PEMERIKSAAN SISTEM INFORMASI (EDP)

SUPPORT TOOLS AND FRAMEWORKS

Anggota Kelompok :

Priskila Adelia / 125 100 030

Fanny Queimena / 125 100 117

Cynthia / 125 100 134

Kelas : BY

Fakultas Ekonomi

Universitas Tarumanagara

Jakarta

2013

CHAPTER 14

SUPPORT TOOLS AND FRAMEWORKS

Kita perlu mengetahui alat pembantu dan kerangka kerja yang digunakan audit untuk mendukung siklus bisnis.

KERANGKA KERJA UMUM :

COBIT adalah model dari IT governance yang diterima secara umum dan sebuah alat untuk

mengontrol risiko management dan implementasikan control dalam IT environment (lingkungan IT)

untuk mencapai business objectives (tujuan bisnis).

COBIT diperkenalkan untuk menggabungkan IT standard yang ada dengan praktik yang baik agar

menjadi sebuah design struktur yang komprehensif agar mencapai standard governance internasional

yang diterima secara umum.

Dilihat dari strategi yang diperlukan organisasi, COBIT mengarahkan kegiatan IT agar berfokus

dalam pencapaian control objectives dibandingan mengimplementasikan control yang spesifik dan

rumit. Model ini menghubungkan praktik IT dengan organizational governance dan strategi yang

diperlukan. Namun tidak hanya dengan standar umum yang ada namun dengan standar lain untuk

mencapai level control yang diinginkan.

COBIT memberikan kerangka kerja untuk kontrol secara keseluruhan atas proses IT yang

diharapkan menjadi model dasar atas kontrol spesifik yang dilakukan untuk mencapai sistem kontrol

internal yang unik, yang secara spesifik dibuat untuk kebutuhan bisnis organsasi.

COBIT di desain untuk dapat dipergunakan pada level management yang berbeda, seperti :

1. Executive Manager dapat mempergunakan COBIT untuk memastikan nilai yang didapat dari

investasi yang signifikan dalam IT dan memastikan bahwa terjadi keseimbangan dalam risk dan

control yang diinvestasikan dari IT tersebut.

2. Operational Management menggunakan COBIT untuk memperoleh keyakinan bahwa

management dan control dalam IT sudah sesuai.

3. IT Management dapat menggunakan COBIT sebagai alat operational untuk memastikan strategi

bisnis didukung oleh kontrol dan personel IT yang baik.

4. IT Auditor menggunakan COBIT untuk mengevaluasi kecukupan control, keefektifan control dan

mendukung management dengan saran yang sesuai mengenai sistem internal control.

COBIT didasarkan pada penelitian terhadap berbagai situasi lingkungan IT dan akan terus

dikembangkan dan dijpelihara sesuai dengan natur informasi technology yang dinamis. COBIT juga

diarahkan agar dapat diaplikasikan dalam seluruh aspek IT governance karena hal ini berkaitan erat

dengan prinsip GCG yang diterima secara umum sehingga hal ini dapat diterima disemua lapisan

management.

COBIT mempergunakan kerangka kerja dan proses untuk menciptakan struktur aktivitas IT yang

dapat diterapkan untuk control managerial. COBIT mengidentifikasi 34 proses teknologi informasi yang

dikelompokkan menjadi empat domain utama, yaitu :

1. Planning and Organizing

Domain PO menitiberatkan pada perencanaan penerapan teknologi informasi dan penyelarasan

teknologi informasi dengan tujuan perusahaan.

2. Acquire and Implement

Domain AI menekankan bagaimana solusi teknologi informasi diidentifikasi, diperoleh, serta

diimplementasikan dan diintegrasikan ke dalam proses bisnis.

3. Deliver and Support

Menekankan bagaimana layanan teknologi informasi yang dibutuhkan diberikan.

4. Monitor and Evaluate

Proses ini meliputi proses yang dibutuhkan untuk mengawasi keseluruhan IT performance dan

memastikan keefektifan IT governance.

Setiap langkah diatas dibagi kedalam berbagai jenis individual control objectives yang terdiri

dari , mengidentifikasi persyaratan kontrol, struktur control yang mendasar dan kriteria pengukuran.

Kriteria pengukuran adalah hal yang paling kritikal dalam COBIT untuk mencapai corporate governance.

Dalam setiap proses diatas, control objective yang ada dibuat pada tingkat manajerial control yang

minimum.

Peran dan tanggung jawab untuk mencapai control objectives dapat diukur dengan “Maturity

Model” dimana metode pengukuran proses teknologi informasi dilakukan melalui pemetaan tiap

proses terhadap status kematangan. Status kematangan terbagi dalam enam skala, dari skala 0 sampai

5, yaitu :

0. Non existent

1. Initial / ad hoc

2. Repeatable but intuitive

3. Defined Process

4. Managed and measureable

5. Optimized

Matriks ini memfasilitasi keputusan management dan auditor hingga mencapai tingkat

kesesuaian dari setiap proses

COBIT didasarkan pada pemahaman bahwa design dan implementasi dari aplikasi control

automatis adalah tanggung jawab dari IT sesuai dengan kebutuhan bisnis. IT control secara umum

adalah tanggung jawab langsung dari fungsi IT yang juga tercakup dalam COBIT.

