Kerangka Kerja Cobit

Nama                          : Endang Sriutami

Nim                             : 193100045

Semester                     : 6

Mata Kuliah                : Audit Sistem Informasi

Nama Dosen               : Asti Ratnasari, M.Kom

Keterangan Resume    : BAB I

Judul                           : Kerangka Kerja Cobit

Penulis                        : IT Governance Instatute

Penerbit                      : Governance An International Journal Of Policy And Administration

Tahun Terbit               :-

 

 

BAB I

KERANGKA KERJA COBIT

Penerapan TI telah menjadi pusat strategi dan proses bisnis banyak entitas. Dengan demikian, organisasi yang sukses memerlukan apresiasi dan pemahaman dasar tentang risiko dan kendala TI di semua tingkatan dalam perusahaan untuk mencapai arah yang efektif dan kontrol yang memadai. COBIT (Tujuan Kontrol untuk Informasi dan Teknologi terkait) menyediakan kerangka kontrol dan keamanan untuk TI. Kerangka kerja COBIT dijelaskan dalam bab ini.

 

COBIT KONTEKS: MUNCULNYA PERUSAHAAN DAN TATA KELOLANYA

Teknologi informasi merupakan faktor penting dalam mencapai kesuksesan dalam ekonomi informasi dan penting bagi manajemen operasional dan keuangan suatu entitas. Akibatnya, tata kelola perusahaan dan tata kelola TI tidak lagi dapat dianggap sebagai disiplin ilmu yang terpisah dan berbeda. Tata kelola perusahaan yang efektif memfokuskan keahlian dan pengalaman individu dan kelompok di tempat yang paling produktif, memantau dan mengukur kinerja, dan memberikan jaminan untuk masalah kritis. TI, yang telah lama dianggap hanya sebagai penggerak strategi perusahaan, kini harus dianggap sebagai bagian integral dari strategi itu.

Tata kelola TI menyediakan struktur yang menghubungkan proses TI, sumber daya TI, dan informasi dengan strategi dan tujuan perusahaan. Tata kelola TI mengintegrasikan dan melembagakan cara optimal untuk merencanakan dan mengatur, memperoleh dan mengimplementasikan, memberikan dan mendukung, serta memantau dan mengevaluasi kinerja TI. Tata kelola TI merupakan bagian integral dari keberhasilan tata kelola perusahaan dengan memastikan peningkatan terukur yang efisien dan efektif dalam proses perusahaan terkait. Tata kelola TI memungkinkan perusahaan untuk mengambil keuntungan penuh dari informasinya, sehingga memaksimalkan manfaat, memanfaatkan peluang dan mendapatkan keunggulan kompetitif.

Mengingat perubahan yang sedang berlangsung ini, pengembangan kerangka kerja untuk tujuan pengendalian TI dan penelitian terapan lanjutan dalam pengendalian TI, berdasarkan kerangka kerja ini, merupakan landasan untuk kemajuan yang efektif di bidang informasi dan pengendalian teknologi terkait.

Model kontrol bisnis keseluruhan, seperti COSO (Komite Organisasi Sponsor Komisi Treadway,Pengendalian Internal—Kerangka Terintegrasi, 1992,Kerangka Kerja Manajemen Risiko Perusahaan COSO, 2004) di AS, Turnbull di Inggris, CoCo di Kanada dan King di Afrika Selatan telah dikembangkan dan diterbitkan. Selain itu, ada sejumlah model kontrol khusus TI, seperti Kode Etik Keamanan dari Departemen Perdagangan dan Industri (DTI), Inggris, Pedoman Kontrol Teknologi Informasi dari Canadian Institute of Chartered Accountants (CICA), Kanada, dan Buku Pegangan Keamanan dari Institut Nasional Standar dan Teknologi (NIST), AS. Namun, model kontrol terfokus ini tidak menyediakan model kontrol yang komprehensif dan dapat digunakan atas TI yang mendukung proses bisnis. Tujuan dari COBIT adalah untuk menjembatani kesenjangan ini dengan menyediakan landasan yang terkait erat dengan tujuan bisnis sambil berfokus pada TI.

