Kamis, 28 Desember 2017

RANGKUMAN MATERI AUDIT TEKNOLOGI SISTEM INFORMASI

COBIT (Control Objectives for Information and Related Technology) merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association (ISACA) dan IT Governance Institute (ITGI). COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. COBIT bermanfaat bagi manajemen untuk membantu menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi. Bagi user, ini menjadi sangat berguna untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga. Sedangkan bagi Auditor untuk mendukung atau memperkuat opini yang dihasilkan dan memberikan saran kepada manajemen atas pengendalian internal yang ada. COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam 4 buah domain proses, meliputi :

1)      Planning & Organization.
Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI  dengan strategi perusahaan, mencakup masalah strategi, taktik dan identifikasi tentang bagaimana TI dapat memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
2)      Acquisition & Implementation.
Domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses bisnis organisasi untuk mewujudkan strategi TI, juga meliputi perubahan dan maintenance yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga.
3)      Delivery & Support.
Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan.
4)      Monitoring and Evaluation.
Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan.

Kelebihan cobit yaitu, Efektif dan Efisien, Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna, Rahasia, Integritas, Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen. Sedangkan untuk Kekurangannya COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional.  Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu diadopsi berbagai framework tata kelola operasional seperti ITIL. Kerumitan penerapan, COBIT hanya berfokus pada kendali dan pengukuran.
Kesimpulannya dapat dikatakan bahwa COBIT merupakan sebuah model tata kelola TI yang memberikan sebuah arahan yang lengkap mulai dari sistem mutu, perencanaan, manajemen proyek, keamanan, pengembangan dan pengelolaan layanan. Arahan dari COBIT kemudian didetailkan kembali oleh beberapa model framework sesuai dengan perkembangan keilmuan.

Audit teknologi informasi (information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.

Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut, seperti Mengamankan Asset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya. Menjaga Integritas Data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Menjaga Efektifitas Sistem. Efisiensi jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan.

IT Forensik adalah cabang dari ilmu komputer tetapi menjurus ke bagian forensik yaitu berkaitan dengan bukti hukum yang ditemukan di komputer dan media penyimpanan digital. IT Forensik merupakan penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal. IT forensik dapat menjelaskan keadaan artefak digital terkini.

Tujuan IT Forensik yaitu, Mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi, Mengamankan dan menganalisa bukti digital. Alasan diperlukannya IT Forensik untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya untuk menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu lakukan, untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimasi kinerja, ataureverse-engineering.


Dalam IT Forensik, terdapat beberapa Tools atau peralatan yang umum digunakan pada IT Forensik seperti Antiword, Autopsy, Binhash, Sigtool, ChaosReader, Cchkrootkit, Ddcfldd, Ddrescue, Fforemost, Scalpel.

Selasa, 28 November 2017

AUDIT TEKNOLOGI SISTEM INFORMASI

IT FORENSIC

A.    Pengertian IT Forensic
IT Forensik adalah cabang dari ilmu komputer tetapi menjurus ke bagian forensik yaitu berkaitan dengan bukti hukum yang ditemukan di komputer dan media penyimpanan digital. Komputer forensik juga dikenal sebagai Digital Forensik yang terdiri dari aplikasi dari ilmu pengetahuan kepada indetifikasi, koleksi, analisa, dan pengujian dari bukti digital.
IT Forensik merupakan penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal. IT forensik dapat menjelaskan keadaan artefak digital terkini. Artefak Digital dapat mencakup sistem komputer, media penyimpanan (seperti hard disk atau CD-ROM, dokumen elektronik (misalnya pesan email atau gambar JPEG) atau bahkan paket-paket yang secara berurutan bergerak melalui jaringan. Bidang IT Forensik juga memiliki cabang-cabang di dalamnya seperti firewall forensik, forensik jaringan , database forensik, dan forensik perangkat mobile.

Pengertian IT Forensik Menurut Para Ahli
  • Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan dimedia komputer.
  • Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
  • Menurut Ruby Alamsyah (salah seorang ahli forensik IT Indonesia), digital forensik atau terkadang disebut komputer forensik adalah ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan.
Barang bukti digital tersebut termasuk handphone, notebook, server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa. Alasan mengapa menggunakan IT forensik, antara lain.
Dalam kasus hukum, teknik digital forensik sering digunakan untuk meneliti sistem komputer milik terdakwa (dalam perkara pidana) atau tergugat (dalam perkara perdata).
  • Memulihkan data dalam hal suatu hardware atau software mengalami kegagalan/kerusakan (failure).
  • Meneliti suatu sistem komputer setelah suatu pembongkaran/pembobolan, sebagai contoh untuk menentukan bagaimana penyerang memperoleh akses dan serangan apa yang dilakukan.
  • Mengumpulkan bukti menindak seorang karyawan yang ingin diberhentikan oleh suatu organisasi.
  • Memperoleh informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimisasi kinerja, atau membalikkan rancang-bangun.


