COBIT 5 adalah – Teknologi Informasi dapat membantu membuat keputusan pada tingkatan

manajerial, akan tetapi penerapan Teknologi Informasi membutuhkan biaya yang cukup besar
dengan resiko kegagalan yang tidak kecil. Untuk membuat penerapan Teknologi Informasi di dalam
perusahaan dapat digunakan secara maksimal, maka dibutuhkan pemahaman yang tepat mengenai
konsep dasar dari sistem yang berlaku, teknologi yang dimanfaatkan, aplikasi yang digunakan dan
pengelolaan serta pengembangan sistem yang dilakukan pada perusahaan tersebut.

COBIT 5 adalah a set of best practice (framework) bagi pengelolaan teknologi informasi (IT
management) yang secara lengkap terdiri dari: executive summary, framework, control objectives,
audit guidelines, implementation tool set serta management guidelines yang sangat berguna untuk
proses sistem informasi strategis.

Control Objectives for Information and related Technology (COBIT) berguna bagi IT users dalam
memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para
manajer memperoleh manfaat dalam keputusan saat menyusun strategic IT plan, menentukan
information architecture, dan keputusan atas procurement (pengadaan/pembelian) inventaris
organisasi.

COBIT dirancang terdiri dari 34 control objective yang tercermin di dalam 4 domain (IT Governance
Institute, 2007)

(Hariyanto, 2013) Menjelaskan mengenai domain terbagi dalam 34 Control Objective:

 Pengertian COBIT 5 dan Fungsinya for Information Security

 5 Prinsip Yang Mendasari COBIT 5

 Sertifikasi Auditor CISA Manfaatnya Dalam Dunia Kerja

  TOGAF Adalah Kerangka yang Lebih Mudah Beradaptasi Dengan Organisasi Perusahaan

1. Plan and Organise (PO), Secara umum domain ini meliputi strategi dan taktik, serta identifikasi
bagaimana TI dapat berkontribusi terhadap pencapaian sasaran bisnis. Domain ini dibagi ke dalam
10 fase dalam prosesnya, yaitu:

 PO1: Mendefinisikan rencana strategis TI

 PO2: Mendefinisikan arsitektur informasi

 PO3: Menentukan arahan teknologi

 PO4: Mendefinisikan proses TI, organisasi dan keterhubungannya

 PO5: Melelola investasi TI

 PO6: Mengkomunikasikan tujuan dan arahan manajemen

 PO7: Mengelola sumber daya TI

 PO8: Mengelola kualitas

 PO9: Menaksir dan mengelola resiko TI

 PO10: Mengelola proyek

2. Acquire and Implement (AI), Domain ini menggambarkan bagaimana perubahan dan
pemeliharaan dari sistem yang ada selaras dengan sasaran bisnis. Domain AI terbagi menjadi tujuh
proses TI yang dapat dilihat pada tabel berikut:

 AI1: Mengidentifikasi Solusi Otomatis

 AI2: Memperoleh dan Memelihara Software Aplikasi

 AI3: Memperoleh dan Memlihara Infrastruktur Teknologi

 AI4: Memungkinkan Operasional dan Penggunaan

 AI5: Memenuhi Sumber Daya TI

 AI6: Mengelola Perubahan

 AI7: Instalasi dan Akreditasi Solusi beserta Perubahannya

3. Deliver and Support (DS), Domain ini mencakup penyampaian hasil aktual dari layanan yang
diminta, termasuk pengelolaan kelancaran dan keamanan, dukungan layanan terhadap pengguna
serta pengelolaan data dan operasional fasilitas, yang meliputi:

 DS1: Mengidentifikasi dan Mengelola Tingkat Layanan

 DS2: Mengelola Layanan Pihak Ketiga

 DS3: Mengelola Kinerja dan Kapasitas

 DS4: Memastikan Layanan yang Berkelanjutan

 DS5: Memastikan Keamanan Sistem

 DS6: Mengidentifikasi dan Mengalokasikan Biaya

  DS7: Mendidik dan Melatih Pengguna

 DS8: Mengelola service desk

 DS9: Mengelola Konfigurasi

 DS10: Mengelola Permasalahan

 DS11: Mengelola Data

 DS12: Mengelola Lingkungan Fisik

 DS13: Mengelola Operasi

4. Monitor and Evaluate (ME), Domain ini terkait dengan kinerja manajemen, kontrol internal,
pemenuhan terhadap aturan serta menyediakan tata kelola. Fungsi doman ini sendiri adalah untuk
memastikan seluruh proses TI dapat dikontrol secara periodik yang bermaksud untuk menjaga
kualitas dan pemenuhan kebutuhan pasar. Berbeda dari domain yang lain, ME hanya terdiri dari 4
proses TI, yaitu:

