Kerangka Kerja Cobit
Nama :
Endang Sriutami
Nim :
193100045
Semester : 6
Mata Kuliah : Audit Sistem Informasi
Nama Dosen : Asti Ratnasari, M.Kom
Keterangan Resume :
BAB I
Judul :
Kerangka Kerja Cobit
Penulis :
IT Governance Instatute
Penerbit :
Governance An International Journal Of Policy And Administration
Tahun Terbit :-
BAB
I
KERANGKA
KERJA COBIT
Penerapan
TI telah menjadi pusat strategi dan proses bisnis banyak entitas. Dengan demikian,
organisasi yang sukses memerlukan apresiasi dan pemahaman dasar tentang risiko
dan kendala TI di semua tingkatan dalam perusahaan untuk mencapai arah yang
efektif dan kontrol yang memadai. COBIT (Tujuan Kontrol untuk Informasi dan
Teknologi terkait) menyediakan kerangka kontrol dan keamanan untuk TI. Kerangka
kerja COBIT dijelaskan dalam bab ini.
COBIT KONTEKS: MUNCULNYA
PERUSAHAAN DAN TATA KELOLANYA
Teknologi
informasi merupakan faktor penting dalam mencapai kesuksesan dalam ekonomi
informasi dan penting bagi manajemen operasional dan keuangan suatu entitas.
Akibatnya, tata kelola perusahaan dan tata kelola TI tidak lagi dapat dianggap
sebagai disiplin ilmu yang terpisah dan berbeda. Tata kelola perusahaan yang
efektif memfokuskan keahlian dan pengalaman individu dan kelompok di tempat
yang paling produktif, memantau dan mengukur kinerja, dan memberikan jaminan
untuk masalah kritis. TI, yang telah lama dianggap hanya sebagai penggerak
strategi perusahaan, kini harus dianggap sebagai bagian integral dari strategi
itu.
Tata
kelola TI menyediakan struktur yang menghubungkan proses TI, sumber daya TI,
dan informasi dengan strategi dan tujuan perusahaan. Tata kelola TI
mengintegrasikan dan melembagakan cara optimal untuk merencanakan dan mengatur,
memperoleh dan mengimplementasikan, memberikan dan mendukung, serta memantau
dan mengevaluasi kinerja TI. Tata kelola TI merupakan bagian integral dari
keberhasilan tata kelola perusahaan dengan memastikan peningkatan terukur yang
efisien dan efektif dalam proses perusahaan terkait. Tata kelola TI
memungkinkan perusahaan untuk mengambil keuntungan penuh dari informasinya,
sehingga memaksimalkan manfaat, memanfaatkan peluang dan mendapatkan keunggulan
kompetitif.
Mengingat
perubahan yang sedang berlangsung ini, pengembangan kerangka kerja untuk tujuan
pengendalian TI dan penelitian terapan lanjutan dalam pengendalian TI,
berdasarkan kerangka kerja ini, merupakan landasan untuk kemajuan yang efektif
di bidang informasi dan pengendalian teknologi terkait.
Model
kontrol bisnis keseluruhan, seperti COSO (Komite Organisasi Sponsor Komisi
Treadway,Pengendalian Internal—Kerangka Terintegrasi, 1992,Kerangka Kerja
Manajemen Risiko Perusahaan COSO, 2004) di AS, Turnbull di Inggris, CoCo di
Kanada dan King di Afrika Selatan telah dikembangkan dan diterbitkan. Selain
itu, ada sejumlah model kontrol khusus TI, seperti Kode Etik Keamanan dari
Departemen Perdagangan dan Industri (DTI), Inggris, Pedoman Kontrol Teknologi
Informasi dari Canadian Institute of Chartered Accountants (CICA), Kanada, dan
Buku Pegangan Keamanan dari Institut Nasional Standar dan Teknologi (NIST), AS.
Namun, model kontrol terfokus ini tidak menyediakan model kontrol yang
komprehensif dan dapat digunakan atas TI yang mendukung proses bisnis. Tujuan
dari COBIT adalah untuk menjembatani kesenjangan ini dengan menyediakan
landasan yang terkait erat dengan tujuan bisnis sambil berfokus pada TI.
