5.3 Penggunaan CoBIT untuk menilai pengendalian internalPenggunaan CoBIT ini dapat membantu auditor untuk menavigasi kerangka kerja COBIT yang diterbitkan dan menggunakannya untuk mengembangkan dan menilai pengendalian internal perusahaanBerdasarkan tiga dimensi kubus control COBIT ini , setiap proses TI harus dievaluasi melalui lima langkah:I Pengendalian atas apa ( nama proses )II Dapat memberikan kepuasan ( daftar kebutuhan bisnis )III Berfokus pada apa ( daftar tujuan TI penting )IV Dapat dicapai dengan apa ( daftar pernyataan kontrol)V Dan diukur dengan ( daftar kunci metrik )Proses lima langkah ini bisa dijalankan dari point I ke bawah serta bisa menjadi script untuk memahami kontrol yang mendukung setiap proses dalam perusahaan . Unsur penting di sini adalah mendefinisikan nomor IV agar mendukung setiap proses dan nomor V untuk identifikasi.kerangka COBIT mengatakan bahwa pengendalian proses apapun harus puas dengan daftar yang mendukung kebutuhan bisnis dan tujuan-tujuan bisnis serta harus fokus pada tujuan terpenting TI.

Langkah navigasi kerangka kerja CoBIT

Komponen tujuan pengendalian CoBIT terdiri dari 4 tujuan pengendalian tingkat tinggi yang tercermin dalam 4 domain, yaitu:a. Perencanaan dan pengorgaanisasianDomain ini meliputi taktik, strategi, dan memberikan perhatian tentang cara bagaimana IT dapat memberikan kontribusinya yang terbaik bagi pncapaian tujuan organisasi.Di domain ini cobit memiliki 10 level PO (planning and organizing):1. PO1 Tentukan rencana strategis .2. PO2 Menetapkan arsitektur informasi .3. PO3 Menentukan arah teknologi .4. PO4 Menetapkan proses TI , perusahaan , dan hubungan .5. PO5 Mengelola investasi TI .6. PO6 Mengkomunikasikan tujuan manajemen dan arah .7. PO7 Mengelola sumber daya manusia TI .8. PO8 Mengelola kualitas .9. PO9 Menilai dan mengelola risiko TI .10. PO10 Mengelola proyek Untuk setiap tujuan COBIT juga mengandung apa disebut diagram RACI . Diagram RACI adalah alat yang baik untuk mengidentifikasi peran dan tanggung jawab dalam suatu proses . Menggunakan spreadsheet , kegiatan diidentifikasi dalam sisi kolom dengan fungsi atau deskripsi posisi cells ke atas . Tanggung jawab untuk kegiatan tersebut diidentifikasi dalam perpotongan cell melalui satu atau beberapa inisial RACI :R = Bertanggung jawab , atau memiliki masalah atau proses .A = Akuntabel , atau yang harus menandatangani aktivitas sebelum berlaku efektif .C = Dikonsultasikan , atau yang memiliki informasi dan / atau kemampuan untuk menyelesaikankerja .

b. Akuisisi dan ImplementasiUntuk dapat mewujudkan strategi IT, kebutuhan atas solusi teknologi perlu diidentifikasi, dikembangkan sendiri atau dibeli dan harus bisa diimplementasikan serta diintegrasikan kedalam proses bisnis.. Domain ini umumnya menjawab pertanyaan manajemen sebagai berikut:AI1 Mengidentifikasi solusi otomatis. AI2 Memperoleh dan memelihara perangkat lunak aplikasi. AI3 Memperoleh dan memelihara infrastruktur teknologi. AI4 Mengaktifkan operasi dan menggunakan. AI5 pengadaan sumber daya TI. AI6 Mengelola perubahan. AI7 Instal dan akreditasi solusi dan perubahan

