RESUME ( UTS AUDIT SISTEM INFORMASI )

-

 

Nama : Putri Septia Ardini

Nim : 193100055

Semester : 6

Mata Kuliah : Audit Sistem Informasi

Dosen Pengampu : Asti Ratnasari, M.Kom

 

Latar Belakang

Dalam beberapa tahun terakhir, menjadi semakin jelas bahwa ada kebutuhan akan kerangka acuan untuk mengembangkan dan mengelola pengendalian internal dan tingkat keamanan yang sesuai dalam teknologi informasi .
Dengan demikian, organisasi yang sukses memerlukan apresiasi dan pemahaman dasar tentang risiko dan kendala TI di semua tingkatan dalam perusahaan untuk mencapai arah yang efektif dan kontrol yang memadai. Itu
Kerangka kerja COBIT dijelaskan dalam bab ini.

Chapter 1

COBIT CONTEXT: EMERGENCE OF ENTERPRISE AND IT GOVERNANCE

Teknologi informasi merupakan faktor penting dalam mencapai keberhasilan dalam ekonomi informasi dan pusat untuk manajemen operasional dan keuangan entitas. Akibatnya, tata kelola perusahaan dan tata kelola TI tidak dapat lagi dianggap disiplin ilmu yang terpisah dan berbeda. Tata kelola TI menyediakan struktur yang menghubungkan proses TI, sumber daya TI, dan informasi ke perusahaan strategi dan tujuan. Tata kelola TI mengintegrasikan dan melembagakan cara perencanaan dan mengatur, memperoleh dan menerapkan, memberikan dan mendukung, dan memantau dan mengevaluasi TI pertunjukan. Melihat interaksi proses tata kelola perusahaan dan TI secara lebih rinci , perusahaan tata kelola, sistem di mana entitas diarahkan dan dikendalikan, mendorong dan menetapkan tata kelola TI.

Perusahaan yang dikelola dengan baik menerapkan praktik terbaik yang diterima secara umum untuk memastikan bahwa perusahaan mencapai tujuan strategis dan operasionalnya. Entitas melembagakan kontrol atas strategi dan operasi untuk mengelola risikonya dan membantu pencapaian tujuan dan strateginya. Itu hasil kegiatan perusahaan diukur dan dilaporkan, memberikan masukan untuk revisi konstan dan pemeliharaan kontrol, memulai siklus lagi. Manajemen TI juga diatur oleh praktik terbaik untuk memastikan bahwa informasi perusahaan dan teknologi terkait mendukung tujuan bisnisnya, sumber dayanya digunakan secara bertanggung jawab dan risikonya dikelola dengan tepat. (6)


Mengingat perubahan yang sedang berlangsung ini, pengembangan kerangka kerja ini untuk tujuan pengendalian TI dan penelitian terapan lanjutan dalam kontrol TI, berdasarkan kerangka kerja ini, adalah landasan untuk kemajuan yang efektif dalam bidang informasi dan pengendalian teknologi terkait.
Model kontrol bisnis keseluruhan, seperti COSO di AS, Turnbull di Inggris, CoCo di Kanada dan King di Afrika Selatan telah dikembangkan dan diterbitkan.

Institut Nasional Standar dan Teknologi , AS. Namun, model kontrol terfokus ini tidak menyediakan model kontrol yang komprehensif dan dapat digunakan atas TI yang mendukung proses bisnis. Itu tujuan COBIT adalah untuk menjembatani kesenjangan ini dengan memberikan landasan yang terkait erat dengan tujuan bisnis sambil fokus pada TI.

(7)


American Institute of Certified Public Accountants di AS dan Layanan Assurance
Dewan Pengembangan CICA di Kanada, sebagian didasarkan pada tujuan pengendalian COBIT. SysTrust dirancang untuk meningkatkan kenyamanan manajemen, pelanggan dan mitra bisnis dengan sistem yang mendukung bisnis atau kegiatan tertentu. Layanan SysTrust mengharuskan akuntan publik memberikan layanan asurans di yang dia evaluasi dan uji apakah suatu sistem dapat diandalkan ketika diukur terhadap empat prinsip penting: ketersediaan, keamanan, integritas dan pemeliharaan.

Tujuan utamanya adalah pengembangan tujuan pengendalian terutama dari tujuan bisnis dan perspektif kebutuhan. Selanjutnya, tujuan dan pedoman audit dikembangkan dari tujuan pengendalian perspektif.

