IT Audit Standard Tools/Framework (Bagian I)

Sebenarnya dalam melaksanakan IT/IS Audit terdapat berbagai tools yang sudah siap digunakan saat ini. Tools tersebut dikembangkan dan distandarisasikan oleh berbagai badan di dunia.

Standard tools tersebut dikembangkan sebagai framework yang disusun berdasarkan best pratices dari hasil riset serta pengalaman bertahun-tahun dalam kegiatan audit TI. Framework tersebut tentunya mengalami penyempurnaan yang berkelanjutan sebagai upaya menciptakan standar yang semakin baik, efektif dan efisien.

Berikut ini adalah standard tools/framework yang banyak digunakan di dunia:

1. COBIT® (Control Objectives for Information and related Technology)
2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal Control—Integrated Framework
3. ISO/IEC 17799:2005 Code of Practice for Information Security Management
4. FIPS PUB 200
5. ISO/IEC TR 13335
6. ISO/IEC 15408:2005/Common Criteria/ITSEC
7. PRINCE2
8. PMBOK
9. TickIT
10. CMMI
11. TOGAF 8.1
12. IT Baseline Protection Manual
13. NIST 800-14

1. COBIT® (Control Objectives for Information and related Technology)

Disusun oleh Information Systems Audit and Control Foundation (ISACF®) pada tahun 1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information Technology Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada tahun 2007.
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.
Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali profesional.
Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants (CPAs) dan Chartered
Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley compliance.
Sertifikasi non COBIT yang merupakan pengakuan profesional auditor IT diterbitkan oleh ISACA, sebagai afiliasi ITGI yaitu Certified Information Systems Auditor (CISA®) dan Certified Information Security Manager® (CISM®).
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

• Effectiveness

Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.

• Efficiency

Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.

• Confidentiality

Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.

• Integrity

Menitikberatkan pada integritas data/informasi dalam sistem.

• Availability

Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.

• Compliance

Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.

• Reliability

Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.

Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:

• Applications
• Information
• Infrastructure
• People

Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-menengah (UKM) yang disebut COBIT Quickstart.

2. COSO (Committee of Sponsoring Organisations of the Treadway Commission) Internal Control—Integrated Framework

COSO adalah organisasi swasta yang menyusun Internal Control – Integrated Network bagi peningkatan kualitas penyampaian laporan keuangan dan pengawasan internal untuknya yang lebih efektif.
Tujuan dari penyusunan framework ini adalah peningkatan sistem pengawasan terpadu untuk pengendalian perusahaan/organisasi dalam beberapan langkah. Hal ini diarahkan untuk memberikan para pemegang kebijakan di organisasi dapat melakukan pengawasan internal dalam pelaksanaan tugas kepada para eksekutif, mencapai laba yang menguntungkan serta mengelola resiko-resiko yang timbul.
Internal Control – Integrated Framework yang disusun oleh COSO diterbitkan pertama kali pada tahun 1992 dan masih diperbarui hingga saat ini. Hingga saat ini COSO maupun organisasi lainnya tidak melakukan/menerbitkan sertifikasi keahlian/profesional bagi framework ini.
Lingkup kriteria informasi yang sering menjadi perhatian dalam Internal Control – Integrated Framework COSO adalah:

• Effectiveness
• Efficiency
• Confidentiality
• Integrity
• Availability
• Compliance
• Reliability

Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa komponen-komponen yang menjadi perhatian dalam Internal Control – Integrated Framework COSO identik dengan COBIT.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi pun dalam Internal Control – Integrated Framework COSO identik dengan COBIT.