Fokus utama COBIT adalah pengembangan kebijakan yang jelas dan praktik yang baik untuk keamanan dan kontrol di TI untuk dukungan di seluruh dunia oleh organisasi komersial, pemerintah, dan profesional. Tujuan utamanya adalah pengembangan tujuan pengendalian terutama dari tujuan bisnis dan perspektif kebutuhan. Pendekatan ini sesuai dengan perspektif COSO, yang pertama dan terutama merupakan kerangka kerja manajemen untuk pengendalian internal. Selanjutnya, tujuan dan pedoman audit dikembangkan dari perspektif tujuan pengendalian (sertifikasi informasi keuangan, sertifikasi tindakan pengendalian internal, efisiensi dan efektivitas, dll.).

 

COBIT AUDIENCE: MANAJEMEN, PENGGUNA, DAN AUDITOR

COBIT dirancang untuk digunakan oleh tiga audiens yang berbeda:

• Pengelolaan—Untuk membantu mereka menyeimbangkan risiko dan mengendalikan investasi di lingkungan TI yang sering tidak terduga

• Pengguna—Untuk mendapatkan jaminan atas keamanan dan kontrol layanan TI yang disediakan oleh pihak internal atau ketiga

• Auditor—Menyediakan kerangka kerja untuk membantu mereka memberikan pendapat tentang tingkat keyakinan atas hal-hal tertentu yang diaudit dan/atau memberikan nasihat kepada manajemen tentang pengendalian internal.

COBIT SPESIFIKASI KERANGKA KERJA

Untuk sepenuhnya memahami COBIT kerangka, definisi berikut disediakan. Kontrol diadaptasi dari laporan COSO ( Pengendalian Internal—Kerangka Terintegrasi) dantujuan pengendalian TIdiadaptasi dari Systems Auditability and Control (SAC) Report, The Institute of Internal Auditors (IIA) Research Foundation, 1991 dan 1994.

“Pengendalian” didefinisikan sebagai kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang untuk memberikan jaminan yang wajar bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan akan dicegah atau dideteksi dan diperbaiki.

“Tujuan pengendalian TI” didefinisikan sebagai pernyataan tentang hasil atau tujuan yang diinginkan yang ingin dicapai dengan menerapkan prosedur pengendalian dalam aktivitas TI tertentu.

“Tata kelola TI” didefinisikan sebagai struktur hubungan dan proses untuk mengarahkan dan mengendalikan perusahaan untuk mencapai tujuan perusahaan dengan menambahkan nilai sambil menyeimbangkan risiko vs. pengembalian atas TI dan prosesnya.

Ada dua kelas berbeda dari model kontrol yang tersedia saat ini: kelas model kontrol bisnis (misalnya, COSO dan CoCo) dan model kontrol yang lebih terfokus untuk TI (misalnya, DTI). COBIT bertujuan untuk menjembatani kesenjangan yang ada di antara keduanya. COBIOleh karena itu T diposisikan untuk menjadi lebih komprehensif untuk manajemen dan untuk beroperasi pada tingkat yang lebih tinggi daripada standar teknologi murni untuk manajemen sistem informasi.

Konsep yang mendasari COBIT kerangka kerja adalah bahwa kontrol dalam TI didekati dengan berkonsentrasi pada informasi yang diperlukan untuk mendukung tujuan atau persyaratan bisnis, dan dengan melihat informasi sebagai hasil dari aplikasi gabungan dari sumber daya terkait TI yang perlu dikelola oleh proses TI.

Untuk memenuhi tujuan bisnis, informasi harus sesuai dengan kriteria tertentu. Kriteria ini dirujuk, dalam COBIT, sebagai kebutuhan bisnis untuk informasi. Dalam menetapkan daftar persyaratan tersebut, COBIT menggabungkan prinsip[1]prinsip yang tertanam dalam model referensi yang ada dan dikenal.