COBIT 5 yang terbaru dikembangkan dengan keadaan yang ada sekarang dan difasilitasi dengan

Information Technology Infrastructure Library ( ITIL ) dan International Standard Organization ( ISO )

COSO

Sistem pengendalian internal menurut COSO merupakan suatu proses yang melibatkan dewan

komisaris, manajemen, dan personil lain, yang dirancang untuk memberikan keyakinan memadai

tentang pencapaian tiga tujuan berikut:

1. Efektivitas dan efisiensi operasi

2. Keandalan pelaporan keuangan

3. Kepetuhan kerhadap hukum dan peraturan yang berlaku)

Komponen pengendalian internal menurut COSO adalah :

1. Lingkungan pengendalian (control environment).

2. Penaksiran risiko (risk assessment).

3. Aktivitas pengendalian (control activities).

4. Informasi dan komunikasi (informasi and communication).

5. Pemantauan (monitoring).

Fokus utama:

COSO menyatakan Pengendalian Internal merupakan partisipasi dari semua entitas yang meliputi

seluruh/semua area atau fungsi dari bisnis entitas dengan mengoperasikan sistem yang efektif dan

efisien, laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku.

STANDAR LAINNYA (OTHER STANDARDS)

Security: BS 7799 dan ISO 17799/27001/27002

British Standard (BS) 7799 dan ISO 17799 dikembangkan oleh suatu badan yang mengumumkan secara

resmi standar untuk komersil dan industri berupa kode praktek untuk menyediakan suatu kerangka

sebagai standar keamanan informasi.

ISO 27001 diterbitkan pada bulan Oktober 2005 yang menggantikan standar BS 7799 mengenai

pengelolaan keamanan informasi (ISMS) untuk memastikan bahwa pengukuran keamanan informasi

telah efektif. Hal ini termasuk kemampuan mengakses data secara berkelanjutan, adanya kerahasiaan

dan integritas atas informasi yang dimilikinya dan kebutuhan pihak-pihak yang berkepentingan demikian

pula dengan kesesuaian hukum.

ISO 27702 memberikan rekomendasi praktik terbaik untuk sistem manajemen keamanan informasi.

Standar ini digunakan untuk memulai, mengimplementasi, memelihara, dan mengembangkan

keamanan informasi dalam suatu perusahaan.

Service Management : ITIL

Information Technology Infrastructure Library (ITIL) adalah seperangkat konsep dan praktik untuk

mengelola layanan TI, pengembangan dan operasi TI dan didirikan oleh OGC (Office of Government

Commerce)

ITIL memberikan deskripsi rincian sejumlah praktik penting TI dan menyediakan daftar komprehensif

tugas dan prosedur yang didalamnya setiap organisasi dapat menyesuaikan dengan kebutuhannya

sendiri. IT Service Management berfokus pada orang, proses, dan isu teknologi yang akan dihadapi oleh

organisasi IT.

Project Management: PRINCE

PRINCE (Projects in Controlled Managements)adalah sebuah metodelogi manajemen proyek

yang telah dikembangkan agar kompatibel dengan sistem pengembangan metodologi yang dapat

menavigasi seluruh pemakai melalui elemen-elemen inti untuk dapat mengimplementasikan suatu

proyek yang berhasil.

PRINCE pertama kali dikembangkan tahun 1989 oleh Central Computer and Telecommunications Agency

(CCTA) sebagai standar dari Pemerintahan United Kingdom untuk manajemen proyek IT. Setelah PRINCE

ditemukan, PRINCE digunakan oleh baik sektor privat maupun publik dan secara luas diakui untuk

proyek IT maupun non IT.

Criteria of Control (CoCo)

CoCo disponsori oleh Canadian Institute of Chartered Accountants, dan mempunyai tiga tujuan

pengendalian utama:

1. Efektivitas dan efisiensi operasi

2. Keandalan laporan internal dan eksternal

3. Ketaatan terhadap peraturan yang berlaku dan regulasi serta kebijakan intern

Pada kerangka kerja CoCo, pengendalian didefinisikan sebagai:

Tujuan , yang mendorong pemahaman terhadap arah organisasi. Hal ini ditunjukkan dengan cara

seperti visi dan strategi, risiko dan peluang, perencanaan, pengembangan kebijakan, dan

penggunaan target kinerja dan indikator.

Komitmen , yang mendorong kepercayaan dalam identitas dan nilai organisasi. Hal ini

berdampak pada nilai etika, termasuk integritas; kebijakan sumber daya manusia; tanggung

jawab dan akuntabilitas; kewenangan; dan saling percaya.

