Control Objective for Information and related Technology (COBIT)

Pengertian Cobit

COBIT (Control Objectives for Information and Related Technology) merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1992.

COBIT memiliki 4 cakupan domain, yaitu :

·         Perencanaan dan organisasi (plan and organise)

·         Pengadaan dan implementasi (acquire and implement)

·         Pengantaran dan dukungan (deliver and support)

·         Pengawasan dan evaluasi (monitor and evaluate)

Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola risiko-risiko yang berhubungan dengan IT.

COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.

Sejarah COBIT

COBIT pertama kali diterbitkan pada tahun 1996, kemudian edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 dan COBIT 4.0 pada tahun 2005. Kemudian COBIT 4.1 dirilis pada tahun 2007 dan saat ini COBIT yang terakhir dirilis adalah COBIT 5.0 yang dirilis pada tahun 2012.

COBIT merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan yang dilengkapi dengan balance scorecard dan dapat digunakan sebagai acuan model (seperti COSO) dan disejajarkan dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.

Kerangka Kerja COBIT

Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:

Control Objectives

Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning & Organization , Acquisition & Implementation , Delivery & Support , dan Monitoring & Evaluation.

Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

Management Guidelines

Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :

•   Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
•  Apa saja indikator untuk suatu kinerja yang bagus.
•  Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors ).
•  Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.
•   Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan.
•   Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.

Misi COBIT

Melakukan penelitian, pengembangan, publikasi dan promosi terhadap control objective dari teknologi informasi yang secara umum diterima di lingkungan internasional untuk pemakaian sehari-hari oleh manager dan auditor.

Kriteria Informasi berdasarkan COBIT

Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:

Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.

Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.

Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.

Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.

Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.

Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.

Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.

Daftar Pustaka :

http://dindanurayu4.blogspot.co.id/2015/12/pengertian-cobit.html

https://id.wikipedia.org/wiki/COBIT

https://haendra.wordpress.com/2012/06/08/pengertian-cobit/

http://www.kajianpustaka.com/2014/02/pengertian-sejarah-dan-komponen-cobit.html

http://laisanurin.blogspot.co.id/2014/01/apa-yang-anda-ketahui-mengenai-cobit.html

Read More

Audit Teknologi Sistem Informasi

Pengertian Audit Teknologi Sistem Informasi

Audit Teknologi Sistem Informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis.

Sejarah Audit Teknologi Sistem Informasi

pada awalnya lebih dikenal sebagaiEDP Audit  (Electronic Data Processing) telah mengalami perkembangan yang pesat.Perkembangan Audit SI/IT ini didorong oleh kemajuan teknologi dalam sistem keuangan, meningkatnya kebutuhan akan kontrol IT, dan pengaruh dari komputer itu sendiri untuk menyelesaikan tugas-tugas penting. Pemanfaatan teknologi komputer ke dalam sistem keuangan telah mengubah cara kerja sistem keuangan, yaitu dalam penyimpanan data, pengambilan kembali data, dan pengendalian. Sistem keuangan pertama yang menggunakan teknologi komputer muncul pertama kali tahun 1954. Selama periode 1954 sampai dengan 1960-an profesi audit masih menggunakan komputer. Pada pertengahan 1960-an terjadi perubahan pada mesin komputer, dari mainframe menjadi komputer yang lebih kecil dan murah. Pada tahun 1968, American Institute of Certified Public Accountants (AICPA) ikut mendukung pengembangan EDP auditing Sekitar periode ini para auditor bersama-sama mendirikan Electronic Data Processing Auditors Association (EDPAA). Tujuan lembaga ini adalah untuk membuat suatu tuntunan, prosedur, dan standar bagi audit EDP.  Pada tahun 1977, edisi pertama Control Objectives diluncurkan. Publikasi ini kemudian dikenal sebagai Control Objectives for Information and Related Technology (CobiT). Tahun 1994, EDPAA mengubah namanya menjadi Information System Audit (ISACA).

Jenis-Jenis Audit Teknologi Sistem Informasi

1. Sistem dan aplikasi.Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.

2. Fasilitas pemrosesan informasi.Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.

3. Pengembangan sistem.Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.

4. Arsitektur perusahaan dan manajemen TI.Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.

5. Client/Server, telekomunikasi, intranet, dan ekstranet.Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.

Pentingnya Dilakukan Audit Teknologi Sistem Informasi

1. Kerugian akibat kehilangan data
Informasi berasal dari suatu data yang diolah dan memiliki manfa’at bagi penggunanya. Oleh karena itu, data adalah suatu aset yang penting bagi suatu perusahaan atau organisasi. Informasi dari suatu data akan menjadi gambaran dari kondisi di masa lalu, sekarang, dan masa yang akan datang. Jika informasi dari data tersebut hilang, maka akan menyebabkan suatu kesalahan yang fatal.