Fokus
utama COBIT adalah pengembangan kebijakan yang jelas dan praktik yang baik
untuk keamanan dan kontrol di TI untuk dukungan di seluruh dunia oleh
organisasi komersial, pemerintah, dan profesional. Tujuan utamanya adalah
pengembangan tujuan pengendalian terutama dari tujuan bisnis dan perspektif
kebutuhan. Pendekatan ini sesuai dengan perspektif COSO, yang pertama dan
terutama merupakan kerangka kerja manajemen untuk pengendalian internal.
Selanjutnya, tujuan dan pedoman audit dikembangkan dari perspektif tujuan
pengendalian (sertifikasi informasi keuangan, sertifikasi tindakan pengendalian
internal, efisiensi dan efektivitas, dll.).
COBIT AUDIENCE:
MANAJEMEN, PENGGUNA, DAN AUDITOR
COBIT dirancang untuk
digunakan oleh tiga audiens yang berbeda:
• Pengelolaan—Untuk
membantu mereka menyeimbangkan risiko dan mengendalikan investasi di lingkungan
TI yang sering tidak terduga
• Pengguna—Untuk
mendapatkan jaminan atas keamanan dan kontrol layanan TI yang disediakan oleh
pihak internal atau ketiga
• Auditor—Menyediakan
kerangka kerja untuk membantu mereka memberikan pendapat tentang tingkat
keyakinan atas hal-hal tertentu yang diaudit dan/atau memberikan nasihat kepada
manajemen tentang pengendalian internal.
COBIT SPESIFIKASI
KERANGKA KERJA
Untuk
sepenuhnya memahami COBIT kerangka, definisi berikut disediakan. Kontrol diadaptasi
dari laporan COSO ( Pengendalian Internal—Kerangka Terintegrasi) dantujuan
pengendalian TIdiadaptasi dari Systems Auditability and Control (SAC) Report,
The Institute of Internal Auditors (IIA) Research Foundation, 1991 dan 1994.
“Pengendalian”
didefinisikan sebagai kebijakan, prosedur, praktik, dan struktur organisasi
yang dirancang untuk memberikan jaminan yang wajar bahwa tujuan bisnis akan
tercapai dan kejadian yang tidak diinginkan akan dicegah atau dideteksi dan
diperbaiki.
“Tujuan
pengendalian TI” didefinisikan sebagai pernyataan tentang hasil atau tujuan
yang diinginkan yang ingin dicapai dengan menerapkan prosedur pengendalian
dalam aktivitas TI tertentu.
“Tata
kelola TI” didefinisikan sebagai struktur hubungan dan proses untuk mengarahkan
dan mengendalikan perusahaan untuk mencapai tujuan perusahaan dengan
menambahkan nilai sambil menyeimbangkan risiko vs. pengembalian atas TI dan
prosesnya.
Ada
dua kelas berbeda dari model kontrol yang tersedia saat ini: kelas model
kontrol bisnis (misalnya, COSO dan CoCo) dan model kontrol yang lebih terfokus
untuk TI (misalnya, DTI). COBIT bertujuan untuk menjembatani kesenjangan yang
ada di antara keduanya. COBIOleh karena itu T diposisikan untuk menjadi lebih
komprehensif untuk manajemen dan untuk beroperasi pada tingkat yang lebih
tinggi daripada standar teknologi murni untuk manajemen sistem informasi.
Konsep
yang mendasari COBIT kerangka kerja adalah bahwa kontrol dalam TI didekati
dengan berkonsentrasi pada informasi yang diperlukan untuk mendukung tujuan
atau persyaratan bisnis, dan dengan melihat informasi sebagai hasil dari
aplikasi gabungan dari sumber daya terkait TI yang perlu dikelola oleh proses
TI.
Untuk
memenuhi tujuan bisnis, informasi harus sesuai dengan kriteria tertentu.
Kriteria ini dirujuk, dalam COBIT, sebagai kebutuhan bisnis untuk informasi.
