AUDIT TEKNOLOGI DAN INFORMASI

COBIT 5.0 FOR ASSURANCE

OLEH :FITRIA FENTI (NIM. 14146013)HAFEASI PITRA ROSMENA (NIM. 14146014)

MAGISTER CHIEF INFORMATION OFFICERUNIVERSITAS NEGERI PADANG2015

COBIT 5.0 UNTUK JAMINAN TI

Tujuan :1. Memahami penggerak, kepentingan dan target beberapa pihak terhadap perspektif asuransi2. Memahami komponen dari kegiatan asuransi3. Mengerti bagaimana menggunakan COBIT 5 pada pemerintahan dan pelaksanaan kegiatan asuransi.4. Mengerti bagaimana memberikan asuransi dengan penggunaan COBIT 5 di perusahaan.5. Memahami bagaimana kaitan COBIT 5 terhadap standar Audit TI lainnya.

COBIT 5 memungkinkan tercapainya tujuan perusahaan untuk menjaga keseimbangan antara realisasi keuntungan dan penggunaan sumber daya dan risiko yang ada secara optimal dengan penggunaan informasi teknologi sebagai salah satu cara untuk menciptakan business value.COBIT 5.0 for assurance -- Publikasi ini menciptakan tampilan informasi Assurance COBIT 5, untuk memberikan bimbingan bagi konstituen jaminan ISACA ini informasi. Ini harus dianggap sebagai setara dengan jaminan COBIT 5 untuk Keamanan Informasi. Hal ini telah tersedia pada kuartal kedua tahun 2013.

I. DEFINISI JAMINANJaminan diartikan bahwa, berdasarkan hubungan akuntabilitas antara dua pihak atau lebih, audit IT dan jaminan profesional mungkin terlibat untuk mengeluarkan komunikasi tertulis yang menyatakan kesimpulan tentang materi pelajaran kepada pihak jawab.Keterlibatan jaminan dapat mencakup dukungan dalam pernyataan audit keuangan, penilaian dari nilai yang diberikan oleh IT terhadap perusahaan, pemenuhan kebutuhan standar dan praktis; pemenuhan kesepakatan maupun regulasi.Adapun Standar formal framework jaminan TI dari ISACA diantaranya : (Information Technology Assurance Framework ITAF), Institute of Internal Auditors (IIA), International Professional Practices Framework (IPPF) and the American Institute of Certified Public Accountants (AICPA).

Perspektif dalam Asuransi ada dua macam yang dapat diidentifikasikan :1. Perspektif Fungsi Asuransi ; menjelaskan bagaimana masing-masing enabler (pada gambar di atas) memberikan kontribusi dalam penyediaan keseluruhan jaminan. Misalnya : Pada struktur organisasi mana yang diminta untuk memberikan jaminan (badan/ Comite audit/ dll) Bagian informasi mana yang diminta untuk memberikan jaminan.2. Perspektif Penilaian ; menjelaskan bahwa jaminan perlu disediakan. Perspektif penilaian memberikan Penjelasan rinci mengenai proses jaminan inti, termasuk proses yang ada pada COBIT 5 yaitu : MEA01, MEA02, MEA03.

Dua perpektif dalam penyediaan jaminan menurut COBIT 5

II. PRINSIP DALAM PEMBERIAN JAMINAN MENURUT COBITBerdasarkan prinsip yang ada pada COBIT 5, Pemberian jaminan TI pada perusahaan juga akan mengikuti 5 prinsip tersebut.

Prinsip pada COBIT 5.0

A. Meeting stakeholder needsBerguna untuk pendefinisan prioritas untuk implementasi, perbaikan, dan jaminan. Kebutuhan stakeholder diterjemahkan ke dalam Goals Cascade menjadi tujuan yang lebih spesifik, dapat ditindaklajuti dan disesuaikan, dalam konteks : Tujuan perusahaan (Enterprise Goal), Tujuan yang terkait IT (IT-related Goal), Tujuan yang akan dicapai enabler (Enabler Goal). Selain itu sistem tata kelola harus mempertimbangkan seluruh stakeholder ketika membuat keputusan mengenai penilaian manfaat, resource dan risiko.Stakeholder dalam jaminan TI meliputi : Internal Stakeholder : Badan dan komite audit Kelompok audit, risiko Manajemen eksekutif Manajemen bisnis External Stakeholder : Investor Auditor eksternal Peraturan Partner Bisnis Pelanggan/klienCOBIT dirancang untuk digunakan oleh tiga pengguna berbeda yaitu :1. ManajemenDengan penerapan COBIT, manajemen dapat terbantu dalam proses penyeimbangan resiko dan pengendalian investasi dalam lingkungan IT yang tidak dapat diprediksi.2. UserPengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.3. AuditorDengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang dihasilkan dan untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.