2. Kesalahan dalam pengambilan keputusan
Saat ini masih banyak instansi yang menggunakan perangkat lunak dalam mengambil keputusan. Namun, resiko yang ditimbulkan bisa saja bukan lagi membahayakan sistem, tetapi juga dapat membahayakan nyawa seseorang seperti dalam penggunaan DSS (Sistem Penunjang Keputusan) dalam bidang kedokteran. Tingkat akurasi dan pentingnya suatu data tergantung kepada jenis keputusan yang akan diambil.

3. Kerugian yang disebabkan oleh kesalahan pemrosesan komputer
Banyak organisasi atau perusahaan yang telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari hal yang sederhana, pernghitungan bunga dalam jumlah besar, dan juga navigasi pesawat terbang atau peluru kendali. Kerugian tersebut dapat pula berupa kebocoran data dan dapat menimbulkan dampak yang akan merugikan bagi suatu perusahaan atau organisasi seperti kehilangan klien, pelanggan, perhitungan matematis yang sulit dipercaya, dan juga dapat menggangu kelangsungan hidup perusahaan.

4. Penggunaan komputer yang di salah gunakan
Tingginya tingkat penyalahgunaan komputer menjadi salah satu alasan mengapa audit sistem informasi diperlukan. Banyak sekali pihak yang tidak bertanggungjawab dapat melakukan kejahatan komputer seperti Hacker, Cracker dan Virus.

a) Hacker : Merupakan seseorang yang dengan sengaja masuk ke dalam suatu sistem tanpa izin. Mereka melakukan hal tersebut biasanya hanya untuk membuat dirinya sendiri atau kelompoknya bangga karena telah berhasil menembus sistem keamanan dari suatu perusahaan atau organisasi, tanpa ada maksud untuk merusak atau mengambil sesuatu atas apa yang telah dilakukan.

b) Cracker : Cracker memasuki suatu sistem yang memiliki tujuan untuk mengambil keuntungan sebanyak-banyaknya seperti mengubah, merusak, atau bahkan menghancurkan sistem tersebut.

c) Virus : Merupakan sebuah program komputer yang melekatkan diri dan menjalankan dirinya sendiri pada suatu data. Virus meriplikasi dirinya sendiri secara aktif dan mengganggu atau merusak suatu sistem operasi, data, dan bahkan mengacaukan sistem.

 Kejahatan komputer juga dapat dilakukan oleh karyawan yang merasa tidak puas dengan kebijaksanaan perusahaan, baik yang masih bekerja, sudah berhenti, keluar, diberhentikan dari perusahaan tersebut dan bahkan yang pindah bekerja ke perusahaan lain. Dan hal tersebut dilakukan untuk memperoleh keuntungan atau manfaat dalam bersaing. Oleh karena itu audit sangat diperlukan dan terdapat dua hal utama yang harus diperhatikan pada saat melakukan audit atau pemrosesan data elektronik seperti pengumpulan bukti dan evaluasi bukti.

5. Kesalahan pada proses perhitungan
Sistem Informasi sering digunakan untuk melakukan proses menghitung yang rumit karena memiliki kemampuan untuk mengolah data secara tepat dan akurat, namun juga menimbulkan resiko kesalahan. Tanpa adanya pengembangan sistem yang baik, tentu saja dapat terjadi kesalahan menghitung dan yang lebih buruk adalah sistem yang baru yang sudah dibuat akan sulit di deteksi tanpa ada proses audit yang dilakukan.

6. Nilai investasi yang tinggi untuk perangkat keras dan perangkat lunak komputer
Investasi yang dikeluarkan suatu perusahaan tentu sangat besar dan sulit untuk mengukur manfaat yang dapat diberikan oleh suatu sistem atau teknologi informasi.

Sumber Pustaka :

http://fitharikhadir.blogspot.com/2016/01/audit-sistem-informasi-dan-prosedur.html

http://fahmialhabsyi.blogspot.co.id/2017/09/tugas-1-audit-teknologi-sistem-informasi.html

https://empi378.wordpress.com/2013/02/10/pentingnya-dilakukan-audit-sistem-informasi/

http://auditsi-imam.blogspot.co.id/2015/04/s.html

Read More