Ringkasan dokumen tersebut adalah: 1. Dokumen tersebut membahas tiga kerangka kerja pengendalian internal yaitu COSO, COBIT, dan ERM beserta komponen-komponennya. 2. COSO fokus pada pengendalian internal perusahaan secara keseluruhan, COBIT pada pengendalian TI, sedangkan ERM pada manajemen risiko perusahaan. 3. Dokumen tersebut juga menjelaskan penerapan COBIT 4.1

1. MODEL KERANGKA PENGENDALIAN: COBIT, COSO DAN ERM
Oleh: Martina Melissa L. (55517120041)
Dosen: Prof. Dr. Hapzi Ali, CMA
1. COSO
COSO merupakan singkatan dari Comittee of Sponsoring Organization of
treadway Commision, yaitu suatu inisiatif dari sektor swasta yang dibentuk pada tahun
1985. COSO merupakan model pengendalian internal yang banyak digunakan oleh
auditor sebagai dasar untuk mengevaluasi dan mengembangkan pengendalian internal.
Struktur pengendalian internal COSO dikenal sebagai kerangka kerja pengendalian
internal yang terintegrasi dan memiliki lima komponen yang saling berhubungan.
Komponen ini didapat dari cara manajemen dalam menjalankan bisnisnya dan
terintegrasi dengan proses manajemen. Komponen pengendalian COSO antara lain
meliputi:
a. Lingkungan Pengendalian Tindakan atau kebijakan manajemen yang mencerminkan
sikap manajemen puncak secara keseluruhan dalam pengendalian manajemen.
b. Penilaian Risiko Tindakan manajemen untuk mengidentifikasi dan menganalisis
risiko-risiko yang relevan dalam penyusunan laporan keuangan dan perusahaan
secara umum.
c. Aktivitas Pengendalian Kebijakan dan prosedur, selain yang sudah termasuk dalam
empat komponen lainnya, yang membantu memastikan bahwa tindakan yang
diperlukan telah diambil untuk menangani risiko guna mencapai tujuan entitas.
d. Informasi dan Komunikasi Tindakan untuk mencatat, memproses dan melaporkan
transaksi yang sesuai untuk menjaga akuntabilitas.
e. Pemantauan Penilaian terhadap mutu pengendalian internal secara berkelanjutan
maupun periodik untuk memastikan pengendalian internal telah berjalan dan telah
dilakukan penyesuaian yang diperlukan sesuai kondisi yang ada.
Tujuan pada setiap komponen COSO adalah:
a. Lingkungan pengendalian menyediakan arahan bagi organisasi dan mempengaruhi
b. kesadaran pengendalian dari pihak-pihak yang ada dalam organisasi tersebut.
c. Dalam penaksiran risiko untuk mencapai tujuan yaitu membentuk suatu dasar untuk
d. menentukan bagaimana risiko harus dikelola.
e. Aktivitas pengendalian untuk menjamin bahwa arahan manajemen dilaksanakan dan
f. membantu memastikan bahwa tindakan yang diperlukan untuk menanggulangi
risiko
g. dalam pencapaian tujuan entitas.
h. Perlunya untuk mengakses informasi dari dalam dan luar, mengembangkan strategi
yang
i. potensial dan sistem terintegrasi, serta perlunya data yang berkualitas. Sedangkan

2. j. komunikasi berfokus kepada menyampaikan permasalahan pengendalian intern, dan
k. mengumpulkan informasi pesaing.
l. Pemantauan menentukan kualitas kinerja pengendalian intern sepanjang waktu,
metode
m.yang digunakan oleh entitas untuk mengirimkan, mengolah, memelihara, dan
mengakses
n. informasi, serta penerapan persyaratan hukum dan peraturan.
Fokus utama COSO adalah:
a. Fokus pengguna utama adalah manajemen.
b. Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.
c. Tujuan yang ingin dicapai adalah pengoperasian sistem yang efektif dan efisien serta
d. pelaporan laporan keuangan yang andal.
e. Komponen yang dituju adalah pengendalian atas lingkungan, manajemen risiko,
f. pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.
g. Pertanggungjawaban atas sistem pengendalian ditujukan kepada manajemen.
2. COBIT
COBIT merupakan singkatan dari Control Objective for Information and Related
Technology, adalah sebuah kerangka kerja yang dibuat oleh ISACA untuk Information
Technology management dan Information Technology governance. COBIT adalah alat
pendukung yang digunakan oleh manajer untuk menjembatani kesenjangan antara
persyaratan kontrol, masalah teknis, dan risiko bisnis. COBIT dibuat untuk 3 pengguna
yang antara lain yaitu manajer, user, dan auditor. COBIT memiliki beberapa komponen
yang antara lain meliputi:
a. Executive summary
b. Framework
c. Control objective
d. Audit guidelines
e. Management guidelines
f. Control practices
Tujuan pada setiap komponen COBIT adalah:
a. Planning and Organization
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana
IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu,

3. realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk
berbagai perspektif yang berbeda.
b. Acquisition and Implementation
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau
diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain
itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini
untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem
ini.
c. Delivery and Support
Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT.
Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam
sistem IT dan hasilnya, serta proses dukungan yang memungkinkan pengoperasian
sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk
isu/masalah keamanan dan juga pelatihan.
d. Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas
dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya
pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian
independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh
dari sumber-sumber alternatif lainnya.
3. ERM
Pengertian Enterprise Risk Management (ERM) adalah “suatu proses yang
dipengaruhi oleh board of director, dan personel lain dari suatu organisasi, diterapkan
dalam setting strategi, dan mencakup organisasi secara keseluruhan, didesain untuk
mengidentifikasi kejadian potensial yang mempengaruhi suatu organisasi, untuk
memberikan jaminan yang cukup pantas berkaitan dengan pencapaian tujuan
organisasi” (COSO ERP, 2004).
Enterprise Risk Management (ERM) adalah “suatu proses yang dipengaruhi oleh board
of director, dan personel lain dari suatu organisasi, diterapkan dalam setting strategi,
dan mencakup organisasi secara keseluruhan, didesain untuk mengidentifikasi kejadian
potensial yang mempengaruhi suatu organisasi, untuk memberikan jaminan yang cukup
pantas berkaitan dengan pencapaian tujuan organisasi” (COSO ERP, 2004).

4. Delapan komponen ERM :
1. Lingkungan Internal (INTERNAL ENVIRONMENT
Komponen ini meliputi sikap manajemen di semua tingkatan terhadap operasi secara
umum dan konsep kontrol secara khusus. Hal ini mencakup: etika, kompetensi, serta
integritas dan kepentingan terhadap kesejahteraan organisasi.
2. Penetapan Tujuan(OBJECTIVE SETTING)
Tujuan ditetapkan pada tingkat strategis yang menjadi dasar untuk penetapan tujuan
operasional. Pelaporan, dan ketaatan. Setiap organisasi menghadapi berbagai risiko
baik yang bersumber dari internal maupun eksternal. Penetapan tujuan merupakan
langkah awal untuk nantinya dapat mengidentifikasi kejadian, menilai risiko, dan
menentukan respon terhadap risiko.
3. Identifikasi Kejadian(EVENT IDENTIFICATION)
Manajemen mengidentifikasi kejadian potensial yang dapat mempengaruhi organisasi
dalam mencapai tujuannya dan juga memastikan apakah kejadian yang mempengaruhi
kegiatan organisasi dalam mencapai tujuannya, juga membuka peluang bagi organisasi
untuk menerapkan strategi yang lebih baik dalam upaya untuk mencapai tujuan
organisasi.
4. Penilaian Risiko(RISK ASSESSMENT)
Penilaian risiko memungkinkan setiap organisasi untuk mempertimbangkan luasnya
kejadian yang dapat mempengaruhi pencapaian tujuan organisasi.
5. Respon terhadap Risiko (risk response)
Setelah risiko dinilai, manajemen menentukan bagaimana risiko direspon, yaitu
bagaimana tindakan-tindakan dilakukan untuk mengelola risiko yang terjadi atau
berpotensi akan terjadi.
6. Aktivitas Pengendalian(CONTROL ACTIVITIES)
Merupakan kebijakan dan prosedur yang membantu memastikan bahwa risk response
yang dipilih dilaksanakan dengan memadai.
7. Informasi dan Komunikasi(INFORMATION & COMMUNICATION)
Informasi diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan kerangka
waktu yang tepat dan sesuai sehingga memungkinkan setiap orang untuk dapat
melaksanakan tugas dan tanggung jawab yang dibebankan kepadanya.
8. Monitoring(MONITORING)

