1. Membandingkan kerangka pengendalian internal: COSO internal
control integrated framework; COSO enterprise risk management;
dan COBIT
Dosen
Prof. Dr. Hapzi Ali, CMA
Oleh
Fazril Azi Nugraha
Universitas Mercubuana
2017
2. Tentang COBIT
COBIT (Control Objectives for Information and Related Technology) adalah sebuah proses
model yang dikembangkan untuk membantu perusahaan dalam pengelolaan sumber daya
teknologi informasi (IT). Proses model ini difokuskan pada pengendalian terhadap masing-
masing dari 34 proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi
ekspektasi bisnis dari IT (Billy, 2013).
Planning and Organization
Domain ini mencakup strategi serta taktik atas identifikasi bagaimana IT secara maksimal dapat
berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu
direncanakan, dikomunikasikan dan dikelola untuk berbagai perspektif yang berbeda. Ditambah
dengan pengorganisasian yang baik dengan menempatkan infrastruktur teknologi ditempat yang
semestinya (Samuel, 2005).
Acquisition & Implementation
Agar tercapainya strategi IT, solusi IT harus diidentifikasi, dikembangkan, diimplementasikan
dan terintegrasi dengan baik ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan
sistem yang ada harus dicakup dalam domainini untuk memastikan bahwa siklus hidup akan
terus berlangsung untuk sistem-sistem ini (Bimo, 2013).
Delivery & Support
Domain ini memberikan fokus utama pada aspek penyampaian IT. Dalam delivery and support
tercakup area-area seperti pengaplikasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan
juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan
efisien. Proses dukungan ini termasuk isu tentang keamanan dan pelatihan (Bimo, 2013).
Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk dapat menjaga kualitas dan
pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan
manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang
dilakukan oleh auditor internal maupun eksternal, atau dapat diperoleh dari sumber-sumber
alternatif lainnya (Bimo, 2013).
Control Objectives for Information and Related Technology atau COBIT adalah proses yang
sedang dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari
Information System Audit and Control Association (ISACA) untuk membantu perusahaan dalam
mengelola sumber daya teknologi informasi.
Hubungannya dengan pengendalian internal telah disinggung sebelumnya. bahwa dengan
penerapan COBIT ini memastikan bahwa sistem informasi yang dikelola mampu untuk
memenuhi harapan manajemen serta memastikan bahwa operasi yang dilakukan sesuai dengan
3. prosedur yang berlaku dalam perusahaan sehingga mampu membantu manajemen dalam
menjalankan fungsi pengendalian audit internal pada perusahaan agar perusahaan beroperasi
sesuai dengan tujuan dari manajemen.
COBIT juga merupakan jembatan antara manajemen teknologi informasi dengan para eksekutif
bisnis atau dewan direksi. Dikatakan seperti itu karena COBIT mampu menjelaskan laporan
dengan bahasa yang umum sehingga dapat mudah dipahami oleh semua pihak. Salah satu alasan
mengapa COBIT dapat merajalela di seluruh dunia karena semakin besarnya perhatian dari
corporate governance dan kebutuhan perusahaan dalam menghasilkan sesuatu yang lebih dengan
kondisi sumber daya yang sedikit dan ekonomi yang sulit. Tujuan utama yang diharapkan dari
adanya COBIT yaitu agar perusahaan mampu meningkatkan nilai tambah dalam bidang IT dan
dapat mengurangi risiko-risiko inheren yang ada didalamnya.
MRK terdiri atas delapan komponen yang saling terkait sebagai berikut.
1. internal environment
2. objective setting
3. event identification
4. risk assessment
5. risk respons
6. control activities
7. information and communication
8. monitoring
Jelaskan dan bagaimanakah implementasinya pada perusahaan saudara.
ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini
diturunkan dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan
proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan
perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan terhadap
ketentuan perundang-undangan. Komponen-komponen tersebut adalah:
1. Lingkungan Internal (Internal Environment) – Lingkungan internal sangat menentukan
warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari
setiap orang dalam organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi
manajemen risiko dan risk appetite, nilai-nilai etika dan integritas, dan lingkungan di
mana kesemuanya tersebut berjalan.
4. Contohnya : Menjalankan bisnis dengan professional serta tidak melanggar hukum yang
berlaku
2. Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada terlebih dahulu
sebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi
mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa manajemen
memiliki sebuah proses untuk menetapkan tujuan dan bahwa tujuan yang dipilih atau
ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk
appetite-nya.
Contohnya : Perusahaan memberikan jasa layanan dengan harga terbaik kepada klien
tanpa mengorbankan kualitas serta aspek ketaatan terhadap hokum yang berlaku di
indonesia.
3. Identifikasi Kejadian (Event Identification) – Kejadian internal dan eksternal yang
mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara
risiko dan peluang. Peluang dikembalikan (channeled back) kepada proses penetapan
strategi atau tujuan manajemen.
Contohnya : Kontrak kerja dengan client dalam pembuatan materi iklan yang mengatur
tentang hak cipta serta penggunaan dan pembelian music, gambar, video serta jasa artis.
4. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan memperhitungkan
kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan
bagaimana seharusnya risiko tersebut dikelola.
Contohnya : Kemungkinan terjadinya pelanggaran hukum atas hak cipta dari
music,gambar, ataupun materi iklan yang digunakan serta aspek perpajakan yang luput
dari setiap transaksi terkait dengan pembuatan serta pemasangan iklan.
