COBIT untuk Penjaminan TI SI702 Tata Kelola Sistem Informasi Pertemuan #7
Tujuan dan Sasaran Mahasiswa/i mampu menjelaskan COBIT untuk tata kelola dan penjaminan TI
Topik Bahasan Roadmap penjaminan TI Eksekusi penjaminan TI Praktek penjaminan TI
COBIT dikenal sebagai kerangka kerja (framework) yang bagus untuk mengimplementasikan tata kelola TI perusahaan COBIT juga menyediakan dukungan untuk melaksanakan penugasan audit atau penjaminan TI Pertemuan ini menjelaskan bagaimana konsep COBIT dapat membantu dalam konteks penjaminan TI
Tahun 2007, IT Governance Institute mengeluarkan ‘‘IT Assurance Guide – using COBIT’’ Penting untuk diperhatikan bahwa Pedoman Penjaminan TI di atas bukan merupakan ‘‘manual’’ untuk penjaminan TI Diawali dengan prinsip bahwa pembaca sudah memahami proses audit TI dan menjelaskan bagaimana COBIT dapat membantu di dalam praktek penjaminan TI profesional
Pedoman Penjaminan TI berisi 2 elemen: Roadmap detil memperlihatkan bagaimana aktivitas penjaminan TI dapat direncanakan (perencanaan penjaminan TI), lingkup (pelingkupan penjaminan TI) dan pelaksanaan (eksekusi penjaminan TI) berbasis COBIT Guidance detil dalam wilayah eksekusi penjaminan TI menyediakan langkah untuk menguji rancangan kontrol, untuk menguji hasil dari ujuan kontrol dan untuk menguji dampak dari kelemahan kontrol, berbasis COBIT
Roadmap penjaminan TI
Pendekatan umum terdiri dari 3 tahap: Untuk mendukung profesional penjaminan TI maka Pedoman Penjaminan TI menawarkan roadmap umum untuk mengeksekusi penugasan penjaminan TI Pendekatan umum terdiri dari 3 tahap: Tahap perencanaan (planning) fokus pada pengembangan rencana penjaminan TI yang memungkinkan organisasi untuk menyeimbangkan keterbatasan sumberdaya penjaminan dengan aktivitas penjaminan yang dibutuhkan Tahap pelingkupan (scoping) fokus pada satu aktivitas penjaminan TI Tahap pelaksanaan (execution) mencakup aktivitas pengujian yang efektif yang harus dikerjakan oleh profesional penjaminan
Eksekusi penjaminan TI
Langkah eksekusi penjaminan TI biasanya berurusan dengan aktivitas pengujian inti yang dikerjakan profesional penjaminan (kotak 3, 4 dan 5) Pedoman Penjaminan TI menyediakan bahan yang rinci bagi profesional penjaminan untuk membantu mereka menguji rancangan kontrol (control design), menguji hasil dari tujuan kontrol (control objectives) dan menguji dampak dari kelemahan kontrol
1# Testing Control Design ‘‘Testing Control Design’’ atau pengujian efektifitas rancangan mencakup langkah-langkah penjaminan untuk dilakukan dalam rangka menilai kecukupan/kemampuan rancangan kontrol Aktivitas penjaminan ini mencakup evaluasi kelayakan pengukuran kontrol untuk proses yang sedang ditelaah berdasar kriteria tertentu, praktek standar industri dan penilaian profesional
Pedoman Penjaminan TI menggunakan metode pengujian umum seperti enquire, confirm, observe dan inspect ‘‘Enquire dan confirm’’ menanyakan kepada pimpinan untuk mendapat pemahaman mengenai proses dan/atau aplikasi ‘‘Observe’’ mengobservasi dan menjelaskan proses dan prosedur ‘‘Inspect’’ mencakup tinjauan rencana, kebijakan dan prosedur, memantau transaksi melalui proses/sistem, inspeksi fisik keberadaan dokumentasi dan aset
2# Testing the Outcome of Control Objectives ‘‘Testing the outcome of control objectives’’ disebut juga pengujuan efektivitas operasional berkaitan dengan langkah-langkah penjaminan untuk dilakukan dalam rangka memastikan bahwa pengukuran kontrol yang ditetapkan berfungsi dengan benar, konsisten, dan berkelanjutan Langkah-langkah ini biasanya mengenai inspeksi sampel, hitung ulang, dll Pengujuan hasil dalam beberapa kasus dilakukan berdasarkan sampel atau contoh saja
3# Testing the Impact of Control Weaknesses Saat kelemahan kontrol telah teridentifikasi pada langkah sebelumnya, maka ‘‘Testing the impact of the control weaknesses’’ mencakup langkah-langkah penjaminan untuk mendokumentasi dan melaporkan resiko bisnis yang potensial terjadi bila tujuan kontrol tertentu tidak dapat dipenuhi
Isu-isu yang ada disini adalah bahwa profesional penjaminan tidak hanya melaporkan kelemahan kontrol saja (misal: ‘‘terdapat bukti bahwa tidak ditemukan adanya metodologi manajemen proyek’’), namun profesional penjaminan harus memperlihatkan apa yang menjadi dampak potensial terhadap bisnis dari kelemahan ini (misal: kemungkinan terjadinya kegagalan proyek TI menjadi meningkat, menyebabkan anggaran membengkak atau waktu pengerjaan mundur)
Praktek penjaminan TI
Untuk mengeksekusi aktivitas penjaminan TI secara praktek maka gunakan template yang dapat sangat membantu untuk mendukung eksekusi penjaminan Template yang digunakan dapat dibuat sederhana saja seperti terlihat pada slide berikut ini
Template untuk pelingkupan
Template untuk pengujian
Assignment 1: mengembangkan program penjaminan TI Kembangkan langkah-langkah penjaminan untuk menguji rancangan kontrol dan pengujian hasil tujuan kontrol untuk proses TI ‘‘Manage third-party services’’ mengelola layanan pihak ketiga berdasarkan COBIT
Penutup
COBIT adalah framework untuk imeplementasi tata kelola TI perusahaan COBIT juga dapat digunakan untuk penjaminan TI Untuk melakukan hal tersebut COBITmenyediakan Pedoman Penjaminan TI yang berisi: Roadmap detil aktivitas penjaminan TI mencakup IT assurance planning, IT assurance scoping dan IT assurance execution Guidance detil eksekusi penjaminan TI mencakup test the control design, test the outcome of the control objectives dan test the impact of control weaknesses
Langkah-langkah eksekusi penjaminan TI berurusan dengan aktivitas pengujian inti Pedoman Penjaminan TI menyediakan bahan rinci untuk melakukan pengujian: test control design, test the outcome of control objectives dan test the impact of control weaknesses Untuk mengeksekusi aktivitas penjaminan TI sebaiknya menggunakan template yang dapat sangat membantu
Pertanyaan studi Jelaskan 3 tahap utama: planning, scoping dan execution dari Roadmap Penjaminan TI Jelaskan 3 aktivitas pengujian inti: testing control design, testing outcome of the control objective dan testing impact of control weaknesses
Terima Kasih