COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”. Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control objective)dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”. COSO adalah Committee of Sponsoring Organizations of the Treadway Commission. COSO ini dibuat oleh sektor swasta untuk menghindari tindak korupsi yang sering terjadi di Amerika pada tahun 1970-an.

1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
DOSEN PENGAMPU : Prof. Dr. Ir. Hapzi Ali, MM, CMA
“ Membandingkan kerangka pengendalian internal: 1. COSO
internal control integrated framework; 2. COSO enterprise risk
management; dan 3. COBIT “
Disusun Oleh :
PASHA PINTOKITTA MADOGUCCI
55516120014
MAGISTER AKUNTANSI
PROGRAM PASCASARJANA ( S2 )
UNIVERSITAS MERCU BUANA
2017

2. COBIT dan Hubungannya Dengan Pngendalian Internal Pada Perusahaan.
COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan
praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa
tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan
diperbaiki”. Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control objective)dari
SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan
mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.
Komponen tujuan pengendalian (control objectives) COBIT ini terdiri atas 4 tujuan pengendalian
tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu : planning &
organization , acquisition & implementation ,delivery & support , dan monitoring.
Ringkasan Konsep Pengendalian Internal COBIT dilihat dari berbagai sudut
pandang Pengguna Utama
COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :
 Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi
pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
 User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang
disediakan oleh pihak internal atau pihak ketiga.
 Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk memberikan
saran kepada manajemen atas pengendalian internal yang ada.
Dalam Jurnalnya (Habsoro, 2009) mengenai “Aplikasi Tata Kelola dan Audit Informasi
Menggunakan Framework COBIT pada domain DS dan ME” dapat disimpulkan Teknologi
Informasi sudah merupakan hal yang penting dalam sebuah perusahaan. Dan menurut (Utomo,
2011) tata kelola TI atau IT (Information Technology) Governance merupakan
struktur hubungan dan proses untuk mengarahkan dan mengendalikan organisasi
untuk mencapai tujuannya dengan menambahkan nilai ketika
menyeimbangkan risiko dibandingkan dengan TI dan prosesnyaUntuk memiliki keuntungan
kompetetif perusahaan, seseorang harus mampu memanfaatkan Teknologi Informasi untuk
membuat peluang dan juga inovasi pada bisnisnya. Teknologi Informasi juga dapat membantu

3. membuat keputusan pada tingkatan manajerial, akan tetapi penerapan Teknologi Informasi
membutuhkan biaya yang cukup besar dengan resiko kegagalan yang tidak kecil. Untuk membuat
penerapan Teknologi Informasi di dalam perusahaan dapat digunakan secara maksimal, maka
dibutuhkan pemahaman yang tepat mengenai konsep dasar dari sistem yang berlaku, teknologi
yang dimanfaatkan, aplikasi yang digunakan dan pengelolaan serta pengembangan sistem yang
dilakukan pada perusahaan tersebut. COBIT merupakan a set of best practice (framework) bagi
pengelolaan teknologi informasi (IT management) yang secara lengkap terdiri dari: executive
summary, framework, control objectives, audit guidelines, implementation tool set serta
management guidelines yang sangat berguna untuk proses sistem informasi strategis. Control
Objectives for Information and related Technology (COBIT) berguna bagi IT users dalam
memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para
manajer memperoleh manfaat dalam keputusan saat menyusun strategic IT plan, menentukan
information architecture,dan keputusan atas procurement (pengadaan/pembelian) inventaris
organisasi.
COBIT dirancang terdiri dari 34 control objective yang tercermin di dalam 4 domain (IT
Governance Institute, 2007)
(Hariyanto, 2013) Menjelaskan mengenai domain terbagi dalam 34 Control Objective:
1. Plan and Organise (PO), Secara umum domain ini meliputi strategi dan taktik, serta
identifikasi bagaimana TI dapat berkontribusi terhadap pencapaian sasaran bisnis. Domain ini
dibagi ke dalam 10 fase dalam prosesnya, yaitu:
1. PO1: Mendefinisikan rencana strategis TI
2. PO2: Mendefinisikan arsitektur informasi
3. PO3: Menentukan arahan teknologi
4. PO4: Mendefinisikan proses TI, organisasi dan keterhubungannya
5. PO5: Melelola investasi TI
6. PO6: Mengkomunikasikan tujuan dan arahan manajemen
7. PO7: Mengelola sumber daya TI
8. PO8: Mengelola kualitas
9. PO9: Menaksir dan mengelola resiko TI