Tidak semua stakeholder memiliki kebutuhan jaminan yang sama, dan untuk alasan tersebut jenis jaminan dapat dibedakan berdasarkan keterlibatan jaminannya : Self assessment ; perbedaan utama antara jaminan jenis ini dengan yang lain bahwa jaminan ini tidak melibatkan pihak ketiga. Audit Internal / pemenuhan ulasanDilakukan oleh pihak ketiga yang tidak terlibat dalam fungsi enabler-nya, tetapi bekerja dalam satu organisasi yang sama dengan pemilik perusahaan. Jenis ini lebih banyak mengulas tentang kemandirian dari pada penilaian diri karena auditor tidak terlibat dalam fungsi enabler-nya. Audit EksternalHampir sama dengan jenis audit internal, namun terdapat perbedaan utama : kelompok yang melakukan audit tidak bekerja dalam perusahaan yang sama dengan pemilik perusahaan. Untuk lebih jelasnya, perbedaan jenis keterlibatan jaminan terdapat pada gambar berikut,B. Covering enterprise end-to-end, bermanfaat untuk mengintegrasikan tata kelola TI perusahaan kedalam tata kelola perusahaan. Sistem tata kelola TI yang diusung COBIT 5 dapat menyatu dengan sistem tata kelola perusahaan dengan mulus.Prinsip kedua ini juga meliputi semua fungsi dan proses yang dibutuhkan untuk mengatur dan mengelola TI perusahaan dimanapun informasi diproses. Dalam lingkup perusahaan, COBIT 5 menangani semua layanan TI internal maupun eksternal, dan juga proses bisnis internal dan eksternal.C. Applying a single intergrated framework, sebagai penyelarasan diri dengan standar dan framework relevan lain, sehingga perusahaan memapu menggunakan COBIT 5 sebagai framework tata kelola umum dan integrator. Selain itu prinsip ini menyatukan semua pengetahuan yang sebelumnya tersebar dalam berbagai framework ISACA (COBIT, VAL IT, Risk IT, BMIS, ITAF, dll).D. Enabling a holistic approach, yakni COBIT 5 memandang bahwa setiap enabler saling memperngaruhi satu sama lain dan menentukan apakah penerapan COBIT 5 akan berhasil.

COBIT 5 memandang bahwa setiap enabler saling mempengaruhi satu sama lain dan menentukan apakah penerapan COBIT 5 akan berhasil. Enabler didorong oleh penjabaran tujuan.

Perbandingan dari Jenis Keterlibatan Jaminan

E. Separating governance from management, COBIT membuat perbedaan yang cukup jelas antara tata kelola dan manajemen. Kedua hal tersebut mencakup brbagai kegiatan yang berbeda, memerlukan struktur organisasi yang berbeda, dan melayani untuk tujuan yang berbeda pula.

Perbedaan Governance (Tata Kelola) dengan Management (Manajemen) : Governance adalah tata kelola yang memastikan bahwa tujuan perusahaan dapat dicapai dengan melakukan evaluasi terhadap kebutuhan, kondisi, dan pilihan stakeholder, menerapkan arah melalui prioritas dan pengambilan keputusan terhadap arah dan tujuan yang telah disepakati. Pada Kebanyakan perusahaan, tata kelola adalah tanggung jawab dari dewan direksi dibawah kepemimpinan ketua. Management (Manajemen) berfungsi sebagai perencana, membangun, menjalankan dan memonitor aktifitas-aktifitas yang sejalan dengan arah yang ditetapkan oleh badan tata kelola untuk mencapai tujuan perusahaan. Pada kebanyakan perusahaan, manajemen menjadi tanggung jawab eksekutif manajemen dibawah pimpinan CEO.Kerangka COBIT 5 menjelaskan tujuh kategori :1. Prinsip, kebijakan dan kerangka kerja adalah kendaraan untuk menerjemahkan perilaku yang diinginkan menjadi panduan praktis untuk sehari-hari manajemen.2. Proses menggambarkan set terorganisir praktek dan kegiatan untuk mencapai tujuan tertentu dan menghasilkan set output dalam mendukung pencapaian keseluruhan TI-tujuan yang terkait.3. Struktur organisasi adalah pengambilan keputusan kunci entitas dalam suatu perusahaan.4. Budaya, etika dan perilaku individu dan perusahaan yang sangat sering diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan manajemen.5. Informasi diperlukan untuk menjaga organisasi berjalan dengan baik dan diatur, tetapi pada tingkat operasional, informasi sangat sering produk utama dari perusahaan itu sendiri.6. Layanan, infrastruktur dan aplikasi meliputi infrastruktur, teknologi dan aplikasi yang menyediakan perusahaan dengan pengolahan informasi teknologi dan jasa.7. Orang, keterampilan dan kompetensi yang diperlukan untuk berhasil menyelesaikan semua kegiatan, dan untuk membuat keputusan yang benar dan mengambil tindakan korektif.