     B.     Sejarah IT Forensik
Pada tahun 2002 diperkirakan terdapat sekitar 544 juta orang terkoneksi secara online. Meningkatnya populasi orang yang terkoneksi dengan internet akan menjadi peluang bagi munculnya kejahatan komputer dengan beragam variasi kejahatannya. Dalam hal ini terdapat sejumlah tendensi dari munculnya berbagai gejala kejahatan komputer, antara lain:
  1. Permasalahan finansial. Cybercrime adalah alternatif baru untuk mendapatkan uang. Perilaku semacam carding (pengambil alihan hak atas kartu kredit tanpa seijin pihak yang sebenarnya mempunyai otoritas), pengalihan rekening telepon dan fasilitas lainnya, ataupun perusahaan dalam bidang tertentu yang mempunyai kepentingan untuk menjatuhkan kompetitornya dalam perebutan market, adalah sebagian bentuk cybercrime dengan tendensi finansial.
  2. Adanya permasalahan terkait dengan persoalan politik, militer dan sentimen Nasionalisme.
  3. Salah satu contoh adalah adanya serangan hacker pada awal tahun 1990, terhadap pesawat pengebom paling rahasia Amerika yaitu Stealth Bomber. Teknologi tingkat tinggi yang terpasang pada pesawat tersebut telah menjadi lahan yang menarik untuk dijadikan ajang kompetisi antar negara dalam mengembangkan peralatan tempurnya.
  4. Faktor kepuasan pelaku, dalam hal ini terdapat permasalahan psikologis dari pelakunya.
  5. Terdapat kecenderungan bahwasanya seseorang dengan kemampuan yang tinggi dalam bidang penyusupan keamanan akan selalu tertantang untuk menerobos berbagai sistem keamanan yang ketat. Kepuasan batin lebih menjadi orientasi utama dibandingkan dengan tujuan finansial ataupun sifat sentimen.

“Elemen penting dalam penyelesaian masalah keamanan dan kejahatan dunia komputer adalah penggunaan sains dan teknologi itu sendiri. Dalam hal ini sains dan teknologi dapat digunakan oleh fihak berwenang seperti: penyelidik, kepolisian, dan kejaksaan untuk mengidentifikasi tersangka pelaku tindak criminal”.

“Bukti digital (Digital Evidence) merupakan salah satu perangkat vital dalam mengungkap tindak cybercrime. Dengan mendapatkan bukti-bukti yang memadai dalam sebuah tindak kejahatan, Bukti Digital yang dimaksud dapat berupa adalah : E-mail, file-file wordprocessors, spreadsheet, sourcecode dari perangkat lunak, Image, web browser, bookmark, cookies, Kalender”. Ada 4 elemen forensik, yaitu :
  1. Identifikasi bukti digital
  2. Penyimpanan bukti digital
  3. Analisa bukti digital
  4. Presentasi bukti digital

C.    Tujuan IT Forensik
  1. Mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum.
  2. Mengamankan dan menganalisa bukti digital. Dari data yang diperoleh melalui survey oleh FBI dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51% responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu :
  • Komputer fraud : Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
  • Komputer crime: kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.

D.    Alasan Penggunaan IT Forensik
  1. Dalam kasus hukum, teknik komputer forensik sering digunakan untuk menganalisis sistem komputer milik terdakwa (dalam kasus pidana) atau milik penggugat (dalam kasus perdata).
  2. Untuk memulihkan data jika terjadi kegagalan atau kesalahan hardware atau software.
  3. Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya untuk menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu lakukan.
  4. Untuk mengumpulkan bukti untuk melawan seorang karyawan yang ingin diberhentikan oleh organisasi.
  5. Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimasi kinerja, ataureverse-engineering.

E.     Tools Dalam IT Forensik
Dalam IT Forensik, terdapat beberapa tools atau peralatan yang umum digunakan. Tools yang dimaksud adalah :
- Antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
Autopsy
The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
Binhash
Binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
Sigtool
Sigtcol merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
Cchkrootkit
Chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
Ddcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
Ddrescue
GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
Fforemost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
Gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
Galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. Pada sistem t>MI-capable x86 atau sistem EFI.
Pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
Scalpel
Calpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.

    F.     Kegunaan Ilmu Forensik
Untuk dapat membuat terang suatu perkara dengan cara memeriksa dan menganalisa barang bukti mati, sehingga dengan ilmu forensik haruslah didapat berbagai informasi, yaitu :
  • Information on corpus delicti, dari pemeriksaan baik TKP maupun barang bukti dapat menjelaskan dan membuktikan bahwa telah terjadi suatu tindak pidana .
  • Information on modus operandi,  beberapa pelaku kejahatan mempunyai  cara – cara tersendiri dalam melakukan kejahatan dengan pemeriksaan barang bukti kaitannya dengan modus operandi sehingga dapat diharapkan siapa pelakunya .
  • Linking a suspect with a victim, pemeriksaan terhadap barang bukti di TKP ataupun korban dapat mengakibatkan keterlibatan tersangka dengan korban, karena dalam suatu tindak pidana pasti ada material dari tersangka yang tertinggal pada korban.
  • Linking a person to a crime scene, setelah terjadi tindak pidana banyak kemungkinan terjadi terhadap TKP maupun korban yang dilakukan oleh orang lain selain tersangka mengambil keuntungan.
  • Disproving or supporting a Witness ’s Testimony, pemeriksaan terhadap barang bukti dapat memberikan petunjuk apakah keterangan yang diberikan oleh tersangka ataupun saksi berbohong atau tidak.
  • Identification of a suspect, barang bukti terbaik yang dapat digunakan untuk mengindentifikasi seorang tersangka adalah sidik jari, karena sidik jari mempunyai sifat sangat karakteristik dan sangat individu bagi setiap orang.
  • Providing Investigative leads, pemeriksaan dari barang bukti dapat memberikan arah yang jelas dalam penyidikan.