4. 10. PO10: Mengelola proyek
2. Acquire and Implement (AI), Domain ini menggambarkan bagaimana perubahan dan
pemeliharaan dari sistem yang ada selaras dengan sasaran bisnis. Domain AI terbagi menjadi tujuh
proses TI yang dapat dilihat pada tabel berikut:
1. AI1: Mengidentifikasi Solusi Otomatis
2. AI2: Memperoleh dan Memelihara Software Aplikasi
3. AI3: Memperoleh dan Memlihara Infrastruktur Teknologi
4. AI4: Memungkinkan Operasional dan Penggunaan
5. AI5: Memenuhi Sumber Daya TI
6. AI6: Mengelola Perubahan
7. AI7: Instalasi dan Akreditasi Solusi beserta Perubahannya
3. Deliver and Support (DS), Domain ini mencakup penyampaian hasil aktual dari layanan yang
diminta, termasuk pengelolaan kelancaran dan keamanan, dukungan layanan terhadap pengguna
serta pengelolaan data dan operasional fasilitas, yang meliputi:
1. DS1: Mengidentifikasi dan Mengelola Tingkat Layanan
2. DS2: Mengelola Layanan Pihak Ketiga
3. DS3: Mengelola Kinerja dan Kapasitas
4. DS4: Memastikan Layanan yang Berkelanjutan
5. DS5: Memastikan Keamanan Sistem
6. DS6: Mengidentifikasi dan Mengalokasikan Biaya
7. DS7: Mendidik dan Melatih Pengguna
8. DS8: Mengelola service desk
9. DS9: Mengelola Konfigurasi
10. DS10: Mengelola Permasalahan
11. DS11: Mengelola Data
12. DS12: Mengelola Lingkungan Fisik
13. DS13: Mengelola Operasi

5. 4. Monitor and Evaluate (ME), Domain ini terkait dengan kinerja manajemen, kontrol internal,
pemenuhan terhadap aturan serta menyediakan tata kelola. Fungsi doman ini sendiri adalah untuk
memastikan seluruh proses TI dapat dikontrol secara periodik yang bermaksud untuk menjaga
kualitas dan pemenuhan kebutuhan pasar. Berbeda dari domain yang lain, ME hanya terdiri dari 4
proses TI, yaitu:
1. ME1: Mengawasi dan Mengevaluasi Kinerja TI
2. ME2: Mengawasi dan Mengevaluasi Kontrol Internal
3. ME3: Memastikan Pemenuhan terhadap Kebutuhan Eksternal
4. ME4: Menyediakan Tata Kelola TI
Implementasi COBIT dipercaya dapat membantu perusahaan dalam hal meningkatkan
pendekatan/program audit, mendukung audit kerja dengan arahan audit secara rinci, memberikan
petunjuk untuk IT governance, sebagai penilaian benchmark untuk kendali IS/IT, meningkatkan
control IS/IT, dan sebagai standarisasi pendekatan/program audit.
COBITGuidelines
Menurut(Elysée, 2001) kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan
struktur klasifikasi keseluruhan. Terdapat tiga tingkat usaha pengaturan TI yang menyangkut
manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas yang diperlukan untuk
mencapai hasil yang dapat diukur. Dalam Aktivitas terdapat konsep siklus hidup yang di dalamnya
terdapat kebutuhan pengendalian khusus. Kemudian satu lapis di atasnya terdapat proses yang
merupakan gabungan dari kegiatan dan tugas dengan keuntungan atau perubahan alami. Pada
tingkat yang lebih tinggi, proses biasanya dikelompokan bersama kedalam
domain. Pengelompokan ini sering disebut sebagai tanggung jawab domain dalam struktur
organisasi dan yang sejalan dengan siklus manajemen atau siklus hidup yang dapat diterapkan
pada proses TI. 3 sudut pandang cobit: kriteria informasi (information criteria), sumberdaya TI (IT
resources), dan proses TI (IT processes).