Persyaratan kualitas meliputi:

       Kualitas

       Biaya

       Pengiriman

Persyaratan Fidusia (COSO) meliputi:

       Efektivitas dan efisiensi operasi

       Keandalan informasi

       Kepatuhan terhadap hukum dan peraturan

Persyaratan keamanan meliputi:

       Kerahasiaan

       Integritas

       Ketersediaan

Kualitas telah dipertahankan terutama untuk aspek negatifnya (misalnya, tidak ada kesalahan dan keandalan), yang juga sebagian besar ditangkap oleh kriteria integritas. Aspek kualitas yang positif tetapi kurang nyata (gaya, daya tarik, tampilan dan nuansa, kinerja di luar ekspektasi, dll.), untuk sementara waktu, tidak dipertimbangkan dari sudut pandang tujuan pengendalian TI. Premisnya adalah bahwa prioritas pertama harus ditujukan untuk mengelola risiko dengan benar sebagai lawan dari peluang. Aspek kegunaan dari kualitas tercakup dalam kriteria efektivitas. Aspek pengiriman kualitas dianggap tumpang tindih dengan aspek ketersediaan persyaratan keamanan dan juga, sampai batas tertentu, efektivitas dan efisiensi. Akhirnya, biaya juga dianggap ditangani oleh efisiensi.

Memulai analisis dari persyaratan kualitas, fidusia dan keamanan yang lebih luas, tujuh kategori berbeda, tentu saja tumpang tindih, diekstraksi. Definisi masing-masing kerangka kerja COBIT:

       Efektivitas—Berurusan dengan informasi yang relevan dan relevan dengan proses bisnis serta disampaikan secara tepat waktu, benar, konsisten, dan dapat digunakan

       Efisiensi—Tentang penyediaan informasi melalui penggunaan sumber daya yang optimal (paling produktif dan ekonomis)

       Kerahasiaan—Tentang perlindungan informasi sensitif dari pengungkapan yang tidak sah

       Integritas—Berkaitan dengan keakuratan dan kelengkapan informasi serta validitasnya sesuai dengan nilai dan harapan bisnis

       Ketersediaan—Berkaitan dengan informasi yang tersedia saat dibutuhkan oleh proses bisnis sekarang dan di masa depan. Ini juga menyangkut pengamanan sumber daya yang diperlukan dan kemampuan terkait.

       Kepatuhan—Berurusan dengan mematuhi undang-undang, peraturan, dan pengaturan kontrak yang tunduk pada proses bisnis, yaitu, kriteria bisnis yang diberlakukan secara eksternal

       Keandalan informasi—Berkaitan dengan penyediaan informasi yang tepat bagi manajemen untuk mengoperasikan entitas dan bagi manajemen untuk melaksanakan tanggung jawab pelaporan keuangan dan kepatuhannya.

Ada sekumpulan sumber daya TI yang diperlukan untuk membantu memenuhi kebutuhan bisnis. Sumber daya adalah:

       Data—Objek dalam arti luas (yaitu, eksternal dan internal), terstruktur dan tidak terstruktur, grafik, suara, dll.

       Sistem aplikasi—Dipahami sebagai jumlah prosedur manual dan terprogram

       Teknologi—Perangkat keras, sistem operasi, sistem manajemen basis data, jaringan, multimedia, dll.

       Fasilitas—Semua sumber daya untuk menampung dan mendukung sistem informasi

       Rakyat—Keterampilan, kesadaran, dan produktivitas staf untuk merencanakan, mengatur, memperoleh, menyampaikan, mendukung, memantau, dan mengevaluasi sistem dan layanan informasi.

