08. SI-PI, Gusti Ketut Suardika, Hapzi Ali, Kerangka Pengendalian Internal, Universitas Mercu buana, 2017

1. PROGRAM PASCASARJANA – MAGISTER AKUNTANSI
MATA KULIAH : SISTEM INFORMASI DAN
PENGENDALIAN INTERNAL
DOSEN : PROF. DR. Ir. HAPZI ALI, MM, CMA
JUDUL :
KERANGKA PENGENDALIAN INTERNAL
DISUSUN OLEH :
NAMA : GUSTI KETUT SUARDIKA
NIM : 55516120067
TAHUN : 2017
ARTIKEL INI DIBUAT DALAM RANGKA PEMENUHAN TUGAS
MINGGUAN

2. COSO Enterprise Risk Management (COSO ERM) adalah kerangka kerja
manajemen risiko korporasi (MRK) yang dterbitkan oleh Committee of
Sponsoring Organizations of Treadway Commission (COSO) Amerika Serikat
pada tahun 20014. COSO ERM merupakan pengembangan dari kerangka
kerja COSO untuk pengendalian internal yang diterbitkan pada tahun 1992.
Kerangka kerja COSO ERM terdiri atas delapan komponen dan empat
kategori sasaran yang divisualisasikan dalam bentuk kubus.
Komponen MRK terdiri atas delapan komponen yang saling terkait sebagai
berikut :
1. Lingkungan internal (internal environment)
2. Penentuan sasaran (objective setting)
3. Identifikasi peristiwa (event identification)
4. Penilaian risiko (risk assesment)
5. Tanggapan risiko (risk response)
6. Aktivitas pengendalian (control activities)
7. Informasi dan komunikasi (information and communication)
8. Pemantauan (monitoring)
Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang
saling terkait, yaitu:
1. Lingkungan internal
Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan
kelemahannya, serta pandangan entitas terhadap risiko dan
manajemen risiko.
2. Penetapan sasaran
Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari
perusahaan, serta konsisten dengan risk appetite perusahaan.
3. Identifikasi kejadian

3. Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian
sasaran perusahaan harus diidentifikasi, meliputi risiko dengan
kesempatan yang dapat muncul.
4. Penilaian risiko
Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil
analisis risiko akan dijadikan dasar untuk menentukan perlakuan risiko.
5. Perlakuan risiko
Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari
(avoidance), menerima (acceptance), mengurangi (reduction), dan
membagi risiko (sharing). Pemilihan perlakuan risiko dilakukan dengan
membandingkan hasil analisis risiko dengan risk appetite dan risk
tolerance.
6. Aktivitas pengendalian
Membangun dan mengimplementasikan kebijakan dan prosedur untuk
memastikan perlakuan risiko diterapkan dengan efektif.
7. Informasi dan komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan
dalam bentuk dan waktu yang tepat agar personil dapat melakukan
tanggung jawabnya dengan baik.
8. Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.
COSO ERM – Integrated Framework juga mendeskripsikan peran dan
tanggung jawab dari unit-unit kerja perusahaan dalam penerapan manajemen
risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa
“semua bagian di dalam perusahaan memiliki tanggung jawab terhadap
ERM”, yang artinya implementasi manajemen risiko harus mencakup entity-
level, division, business unit, hingga subsidiary, dan mencakup seluruh
seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat
pembagian peran dan tanggung jawab dalam penerapan ERM. Berikut adalah
pembagian peran dan tanggung jawab yang dijelaskan COSO ERM:

