Sabtu, 13 Mei 2017

PERBANDINGAN FRAMEWORK DARI COBIT, ISO/IEC 17799, DAN COSO

COBIT (Control Objectives for Information and related Technology)

COBIT Framework dikembangkan oleh IT Governance Institute, sebuah organisasi yang melakukan studi tentang model pengelolaan TI yang berbasis di Amerika Serikat. COBIT berorientasi pada bisnis dan di-design dan dikerjakan tidak hanya oleh user dan auditor, tetapi juga sebuah panduan kemprehensif bagi pihak manajemen maupun pemilik bisnis  proses  tersebut. COBIT   adalah kerangka bisnis untuk tata kelola dan manajemen perusahaan IT (IT goverrnance framework), dan juga kumpulan alat yang mendukung para manager untuk menjembatani jarak (gap) antara kebutuhan yang dikendalikan (control requirments), masalah teknis (technical issues) dan resiko bisnis (business risk). COBIT Framework terdiri atas 4 domain utama, yakni :
1)  Plan and organize. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan;
2)  Acquire and implement. Domain ini menitikberatkan pada proses pemilihan, pengadaan, dan penerapan teknologi informasi yang digunakan;
3)  Deliver and support. Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya;
4)   Monitor and evaluate. Domain ini menitikberatkan pada proses pengawasan dan mengevaluasi pengelolaan TI pada organisasi.

                                                               Gambar 1. Framework COBIT


      COBIT mempunyai model kematangan (maturity model) untuk mengontrol proses-proses TI, dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-existent sampai dengan optimized (dari 0 sampai 5). Maturity model ini akan memetakan :
1.      Current status dari organisasi, untuk melihat posisi organisasi saat ini;
2.      Current status dari kebanyakan industri saat ini, sebagai perbandingan;
3.      Current status dari standar internasional, sebagai perbandingan tambahan; dan
4.      Strategi organisasi dalam rangka perbaikan, level yang ingin dicapai oleh organisasi.

                                                                          Gambar 2. Model maturity COBIT

Keuntungan COBIT
a)      Lebih Efektif dan Efisien
b)      Berhubungan dengan informasi yang relevan dan informasi dikirim tepat waktu.
c)      Terintegritas
d)     Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi. 
e)      Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.

Kerugian  COBIT
a)      COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi
b)      Kerumitan dalam  penerapan.
c)      COBIT hanya berfokus pada kendali dan pengukuran.
d)     COBIT kurang dalam memberikan panduan keamanan

ISO/IEC 17799

ISO/IEC 17799 dikembangkan oleh The International Organization for Standardization (ISO) dan The International Electrotechnical Commission (IEC), dengan titel ”Information Technology - Code of Practice for Information Security Management”. ISO/IEC 17799 dirilis pertama kali pada bulan desember 2000. ISO/IEC 27002 merupakan sebuah seri penduan dan prinsip-prinsip yang berfungsi untuk menginisiasi, implementasi, pemeliharaan dan meningkatkan kinerja manajemen teknologi informasi dalam sebuah organisasi IT. ISO/IEC 1799 bertujuan memperkuat 3 elemen dasar keamanan informasi, yaitu
         1)    Confidentiality, memastikan bahwa informasi hanya dapat diakses oleh yang berhak
         2)    Integrity, menjaga akurasi dan selesainya informasi dan metode pemrosesan;
        3)    Availability, memastikan bahwa user yang terotorisasi mendapatkan akses kepada informasi      dan aset yang terhubung dengannya ketika memerlukannya.

ISO/IEC 17799 terdiri dari 10 domain, yaitu  :
1)      Security policy, memberikan panduan dan masukan pengelolaan dalam meningkatkan keamanan informasi;
2)      Organizational security, memfasilitasi pengelolaan keamanan informasi dalam organisasi;
3)      Asset classification and control, melakukan inventarisasi aset dan melindungi aset tersebut dengan efektif;
4)      Personnel security, meminimalisasi resiko human error, pencurian, pemalsuan atau penggunaan peralatan yang tidak selayaknya;
5)      Physical and environmental security, menghindarkan violation, deterioration atau disruption dari data yang dimiliki;
6)      Communications and operations management, memastikan penggunaan yang baik dan selayaknya dari alat-alat pemroses informasi;
7)      Access control, mengontrol akses informasi;
8)      Systems development and maintenance, memastikan bahwa keamanan telah terintegrasi dalam sistem informasi yang ada;
9)      Business continuity management, meminimalkan dampak dari terhentinya proses bisnis dan melindungi proses-proses perusahaan yang mendasar dari kegagalan dan kerusakan yang besar; serta
10)  Compliance, menghindarkan terjadinya tindakan pelanggaran atas hukum, kesepakatan atau kontrak, dan kebutuhan keamanan.

      Keuntungan ISO-17799
a)      Standar ini merupakan tanda kepercayaan dalam seluruh keamanan perusahaan. 
b)      Manajemen kebijakan terpusat dan prosedur.
c)      Menjamin layanan informasi yang tepat guna.
d)     Mengurangi biaya manajemen
e)      Dokumentasi yang lengkap atas segala perubahan/revisi.

Kerugian ISO_17799
a)    Memerlukan biaya yang mahal sehingga hanya dapat diaplikasikan dalam organisasi besar dengan struktur keuangan yang kuat.
b)     Tidak cocok di Indonesia karena kebanyakan memakai COSO dan COBIT.
c)    ISO/IEC 17799  tidak memfokuskan pada effectiveness dan efficiency serta hanya memberikan sedikit perhatian pada reliability.

