Val IT Framwork

    Val IT  diprakarsai oleh Information Technology Governance Institute (ITGI) melalui pengalaman sekumpulan tim yang terdiri dari para praktisi, akademisi, serta praktek-praktek, beberapa metodologi, dan penelitian untuk mengembangkan kerangka kerja Val  IT. Perkembangan  kerangka  kerja  Val  IT  ini  melalui  beberapa  aktivitas penelitian,  publikasi  dan  layanan  pendukung.  Inisiatif Val  IT  ini  diilustrasikan  pada gambar di samping ini.

Berdasarkan  gambar  disamping Val  IT  memberikan  pedoman,  proses-proses  dan dukungan  praktis  untuk  membantu  pimpinan  dan  manajemen  ekskutif  dalam memahami  dan  melaksanakan  peran  yang  sesuai  dengan investasi  teknologi informasi.   Val  IT  memfokuskan  pada  keputusan  investasi (are  we  doing  the  right things?) dan merealisasikan keuntungan (are we getting the benefits?). 

Sebagai respon terhadap kebutuhan mengenai hal inilah kemudian ISACA meluncurkan sebuah framework yang memberi arahan bagaimana manajemen nilai ini diterapkan. Dan framewokr tersebut diberi nama Val IT.

Framework Val IT  yang membahas GEIT ini memiliki fokus utama pada manajemen dan penciptaan value dari IT. Framework ini dimulai dari premis bahwa penciptaan nilai dari investasi IT merupakan tanggung-jawab dari manajemen bisnis. Nah, untuk membantu manajemen bisnis dalam mengorganisasikan dan menjalankan tanggung-jawabnya tersebut, Val IT mendefinisikan 22 proses bisnis terkait IT, praktik-praktik manajemen utama yang berkaitan, panduan manajemen berikut model kematangannya.

Bagaimana hubungannya dengan CobiT?

Val IT bersifat komplementer terhadap COBIT dan bahkan mengikuti struktur dan template yang sama. Val IT memiliki 22 proses yang dikelompokkan ke dalam tiga domain, yaitu:

(1) Value Governance (VG);

(2) Portfolio Management (PM); dan

(3) Investment Management (IM).

Domain VG membahas mengenai struktur dan proses-proses yang dibutuhkan untuk memastikan praktik-praktik manajemen nilai telah berjalan di organisasi. Domain ini mencakup keterlibatan kepemimpinan (VG1), definisi dan implementasi praktik-praktik manajemen nilai (VG2), dan integrasi manajemen nilai dengan proses-proses manajemen finansial organisasi (VG4). Domain ini juga membahas mengenai tipe-tipe portofolio dan kriteria yang perlu ditentukan oleh bisnis (VG3), bahwa monitoring tata kelola yang efektif mesti diterapkan di atas praktik-praktik manajemen nilai (VG5), dan harus ada siklus perbaikan yang berkesinambungan berdasarkan lesson learned sebelumnya (VG6). Proses-proses pada domain ini berlaku sebagai payung yang menaungi proses-proses pada domain Val IT lannya.

Domain PM membahas mengenai proses-proses yang dibutuhkan untuk mengelola seluruh portofolio investasi-investasi TI. Domain ini mengatur bahwa arahan strategis dari organisasi mesti diklarifikasi dan bahwa target portofolio mesti ditetapkan (PM1). Juga, sumber daya yang tersedia terkait dengan pendanaan (PM2) dan SDM (PM3) perlu diinventarisasi. Berdasarkan justifikasi bisnis yang detail hasil proses pada domain IM (IM1-1M5), maka kemudian program-program investasi tersebut dipilih dan dipindahkan ke portofolio aktif (PM4). Kinerja dari portofolio aktif ini perlu dimonitor secara kontinu dan dilaporkan (PM5) serta terus dioptimalisasi (PM6) berdasarkan laporan-laporan kinerja yang keluar dari proses-proses IM.