4.  Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan
pemantauan terhadap penerapan manajemen risiko, dengan turut
memperhitungkan risk appetite dari entitas;
 Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan
berjalannya ERM yang efektif pada keseluruhan perusahaan;
 Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM
perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan
mengelola risiko di ranah kewenangannya agar konsisten dengan risk
tolerance yang dimilikinya;
 Risk officer, financial officer, dan internal audit memiliki peran kunci dalam
mendukung efektivitas penerapan manajemen risiko perusahaan;
 Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab
dalam menerapkan manajemen risiko perusahaan sejalan dengan prosedur
dan kebijakan manajemen risiko perusahaan;
 Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang
berperan dalam value chain perusahaan) tidak memiliki tanggung jawab
dalam memastikan efektivitas ERM dari entitas, tetapi pihak-pihak tersebut
berperan penting dalam menyediakan informasi yang dapat mendukung
efektivitas manajemen risiko.
Implementasi COSO ERM di perusahaan sudah cukup baik terbukti selama
ini sistem informasi perusahaan bisa dikatakan tidak ada masalah.
COBIT (Control Objective for Information and related Technology adalah
suatu panduan standar praktik manajemen teknologi informasi. Standar
COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari
ISACA.
COBIT memiliki 4 cakupan domain, yaitu :
1. Perencanaan dan Organisasi (Plan and Organise)
2. Pengadaan dan Implementasi (Acquire and Implement)

5. 3. Pengantaran dan Dukungan (Deliver and Support)
4. Pengawasan dan Evaluasi (Monitor and Evaluate)
Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good
practise untuk IT governace, membantu manajemen senior dalam memahami
dan mengelola resiko-resiko yang berhubungan dengan IT.
COBIT menyediakan kerangka IT governace dan petunjuk control objective
yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.
COBIT didasari oleh oleh analisis dan harmonisasi dari standar teknologi
informasi dan best practise yang ada, serta sesuai dengan prinsip governace
yang diterima secara umum. COBIT berada pada level atas yang
dikendalikan oleh kebutuhan bisnis, yang mencakupi seluruh aktifitas
teknologi informasi, dan mengutamakan pada apa yang seharusnya dicapai
dari pada bagaimana untuk mencapai tatakelola, manajemen dan kontrol
yang efektif. COBIT Framework bergerak sebagai integrator dari praktik IT
governance dan juga yang dipertimbangkan kepada petinggi manajemen atau
manajer; manajemen teknologi informasi dan bisnis; para ahli governace,
asuransi dan keamanan; dan juga para ahli auditor teknologi informasi dan
kontrol. COBIT Framework dibentuk agar dapat berjalan berdampingan
dengan standar dan best practise yang lainnya.
Implementasi dari best practise harus konsisten dengan tatakelola dan
keangka kontrol perusahaan, tepat dengan organisasi, dan terintegrasi
dengan metode lain yang digunakan. Standar dan best practise bukan
merupakan solusi yang selalu berhasil dan efektifitasnya tergantung dari
bagaimana mereka diimplementasikan dan tetap diperbaharui. Best practise
biasanya lebih berguna jika diterapkan sebagai kumpulan prinsip dan sebagai
permulaan (starting point) dalam menentukan prosedur. Untuk mencapai
keselarasan dari best practises terhadap kebutuhan bisnis, sangat disarankan
agar menggunakan COBIT pada tingkatan teratas (high level), menyediakan

6. kontrol framework berdasarkan model proses teknologi informasi yang
seharusnya cocok untuk perusahan secara umum.
COBIT FRAMEWORK
Kerangka kerja COBIT terdiri dari beberapa guidelines (arahan), yakni :
a. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control
objective) yang tercermin dalam 4 domain yaitu : planning &
organization, delivery & support, dan monitoring.
b. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control
objectives) untuk membantu para auditor dalam memberikan
management assurance atau saran perbaikan.
c. Management Guidelines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja
yang mesti dilakukan, seperti : apa saja indicator untuk suatu kinerja
yang bagus, apa saja resiko yang timbul, dan lain-lain.
d. Maturity Models
Untuk memetakan status maturity proses-proses IT (dalam skala 0-5)
Empat tujuan pengendalian tingkat tinggi (high level control objectives) yang
tercermin dalam empat domain, yaitu planning and organization, acquisition
and implementation, delivery and support, serta IT monitoring adalah sebagai
berikut :
 Planning and Organization mencakup strategi dan taktik yang
menyangkut identifikasi tentang bagaimana TI dapat memberikan
kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga
terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi
yang baik pula. Domain PO terdiri dari 11 control objectives, yaitu :
1. (PO1) Define a strategic information technology plan
2. (PO2) Define the information architecture