COSO – Committee of Sponsoring Organization of the Treadway Commission

Sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan finansial mencakup etika bisnis, kontrol internal dan corporate governance. Komite ini didirikan pada tahun 1985 untuk mempelajari faktor-faktor yang menunjukkan ketidaksesuaian dalam laporan finansial.
Pada awal tahun 90-an, PricewaterhouseCouper bersama komite ini melakukan extensive study mengenai kontrol internal, yang menghasilkan COSO Framework yang digunakan untuk mengevaluasi efektifitas kontrol internal suatu perusahaan. Sejak itu, komunitas finansial global, termasuk badan-badan regulator seperti public accounting dan internal audit professions, telah mengadopsi COSO. Hal ini juga bernilai untuk perusahaan manapun yang ingin memastikan sistem kontrol internalnya dengan menggunakan standar internasional.
 Kerangka kerja COSO terdiri atas 3 dimensi, yaitu :
1) Pertama, komponen kontrol COSO. COSO mengidentifikasi 5 komponen kontrol yang diintegrasikan dan dijalankan dalam semua unit bisnis, dan akan membantu mencapai sasaran kontrol internal, yakni monitoring, information and communications, control activities, risk assessment, dan control environment.
2)     Kedua, sasaran kontrol internal. Sasaran kontrol internal dikategorikan menjadi beberapa area, yakni
1.  Operations, efisisensi dan efektifitas operasi dalam mencapai sasaran bisnis yang juga meliputi tujuan performansi dan keuntungan;
2.     Financial reporting, persiapan pelaporan anggaran finansial yang dapat dipercaya; dan
3.     Compliance, pemenuhan hukum dan aturan yang dapat dipercaya.
3)   Ketiga, unit/aktifitas terhadap organisasi. Dimensi ini mengidentifikasikan unit/aktifitas pada organisasi yang menghubungkan kontrol internal. Kontrol internal menyangkut keseluruhan organisasi dan semua bagian-bagiannya. Kontrol internal seharusnya diimplementasikan terhadap unit-unit dan aktifitas organisasi.

                   Gambar 3. framework coso


Keuntungan COSO
a)    CEO/CFO perusahaan Australia yang menjadi bagian SEC dan mungkin memerlukan layanan kantor pusat untuk beberapa tes
b)     Manajer kunci (biasanya dalan keuangan) dan auditor internal yang bekerja untuk organisasi di atasnya dan memerlukan bantuan informasi dari CEO/CFO, agar mereka dapat menerapkan standar Sarbanes-Oxley
c)   Manajer senior yang memerlukan kepastian organisasi, apakah telah memiliki sistem kontrol internal untuk menyediakan kemampuan memasarkan dan meningkatkan harga saham

Kerugian COSO
Peningkatana terhadap pengendalian menagement resiko dengan kerangka kerja yang sistimatis mengenai kepastian dokumen pelanggan

Perbedaan antara COSO, COBIT, dan ISO-17799

COSO
COBIT
ISO-17799
Fokus Pengguna
manajemen
manajemen, operator dan auditor sistem informasi.

 management       framework
Sudut Pandang
kesatuan beberapa proses secara umum
kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi


Tujuan yang ingin dicapai
pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku
pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang berlaku

untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. 
Komponen/domain
pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi
perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian
Kebijakan keamanan, organisasi keamanan, Perencanaan Kesinambungan Bisnis, Pengembangan system dan pemeliharaan, Keamanan Personil

Fokus Pengendalian
Dari eSAC keseluruhan entitas
sisi teknologi informasi
InformationTechnology, Information Security Management

Evaluasi Internal Control
seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu
seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan
keamanan informasi bersifat continually yaitu berlangsung terus selama perusahaan masih beroperasi dan perusahaan masih menerapkan standar pengendalian kontrol yang sama.

Pertanggungjawaban internal control
dari eSAC ditujukan kepada manajemen
Dari CoBIT ditujukan kepada manajemen.

Operations, finansial reporting, compliance

Perbandingan COBIT dengan ISO/IEC 17799

Tabel 1 menunjukkan bahwa ISO/IEC 17799 melakukan sebagian proses-proses pada seluruh domain COBIT.           
      Tabel 1. Matriks Proses COBIT vs Standar ISO/IEC 17799

Hal ini menunjukkan bahwa ISO/IEC 17799 mempunyai spektrum yang luas dalam hal pengelolaan TI sebagaimana halnya COBIT, namun ISO/IEC 17799 tidak sedalam COBIT dalam hal detail proses-proses yang dilakukan dalam domain-domain tersebut.

Perbandingan COBIT dengan COSO

Tabel 2 menunjukkan bahwa COSO melakukan sebagian proses di domain PO, AI, dan DS, namun tidak satupun proses pada domain ME dilakukan. Hal ini menunjukkan bahwa COSO fokus kepada proses penyelarasan TI dengan strategi perusahaan, dan sangat fokus dalam hal desain dan implementasi TI.
Tabel 2. Matriks Proses COBIT vs Standar COSO

Kesimpulan Perbandingan Model-model Standar Pengelolaan TI

Tabel 3 memperlihatkan bahwa model-model standar selain COBIT tidak mempunyai   range   spektrum  yang seluas COBIT. Model - model tersebut hanya melakukan sebagian dari proses-proses pengelolaan yang ada di dalam COBIT
Tabel 3. Matriks Domain COBIT vs  ISO/IEC 17799, dan COSO

COBIT mempunyai kompromi antara dimensi horisontal dan vertikal yang lebih baik dari standar-standar lainnya. COBIT mempunyai spektrum proses TI yang lebih luas dan lebih mendetail. Sedangkan COSO mempunyai detail yang dangkal, walaupun spektrum proses teknis dan operasionalnya cukup luas.