 

Kerangka kerja COBIT terdiri dari tujuan kontrol tingkat tinggi dan struktur keseluruhan untuk klasifikasinya. Teori yang mendasari klasifikasi adalah bahwa pada dasarnya ada tiga tingkat upaya TI ketika mempertimbangkan pengelolaan sumber daya TI (lihatangka 7).Pertama, mulai dari bawah dan bekerja ke atas, ada kegiatan dan tugas yang diperlukan untuk mencapai hasil yang terukur. Aktivitas memiliki konsep siklus hidup, sedangkan tugas lebih bersifat diskrit. Konsep siklus hidup memiliki persyaratan kontrol khas yang berbeda dari aktivitas diskrit.Kedua, proses kemudian didefinisikan satu lapis ke atas sebagai serangkaian aktivitas atau tugas yang digabungkan dengan jeda (kontrol) alami.Ketiga, pada tingkat tertinggi, proses secara alami dikelompokkan bersama ke dalam domain. Pengelompokan alami mereka sering dikonfirmasi sebagai domain tanggung jawab dalam struktur organisasi dan sejalan dengan siklus manajemen atau siklus hidup yang berlaku untuk TI.

Dengan demikian, kerangka konseptual dapat didekati dari tiga sudut pandang:

       Kriteria informasi

       Sumber daya TI

       Proses TI

Definisi untuk empat domain yang diidentifikasi untuk klasifikasi tingkat tinggi adalah:

       Rencanakan dan atur—Domain ini mencakup strategi dan taktik, dan menyangkut identifikasi cara terbaik TI dapat berkontribusi pada pencapaian tujuan bisnis. Selanjutnya, realisasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Akhirnya, organisasi yang tepat serta infrastruktur teknologi harus ditempatkan.

       Dapatkan dan implementasikan—Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang ada dicakup oleh domain ini untuk memastikan bahwa siklus hidup dilanjutkan untuk sistem ini.

       Kirim dan dukung—Domain ini berkaitan dengan pengiriman aktual layanan yang diperlukan, yang berkisar dari operasi tradisional atas aspek keamanan dan kontinuitas hingga pelatihan. Untuk memberikan layanan, proses dukungan yang diperlukan harus disiapkan. Domain ini mencakup pemrosesan data aktual oleh sistem aplikasi, sering kali diklasifikasikan di bawah kontrol aplikasi.

       Memantau dan mengevaluasi—Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk kualitas dan kepatuhannya terhadap persyaratan kontrol. Dengan demikian, domain ini membahas pengawasan manajemen terhadap proses pengendalian organisasi dan jaminan independen yang diberikan oleh audit internal dan eksternal atau diperoleh dari sumber alternatif.

Jelas bahwa tindakan pengendalian atas proses TI tidak akan selalu memenuhi semua kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama. Hal ini ditunjukkan dengan menggunakan indikator primer (P), sekunder (S) atau blank:

       Utama—Sejauh mana tujuan pengendalian yang ditetapkan berdampak langsung pada kriteria informasi yang bersangkutan

       Sekunder—Sejauh mana tujuan pengendalian yang ditetapkan hanya memenuhi sebagian kecil atau secara tidak langsung kriteria informasi yang bersangkutan

       Kosong—Bisa diterapkan; namun, persyaratan lebih tepat dipenuhi oleh kriteria lain dalam proses ini dan/atau oleh proses lain.

 

COBIT KELUARGA PRODUK

COBIT menyediakan beberapa produk yang menggambarkan perbedaan komponen COBIT secara rinci. Bagian berikut berisi penjelasan singkat tentang produk yang paling penting, menggunakan proses DS2mengelola layanan pihak ketigauntuk semua contoh produk, dan kemudian contoh masing-masing.

TUJUAN KONTROL

COBIT menyediakan satu set 34 tujuan kontrol tingkat tinggi, satu untuk setiap proses TI, dikelompokkan ke dalam empat domain: merencanakan dan mengatur, memperoleh dan menerapkan, menyampaikan dan mendukung, dan memantau dan mengevaluasi. Struktur ini mencakup semua aspek informasi dan teknologi yang mendukungnya. Dengan mengatasi 34 tujuan kontrol tingkat tinggi ini, pemilik proses bisnis dapat memastikan bahwa sistem kontrol yang memadai disediakan untuk lingkungan TI. Setiap tujuan pengendalian tingkat tinggi dibagi lagi dalam daftar tujuan pengendalian yang terperinci. Secara total, COBIT berisi 318 tujuan kontrol terperinci atas semua 34 proses TI.