Proses-proses pada domain IM ini sudah bekerja pada level individual suatu investasi IT tertentu. Lima proses pertama dalam domain ini fokus pada munculnya peluang-peluang investasi baru di organisasi (IM1) dan pembuatan justifikasi bisnis yang rinci (IM5) untuk peluang-peluang yang sudah disetujui, termasuk analisis terhadap aksi-aksi yang dapat dilakukan (IM2), pendefinisian rencana detail program (IM3) dan analisis cost-benefit secara keseluruhan (IM4). Setelah persetujuan terhadap justifikasi bisnis rinci (PM4), program-program investasi baru diluncurkan (IM6) dan dimonitor (IM8) dan, jika perlu, justifikasi bisnis dapat juga diupdate (IM9). Semua program investasi perlu ada masa akhir berlakunya (IM10), yaitu ketika disepakati bahwa nilai bisnis yang diharapkan dari investasi telah dapat tercapai atau sebaliknya jika jelas-jelas tidak akan dapat tercapai. Selain itu perubahan pada portofolio operasional IT, sebagai hasil dari program investasi, perlu dimasukkan ke dalam portofolio layanan-layanan IT, aset atau sumber dayanya (IM7).

Secara sederhana sebenarnya nilai (value) merupakan relasi antara ekspektasi dari para pihak yang berkepentingan dengan kemampuan sumber daya untuk mewujudkannya. Dan tujuan dari manajemen nilai –seperti halnya Val IT ini—ini intinya adalah untuk merekonsiliasi kesenjangan diantara kedua hal tersebut. Ya, bagaimana mengatur agar sumber daya yang dikeluarkan dapat memenuhi ekspektasi dan juga sebaliknya, bagaimana ekspektasi dapat disesuaikan dengan kemampuan sumber daya yang dimiliki. Definisi yang sederhana tapi tentu tidak sederhana dalam mewujudkannya. Justru disinilah framework semacam Val IT ini diharapkan dapat membantu.

Risk It

Manajemen risiko adalah tentang membantu perusahaan mengambil risiko dalam mengejar pengembalian. Sebuah karakteristik budaya resiko menawarkan pengaturan di mana komponen risiko dibahas terbuka, dan tingkat risiko yang dapat diterima dan dipahami serta dipertahankan. Sebuah budaya risiko dimulai dari bagian atas, dengan direksi dan eksekutif bisnis yang bertindak untuk mengatur arah berkomunikasi. Risk awareness atau kesadaran tentang resiko juga menyiratkan bahwa semua tingkatan dalam perusahaan menyadari bagaimana untuk menanggapi peristiwa IT merugikan bagi perusahaan

    Budaya risiko adalah sebuah konsep yang tidak mudah untuk menggambarkan. Budaya resiko 

terdiri dari serangkaian perilaku, seperti yang ditunjukkan pada gambar berikut

Menurut ISACA , hubungan antara IT Risk Framework dan ISO 31000 (manajemen resiko menurut iso.org)  terlihat pada tabel berikut

ebook RiskIT link

ITAF

ITAF adalah model yang komprehensif dan memberikan panduan praktek tentang penerapan nya, meliputi :

• Memberikan bimbingan pada desain, pelaksanaan dan pelaporan IS audit dan jaminan tugas
• Mendefinisikan istilah dan konsep spesifik untuk jaminan IS
• Menetapkan standar bahwa alamat IS audit dan jaminan peran dan tanggung jawab profesional; pengetahuan dan keterampilan dan ketekunan, perilaku dan persyaratan pelaporan

ITAF menyediakan satu sumber di mana IS audit dan jaminan profesional dapat mencari bimbingan, kebijakan dan prosedur penelitian, mendapatkan program audit dan jaminan, dan mengembangkan laporan yang efektif.

Sementara ITAF menggabungkan standar ISACA yang ada dan bimbingan, telah dirancang untuk menjadi dokumen hidup. Sebagai pedoman baru dikembangkan dan diterbitkan, itu akan diindeks dalam kerangka dan membuat tersedia untuk anggota ISACA.