Review Jurnal

Judul
Analisis Forensik Jaringan Studi Kasus Serangan SQL Injection pada Server Universitas Gadjah Mada
Jurnal
IT Forensic
Volume & Halaman
Vol.6 – (101-112)
Tahun
2012
Penulis
Resi Utami Putri
Reviewer
Trisna Hidayati
Tanggal
29 Nov 2017

Abstrak
Forensik jaringan merupakan ilmu keamanan komputer berkaitan dengan investigasi untuk menemukan sumber serangan pada jaringan berdasarkan bukti log, mengidentifikasi, menganalisis serta merekonstruksi ulang kejadian tersebut. Penelitian forensik jaringan dilakukan di Pusat Pelayanan Teknologi Informasi dan Komunikasi (PPTIK) Universitas Gadjah Mada. Metode yang digunakan adalah model proses forensik (The Forensic Process Model) sebuah model proses investigasi forensik digital, yang terdiri dari tahap pengkoleksian, pemeriksaan, analisis dan pelaporan. Penelitian dilakukan selama lima bulan dengan mengambil data dari Intrusion Detection System (IDS) Snort. Beberapa file log digabungkan menjadi satu file log, lalu data dibersihkan agar sesuai untuk penelitian. Berdasarkan hasil penelitian yang telah dilakukan, terdapat 68 IP address yang melakukan tindakan illegal SQL Injection pada server www.ugm.ac.id. Kebanyakan penyerang menggunakan tools SQL Injection yaitu Havij dan SQLMap sebagai tool otomatis untuk memanfaatkan celah keamanan pada suatu website. Selain itu, ada yang menggunakan skrip Python yaitu berasal dari benua Eropa yaitu di Romania.
Pengantar
Network forensics (forensik jaringan) adalah kegiatan menangkap, mencatat dan menganalisis kejadian pada jaringan untuk menemukan sumber serangan keamanan atau masalah kejadian lainnya [1]. Kekuatan dari forensik adalah memungkinkan analisis dan mendapatkan kembali fakta dan kejadian dari lingkungan, karena fakta mungkin saja tersembunyi. Berbeda dari forensik pada umumnya, forensik komputer adalah kegiatan mengumpulkan dan menganalisis data dari berbagai sumber daya komputer [2]. Log yang berasal dari komputer (forensik komputer) adalah log antivirus, log database atau log dari aplikasi yang digunakan. Forensik jaringan merupakan bagian dari forensik digital, dimana bukti ditangkap dari jaringan dan di interpretasikan berdasarkan pengetahuan dari serangan jaringan
Pembahasan
Pada bagian pembahasan, penulis menjelaskan cukup detail dengan melampirkan gambar presentase serta menjelaskan beberapa teknik parsing yang digunakan.

Dalam pokok bahasan diatas penlis menjelaskan dengan rinci bagaimana penelitian tersebut dilaksanakan, mengunakan metode yang telah disebutkan. Pembahasan yang dilakukan penulis mudah dipahami maksud dan tujuannya oleh pembaca
simpulan
Pada bagian kesimpulan penulis menjaelaskan bahwa Sistem forensik jaringan yang dirancang merupakan sebuah alat untuk menganalisis bukti dari file log. Sistem forensik jaringan diletakkan pada server forensik jaringan yang terhubung dengan core switch PPTIK dan memiliki IP statik 10.13.253.36. Sistem tersebut terdiri dari skrip parsing pcap, skrip port scanning dan skrip untuk merubah file log ke database.
Kelebihan Penelitian
  •  Algoritma parsing digunakan dengan langkah  yang cukup rinci
  •    Melakukan evaluasi atau percobaan dengan beberapa parsing
Kekurangan Penelitian

  •   Penggunaan alat yang masih kurang, tidak menggunakan skrip seperti perl dan phyton



Sabtu, 28 Oktober 2017

AUDIT TEKNOLOGI SISTEM INFORMASI

Pengertian  
Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. 