Apa yang Dipikirkan oleh Chief Finance Officer dari Perusahaan Energi tentang COBIT

Mereka telah memberi wewenang kepada dewan komite audit untuk memastikan bahwa kami melakukan pekerjaan kami. Komite audit telah mengesahkan C-suite untuk memastikan kami melakukan pekerjaan kami, dan C-suite telah meminta kemudi TI ini komite untuk memastikan kami memiliki kontrol internal yang memadai untuk TI. Komite pengarah TI, sebagai gantinya, adalah meminta CIO dan tim manajemennya untuk membuat kami nyaman bahwa ini terkait dengan TI, dan kami akan menggunakan COBIT untuk melakukannya.

(8)

COBIT AUDIENCE: MANAJEMEN, PENGGUNA DAN AUDITOR

COBIT dirancang untuk digunakan oleh tiga audiens yang berbeda:

• Manajemen—Untuk membantu mereka menyeimbangkan risiko dan mengendalikan investasi di lingkungan TI yang sering tidak terduga

• Pengguna—Untuk mendapatkan jaminan keamanan dan kontrol layanan TI yang disediakan oleh pihak internal atau ketiga

• Auditor—Menyediakan kerangka kerja untuk membantu mereka memberikan pendapat tentang tingkat keyakinan atas

materi pelajaran tertentu yang diaudit dan/atau memberikan saran kepada manajemen tentang pengendalian internal.

Sertifikasi CISA dan CISM

Untuk target audiens di atas, ISACA juga telah mengembangkan program sertifikasi. Setelah lulus ujian dan memenuhi persyaratan pengalaman yang diperlukan, sertifikasi yang diterima secara internasional dapat diperoleh. Ujian Certified Information Systems AuditorTM (CISA®) mengukur keunggulan di bidang IS audit, kontrol dan keamanan. Certified Information Security Manager® (CISM®) adalah untuk individu yang harus mempertahankan pandangan gambaran besar dengan mengelola, merancang, mengawasi, dan menilai suatu keamanan informasi perusahaan.

Untuk sepenuhnya memahami kerangka kerja COBIT, definisi berikut disediakan.
Laporan COSO dan tujuan kontrol TI diadaptasi dari Sistem
Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 dan 1994.

-          Kontrol à didefinisikan sebagai kebijakan, prosedur, praktik, dan struktur organisasi yang dirancang untuk memberikan jaminan yang wajar bahwa tujuan bisnis akan tercapai dan kejadian yang tidak diinginkan akan dicegah atau terdeteksi dan dikoreksi.

-          Tujuan pengendalian TI à didefinisikan sebagai pernyataan tentang hasil atau tujuan yang diinginkan yang ingin dicapai oleh menerapkan prosedur pengendalian dalam aktivitas TI tertentu.

-          Tata kelola TI à didefinisikan sebagai struktur hubungan dan proses untuk mengarahkan dan mengendalikan perusahaan di untuk mencapai tujuan perusahaan dengan menambahkan nilai sambil menyeimbangkan risiko vs. pengembalian atas TI dan prosesnya.

(9)

Untuk memenuhi tujuan bisnis, informasi harus sesuai dengan kriteria tertentu. Kriteria ini dirujuk, dalam COBIT, sebagai kebutuhan bisnis untuk informasi. Dalam menetapkan daftar persyaratan tersebut, COBIT menggabungkan prinsip-prinsip yang tertanam dalam model referensi yang ada dan dikenal.

Persyaratan kualitas meliputi:

• Kualitas

• Biaya

• Pengiriman

Persyaratan Fidusia (COSO) meliputi:

• Efektivitas dan efisiensi operasi

• Keandalan informasi

• Kepatuhan terhadap hukum dan peraturan

Persyaratan keamanan meliputi:

• Kerahasiaan

• Integritas

• Ketersediaan

Kualitas telah dipertahankan terutama untuk aspek negatifnya (misalnya, tidak ada kesalahan dan keandalan), yang juga ditangkap untuk sebagian besar dengan kriteria integritas. Aspek kualitas yang positif tetapi kurang nyata (gaya, daya tarik, penampilan) dan perasaan, kinerja di luar ekspektasi, dll.), untuk sementara waktu, tidak dipertimbangkan dari kontrol TI sudut pandang tujuan. Premisnya adalah bahwa prioritas pertama harus ditujukan untuk mengelola risiko dengan benar sebagai lawan untuk peluang. Aspek kegunaan dari kualitas tercakup dalam kriteria efektivitas. Aspek pengiriman dari kualitas dianggap tumpang tindih dengan aspek ketersediaan persyaratan keamanan dan juga, sampai batas tertentu, efektivitas dan efisiensi. Akhirnya, biaya juga dianggap ditangani oleh efisiensi.