c. Pengiriman dan pendukungDomain ini memeberikan perhatian terhadap ketersediaan dari kebutuhan yang diinginkan, pengelolaan dari keamanan dan pelayanan bagi customer, pengelolaan ats data dan fasilitas operasional. Tujuan pengendalian COBIT DS adalah untuk meningkatkan proses bisnis . Keduanya baik CoBIT dan ITIL meliputi area yang penting dari apa yang dikenal sebagai manajemen layanan TI , proses yang diperlukan untuk memastikan operasional TI yang efisien. Domain ini umumya berisikan :DS1 Mendefinisikan dan mengelola tingkat layanan .DS2 Mengelola layanan pihak ketiga .DS3 Mengelola kinerja dan kapasitas .DS4 Pastikan layanan secara kontinu .DS5 Menjamin sistem keamanan .DS6 Mengidentifikasi dan mengalokasikan biaya .DS7 mendidik dan melatih users .DS8 Mengelola service desk dan insiden .DS9 Mengelola konfigurasi .DS10 Mengelola masalah .DS11 Mengelola data .DS12 Mengelola lingkungan fisik .DS13 Mengelola operasi .Tujuan pengendalian ini merupakan daerah yang penting dari operasional TI yang secara historissering belum mendapat perhatian yang cukup . COBIT merangkum bagaimana masing-masing tujuan pengendalian dicapai dan diukur dan mempertimbangkan hubungan dan saling ketergantungan di semua tiga sisi dari kubus COBIT .d. PengawasanSemua proses IT perlu dinilai secara teratur sepanjan waktu untuk dapat menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan oleh auditor internal maupun eksternal, atau dapat diperoleh dari sumber-sumber alternatif lainnya. Komponen domain ME memiliki empat tujuan pengendalian prinsip :ME1 pemantauan dan evaluasi kinerja TI .ME2 Memantau dan mengevaluasi pengendalian internal .ME3 Memastikan kepatuhan terhadap peraturan .ME4 Menyediakan tata kelola TI .

Daerah ini merupakan daerah kepentingan bagi auditor internal maupun anggotaperusahaan di luar operasional TI . Bahan pengendalian untuk ME2 pada pemantauan danmengevaluasi pengendalian internal adalah contoh yang baik dari kekuatan COBIT. Hal ini menyatakan bahwa proses monitoring dan evaluasi pengendalian internal dicapai dengan mendefinisikan sistem pengendalian TI yang tertanam dalam kerangka proses TI , dengan melakukan monitoring dan melaporkan efektivitas pengendalianl internal , dan dengan melaporkan pengecualian kepada manajemen untuk tindakan korektif . Ini benar-benar proses Deming PDCA , dan harus diukur dengan : Jumlah pelanggaran pengendalian intern jumlah inisiatif peningkatan pengendalian Jumlah dan cakupan pengendalian penilaian sendiriCOBIT Memantau dan Mengevaluasi Pengendalian Internal. Tujuan ini memiliki tujuh rincian yang mendukung tujua. COBIT berorientasi pada tinjauan internal terutama sumber daya area TI, pedoman ini penting bagi auditor internal dalam mereview dari semua pengendalian internal lainnya :ME2.1 Pemantauan Kerangka Pengendalian Intern . auditor internalharus terus memantau lingkungan pengendalian dan kerangka menggunakanindustri praktek terbaik dan benchmarking untuk meningkatkan lingkungan dan kerangka pengendalian.ME2.2 Ulasan Pengawas. Selain auditor ulasan , COBIT panggilan untukmanajemen untuk memantau dan melaporkan efektivitas pengendalian internal ITmelalui mereview pengawasan, termasuk kepatuhan terhadap kebijakan dan standar , keamanan informasi , pengendalian perubahan , dan pengendalian dibuat pada perjanjian tingkat-layanan .ME2.3 Kontrol Pengecualian . Mencatat informasi mengenai semua pengecualian kontroldan memastikan bahwa itu mengarah pada analisis penyebab yang mendasari hal tersebut serta tindakan korektif yang diperlukan. ME2.4 pengendalian penilaia- sendirii . Manajemen TI harus mengevaluasi kelengkapandan efektivitas pengendalian internal atas proses TI mereka melalui program berkelanjutan dari self-assessment.ME2.5 Jaminan Pengendalian Intern . IT harus mendapatkan sesuai kebutuhan , selanjutnyajaminan kelengkapan dan efektivitas pengendalian internal melaluiulasan pihak ketiga oleh fungsi kepatuhan perusahaan , audit internal ,konsultan luar , atau lembaga sertifikasi .ME2.6 Pengendalian Internal pada Pihak Ketiga . Menilai status masing-masing internal eksternal yang menyediakan pengendalian internal dan mengkonfirmasi bahwa mereka mematuhi hukum dan persyaratan peraturan dan kewajiban kontrak .