Sejarah singkat
Audit IT yang pada awalnya lebih dikenal sebagai EDP Audit (Electronic Data Processing) telah mengalami perkembangan yang pesat. Perkembangan Audit IT ini didorong oleh kemajuan teknologi dalam sistem keuangan, meningkatnya kebutuhan akan kontrol IT, dan pengaruh dari komputer itu sendiri untuk menyelesaikan tugas penting. Pemanfaatan teknologi komputer ke dalam sistem keuangan telah mengubah cara kerja sistem keuangan, yaitu dalam penyimpanan data, pengambilan kembali data, dan pengendalian. Sistem keuangan pertama yang menggunakan teknologi komputer muncul pertama kali tahun 1954. Selama periode 1954 sampai dengan 1960-an profesi audit masih menggunakan komputer. Pada pertengahan 1960-an terjadi perubahan pada mesin komputer, dari mainframe menjadi komputer yang lebih kecil dan murah. Pada tahun 1968, American Institute of Certified Public Accountants (AICPA) ikut mendukung pengembangan EDP auditing. Sekitar periode ini pula para auditor bersama-sama mendirikan Electronic Data Processing Auditors Association (EDPAA). Tujuan lembaga ini adalah untuk membuat suatu tuntunan, prosedur, dan standar bagi audit EDP. Pada tahun 1977, edisi pertama Control Objectives diluncurkan. Publikasi ini kemudian dikenal sebagai Control Objectives for Information and Related Technology (CobiT). Tahun 1994, EDPAA mengubah namanya menjadi Information System Audit (ISACA). Selama periode akhir 1960-an sampai saat ini teknologi TI telah berubah dengan cepat dari mikrokomputer dan jaringan ke internet. Pada akhirnya perubahan-perubahan tersebut ikut pula menentukan perubahan pada audit IT.


Tujuan Audit Sistem Informasi
Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi:

  • Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
  • Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
  • Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
  • Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap.
  • Data sumber yang tidak akurat. atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
  • File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
Sedangkan tujuan dari  Audit Sistem informasi yaitu :

  • Mengamankan Asset
Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.
  • Menjaga Integritas Data
Integritas data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.

Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.

  • Menjaga Efektifitas Sistem
Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user), apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user. Auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan.

  • Efisiensi
Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.


Jenis Audit IT
1. Sistem dan aplikasi.
Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
2. Fasilitas pemrosesan informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
3. Pengembangan sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
4. Arsitektur perusahaan dan manajemen TI.
Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.
5. Client/Server, telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.

Alasan Mengapa Audit TI Diperlukan
Tidak dapat dipungkiri bahwa, saat ini, tingkat ketergantungan dunia usaha dan sektor usaha lainnya, termasuk badan-badan pemerintahan, terhadap teknologi informasi (TI) semakin lama semakin tinggi. Pemanfaatan TI di satu sisi dapat meningkatkan keunggulan kompetitif suatu organisasi, akan tetapi di sisi lain juga memungkinkan timbulnya risiko-risiko yang sebelumnya tidak pernah ada. Besarnya risiko yang mungkin muncul akibat penerapan TI di suatu perusahaan membuat audit TI sangat penting untuk dilakukan.
Ron Weber, Dekan Fakultas Teknologi Informasi, Monash University , dalam salah satu bukunya: Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa audit TI perlu dilakukan, antara lain:

  • Kerugian akibat kehilangan data
  • Kesalahan dalam pengambilan keputusan
  • Risiko kebocoran data
  • Penyalahgunaan Komputer
  • Kerugian akibat kesalahan proses perhitungan
  • Tingginya nilai investasi perangkat keras dan perangkat lunak computer
Pendekatan Audit SI/TI
1.    Auditing Around The Computer
Pendekatan ini merupakan pendekatan yang mula-mula ditempuh oleh auditor. Dengan pendekatan ini komputer yang digunakan oleh perusahaan diperlakukan sebagai Black Box. Asumsi yang digunakan dalam pendekatan ini adalah bila sampel output dari suatu sistem ternyata benar berdasarkan masukan sistem tadi, maka pemrosesannya tentunya dapat diandalkan. Dalam pemeriksaan dengan pendekatan ini, auditor melakukan pemeriksaan di sekitar komputer saja.
2. Auditing With The Computer
Pendekatan ini digunakan untuk mengotomatisati banyak kegiatan audit. Auditor memanfaatkan komputer sebagai alat bantu dalam melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini menggunakan perangkat lunak Generalized Audit Software, yaitu program audit yang berlaku umum untuk berbagai klien.

3. Auditing Through The Computer
Pendekatan ini lebih menekankan pada langkah pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang dengan baik dan memiliki aspek pengendalian yang memadai, maka kesalahan dan penyimpangan kemungkinan besar tidak terjadi. Pendekatan ini biasanya diterapkan pada sistem pengolahan data on-line yang tidak memberikan jejak audit yang memadai.

Referensi :
http://kaliskinanti.blogspot.co.id/2017/10/audit-teknologi-informasi.html

Kamis, 19 Oktober 2017

AUDIT TEKNOLOGI SISTEM INFROMASI

COBIT


1.      PENGERTIAN COBIT
COBIT (Control Objectives for Information and Related Technology) merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1992.
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010). COBIT Framework adalah standar kontrol yang umum terhadap teknologi informasi, dengan memberikan kerangka kerja dan kontrol terhadap teknologi informasi yang dapat diterima dan diterapkan secara internasional.
COBIT bermanfaat bagi manajemen untuk membantu menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi. Bagi user, ini menjadi sangat berguna untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga. Sedangkan bagi Auditor untuk mendukung atau memperkuat opini yang dihasilkan dan memberikan saran kepada manajemen atas pengendalian internal yang ada.