Beberapa keuntungan menggunakan model ITAF

• ITAF lebih menitikberatkan pada proses audit, tidak seperti metode lain (COBIT, ITIL, dsb) yang lebih memfokuskan pada tata kelola TI.
• ITAF didesain untuk profesional yang bergerak di bidang jasa audit atau assurance sehingga cocok diterapkan oleh lembaga 
• Prosedur, metode dan istilah-istilah dalam ITAF lebih familiar, mudahdimengerti dan diterapkan oleh auditor 

Gambar 1. Taxonomi ITAF (Veronica, 2013)

Standar umum adalah prinsip-prinsip di mana IS audit dan jaminan profesional beroperasi. Prinsip dan jaminan tersebut berlaku untuk pelaksanaan semua tugas dan penanganan audit IS dan jaminan profesional etika, kemandirian, objektivitas dan perawatan karena, serta pengetahuan, kompetensi dan keterampilan. Standar umum ini mencakup audit charter, independensi organisasi, independensi tenaga profesional, ekspektasi yang logis, perlindungan tenaga profesional, profil, pernyataan tegas dan kriteria. Audit charter memastikan adanya fungsi audit yang jelas mencakup tujuan, tanggung jawab dan akuntabilitas audit. Independensi organisasi memastikan fungsi audit berlaku objektif pada seluruh bagian organisasi dan selurh proses di dalamnya. Independensi tenaga profesional memastikan auditor berperilaku sama kepada seluruh auditee termasuk sikap perilaku dalam proses audit. Ekspektasi yang logis memastikan ekspektasi audit yang rasional dengan standar peraturan yang berlaku dan opini tenaga audit profesional. Perlindungan tenaga profesional dalam arti ketaatan terhadap standar audit yang berlaku dalam perencanaan, proses hingga pelaporan. Profil terkait hasil audit atau penilaian lain yang sebelumnya telah dilakukan dan kompetensi auditor yang melakukan tugas audit di perusahaan. Pernyataan tegas yang menegaskan bahwa proses audit telah dilakukan pada bagian tertentu dengan memberikan hasil audit yang dikategorikan sebagai mencukupi, valid dan relevan. Kriteria yang digunakan harus menjawab kebutuhan informasi audit seperti asasaran audit, keutuhan, relevan, terukur, dapat dimengerti, dikenal umum (penggunaan standar) dan sesuai dengan pengguna hasil audit.

Standar performa audit membangun ekspektasi audit. Standar performa berfokus pada audit sistim informasi dan menjamin perhatian tenaga profesional dalam menjamin desain kerja, jaminan pelaksanaan, kecukupan bukti dan pembanguna audit sistim informasi. Standar performa mencakup perencanaan perjanjian, perencanaan penilaian risiko, performa dan supervisi, materi, bukti, penggunaan hasil kerja tenaga profesional (yang sudah ada) dan hukum. Perencanaan perjanjian mencakup sasaran, ruang lingkup, waktu dan penyampaian hasil audit, kepatuhan audit dengan standar audit, penggunaan pendekatan berbasis risiko serta dokumentasi dan pelaporan audit. Perencanaan penilaian risiko memastikan dan menjamin audit menggunakan metodologi yang tepat dalam menentukan prioritas alokasi sumber daya sistim informasi yang ada. Performa dan supervisi memastikan proses audit sesuai dengan rencana audit yang telah disetujui/ disahkan, memastikan auditor diawasi dalam melakukan audit yang sesuai dengan ketentuan standar audit. Materi audit harus dapat menunjukkan kelemahan atau ketidaklengkapan kontrol, keterkaitan antara materi audit dengan materi lain yang berhubungan, dan efek/ dampak yang terakumulasi yang mungkin timbul. Bukti wajib ditemukan oleh auditor untuk ditunjukkan dan dilapirkan pada laporan hasil audit. Penggunaan hasil kerja tenaga profesional bermaksud menunjukkan adanya hasil audit yang telah dilakukan, kompetensi tenaga audit profesional serta standar audit yang digunakan. Hukum menegaskan dan menjamin bahwa tenga profesional audit dapat berhadapan dengan hukum yang berlaku apabila proses audit dijalankan tidak sesuai dengan peraturan/ standar hukum yang berlaku.

