Support Tools and Frameworks
description
Transcript of Support Tools and Frameworks
PEMERIKSAAN SISTEM INFORMASI (EDP)
SUPPORT TOOLS AND FRAMEWORKS
Anggota Kelompok :
Priskila Adelia / 125 100 030
Fanny Queimena / 125 100 117
Cynthia / 125 100 134
Kelas : BY
Fakultas Ekonomi
Universitas Tarumanagara
Jakarta
2013
CHAPTER 14
SUPPORT TOOLS AND FRAMEWORKS
Kita perlu mengetahui alat pembantu dan kerangka kerja yang digunakan audit untuk mendukung siklus bisnis.
KERANGKA KERJA UMUM :
COBIT adalah model dari IT governance yang diterima secara umum dan sebuah alat untuk
mengontrol risiko management dan implementasikan control dalam IT environment (lingkungan IT)
untuk mencapai business objectives (tujuan bisnis).
COBIT diperkenalkan untuk menggabungkan IT standard yang ada dengan praktik yang baik agar
menjadi sebuah design struktur yang komprehensif agar mencapai standard governance internasional
yang diterima secara umum.
Dilihat dari strategi yang diperlukan organisasi, COBIT mengarahkan kegiatan IT agar berfokus
dalam pencapaian control objectives dibandingan mengimplementasikan control yang spesifik dan
rumit. Model ini menghubungkan praktik IT dengan organizational governance dan strategi yang
diperlukan. Namun tidak hanya dengan standar umum yang ada namun dengan standar lain untuk
mencapai level control yang diinginkan.
COBIT memberikan kerangka kerja untuk kontrol secara keseluruhan atas proses IT yang
diharapkan menjadi model dasar atas kontrol spesifik yang dilakukan untuk mencapai sistem kontrol
internal yang unik, yang secara spesifik dibuat untuk kebutuhan bisnis organsasi.
COBIT di desain untuk dapat dipergunakan pada level management yang berbeda, seperti :
1. Executive Manager dapat mempergunakan COBIT untuk memastikan nilai yang didapat dari
investasi yang signifikan dalam IT dan memastikan bahwa terjadi keseimbangan dalam risk dan
control yang diinvestasikan dari IT tersebut.
2. Operational Management menggunakan COBIT untuk memperoleh keyakinan bahwa
management dan control dalam IT sudah sesuai.
3. IT Management dapat menggunakan COBIT sebagai alat operational untuk memastikan strategi
bisnis didukung oleh kontrol dan personel IT yang baik.
4. IT Auditor menggunakan COBIT untuk mengevaluasi kecukupan control, keefektifan control dan
mendukung management dengan saran yang sesuai mengenai sistem internal control.
COBIT didasarkan pada penelitian terhadap berbagai situasi lingkungan IT dan akan terus
dikembangkan dan dijpelihara sesuai dengan natur informasi technology yang dinamis. COBIT juga
diarahkan agar dapat diaplikasikan dalam seluruh aspek IT governance karena hal ini berkaitan erat
dengan prinsip GCG yang diterima secara umum sehingga hal ini dapat diterima disemua lapisan
management.
COBIT mempergunakan kerangka kerja dan proses untuk menciptakan struktur aktivitas IT yang
dapat diterapkan untuk control managerial. COBIT mengidentifikasi 34 proses teknologi informasi yang
dikelompokkan menjadi empat domain utama, yaitu :
1. Planning and Organizing
Domain PO menitiberatkan pada perencanaan penerapan teknologi informasi dan penyelarasan
teknologi informasi dengan tujuan perusahaan.
2. Acquire and Implement
Domain AI menekankan bagaimana solusi teknologi informasi diidentifikasi, diperoleh, serta
diimplementasikan dan diintegrasikan ke dalam proses bisnis.
3. Deliver and Support
Menekankan bagaimana layanan teknologi informasi yang dibutuhkan diberikan.
4. Monitor and Evaluate
Proses ini meliputi proses yang dibutuhkan untuk mengawasi keseluruhan IT performance dan
memastikan keefektifan IT governance.
Setiap langkah diatas dibagi kedalam berbagai jenis individual control objectives yang terdiri
dari , mengidentifikasi persyaratan kontrol, struktur control yang mendasar dan kriteria pengukuran.
Kriteria pengukuran adalah hal yang paling kritikal dalam COBIT untuk mencapai corporate governance.
Dalam setiap proses diatas, control objective yang ada dibuat pada tingkat manajerial control yang
minimum.
Peran dan tanggung jawab untuk mencapai control objectives dapat diukur dengan “Maturity
Model” dimana metode pengukuran proses teknologi informasi dilakukan melalui pemetaan tiap
proses terhadap status kematangan. Status kematangan terbagi dalam enam skala, dari skala 0 sampai
5, yaitu :
0. Non existent
1. Initial / ad hoc
2. Repeatable but intuitive
3. Defined Process
4. Managed and measureable
5. Optimized
Matriks ini memfasilitasi keputusan management dan auditor hingga mencapai tingkat
kesesuaian dari setiap proses
COBIT didasarkan pada pemahaman bahwa design dan implementasi dari aplikasi control
automatis adalah tanggung jawab dari IT sesuai dengan kebutuhan bisnis. IT control secara umum
adalah tanggung jawab langsung dari fungsi IT yang juga tercakup dalam COBIT.
