PENGENDALIAN INTERNAL LAIN KERANGKA : CobiT

PENGENDALIAN INTERNAL LAIN

KERANGKA : CobiT

            SOx tidak memandatkan agar penggunaan  ketat  pada Kerangka COSO tetapi hanya untuk pemanfaatanNya, memahami dan mengevaluasipengendalian internal . Beberapa profesional telah menyatakan keprihatinan tentang COSO internkerangka kontrol dan mengkritik itu terutama karena tidak memberikancukup penekanan pada teknologi informasi ( TI ) alat dan proses .

            Sebuah kerangka pengendalian internal yang lebih berorientasi IT , yang disebut tujuan untukControl objectives forinformation and related T echnology (CobiT),CobiT framework merpakan  pengendalian internal menyediakanpedoman evaluasi dan memahami pengendalian internal , dengan penekananpada sumber daya TI perusahaan .

            Meskipun awalnya diluncurkan sebagai alat untuk membantu apa yang pernah disebut "komputerauditor " (spesialis auditor internal dan eksternal yang merewiew IT )terkait internal kontrol , COBIT adalah alat yang berguna untuk mengevaluasi semua kontrol internal disuatu perusahaan sebagai tambahan disamping telah adanya internal control yang diterbitkan oleh COSO.

5.1  Pengantar CobiT

            CobiT merupakan kerangka pengendalian internal penting yang dapat berdiri sendiri tetapi merupakan bagian penting sebagai  alat untuk mendokumentasikan dan memahami COSO dan SOx.
 Standar dan kerangka kerja CobiT diterbtkan dan diperbaharui secara berkala olehIT Governance Institute ( ITGI , www.itgi.org ) dan berafiliasi erat dengan  organisasi profesional , Information Systems Audit and Control Association (ISACA). ISACA lebih fokus pada audit IT sementara penekanan ITGI adalah pada proses penelitian dan pemerintahan.

            Electronic Data Processing Auditor’s Association (EDPAA) mulai mengembangkan pedoman profesional audit IT sesaat setelah pembentukannya . CobiTframework sering digambarkan sebagai pentagonmeliputi lima bidang luas dan saling kontrol internal  sbb :

Ø  Keselarasan strategis , Ini termasuk membangun hubunganantara operasi bisnis perusahaan dan rencana IT serta proses untukmendefinisikan , memelihara , dan memvalidasi hubungan kualitas dan nilai.

Ø  Nilai pengiriman, memastikan bahwa TI dan unit operasi lainnyamemberikan manfaat yang dijanjikan di seluruh siklus pengiriman dan denganStrategi yang mengoptimalkan biaya sementara menekankan nilai-nilai intrinsik dari IT dan kegiatan yang berhubungan

Ø  Manajemen risiko, Manajemen  di semua tingkatan , harus memiliki pemahaman yang jelas
akan risiko suatu perusahaan, syarat kepatuhan,  dampak risiko yang signifikan .

Ø  Pengelolaan sumber daya,  Dengan penekanan pada TI , harus ada optimalinvestasi , dan pengelolaan yang baik , sumber daya kritis TI, aplikasi,informasi, infrastruktur , dan orang-orang . ITgovernance yang efektif tergantung padaoptimasi pengetahuan dan infrastruktur.

Ø  Pengukuran kinerja , melacak dan memantauimplementasi strategi , penyelesaian proyek , penggunaan sumber daya , proses  kinerja,dan pelayanan . Mekanisme tata kelola TI harus menerjemahkan implementasistrategi ke dalam tindakan dan pengukuran untuk mencapai tujuan.

            CobiT frameworkadalah alat yang efektif untuk mendokumentasikanIT dan semua kontrol internal lainnya

           
5.2 Kerangka COBIT

            Proses TI dan aplikasi software pendukungnya serta perangkat kerasnyamerupakankomponen kunci pada perusahaan dewasa ini. ITtidak bisa dan tentu saja tidak harus memberitahu tentang operasi bisnis jenis apa terkait proses dan sistem TI yang sebaiknya diterapkan, bamun  IT memberikan informasi agarmembantu dalam hal pengamblan keputusan bisnis.