III. Perspektif Jaminan Fungsi : Prinsip, kebijakan dan framework yang berkaitan dengan jaminan.Model yang digunakan untuk menentukan prinsip dan kebijakan dalam jaminan TI adalah Framework ITAF (IT Assurance Framework).

Stakeholder dalam penjelasan tentang prinsip, kebijakan dan kerangka kerja pada jaminan TI bisa dikelompokkan atas stakeholder internal dan eksternal perusahaan. Yang meliputi manajemen eksekutif, kepatuhan petugas, manajer risiko, auditor internal dan eksternal, penyedia layanan dan pelanggan serta beberapa peraturan lembaga. Goals prinsip, kebijakan dan framework sebagai instrumen dari aturan organisasi dalam mendukung tercapainya tujuan perusahaan dan nilai perusahaan. Kebijakan yang baik adalah : Efektif mampu mencapai tujuan yang dinyatakan Efisien memastikan bahwa prinsip yang diterapkan merupakan langkah efisien Non intrusive adanya pemikiran logis bagi mereka yang mematuhi peraturan.

Life Cycle kebijakan memiliki life cycle yang harus mampu mendukung pencapaian tujuan yang telah didefinisikan. Good practices membutuhkan kebijakan sebagai bagian menyeluruh dalam kerangka kerja manajemen dan tata kelola, memberikan struktur hirarki terhadap semua kebijakan yang ditetapkan secara jelas sebagai prinsip penting.Tabel berikut menyajikan aspek prinsip, kebijakan dan framework ITAF

IV. Model ProsesModel proses disini dapat dimaksud sebagai domain pada COBIT 5 yang menentukan penyediaan jaminan pada perusahaan. Adapun proses pendukung utama dalam penyediaan jaminan pada perusahaan disajikan pada figure 16.Suatu proses didefinisikan sebagai perlakuan yang dipengaruhi oleh kebijakan organisasi dan prosedur yang menerima masukan dari beberapa sumber (termasuk proses lain), manipulasi masukan dan hasil keluaran. (contohnya layanan). Model proses akan menunjukkan stakeholder, Tujuan, life cycle dan good practices. Sebagaimana yang ditampilkan pada figure 12 diatas.Pada perspektif jaminan fungsi proses COBIT 5 dalam menyajikan proses terkait informasi dan jaminan khusus informasi meliputi : tujuan proses pada setiap proses dengan jumlah yang terbatas dari tujuan proses kaminan khusus. Gambaran detail tentang proses tindakan. Proses Utama yang Mendukung Penyediaan Jaminan

Proses pendukung lainnya dalam penyediaan jaminan

V. Model Struktur Organisasi pada Jaminan IntiModel struktur organisasi juga menunjukkan : Stakeholder stakeholder pada struktur organisasi bisa berasal dari organisasi internal dan eksternal, yang merupakan anggota individu pada struktur, struktur lain, entitas organisasi, klien, peratutan dan supplier. Goals tujuan struktur organisasi sendiri termasuk memiliki mandat yang tepat, prinsip operasi dan aplikasi yang mudah dipahami. Keluaran dari srtuktur organisasi ini seharusnya termasuk sejumlah kegiatan dan keputusan yang benar. Life Cycle suatu struktur organisasi memiliki sebuah siklus hidup. Good practices sejumlah Perlakuan yang benar pada struktur organisasi dapat dikemukakan sebagai : prinsip operasi (frekuensi pertemuan, aturan tentang rumah tangga organisasi dan dokumentasi), komposisi (anggota pada Struktur organisasi), rentang kendali (batasan tentang keputusan struktur organisasi yang tepat), tingkatan keputusan yang tepat (keputusan terstruktur yang diambil pihak berwenang) Perspektif Fungsi Jaminan : jaminan yang terkait dengan struktur organisasi.