2.      SEJARAH COBIT
COBIT pertama kali diterbitkan pada tahun 1996, kemudian edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 dan COBIT 4.0 pada tahun 2005. Kemudian COBIT 4.1 dirilis pada tahun 2007 dan saat ini COBIT yang terakhir dirilis adalah COBIT 5.0 yang dirilis pada tahun 2012.
COBIT merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan yang dilengkapi dengan balance scorecard dan dapat digunakan sebagai acuan model (seperti COSO) dan disejajarkan dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.

3.      KRITERIA INFORMASI BERDASARKAN COBIT
Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:
·   Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.
·      Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.
·     Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.
·   Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.
·   Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.
·      Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.
·    Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.


4.      CAKUPAN DOMAIN COBIT


1. Perencanaan dan Organisasi (Plan and organise)
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.

2. Pengadaan dan implementasi (Acquirwand implement)
identifikasi solusi TI dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis untuk mewujudkan strategi TI. 

3. Pengantaran dan dukungan (Deliver and Support)
Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.

4. Pengawasan dan evaluasi (Monitor and Evaluate)
Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.   

5.      MANFAAT DAN PENGGUNA COBIT
Secara manajerial target pengguna COBIT dan manfaatnya adalah :
·         Direktur dan Eksekutif
Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan sejalan dengan TI.
·         Manajemen
-          Untuk mengambil keputusan investasi TI.
-          Untuk keseimbangan resiko dan kontrol investasi.
-          Untuk benchmark lingkungan TI sekarang dan masa depan.
·         Pengguna
Untuk memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal.
·         Auditors
-          Untuk memperkuat opini untuk manajemen dalam control internal.
-          Untuk memberikan saran pada control minimum yang diperlukan.
Dalam menyediakan informasi yang dibutuhkan perusahaan untuk mencapai tujuan organisasi, COBIT memiliki karakteristik :
-          Business-focused
-          Process-oriented
-          Controls-based
-          Measurement-driven
COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam 4 buah domain proses, meliputi :

1)      Planning & Organization.
Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI   dengan strategi perusahaan, mencakup masalah strategi, taktik dan identifikasi tentang bagaimana TI dapat memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula. Domain ini mencakup :
-          PO1 – Menentukan rencana strategis
-          PO2 – Menentukan arsitektur informasi
-          PO3 – Menentukan arah teknologi
-          PO4 – Menentukan proses TI, organisasi dan hubungannya
-          PO5 – Mengelola investasi TI
-          PO6 – Mengkomunikasikan tujuan dan arahan manajemen
-          PO7 – Mengelola sumber daya manusia
-          PO8 – Mengelola kualitas
-          PO9 – Menilai dan mengelola resiko TI
-          PO10 – Mengelola proyek

2)      Acquisition & Implementation.
Domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses bisnis organisasi untuk mewujudkan strategi TI, juga meliputi perubahan dan maintenance yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga. Domain ini meliputi:
-          AI1 – Mengidentifikasi solusi yang dapat diotomatisasi.
-          AI2 – Mendapatkan dan maintenance software aplikasi.
-          AI3 – Mendapatkan dan maintenance infrastuktur teknologi
-          AI4 – Mengaktifkan operasi dan penggunaan
-          AI5 – Pengadaan sumber daya IT.
-          AI6 – Mengelola perubahan
-          AI7 – Instalasi dan akreditasi solusi dan perubahan.

3)      Delivery & Support.
Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan. Domain ini meliputi :
-          DS1 – Menentukan dan mengelola tingkat layanan.
-          DS2 – Mengelola layanan dari pihak ketiga
-          DS3 – Mengelola performa dan kapasitas.
-          DS4 – Menjamin layanan yang berkelanjutan
-          DS5 – Menjamin keamanan sistem.
-          DS6 – Mengidentifikasi dan mengalokasikan dana.
-          DS7 – Mendidik dan melatih pengguna
-          DS8 – Mengelola service desk dan insiden.
-          DS9 – Mengelola konfigurasi.
-          DS10 – Mengelola permasalahan.
-          DS11 – Mengelola data
-          DS12 – Mengelola lingkungan fisik
-          DS13 – Mengelola operasi.

4)      Monitoring and Evaluation.
Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan. Domain ini meliputi:
-          ME1 – Mengawasi dan mengevaluasi performansi TI.
-          ME2 – Mengevaluasi dan mengawasi kontrol internal
-          ME3 – Menjamin kesesuaian dengan kebutuhan eksternal.
-          ME4 – Menyediakan IT Governance.


Kelebihan COBIT
  •      Efektif dan Efisien
  •      Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik     mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.
  •      Rahasia
  •      Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.
  •    Integritas
  •      Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi.
  •      Ketersediaan
  •     Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.
  •     Kepatuhan Nyata
  •     Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen.