            Bab 3 telah menggambarkan kerangka COSO pengendalian internal dan pentingnyadalam mendefinisikan SOx pengendalian internal . Internal auditor mungkin mengatakan : " Saya mengerti danmenggunakan COSO internal kontrol. Namun, mengapa digunakan framework lain ? " Jawabannya adalah bahwaCOBIT memberikan pendekatan alternatif untuk mendefinisikan dan menggambarkan kontrol internal yang lebih menekankan IT daripada COSO kerangka pengendalian internal murni.

            IT governance adalah kunci konsep COBIT, sebelum SOx , tidak kuatditekankan sebagai  unsur COBIT.

Bagian berikutnya menjelaskan tentang kerangka COBIT dan alasan mengapa penting untuk memahami pengendalian internal SOx danmeningkatkan tata kelola TI.

a)      Komponen kubus COBIT : Sumber Daya IT

            Sumber Daya IT (IT Resources) tiga sisi dimensi COBIT kubus mewakili semua dariaset TI perusahaan itu, termasuk orang-orangnya, sistem aplikasi, teknologi yang digunakan,fasilitas, dan nilai data. Sisi darikubus merupakan hal yg sangat enting untuk diperhatikan terhadap semua sumber daya yang diperlukan untuk operasi darisumber daya IT perusahaan. Baik secara individu maupun sebagai kelompok, sumber daya ini harusdipertimbangkan ketika mengevaluasi kontrol dalam lingkungan TI, dan hal tersebut dapat diidentifikasi sebagai :

Ø  Aplikasi yang terdiri dari sistem pengguna otomatis dan prosedur manualuntuk memproses informasi

Ø   Informasi , termasuk input, output , dan olah data , untuk digunakan dalam proses bisnis

Ø  Teknologi dan fasilitas komponen infrastruktur termasuk perangkat keras, operasisistem, database, jaringan, dan lingkungan lokasi mendukungmereka

Ø  Personil kunci dan khusus untuk merencanakan, mengatur, memperoleh, menerapkan,mendukung,memantau, dan mengevaluasi layanan TI

b)      Komponen kubus COBIT

                        I.     PROSES IT, Dimensi kedua dan menghadap ke depan dari kubus  COBIT merepresentasikanIT Proses dan terdiri dari tiga segmen : domain , proses , dan kegiatan.Domain adalah pengelompokan proses TI yang  sesuai dengan area-area pertanggungjawaban dalam organisasi; COBIT mendefinisikan empat bidang domain yang spesifik :

1.      Perencanaan dan enterprise . Daerah domain ini meliputi strategi dan taktik yangmemungkinkan TI untuk berkontribusi terbaik dan mendukung tujuan bisnis perusahaan

2.      Akuisisi dan implementasi . Solusi TI perlu diidentifikasi , dikembangkan
atau diakui, kemudian keduanya diimplementasikan dan terintegrasikan dengan proses bisnis

3.      Pengiriman dan dukungan . Daerah domain ini meliputi actual delivery terhadap layanan yg diperlukan

4.      Pemantauan dan evaluasi . Daerah ini mencakup proses kontrol, termasuk
kualitas dan pemantauan kepatuhan , serta evaluasi prosedur audit internal dan eksternal

            Bahan deskriptif COBIT menggambarkan masing-masing domain daerah secara lebih rinci :

Ø  Tentukan rencana strategis TI .

Ø  Menentukan arsitektur informasi .

Ø  Menentukan arah teknologi .

Ø  Tentukan perusahaan TI dan hubungan .

Ø  Mengelola investasi TI .

Ø  Komunikasikan tujuan manajemen dan arah .

Ø  Mengelola sumber daya manusia.

Ø  Memastikan kepatuhan terhadap persyaratan eksternal .

Ø  Menilai risiko .