6. Dalam kerangka kerja COBIT juga memasukkan bagian-bagian seperti :
• Maturity models: untuk menilai tahap maturity IT dalam skala 0-5
• Critical Success Factors (CSFs): arahan implementasi bagi manajemen dalam melakukan
pengendalian atas proses IT.
• Key Goal Indicatirs (KGIs): berisi mengenai arahan kinerja proses-proses IT sehubungan
dengan kebutuhan bisnis.
• Key Performance Indicators (KPIs): kinerja proses-proses IT sehubungan dengan
sasaran/tujuan proses.
Terima Kasih.,
Pasha Pintokitta Madogucci ( 55516120014 )
COSO Enterprise Risk Management (COSO ERM)
COSO adalah Committee of Sponsoring Organizations of the Treadway Commission. COSO ini
dibuat oleh sektor swasta untuk menghindari tindak korupsi yang sering terjadi di Amerika pada
tahun 1970-an. COSO terdiri atas 5 kompponen.
1. Control environment
Tindakan atau kebijakan manajemen yang mencerminkan sikap manajemen puncak secara
keseluruhan dalam pengendalian manajemen. Yang termasuk dalam control environment:
– Integrity and ethical values (integritas dan nilai etika)
– Commitment to competence (komitmen terhadap kompetensi)
– Board of Directors and audit committee (dewan komisaris dan komite audit)
– Management’s philosophy and operating style (filosofi manajemen dan gaya mengelola operasi)
– Organizational structure (struktur organisasi)
– Human resource policies and procedures (kebijakan sumber daya manusia dan prosedurnya)
2. Risk assessment
Tindakan manajemen untuk mengidentifikasi, menganalisis risiko-risiko yang relevan dalam
penyusunan laporan keuangan dan perusahaan secara umum. Yang termasuk dalam risk
assessment:

7. – Company-wide objectives (tujuan perusahaan secara keseluruhan)
– Process-level objectives (tujuan di setiap tingkat proses)
– Risk identification and analysis (indentifikasi risiko dan analisisnya)
– Managing change (mengelola perubahan)
3. Control activities
Tindakan-tindakan yang diambil manajemen dalam rangka pengendalian intern. Yang
termasuk control activities:
– Policies and procedures (kebijakan dan prosedur)
– Security application and network (keamanan dalam hal aplikasi dan jaringan)
– Application change management (manajemen perubahan aplikasi)
– Business continuity or backups (kelangsungan bisnis)
– Outsourcing (memakai tenaga outsourcing)
4. Information and communication
Tindakan untuk mencatat, memproses dan melaporkan transaksi yang sesuai untuk menjaga
akuntablitas. Yang termasuk komponen ini adalah sebagai berikut.
– Quality of information (kualitas informasi)
– Effectiveness of communication (efektivitas komunikasi)
5. Monitoring
Peniilaian terhadap mutu pengendalian internal secara berkelanjutan maupun periodik untuk
memastikan pengendalian internal telah berjalan dan telah dilakukan penyesuian yang diperlukan
sesuai kondisi yang ada. Yang termasuk di dalam komponen ini, yakni:
– On-going monitoring (pengawasan yang terus berlangsung)
– Separate evaluations (evaluasi yang terpisah)
– Reporting deficiencies (melaporkan kekurangan-kekurangan yang terjadi)
Kerangka kerja pengendalian intern yang diterbitkan oleh COSO dikenal luas dengan sebutan
COSO Internal Control Integrated Framework. Nama tersebut tetap dipertahankan pada kerangka
kerja yang baru. Untuk membedakan penyebutan yang lama dengan yang baru, saya pakai
singkatan COSO IC 1992 (untuk yang lama) dan COSO IC 2013 (untuk yang baru).

8. COSO IC 2013 terdiri dari tiga volume yaitu:
1. Executive Summary: memberikan gambaran umum kerangka pengendalian intern bagi para
dewan pengawas (board of directors), CEO, dan manajemen senior lainnya.
2. Framework and Appendices: menetapkan kerangka, mendefinisikan pengendalian intern,
menjelaskan persyaratan pengendalian intern yang efektif termasuk komponen dan prinsip-
prinsipnya, dan memberikan petunjuk bagi semua tingkatan manajemen dalam merancang,
melaksanakan, dan mengarahkan pengendalian intern serta menilai efektivitasnya.
3. Illustrative Tools: menyediakan template dan skenario yang dapat digunakan untuk menilai
efektivitas sistem pengendalian intern.
Definisi dan Tujuan
Berbeda dengan COSO ERM yang melakukan perubahan definisi, COSO IC 2013 secara
prinsip masih mempertahankan definisi pengendalian intern tahun 1992. Pengendalian intern
didefinisikan sebagai suatu proses di dalam organisasi (entitas) yang dipengaruhi oleh dewan
pengawas (board), manajemen, dan personel lainnya, dirancang untuk memberikan keyakinan
memadai bagi pencapaian tujuan organisasi. Pada sisi tujuan inilah terjadi sedikit perubahan.
Tujuan yang hendak dicapai organisasi menurut COSO IC 2013 terdiri dari tiga kategori yaitu
tujuan terkait operasi (operations), pelaporan (reporting), dan kepatuhan (compliance). Tujuan
yang mengalami perubahan atau tepatnya perluasan lingkup dari COSO IC 1992 adalah tujuan
operasi dan pelaporan. Tujuan operasi tidak semata-mata terkait dengan efisiensi dan efektivitas
penggunaan sumber daya tetapi mencakup seluruh efisiensi dan efektivitas operasi termasuk
sasaran/tujuan kinerja operasi dan keuangan serta pengamanan aset dari kerugian. Tujuan
pelaporan diperluas cakupannya meliputi semua pelaporan organisasi, tidak dibatasi hanya pada
lingkup pelaporan keuangan saja seperti kerangka 1992. Adapun tujuan kepatuhan masih sama
dengan konsep COSO IC 1992. Kutipan definisi pengendalian intern asli dari COSO IC 2013
adalah sebagai berikut:

9. Internal control is a process, effected by an entity’s board of directors, management, and other
personnel, designed to provide reasonable assurance regarding the achievement of objectives
relating to operations, reporting, and compliance.
Keunggulan dan Kelemahan Pengendalian Intern COSO
 Kelemahan
Menurut Azhar Susanto terdapat beberapa keterbatasan dalam Sistem Pengendalian Intern,
yaitu:
1. Kesalahan muncul ketika karyawan melakukan pertimbangan yang salah atau perhatiannya
selama bekerja terpisah.
2. Kolusi terjadi ketika dua atau lebih karyawan berkonspirasi untuk melakukan pencurian
(korupsi) di tempat mereka bekerja.
3. Penyimpangan manajemen muncul karena manajer suatu organisasi memiliki lebih banyak
otoritas dibandingkan karyawan biasa, proses pengendalian efektif pada tingkat manajemen
bawah dan tidak efektif pada tingkat atas.
4. Manfaat dan biaya, konsep jaminan yang meyakinkan atau masuk akal mengandung arti
bahwa biaya pengendalian intern tidak melebihi manfaat yang dihasilkan.
Dari uraian di atas dapat disimpulkan bahwa keterbatasan pengendalian intern meliputi:
Kesalahan, kolusi, penyimpangan manajemen, serta manfaat dan biaya
 Keunggulan
Kelebihan COSO adalah pada konstruksi kontrolnya, keterkaitan general control dan
application control. Ini dapat dimaklumi karena COSO lebih mengkonsentrasikan diri
pada internal control framework, khususnya dalam keterkaitannya dengan laporan keuangan.
Karena itu, COSO lebih pada IT Control Framework, dari pada sebuah control tata kelola
TI. COSO juga diadopsi sebagai standar untuk implementasi kontrol TI dalam konteks
atas Sarbanes Oxley (SOX).

10. Referensi:
Hapzi, Ali. 2015. Modul Perkuliahan Sistem Informasi & Pengendalian Internal: Membandingkan
Kerangka Pengendalian Internal COSO Internal Control Integrated Framework,
COSO Enterprise Risk Management, COBIT. Jakarta.
IT Governance Institute (2006). Management Guidelines, COBIT 3rd Edition. Retrieved January
30,2009 from http://www.isaca.org
Elysée, M. (2001). COBIT Management Guidelines. Journal Past Issues , Vol 1.
Habsoro, A. (2009). Aplikasi Tata Kelola dan Audit Informasi Menggunakan. EEPIS Repository ,
Vol 1, 10.
Hariyanto, A. G. (2013). PENILAIAN PERFORMANCE MEASUREMENT DAN RESOURCE
MANAGEMENT DENGAN MENGGUNAKAN METODE COBIT 4.1 TERHADAP
APLIKASI PERSEDIAAN MATERIAL PROYEK PADA CV.INTI PEMBANGUNAN
PALEMBANG. JURNAL 2010240501 , 1-6.
Utomo, A. P. (2011). Analisis Tata Kelola Teknologi Informasi ( It Governance ) Pada Bidang
Akademik dengan COBIT Frame Work. Jurnal Teknologi Informasi DINAMIK , Vol 16 , no 2.
Yulianti, D. T. (2011). Audit Sistem Informasi Sumber Daya Manusia. Jurnal sistem Informasi ,
Vol 6 No 1 (15-33).