5. Penerapan manajemen risiko (ERM) dimonitor atau dipantau terus dalam rangka untuk
memastikan keberadaannya dan apakah komponen-komponennya berfungsi dengan
memadai setiap saat.
AUDIT SISTEM INFORMASI MENGGUNAKAN COBIT 4.1 PADA PT. ERAJAYA
SWASEMBADA, TBK.
Pengetahuan dan teknologi, terjadi perpaduan antar dua bidang ilmu, khususnya
pada bidang teknologi sistem informasi dan bidang akuntansi dengan spesifikasi audit
sehingga menghasilkan bidang ilmu baru yaitu audit sistem informasi. Meskipun bidang
ilmu ini baru muncul ke permukaan, tetapi sepak terjangnya sangat dibutuhkan.
Perusahaan-perusahaan besar sangat membutuhkan peranan audit sistem informasi
untuk memeriksa kehandalan dari sistem komputerisasi yang mereka gunakan dalam
pengerjaan operasional perusahaan.
Dunia bisnis pada masa sekarang sangat mengandalkan teknologi informasi dan
komunikasi untuk menjalankan proses bisnisnya. Oleh karena itu, adalah suatu hal yang
penting bagi dunia bisnis untuk memahami dan mengerti aspek teknologi informasi dan
komunikasi untuk dapat menerapkannya baik secara manajerial maupun teknikal pada
proses bisnis dan kegiatan ekspansinya.
Pritoritas utama diberikan terhadap suatu mekanisme kontrol atau
pengendalian, baik intern maupun ekstern, untuk memastikan bahwa laporan dan
keputusan yang diterima dan dihasilkan oleh manajemen merupakan suatu
pengambilan keputusan yang jujur dan mempunyai integritas tinggi berdasarkan hasil
proses audit yang dilakukan terhadap sistem berbasis teknologi informasi dan
komunikasi organisasi bisnis yang bersangkutan.
Adapun tujuan yang diinginkan dari audit sistem informasi ini adalah untuk
menciptakan Good Corporate Governance di dalam suatu perusahaan Pengendalian
internal masa depan, tidak hanya cukup dengan pengendalian umum (general controls)
dan pengendalian aplikasi dan formulir (application controls), melainkan dibutuhkan
juga pengendalian batasan (boundary control), pengendalian proses (process control),
dan pengendalian komunikasi aplikasi (application communication control).
Salah satu standar penting dan efektif untuk diterapkan adalah COBIT atau
Control Objectives for Information and Related Technology. COBIT dikeluarkan oleh
organisasi bernama ISACA pada tahun 1992 dan merupakan standar yang berorientasi
pada proses, berfokus pada sasaran bisnis dan merupakan alat manajerial dan teknikal
untuk unit TI.
Penggunaan bantuan dan metode COBIT, memberi manfaat untuk perusahaan
yang dapat membantu untuk menciptakan Good Corporate Governance di dalam suatu
perusahaan serta membantu auditor, manajemen dan pengguna (user) untuk

6. menjembatani GAP antara risiko bisnis, kebutuhan kontrol (internal, application and
access control), security dan permasalahan- permasalahan teknis melalui pengendalian
terhadap masing-masing dari proses IT, serta meningkatkan tingkatan kemapanan
proses dalam IT dan memenuhi ekspektasi bisnis dari TI.
COBIT merupakan sekumpulan dokumentasi dan panduan yang mengarahkan
pada IT Governance dan Management yang dapat membantu auditor, manajemen, dan
pengguna (user) untuk menjembatani pemisah antara risiko bisnis, kebutuhan kontrol,
dan permasalahan- permasalahan teknis yang terjadi. COBIT dibagi dalam 4 domain
utama yaitu:
- Plan and Organise (PO) - Mengarahkan perusahaan dalam penyampaian solusi (AI)
sampai kepada penyampaian pelayanan (DS)
- Acquire and Implement (AI) - Memberikan solusi dan merubahnya menjadi suatu
layanan
- Deliver and Support (DS) - Menerima solusi dan mengubahnya agar dapat digunakan
untuk penggunaan akhir
- Monitor and Evaluate (ME) - Memantau seluruh proses untuk memastikan bahwa
arah yang diberikan telah sesuai dijalankan.
Untuk lebih memperjelas dan lebih mempermudah pengamatan, COBIT 4.1 memecah 4
domain tersebut menjadi 34 pokok pembahasan.