COBIT tidak berusaha untuk menemukan kembali roda untuk persyaratan fidusia; Definisi COSO untuk efektivitas dan efisiensi operasi, keandalan informasi, dan kepatuhan terhadap hukum dan peraturan telah dipakai. Namun, keandalan informasi diperluas untuk mencakup semua informasi—bukan hanya keuangan informasi. Sehubungan dengan persyaratan keamanan, COBIT mengidentifikasi kerahasiaan, integritas, dan ketersediaan sebagai kuncinya elemen. Tiga elemen yang sama ini, ditemukan, digunakan di seluruh dunia dalam menggambarkan persyaratan keamanan TI. Mulai analisis dari persyaratan kualitas, fidusia, dan keamanan yang lebih luas, tujuh yang berbeda, tentu saja tumpang tindih, kategori diekstraksi. Definisi kerja COBIT untuk masing-masing berikut:

• Efektivitas—Berkaitan dengan informasi yang relevan dan berkaitan dengan proses bisnis serta menjadi disampaikan secara tepat waktu, benar, konsisten, dan dapat digunakan

• Efisiensi—Menyangkut penyediaan informasi melalui optimal (paling produktif dan ekonomis) penggunaan sumber daya

• Kerahasiaan—Tentang perlindungan informasi sensitif dari pengungkapan yang tidak sah

• Integritas—Berkaitan dengan keakuratan dan kelengkapan informasi serta validitasnya sesuai dengan nilai dan harapan bisnis

• Availability—Berkaitan dengan informasi yang tersedia saat dibutuhkan oleh proses bisnis sekarang dan di masa depan. Ini juga menyangkut pengamanan sumber daya yang diperlukan dan kemampuan terkait.

Kepatuhan—Berurusan dengan kepatuhan terhadap undang-undang, peraturan, dan pengaturan kontrak yang proses bisnis tunduk, yaitu, kriteria bisnis yang dipaksakan secara eksternal

• Keandalan informasi—Berkaitan dengan penyediaan informasi yang tepat bagi manajemen untuk beroperasi entitas dan bagi manajemen untuk melaksanakan tanggung jawab pelaporan keuangan dan kepatuhannya

Bagaimana Grup Keuangan Besar Kanada Mengidentifikasi dan Menggunakan Kriteria Informasi

Grup keuangan utama Kanada sedang merencanakan implementasi portal untuk pelanggannya. Itu kasus bisnis untuk proyek e-bisnis ini menyatakan pembenaran berikut, antara lain. Portal akan:

• Mengurangi biaya back-office dengan memperkenalkan layanan mandiri kepada pelanggan

• Menyediakan alat akses data yang kuat untuk staf dukungan call center

Efektivitas dalam situasi ini berkaitan dengan aksesibilitas dan kegunaan fungsi ke target penonton. Ini menjadi ukuran keberhasilan yang memungkinkan bisnis mencapai proposisi nilainya dan menjadi ukuran TI utama untuk proyek tersebut (setidaknya dalam dimensi proyek ini). Manajemen kemudian memilih ukuran spesifik yang menunjukkan pencapaian tujuan tersebut. Keyakinannya adalah bahwa jika tujuan-tujuan ini adalah tercapai, maka tingkat penerimaan pelanggan akan cukup untuk membongkar dan merampingkan pekerjaan untuk menghasilkan ekonomi yang dibangun ke dalam kasus bisnis.

Ada satu set sumber daya TI yang dibutuhkan untuk membantu memenuhi kebutuhan bisnis. Itu sumber daya adalah:

• Data—Objek dalam arti luas (yaitu, eksternal dan internal), terstruktur dan tidak terstruktur, grafik, suara, dll.

• Sistem aplikasi—Dipahami sebagai gabungan dari prosedur manual dan terprogram

• Teknologi—Perangkat keras, sistem operasi, sistem manajemen basis data, jaringan, multimedia, dll.

• Fasilitas—Semua sumber daya untuk menampung dan mendukung sistem informasi

• Orang—Keterampilan, kesadaran, dan produktivitas staf untuk merencanakan, mengatur, memperoleh, menyampaikan, mendukung, memantau, dan mengevaluasi sistem dan layanan informasi

Uang atau modal tidak dipertahankan sebagai sumber daya TI untuk klasifikasi tujuan pengendalian karena dapat dianggap sebagai investasi ke salah satu sumber daya di atas. Perlu juga dicatat bahwa kerangka kerja tidak secara khusus merujuk pada dokumentasi semua hal material yang berkaitan dengan proses TI tertentu. Sebagai soal praktik yang baik, dokumentasi dianggap penting untuk kontrol yang baik; oleh karena itu, kurangnya dokumentasi akan menjadi penyebab untuk tinjauan dan analisis lebih lanjut untuk pengendalian kompensasi di area spesifik mana pun yang ditinjau.