Ø  Mengelola proyek .

Ø  Mengelola kualitas .

                     II.            PERSYARATAN USAHA, Dimensi ketiga dari kubus COBIT digambarkan
sebagai Kebutuhan Bisnis . Its tujuh komponen harus dipertimbangkan untuk semua
kebutuhan bisnis dengan pertimbangan pemberian sumber daya yang diperlukan danproses TI :

1.      Efektivitas

2.      Efisiensi

3.      Kerahasiaan

4.      Integritas

5.      Tersedianya

6.      Pemenuhan

7.      Keandalan

     Semua sistem TI secara keseluruhan harus dievaluasi berdasarkan pada tujuh bidang tersebut. The kubus  COBIT menyajikan cara yang efektif untuk memahami hubungan antarakebutuhan bisnis , proses TI , dan sumber daya TI.Sifat tiga dimensimodel menekankan hubungan dan saling ketergantungan antara
bisnis dan proses TI. Dalam dunia IT yang bersifat dependen, ini adalah cara yang berguna bagi internalauditor untuk melihat dan memahami pengendalian internal.

5.3 Menggunakan COBIT untuk Menilai PengendalianIntern

          Berdasarkan ini kontrol tiga dimensi kubus COBIT, maka setiap proses TI harus dievaluasi melalui lima langkah navigasi sbb :

                        I.     Pengendalian atas apa ? ( nama proses )

                     II.     Memuaskan apa ? ( daftar kebutuhan bisnis )

                  III.     Dengan berfokus pada ? ( daftar tujuan TI penting )

                  IV.     Dicapai dengan ? ( daftar pernyataan kontrol)

                     V.     Dan diukur dengan ( daftar metrik kunci )

      

       Proses lima langkah ini bisa dimulai dari nomor teratas atau juga bisa dimulai dari tingkat dasardan menavigasi ke atas . disamping itu, hal ini bisa menjadi script untuk memahami kontrol yang mendukungsetiap proses dalam perusahaan .

       Setiap tujuan kontrol utama dalam COBIT didasarkan pada kerangka navigasi ITGI ditunjukkan dalam Exhibit 5.4. Sudut kiri atas pameran yang menunjukkan kebutuhan bisnis.Semakin rendah sudut kanan daftar daerah sumber daya TI. Pojok kiri menunjukkan diagram pentagon yang sama ditunjukkan pada Exhibit 5.1. Berikut bagian berbayang atau ditandai jika mereka penting primer atau sekunder

(a) Perencanaan dan Enterprise

       COBIT atau dikenal sebagai tingkat tinggi dari proses yang mengatur arah sebuah perusahaan dan sumber daya IT. Untuk ini, COBIT memiliki 10 Planning dan Organizing (PO) yang didefinisikan dengan cara ini:

PO1     Menentukan rencana strategis.

PO2     Menentukan gambaran informasi.

PO3     Menentukan arah teknologi.

PO4     Mendefinisikan proses TI, perusahaan, dan hubungan.

PO5     Mengelola investasi TI.

PO6     Komunikasikan tujuan manajemen dan arah.

PO7     Mengelola sumber daya manusia TI.

PO8     Mengelola kualitas.

PO9     Menilai dan mengelola risiko TI.

            PO10   Mengelola proyek.

       Konsep pada level yang cukup tinggi, COBIT jauh lebih spesifik. Misalnya, dengan menggunakan ini tujuan kontrol PO1 pada mendefinisikan rencana strategis, COBIT kemudian menjelaskan enam tujuan yang lebih rinci pada PO1:

PO1.1  Manajemen nilai TI.

PO1.2  Keselarasan Bisnis-IT.

PO1.3  Penilaian kinerja saat ini.

PO1.4  IT rencana strategis.

PO1.5  IT rencana taktis.

            PO1.6  Manajemen portofolio TI.