Standar pelaporan menjamin hasil audit dapat memiliki keseragaman bentuk laporan, menyediakan informasi sesuai level penilaian yang dilakukan. Standar pelaporan mencakup pelaporan dan aktifitas tindak lanjut. Pelaporan audit harus dapat menginformasikan pemenuhan perjanjian yang mencakup identifikasi organisasi, pengguna yang relevan, materi audit, ruang lingkup, sasaran perjanjian, waktu audit dan proses audit. Pelaporan juga harus mencantumkan bukti temuan, rekomendasi dan kesimpulan pelaksanaan audit. Aktifitas tindak lanjut menjamin tenaga audit profesional memonitor arus informasi yang relevan dalam manajemen respon terhadap temuan dan rekomendasi dalam hasil audit.

Untuk lebih jelasnya tentang ITAF bisa download di sini

Implementasi COBIT dalam IT Governance

Era globalisasi sekarang ini, perusahaan harus dapat mengatasi masalah dan perubahan yang terjadi secara cepat dan sesuai sasaran. Oleh karena itu, faktor yang harus diperhatikan tidak hanya berfokus pada pengelolaan informasi semata, melainkan juga harus fokus untuk menjaga dan meningkatkan mutu informasi perusahaan. Dalam konteks ini, informasi dapat dikatakan menjadi kunci untuk mendukung dan meningkatkan manajemen perusahaan agar dapat memenangkan persaingan yang semakin lama akan semakin meningkat.

 Peningkatan kebutuhan dari para pelanggan terhadap tuntutan kinerja perusahaan yang lebih baeik semakin lama semakin tinggi. Dari satu sisi, tidak hanya melalui hasil (output) berupa produk atau jasa semata, tetapi dewasa ini juga telah mencakup proses yang berhubungan dengan pelanggan. Mulai dari proses pemesanan barang, proses pengiriman barang pelanggan, sampai ke bagian keuangan yang berhubungan dengan pelanggan akan lebih terkendali bila terjadi pertukaran informasi secara real time. Apabila perusahaan tidak dapat mengelola informasi dengan baik, maka pelanggan akan dengan mudah berpindah-pindah menuju perusahaan lain.

 Salah satu metode pengelolaan teknologi informasi yang digunakan secara luas adalah IT governance yang terdapat pada COBIT (Control Objectives for Information and Related Technology). COBIT dapat dikatakan sebagai kerangka kerja teknologi informasi yang dipublikasikan oleh ISACA (Information System Audit and Control Association). COBIT berfungsi mempertemukan semua bisnis kebutuhan kontrol dan isu-isu teknik. Di samping itu, COBIT juga dirancang agar dapat menjadi alat bantu yang dapat memecahkan permasalahan pada IT governance dalam memahami dan mengelola resiko serta keuntungan yang behubungan dengan sumber daya informasi perusahaan

 IT governance sendiri adalah satu cabang dari tata kelola perusahaan yang terfokus pada system teknologi informasi (TI) serta manajemen kinerja dan resikonya. Meningkatnya minat pada tata kelola TI sebagian besar muncul karena adanya prakarsa kepatuhan serta semakin diakuinya kemudahan proyek TI untuk lepas kendali yang dapat berakibat besar terhadap kinerja suatu organisasi.

Tujuan IT Governance

         IT Governance bertujuan untuk mengarahkan IT dan memastikan pencapaian kinerja sesuai dengan tujuan yang diinginkan, antara lain :

a)      IT menjadi searah dengan perusahaan dan manfaat yang dijanjikan dapat terealisasi

b)      IT memungkinkan perusahaan memanfaatkan peluang dan memaksimalkan keuntungan.

c)      Sumber daya IT digunakan secara bertanggung jawab

d)     IT berkaitan erat dengan resiko yang harus diatur dengan baik.