Dalam menetapkan daftar persyaratan tersebut, COBIT menggabungkan prinsip[1]prinsip
yang tertanam dalam model referensi yang ada dan dikenal.
Persyaratan kualitas
meliputi:
•
Kualitas
•
Biaya
•
Pengiriman
Persyaratan Fidusia
(COSO) meliputi:
•
Efektivitas dan efisiensi operasi
•
Keandalan informasi
•
Kepatuhan terhadap hukum dan peraturan
Persyaratan keamanan
meliputi:
•
Kerahasiaan
•
Integritas
•
Ketersediaan
Kualitas
telah dipertahankan terutama untuk aspek negatifnya (misalnya, tidak ada kesalahan
dan keandalan), yang juga sebagian besar ditangkap oleh kriteria integritas.
Aspek kualitas yang positif tetapi kurang nyata (gaya, daya tarik, tampilan dan
nuansa, kinerja di luar ekspektasi, dll.), untuk sementara waktu, tidak
dipertimbangkan dari sudut pandang tujuan pengendalian TI. Premisnya adalah
bahwa prioritas pertama harus ditujukan untuk mengelola risiko dengan benar
sebagai lawan dari peluang. Aspek kegunaan dari kualitas tercakup dalam
kriteria efektivitas. Aspek pengiriman kualitas dianggap tumpang tindih dengan
aspek ketersediaan persyaratan keamanan dan juga, sampai batas tertentu,
efektivitas dan efisiensi. Akhirnya, biaya juga dianggap ditangani oleh
efisiensi.
Memulai
analisis dari persyaratan kualitas, fidusia dan keamanan yang lebih luas, tujuh
kategori berbeda, tentu saja tumpang tindih, diekstraksi. Definisi masing-masing
kerangka kerja COBIT:
•
Efektivitas—Berurusan
dengan informasi yang relevan dan relevan dengan proses bisnis serta
disampaikan secara tepat waktu, benar, konsisten, dan dapat digunakan
•
Efisiensi—Tentang
penyediaan informasi melalui penggunaan sumber daya yang optimal (paling
produktif dan ekonomis)
•
Kerahasiaan—Tentang
perlindungan informasi sensitif dari pengungkapan yang tidak sah
•
Integritas—Berkaitan
dengan keakuratan dan kelengkapan informasi serta validitasnya sesuai dengan
nilai dan harapan bisnis
•
Ketersediaan—Berkaitan
dengan informasi yang tersedia saat dibutuhkan oleh proses bisnis sekarang dan
di masa depan. Ini juga menyangkut pengamanan sumber daya yang diperlukan dan
kemampuan terkait.
•
Kepatuhan—Berurusan
dengan mematuhi undang-undang, peraturan, dan pengaturan kontrak yang tunduk
pada proses bisnis, yaitu, kriteria bisnis yang diberlakukan secara eksternal
•
Keandalan informasi—Berkaitan
dengan penyediaan informasi yang tepat bagi manajemen untuk mengoperasikan
entitas dan bagi manajemen untuk melaksanakan tanggung jawab pelaporan keuangan
dan kepatuhannya.
Ada
sekumpulan sumber daya TI yang diperlukan untuk membantu memenuhi kebutuhan
bisnis. Sumber daya adalah:
•
Data—Objek
dalam arti luas (yaitu, eksternal dan internal), terstruktur dan tidak
terstruktur, grafik, suara, dll.
•
Sistem aplikasi—Dipahami sebagai jumlah
prosedur manual dan terprogram
•
Teknologi—Perangkat
keras, sistem operasi, sistem manajemen basis data, jaringan, multimedia, dll.
•
Fasilitas—Semua
sumber daya untuk menampung dan mendukung sistem informasi
•
Rakyat—Keterampilan,
kesadaran, dan produktivitas staf untuk merencanakan, mengatur, memperoleh,
menyampaikan, mendukung, memantau, dan mengevaluasi sistem dan layanan
informasi.