COBIT 5 yang terbaru dikembangkan dengan keadaan yang ada sekarang dan difasilitasi dengan
Information Technology Infrastructure Library ( ITIL ) dan International Standard Organization ( ISO )
COSO
Sistem pengendalian internal menurut COSO merupakan suatu proses yang melibatkan dewan
komisaris, manajemen, dan personil lain, yang dirancang untuk memberikan keyakinan memadai
tentang pencapaian tiga tujuan berikut:
1. Efektivitas dan efisiensi operasi
2. Keandalan pelaporan keuangan
3. Kepetuhan kerhadap hukum dan peraturan yang berlaku)
Komponen pengendalian internal menurut COSO adalah :
1. Lingkungan pengendalian (control environment).
2. Penaksiran risiko (risk assessment).
3. Aktivitas pengendalian (control activities).
4. Informasi dan komunikasi (informasi and communication).
5. Pemantauan (monitoring).
Fokus utama:
COSO menyatakan Pengendalian Internal merupakan partisipasi dari semua entitas yang meliputi
seluruh/semua area atau fungsi dari bisnis entitas dengan mengoperasikan sistem yang efektif dan
efisien, laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku.
STANDAR LAINNYA (OTHER STANDARDS)
Security: BS 7799 dan ISO 17799/27001/27002
British Standard (BS) 7799 dan ISO 17799 dikembangkan oleh suatu badan yang mengumumkan secara
resmi standar untuk komersil dan industri berupa kode praktek untuk menyediakan suatu kerangka
sebagai standar keamanan informasi.
ISO 27001 diterbitkan pada bulan Oktober 2005 yang menggantikan standar BS 7799 mengenai
pengelolaan keamanan informasi (ISMS) untuk memastikan bahwa pengukuran keamanan informasi
telah efektif. Hal ini termasuk kemampuan mengakses data secara berkelanjutan, adanya kerahasiaan
dan integritas atas informasi yang dimilikinya dan kebutuhan pihak-pihak yang berkepentingan demikian
pula dengan kesesuaian hukum.
ISO 27702 memberikan rekomendasi praktik terbaik untuk sistem manajemen keamanan informasi.
Standar ini digunakan untuk memulai, mengimplementasi, memelihara, dan mengembangkan
keamanan informasi dalam suatu perusahaan.
Service Management : ITIL
Information Technology Infrastructure Library (ITIL) adalah seperangkat konsep dan praktik untuk
mengelola layanan TI, pengembangan dan operasi TI dan didirikan oleh OGC (Office of Government
Commerce)
ITIL memberikan deskripsi rincian sejumlah praktik penting TI dan menyediakan daftar komprehensif
tugas dan prosedur yang didalamnya setiap organisasi dapat menyesuaikan dengan kebutuhannya
sendiri. IT Service Management berfokus pada orang, proses, dan isu teknologi yang akan dihadapi oleh
organisasi IT.
Project Management: PRINCE
PRINCE (Projects in Controlled Managements)adalah sebuah metodelogi manajemen proyek
yang telah dikembangkan agar kompatibel dengan sistem pengembangan metodologi yang dapat
menavigasi seluruh pemakai melalui elemen-elemen inti untuk dapat mengimplementasikan suatu
proyek yang berhasil.
PRINCE pertama kali dikembangkan tahun 1989 oleh Central Computer and Telecommunications Agency
(CCTA) sebagai standar dari Pemerintahan United Kingdom untuk manajemen proyek IT. Setelah PRINCE
ditemukan, PRINCE digunakan oleh baik sektor privat maupun publik dan secara luas diakui untuk
proyek IT maupun non IT.
Criteria of Control (CoCo)
CoCo disponsori oleh Canadian Institute of Chartered Accountants, dan mempunyai tiga tujuan
pengendalian utama:
1. Efektivitas dan efisiensi operasi
2. Keandalan laporan internal dan eksternal
3. Ketaatan terhadap peraturan yang berlaku dan regulasi serta kebijakan intern
Pada kerangka kerja CoCo, pengendalian didefinisikan sebagai:
Tujuan , yang mendorong pemahaman terhadap arah organisasi. Hal ini ditunjukkan dengan cara
seperti visi dan strategi, risiko dan peluang, perencanaan, pengembangan kebijakan, dan
penggunaan target kinerja dan indikator.
Komitmen , yang mendorong kepercayaan dalam identitas dan nilai organisasi. Hal ini
berdampak pada nilai etika, termasuk integritas; kebijakan sumber daya manusia; tanggung
jawab dan akuntabilitas; kewenangan; dan saling percaya.