          Sasaran IT Governance

           Secara umum sasaran aktivitas IT Governance adalah untuk memahami isu dan pentingnya IT yang strategis, untuk memastikan sebuah perusahaan dapat mendukung operasinya dan untuk memastikan perusahaan dapat menerapkan strategi yang diperlukan untuk memperluas aktivitasnya menuju masa depan. Praktek IT Governance mengarah dpada kepastian perkiraan untuk IT yang dikembangkan, kinerja IT dapat diukur, sumber dayanya dapat diatur dan resiko dapat dikurangi.

      Pentingnya IT Governance

  Alasan terakhir IT Governance penting dikarenakan ketidaksesuaian antara harapan dan realita/kenyataan. Direktur selalu mengharapkan manajemen untuk :

a)      Memberikan solusi IT dengan kualitas yang baik, tepat waktu, dan efisien.

b)      Pemanfaatan IT memberikan pengembalian business value.

c)      Pemanfaatan IT untuk meningkatkan efisiensi dan produktivitas ketika mengelola resiko

Ketidak efetifan IT Governance memungkikan penyebab dari pengalaman negative perusahaan dalam pemanfaatan IT, antara lain :

a)      Kerugian bisnis, kerusakan reputasi atau posisi kompetitif yang menurun/lemah.

b)      Batas waktu tidak tercapai, biaya lebih tinggi dibandingkan harapan yang diinginkan

c)      Efisiensi dan proses perusahaan memberi dampak negatif terhadap rendahnya kualitas penggunaan IT.

d)     Kegagalan inisiatif IT dapat membawa inovasi dan manfaat yang dijanjikan.

Menurut Fox dan Zonneveld, menyimpulkan dalam tatakelola yang baik, peranan IT Governance merupakan hal yang sangat penting, dalam konteks organisasi bisnis yang berkembang kebutuhan akan IT bukan merupakan barang yang langka.

                           COBIT Guidelines

            Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas (activities and tasks) yang diperlukan untuk mencapai hasil yang dapat diukur. Dalam Aktivitas terdapat konsep siklus hidup yang di dalamnya terdapat kebutuhan pengendalian khusus. Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas (activities and tasks) dengan keuntungan atau perubahan (pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya dikelompokan bersama kedalam domain.

            Pengelompokan ini sering disebut sebagai tanggung jawab domain dalam struktur organisasi dan yang sejalan dengan siklus manajemen atau siklus hidup yang dapat diterapkan pada proses TI.

            Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu:

• kriteria informasi (information criteria),
• sumberdaya TI (IT resources), dan
• proses TI (IT processes).

           

            manajemen yang akan digunakan dalam kegiatan harian organisasi. Kemudian empat domain yang lebih luas diidentifikasikan, yaitu PO, AI, DS, dan M. Definisi keempat domain tersebut, dimasukan dalam klasifikasi tingkat tinggi sebagai berikut :

• PO, domain ini mencakup level strategis dan taktis, dan konsennya pada identifikasi cara TI yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis.
• AI, untuk merealisasikan strategi TI, solusi TI yang perlu diidentifikasikan, dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam proses bisnis.
• DS, domain ini menyangkut penyampaian aktual dari layanan yang diperlukan, dengan menyusun operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada pelatihan, domain ini termasuk proses data aktual melalui sistem aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi.
• M, semua proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitas dan pemenuhan kebutuhan pengendalian. Domain ini mengarahkan kesalahan manajemen pada proses pengendalian organisasi dan penjaminan independen yang disediakan oleh audit internal dan eksternal atau diperolah dari sumber alternatif.

            Proses-proses TI ini dapat diterapkan pada tingkatan yang berbeda dalam organisasi, misalnya tingkat perusahaan, tingkat fungsi dan lain-lain. Jelas bahwa semua ukuran pengendalian perlu memenuhi kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama.