       Penomoran ini penting, karena COBIT diterbitkan dari referensi masing-masing dan dan sebagai tujuan  dalam hal input dan output mereka. Bahan COBIT diterbitkan memberikan gambaran tingkat tinggi untuk masing-masing sasarannya. Sebagai contoh, tujuan PO1.4 pada rencana strategis menyatakan:

“Membuat rencana strategis dapat didefinisikan bahwa, dalam kerjasama dengan para pemangku kepentingan yang relevan, TI harus memberikan kontribusi untuk tujuan strategis perusahaan itu (gol) dan biaya terkait dan risiko pengedaliannya. Ini mencakup bagaimana TI akan mendukung program investasi dan pelayanan operasional. Ini mendefinisikan bagaimana tujuan akan bertemu dan diukur dan akan diterima secara formal dari para pemangku kepentingan. Rencana strategis TI harus mencakup investasi / biaya operasional, sumber pendanaan, strategi sourcing, strategi akuisisi, dan persyaratan hukum dan peraturan.”

       Pada paragraph ini merupakan contoh salah satu dari banyak tujuan pengendalian dalam COBIT.Disini tidak memberitahu profesional bagaimana menulis sebuah rencana strategis IT tapi memberikan bimbingan yang sangat baik tentang bagaimana membangun rencana tersebut, tidak peduli ukuran atau status dari perusahaan.Ini tujuan umum dan alat yang baik untuk auditor internal untuk membangun kriteria kajian di bidang ini.

       Untuk setiap tujuan COBIT, bahan bimbingan juga mengandung apa yang disebut diagram RACI. Sebuah alat yang berevolusi dari inisiatif kualitas pada tahun 1960, grafik RACI adalah alat yang baik untuk mengidentifikasi peran dan tanggung jawab proses.. Tanggung jawab untuk kegiatan tersebut diidentifikasi dalam berpotongan sel melalui satu atau beberapa inisial RACI:

R = Responsible, atau memiliki masalah atau proses.

A = Akuntabel, atau yang harus menandatangani aktivitas sebelum efektif.

C = Consulted , atau yang memiliki informasi dan / atau kemampuan untuk menyelesaikan

kerja.

I = Informed, atau yang harus diberitahu tentang hasil tetapi tidak perlu dikonsultasikan.

(b) Akuisisi dan Implementasi

Setiap tujuan pengendalian tingkat tinggi COBIT membahas prosedur pengendalian dalam format umum yang sama.

A11                 Mengidentifikasi solusi otomatis.

A12                 Memperoleh dan memelihara perangkat lunak aplikasi.

A13                 Memperoleh dan memelihara infrastruktur teknologi.

A14                 Aktifkan operasi dan digunakan.

A15                 Pengadaan sumber daya TI.

A16                 Mengelola perubahan.

A17                 Instal dan akreditasi solusi dan perubahan.

       Masing-masing tujuan rinci diatas meliputi prosedur kontrol atas  pelaksanaan alat-alat baru. Sementara penekanannya pada software IT. Namun, Ruang tidak memungkinkan diskusi lengkap masing-masing tujuan kontrol, tapi kami akan diperiksa AI6 pada pengelolaan perubahan sebagai contoh bagaimana COBIT menguraikan daerah kontrol ini. Misalnya, sebelumnya kita diuraikan proses lima langkah COBIT untuk mengevaluasi tujuan pengendalian. AI6 tujuan untuk mengelola perubahan mengikuti proses lima langkah yang sama:

I. Kontrol atas Proses TI mengelola perubahan

II. Yang memenuhi kebutuhan bisnis untuk TI menanggapi kebutuhan bisnis yang selaras dengan strategi bisnis, sekaligus mengurangi solusi dan cacat pengiriman dan pengerjaan ulang

III. Dengan berfokus pada pengendalian penilaian dampak, otorisasi, dan pelaksanaan semua perubahan pada infrastruktur TI, aplikasi, dan solusi teknis, meminimalkan kesalahan karena permintaan spesifikasi lengkap dan implementasi penghentian perubahan tidak sah

IV. Dapat dicapai dengan  Mendefinisikan dan mengkomunikasikan prosedur perubahan, termasuk perubahan darurat Menilai, memprioritaskan, dan otorisasi perubahan Status Pelacakan dan pelaporan tentang perubahan

V. Dan diukur dengan  Jumlah gangguan atau kesalahan data yang disebabkan oleh spesifikasi yang tidak akurat atau tidak lengkap Application penilaian dampak atau ulang infrastruktur akibat tidak memadai spesifikasi Persen perubahan perubahan yang mengikuti perubahan internal mengontrol proses.