Kerangka
kerja COBIT terdiri dari tujuan kontrol tingkat tinggi dan struktur keseluruhan
untuk klasifikasinya. Teori yang mendasari klasifikasi adalah bahwa pada
dasarnya ada tiga tingkat upaya TI ketika mempertimbangkan pengelolaan sumber
daya TI (lihatangka 7).Pertama, mulai dari bawah dan bekerja ke atas, ada
kegiatan dan tugas yang diperlukan untuk mencapai hasil yang terukur. Aktivitas
memiliki konsep siklus hidup, sedangkan tugas lebih bersifat diskrit. Konsep
siklus hidup memiliki persyaratan kontrol khas yang berbeda dari aktivitas
diskrit.Kedua, proses kemudian didefinisikan satu lapis ke atas sebagai
serangkaian aktivitas atau tugas yang digabungkan dengan jeda (kontrol)
alami.Ketiga, pada tingkat tertinggi, proses secara alami dikelompokkan bersama
ke dalam domain. Pengelompokan alami mereka sering dikonfirmasi sebagai domain
tanggung jawab dalam struktur organisasi dan sejalan dengan siklus manajemen
atau siklus hidup yang berlaku untuk TI.
Dengan
demikian, kerangka konseptual dapat didekati dari tiga sudut pandang:
•
Kriteria informasi
•
Sumber daya TI
•
Proses TI
Definisi untuk empat
domain yang diidentifikasi untuk klasifikasi tingkat tinggi adalah:
•
Rencanakan dan atur—Domain
ini mencakup strategi dan taktik, dan menyangkut identifikasi cara terbaik TI
dapat berkontribusi pada pencapaian tujuan bisnis. Selanjutnya, realisasi visi
strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif
yang berbeda. Akhirnya, organisasi yang tepat serta infrastruktur teknologi
harus ditempatkan.
•
Dapatkan dan implementasikan—Untuk
mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh,
serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu,
perubahan dan pemeliharaan sistem yang ada dicakup oleh domain ini untuk
memastikan bahwa siklus hidup dilanjutkan untuk sistem ini.
•
Kirim dan dukung—Domain
ini berkaitan dengan pengiriman aktual layanan yang diperlukan, yang berkisar
dari operasi tradisional atas aspek keamanan dan kontinuitas hingga pelatihan.
Untuk memberikan layanan, proses dukungan yang diperlukan harus disiapkan.
Domain ini mencakup pemrosesan data aktual oleh sistem aplikasi, sering kali
diklasifikasikan di bawah kontrol aplikasi.
•
Memantau dan mengevaluasi—Semua
proses TI perlu dinilai secara teratur dari waktu ke waktu untuk kualitas dan
kepatuhannya terhadap persyaratan kontrol. Dengan demikian, domain ini membahas
pengawasan manajemen terhadap proses pengendalian organisasi dan jaminan
independen yang diberikan oleh audit internal dan eksternal atau diperoleh dari
sumber alternatif.
Jelas
bahwa tindakan pengendalian atas proses TI tidak akan selalu memenuhi semua
kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama. Hal ini
ditunjukkan dengan menggunakan indikator primer (P), sekunder (S) atau blank:
•
Utama—Sejauh
mana tujuan pengendalian yang ditetapkan berdampak langsung pada kriteria
informasi yang bersangkutan
•
Sekunder—Sejauh
mana tujuan pengendalian yang ditetapkan hanya memenuhi sebagian kecil atau
secara tidak langsung kriteria informasi yang bersangkutan
•
Kosong—Bisa
diterapkan; namun, persyaratan lebih tepat dipenuhi oleh kriteria lain dalam
proses ini dan/atau oleh proses lain.
COBIT KELUARGA PRODUK
COBIT
menyediakan beberapa produk yang menggambarkan perbedaan komponen COBIT secara
rinci. Bagian berikut berisi penjelasan singkat tentang produk yang paling
penting, menggunakan proses DS2mengelola layanan pihak ketigauntuk semua contoh
produk, dan kemudian contoh masing-masing.
TUJUAN KONTROL
COBIT
menyediakan satu set 34 tujuan kontrol tingkat tinggi, satu untuk setiap proses
TI, dikelompokkan ke dalam empat domain: merencanakan dan mengatur, memperoleh
dan menerapkan, menyampaikan dan mendukung, dan memantau dan mengevaluasi.
