Audit Sistem Informasi Berbasis Framework COBIT

Cube COBIT

Control Objective for Information and related Technology, disingkat COBIT, adalah suatu panduan standar praktik manajemen teknologi informasi. Cobit dirancang sebagai alat penguasaan IT yang membantu dalam pemahaman dan memanage resiko, manfaat serta evaluasi yang berhubungan dengan IT. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.0 merupakan versi terbaru.

Disusun oleh Information Systems Audit and Control Foundation (ISACF®) pada tahun 1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information Technology Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada tahun 2007.

COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut. Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional. Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants (CPAs) danChartered Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley compliance.

 

Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

o   Effectiveness

Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.

o   Efficiency

Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.

o   Confidentiality

Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.

o   Integrity

Menitikberatkan pada integritas data/informasi dalam sistem.

o   Availability

Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.

o   Compliance

Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.

o   Reliability

Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.

Framework COBIT

Framework COBIT terdiri dari 34 high-level control objective, dimana tiap-tiap IT proses dikelompokkan dalam empat domain utama:

1.  Planning and Organization

mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.

PO1    Define a strategic information technology plan

PO2    Define the information architecture

PO3    Determine the technological direction

PO4    Define the IT organisation and relationships

PO5    Manage the investment in information technology

PO6    Communicate management aims and direction

PO7    Manage human resources

PO8    Ensure compliance with external requirements

PO9    Assess risks

PO10  Manage projects

PO11  Manage quality

2. Acquisition and Implementation

identifikasi solusi TI dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis untuk mewujudkan strategi TI.

AI1  Identify automated solutions

AI2  Acquire and maintain application software

AI3  Acquire and maintain technology infrastructure

AI4  Develop and maintain IT procedures

AI5  Install and accredit systems

AI6  Manage changes

3. Delivery and Support

domain yang berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan pengadaan training.

DS1     Define and manage service levels

DS2     Manage third-party services

DS3     Manage performance and capacity

DS4     Ensure continuous service

DS5     Ensure systems security

DS6     Identify and allocate costs

DS7     Educate and train users

DS8     Assist and advise customers

DS9     Manage the configuration

DS10   Manage problems and incidents

DS11   Manage data

DS12   Manage facilities

DS13   Manage operations

4. Monitoring

semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol

M1 Monitor the process

M2 Assess internal control adequacy

M3 Obtain independent assurance

M4 Provide for independent audit