Kemampuan , yang membahas masalah kompetensi organisasi. Hal ini termasuk pengetahuan
dan kompetensi, keahlian dan sarana, informasi, penggunaan proses komunikasi yang sesuai,
koordinasi, dan pengendalian aktivitas.
Pengawasan dan pembelajaran , yang akan memfasilitasi perkembangan organisasi. Hal ini
termasuk pengawasan lingkungan internal dan eksternal, pengawasan kinerja, kebutuhan
penilaian informasi dan sistem informasi, pelaksanaan prosedur tindak lanjut, dan penilaian
keseluruhan efektivitas kontrol.
CoCo menyelenggarakan penanganan risiko melalui:
Penghindaran risiko,
Pengurangan kemungkinan terjadinya risiko,
Pengurangan dampak risiko yang harus terjadi,
Mentransfer risiko pada pihak ketiga, dan
Menerima atau memelihara risiko.
Governance Framework
Tiga standard yang secara luas diakui sebagai IT governance frameworks:
a) ITIL, dikembangkan oleh United Kingdom’s Office of Government Commerce. Walaupun secara
langsung berhubungan dengan pelayanan manajemen, sebuah bagian ITIL secara langsung juga
berhubungan dengan tata kelola pelayanan.
b) CobiT, menganggap IT governance sebagai keseimbangan antara dua bidang utama yaitu
menciptakan nilai perusahaan dan meminimalkan risiko TI. Dengan keseluruhan tujuan untuk:
Memastikan orientasi strategis, berfokus pada solusi perusahaan.
Penciptaan manfaat, dengan fokus pada mengoptimalkan tugas dan menilai manfaat dari TI.
Penerapan manajemen risiko yang berkaitan dengan perlindungan aset TI dan memperhitungkan
pemulihan bencana dan kelanjutan dari proses perusahaan dalam hal krisis.
Pengelolaan sumber daya yang efektif untuk menjamin optimalisasi pengetahuan dan infrastruktur.
Kecukupan pengukuran kinerja dan penciptaan dasar untuk perbaikan berkesinambungan.
Pendekatan CobiT untuk mengendalikan adalah sebuah pendekatan top-down di mana tujuan
perusahaan membentuk dasar untuk menentukan tujuan TI yang pada gilirannya menentukan arsitektur
TI. Hal ini dimaksudkan untuk memastikan bahwa proses TI secara tepat didefinisikan dan dioperasikan,
untuk memastikan informasi yang diproses, sumber daya TI dapat dikelola, dan layanan disampaikan
dengan cara yang baik.
c) ISO/IEC 38508 (International Organization for Standardization / International Electrotechnical
Commission) 38508, dirancang sebagai IT Governance Standard formal internasional di seluruh
dunia, ISO / IEC 38500 menetapkan kerangka yang jelas bagi tata kelola Dewan atas informasi
dan komunikasi. Kerangka kerja menempatkan enam prinsip good corporate governance TI yang
terdiri dari:
1. Tanggung jawab
2. Strategi
3. Akuisisi
4. Kinerja
5. Kesesuaian
6. Perilaku manusia.
The CALDER-MOIR IT Governance Framework dirancang untuk memfasilitasi diperolehnya manfaat
maksimal dari semua tumpang tindih ini dan kerangka kerja dan standar yang bersaing, dan juga untuk
menyebarkan pedoman praktek terbaik.
Kerangka kerja tersebut dibagi menjadi 6 segmen, yaitu:
1. strategi bisnis
2. risiko, kesesuaian, dan kepatuhan
3. strategi TI
4. perubahan
5. informasi dan teknologi neraca
6. operasi
Setiap segmen kemudian dibagi lagi menjadi 3 lapisan yang menggambarkan:
1. Dewan (the board)
2. Executive management
3. TI dan praktisi tata kelola TI
Pada tiga segmen pertama, dewan menetapkan arah dan strategi bisnis. Tergantung pada sifat
organisasi, hal ini membutuhkan kepatuhan terhadap seluruh tata kelola perusahaan dan penilaian
risiko. Di tiga tahap terakhir, arsitektur dan perencanaan dikembangkan untuk mencukupi strategi bisnis
melalui penggunaan TI yang sesuai. Setelah semua rencana ini disetujui oleh dewan, mereka
diimplementasikan melalui serangkaian proyek yang berubah.
Tugas utama dari direktur dalam tata kelola TI, mengevaluasi, mengarahkan, dan mengawasi, sesuai
ISO/IEC 38500, yang terdiri dari Calder-Moir framework. Dewan mengevaluasi kondisi dan strategi
bisnis, mengarahkan penggunaan prinsip TI, dan pengawasan semua proses dalam kerangka kerja.
Manajer eksekutif juga mengevaluasi, mengarahkan dan mengawasi proses yang dijalankan oleh praktisi
TI.