Struktur ini mencakup semua aspek informasi dan teknologi yang mendukungnya.
Dengan mengatasi 34 tujuan kontrol tingkat tinggi ini, pemilik proses bisnis
dapat memastikan bahwa sistem kontrol yang memadai disediakan untuk lingkungan
TI. Setiap tujuan pengendalian tingkat tinggi dibagi lagi dalam daftar tujuan
pengendalian yang terperinci. Secara total, COBIT berisi 318 tujuan kontrol
terperinci atas semua 34 proses TI.
Tujuan
kontrol tingkat tinggi untuk DS2 mengelola layanan pihak ketiga Kontrol atas
proses TI dalam mengelola layanan pihak ketiga yang memenuhi persyaratan bisnis
untuk memastikan bahwa peran dan tanggung jawab pihak ketiga didefinisikan
dengan jelas, dipatuhi, dan terus memenuhi persyaratan diaktifkan oleh tindakan
pengendalian yang ditujukan untuk peninjauan dan pemantauan perjanjian dan
prosedur yang ada untuk efektivitas dan kepatuhannya terhadap kebijakan
organisasi dan mempertimbangkan
•
Perjanjian layanan pihak ketiga
•
Manajemen kontrak
•
Perjanjian kerahasiaan
•
Persyaratan hukum dan peraturan
•
Pemantauan dan pelaporan pemberian layanan
•
Penilaian risiko perusahaan dan TI
•
Penghargaan dan penalti kinerja
•
Akuntabilitas internal dan eksternal
organisasi
•
Analisis biaya dan varians tingkat layanan
Tujuan
kontrol terperinci untuk DS2mengelola layanan pihak ketiga Antarmuka pemasok
Manajemen harus memastikan bahwa semua layanan penyedia pihak ketiga
diidentifikasi dengan benar dan bahwa antarmuka teknis dan organisasional
dengan pemasok didokumentasikan.
PRAKTEK KONTROL
Praktik
kontrol memperluas kemampuan COBIT dengan memberikan tingkat detail tambahan
kepada praktisi. COBIT Proses TI, persyaratan bisnis, dan tujuan kontrol
terperinci menentukanApaperlu dilakukan untuk menerapkan struktur pengendalian
yang efektif. Praktik pengendalian TI memberikan informasi yang lebih rinci bagaimana
dan mengapa dibutuhkan oleh manajemen, penyedia layanan, pengguna akhir, dan
profesional kontrol untuk menerapkan kontrol yang sangat spesifik berdasarkan
analisis risiko operasional dan TI.
Latihan pengendalian
untuk tujuan pengendalian yang terperinci antarmuka pemasokdari proses
DS2mengelola layanan pihak ketiga
Mengapa
Melakukannya?
Mengidentifikasi
dan menentukan antarmuka teknis dan organisasional yang disediakan oleh pemasok
pihak ketiga sesuai dengan praktik pengendalian akan:
•
Mempromosikan hubungan yang mendukung
tujuan organisasi secara keseluruhan (baik bisnis maupun TI)
•
Memfasilitasi komunikasi yang efektif dan
efisien (termasuk penyelesaian masalah) antara organisasi untuk membantu
mempertahankan penyampaian layanan yang efektif
•
Pastikan bahwa kepemilikan elemen-elemen
tersebut di setiap sisi batas antara organisasi dan penyedia layanan pihak
ketiga jelas, dan oleh karena itu menghindari kesenjangan atau tumpang tindih
tanggung jawab yang dapat menyebabkan hilangnya layanan atau inefisiensi
operasional.
Praktek Kontrol
1.
Kebijakan dan prosedur yang berkaitan
dengan pemeliharaan daftar pemasok utama untuk fungsi TI dikembangkan. Daftar
tersebut merinci nama pemasok dan sifat, ruang lingkup dan tujuan hubungan.
Prosedur terkait dengan, dan harus diintegrasikan dengan, prosedur manajemen
pengadaan dan konfigurasi.
2.
Daftar pemasok TI ditinjau secara berkala
untuk memastikan bahwa daftar tersebut tetap terkini.