(10-11)

Kerangka konseptual dapat didekati dari tiga sudut pandang:

• Kriteria informasi

• sumber daya TI

• proses TI

Definisi untuk empat domain yang diidentifikasi untuk klasifikasi tingkat tinggi adalah:

• Merencanakan dan mengatur—Domain ini mencakup strategi dan taktik, dan menyangkut identifikasi cara TI dapat memberikan kontribusi terbaik untuk pencapaian tujuan bisnis. Selanjutnya, realisasi strategi visi perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Akhirnya, yang tepat organisasi serta infrastruktur teknologi harus disiapkan.

• Memperoleh dan mengimplementasikan—Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang ada dicakup oleh domain ini untuk memastikan bahwa siklus hidup dilanjutkan untuk sistem ini.

• Deliver and support—Domain ini berkaitan dengan pengiriman aktual dari layanan yang dibutuhkan, yang berkisar dari operasi tradisional atas aspek keamanan dan kontinuitas hingga pelatihan. Untuk memberikan layanan, proses dukungan yang diperlukan harus disiapkan. Domain ini mencakup pemrosesan data aktual dengan sistem aplikasi, sering diklasifikasikan di bawah kontrol aplikasi.

• Pantau dan evaluasi—Semua proses TI perlu dinilai secara berkala dari waktu ke waktu untuk kualitas dan kepatuhan dengan persyaratan kontrol. Domain ini dengan demikian membahas pengawasan manajemen terhadap proses pengendalian organisasi dan jaminan independen yang diberikan oleh audit internal dan eksternal atau diperoleh dari sumber alternatif.

(13)

Proses TI yang diidentifikasi dalam COBIT dapat diterapkan pada tingkat yang berbeda dalam suatu organisasi. Sebagai contoh, beberapa dari proses ini akan diterapkan di tingkat perusahaan, yang lain di tingkat fungsi TI dan yang lainnya lagi di tingkat pemilik proses bisnis. Jelas bahwa tindakan pengendalian atas proses TI tidak selalu memuaskan semua bisnis yang berbeda persyaratan untuk informasi pada tingkat yang sama.

Indikator sekunder (S) atau kosong:

• Primer—Sejauh mana tujuan pengendalian yang ditetapkan berdampak langsung pada kriteria informasi khawatir

• Sekunder—Sejauh mana tujuan pengendalian yang ditetapkan hanya memenuhi tingkat yang lebih rendah atau secara tidak langsung kriteria informasi yang bersangkutan

• Kosong—Dapat diterapkan; namun, persyaratan lebih tepat dipenuhi oleh kriteria lain dalam proses ini dan/atau dengan proses lain.

Demikian pula, ukuran kontrol tertentu tidak selalu berdampak pada sumber daya TI yang berbeda untuk hal yang sama derajat. Oleh karena itu, kerangka kerja COBIT secara khusus menunjukkan penerapan sumber daya TI yang secara khusus dikelola oleh proses yang sedang dipertimbangkan dan bukan hanya mereka yang hanya mengambil bagian dalam proses.

Klasifikasi ini dibuat dalam kerangka kerja COBIT berdasarkan proses input yang ketat dari peneliti, ahli dan pengulas, menggunakan definisi ketat yang ditunjukkan sebelumnya. Singkatnya, untuk memberikan informasi yang dibutuhkan organisasi untuk mencapai tujuannya, IT tata kelola harus dilakukan oleh organisasi untuk memastikan bahwa sumber daya TI dikelola oleh sekumpulan sumber daya yang alami proses TI yang dikelompokkan.

(14)

PEDOMAN AUDIT

Manajemen membutuhkan jaminan bahwa tujuan dan sasaran TI yang diinginkan terpenuhi dan kontrol utama sedang ditujukan. Pedoman audit menguraikan dan menyarankan kegiatan penilaian yang akan dilakukan sesuai dengan: masing-masing dari 34 tujuan pengendalian TI tingkat tinggi, memberikan panduan yang berguna tentang siapa yang harus diwawancarai; Apa pertanyaan untuk ditanyakan; dan bagaimana mengevaluasi kontrol, menilai kepatuhan, dan akhirnya membuktikan risiko apa pun pengendalian yang teridentifikasi tidak terpenuhi. Publikasi ini memberikan panduan yang sangat berharga bagi tim audit, dan pendekatan audit terstruktur terkait dengan kerangka kerja yang dapat dipahami oleh orang-orang TI, yang memfasilitasi proses bersama identifikasi prioritas pengendalian dan perbaikan.