Kekurangan COBIT
  • COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional.  Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu diadopsi berbagai framework tata kelola operasional seperti ITIL (The Information Technology Infrastructure Library) yang merupakan sebuah kerangka pengelolaan layanan TI yang terbagi ke dalam proses dan fungsi.
  • Kerumitan penerapan.  Apakah semua control objective dan detailed control objective harus diadopsi, ataukah hanya sebagian saja? Bagaimana memilihnya?
  • COBIT hanya berfokus pada kendali dan pengukuran.
  • COBIT kurang dalam memberikan panduan keamanan namun memberikan wawasan umum atas proses TI pada organisasi daripada ITIL misalnya.

6.      VERSI COBIT
• Versi 1
• Versi 2
• Versi 3.0
• Versi 4.0
• Versi 4.1
• Versi 5

COBIT 4 DAN COBIT 5
COBIT 4.0
Cobit 4.0 memberikan fokus bisnis yang cukup kuat untuk mengatasi tanggung jawab para direktur dan pegawai. Cobit 4.0 menandai pembaharuan pertama dari isi cobit sejak dirilisnya edisi cobit ketiga di tahun 2000. Edisi pertama diterbitkan di tahun 1994. Studi kasus pelaksanaan Cobit di organisasi interasional utama misalnya Unisys, Sun microsystems dan DPR Amerika juga terdapat di cobit case studies.
“Cobit 4.0 tidak kelihatan seperti sebuah buku akademik. Ada materi yang cukup berguna pada setiap halaman”, ujar Christoper Fox, ACA. “Cobit 4.0 mampu menjadi sebuah dokumen yang sangat bermanfaat”. Cobit 4.0 juga mencakup bimbingan bagi para direktur dan semua level manajemen dan terdiri dari empat seksi :
-          Gambaran luas mengenai eksekutif
-          Kerangka Kerja
-          Isi utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan)
-          Appendiks (pemetaan, ajuan silang dan daftar kata-kata)

Fungsi lainnya :
  • Menganalisa bagaimana tujuan pengendalian dapat dipetakan ke dalam lima wilayah penentuan IT agar dapat mengidentifikasi gap potensial.
  • Menyesuaikan dan memetakan cobit ke standar yang lain (ITIL, CMM, COSO, PMBOK, ISF dan ISO 17799)
  •  Mengklarifikasikan indikator tujuan utama (KGI) dan indikator hubungan kinerja utama (KPI), dengan mengenal bagaimana KPI dapat bergerak mencapai KGI.
  • Menghubungkan tujuan bisnis, IT dan proses IT (penelitian mendalam di delapan industri dengan pandangan yang lebih jelas tentang bagaimana proses Cobit mendukung tercapainya tujuan IT spesifik dan dengan perluasan, tujuan bisnis).

Cobit 4.0 bisa menggantikan komponen edisi ketiga yang menyangkut ringkasan eksekutif, kerangka kerja, tujuan pengontrolan dan petunjuk manajemen. Pekerjaan sedang dilakukan agar bisa mengatasi petunjuk audit.

COBIT 4.1
COBIT versi 4.1 adalah model standarpengelolaan IT yang telah mendapatkanpengakuan secara luas, dikembangkan olehInformation Technology Governance Institute(ITGI) dari Information System Audit andControl Association (ISACA).
Menurut IT Governance Institute, 2007,menyatakan bahwa pada versi 4.1 ini diuraikan good practices, domain-domain dan proses kerangka kerja (framework) TI yang ada.

COBIT 5
COBIT 5 adalah kerangka bisnis untuk tata kelola dan manajemen perusahaan IT (IT gevornance framework), dan juga kumpulan alat yang mendukung para manager untuk menjembatani jarak (gap) antara kebutuhan yang dikendalikan (control requirments), masalah teknis (technical issues) dan resiko bisnis (business risk). COBIT 5 adalah evolusi dari framework sebelumnya yakni, COBIT 4.1 yang ditambah dengan Val IT 2.0 dan Risk IT. COBIT 5 didasarkan pada lima prinsip utama untuk tata kelola dan manajemen perusahaan TI.
-          Prinsip 1
Pemenuhan Kebutuhan Stakeholder Setiap perusahaan mempunyai visi dan misi yang berbeda
-          Prinsip 2
Meliputi Enterprise End-to-End Menganggap semua tata kelola dan manajemen TI enabler untuk perusahaan
-          Prinsip 3
Menerapkan Singel Framework yangTerpaduCOBIT 5 dapat menyesuaikan dengan tatakelola dan manajemen TI pada perusahan
-          Prinsip 4
Mengaktifkan Pendekatan HolistikCOBIT 5 mendefinisikan satu set enabler untukmendukung pelaksanaan tata kelola yangkomprehensif dan sistem manajemen TI untukperusahaan
-          Prinsip 5
Memisahkan Tata Kelola dari Manajemen Kerangka COBIT 5 membuat perbedaan yang jelasantara tata kelola dan manajemen. Tata kelola pada sebagian besar perusahaan merupakan tanggung jawab dari dewan direksi yang dipimpin oleh pemilik Manajemen merupakan tanggung jawab semua manajer eksekutif yang dipimpin oleh direkturoperasional dalam menjalankan operasional kerja.