(c) Pengiriman dan Dukungan

       Setelah format umum yang sama, tujuan tingkat tinggi ketiga control COBIT adalah Pengiriman dan dukungan (DS). Tujuan pengendalian ini terutama mencakup isu-isu manajemen pelayanan berkaitan dengan tujuan proses bisnis ITIL.Ini benar-benar menyoroti beberapa perubahan pemahaman kita tentang internal kontrol yang telah berkembang sejak diberlakukannya SOx pada tahun 2002. Kedua COBIT dan ITIL adalah dengan kami pada waktu itu, tetapi SOx Pasal 404 penekanan pada pengendalian internal yang efektif telah membawa hal-hal bersama-sama. Tujuan pengendalian COBIT DS mirip dengan kontrol

internal ITIL untuk meningkatkan proses bisnis. Keduanya menutupi area penting dari apa yang dikenal sebagai manajemen layanan TI, proses yang diperlukan untuk memastikan operasional TI yang efisien dan untuk memberikan layanan ini.

Ada kebutuhan untuk pelayanan yang efisien dan masalah  proses manajemen untuk melaporkan dan mengatasi hal-hal tersebut. The COBIT DS control  Tujuan mencakup banyak segmen-segmen penting:

DS1     Mendefinisikan dan mengelola tingkat layanan.

DS2     Mengelola layanan pihak ketiga.

DS3     Mengelola kinerja dan kapasitas.

DS4     Pastikan layanan secara kontinu.

DS5     Pastikan sistem keamanan.

DS6     Mengidentifikasi dan mengalokasikan biaya.

DS7     Mendidik dan melatih pengguna.

DS8     Mengelola service desk dan insiden.

DS9     Mengelola konfigurasi.

DS10   Mengelola masalah.

DS11   Mengelola data.

DS12   Mengelola lingkungan fisik.

DS13   Mengelola operasi.

(d) Monitoring dan Evaluasi

Selanjutnya, COBIT keempat disebut Monitoring dan Evaluasi (ME). tujuan pengendalian yang menekankan COBIT sebagai proses loop tertutup yang secara efektif tidak pernah berakhir. COBIT panggilan untuk menetapkan langkah-langkah dasar untuk memungkinkan suatu perusahaan untuk mengukur bagaimana kinerja mereka dan memberikan mereka kesempatan di masa mendatang. Segmen ini meliputi bidang-bidang jaminan kualitas yang secara tradisional telah lebih umum untuk manufaktur dan operasi lainnya .

            Untuk proses bisnis yang akan dianalisis dan diukur dalam mengidentifikasi berbagai sumber yang menyebabkan produk yang diberikan berbeda dengan yang diinginkan pelanggan. Deming mengusulkan bahwa umpan balik proses bisnis harus dilakukan terus menerus sehingga manajer dapat mengidentifikasi dan mengubah bagian dari proses yang membutuhkan perbaikan.

            Deming disebut ini sebagai siklus Plan, Do, Check Act (PDCA), berikut adalah langkah-langkahnya:

Langkah 1. Rencana: Desain atau merevisi proses bisnis untuk meningkatkan hasil.

Langkah 2. Lakukan: Melaksanakan untuk merencanakan dan mengukur kinerjanya.

Langkah 3. Periksa: Menilai pengukuran dan melaporkan hasilnya

Langkah 4. Act: Tentukan perubahan yang diperlukan untuk meningkatkan hasil.