7. 3. (PO3) Detremine the technological direction
4. (PO4) Define the IT organisation and relationship
5. (PO5) Manage the investment in information technology
6. (PO6) Communicate management aims and direction
7. (PO7) Manage human resources
8. (PO8) Ensure compliance with external requirements
9. (PO9) Asses risks
10.(PO10) Manage project
11.(PO11) Manage quality
 Acquisition and Implementation yaitu identifikasi solusi TI dan
kemudian diimplementasikan dan diintegrasikan dalam proses bisnis
untuk mewujudkan strategi TI. Domain ini terdiri dari 6 control
objetices, yaitu :
1. (AI1) Identify automated solution
2. (AI2) Acquire and maintain application software
3. (AI3) Acquire and maintain technology infrastructure
4. (AI4) Develop and maintain IT procedures
5. (AI5) Install and accredit systems
6. (AI6) manage changes
 Delivery and support berisi domain yang berhubungan dengan
penyampaian layanan yang diinginkan, yang terdiri dari operasi pada
sistem keamanan dan aspek kesinambungan bisnis sampai dengan
pengadaan training. Domain DS terdiri dari 13 control objectives, yaitu :
1. (DS1) Define and manage service levels
2. (DS2) Manage third-party services
3. (DS3) Manage performance and capacity
4. (DS4) Ensure continuous service
5. (DS5) Ensure systems security
6. (DS6) Identify and allocate costs
7. (DS7) Educate and train users

8. 8. (DS8) Assist and advice customers
9. (DS9) Manage the configuration
10.(DS10) manage problems and incidents
11.(DS11) Manage data
12.(DS12) Manage facilities
13.(DS13) manage operations
 Monitoring adalah domain yang menitikberatkan pada proses
pengawasan pengelolaan TI pada organisasi seluruh kendali-kendali
yang diterapkan pada setiap proses TI harus diawasi dan dinilai
kelayakannya secara berkala. Domain ini berfokus pada masalah
kendali-kendali yang diterapkan dalam organisasi, pemeriksaan
internal dan eksternal. Berikut proses-proses TI pada domain
monitoring and evaluate adalah :
1. (M1) Monitor the process
2. (M2) Asses internal control adequacy
3. (M3) Obtain independence assurance
4. (M4) Provide for independent audit
Berdasarkan apa yang telah diuairakan diatas tentang COBIT dan
menyangkut 4 cakupannya terlihat jelas bahwa sangat berhubungan dengan
pengendalian internal perusahaan.
COBIT adalah kerangka IT Governace yang ditujukan kepada manajemen,
staf pelayanan, control department, fungsi audit dan lebih penting lagi bagi
pemilik proses bisnis (business process owners). Untuk memastikan
confidenciality, integrity, dan availability data serta sensitivitas dan kritikal
informasi.
Konsep dasar kerangka kerja COBIT adalah penentuan kendali dalam IT
berdasarkan informasi yang dibutuhkan untuk mendukung tujuan bisnis dan
informasi yang dihasilkan dari gabungan penerapan proses TI dan sumber