Perbedaan COBIT 4.1 dengan COBIT 5
-        Prinsip baru dalam tata kelola TI untukorganisasi, Governance of Enterprise IT (GEIT).
-     COBIT 5 memberi penekanan lebih kepada Enabler.Walaupun sebenarnya COBIT 4.1 juga menyebutkan adanyaenabler-enabler, hanya saja COBIT 4.1 tidak menyebutnyadengan enabler. Sementara COBIT 5 menyebutkan secaraspesifik ada 7 enabler dalam implementasinya.
-  COBIT 5 mendefinisikan model referensi prosesyang baru dengan tambahan domain governance danbeberapa proses baik yang sama sekali baru ataupunmodifikasi proses lama serta mencakup aktifitas organisasisecara end-to-end.
-    DalamCobiT 5 terdapat proses-proses baru yang sebelumnyabelum ada di CobiT 4.1, serta beberapa modifikasi padaproses-proses yang sudah ada sebelumnya di CobiT 4.1.Secara sederhana dapat dikatakan bahwa model referensiproses CobiT 5 ini sebenarnya mengintegrasikan kontenCobiT 4.1, Risk IT dan Val IT. Sehingga proses-proses padaCobiT 5 ini lebih holistik, lengkap dan mencakup aktifitasbisnis dan IT secara end-to-end.

KESIMPULAN
  • COBIT mengatur masalah tujuan yang harus dicapai oleh sebuah organisasi dalam memberikan layanan TI, sedangkan ITIL merupakan best practice cara-cara pengelolaan TI untuk mencapai tujuan organisasi. Sehingga dapat dikatakan bahwa COBIT dan ITIL merupakan dua pendekatan dalam tata kelola TI dan tata kelola layanan teknologi informasi yang saling melengkapi.
  • Secara umum dapat dikatakan bahwa COBIT merupakan sebuah model tata kelola TI yang memberikan sebuah arahan yang lengkap mulai dari sistem mutu, perencanaan, manajemen proyek, keamanan, pengembangan dan pengelolaan layanan. Arahan dari COBIT kemudian didetailkan kembali oleh beberapa model framework sesuai dengan perkembangan keilmuan.


CONTOH KASUS 
Domain  : Pengadaan dan implementasi (Acquirwand implement)
Kasus     : Implementasi COBIT Pada Kerja Praktek di ”PT. TRANSINDO JAYA KOMARA”

PT. Transindo Jaya Komara
KOPERASI LANGIT BIRU yang sebelumnya dikenal dengan PT. Transindo Jaya Komara (PT. TJK) dengan Akte Notaris H. Feby Rubein Hidayat SH No. AHU. 0006152.AH.01.09. Tahun 2011 adalah perusahaan konvensional yang sudah berdiri 2 tahun dan bergerak khusus mengelola daging sapi dan air  mineral.
Saat ini KOPERASI LANGIT BIRU telah memiliki 62 suplayer pemotongan dan pendistribusian daging sapi serta pusat pendistribusian air mineral SAFWA. Adalah Ustad Jaya Komara sebagai Direktur utama memiliki pengalaman 16 Tahun dalam pengelolaan daging sapi. Ustad yang selalu berpenampilan sederhana dan apa adanya ini memiliki visi misi besar untuk kesejahteraan bersama khususnya Umat Islam. Untuk mengembangkan usahanya ini Ustad jaya Komara pada awalnya hanya menggandeng masyarakat sekitar saja untuk ikut serta menikmati keuntungan hasil usaha daging sapinya.
Berawal dari pandanganya terhadap strata kehidupan masyarakat Indonesia dimana yang kaya makin kaya dan yang miskin tetap miskin. Maka tercetuslah ide kreatif untuk pengembangan usahanya dengan mengikutsertakan masyarakat pada umumnya. Pada awalnya hanya diadakan arisan daging untuk masyarakat sekitar saja, yang hasilnya dibagikan tiap lebaran haji baik berupa keuntungan berupa uang dan daging sapi itu sendiri, hal ini sudah dilakukan oleh ustad jaya komara sebelum KOPERASI LANGIT BIRU resmi berdiri.
Berkaitan dengan pertimbangan diatas, perlu adanya suatu metode untuk mengelola IT. Dalam hal ini, metode COBIT perlu diterapkan dalam pengelolaan perusahaan agar pengguna IT sesuai dengan kebutuhan perusahaan dan menghasilkan kinerja yang efisien dan efektif serta mencegah atau meminimalisir adanya resiko terhadap penggunaan IT. Dalam hal ini saya mencoba merancang penerapan COBIT pada PT. Transindo Jaya Komara.

