COBIT, COSO DAN ERM

Oleh: Lidya Kartika Dhewi (55517120013)

Dosen: Dr. Ir. H. Hapzi Ali, M.M.

A. COBIT
Control Objective for Information & Related Technology (COBIT) adalah
sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu
auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko
bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk
mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan
bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola
secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya
dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai
framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga
swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di
setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.

Kerangka Kerja COBIT

Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:
 Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives)
yang terbagi dalam 4 domain, yaitu : Planning & Organization , Acquisition &
Implementation , Delivery & Support , dan Monitoring & Evaluation.
 Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed
control objectives) untuk membantu para auditor dalam memberikan management
assurance dan/atau saran perbaikan.
 Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti
dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
1. Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang
dikeluarkan sesuai dengan manfaat yang dihasilkannya.
2. Apa saja indikator untuk suatu kinerja yang bagus.
3. Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai
sukses ( critical success factors ).
4. Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang
ditentukan.
5. Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan.
6. Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.

Manfaat dan Pengguna COBIT

Secara manajerial target pengguna COBIT dan manfaatnya adalah :
 Direktur dan Eksekutif
Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi
searah dan sejalan dengan TI.
 Manajemen
1. Untuk mengambil keputusan investasi TI
 2. Untuk keseimbangan resiko dan kontrol investasi.
3. Untuk benchmark lingkungan TI sekarang dan masa depan.
 Pengguna
Untuk memperoleh jaminan keamanan dan control produk dan jasa yang
dibutuhkan secara internal maupun eksternal.
 Auditors
1. Untuk memperkuat opini untuk manajemen dalam control internal.
2. Untuk memberikan saran pada control minimum yang diperlukan.

Frame Work COBIT

COBIT dikeluarkan oleh IT Governance Institute (ITGI). COBIT digunakan untuk
menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga
berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor
kesuksesan dan maturity model.
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
 Effectiveness
Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang
diproses oleh sistem informasi yang dibangun.
 Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang
diproses oleh sistem.
 Confidentiality
Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
 Integrity
Menitikberatkan pada integritas data/informasi dalam sistem.
 Availability
Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
 Compliance
Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
 Reliability
Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan
data/informasi.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam
COBIT adalah pada :
 Applications
 Information
 Infrastructure
 People
Dalam menyediakan informasi yang dibutuhkan perusahaan untuk mencapai tujuan
organisasi, COBIT memiliki karakteristik :
 Business-focused
 Process-oriented
 Controls-based
 Measurement-driven
COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi
menjadi 34 proses yang terbagi ke dalam 4 buah domain proses, meliputi :
 Planning & Organization.
Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI
dengan strategi perusahaan, mencakup masalah strategi, taktik dan identifikasi
tentang bagaimana TI dapat memberikan kontribusi maksimal terhadap pencapaian
tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan
infrastruktur teknologi yang baik pula.
Domain ini mencakup :
v PO1 – Menentukan rencana strategis
v PO2 – Menentukan arsitektur informasi
v PO3 – Menentukan arah teknologi
v PO4 – Menentukan proses TI, organisasi dan hubungannya
v PO5 – Mengelola investasi TI
v PO6 – Mengkomunikasikan tujuan dan arahan manajemen
v PO7 – Mengelola sumber daya manusia
v PO8 – Mengelola kualitas
v PO9 – Menilai dan mengelola resiko TI
v PO10 – Mengelola proyek
 Acquisition & Implementation.
Domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses
bisnis organisasi untuk mewujudkan strategi TI, juga meliputi perubahan dan
maintenance yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur
hidup sistem tersebut tetap terjaga.
Domain ini meliputi:
v AI1 – Mengidentifikasi solusi yang dapat diotomatisasi.
v AI2 – Mendapatkan dan maintenance software aplikasi.
v AI3 – Mendapatkan dan maintenance infrastuktur teknologi
v AI4 – Mengaktifkan operasi dan penggunaan
v AI5 – Pengadaan sumber daya IT.
v AI6 – Mengelola perubahan
v AI7 – Instalasi dan akreditasi solusi dan perubahan.
 Delivery & Support.
Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas
layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data
yang sedang berjalan.
Domain ini meliputi :
v DS1 – Menentukan dan mengelola tingkat layanan.
v DS2 – Mengelola layanan dari pihak ketiga
v DS3 – Mengelola performa dan kapasitas.
v DS4 – Menjamin layanan yang berkelanjutan
v DS5 – Menjamin keamanan sistem.
v DS6 – Mengidentifikasi dan mengalokasikan dana.
v DS7 – Mendidik dan melatih pengguna
v DS8 – Mengelola service desk dan insiden.
v DS9 – Mengelola konfigurasi.
v DS10 – Mengelola permasalahan.
v DS11 – Mengelola data
v DS12 – Mengelola lingkungan fisik
v DS13 – Mengelola operasi.
 Monitoring and Evaluation.
Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam
organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses
pemeriksaan yang dilakukan.
Domain ini meliputi:
v ME1 – Mengawasi dan mengevaluasi performansi TI.
v ME2 – Mengevaluasi dan mengawasi kontrol internal
v ME3 – Menjamin kesesuaian dengan kebutuhan eksternal.
v ME4 – Menyediakan IT Governance.