5. Respons Risiko (Risk Response) – Manajemen memilih respons risiko –menghindar
(avoiding), menerima (accepting), mengurangi (reducing), atau mengalihkan (sharing
risk) – dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi
(risk tolerance) dan risk appetite.
Contohnya : menetapkan sistem pengendalian berupa kontrak yang sesuai dengan hukum
yang berlaku diindonesia dan mengatur tentang penyelesaian sengketa.
6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang ditetapkan
dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan
efektif.
Contohnya : Membuat Surat perintah kerja yang berisi tentang jumlah tansaksi serta
jumlah kewajiban pajak yang muncul dari sebuah project.
5. 7. Informasi dan komunikasi (Information and Communication) – Informasi yang relevan
diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang
memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring) – Keseluruhan proses ERM dimonitor dan modifikasi
dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen
yang berjalan terus-menerus, melalui eveluasi secara khusus, atau dengan keduanya.
1. Control Objective for Information and related Technology (COBIT) adalah suatu panduan
standar praktik manajemen Information Technolgy (IT). Standar COBIT dikeluarkan oleh IT
Governance Institute yang merupakan bagian dari Information Systems Audit and Control
Association (ISACA). COBIT 4.1 merupakan versi terbaru.
COBIT memiliki 4 cakupan domain, yaitu :
1. Perencanaan dan organisasi (plan and organise)
2. Pengadaan dan implementasi (acquire and implement)
3. Pengantaran dan dukungan (deliver and support)
4. Pengawasan dan evaluasi (monitor and evaluate)
Jelaskan dan bagaimana hubungannya dengan pengendalian internal pada perusahaan.
Planning and Organization
Domain ini mencakup strategi serta taktik atas identifikasi bagaimana IT secara maksimal dapat
berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu
direncanakan, dikomunikasikan dan dikelola untuk berbagai perspektif yang berbeda. Ditambah
dengan pengorganisasian yang baik dengan menempatkan infrastruktur teknologi ditempat yang
semestinya.
Acquisition & Implementation
Agar tercapainya strategi IT, solusi IT harus diidentifikasi, dikembangkan, diimplementasikan
dan terintegrasi dengan baik ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan
sistem yang ada harus dicakup dalam domainini untuk memastikan bahwa siklus hidup akan
terus berlangsung untuk sistem-sistem ini.
Delivery & Support
6. Domain ini memberikan fokus utama pada aspek penyampaian IT. Dalam delivery and support
tercakup area-area seperti pengaplikasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan
juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan
efisien. Proses dukungan ini termasuk isu tentang keamanan dan pelatihan.
Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk dapat menjaga kualitas dan
pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan
manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang
dilakukan oleh auditor internal maupun eksternal, atau dapat diperoleh dari sumber-sumber
alternatif lainnya.
Control Objectives for Information and Related Technology atau COBIT adalah proses yang
sedang dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari
Information System Audit and Control Association (ISACA) untuk membantu perusahaan dalam
mengelola sumber daya teknologi informasi.
Hubungannya dengan pengendalian internal telah disinggung sebelumnya. bahwa dengan
penerapan COBIT ini memastikan bahwa sistem informasi yang dikelola mampu untuk
memenuhi harapan manajemen serta memastikan bahwa operasi yang dilakukan sesuai dengan
prosedur yang berlaku dalam perusahaan sehingga mampu membantu manajemen dalam
menjalankan fungsi pengendalian audit internal pada perusahaan agar perusahaan beroperasi
sesuai dengan tujuan dari manajemen.
COBIT juga merupakan jembatan antara manajemen teknologi informasi dengan para eksekutif
bisnis atau dewan direksi. Dikatakan seperti itu karena COBIT mampu menjelaskan laporan
dengan bahasa yang umum sehingga dapat mudah dipahami oleh semua pihak. Salah satu alasan
mengapa COBIT dapat merajalela di seluruh dunia karena semakin besarnya perhatian dari
corporate governance dan kebutuhan perusahaan dalam menghasilkan sesuatu yang lebih dengan
kondisi sumber daya yang sedikit dan ekonomi yang sulit. Tujuan utama yang diharapkan dari
adanya COBIT yaitu agar perusahaan mampu meningkatkan nilai tambah dalam bidang IT dan
dapat mengurangi risiko-risiko inheren yang ada didalamnya.
7. Daftar Pustaka
Billy.(2013, 1). Apa yang Anda ketahuimengenaiCOBIT(Control OjectiveforInformation and Related
Technology)? Retrieved56, 2017, from http://billymerkava.blogspot.co.id:
http://billymerkava.blogspot.co.id/2013/01/apa-yang-anda-ketahui-mengenai-cobit.html
Bimo.(2013, 01 01). APA ITU COSODAN CoBID.Retrieved56, 2017, frombismodhanu.blogspot.co.id:
http://bismodhanu.blogspot.co.id/2013_01_01_archive.html
Samuel.(2005, 2 5). Pentingnya ITGovernance(COBIT) Pada Perusahaan.Retrieved56, 2017, from
https://samuellasmana.wordpress.com:
https://samuellasmana.wordpress.com/2015/02/05/pentingnya-it-governance-cobit-pada-perusahaan/