3. ITIL (Information Technology Infrastructure Library)

Sebenarnya ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan framework/best practice bagi IT service management untuk menciptakan layanan teknologi informasi yang bermutu tinggi.
ITIL terdiri atas delapan buku berseri yang disusun dan diterbitkan oleh Central Computer and Telecommunications Agency (CCTA) yang sekarang dikenal sebagai the British Office of Government Commerce (OGC).
Delapan serial buku ITIL tersebut terdiri atas:

• Software Asset Management
• Service Support
• Service Delivery
• Planning to Implement Service Management
• ICT Infrastructure Management
• Application Management
• Security Management
• Business Perspective

British Standard (BS) 15000 adalah sertifikasi keahlian/profesional yang diterbitkan oleh Pemerintah Inggris untuk manajemen TI dimana ITIL dapat digunakan sebagai panduan dalam penetapan sertifikasi.
Sedangkan untuk pemusatan perhatian pada kebutuhan keamanan sistem diterbitkan sertifikasi BS 7799 yang berdasarkan pada bagian dari BS 15000.
Sertifikasi untuk IT service management terbagi atas tiga tingkat yaitu:

• Foundation certificate

Sertifikasi ini diberikan setelah menjalani kursus selama tiga hari dan lulus dari ujian tulis dengan model pilihan berganda. Sertifikat untuk tingkatan ini merupakan sertifikasi pertama dari tingkatan yang ada.

• Practitioner’s certificate

Untuk mencapai tingkatan ini diperlukan proses penilaian dan pengujian dengan mengikuti kursus, studi kasus serta ujian tulis dengan model pilihan berganda. Di tingkatan ini sertifikasi diberikan secara khusus pada bagian tertentu saja (spesialisasi).

• Manager’s certificate

Untuk memperoleh sertifikasi ini harus menempuh sepuluh hari pelatihan, akreditasi dari badan khusus serta lulus dari dua kali ujian tulis dalam model uraian.

Lingkup kriteria informasi yang sering menjadi perhatian dalam ITIL adalah:

• Effectiveness
• Efficiency
• Confidentiality
• Integrity
• Availability
• Compliance

Namun pada bagian kriteria informasi ini tidak terlalu terfokus seperti dalam COBIT.

Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam ITIL identik dengan COBIT.

4. ISO/IEC 17799:2005 Code of Practice for Information Security Management

ISO/IEC 17799:2005 Code of Practice for Information Security Management adalah standar internasional. Tujuan utama dari penyusunan standar ini adalah penerapan keamanan informasi dalam organisasi. Framework ini diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan (reliability) bagi keamanan informasi dalam hubungan antar organisasi.
Dalam framework ini didefinisikan 11 (sebelas) bagian besar yang dibagi dalam 132 (seratus tigapuluh dua) strategi kontrol keamanan. Standar ini lebih menekankan pada pentingnya manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi dapat memilih pada bagian-bagian yang terkait saja.
Edisi pertama dari ISO/IEC 17799:2005 Code of Practice for Information Security Management diterbitkan pada tahun 2000 dan edisi keduanya terbit pada tahun 2005.
Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for Information Security Management menjadi standar resmi ISO yang berdampak pada diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali.
Pada bulan April 2007, ISO memasukkan framework ini ke dalam ISO 2700x series, Information Security Management System sebagai ISO 27002. Standar tersebut dapat digolongkan dalam best practice termutakhir dalam lingkup sistem manajemen keamanan informasi.
Secara langsung tidak ada sertifikasi untuk ISO/IEC 17799:2005. Namun terdapat sertifikasi yang sesuai dengan ISO/IEC 27001 (BS 7799-2).
Pada standar ini terdapat perbedaan perhatian lingkup kriteria informasi dibandingkan dengan COBIT. Dimana dalam ISO/IEC 17799:2005 tidak memfokuskan pada effectiveness dan efficiency serta hanya memberikan sedikit perhatian pada reliability.
Sedangkan pada pengelolaan sumber daya TI dalam ISO/IEC 17799:2005 tidak terlalu memfokuskan pada infrastructure.