9. daya terkait. Dalam penerapan pengelolaan TI terdapat dua jenis model
kendali yaitu model kendali bisnis (business control model) dan model kendali
TO (IT focused control model), COBIT berusaha untuk menjembatani
kesenjangan dari kedua jenis model tersebut. Pada dasarnya kerangka kerja
COBIT terdiri dari tiga tingkat control objectives, yaitu activities dan task,
process, serta domains. Activities dan task merupakan kegiatan rutin yang
memiliki konsep daur hidup, sedangkan task merupakan kegiatan yang
dilakukan secara terpisah.
Sumber :
1. Hapzi Ali, 2017, 10. Modul SI PI, Membandingkan kerangka
pengendalian internal, Hapzi Ali, 2015
2. Priyopradono, 2017, http://bentar-
priyopradono.blogspot.co.id/2013/03/penerapan-dan-pemanfaatan-
empat-domain.html
3. Charvin Kusuma, 2017, http://crmsindonesia.org/knowledge/crms-
articles/perbandingan-coso-erm-integrated-framework-dengan-
iso31000-2009-risk-managem
Re: Forum SI & PI, Minggu 10
by GUSTI KETUT SUARDIKA - 55516120067 - Sunday, 14 May 2017, 9:01 AM
Selamat pagi Pak Prof. Hapzi dan rekan semua,
Menaggapi forum minggu ini tentang COBIT,
COBIT (Control Objective for Information and related Technology adalah suatu panduan
standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT
Governance Institute yang merupakan bagian dari ISACA.
COBIT memiliki 4 cakupan domain, yaitu :
1. Perencanaan dan Organisasi (Plan and Organise)

10. 2. Pengadaan dan Implementasi (Acquire and Implement)
3. Pengantaran dan Dukungan (Deliver and Support)
4. Pengawasan dan Evaluasi (Monitor and Evaluate)
Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practise untuk
IT governace, membantu manajemen senior dalam memahami dan mengelola resiko-
resiko yang berhubungan dengan IT.
COBIT menyediakan kerangka IT governace dan petunjuk control objective yang detail
untuk manajemen, pemilik proses bisnis, user dan auditor.
COBIT didasari oleh oleh analisis dan harmonisasi dari standar teknologi informasi dan
best practise yang ada, serta sesuai dengan prinsip governace yang diterima secara
umum. COBIT berada pada level atas yang dikendalikan oleh kebutuhan bisnis, yang
mencakupi seluruh aktifitas teknologi informasi, dan mengutamakan pada apa yang
seharusnya dicapai dari pada bagaimana untuk mencapai tatakelola, manajemen dan
kontrol yang efektif. COBIT Framework bergerak sebagai integrator dari praktik IT
governance dan juga yang dipertimbangkan kepada petinggi manajemen atau manajer;
manajemen teknologi informasi dan bisnis; para ahli governace, asuransi dan keamanan;
dan juga para ahli auditor teknologi informasi dan kontrol. COBIT Framework dibentuk
agar dapat berjalan berdampingan dengan standar dan best practise yang lainnya.
Implementasi dari best practise harus konsisten dengan tatakelola dan keangka kontrol
perusahaan, tepat dengan organisasi, dan terintegrasi dengan metode lain yang
digunakan. Standar dan best practise bukan merupakan solusi yang selalu berhasil dan
efektifitasnya tergantung dari bagaimana mereka diimplementasikan dan tetap
diperbaharui. Best practise biasanya lebih berguna jika diterapkan sebagai kumpulan
prinsip dan sebagai permulaan (starting point) dalam menentukan prosedur. Untuk
mencapai keselarasan dari best practises terhadap kebutuhan bisnis, sangat disarankan
agar menggunakan COBIT pada tingkatan teratas (high level), menyediakan kontrol
framework berdasarkan model proses teknologi informasi yang seharusnya cocok untuk
perusahan secara umum.
COBIT FRAMEWORK
Kerangka kerja COBIT terdiri dari beberapa guidelines (arahan), yakni :
a. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objective) yang
tercermin dalam 4 domain yaitu : planning & organization, delivery & support, dan
monitoring.
b. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management assurance atau saran
perbaikan.