1. Pertama adalah tingkat tujuan pengendalian yang diterapkan secara langsung mempengaruhi kriteria informasi terkait.
2. Kedua adalah tingkat tujuan pengendalian yang ditetapkan hanya memenuhi tujuan pengendalian atau secara tidak langsung kriteria informasi terkait.
3. Blank dapat diterapkan namun kebutuhannya lebih memenuhi kriteria lain dalam proses ini atau yang lainnya.

            Agar organisasi mencapai tujuannya, pengaturan TI harus dilaksanakan oleh organisasi untuk menjamin sumberdaya TI yang dijalankan oleh seperangkat proses TI.

                            Perusahaan dan IT Governance

            IT Governance menyediakan suatu stuktur yang berhubungan dengan proses TI, sumberdaya TI dan informasi untuk strategi dan tujuan perusahaan. Cara mengintegrasikan IT Governance dan optimalisasi perusahaan yaitu melalui perencanaan dan pengorganisasian (PO), akuisisi dan implementasi (AI), penyampaian dan dukungan (DS), dan pengawasan (M) kinerja TI.

            IT Governance merupakan bagian terintegrasi bagi kesuksesan pengaturan perusahaan dengan jaminan efisiensi dan efektivitas perbaikan pengukuran dalam kaitan dengan proses perusahaan. IT Governance memungkinkan perusahaan untuk memperoleh

keunggulan penuh terhadap informasi, keuntungan yang maksimal, modal, peluang dan keunggulan kompetitif dalam bersaing.

           

            Pengaturan perusahaan (enterprise governance) dan sistem oleh entitas diarahkan dan dikendalikan, melalui kumpulan dan arahan IT Governance. Pada saat yang sama, TI

dapat menyediakan masukan kritis, dan merupakan komponen penting bagi perencanaan strategis. Pada kenyataannya TI dapat mempengaruhi peluang strategis yang ditetapkan oleh perusahaan. Aktivitas perusahaan membutuhkan informasi dari aktivitas TI dengan maksud untuk mempertemukan tujuan bisnis. Jaminan kesuksesan organisasi diakibatkan oleh adanya saling ketergantungan antara perencanaan strategis dan aktivitas TI lainnya.

Siklus pengaturan TI dapat dijelaskan sebagai berikut : pengaturan TI, di tentukan oleh praktek terbaik yang menjamin informasi perusahaan dan teknologi terkait mendukung tujuan bisnisnya, sumberdaya digunakan dengan tanggung jawab dan resiko diatur secara memadai. Praktek tersebut membentuk dasar arahan kegiatan TI yang dapat dikelompokan kedalam PO, AI, DS dan M, dengan tujuan untuk pengaturan (memperoleh keamanan, keandalan dan pemenuhan) dan mendapat keuntungan (meningkatkan efektivitas, dan efisiensi). Laporan dikeluarkan melalui hasil kegiatan atau aktivitas TI, yang diukur dari praktek dan pengendalian yang bervariasi, demikian seterusnya, kembali ke awal siklus. Agar menjamin manajemen mencapai tujuan bisnisnya, maka harus mengatur dan mengarahkan kegiatan TI dalam mencapai keseimbangan yang efektif antara mengatur resiko dan mendapatkan keuntungan. Untuk melaksanakannya, manajemen perlu mengidentifikasikan kegiatan terpenting. Selain itu, perlu juga kemampuan mengevaluasi tingkat kesiapan organisasi terhadap praktek terbaik dan standar internasional.

           

            Untuk mendukung kebutuhan manajemen tersebut, pedoman manajemen COBIT (COBIT Management Guidelines) telah secara khusus mengidentifikasikan CSF, KGI, KPI dan model maturity untuk pengaturan TI.

Pengertian COBIT

         Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).

COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).

COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.

Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:

• Control Objectives

Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning & Organization , Acquisition & Implementation , Delivery & Support , dan Monitoring & Evaluation.

• Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

• Management Guidelines

Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
v  Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
v  Apa saja indikator untuk suatu kinerja yang bagus.
v  Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors ).
v  Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.
v  Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan.
v  Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.
Manfaat dan Pengguna COBIT
Secara manajerial target pengguna COBIT dan manfaatnya adalah :

• Direktur dan Eksekutif

Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan sejalan dengan TI.

• Manajemen

v  Untuk mengambil keputusan investasi TI.
v  Untuk keseimbangan resiko dan kontrol investasi.
v  Untuk benchmark lingkungan TI sekarang dan masa depan.

• Pengguna

Untuk memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal.

• Auditors

v  Untuk memperkuat opini untuk manajemen dalam control internal.
v  Untuk memberikan saran pada control minimum yang diperlukan.
Frame Work COBIT
COBIT dikeluarkan oleh IT Governance Institute (ITGI). COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan maturity model.
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

• Effectiveness

Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.

• Efficiency

Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.

• Confidentiality

Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.

• Integrity

Menitikberatkan pada integritas data/informasi dalam sistem.

• Availability

Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.

• Compliance

Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.

• Reliability

Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada :

• Applications
• Information
• Infrastructure
• People

Dalam menyediakan informasi yang dibutuhkan perusahaan untuk mencapai tujuan organisasi, COBIT memiliki karakteristik :

• Business-focused
• Process-oriented
• Controls-based
• Measurement-driven

COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam 4 buah domain proses, meliputi :

• Planning & Organization.

Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI   dengan strategi perusahaan, mencakup masalah strategi, taktik dan identifikasi tentang bagaimana TI dapat memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
Domain ini mencakup :
v  PO1 – Menentukan rencana strategis
v  PO2 – Menentukan arsitektur informasi
v  PO3 – Menentukan arah teknologi
v  PO4 – Menentukan proses TI, organisasi dan hubungannya
v  PO5 – Mengelola investasi TI
v  PO6 – Mengkomunikasikan tujuan dan arahan manajemen
v  PO7 – Mengelola sumber daya manusia
v  PO8 – Mengelola kualitas
v  PO9 – Menilai dan mengelola resiko TI
v  PO10 – Mengelola proyek

• Acquisition & Implementation.

Domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses bisnis organisasi untuk mewujudkan strategi TI, juga meliputi perubahan dan maintenance yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga.
Domain ini meliputi:
v  AI1 – Mengidentifikasi solusi yang dapat diotomatisasi.
v  AI2 – Mendapatkan dan maintenance software aplikasi.
v  AI3 – Mendapatkan dan maintenance infrastuktur teknologi
v  AI4 – Mengaktifkan operasi dan penggunaan
v  AI5 – Pengadaan sumber daya IT.
v  AI6 – Mengelola perubahan
v  AI7 – Instalasi dan akreditasi solusi dan perubahan.

• Delivery & Support.

Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan.
Domain ini meliputi :
v  DS1 – Menentukan dan mengelola tingkat layanan.
v  DS2 – Mengelola layanan dari pihak ketiga
v  DS3 – Mengelola performa dan kapasitas.
v  DS4 – Menjamin layanan yang berkelanjutan
v  DS5 – Menjamin keamanan sistem.
v  DS6 – Mengidentifikasi dan mengalokasikan dana.
v  DS7 – Mendidik dan melatih pengguna
v  DS8 – Mengelola service desk dan insiden.
v  DS9 – Mengelola konfigurasi.
v  DS10 – Mengelola permasalahan.
v  DS11 – Mengelola data
v  DS12 – Mengelola lingkungan fisik
v  DS13 – Mengelola operasi.

• Monitoring and Evaluation.

Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan.
Domain ini meliputi:
v  ME1 – Mengawasi dan mengevaluasi performansi TI.
v  ME2 – Mengevaluasi dan mengawasi kontrol internal
v  ME3 – Menjamin kesesuaian dengan kebutuhan eksternal.
v  ME4 – Menyediakan IT Governance.

COBIT Maturity Model

COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang bisa digunakan untuk penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan (maturity level). COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized  (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).