Kesimpulan:
 COBIT mengatur masalah tujuan yang harus dicapai oleh sebuah organisasi
dalam memberikan layanan TI, sedangkan ITIL merupakan best practice cara-
cara pengelolaan TI untuk mencapai tujuan organisasi. Sehingga dapat dikatakan
bahwa COBIT dan ITIL merupakan dua pendekatan dalam tata kelola TI dan tata
kelola layanan teknologi informasi yang saling melengkapi.
 Secara umum dapat dikatakan bahwa COBIT merupakan sebuah model tata
kelola TI yang memberikan sebuah arahan yang lengkap mulai dari sistem mutu,
perencanaan, manajemen proyek, keamanan, pengembangan dan pengelolaan
layanan. Arahan dari COBIT kemudian didetailkan kembali oleh beberapa model
framework sesuai dengan perkembangan keilmuan.

B. COSO
Sistem Pengendalian Menurut COSO
Committee of Sponsoring Organization of The Treadway Commission (COSO) pada
tahun 1992 mengeluarkan definisi tentang pengendalian internal. Definisi COSO
tentang pengendalian intern sebagai berikut: Internal control is process, affected
by entility’s board of directors, management and other personnel, designed to
provide reasonable assurance regarding the achievement of objectives in the
following categories:
 Effectiveness and efficiency of operations
 Realibillty of Financial Reporting
 Compliance with Applicable laws and regulations
Dalam bahasa Indonesia, terjemahannya sebagai berikut: sistem pengendalian
internal merupakan suatu proses yang melibatkan dewan komisaris, manajemen,
dan personil lain, yang dirancang untuk memberikan keyakinan memadai tentang
pencapaian tiga tujuan berikut ini:
 Efektivitas dan efisiensi operasi
 Keandalan pelaporan keuangan
 Kepetuhan kerhadap hukum dan peraturan yang berlaku).
Komponen-komponen pengendalian internal menurut COSO antara lain:
1. A control environment (lingkungan pengendalian).
Merupakan tanggung jawab manajemen puncak untuk menyatakan dengan jelas
nilai-nilai integritas dan kegiatan tidak etis yang tidak dapat ditoleransi.
2. Risk assessment (penaksiran resiko).
Perusahaan harus mengidentifikasi dan menganalisis faktor-faktor yang
menciptakan resiko bisnis dan harus menentukan bagaimana caranya mengelola
resiko tersebut.
3. Control activities (kegiatan pengendalian).
Untuk mengurangi terjadinya kecurangan, manajemen harus merancang
kebijakan dan prosedur untuk mengidentifikasi resiko tertentu yang dihadapi
perusahaan.
4. Information and communication (informasi dan komunikasi).
Sistem pengendalian internal harus dikomunikasikan dan diinfokan kepada
seluruh karyawan perusahaan dari atas hingga bawah.
5. Monitoring (pemantauan).
Sistem pengendalian internal harus dipantau secara berkala. Apabila terjadi
kekurangan yang signifikan, harus segera dilaporkan kepada manajemen puncak
and ke dewan komisaris.

