Langsung ke konten utama

Contoh Kasus COBIT

Sejarah Cobit

Cobit merupakan sebuah framework yang dikembangkan oleh ISACA ( Information Systems Audit and Control Association ). Berikut perjalan waktu perkembangan Cobit :
1.    1996 : ISACA (Information Systems Audit and Control Association ) merilis sebuah rangkaian alat pengendalian objektif untuk aplikasi bisnis, yaitu COBIT 1.0.
2.    1998 : COBIT 2.0 rilis yang dilengkapi dengan rangkaian alat implementasi dan pengendalian objektif level tinggi yang detail.
3.    2000 : COBIT 3.0 dirilis dengan menyertakan panduan bagi manajemen.
4.    2002 : Sarbanes – Oxley Act ditetapkan sebagai peraturan atau hukum foderal Amerika yang memberikan dampak pada meningkatnya penggunaan COBIT di Amerika.
5.    2003 : Muncul versi online dari COBIT.
6.    2005 : COBIT 4.0 rilis
7.    2007 : COBIT 4.1 rilis
8.    2012 : COBIT 5.0 rilis, merupakan integrasi dari COBIT 4.1, Val IT 2.0 dan Risk IT frameworks, dan juga menghilangkan secara signifikan terkait bisnis model untuk informasi keamanan dan ITAF. Kemudian pada bulan desember dirilis tambahan ( add – on ) dokumen terkait informasi keamanan.
9.    2013 : Rilis add – on kedua untuk COBIT 5.0 untuk asuransi.

Pengertian Cobit

COBIT (Control Objectives for Information and Related Technology) merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1992.
            Cobit adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna ( user ), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalah – masalah teknis IT.
COBIT bisa diartikan sebagai tujuan pengendalian informasi dan teknologi terkait dan merupakan standar pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh IT Governance Istetute.
Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengelolah TI secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen manajemen COBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI.
COBIT Framework adalah standar kontrol yang umum terhadap teknologi informasi, dengan memberikan kerangka kerja dan kontrol terhadap teknologi informasi yang dapat diterima dan diterapkan secara internasional.

Maksud dari Cobit

Maksud utama dari COBIT :
1.    Menyediakan kebijakan yang jelas dan praktik – praktik yang baik untuk IT governance dalam organisasi tingkatan dunia.
2.    Membantu senior management memahami dan memanage resiko – resiko terkait dengan TI. Cobit melaksanakannya dengan menyediakan satu kerangka IT governance dan petunjuk control objective rinci untuk management, pemilik proses business, users, danauditors.

Kerangka Kerja Cobit

COBIT menyediakan referensi best business practices yang mencakup keseluruhan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif.

Secara keseluruhan konsep framework COBIT dapat dilihat dari 3 sudut pandang, yaitu:
1.    Kriteria Informasi
2.    Sumber daya TI
3.    Proses TI

1.    Kriteria Informasi
Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:
1)        Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.
2)        Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.
3)        Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.
4)        Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.
5)        Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.
6)        Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.
7)        Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.

2.    Sumber daya TI
Sumber daya TI ialah sumber daya yang berkaitan dengan teknologi informasi. Adapaun sumber daya yang terdapat dalam COBIT meliputi:
Ø Organizations – People
Ø Application System
Ø Technologies
Ø Facilities
Ø Data

Contoh Kasus
Domain : Delivery and Support
Kasus : KPPN Surabaya II

Rumusan Masalah

·         Bagaimana panduan audit (tujuan, ruang lingkup, acuan, penanggung
jawab audit, prosedur audit, audit checklist, serta form temuan)
pengelolaan lingkungan fisik TI pada KPPN Surabaya II yang sesuai
dengan standar COBIT 5.

Batasan Masalah

·         Panduan audit SI/TI disusun berdasarkan standar COBIT 5 domain
DSS01.04 (Manage the environment), DSS01.05 (Manage facilities), dan
DSS05.05 (Manage physical access to IT assets). Domain COBIT 5 yang
digunakan merupakan domain yang sesuai dengan pengendalian
keamanan fisik dan lingkungan pada KMK 479/KMK.01/2010.
·         Dokumen panduan audit SI/TI berupa penjelasan mengenai tujuan,
ruang lingkup, acuan dan penanggung jawab audit, prosedur audit, audit
checklist, serta form temuan audit.
·         Dokumen panduan audit ini dikhususkan untuk KPPN Surabaya II,
sehingga di dalamnya nanti akan menjelaskan hal-hal khusus yang
berkaitan dengan lingkungan fisik KPPN Surabaya II yang tidak dimiliki
KPPN lainnya.