11. c. Management Guidelines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti
dilakukan, seperti : apa saja indicator untuk suatu kinerja yang bagus, apa saja resiko
yang timbul, dan lain-lain.
d. Maturity Models
Untuk memetakan status maturity proses-proses IT (dalam skala 0-5)
Empat tujuan pengendalian tingkat tinggi (high level control objectives) yang tercermin
dalam empat domain, yaitu planning and organization, acquisition and implementation,
delivery and support, serta IT monitoring adalah sebagai berikut :
· Planning and Organization mencakup strategi dan taktik yang menyangkut
identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian
tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan
infrastruktur teknologi yang baik pula. Domain PO terdiri dari 11 control objectives, yaitu :
1. (PO1) Define a strategic information technology plan
2. (PO2) Define the information architecture
3. (PO3) Detremine the technological direction
4. (PO4) Define the IT organisation and relationship
5. (PO5) Manage the investment in information technology
6. (PO6) Communicate management aims and direction
7. (PO7) Manage human resources
8. (PO8) Ensure compliance with external requirements
9. (PO9) Asses risks
10. (PO10) Manage project
11. (PO11) Manage quality
· Acquisition and Implementation yaitu identifikasi solusi TI dan kemudian
diimplementasikan dan diintegrasikan dalam proses bisnis untuk mewujudkan strategi TI.
Domain ini terdiri dari 6 control objetices, yaitu :
1. (AI1) Identify automated solution
2. (AI2) Acquire and maintain application software
3. (AI3) Acquire and maintain technology infrastructure
4. (AI4) Develop and maintain IT procedures
5. (AI5) Install and accredit systems
6. (AI6) manage changes

12. · Delivery and support berisi domain yang berhubungan dengan penyampaian
layanan yang diinginkan, yang terdiri dari operasi pada sistem keamanan dan aspek
kesinambungan bisnis sampai dengan pengadaan training. Domain DS terdiri dari 13
control objectives, yaitu :
1. (DS1) Define and manage service levels
2. (DS2) Manage third-party services
3. (DS3) Manage performance and capacity
4. (DS4) Ensure continuous service
5. (DS5) Ensure systems security
6. (DS6) Identify and allocate costs
7. (DS7) Educate and train users
8. (DS8) Assist and advice customers
9. (DS9) Manage the configuration
10. (DS10) manage problems and incidents
11. (DS11) Manage data
12. (DS12) Manage facilities
13. (DS13) manage operations
· Monitoring adalah domain yang menitikberatkan pada proses pengawasan
pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan pada setiap
proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini berfokus
pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal
dan eksternal. Berikut proses-proses TI pada domain monitoring and evaluate adalah :
1. (M1) Monitor the process
2. (M2) Asses internal control adequacy
3. (M3) Obtain independence assurance
4. (M4) Provide for independent audit
Berdasarkan apa yang telah diuairakan diatas tentang COBIT dan menyangkut 4
cakupannya terlihat jelas bahwa sangat berhubungan dengan pengendalian internal
perusahaan.
COBIT adalah kerangka IT Governace yang ditujukan kepada manajemen, staf
pelayanan, control department, fungsi audit dan lebih penting lagi bagi pemilik proses
bisnis (business process owners). Untuk memastikan confidenciality, integrity, dan
availability data serta sensitivitas dan kritikal informasi.
Konsep dasar kerangka kerja COBIT adalah penentuan kendali dalam IT berdasarkan
informasi yang dibutuhkan untuk mendukung tujuan bisnis dan informasi yang dihasilkan

13. dari gabungan penerapan proses TI dan sumber daya terkait. Dalam penerapan
pengelolaan TI terdapat dua jenis model kendali yaitu model kendali bisnis (business
control model) dan model kendali TO (IT focused control model), COBIT berusaha untuk
menjembatani kesenjangan dari kedua jenis model tersebut. Pada dasarnya kerangka
kerja COBIT terdiri dari tiga tingkat control objectives, yaitu activities dan task, process,
serta domains. Activities dan task merupakan kegiatan rutin yang memiliki konsep daur
hidup, sedangkan task merupakan kegiatan yang dilakukan secara terpisah.
Demikian menurut pendapat saya, terima kasih.
Salam
Gusti Ketut Suardika (55516120067)
Sumber :
1. Hapzi Ali, 2017, 10. Modul SI PI, Membandingkan kerangka pengendalian internal,
Hapzi Ali, 2015
2. Priyopradono, 2017, http://bentar-priyopradono.blogspot.co.id/2013/03/penerapan-
dan-pemanfaatan-empat-domain.html