C. ERM (Enterprise Risk Management

Beberapa tahun lalu, the Committee of Sponsoring Organizations of the
Treadway Commission (COSO) telah berhasil menerbitkan pengendalian internal
sebagai suatu kerangka kerja yang terintegrasi (Internal Control – Integrated
Framework). Maksud dari penerbitan ini sudah barang tentu untuk membantu pelaku
organisasi bisnis maupun organisasi lainnya dalam penilaian dan upaya yang
berkaitan dengan peningkatan sistem pengendalian internal. Kerangka kerja
tersebut dapat diaplikasikan ke dalam kebijakan, aturan maupun regulasi serta
dipergunakan oleh berbagai entitas untuk improvisasi pengendalian aktivitas proses
bisnis menuju upaya mewujudkan tujuan yang telah ditetapkan semula.
Akhir-akhir ini, para praktisi telah menyadari serta menekankan akan perlunya
perhatian dari para praktisi untuk memfokuskan pada aspek manajemen risiko (risk
management). Kebutuhan akan hal ini nampaknya semakin jelas setelah dirasakan
perlunya suatu kerangka kerja yang bebas dari pengaruh apapun, agar kelak dapat
dipergunakan untuk kepentingan identifikasi, penilaian dan mengelola risiko secara
efektif. Pada tahun 2001 COSO bersama dengan PricewaterhouseCoopers,
berhasil menjawab tantangan tersebut dengan mengembangkan kerangka kerja
yang dapat dipergunakan para manajer untuk mengevaluasi meningkatkan
manajemen risiko organisasi perusahaan (organizations’ enterprise risk
management).
COSO mengemukakan bahwa Enterprise Risk Management – Integrated
Framework mampu memberikan konsep dan prinsip utama, bahasa umum, pedoman
dan arahan yang jelas. Bahkan lebih lanjut diharapkan mampu diterima secara
meluas oleh berbagai perusahaan dan organisasi lainnya, stakeholder dan berbagai
pihak yang berkepentingan.

Definisi Enterprise Risk Management.

Menurut COSO (2004) definisi Enterprise Risk Management adalah sebagai
berikut:
“Enterprise Risk Management is a process, effected by an entity’s board of directors,
mangement and other personnel, applied is strategy setting and across the
enterprise, designed to identify potential events that may affect the entity, and
manage risk to be within its risk appetite, to provide reasonable assurance regarding
the achievement of entity objectives.”
Atas dasar definisi tersebut, kita dapat mensintesiskan Enterprise Risk Management
ke dalam beberapa konsep yang fundamental, antara lain meliputi:
 Suatu proses, yang berjalan dan mengalir di dalam suatu entitas atau organisasi..
 Diperngaruhi oleh individu pada semua tingkatan manajerial di dalam organisasi.
 Dapat dipergunakan untuk kepentingan formulasi strategi.
 Dapat diaplikasikan pada semua tingaktan manajerial, unit bsinis, termasuk
penentuan portofolio risiko.
 Dirancang untuk mengidentifikasikan peristiwa potensial, bilamana terjadi, yang
dapat mempengaruhi entitas dan mengelola risiko.
 Mampu memberikan jaminan yang rasional bagi manajemen dan diwan direksi
suatu entitas.
 Diarahkan untuk mewujudkan tujuan yang terpisah akan tetapi dalam kategori
yang tumpang tindih.
Jadi kalau dikaji, definisi yang dikemukakan oleh COSO memberikan makna yang
cukup luas. Memiliki kemampuan untuk mengakomodir konsep fundamental inti
mengenai bagaimana perusahaan dan organisasi lainnya mengelola risiko,
menyediakan dasar implementasi untuk berbagai organisasi, industri dan sektor.
Selanjutnya, definisi tersebut juga memfokuskan upaya untuk mewujudkan tujuan
yang telah ditetapkan dan memberikan landasan fundamental untuk menetapkan
efektivitas enterprise risk management.