Defini Audit

·         Audit adalah suatu proses sistematis, mandiri, dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasi secara objektif untuk menentukan sejauh mana criteria audit telah dipenuhi.
·         Sedangkan audit teknologi informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah system computer yang digunakan telah dapat melindungi asset milik organisasi, maupun menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya secara efesien (Weber, 1999).

COBIT 5

·         COBIT 5 terbagi ke dalam 2 area, yaitu governance dan manajemen.
·         Kedua area ini terdiri dari 5 domain utama dan 37 proses, yaitu sebagai berikut (ISACA, 2012):
1.      Governance of Enterprise IT, terdiri dari domain :
Ø  Evaluate, Direct and Monitor (EDM) – 5 proses
2.      Management of Enterprise, IT terdiri dari domain :
Ø  Align, Plan and Organise (APO) – 13 proses
Ø  Build, Acquire and Implement (BAI) – 10 proses
Ø  Deliver, Service and Support (DSS) – 6 proses
Ø  Monitor, Evaluate and Assess (MEA) – 3 proses

Pengumpulan Data

·         Secara fisik, gedung KPPN Surabaya II merupakan bagian dari Gedung Keuangan Negara Surabaya II.
·         Gedung Keuangan Negara Surabaya II terletak di jalan Dinoyo no.111 Surabaya.
·         GKN Surabaya II memiliki luas area , dan dengan tahun perolehan 1996.
·         Kepala Rumah Tangga GKN Surabaya II saat ini adalah Heyang Muhanan K, SH, MH yang merangkap sebagai kepala Bagian Umum Kanwil X Direktorat Jendral Kekayaan Negara Surabaya.

Pengumpulan Data (Cont’d)

·        Kantor Pelayanan Perbendaharaan Negara (KPPN) Surabaya II merupakan instansi vertical di lingkungan Direktorat Jendral Perbendaharaan Kementrian Keuangan Republik Indonesia.
·        KPPN Surabaya II merupakan bagian dari Gedung Keuangan Negara (GKN) Surabaya II
·        KPPN Surabaya II memiliki wilayah kerja di lantai 7 GKN
·        Karena merupakan bagian dari GKN, maka beberapa asset yang terdapat di KPPN Surabaya II, seperti daya listrik, lift, dan genset merupakan milik GKN
·        Server utama dan server back up berada di ruang server dan dikelola oleh seorang supervisor
·        Belum terdapat adanya dokumentasi yang terstruktur
·        Pengelolaan TI di KPPN Surabaya dilakukan oleh supervisor yang secara structural berada di bawah Kepala Sub bagian Umum
·        Pengelolaan TI di KPPN Surabya dan pendataan asset-aset TI KPPN Surabaya II menjadi tanggung jawab staff pengelolaan Tata Usaha / Rumah Tangga (TU/RT)
·        Visi : Menjadi pelaksana fungsi Bendahara Umum yang profesional, transparan dan akuntabel untuk mewujudkan pelayanan prima.
·        Misi :
Ø  Menjamin kelancaran pencairan dana APBN secara tepat sasaran, tepat waktu dan tepat jumlah
Ø  Mengelola penerimaan Negara secara profesional dan akuntabel
Ø  Mewujudkan pelaporan pertanggung jawaban APBN yang akurat dan tepat waktu

Pengelolaan Lingk. Fisik didalam COBIT 5

·         Pada COBIT 4.1, pengelolaan lingkungan fisik TI terdapat pada proses DS12, yaitu manage the physical environment
·         Pada COBIT 5, manage te physical environment telah digabung ke dalam beberapa proses lain yaitu
Ø  DSS01.04 Pengelolaan Lingkungan
Ø  DSS01.05 Pengelolaan Fasilitas
Ø  DSS01.05.05 Pengelolaan Akses Fisik ke Aset TI

Pendifinisian Penanggung Jawab Tata Kelola TI yang ada di COBIT dengan kondisi lapangan

·        Actor-aktor utama berperan dalam pengelolaan lingkungan fisik TI di KPPN Surabaya II di antaranya adalah :
1.      Kepala Kantor
2.      Kepala subbagian umum
3.      Staf TU/RT
4.      Supervisor

·       Struktur fungsional organisasi tersebut dipetakan terhadap aktifitas TI melalui RACI-Chart (Responsible, Accountable, Consulted dan Informed)

Penyusunan Dokumen Panduan Audit

·        Pembuatan Prosedur Audit
·        Pembuatan Audit Checklist
·        Skala Penilaian
·        Dokumen Panduan Audit