PEDOMAN MANAJEMEN

Pedoman manajemen COBIT menyediakan hubungan penting antara kontrol TI dan tata kelola TI. Mereka berorientasi pada tindakan dan generik, dan memberikan arahan manajemen untuk mendapatkan informasi perusahaan dan proses terkait di bawah kendali, memantau pencapaian tujuan organisasi, memantau dan meningkatkan kinerja dalam setiap proses TI, dan benchmarking pencapaian organisasi. Mereka membantu menyediakan

jawaban atas pertanyaan manajemen yang khas, seperti:

• Seberapa jauh kita harus mengendalikan TI, dan apakah biayanya sebanding dengan manfaatnya?

• Apa saja indikator kinerja yang baik?

• Apa faktor penentu keberhasilan?

• Apa risiko dari tidak tercapainya tujuan kita?

• Apa yang dilakukan orang lain?

• Bagaimana kita mengukur dan membandingkan?

(17)

Pedoman pengelolaan tersebut antara lain:

• Model maturitas—Model maturitas untuk kontrol atas proses TI terdiri dari metode penilaian, jadi dan organisasi dapat menilai kematangannya untuk proses TI, dari tidak ada hingga dioptimalkan, menggunakan skala bertahap

dari 0 hingga 5.

Manajemen dapat memetakan:

-          Status organisasi saat ini—Di mana organisasi saat ini

-          Status saat ini (terbaik di kelasnya) industri—Perbandingannya

-          Status standar internasional saat ini—Perbandingan tambahan

-          Strategi organisasi untuk perbaikan—Di mana organisasi ingin berada

• Faktor penentu keberhasilan (CSF)—CSF menentukan masalah atau tindakan paling penting bagi manajemen untuk mempertimbangkan atau melakukan untuk mencapai kontrol atas dan dalam proses TI. Mereka harus menjadi pedoman implementasi yang berorientasi manajemen dan mengidentifikasi hal-hal terpenting yang harus dilakukan, secara strategis, teknis,

secara organisasional atau prosedural. Misalnya, CSF meliputi:

-          Proses TI didefinisikan dan diselaraskan dengan strategi TI dan tujuan bisnis.

-          Pelanggan dari proses dan harapan mereka diketahui.

-          Proses dapat diskalakan dan sumber dayanya dikelola dan dimanfaatkan dengan tepat.

• Indikator sasaran utama (KGI)—KGI menentukan ukuran yang memberi tahu manajemen, setelah fakta, apakah IT

proses telah mencapai persyaratan bisnisnya. Misalnya, KGI meliputi:

-          Mencapai laba atas investasi atau manfaat nilai bisnis yang ditargetkan

-          Peningkatan manajemen kinerja

-          Mengurangi risiko TI

• Indikator kinerja utama (KPI)—KPI menentukan ukuran untuk menentukan seberapa baik proses TI melakukan dalam memungkinkan tujuan yang akan dicapai. Mereka adalah indikator utama apakah suatu tujuan kemungkinan akan tercapai.

Tercapai atau tidak, dan merupakan indikator yang baik dari kemampuan, praktik dan keterampilan. Misalnya, KPI meliputi:

-          Mengurangi waktu siklus (yaitu, responsivitas produksi dan pengembangan TI)

-          Ketersediaan layanan dan waktu respons

-          Jumlah staf yang terlatih dalam teknologi baru dan keterampilan layanan pelanggan

(18)

ORIENTASI TUJUAN BISNIS COBIT

COBIT ditujukan untuk mengatasi tujuan bisnis. Tujuan pengendalian membuat hubungan yang jelas dan berbeda untuk tujuan bisnis untuk mendukung penggunaan yang signifikan di luar komunitas assurance. Tujuan pengendalian ditentukan dengan cara yang berorientasi pada proses mengikuti prinsip rekayasa ulang bisnis. Pada domain yang teridentifikasi dan proses, tujuan kontrol tingkat tinggi diidentifikasi dan alasan diberikan untuk mendokumentasikan tautan ke tujuan bisnis. Selain itu, pertimbangan dan pedoman disediakan untuk mendefinisikan dan mengimplementasikan TI tujuan kontrol.
Klasifikasi domain di mana tujuan kontrol tingkat tinggi berlaku adalah indikasi kebutuhan bisnis untuk informasi dalam domain itu, serta sumber daya TI terutama dipengaruhi oleh tujuan pengendalian. Bersama-sama, mereka membentuk kerangka kerja COBIT.
(20)

 

CHAPTER 2 : COBIT COMPONENTS FOR IT PROCESS DS2

NAVIGASI KERANGKA COBIT

Kerangka kerja COBIT mendefinisikan 34 proses TI yang dibagi menjadi empat domain TI: Plan and Organize (PO), Acquire dan Implementasi (AI), Deliver and Support (DS), dan Monitor and Evaluate (M). Untuk masing-masing dari 34 ITproses, COBIT menyediakan tujuan pengendalian, praktik pengendalian, pedoman manajemen dan pedoman audit.