Konsep Enterprise Risk Management

Pada dasarnya konsep dari Enterprise Risk Management – Integrated
Framework adalah mengembangkan konsep internal control yang bebas dari
pengaruh dan semakin memfokuskan pada aspek manajemen risiko perusahaan.
Konsep ini tidak bermaksud untuk menggantikan kerangka kerja internal control
yang ada melainkan menjadi suatu kesatuan. Para manajer dapat memanfaatkan
Enterprise Risk Management – Integrated Framework baik untuk memenuhi dan
memuaskan kebutuhan internal control maupun untuk mendukung proses
manajemen risiko. Jadi harus dapat diantisipasi dan dikendalikan oleh para manajer
adalah sampai seberapa jauh kemampun suatu entitas siap menghadapi dan
menerima risiko dalam upaya penciptaan nilai (creative value).
Premis yang mendasari enterprise risk management menyatakan bahwa setiap
entitas didirikan untuk menciptakan nilai yang diperuntukkan bagi para stakeholder.
Setiap entitas dalam menjalankan aktivitas operasional senantiasa menghadapi
permasalahan ketidakpastian. Para manajer yang profesional ditantang
kompetensinya dalam bentuk kemampuan untuk menentukan sampai seberapa
besar ketridakpastian yang dihadapinya dapat dikendalikan, sehingga usaha yang
mengarah pada peningkatan stakeholder value dapat terwujud.
Ketidak pastian yang kerap kali dihadapi para manajer dapat berupa risiko-risiko
atau peluang-peluang yang dapat diperoleh melalui suatu tindakan manajerial yang
dapat menurunkan atau meningkatkan penciptaan nilai. Melalui implementasi
Enterprise Risk Management – Integrated Framework, manajer diharapkan mampu
mengatasi secara efektif permasalahan ketidak pastian yang berkaitan dengan risiko
maupun peluang-peluang yang dapat memberikan potensi peningkatan kapasitas
pembentukan nilai.
Nilai (value) dikatakan maksimal bilamana manajer berhasil memformulasikan
strategi dan tujuan untuk mengoptimalkan keseimbangan pertumbuhan antara
pendapatan dan risiko, efisiensi dan efektivitas penggunaan sumber-sumber
ekonomis dalam merealisasikan tujuan yang telah ditetapkan. Para pakar, lebih
lanjut mengemukakan bahwa konsep Enterprise Risk Management mencakup
aspek:
 Alligning risk appetite and strategy.
 Enhancing risk response decisions.
 Reducing operational surprises and losses.
 Identifying and managing multiple and cros-enterprise risks.
 Seizing opportunities.
 Improving deployment of capital
Kapabiltas yang melekat dalam konsep Enterprise Risk Management sebetulnya
dapat membantu manajemen dalam hal:
 Upaya mewujudkan kinerja atau performansi suatu entitas, target profitabilitas
dan membantu melakukan tindakan preventif atas kemungkinan kerugian yang
timbul dari penggunaan sember-suber ekonomis.
 Efektivitas pelaporan dan kepatuhan terhadap aturan dan regulasi,
 Menghindari dan mencegah serta memelihara reputasi sntitas dan konsekuensi
yang terkait.
Secara singkat dapat kita katakan bahwa Enterprise Risk Management
membantu suatu entitas mau dirahkan kemana dan menghindari risiko-risiko yang
tidak terantisipasi atau nampak serta kejutan-kejutan yang berpengaruh pada
penciptaan nilai.

Audit Sistem Informasi Menggunakan Cobit 4.1 pada

PT. Erajaya Swasembada, Tbk.