3.
Kebijakan dan prosedur yang berkaitan
dengan pemeliharaan register antarmuka sistem dikembangkan. Daftar tersebut
merinci nama antarmuka, sistem yang terkait dengannya, dan tujuannya (dalam
istilah bisnis dan TI). Prosedur terkait dengan, dan harus diintegrasikan
dengan, konfigurasi dan prosedur manajemen perubahan.
PEDOMAN AUDIT
Manajemen
membutuhkan jaminan bahwa tujuan dan sasaran TI yang diinginkan terpenuhi dan
kontrol utama sedang ditangani. Pedoman audit menguraikan dan menyarankan
kegiatan penilaian yang akan dilakukan sesuai dengan masing-masing dari tujuan
pengendalian TI tingkat tinggi, memberikan panduan bermanfaat tentang siapa
yang harus diwawancarai; pertanyaan apa yang harus diajukan; dan bagaimana
mengevaluasi pengendalian, menilai kepatuhan, dan akhirnya membuktikan risiko
dari setiap pengendalian yang teridentifikasi bukansedang bertemu. Publikasi
ini memberikan panduan yang sangat berharga bagi tim audit, dan pendekatan
audit terstruktur yang terkait dengan kerangka kerja yang dapat dipahami oleh
orang-orang TI, yang memfasilitasi identifikasi bersama atas prioritas dan
peningkatan kontrol.
PEDOMAN MANAJEMEN COBIT
Pedoman
manajemen menyediakan hubungan penting
antara kontrol TI dan tata kelola TI. Mereka berorientasi pada tindakan dan
generik, dan memberikan arahan manajemen untuk mendapatkan informasi perusahaan
dan proses terkait di bawah kendali, memantau pencapaian tujuan organisasi,
memantau dan meningkatkan kinerja dalam setiap proses TI, dan membandingkan
pencapaian organisasi. Mereka membantu memberikan jawaban atas pertanyaan
manajemen umum, seperti:
•
Seberapa jauh kita harus mengendalikan TI,
dan apakah biayanya sebanding dengan manfaatnya?
•
Apa saja indikator kinerja yang baik?
•
Apa faktor penentu keberhasilan?
•
Apa risiko dari tidak tercapainya tujuan
kita?
•
Apa yang dilakukan orang lain?
•
Bagaimana kita mengukur dan membandingkan?
Pedoman pengelolaan tersebut
antara lain:
•
Model kedewasaan—Model kematangan untuk
kontrol atas proses TI terdiri dari metode penilaian, sehingga organisasi dapat
menilai kematangannya untuk proses TI, dari tidak ada hingga dioptimalkan,
menggunakan skala bertahap dari 0 hingga 5. Pendekatan ini, seperti yang
diilustrasikan, telah diturunkan dari model kematangan yang didefinisikan oleh
Software Engineering Institute (SEI) untuk kematangan kemampuan pengembangan
perangkat lunak. Dengan mengembangkan dan secara aktif menggunakan level ini
untuk masing-masing COBIDari 34 proses TI, manajemen dapat memetakan:
- Status
organisasi saat ini—Di mana organisasi saat ini
- Status
saat ini (terbaik di kelasnya) industri—Perbandingannya
- Status
standar internasional saat ini—Perbandingan tambahan
- Strategi
organisasi untuk perbaikan—Di mana organisasi ingin berada
•
Faktor keberhasilan kritis (CSF)—CSF
mendefinisikan masalah atau tindakan paling penting bagi manajemen untuk
dipertimbangkan atau dilakukan untuk mencapai kontrol atas dan di dalam proses
TI. Mereka harus menjadi pedoman pelaksanaan yang berorientasi manajemen dan
mengidentifikasi hal-hal terpenting yang harus dilakukan, secara strategis,
teknis, organisasional atau prosedural. Misalnya, CSF meliputi:
- Proses
TI didefinisikan dan diselaraskan dengan strategi TI dan tujuan bisnis.
- Pelanggan
dari proses dan harapan mereka diketahui.
- Proses
dapat diskalakan dan sumber dayanya dikelola dan dimanfaatkan dengan tepat.