Sisa bab ini, yang berfokus pada pengelolaan layanan pihak ketiga, diatur sebagai berikut:

• Konsep dan pentingnya proses

• Tujuan pengendalian

• Praktek kontrol

• Pedoman audit

• Pedoman manajemen

• Pertanyaan tinjauan bab

Kerangka kerja COBIT telah terbatas pada kontrol tingkat tinggi tujuan dalam bentuk kebutuhan bisnis dalam TI tertentu proses, yang pencapaiannya dimungkinkan oleh kontrol pernyataan, yang pertimbangannya harus diberikan kepada kontrol yang berlaku. Tujuan pengendalian telah diatur oleh proses/aktivitas, tetapi alat bantu navigasi telah disediakan tidak hanya untuk memudahkan masuk dari satu sudut pandang, tetapi juga untuk memfasilitasi gabungan atau pendekatan global, seperti instalasi/implementasi proses, tanggung jawab manajemen global untuk suatu proses dan penggunaan sumber daya TI oleh suatu proses.Perlu juga dicatat bahwa tujuan pengendalian telah didefinisikan secara umum, yaitu, tidak tergantung pada teknis platform, sambil menerima kenyataan bahwa beberapa teknologi khusus lingkungan mungkin memerlukan cakupan terpisah untuk tujuan pengendalian.

(23)

KONSEP DAN PENTINGNYA DS2 MANAGE LAYANAN PIHAK KETIGA

Outsourcing layanan TI berarti bahwa entitas sekarang bergantung pada outsourcing vendor untuk mengelola operasi yang mungkin penting untuk model bisnisnya. Jadi, pengelolaan layanan pihak ketiga merupakan tugas penting bagi TI dan manajemen operasional di entitas yang layanan outsourcing kepada pihak ketiga.

COBIT mendefinisikan satu tujuan kontrol tingkat tinggi dan dari tiga hingga 30 tujuan kontrol terperinci untuk masing-masing
 
Tujuan pengendalian rinci menekankan pentingnya antarmuka pemasok yang terdokumentasi dan kepemilikan untuk mengelola kualitas hubungan dengan pihak ketiga. Kontak pihak ketiga dan kontrak outsourcing harus didefinisikan dengan jelas dan disepakati bersama, dan sebelum seleksi, pihak ketiga yang potensial harus melalui pemeriksaan kualitas untuk memastikan bahwa mereka dapat memberikan layanan yang dibutuhkan. Tentu saja, sistem yang diterapkan pada awal pengaturan outsourcing tidak dapat dipertahankan. Mereka mungkin tidak lagi cocok dengan dinamika bisnis yang berubah karena aktivitas entitas yang membuat kontrak merespons mengubah pasar.

(25)

PRAKTIK KONTROL UNTUK DS2 MENGELOLA LAYANAN PIHAK KETIGA

Praktik kontrol TI memperluas kemampuan COBIT dengan memberikan praktisi tingkat tambahan: rinci. Praktik kontrol TI memberikan lebih banyak merinci mengapa dan bagaimana dibutuhkan oleh manajemen, penyedia layanan, pengguna akhir, dan profesional kontrol untuk menerapkan kontrol yang sangat spesifik berdasarkan analisis risiko operasional dan TI.
Mengelola layanan pihak ketiga adalah penting untuk memfasilitasi komunikasi yang efektif dan efisien antar organisasi untuk membantu menjaga efektif pengiriman layanan.

(28)

 

 

PANDUAN AUDIT UNTUK DS2 MENGELOLA LAYANAN PIHAK KETIGA

Selain dan sesuai dengan masing-masing dari 34 tujuan pengendalian tingkat tinggi, COBIT menyediakan audit pedoman. Tujuan dari pedoman ini adalah untuk memungkinkan peninjauan proses TI terhadap yang direkomendasikan

Tujuan pengendalian yang rinci. Ini dapat membantu auditor TI untuk:

• Memberikan keyakinan yang memadai kepada manajemen bahwa tujuan pengendalian telah tercapai

• Buktikan risiko yang dihasilkan, di mana terdapat kelemahan pengendalian yang signifikan

• Sarankan manajemen tentang tindakan korektif

COBIT menerapkan struktur yang diterima secara umum untuk melakukan proses audit ini:

1. Memperoleh pemahaman tentang persyaratan bisnis, risiko terkait, dan tindakan pengendalian yang relevan dalam proses yang akan diaudit. Pemahaman menyeluruh tentang aktivitas yang mendasari tujuan pengendalian dan langkah-langkah dan prosedur pengendalian yang dinyatakan merupakan langkah pertama yang penting dalam proses audit.