Pengetahuan dan teknologi, terjadi perpaduan antar dua bidang ilmu,

khususnya pada bidang teknologi sistem informasi dan bidang akuntansi dengan
spesifikasi audit sehingga menghasilkan bidang ilmu baru yaitu audit sistem
informasi. Meskipun bidang ilmu ini baru muncul ke permukaan, tetapi sepak
terjangnya sangat dibutuhkan. Perusahaan-perusahaan besar sangat membutuhkan
peranan audit sistem informasi untuk memeriksa kehandalan dari sistem
komputerisasi yang mereka gunakan dalam pengerjaan operasional perusahaan.
Dunia bisnis pada masa sekarang sangat mengandalkan teknologi informasi
dan komunikasi untuk menjalankan proses bisnisnya. Oleh karena itu, adalah suatu
hal yang penting bagi dunia bisnis untuk memahami dan mengerti aspek teknologi
informasi dan komunikasi untuk dapat menerapkannya baik secara manajerial
maupun teknikal pada proses bisnis dan kegiatan ekspansinya.
Pritoritas utama diberikan terhadap suatu mekanisme kontrol atau
pengendalian, baik intern maupun ekstern, untuk memastikan bahwa laporan dan
keputusan yang diterima dan dihasilkan oleh manajemen merupakan suatu
pengambilan keputusan yang jujur dan mempunyai integritas tinggi berdasarkan
hasil proses audit yang dilakukan terhadap sistem berbasis teknologi informasi dan
komunikasi organisasi bisnis yang bersangkutan.
Adapun tujuan yang diinginkan dari audit sistem informasi ini adalah untuk
menciptakan Good Corporate Governance di dalam suatu perusahaan
Pengendalian internal masa depan, tidak hanya cukup dengan pengendalian umum
(general controls) dan pengendalian aplikasi dan formulir (application controls),
melainkan dibutuhkan juga pengendalian batasan (boundary control), pengendalian
proses (process control), dan pengendalian komunikasi aplikasi (application
communication control).
Salah satu standar penting dan efektif untuk diterapkan adalah COBIT atau
Control Objectives for Information and Related Technology. COBIT dikeluarkan oleh
organisasi bernama ISACA pada tahun 1992 dan merupakan standar yang
berorientasi pada proses, berfokus pada sasaran bisnis dan merupakan alat
manajerial dan teknikal untuk unit TI.
Penggunaan bantuan dan metode COBIT, memberi manfaat untuk perusahaan
yang dapat membantu untuk menciptakan Good Corporate Governance di dalam
suatu perusahaan serta membantu auditor, manajemen dan pengguna (user) untuk
menjembatani GAP antara risiko bisnis, kebutuhan kontrol (internal, application and
access control), security dan permasalahan- permasalahan teknis melalui
pengendalian terhadap masing-masing dari proses IT, serta meningkatkan tingkatan
kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari TI.
COBIT merupakan sekumpulan dokumentasi dan panduan yang mengarahkan
pada IT Governance dan Management yang dapat membantu auditor, manajemen,
dan pengguna (user) untuk menjembatani pemisah antara risiko bisnis, kebutuhan
kontrol, dan permasalahan- permasalahan teknis yang terjadi. COBIT dibagi dalam
4 domain utama yaitu:
- Plan and Organise (PO) - Mengarahkan perusahaan dalam penyampaian
solusi (AI) sampai kepada penyampaian pelayanan (DS)
- Acquire and Implement (AI) - Memberikan solusi dan merubahnya menjadi
suatu layanan
- Deliver and Support (DS) - Menerima solusi dan mengubahnya agar dapat
digunakan untuk penggunaan akhir
- Monitor and Evaluate (ME) - Memantau seluruh proses untuk memastikan
bahwa arah yang diberikan telah sesuai dijalankan.

Untuk lebih memperjelas dan lebih mempermudah pengamatan, COBIT 4.1

memecah 4 domain tersebut menjadi 34 pokok pembahasan.