DAFTAR PUSTAKA

1. British Department of Trade and Industry (DTI), TickIT: Guide to Software Quality Management System Construction and
   Certification, UK, 1994
2. British Office of Government Commerce (OCG), [formerly the Central Computer and Telecommunications Agency (CCTA)],
   IT Infrastructure Library (ITIL), UK, 1989
3. British Office of Government Commerce, Managing Successful Projects with PRINCE2, UK, 2002, 2005
4. British Standards Institution, TickIT Guide Issue 5 Using IS0 9001:2000 for Software Quality Management Systems Construction,
   Certification and Continued Improvement, UK, 2001
5. Committee of Sponsoring Organisations of the Treadway Commission (COSO), Internal Control – Integrated Framework, USA, 1992
6. Computer Security Division of the National Institute of Standards and Technology, Minimum Security Requirements for Federal
   Information and Information Systems (FIPS PUB 200), Department of Commerce, USA, March 2006,
7. Computer Security Resource Center of the National Institute of Standards and Technology, An Introduction to Computer Security:
   The NIST Handbook, Special Publication 800-12, Department of Commerce, USA, 1995
8. Computer Security Resource Center of the National Institute of Standards and Technology, Generally Accepted Principles and Practices
   for Securing Information Technology Systems, Special Publication 800-14, Department of Commerce, USA, 1996
9. Common Criteria Project Sponsoring Organisation, Common Criteria for Information Technology Security Evaluation 2.0, 1999
10. Federal Office for Information Security (BSI), IT Baseline Protection Manual (IT BPM), Germany
    International Organisation for Standardisation, Code of Practice for Information Security Management, ISO/IEC 17799,
    Switzerland, 2005
11. International Organisation for Standardisation, Information Technology ”Guidelines for the Management of IT Security,
    ISO/IEC TR 13335, Switzerland, 1998, 2000, 2001, 2004
12. International Organisation for Standardisation, Quality Management and Quality Assurance Standards – Part 3: Guidelines for the
    Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance of Computer Software, ISO 9000-3,
    Switzerland, 1991
13. International Organisation for Standardisation, Quality Management Systems, ISO 9001, Switzerland, 2000
14. International Organisation for Standardisation, Security Techniques – Evaluation Criteria for IT Security, ISO/IEC 15408, Switzerland,
    2005
15. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
16. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
17. IT Governance Institute, COBIT 4.0, USA, 2005
18. IT Governance Institute, COBIT 4.1, USA, 2007
19. Paulk, M.C., et al; Capability Maturity Models for Software, CMU/SEI-93-TR-24, Carnegie Mellon University,
    Software Engineering Institute, USA, 1993
20. Project Management Institute, A Guide to the Project Management Body of Knowledge (PMBOK), 3rd Edition, 2004
21. Software Engineering Institute of Carnegie Mellon University, Capability Maturity Model Integration (CMMI), USA, 2002
22. The Open Group, The Open Group Architecture Framework (TOGAF) 8.1, 2003

Popularity: 18% [?]

Topik yang mungkin Terkait:

1. IT Audit Standard Tools/Framework (Bagian II)
2. IT Audit Standard Tools/Framework (Bagian III)
3. IT Audit Standard Tools/Framework (Bagian V)
4. IT Audit Standard Tools/Framework (Bagian IV)
5. Pemanfaatan IT: “Dilema Outsourcing atau Internal Development” Bagian 2
6. Penerapan IT Management Tools di Indonesia
7. Perlukah (Pentingkah) Audit Teknologi Informasi?
8. Anggaran TI (Information Technology Budgeting) Bagian I
9. Perbandingan Fokus Internal Control antara CoBIT, eSAC dan COSO
10. Anggaran TI (Information Technology Budgeting) Bagian IV
11. Anggaran TI (Information Technology Budgeting) Bagian V
12. Anggaran TI (Information Technology Budgeting) Bagian II
13. Anggaran TI (Information Technology Budgeting) Bagian III
14. Anggaran TI (Information Technology Budgeting) Bagian VI
15. SSL dan CA, Aspek Penting yang Sering Dilupakan Saat Membangun e-Commerce