2. Mengevaluasi kesesuaian pengendalian yang dinyatakan dalam proses TI. Kesesuaiannya dapat dinilai dengan mempertimbangkan kriteria yang teridentifikasi dan praktik terbaik industri, meninjau faktor penentu keberhasilan pengendalian mengukur dan menerapkan pertimbangan profesional auditor.

3. Menilai kepatuhan dengan menguji apakah kontrol yang disebutkan berfungsi seperti yang ditentukan, secara konsisten dan terus menerus

4. Substansi risiko tujuan pengendalian tidak terpenuhi dengan menggunakan teknik analitis dan/atau konsultasi sumber alternatif. Tujuannya adalah untuk memperjelas sifat risiko dengan, misalnya, mengejutkan manajemen ke dalam tindakan.

(30)

 

PANDUAN MANAJEMEN UNTUK DS2 MENGELOLA LAYANAN PIHAK KETIGA

COBIT awalnya dibuat dari perspektif kontrol dan audit, yang menjelaskan mengapa tujuan kontrol dan pedoman audit adalah komponen utama pertama dari kerangka kerja COBIT. Namun, ITGI mengidentifikasi meningkatnya kebutuhan manajemen untuk pengukuran TI. Untuk menjawab kebutuhan tersebut, pada tahun 2000 ITGI mengembangkan Pedoman manajemen COBIT dengan alat untuk menilai dan mengukur lingkungan TI organisasi di 34 TI proses. Pedoman pengelolaan ini mencakup model maturitas , CSF, KGI, dan KPI untuk masing-masing proses.
Saat melakukan penilaian kedewasaan ini, penting untuk mematuhi prinsip dasar pengukuran maturitas: seseorang dapat pindah ke maturitas yang lebih tinggi hanya jika semua kondisi yang dijelaskan dalam tingkat kematangan tertentu terpenuhi.
Model maturitas untuk mengelola layanan pihak ketiga, yang ditunjukkan pada gambar 20, menyatakan bahwa organisasi berada pada tingkat kematangan 1 untuk proses ini ketika manajemen menyadari kebutuhan untuk mendokumentasikan kebijakan dan prosedur untuk pengadaan layanan pihak ketiga dan kontrak yang ditandatangani, tetapi pengukuran layanan bersifat informal dan reaktif. Sebuah organisasi mencapai, misalnya, tingkat kedewasaan 4 ketika tanggung jawab untuk kontrak dan manajemen vendor ditetapkan dan ketika kriteria formal dan standar disediakan untuk mendefinisikan ruang lingkup pekerjaan, layanan yang akan diberikan, kiriman, dll. Sebaliknya, jika maturitas dinilai pada level 4, komite audit akan mencari perbaikan lebih lanjut tetapi secara bertahap dan terukur. Pedoman manajemen COBIT juga menyediakan faktor penentu keberhasilan, indikator sasaran utama, dan kinerja utama indikator yang dapat membantu ketika berjuang untuk tingkat kedewasaan tertentu, misalnya, mencapai kedewasaan dalam proses mengelola layanan pihak ketiga. Faktor penentu keberhasilan adalah elemen terpenting yang dapat ditargetkan organisasi untuk berkontribusi pada TI proses mencapai tujuannya.

(34)

 

TUJUAN KONTROL RINCI

2 KELOLA LAYANAN PIHAK KETIGA

1.      Antarmuka Pemasok

TUJUAN KONTROL

Manajemen harus memastikan bahwa semua pihak ketiga layanan penyedia diidentifikasi dengan benar dan antarmuka teknis dan organisasi dengan pemasok didokumentasikan.

2.      Hubungan Pemilik

TUJUAN KONTROL

Manajemen organisasi pelanggan harus menunjuk pemilik hubungan yang bertanggung jawab untuk memastikan kualitas hubungan dengan Pihak ketiga.

3.      Kontrak Pihak Ketiga

TUJUAN KONTROL

Manajemen harus menetapkan prosedur khusus untuk memastikan bahwa untuk setiap hubungan dengan penyedia layanan pihak ketiga terdapat kontrak formal  ditentukan dan disepakati sebelum pekerjaan dimulai.

4.      Kualifikasi Pihak Ketiga

TUJUAN KONTROL

Manajemen harus memastikan bahwa, sebelum seleksi, pihak ketiga yang potensial memenuhi syarat dengan benar melalui penilaian kemampuan mereka untuk memberikan layanan yang dibutuhkan (due diligence).

5.      Kontrak Outsourcing

TUJUAN KONTROL

Prosedur organisasi khusus harus ditetapkan untuk memastikan bahwa kontrak antara penyedia manajemen fasilitas dan organisasi didasarkan pada pemrosesan yang diperlukan tingkat, keamanan, pemantauan dan kontinjensi persyaratan, dan ketentuan lainnya sebagai sesuai.