Pengertian Audit Sistem Informasi

Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.

   Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional dan audit sistem informasi (teknologi informasi). Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relatif baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis.

   Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file. Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.

   Tahapan-tahapan dalam audit TI pada prinsipnya sama dengan audit pada umumnya. Meliputi tahapan perencanaan, yang menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program. Selanjutnya adalah pengumpulan bukti (evidence), pendokumentasian bukti tersebut dan mendiskusikan dengan auditee tentang temuan apabila jika ditemukan masalah yang memerlukan tindakan perbaikan dari auditee. Terakhir adalah membuat laporan audit.

   Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan). Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis (data dalam bentuk file softcopy). Dalam proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu, audit around computer, audit trought computer dan audit with computer. Jika tingkat pemakaian TI tinggi maka audit yang dominan digunakan adalah audit with computer atau yang biasa disebut dengan teknik audit berbantuan computer atau menggunakan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Tentunya untuk aspek sekuriti adakalanya auditor dituntut mempunyai keahlian teknis yang cukup memadai untuk menguji keamanan sistem.

   Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure.

         Standar yang aplicable untuk audit TI adalah terdiri dari 11 standar yaitu; S1. Audit charter, S2. Audit Independent, S3. Profesional Ethic and standard, S4.Profesional competence, S5. Planning, S6. Performance of Audit Work, S7. Reporting. S8.Follow-Up Activity, F9. Irregularities and Irregular Act, S10. IT Governance dan S11. Use of Risk Assestment in Audit Planning. IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang mengcover petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes intrution detection system, menganalisis firewall dan sebagainya. Jika dibandingkan dengan audit keuangan, maka standar dari Isaca ini adalah setara dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan standar tersendiri yaitu Cobit.

COBIT (Control Objective for Information Related Tecnology)

COBIT (Control Objective for Information Related Tecnology) adalah kerangka tata kelola TI (IT governance) yang ditujukan kepada manajemen, staf pelayanan TI, control departemen, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis (business process owner’s), untuk memastikan confidenciality, integrity and availability data serta informasi sensitif dan kritikal. COBIT didesign terdiri dari 34 high level control objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu: Plan and Organise, Acquire and Implement, Deliver and Support dan Monitor and Evaluate. Dengan melakukan kontrol terhadap ke 34 objektif tersebut, organisasi dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk lingkungan TI. Untuk mendukung IT process tersebut tersedia lagi sekitar 215 tujuan control yang lebih detil untuk menjamin kelengkapan dan efektifitas implementasi. Saat ini sudah terbit Cobit 4.1

   The COBIT Framework juga memasukkan hal berikut Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices. Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI. Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan kebutuhan bisnis dan Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan dengan process goals

COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah ” generally applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP). Suatu perencanaan audit TI dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.

Hasil Audit? Siapa yang Melakukan Audit?

   Auditor Sistem Informasi pada dasarnya melakukan penilaian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu. Kemudian berdasarkan pengujian Auditor akan memberikan rekomendasi perbaikan yang diperlukan. Adakalanya judgement diperlukan berdasarkan kriteria yang disepakati bersama. Penanggung jawab sistem yang diaudit tetap berada pada pengelola sistem, bukan di tangan auditor. Atas rekomendasi yang diberikan tentunya diharapkan ada tindak lanjut perbaikan bagi manajemen.

   Siapakah sebaiknya yang melakukan audit sistem informasi? Audit sistem informasi dapat dilakukan sebagai bagian dari pengendalian internal yang dilakukan oleh fungsi TI. Tapi jika dibutuhkan opini publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga (auditor independent) untuk melakukannya. Di AS hasil audit sistem informasi terhadap bank harus dipublikasikan kepada publik. Dengan demikian pengguna jasa, nasabah mengetahui kondisi layanan sistem informasi pada bank tersebut. Jika sebuah hasil audit TI perlu dipublikasikan, tentunya perlu perangkat hukum yang mengatur tata cara pelaporan tersebut