BAB 2
Menggunakan CobiT
untuk Melakukan Audit TI
The Committee Of Sponsoring
Organizations (COSO), seperti yang diperkenalkan dan dibahas dalam Bab 1, telah
menjadi alat standar untuk mengukur dan mengevaluasi kontrol akuntansi internal
untuk rentang sistem dan proses yang luas sejak 1990-an dan di bawah
Sarbanes-Oxley Act (SOx). Namun, beberapa profesional, dan auditor teknologi
informasi (TI) khususnya, telah menyatakan keprihatinan tentang penggunaan
kerangka kerja pengendalian internal COSO di dunia yang berorientasi pada TI
saat ini. Kekhawatirannya adalah bahwa panduan pengendalian internal COSO yang
dipublikasikan tidak memberikan cukup penekanan pada alat dan proses TI.
Bab ini menjelaskan hubungan antara
tujuan CobiT dan kerangka kerja pengendalian internal COSO untuk digunakan
dalam semua tinjauan audit internal. CobiT berawal sebagai alat panduan audit
TI, tetapi saat ini jauh lebih luas. Selain kerangka kontrol internal COSO,
pengetahuan CobiT akan membantu auditor internal untuk lebih memahami peran
kontrol dan risiko TI di banyak lingkungan perusahaan. CobiT adalah kerangka
kerja pengendalian internal yang penting yang dapat berdiri sendiri tetapi
merupakan alat pendukung penting untuk mendokumentasikan dan memahami kontrol
internal COSO dan SOx serta mengenali nilai aset TI dalam suatu perusahaan.
Pengetahuan umum atau kerja CobiT harus merupakan persyaratan auditor TI.
Kerangka kerja CobiT adalah alat yang
efektif untuk mendokumentasikan TI dan semua kontrol internal lainnya. Bab ini
membahas kerangka kerja ini dalam perspektif yang lebih luas dalam menggunakan
CobiT untuk membantu proses tata kelola TI manajemen, perusahaan, dan audit
internal. Kerangka kerja CobiT adalah mekanisme yang efektif untuk
mendokumentasikan dan memahami kontrol internal di semua tingkatan. Meskipun
CobiT pertama kali dimulai terutama sebagai seperangkat bahan panduan audit
audit audit TI ’, ini adalah alat yang jauh lebih kuat saat ini.
CobiT memberikan pendekatan alternatif
untuk mendefinisikan dan menggambarkan kontrol internal yang lebih menekankan
TI daripada kerangka kerja kontrol internal COSO murni. Informasi dan proses TI
pendukung seringkali merupakan aset paling berharga untuk semua perusahaan saat
ini, dan manajemen memiliki tanggung jawab besar untuk menjaga aset TI pendukungnya,
termasuk sistem otomatisnya. Kontrol internal atas sumber daya TI sangat
didasarkan pada efektivitas dan efisiensi saling ketergantungan
komponen-komponen TI ini.
CobiT melihat kontrol internal dari tiga
dimensi TI: sumber daya, proses, dan kriteria informasi, yang dijelaskan dalam
CobiT Cube. Artinya, setiap komponen pada satu permukaan berhubungan dengan dua
dimensi penghubung lainnya. Namun, dimensi menghadap ke depan CobiT dengan
deskripsi bergambar diagram alir proses terkadang menakuti orang non-IT dari
mempertimbangkan CobiT. Sifat tiga dimensi dari model ini menekankan hubungan
silang dan saling ketergantungan antara proses bisnis dan TI.
Kerangka kerja CobiT mengatakan bahwa
kontrol dari setiap proses harus dipenuhi dengan daftar persyaratan bisnis
pendukung dan bahwa tujuan bisnis tersebut harus fokus pada tujuan TI yang
penting. CobiT menyerukan kelompok proses tingkat tinggi yang menetapkan
arah untuk perusahaan dan sumber daya TI-nya.
Untuk setiap tujuan CobiT, materi
panduan juga berisi apa yang disebut grafik RACI pendukung. grafik RACI adalah
alat yang baik untuk mengidentifikasi peran dan tanggung jawab. Manajer yang
menggunakan CobiT dan auditor yang mengevaluasi kepatuhan harus selalu ingat
bahwa CobiT adalah seperangkat bahan panduan praktik terbaik, bukan persyaratan
wajib.
Masing-masing tujuan terperinci dalam
domain ini mencakup prosedur kontrol atas implementasi alat baru. Meskipun
penekanannya pada perangkat lunak TI, konsep kontrol internal juga dapat
diterapkan pada akuisisi dan implementasi banyak perangkat perusahaan baru.
Mengikuti format umum yang sama, tujuan kontrol CobiT tingkat tinggi ketiga
disebut Pengiriman dan Dukungan (DS). Tujuan kontrol CobiT DS juga mirip dengan
kontrol internal ITIL untuk meningkatkan proses bisnis. Keduanya mencakup
bidang penting dari apa yang dikenal sebagai manajemen layanan TI, proses yang
diperlukan untuk memastikan operasi TI yang efisien dan untuk memberikan
layanan ini. Tujuan kami adalah untuk tidak mereproduksi konten lengkap
dari semua tujuan kontrol CobiT yang diterbitkan tetapi untuk memberi kesan
pada auditor TI tentang pendekatan CobiT. Di sini dan untuk semua domain dan
tujuan, CobiT menyediakan cara yang ampuh untuk melihat luas dan dalamnya
kontrol internal terkait TI dan hubungannya.
Domain CobiT keempat disebut Monitoring
dan Evaluasi (ME). Serangkaian tujuan kontrol ini menekankan CobiT sebagai
proses loop tertutup yang secara efektif tidak pernah berakhir. CobiT
menyerukan untuk menetapkan langkah-langkah dasar untuk memungkinkan perusahaan
mengukur kinerjanya dan untuk memberikan perusahaan peluang di masa depan. Area
domain ini mencakup area jaminan kualitas yang secara tradisional lebih umum di
bidang manufaktur dan operasi lainnya daripada di bidang TI.
Tujuan dari panduan ini adalah untuk
menetapkan standar yang membahas audit dan jaminan peran dan tanggung jawab
profesional TI; pengetahuan dan kemampuan; dan persyaratan ketekunan, perilaku,
dan pelaporan. Panduan CobiT baru ini berfokus pada hal lain yang mungkin
segera menjadi kata umum yang terkait dengan audit, assurance.