Pembuatan Prosedur Audit 

Prosedur-prosedur yang dihasilkan adalah sbb :
1.      Prosedur-prosedur audit untuk proses pengelolaan lingkungan, meliputi
a.       Identifikasi resiko lingkungan dan human error
b.      Perlindungan terhadap perangkat mobile dan perangkat diluar lokasi
c.       Penempatan fasilitas ruang server
d.      Penempatan fasilitas di dalam gedung KPPN Surabaya II
e.       Perangkat keamanan lingkungan
f.       Sosialisasi dan pelatihan keamanan lingkungan
g.      Rencana kontingensi
h.      Kebersihan dan keamanan ruang server
i.        Kebersihan dan keamanan gedung KPPN Surabaya II

2.      Prosedur-prosedur audit untuk proses pengelolaan fasilitas, meliputi
a.       Penyediaan tenaga listrik cadangan
b.      Pemeliharaan
c.       Sumber daya listrik, air, dan komunikasi
d.      Keamanan kabel
e.       Keamanan area KPPN Surabaya II
f.       Keamanan area server
g.      Manajemen inside TI
h.      Pemeliharaan computer server
i.        Pemeliharaan personal computer (PC)
j.        Pemeliharaan Printer
k.      Pemeliharaan Scanner
l.        Analisi perubahan area fisik

3.      Prosedur-prosedur audit untuk proses pengelolaan akses fisik ke asset TI, meliputi
a.       Pengelolaan akses masuk ke ruangan server
b.      Pengelolaan akses masuk ke ruangan selain front office
c.       Prosedur audit pengelolaan akses pegawai ke ruangan KPPN Surabaya II
d.      Pengelolaan buku tamu
e.       Perimeter keamanan fisik

Pembuatan Prosedur Audit (Cont’d)

·         Setiap prosedur akan diuraikan lagi menjadi langkah-langkah audit.
·         Sebagai contoh, langkah audit untuk prosedur audit “identifikasi risiko
lingkungan dan human error”
1.      Tanyakan dan periksa apakah risiko keamanan yang berkaitan dengan
bencana alam dan kerusakan karena ulah manusia (human eror) telah
diidentifikasikan?
(Lakukan pemeriksaan secara langsung terhadap :
a.        Ketersediaan perangkat keamanan lingkungan, seperti kunci (gembok)
dan tabung pemadam di setiap ruangan
b.       Ketersediaan petunjuk mengenai jalur evakuasi dan adanya tangga
darurat untuk proses evakuasi personil KPPN Surabaya II dari lantai 7
GKN.
c.        Ketersediaan UPS yang masih berfungsi dengan baik untuk 2 komputer
server dan 46 unit PC untuk mengatasi risiko pemadaman
d.      Ketersediaan genset untuk cadangan sumber tenaga saat terjadi
pemadaman.
e.       Ketersediaan alarm tanda bahaya saat terjadi bencana alam seperti
gempa bumi)

2.       Apakah identifikasi risiko di KPPN Surabaya II telah didokumentasikan?
(Jika iya, mintakan dan periksa dokumen tersebut apakah di dalamnya
telah dikualifikasikan berdasarkan jenis risiko, prioritas, serta tindakan
pengamanan yang harus diambil)


Pembuatan Audit Checklist

·         Tahap berikutnya adalah membuat audit checklist berdasarkan
prosedur-prosedur audit yang ada.
·         Audit checklist ini terdiri dari tiga bagian, yaitu :
Ø  Audit Checklist Pengelolaan Lingkungan
Ø  Audit Checklist Pengelolaan Fasilitas
Ø  Audit Checklist Pengelolaan Akses Fisik ke Aset TI

Pembuatan Audit Checklist

·         Tahap berikutnya adalah membuat audit checklist berdasarkan
prosedur-prosedur audit yang ada.
·         Audit checklist ini terdiri dari tiga bagian, yaitu :
Ø  Audit Checklist Pengelolaan Lingkungan
Ø  Audit Checklist Pengelolaan Fasilitas
Ø  Audit Checklist Pengelolaan Akses Fisik ke Aset TI

Skala Penilaian

·         Penilaian menggunakan skala Likert berdasarkan kesesuaiannya
dengan best practices dalam COBIT 5, di mana nilai 1 menyatakan
sangat sesuai, hingga nilai 5 menyatakan sangat tidak sesuai.
·         Audit ini hanya menilai pemenuhan aktivitas dalam COBIT, apakah
prosedur yang ada telah sesuai dengan standar atau tidak.