•
Indikator tujuan utama (KGI)—KGI
menentukan ukuran yang memberi tahu manajemen, setelah fakta, apakah proses TI
telah mencapai persyaratan bisnisnya. Misalnya, KGI meliputi:
- Mencapai
laba atas investasi atau manfaat nilai bisnis yang ditargetkan
- Manajemen
kinerja yang ditingkatkan
- Mengurangi
risiko TI
•
Indikator kinerja utama (KPI)—KPI
menentukan ukuran untuk menentukan seberapa baik kinerja proses TI dalam
memungkinkan tercapainya tujuan. Mereka adalah indikator utama apakah suatu
tujuan kemungkinan akan tercapai atau tidak, dan merupakan indikator kemampuan,
praktik, dan keterampilan yang baik. Misalnya, KPI meliputi:
- Mengurangi
waktu siklus (yaitu, responsivitas produksi dan pengembangan TI)
- Ketersediaan
layanan dan waktu respons
- Jumlah
staf yang terlatih dalam teknologi baru dan keterampilan layanan pelanggan
COBIORIENTASI TUJUAN
BISNIS
COBIT
ditujukan untuk mencapai tujuan bisnis. Tujuan pengendalian membuat hubungan
yang jelas dan berbeda dengan tujuan bisnis untuk mendukung penggunaan yang
signifikan di luar komunitas jaminan. Tujuan pengendalian didefinisikan dengan
cara yang berorientasi pada proses mengikuti prinsip rekayasa ulang bisnis.
Pada domain dan proses yang teridentifikasi, tujuan pengendalian tingkat tinggi
diidentifikasi dan alasan diberikan untuk mendokumentasikan tautan ke tujuan
bisnis. Selain itu, pertimbangan dan pedoman disediakan untuk menentukan dan
mengimplementasikan tujuan pengendalian TI.
Klasifikasi
domain di mana tujuan kontrol tingkat tinggi berlaku (domain dan proses)
merupakan indikasi kebutuhan bisnis untuk informasi dalam domain itu, serta
sumber daya TI yang terutama dipengaruhi oleh tujuan kontrol. Bersama-sama,
mereka membentuk COBIkerangka T. Kerangka kerja ini didasarkan pada aktivitas
penelitian yang telah mengidentifikasi 34 tujuan pengendalian tingkat tinggi
dan 318 tujuan pengendalian terperinci. Kerangka kerja tersebut diekspos secara
global ke industri TI dan profesi audit untuk memungkinkan kesempatan untuk
ditinjau, ditantang, dan dikomentari. Wawasan yang diperoleh telah, dan akan
terus, secara tepat dan konsisten digabungkan.
PERTANYAAN TINJAUAN
1.
Bagaimana siklus plan, do, check and
correct berhubungan dengan tata kelola TI?
2.
Jelaskan persamaan dan perbedaan antara
CoCo atau COSO dan COBIT. Bisakah suatu entitas menggunakan CoCo atau
COSOdanCOBIT? Jika suatu entitas menggunakan CoCo atau COSOdanCOBIT?
3.
Jelaskan target audiens COBIT.
4.
Jelaskan tujuh kriteria informasi yang
COBIT dirancang untuk mengatasi.
5.
Diskusikan lima sumber daya TI yang diakui
oleh COBIkerangka T.
6.
Apa perbedaan antara pedoman audit dan
pedoman manajemen? Mengapa harus ada pedoman terpisah di COBIkerangka kerja?
7.
Apa perbedaan antara konsep umum kontrol
dan kontrol di lingkungan TI?
8.
Berikan dua contoh domain TI dan jelaskan
masing-masing.
9.
Apa perbedaan antara indikator sasaran
utama dan indikator kinerja utama?
10.
Apa yang dimaksud dengan model kedewasaan?
Ciptakan model kedewasaan untuk domain pengetahuan di luar teknologi informasi
(misalnya, untuk siswa, aktivitas atau organisasi olahraga atau budaya).
11.
Apa itu proses TI? Berikan dua contoh
proses TI
Komentar
Posting Komentar