7. Tabel 1. Daftar Proses TI COBIT
Pada COBIT 4.1 pengendalian internal untuk menilai kinerja dapat menggunakan
maturity model. Maturity model merupakan dasar pengaturan dan pengontrolan untuk
departemen TI pada suatu perusahaan. Maturity model dibuat untuk menilai kinerja
proses TI yang dapat dijadikan landasan perusahaan dalam rangka perbaikan kinerja.
Pengukuran ini dibagi menjadi 6 level yaitu Non-Existent (0), Initial/ad hoc (1),
Repeatable but Intuitive (2), Defined (3), Managed and Measurable (4), dan Optimized
(5). Penilaian atas audit dengan menggunakan pengukuran maturity model dibagi
sesuai dengan domain COBIT. Penghitungan hasil tingkat kematangan tiap- tiap domain
dilakukan dengan penghitungan nilai yang paling sering muncul (modus) pada masing-
masing proses TI.
Pengimplementasian proses TI Plan and Organise pada tingkat kematangan 4 -
Managed and measurable, yaitu sebanyak 5 proses TI. Perusahaan mendapat 3 proses
TI dengan tingkat kematangan 5 - Optimised, sedangkan 2 proses TI yang lain berada
pada tingkat kematangan dibawah 3 - Defined Process.

8. Pengimplementasian proses TI Acquire and Implement pada tingkat kematangan
5 - Optimised, yaitu sebanyak 4 proses TI. Perusahaan mendapat 3 proses TI yang lain
berada pada tingkat kematangan 4 - Managed and measurable. Pengimplementasian
proses TI Deliver and Support pada tingkat kematangan 4 - Managed and measurable,
yaitu sebanyak 6 proses TI. Perusahaan mendapat 5 proses TI dengan tingkat
kematangan 5 - Optimised, dan 2 proses TI dengan tingkat kematangan 3 - Defined
Process. Pengimplementasian proses TI Monitor and Evaluate pada tingkat kematangan
4 - Managed and measurable, yaitu sebanyak 3 proses TI. Perusahaan mendapat 1
proses TI dengan tingkat kematangan 3 -
Defined Process.
Penerapan proses TI Plan and Organise di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan membuat perencanaan strategi TI, membuat tata
kelola beserta anggaran yang akan dikeluarkan, merumuskan IT Goals yang selaras
dengan Business Goals, memiliki arsitektur yang jelas dalam mendokumentasikan
tanggung jawab tiap-tiap bagian, bagian TI memiliki tanggung jawab penuh dalam
pengadaan infrastruktur TI, memberikan pelatihan bagi para personil perusahaan, serta
terintegrasinya informasi perusahaan. Pengimplementasian proses TI Plan and
Organise pada tingkat kematangan Managed and measurable (Level 4).
Penerapan proses TI Acquire and Implement di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan merumuskan kebutuhan sistem bagi pengguna,
bertanggung jawab menentukan kriteria pemilihan vendor, pemeliharaan infrastruktur
TI, serta merumuskan materi pelatihan sistem aplikasi. Pengimplementasian proses TI
Acquire and Implement pada tingkat kematangan Optimised (Level 5).
Penerapan proses TI Deliver and Support di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan memastikan keselarasan IT Goals dan Business
Goals, memiliki kontrak dengan pihak ketiga, pengontrolan kinerja sistem, mengontrol
dan mengevaluasi pembiayaan, memiliki program pelatihan, sistem yang telah bersifat
preventif, adanya pengaturan kerahasiaan data, dan kontrol yang ketat dalam
pengaksesan informasi. Pengimplementasian proses TI Deliver and Support pada
tingkat kematangan Managed and measurable (Level 4).
Penerapan proses TI Monitor and Evaluate di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan memonitor informasi operasional pada aplikasi,
sistem, dan proses, dokumentasi pengontrolan dan evaluasi, kepatuhan terhadap
peraturan dan kontrak, serta kejelasan pembagian tanggung jawab
dan kepemilikan tugas. Pengimplementasian proses TI Monitor and Evaluate pada
tingkat kematangan Managed and measurable (Level 4).

9. DAFTAR PUSTAKA:
Ardiansyah, Muhamad. “Penjelasan COSO & COBIT”. 17 April 2016.
https://www.slideshare.net/MuhamadArdiansyah1/penjelasan-coso-cobit
Fitriyanti. “Pengertian Enterprise Risk Management”. http://pengertianmanage-
ment.blogspot.co.id/2014/08/pengertian-enterprise-risk-management.html
Al-Mubarok. “Definisi Enterprise Risk Management”.
http://akukenalkomputer.blogspot.co.id/2015/05/definisi-enterprise-risk-
management.html
Harry Andrian Simbolon, SE., M.Ak., QIA,
https://akuntansiterapan.com/2010/06/16/enterprise-risk-management/ (16 Juni
2010)
https://haendra.wordpress.com/pengertian-cobit/(08 Juni 2012)
Habsoro, A. (2009). Aplikasi Tata Kelola dan Audit Informasi Menggunakan. EEPIS
Repository , Vol 1, 10.
http://ghinaaulias.blogspot.co.id/2014/11/pengertian-coso.html