Dokumen Panduan Audit TI

Hasil dari penelitian ini berupa dokumen panduan audit SI/TI yang di
dalamnya berisi hal-hal berikut ini :
·         Ikhtisar dokumen panduan audit teknologi informasi
·         Kertas kerja pemeriksaan utama audit teknologi informasi
·         Audit Checklist
Audit checklist ini terdiri dari tiga bagian, yaitu : Audit Checklist Pengelolaan
Lingkungan, Audit Checklist Pengelolaan Fasilitas, Audit
Checklist Pengelolaan Akses Fisik ke Aset TI
·         Prosedur Audit
Terdapat sebanyak 26 prosedur audit dalam proses pengelolaan lingkungan
fisik TI di KPPN Surabaya II, dengan pembagian: Pengelolaan Lingkungan (9
prosedur), Pengelolaan Fasilitas (12 prosedur), Pengelolaan Akses Fisik ke
Aset TI (5 prosedur)
·         Kertas kerja konsep temuan pemeriksaan

Verifikasi Dokumen Panduan Audit

• Verifikasi dokumen panduan audit dilakukan dengan melakukan
pengecekan kelengkapan prosedur yang ada dengan aktivitasaktivitas
dan proses-proses yang terkait dengan pengelolaan
lingkungan fisik TI di dalam COBIT 5.

Kesimpulan

·         Pembuatan dokumen panduan audit lingkungan fisik TI ini dibuat dengan
mengacu pada COBIT 5, dan mencakup proses pengelolaan lingkungan,
pengelolaan fasilitas, serta pengelolaan akses fisik ke aset TI.
·         Pembuatan dokumen panduan audit ini menghasilkan:
1.      Ikhtisar dokumen panduan audit teknologi informasi
2.      Kertas kerja pemeriksaan utama audit teknologi informasi
3.      Audit Checklist, yang terdiri dari tiga bagian.
4.      Prosedur Audit sebanyak 26 dokumen prosedur dengan pembagian
sebagai berikut :
Ø  Pengelolaan Lingkungan : 9 prosedur
Ø  Pengelolaan Fasilitas : 12 prosedur
Ø  Pengelolaan Akses Fisik ke Aset TI : 5 prosedur
5.      Kertas kerja konsep temuan pemeriksaan

Daftar Pustaka

·         liapsa.staff.gunadarma.ac.id/Downloads/files/33214/Bab+8+-+COBIT.docx
·         IT Governance Institute. 2007. COBIT 4.1. USA: IT Governance Institute.
·         /Audit_Sistem_Informasi_Apa_itu_Audit_Sistem_Informasi_Teknologi_Informasi
http://jurnal.lpkia.ac.id/files/students/essays/journals/236
·         http://digilib.its.ac.id/public/ITS-paper-34242-5210105012-Presentation.pdf
·         https://www.scribd.com/document/185589069/pengertian-cobit

Komentar

Posting Komentar

Postingan populer dari blog ini

Heuristik (Heuristic Search)

Heuristik adalah sebuah teknik yang mengembangkan efisiensi dalam proses pencarian, namum dengan kemungkinan mengorbankan kelengkapan (completeness). Fungsi heuristik digunakan untuk mengevaluasi keadaan-keadaan problema individual dan menentukan seberapa jauh hal tersebut dapat digunakan untuk mendapatkan solusi yang diinginkan. Jenis-jenis Heuristic Searching: – Generate and Test. – Hill Climbing. – Best First Search. – Means-EndAnlysis, Constraint Satisfaction, dll. 1). PEMBANGKITAN dan PENGUJIAN (Generate and Test) Metode ini merupakan penggabungan antara depth-first search dengan pelacakan mundur (backtracking), yaitu bergerak ke belakang menuju pada suatu keadaan awal. Algoritma  : 1. Bangkitkan suatu kemungkinan solusi (membangkitkan suatu tititk tertentu atau lintasan tertentu dari keadaan awal). 2. Uji untuk melihat apakah node tersebut benar-benar merupakan solusinya dengan cara membandingkan node terebut atau node akhir dari suatu linta...
Posting Komentar
Baca selengkapnya

Sistem Pakar

APA ITU SISTEM PAKAR ? Sistem pakar adalah salah satu cabang dari AI yang membuat penggunaan secara luas  knowledge  yang khusus untuk penyelesaian masalah tingkat manusia yang pakar. Seorang pakar adalah orang yang mempunyai keahlian dalam bidang tertentu, yaitu pakar yang mempunyai  knowledge  atau kemampuan khusus yang orang lain tidak mengetahui atau mampu dalam bidang yang dimilikinya. Ketika sistem pakar dikembangkan pertama kali sekitar tahun 70-an system pakar hanya berisi  knowledge  yang eksklusif. Namun demikian sekarang ini istilah sistem pakar sudah digunakan untuk berbagai macam system yang menggunakan teknologi sistem pakar itu. Teknologi sistem pakar ini meliputi Bahasa sistem pakar, program dan perangkat keras yang dirancang untuk membantu pengembangan dan pembuatan sistem pakar. Sistem Pakar biasa disebut  Expert System  merupakan suatu pengembangan dari Decision Support Systems (DSS), yang memiliki fungsi sebagai konsul...
Posting Komentar
Baca selengkapnya