Tabel 1. Daftar Proses TI COBIT

 Pada COBIT 4.1 pengendalian internal untuk menilai kinerja dapat menggunakan
maturity model. Maturity model merupakan dasar pengaturan dan pengontrolan
untuk departemen TI pada suatu perusahaan. Maturity model dibuat untuk menilai
kinerja proses TI yang dapat dijadikan landasan perusahaan dalam rangka perbaikan
kinerja. Pengukuran ini dibagi menjadi 6 level yaitu Non-Existent (0), Initial/ad hoc
(1), Repeatable but Intuitive (2), Defined (3), Managed and Measurable (4), dan
Optimized (5). Penilaian atas audit dengan menggunakan pengukuran maturity
model dibagi sesuai dengan domain COBIT. Penghitungan hasil tingkat kematangan
tiap- tiap domain dilakukan dengan penghitungan nilai yang paling sering muncul
(modus) pada masing- masing proses TI.
Pengimplementasian proses TI Plan and Organise pada tingkat kematangan 4 -
Managed and measurable, yaitu sebanyak 5 proses TI. Perusahaan mendapat 3
proses TI dengan tingkat kematangan 5 - Optimised, sedangkan 2 proses TI yang
lain berada pada tingkat kematangan dibawah 3 - Defined Process.
Pengimplementasian proses TI Acquire and Implement pada tingkat kematangan
5 - Optimised, yaitu sebanyak 4 proses TI. Perusahaan mendapat 3 proses TI yang
lain berada pada tingkat kematangan 4 - Managed and measurable.
Pengimplementasian proses TI Deliver and Support pada tingkat kematangan 4 -
Managed and measurable, yaitu sebanyak 6 proses TI. Perusahaan mendapat 5
proses TI dengan tingkat kematangan 5 - Optimised, dan 2 proses TI dengan tingkat
kematangan 3 - Defined Process. Pengimplementasian proses TI Monitor and
Evaluate pada tingkat kematangan 4 - Managed and measurable, yaitu sebanyak 3
proses TI. Perusahaan mendapat 1 proses TI dengan tingkat kematangan 3 -

Defined Process.
Penerapan proses TI Plan and Organise di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan membuat perencanaan strategi TI, membuat
tata kelola beserta anggaran yang akan dikeluarkan, merumuskan IT Goals yang
selaras dengan Business Goals, memiliki arsitektur yang jelas dalam
mendokumentasikan tanggung jawab tiap-tiap bagian, bagian TI memiliki tanggung
jawab penuh dalam pengadaan infrastruktur TI, memberikan pelatihan bagi para
personil perusahaan, serta terintegrasinya informasi perusahaan.
Pengimplementasian proses TI Plan and Organise pada tingkat kematangan
Managed and measurable (Level 4).
Penerapan proses TI Acquire and Implement di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan merumuskan kebutuhan sistem bagi pengguna,
bertanggung jawab menentukan kriteria pemilihan vendor, pemeliharaan infrastruktur
TI, serta merumuskan materi pelatihan sistem aplikasi. Pengimplementasian proses
TI Acquire and Implement pada tingkat kematangan Optimised (Level 5).
Penerapan proses TI Deliver and Support di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan memastikan keselarasan IT Goals dan
Business Goals, memiliki kontrak dengan pihak ketiga, pengontrolan kinerja sistem,
mengontrol dan mengevaluasi pembiayaan, memiliki program pelatihan, sistem yang
telah bersifat preventif, adanya pengaturan kerahasiaan data, dan kontrol yang ketat
dalam pengaksesan informasi. Pengimplementasian proses TI Deliver and Support
pada tingkat kematangan Managed and measurable (Level 4).
Penerapan proses TI Monitor and Evaluate di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan memonitor informasi operasional pada aplikasi,
sistem, dan proses, dokumentasi pengontrolan dan evaluasi, kepatuhan terhadap
peraturan dan kontrak, serta kejelasan pembagian tanggung jawab
dan kepemilikan tugas. Pengimplementasian proses TI Monitor and Evaluate
pada tingkat kematangan Managed and measurable (Level 4).

Daftar Pustaka:

Gondodiyoto, Sanyoto, Audit Sistem Informasi: Pendekatan COBIT. Edisi Revisi.

Jakarta: Mitra Wacana Media, 2007.

ISACA, CobiT 4.1. United States of America:

IT Governance Institute, 2007.

Cangemi, P. Michael and Singleton, Tommie, Managing The Audit Functio. Third
Edition. United States: John Willey & Sons, 2003.

Harry Andrian Simbolon, SE., M.Ak., QIA,

https://akuntansiterapan.com/2010/06/16/enterprise-risk-management/ (16 Juni
2010)
https://haendra.wordpress.com/pengertian-cobit/(08 Juni 2012)
Habsoro, A. (2009). Aplikasi Tata Kelola dan Audit Informasi Menggunakan. EEPIS
Repository , Vol 1, 10.
http://ghinaaulias.blogspot.co.id/2014/11/pengertian-coso.html