Analisis Permasalahan
-      Pada PT. Transindo Jaya Komara sudah memiliki prosedur pengelolaan teknologi informasi yang dijalankan, tetapi faktanya prosedur tersebut tidak sepenuhnya dijalankan, sehingga user biasanya melakukan secara manual.
-       Mengetahui berbagai kendala dalam pengelolaan teknologi informasi yang dijalankan.
-   Perusahaan menginginkan adanya suatu evaluasi tata kelola teknologi informasi untuk peningkatan mutu perusahaan .
-        Pengolahan Data

·         PO 1 Merencanakan rencana strategis IT
Pada PT. Transindo Jaya Komara sudah mengetahui akan rencana strategis TI, meski kenyataannya pelaksanaannya sering diabaikan. Pendokumentasian belum terstruktur dengan jelas. Dan hanya diketahui oleh beberapa pegawai yang berkepentingan saja. Update dari rencana strategis TI merupakan respon dari permintaan pihak perusahaan dan juga berdasarkan perubahan kondisi yang ada. Keputusan-keputusan stategis yang diambil hanya berdasarkan pada masalah yang ada dalam proyek yang dilaksanakan, belum berdasarkan rencana strategis TI yang telah ditetapkan secara konsisten.

Tetapi pada perusahaan ini sudah adanya solusi TI yang dibuat untuk menghadapi masalah yang ada. Penyampaian kepada konsumen juga sudah dilakukan, hanya belum berjalan dengan maksimal. Penyampaian kepada konsumen dilakukan secara online, dengan website yang diberikan perusahaan. Seperti adanya rencana strategis dalam pemanfataan TI pada perusahaan ini yakni :
-          Solusi menyeluruh untuk industri perdagangan dan investasi
-          Solusi TI menyeluruh dengan nilai yang luar biasa
-          Solusi TI menyeluruh dengan kompetensi yang tinggi

·         PO 2 Arsitektur Informasi
Belum semua instansi memiliki sistem informasi dan sistem informasi yang dikembangkan belum terintegrasi.

·         PO 3 Arah Teknologi
Teknologi yang digunakan belum begitu canggih karena sarana dan prasarana belum memadai.

·         PO 4 Organisasi TI dan hubungan
Sudah ada sebuah organisasi yang jelas dan secara khusus menangani bidang IT, tetapi belum bekerja secara maksimal.

·         PO 5 Investasi TI
Belum adanya rancangan anggaran TI yang menyeluruh. Alokasi anggaran yang terbatas.

·         PO6 Komunikasi tujuan dan arah manajemen
Masih lemahnya koordinasi pembagian produk produk. Hal ini menyebabkan koordinasi koperasi kurang efektif dan antrian yang semakin panjang.

·         PO 7 Manage SDM
Penempatan SDM yang tidak tepat dan pembagian tugas yang tidak jelas. Pengelolaan sumber daya yang belum optimal baik di tingkat teknis operasional maupun manajerial.

·         PO 8 Kesesuaian dengan external requirement
Kurangnya kesiapan dalam antisipasi (change of management) baik terhadap perkembangan teknologi informasi dan komunikasi maupun terhadap tuntutan masyarakat (globalisasi).

·         PO 9 Menilai Resiko TI
Di PT. Transindo Jaya Komara sudah adanya  kebijakan akan manajemen resiko, karena sebagian besar pelaksanaan kegiatan bisnis di Departemen TI di perusahaan ini sudah memanfaatkan teknologi 100 %. Manajemen resiko dilakukan sesuai dengan proses yang telah ditentukan perusahaan, namun belum ada standart khusus untuk mengatur kebijakan manajemen resiko tersebut. Tetapi manajemen resiko pada perusahaan ini belum disosialisasikan kepada seluruh pegawai, jadi hanya pihak terkait atau manager yang mengaturnya dan menjalankannya. Apabila terjadi kesalahan manajer yang memberitahukan secara manual kepada pegawainya.

Proses kelonggaran/mitigasi yang diberikan terhadap resiko proyek, baik proyek baru atau lama semuanya diperiksa oleh manager, tetapi masih belum konsisten karena tidak adanya standart khusus untuk proses tersebut.

·         PO 10 Manajemen Proyek
Pada perusahaan ini, menajemen untuk proyek telah memenuhi kebutuhan user. User disini ialah pegawai, manager, pimpinan dan stakeholders lainnya. Namun, proses pedokumentasian belum berjalan dengan baik serta pengembangan dan penggunaan teknik juga belum dilaksanakan dengan baik. Serta aplikasi dari penerapan management proyek tergantung pada kebijakan dari manager.

·         PO 11 Manajemen kualitas
Kurangnya tenaga ahli yang mampu mengawasi kualitas TI dan rendahnya penghargaan terhadap SDM TI terampil mempengaruhi kualitas sistem dan pengembangan TI.

Kesimpulan Dari Kasus
Metode cobit perlu diterapkan pada PT Transindo Jaya Komara, hal ini berdasarkan atas kelemahan-kelemahan yang telah diuraikan pada bagian sebelumnya. Dengan diterapkannya metode cobit diharapkan kinerja PT Transindo Jaya Komara dapat lebih baik dan terorganisir sehingga visi dan misi perusahaan dapat tercapai dan juga dapat memberikan kenyamanan dan keamanan bagi investor koperasi, pemegang saham dan pemerintah.


Referensi :