Kemampuan , yang membahas masalah kompetensi organisasi. Hal ini termasuk pengetahuan

dan kompetensi, keahlian dan sarana, informasi, penggunaan proses komunikasi yang sesuai,

koordinasi, dan pengendalian aktivitas.

Pengawasan dan pembelajaran , yang akan memfasilitasi perkembangan organisasi. Hal ini

termasuk pengawasan lingkungan internal dan eksternal, pengawasan kinerja, kebutuhan

penilaian informasi dan sistem informasi, pelaksanaan prosedur tindak lanjut, dan penilaian

keseluruhan efektivitas kontrol.

CoCo menyelenggarakan penanganan risiko melalui:

Penghindaran risiko,

Pengurangan kemungkinan terjadinya risiko,

Pengurangan dampak risiko yang harus terjadi,

Mentransfer risiko pada pihak ketiga, dan

Menerima atau memelihara risiko.

Governance Framework

Tiga standard yang secara luas diakui sebagai IT governance frameworks:

a) ITIL, dikembangkan oleh United Kingdom’s Office of Government Commerce. Walaupun secara

langsung berhubungan dengan pelayanan manajemen, sebuah bagian ITIL secara langsung juga

berhubungan dengan tata kelola pelayanan.

b) CobiT, menganggap IT governance sebagai keseimbangan antara dua bidang utama yaitu

menciptakan nilai perusahaan dan meminimalkan risiko TI. Dengan keseluruhan tujuan untuk:

Memastikan orientasi strategis, berfokus pada solusi perusahaan.

Penciptaan manfaat, dengan fokus pada mengoptimalkan tugas dan menilai manfaat dari TI.

Penerapan manajemen risiko yang berkaitan dengan perlindungan aset TI dan memperhitungkan

pemulihan bencana dan kelanjutan dari proses perusahaan dalam hal krisis.

Pengelolaan sumber daya yang efektif untuk menjamin optimalisasi pengetahuan dan infrastruktur.

Kecukupan pengukuran kinerja dan penciptaan dasar untuk perbaikan berkesinambungan.

Pendekatan CobiT untuk mengendalikan adalah sebuah pendekatan top-down di mana tujuan

perusahaan membentuk dasar untuk menentukan tujuan TI yang pada gilirannya menentukan arsitektur

TI. Hal ini dimaksudkan untuk memastikan bahwa proses TI secara tepat didefinisikan dan dioperasikan,

untuk memastikan informasi yang diproses, sumber daya TI dapat dikelola, dan layanan disampaikan

dengan cara yang baik.

c) ISO/IEC 38508 (International Organization for Standardization / International Electrotechnical

Commission) 38508, dirancang sebagai IT Governance Standard formal internasional di seluruh

dunia, ISO / IEC 38500 menetapkan kerangka yang jelas bagi tata kelola Dewan atas informasi

dan komunikasi. Kerangka kerja menempatkan enam prinsip good corporate governance TI yang

terdiri dari:

1. Tanggung jawab

2. Strategi

3. Akuisisi

4. Kinerja

5. Kesesuaian

6. Perilaku manusia.

The CALDER-MOIR IT Governance Framework dirancang untuk memfasilitasi diperolehnya manfaat

maksimal dari semua tumpang tindih ini dan kerangka kerja dan standar yang bersaing, dan juga untuk

menyebarkan pedoman praktek terbaik.

Kerangka kerja tersebut dibagi menjadi 6 segmen, yaitu:

1. strategi bisnis

2. risiko, kesesuaian, dan kepatuhan

3. strategi TI

4. perubahan

5. informasi dan teknologi neraca

6. operasi

Setiap segmen kemudian dibagi lagi menjadi 3 lapisan yang menggambarkan:

1. Dewan (the board)

2. Executive management

3. TI dan praktisi tata kelola TI

Pada tiga segmen pertama, dewan menetapkan arah dan strategi bisnis. Tergantung pada sifat

organisasi, hal ini membutuhkan kepatuhan terhadap seluruh tata kelola perusahaan dan penilaian

risiko. Di tiga tahap terakhir, arsitektur dan perencanaan dikembangkan untuk mencukupi strategi bisnis

melalui penggunaan TI yang sesuai. Setelah semua rencana ini disetujui oleh dewan, mereka

diimplementasikan melalui serangkaian proyek yang berubah.

Tugas utama dari direktur dalam tata kelola TI, mengevaluasi, mengarahkan, dan mengawasi, sesuai

ISO/IEC 38500, yang terdiri dari Calder-Moir framework. Dewan mengevaluasi kondisi dan strategi

bisnis, mengarahkan penggunaan prinsip TI, dan pengawasan semua proses dalam kerangka kerja.

Manajer eksekutif juga mengevaluasi, mengarahkan dan mengawasi proses yang dijalankan oleh praktisi

TI.