Tujuan kontrol tingkat tinggi untuk DS2 mengelola layanan pihak ketiga Kontrol atas proses TI dalam mengelola layanan pihak ketiga yang memenuhi persyaratan bisnis untuk memastikan bahwa peran dan tanggung jawab pihak ketiga didefinisikan dengan jelas, dipatuhi, dan terus memenuhi persyaratan diaktifkan oleh tindakan pengendalian yang ditujukan untuk peninjauan dan pemantauan perjanjian dan prosedur yang ada untuk efektivitas dan kepatuhannya terhadap kebijakan organisasi dan mempertimbangkan

       Perjanjian layanan pihak ketiga

       Manajemen kontrak

       Perjanjian kerahasiaan

       Persyaratan hukum dan peraturan

       Pemantauan dan pelaporan pemberian layanan

       Penilaian risiko perusahaan dan TI

       Penghargaan dan penalti kinerja

       Akuntabilitas internal dan eksternal organisasi

       Analisis biaya dan varians tingkat layanan

Tujuan kontrol terperinci untuk DS2mengelola layanan pihak ketiga Antarmuka pemasok Manajemen harus memastikan bahwa semua layanan penyedia pihak ketiga diidentifikasi dengan benar dan bahwa antarmuka teknis dan organisasional dengan pemasok didokumentasikan.

 

PRAKTEK KONTROL

Praktik kontrol memperluas kemampuan COBIT dengan memberikan tingkat detail tambahan kepada praktisi. COBIT Proses TI, persyaratan bisnis, dan tujuan kontrol terperinci menentukanApaperlu dilakukan untuk menerapkan struktur pengendalian yang efektif. Praktik pengendalian TI memberikan informasi yang lebih rinci bagaimana dan mengapa dibutuhkan oleh manajemen, penyedia layanan, pengguna akhir, dan profesional kontrol untuk menerapkan kontrol yang sangat spesifik berdasarkan analisis risiko operasional dan TI.

Latihan pengendalian untuk tujuan pengendalian yang terperinci antarmuka pemasokdari proses DS2mengelola layanan pihak ketiga

Mengapa Melakukannya?

Mengidentifikasi dan menentukan antarmuka teknis dan organisasional yang disediakan oleh pemasok pihak ketiga sesuai dengan praktik pengendalian akan:

       Mempromosikan hubungan yang mendukung tujuan organisasi secara keseluruhan (baik bisnis maupun TI)

       Memfasilitasi komunikasi yang efektif dan efisien (termasuk penyelesaian masalah) antara organisasi untuk membantu mempertahankan penyampaian layanan yang efektif

       Pastikan bahwa kepemilikan elemen-elemen tersebut di setiap sisi batas antara organisasi dan penyedia layanan pihak ketiga jelas, dan oleh karena itu menghindari kesenjangan atau tumpang tindih tanggung jawab yang dapat menyebabkan hilangnya layanan atau inefisiensi operasional.

Praktek Kontrol

1.     Kebijakan dan prosedur yang berkaitan dengan pemeliharaan daftar pemasok utama untuk fungsi TI dikembangkan. Daftar tersebut merinci nama pemasok dan sifat, ruang lingkup dan tujuan hubungan. Prosedur terkait dengan, dan harus diintegrasikan dengan, prosedur manajemen pengadaan dan konfigurasi.