            Bahan kontrol untuk ME2 (Monitor and evaluate internal controls) pada pemantauan dan evaluasi pengendalian internal adalah contoh yang baik dari kekuatan COBIT itu sendiri. Ini menyatakan bahwa proses monitoring dan evaluasi pengendalian internal dicapai dengan mendefinisikan sistem kontrol TI yang terdapat didalam kerangka proses TI, dengan memantau dan melaporkan efektivitas kontrol internal, dan dengan melaporkan pengecualian kepada manajemen untuk tindakan korektif.

            Penilaian diri sendiri atas Pengendalian mengacu pada proses tinjauan internal yang sedang berlangsung pada kelengkapan dan efektivitas pengendalian internal seseorang. Hal itu adalah proses audit internal yang sangat penting untuk diperhatikan. Terdapat tujuh tujuan Pemantauan dan Mengevaluasi Pengendalian Internal COBIT :

Pemantauan ME2.1 Kerangka Pengendalian Intern . Auditor Internal harus terus memantau kerangka lingkungan pengendalian dan menggunakan industri praktek terbaik dan benchmarking untuk meningkatkan lingkungan pengendalian dan kerangka .

Ulasan Pengawas ME2.2. Selain ulasan auditor, COBIT memantau dan melaporkan efektivitas pengendalian internal IT melalui review pengawasan, termasuk kepatuhan terhadap kebijakan dan standar, keamanan informasi, kontrol perubahan, dan kontrol didirikan pada perjanjian tingkat layanan .

ME2.3 Kontrol Pengecualian. Mencatat informasi mengenai semua pengecualian kontrol dan memastikan bahwa hal itu mengarah pada analisis penyebab dan tindakan korektif . Manajemen harus memutuskan yang mana pengecualian yang harus dikomunikasikan kepada individu yang bertanggung jawab untuk fungsi dan  pengecualian pengendalian mana yang harus ditingkatkan.

ME2.4 Control Self - Assessment. Manajemen TI harus mengevaluasi kelengkapan dan efektivitas pengendalian internal atas proses TI mereka melalui program berkelanjutan dari self-assessment.

ME2.5 Jaminan Pengendalian Intern. IT harus mendapatkan , sesuai kebutuhan, kepastian lebih lanjut dari kelengkapan dan efektivitas pengendalian internal melalui review pihak ketiga oleh fungsi kepatuhan perusahaan , audit internal , konsultan luar , atau lembaga sertifikasi .

ME2.6 Pengendalian Internal pada Pihak Ketiga. Menilai status pengendalian internal masing-masing penyedia eksternal internal dan memastikan bahwa mereka mematuhi persyaratan hukum dan peraturan dan kewajiban kontrak .

ME2.7 Tindakan Remedial. Mengidentifikasi dan melakukan tindakan perbaikan berdasarkan kontrol penilaian dan pelaporan. Ini termasuk tindak lanjut dari semua penilaian termasuk : ( 1 ) review, negosiasi , dan pembentukan manajemen tanggapan , (2 ) pembagian tanggung jawab untuk perbaikan atau penerimaan risiko; dan ( 3 ) melacak hasil dari tindakan yang diambil.

5.4 Using CobiT in a SOx Environment

            Banyak perusahaan mengadopsi COBIT, dengan penekanan berat pada tingkat tinggi pengendalian internal berorientasi IT, sebagai kerangka pengendalian internal pilihan. COBIT adalah kerangka penilaian pengendalian internal alternatif yang kuat, khususnya di lingkungan dengan konsentrasi pada proses TI dan sumber daya. Tujuan utama COBIT, dari Perencanaan Perusahaan untuk Monitoring dan Evaluasi, dapat digunakan untuk memahami dan mengevaluasi pengendalian internal melalui lima komponen pengendalian internal COSO.

