kuesioner (Questionnaires), digunakan untuk mengumpulkan fakta
berdasarkan data, seperti apakah ada pengendalian dalam sistem
aplikasiEmpat fase kuesioner yaitu

 (1) desain pertanyaan (design of questions)
 (2) desain skala respon (design of response scales)
 (3) desain struktur dan layout (design of the layout and structure)
 (4) jaminan bahwa kuesioner valid dan dapat dipercaya  (ensuring the  questionnaire is valid and reliable).
Arus Pengendalian (Control Flowcharts), digunakan untuk
menggambarkan apakah  ada pengendalian dalam sistem dan dimana
pengendalian itu berada dalam sistem.
5. Performance Monitoring Tools, mendiskusikan tentang obyek dari
pengukuran kinerja, karakteristik dari pengawasan pengukuran,
hardware, software,  dan pengawasan pengukuran campuran (hybrid),
bagaimana hasil dari pengukuran kinerja, dan resiko untukpemeliharaan
integritas data sewaktu pengawasan kinerja dilakukan.

Proses Audit
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya.

Tujuh langkah proses audit :
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak.
2.  Tetapkan langkah-langkah audit yang rinci.
3.  Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4.  Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5.  Telaah apakah tujuan audit tercapai.
6.  Sampaikan laporan kepada pihak yang berkepentingan.
7.  Pastikan bahwa organisasi mengimplementasikan managemen
risiko serta control practice.

Metodologi audit: 
Audit subject.
Menentukan apa yang akan diaudit.

Audit objective.
Menentukan tujuan dari audit.

Audit Scope.
Menentukan sistem, fungsi, dan bagian dari organisasi yang secara
spesifik/khusus akan diaudit.

Preaudit Planning.
Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan
dokumen-dokumen apa yang diperlukan untuk menunjang audit,
menentukan lokasi audit.

Audit procedures and steps for data gathering.
Menentukan cara melakukan audit untuk memeriksa dan menguji
kendali, menentukan siapa yang akan diwawancara.
Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap
organisasi.
Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap
organisasi.

Audit Report Preparation.
Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi
kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari
organisasi yang diaudit.

Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
Pendahuluan, tujuan, ruang lingkup, lamanya audit, prosedur audit.

Kesimpulan umum dari auditor.
Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan
kontrol layak atau tidak
Rekomendasi. Tanggapan dari manajemen (bila perlu).

Exit interview.
Interview terakhir antara auditor dengan pihak manajemen untuk
membicarakan temuan-temuan dan rekomendasi tindak lanjut.
Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih.









Share:

SoundCloud

BTemplates.com

Total Tayangan Halaman

Diberdayakan oleh Blogger.

Profile

Profile

My Profile

Nama : Mohamad Irwan Tricahyono
NBI : 461304264
Kelas : A