2.     Daftar pemasok TI ditinjau secara berkala untuk memastikan bahwa daftar tersebut tetap terkini.

3.     Kebijakan dan prosedur yang berkaitan dengan pemeliharaan register antarmuka sistem dikembangkan. Daftar tersebut merinci nama antarmuka, sistem yang terkait dengannya, dan tujuannya (dalam istilah bisnis dan TI). Prosedur terkait dengan, dan harus diintegrasikan dengan, konfigurasi dan prosedur manajemen perubahan.

PEDOMAN AUDIT

Manajemen membutuhkan jaminan bahwa tujuan dan sasaran TI yang diinginkan terpenuhi dan kontrol utama sedang ditangani. Pedoman audit menguraikan dan menyarankan kegiatan penilaian yang akan dilakukan sesuai dengan masing-masing dari tujuan pengendalian TI tingkat tinggi, memberikan panduan bermanfaat tentang siapa yang harus diwawancarai; pertanyaan apa yang harus diajukan; dan bagaimana mengevaluasi pengendalian, menilai kepatuhan, dan akhirnya membuktikan risiko dari setiap pengendalian yang teridentifikasi bukansedang bertemu. Publikasi ini memberikan panduan yang sangat berharga bagi tim audit, dan pendekatan audit terstruktur yang terkait dengan kerangka kerja yang dapat dipahami oleh orang-orang TI, yang memfasilitasi identifikasi bersama atas prioritas dan peningkatan kontrol.

PEDOMAN MANAJEMEN COBIT

Pedoman manajemen  menyediakan hubungan penting antara kontrol TI dan tata kelola TI. Mereka berorientasi pada tindakan dan generik, dan memberikan arahan manajemen untuk mendapatkan informasi perusahaan dan proses terkait di bawah kendali, memantau pencapaian tujuan organisasi, memantau dan meningkatkan kinerja dalam setiap proses TI, dan membandingkan pencapaian organisasi. Mereka membantu memberikan jawaban atas pertanyaan manajemen umum, seperti:

       Seberapa jauh kita harus mengendalikan TI, dan apakah biayanya sebanding dengan manfaatnya?

       Apa saja indikator kinerja yang baik?

       Apa faktor penentu keberhasilan?

       Apa risiko dari tidak tercapainya tujuan kita?

       Apa yang dilakukan orang lain?

       Bagaimana kita mengukur dan membandingkan?

Pedoman pengelolaan tersebut antara lain:

       Model kedewasaan—Model kematangan untuk kontrol atas proses TI terdiri dari metode penilaian, sehingga organisasi dapat menilai kematangannya untuk proses TI, dari tidak ada hingga dioptimalkan, menggunakan skala bertahap dari 0 hingga 5. Pendekatan ini, seperti yang diilustrasikan, telah diturunkan dari model kematangan yang didefinisikan oleh Software Engineering Institute (SEI) untuk kematangan kemampuan pengembangan perangkat lunak. Dengan mengembangkan dan secara aktif menggunakan level ini untuk masing-masing COBIDari 34 proses TI, manajemen dapat memetakan:

-       Status organisasi saat ini—Di mana organisasi saat ini

-       Status saat ini (terbaik di kelasnya) industri—Perbandingannya

-       Status standar internasional saat ini—Perbandingan tambahan

-       Strategi organisasi untuk perbaikan—Di mana organisasi ingin berada

       Faktor keberhasilan kritis (CSF)—CSF mendefinisikan masalah atau tindakan paling penting bagi manajemen untuk dipertimbangkan atau dilakukan untuk mencapai kontrol atas dan di dalam proses TI. Mereka harus menjadi pedoman pelaksanaan yang berorientasi manajemen dan mengidentifikasi hal-hal terpenting yang harus dilakukan, secara strategis, teknis, organisasional atau prosedural. Misalnya, CSF meliputi:

-       Proses TI didefinisikan dan diselaraskan dengan strategi TI dan tujuan bisnis.

-       Pelanggan dari proses dan harapan mereka diketahui.

-       Proses dapat diskalakan dan sumber dayanya dikelola dan dimanfaatkan dengan tepat.