            Dengan SOx, meningkatkan penekanan pada tata kelola TI, dan pengakuannya dalam kebanyakan keputusan pengendalian internal COBIT telah melalui beberapa revisi. COBIT yang mendukung IT pada Institusi Pemerintah melakukan pekerjaan yang sangat baik dengan merilis publikasi yang memetakan kerangka kerja COBIT ke standar-standar lainnya. Rincian tujuan pengendalian COBIT mengikat untuk masing-masing komponen COSO. Ada hubungan yang erat antara tujuan COBIT dan Pengendalian COSO serta komponennya. Keseluruhan tujuan Pengendalian COBIT  memberikan dukungan kuat bagi internal auditor dalam melakukan SOx Section 404 mengenai ulasan penilaian pengendalian internal.

            Pemahaman dan penilaian mereka mengenai  pengendalian internal IT terkait adalah kunci untuk mencapai kepatuhan SOx. COBIT telah ada selama beberapa tahun sekarang, tetapi banyak telah dilihat sebagai hanya alat audit TI khusus, bukan sebagai bantuan yang lebih umum untuk pekerjaan audit internal lainnya. Meskipun penekanan COBIT terus berada di IT, semua auditor internal harus mempertimbangkan kerangka kerja COBIT sebagai alat yang sangat baik untuk membantu dengan persyaratan kepatuhan SOx saat ini dan akan terus dikembangkan.

5.5 CobiT Assurance Framework Guidance

            Sementara framework COBIT memberikan panduan untuk menetapkan kontrol internal yang efektif dengan penekanan pada sumber daya TI, pada tahun 2008 ITGI merilis Information

Technology Assurance Framework (ITAF). Pedoman COBIT yang baru berfokus pada hal lain dan kata yang berhubungan dengan audit yang kurang umum, yaitu jaminan. Istilah ini juga ditemukan dalam acuan dasar IIA bahwa:

            Internal audit adalah profesional independen, obyektif,dan aktivitas konsultasi yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Ini membantu organisasi mencapai tujuannya dengan secara sistematis, menggunakan pendekatan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola.

            Tujuan keseluruhan dari ITAF adalah untuk mendefinisikan satu set standar untuk membantu memastikan kualitas, konsistensi, dan kehandalan ketetapan IT, berdasarkan seperangkat pedoman praktek-pengaturan dan prosedur yang baik. Sementara dokumen ITAF mengacu pada pedoman sebagai "standar," saat ini ISACA COBIT tidak diakui sebagai badan pembuat standar.

5.6 CobiT in Perspective

            Keputusan untuk menggunakan COBIT dalam audit internal harus menjadi keputusan yang dilakukan berkali-kali. Sebaliknya, audit internal harus melatih anggota kunci tim audit pada penggunaan COBIT, kemudian mencoba menggunakannya untuk menilai pengendalian internal pada beberapa audit lainnya yang sedang dikembangkan dan didokumentasikan dengan menggunakan teknik audit internal.

            Penerapannya harus terlebih dahulu dibicarakan dengan komite audit untuk menjelaskan alasan untuk mengubah pendekatan audit internal. Jika perusahaan menempatkan ketergantungan pada sistem dan proses TI, kemudian harus pindah ke penggunaan COBIT maka hal itu tampaknya merupakan hal yang baik. Namun, audit internal tidak harus memiliki spesialis audit internal IT dalam proses penilaian COBIT walaupun audit internal yang lainnya menggunakan standar audit operasional / keuangan internal.

            Mungkin hal yang paling sulit dari keseluruhan kegunaan internal audit adalah bahwa sebetulnya pembuatan CobiT digunakan sebagai alat mengaudit TI. Kekuatan sebetulnya dari CobiT adalah tata kelola fokusnya. Pentingnya strategi bisnis dan sumber daya TI yang disertai nilai, manajemen sumber daya, dan proses pengukuran performa. Kelima hal tersebut dapat membuat suatu perusahaan mencapai tata kelola IT yang efektif, dan CobiT akan membantu dalam mengatur dan memahami konsepnnya. Semua auditor internal harus memahami CBOK dari CobiT serta belajar untuk memahami kerangka penilaian pengendalian internalnya.