Struktur Organisasi Inti yang Mendukung Jaminan

Struktur lainnya yang relevan dalam pengadaan jaminan, diantaranya :

VI. Model Budaya, Etika dan PerilakuPada model Budaya, Etika dan Perilaku akan ditunjukkan : Stakeholder sama seperti model sebelumnya bahwa stakeholder pada model ini juga bisa organisasi intenal dan eksternal. Goals Tujuan dari buudaya, etika dan perilaku terkait tentang : etika organisasi, etika individu, perilaku individu. Life Cycle dimulai dari budaya yang telah ada, sebuah organisasi dapat mengidentifikasi perubahan kebutuhan dan bekerja melalui implementasi. Beberapa tools dapat digunakan. Good Practices untuk menciptakan, mendorong, dan mempertahankan perilaku yang diinginkan melalui bisnis yang meliputi : komunikasi, kesadaran atas sikap yang diinginkan, hukum dan norma.

Perilaku yang diinginkan dapat dikategorikan berdasarkan tiga tingkatan dalam organisasi : perusahaan yang luas, jaminan yang profesional, manajemen. Sebagaimana yang ditampilkan pada tabel di bawah,Tabel Perilaku Relevan Dalam Pengadaan Jaminan.VII. Model InformasiInformasi adalah sumber daya utama untuk semua perusahaan. Informasi tersebut diciptakan, digunakan, disimpan, ditampilkan, dan dimusnahkan.Teknologi mempunyai peran penting pada kegiatan- kegiatan tersebut. Teknologi kemudian menjadi berkembang pada semua aspek bisnis dan pribadi.

Manfaat apa yang diberikan oleh informasi dan teknologi pada perusahaan?Salah satunya untuk pengambilan keputusan, contohnya aplikasi DSS.Adapun beberapa item informasi dalam mendukung jaminan : Jaminan standar dan regulasi mendukung dalam pengerjaan seluruh anisiatif jaminan. Jaminan daftar temuan -- sebuah daftar permasalahan/temuan yang muncul selama kegiatan jaminan. Jaminan fungsi kebijakan dan prosedur memberikan panduan pada pekerja dan manajemen. Jaminan fungsi kualitas standar diterapkan pada semua inisiatif jaminan. Jaminan laporan penggudangan menangani semua salinan laporan jaminan. Jaminan template memandu penyelesaian kegiatan jaminan inti, seperti lingkup, program audit/jaminan, daftar temuan dan pelaporan jaminan. Piagam audit menyediakan framework fungsional dan organisasi dalam kegiatan organisasi. Laporan jaminan panitia audit digunakan untuk menjumlahkan seluruh kegiatan jaminan. Misalnya : status penyelesaian rencana audit. Rencana audit penawaran framework yang terdiri dari semua kegiatan jaminan spesifik. Strategi audit mendefinisikan tujuan jaminan secara jelas lingkup dan fokus dari pendekatan jaminan. Rencana kepatuhan harus menyertakan seluruh kegiatan pemenuhan yang spesifik. Setiap jenis rencana pemenuhan harus jelas. Strategi kepatuhan mendefinisikan dengan jelas tujuan kepatuhan sebagai lingkup dan fokus pendekatan kepatuhan. Kebutuhan finansial dan anggaran terdiri atas kebutuhan anggaran asuransi seperti HR, Travel dan tools. Framework kompetisi HR mengidentifikasi tingkat kompetensi jaminan utama dan sertifikasi. Jaminan seluruh bidang TI mendefinisikan wilayah pertanggung jawaban penyedia jaminan TI. Biasanya berdasarkan struktur tingkatan tinggi yang mengelompokkan dan menghubungkan enabler organisasi/bisnis. Faktor peraturan dan legal kumpulan semua faktor legal dan peraturan yang mempengaruhi inisiatif jaminan. Strategi Risiko mendefinisikan secara jelas tujuan risiko. Daftar Risiko meliputi hasil perencanaan risiko, meliputi konsekuensi.

Masukan Informasi Tambahan

VIII. Model Layanan, Infrastruktur dan Aplikasi

Layanan yang berkaitan dengan Jaminan

Aplikasi Pendukung Terkait Jaminan TI dan Penjelasannya

Berdasarkan penerimaan standar Audit secara umum dan konsep baru dari COBIT 5.0 (enabler) suatu pendekatan jaminan dapat menjelaskan penggabungan alur kerja dan metode COBIT tersebut. Gambar berikut ini merupakan penjelasan tentang COBIT 5.0 berdasarkan pendekatan keterlibatan Jaminan.

Pendekatan keterlibatan jaminan mengacu secara tegas kepada kategori enabler COBIT 5.0. framework COBIT 5.0 menjelaskan bahwa enabler saling berhubungan, misalnya. Proses yang menggunakan struktur organisasi, sebagai informasi (input dan output)