       Indikator tujuan utama (KGI)—KGI menentukan ukuran yang memberi tahu manajemen, setelah fakta, apakah proses TI telah mencapai persyaratan bisnisnya. Misalnya, KGI meliputi:

-       Mencapai laba atas investasi atau manfaat nilai bisnis yang ditargetkan

-       Manajemen kinerja yang ditingkatkan

-       Mengurangi risiko TI

       Indikator kinerja utama (KPI)—KPI menentukan ukuran untuk menentukan seberapa baik kinerja proses TI dalam memungkinkan tercapainya tujuan. Mereka adalah indikator utama apakah suatu tujuan kemungkinan akan tercapai atau tidak, dan merupakan indikator kemampuan, praktik, dan keterampilan yang baik. Misalnya, KPI meliputi:

-       Mengurangi waktu siklus (yaitu, responsivitas produksi dan pengembangan TI)

-       Ketersediaan layanan dan waktu respons

-       Jumlah staf yang terlatih dalam teknologi baru dan keterampilan layanan pelanggan

 

COBIORIENTASI TUJUAN BISNIS

COBIT ditujukan untuk mencapai tujuan bisnis. Tujuan pengendalian membuat hubungan yang jelas dan berbeda dengan tujuan bisnis untuk mendukung penggunaan yang signifikan di luar komunitas jaminan. Tujuan pengendalian didefinisikan dengan cara yang berorientasi pada proses mengikuti prinsip rekayasa ulang bisnis. Pada domain dan proses yang teridentifikasi, tujuan pengendalian tingkat tinggi diidentifikasi dan alasan diberikan untuk mendokumentasikan tautan ke tujuan bisnis. Selain itu, pertimbangan dan pedoman disediakan untuk menentukan dan mengimplementasikan tujuan pengendalian TI.

Klasifikasi domain di mana tujuan kontrol tingkat tinggi berlaku (domain dan proses) merupakan indikasi kebutuhan bisnis untuk informasi dalam domain itu, serta sumber daya TI yang terutama dipengaruhi oleh tujuan kontrol. Bersama-sama, mereka membentuk COBIkerangka T. Kerangka kerja ini didasarkan pada aktivitas penelitian yang telah mengidentifikasi 34 tujuan pengendalian tingkat tinggi dan 318 tujuan pengendalian terperinci. Kerangka kerja tersebut diekspos secara global ke industri TI dan profesi audit untuk memungkinkan kesempatan untuk ditinjau, ditantang, dan dikomentari. Wawasan yang diperoleh telah, dan akan terus, secara tepat dan konsisten digabungkan.

 

PERTANYAAN TINJAUAN

1.     Bagaimana siklus plan, do, check and correct berhubungan dengan tata kelola TI?

2.     Jelaskan persamaan dan perbedaan antara CoCo atau COSO dan COBIT. Bisakah suatu entitas menggunakan CoCo atau COSOdanCOBIT? Jika suatu entitas menggunakan CoCo atau COSOdanCOBIT?

3.     Jelaskan target audiens COBIT.

4.     Jelaskan tujuh kriteria informasi yang COBIT dirancang untuk mengatasi.

5.     Diskusikan lima sumber daya TI yang diakui oleh COBIkerangka T.

6.     Apa perbedaan antara pedoman audit dan pedoman manajemen? Mengapa harus ada pedoman terpisah di COBIkerangka kerja?

7.     Apa perbedaan antara konsep umum kontrol dan kontrol di lingkungan TI?

8.     Berikan dua contoh domain TI dan jelaskan masing-masing.

9.     Apa perbedaan antara indikator sasaran utama dan indikator kinerja utama?

10.  Apa yang dimaksud dengan model kedewasaan? Ciptakan model kedewasaan untuk domain pengetahuan di luar teknologi informasi (misalnya, untuk siswa, aktivitas atau organisasi olahraga atau budaya).

11.  Apa itu proses TI? Berikan dua contoh proses TI


Komentar