6.      Kontinuitas Layanan

TUJUAN KONTROL

Dalam rangka menjamin kesinambungan pelayanan, manajemen harus mempertimbangkan risiko bisnis terkait kepada pihak ketiga dalam hal ketidakpastian hukum dan konsep kelangsungan hidup, dan bernegosiasi kontrak escrow jika sesuai.

7.      Hubungan Keamanan

TUJUAN KONTROL

Sehubungan dengan hubungan dengan pihak ketiga penyedia layanan, manajemen harus memastikan bahwa perjanjian keamanan (misalnya, kerahasiaan perjanjian) diidentifikasi dan dinyatakan secara eksplisit dan setuju untuk, dan sesuai dengan bisnis universal standar sesuai dengan hukum dan peraturan persyaratan, termasuk kewajiban.

8.      Pemantauan

TUJUAN KONTROLSebuah proses untuk memantau pemberian layanan dari pihak ketiga harus dibentuk oleh manajemen untuk memastikan kepatuhan yang berkelanjutan terhadap kontrak perjanjian.

(27)

Seperti yang telah ditunjukkan dalam contoh sebelumnya, ada hubungan sebab-akibat yang penting antara indikator kinerja utama dan indikator tujuan utama. KGI, seperti “jumlah kontraktor pihak ketiga yang tidak” memenuhi tujuan atau tingkat layanan,” tanpa KPI, seperti “jumlah dan frekuensi pertemuan tinjauan,” lakukan tidak mengomunikasikan bagaimana hasil harus dicapai; KPI tanpa KGI dapat menyebabkan investasi tanpa pengukuran yang tepat yang menunjukkan apakah strategi pihak ketiga yang dipilih efektif. Beberapa KPI, tentu saja, memiliki dampak yang lebih tinggi pada KGI tertentu dibandingkan dengan yang lain. Penting untuk mengidentifikasi KGI yang paling penting untuk lingkungan tertentu dan memantau dengan cermat KPI yang berkontribusi paling besar terhadapnya.

(37)

Comments

Post a Comment

Popular posts from this blog

Kegiatan Minggu Ke-8 KKN-T 15 Guwosari-Pringgading

-
Image
berikut ini adalah rangkaian kegiatan kami di minggu terakhir KKN 1. Membantu mengajar serta berpamitan dengan adik-adik dan para guru TK Al-Kahfi  Membantu proses pembelajaran merupakan salah satu program kerja utama KKN yang kami agendakan  ulai dari awal KKN sampai saat ini tanpa terasa sudah 2 bulan berlalu. Program ini kami jalankan berdasarkan survei dimana di pedukuhan pringgading ini masih kurang tenaga bantu pendidik untuk mendidik anak-anak.  selama kurang lebih 2 bulan kami membantu proses mengajar kami mendapatkan banyak penngalaman serta ilmu baru terkhusus kami diajarkan untuk tetap bersemangat dan bersabar serta menjadi pribadi yang penuh kasih sayang dan ceria oleh para guru TK AL-Kahfi kepada beliau yang kami sebutkan namanya satu per satu kami asangat mengucapkan banyak terimakasih untuk semua hal, terlebih karena sudah menerima kami, menyayangi kami, mengayomi kami dan untuk semua bahagia canda tawa selama mengajar TK, tak lupa kepada adik-adik TK Al-Ka...
Read more

MATERI 13 : STEGANOGRAFI

-
-          Steganography - > ilmu dan seni menyembunyikan pesan rahasia dengan suatu cara sedemikian sehingga tidak seorang pun yang mencurigai keberadaan pesan tersebut. Tujuan: pesan tidak terdeteksi keberadaannya -           Perbedaan Kriptografi dan Steganografi : ·          Kriptografi: menyembunyikan isi (content) pesan Tujuan: agar pesan tidak dapat dibaca oleh pihak ketiga (lawan) ·          Steganografi: menyembunyikan keberadaan (existence) pesan Tujuan: untuk menghindari kecurigaan (conspicuous) dari pihak ketiga (lawan) . -            Sejarah Steganografi ·          Usia steganografi setua usia kriptografi, dan sejarah keduanya berjalan bersamaan. ·          Periode sejarah s...
Read more

SISTEM INFORMASI INSTALASI GIZI DI RSUP DR. HASAN SADIKIN BANDUNG

-
REVIEW JURNAL SISTEM INFORMASI DI BIDANG KESEHATAN ·          Judul Jurnal                  : Sistem Informasi Instalasi Gizi di RSUP Dr. Hasan Sadikin Bandung ·          Penulis                          : Ade Jamaludin ·          Jumlah Halaman           : 9 ·          Tahun                            : - ·          Sumber Jurnal               : h...
Read more