 ME1: Mengawasi dan Mengevaluasi Kinerja TI

 ME2: Mengawasi dan Mengevaluasi Kontrol Internal

 ME3: Memastikan Pemenuhan terhadap Kebutuhan Eksternal

 ME4: Menyediakan Tata Kelola TI

Implementasi COBIT dipercaya dapat membantu perusahaan dalam hal meningkatkan

pendekatan/program audit, mendukung audit kerja dengan arahan audit secara rinci, memberikan
petunjuk untuk IT governance, sebagai penilaian benchmark untuk kendali IS/IT, meningkatkan
control IS/IT, dan sebagai standarisasi pendekatan/program audit.

IT Governance Indonesia ( ITGID ) merupakan lembaga pengembangan bidang teknologi informasi,

ITGID siap membantu perusahaan anda mencapai tujuan yang diharapkan, dengan mengadakan
Pelatihan COBIT 5. Untuk informasi lebih lengkap dapat lihat di: https://itgid.org/training/

Referensi: samuellasmana.wordpress.com

Coso

Sistem pengendalian intern yang dianut pemerintah Indonesia salah satunya diadopsi dari COSO
(Commitee of Sponsoring Organization of Treadway Commision) yaitu komisi yang bergerak di
bidang manajemen organisasi. Tujuan dari Sistem Pengendalian Intern secara umum akan
membantu suatu organisasi mencapai tujuan operasional yaitu efektifitas dan efisiensi kegiatan,
keterandalan laporan keuangan, dan kepatuhan pada peraturan yang berlaku. Sistem Pengendaian
Intern perlu diketahui oleh seluruh komponen organisasi karena sistem ini merupakan sistem yang
terintegrasi dan merupakan tanggung jawab bersama untuk mewujudkan tujuan organisasi.

Kerangka Pengendalian Internal-Terpadu COSO 2013 diterbitkan pada tahun 1992 oleh COSO.
Kemudian pada tanggal 14 Mei 2013, COSO merilis versi terbaru dari Kerangka Pengendalian
Internal-Terpadu. Kerangka baru COSO adalah hasil dari proyek multitahunan yang signifikan,
termasuk dua putaran paparan publik untuk meninjau, menyegarkan, dan memodernisasi kerangka
asli dengan memastikannya tetap relevan.

Para regulator dan stakeholder mempunyai ekspektasi tinggi mengenai pengawasan tata kelola,
manajemen risiko, dan pendeteksian serta pencegahan penyelewengan (fraud). Sementara
kemajuan telah dibuat dalam menghubungkan manajemen risiko dan praktik pengendalian internal
dalam mengejar tujuan strategis organisasi. Banyak perubahan sejak tahun 1992, peningkatan risiko
bisnis secara signifikan, sehingga kebutuhan akan kompetensi dan akuntabilitas jauh lebih besar dari
sebelumnya.

Perbedaan dari kerangka tahun 1992 :

Ø Kerangka asli termasuk diskusi panjang konsep pengendalian internal, yang sekarang
pengetahuan institusional.

Ø Meskipun konsep prinsip-prinsip pengendalian internal telah tertanam dalam kerangka asli,
prinsip tersebut belum terinci.

Ø Praktisi telah menggunakan kerangka pengendalian internal atas pelaporan keuangan eksternal,
namun kerangka ini meliputi tiga kategori utama, yaitu : tujuan termasuk operasi, pelaporan secara
keseluruhan, dan tujuan kepatuhan.

Dengan demikian, prinsip-prinsip yang mendasari perampingan kerangka asli yaitu:

1. meningkatkan fokus pada operasi,

2. pelaporan keuangan noneksternal, dan

3. tujuan kepatuhan.

Menurut COSO, “Pengendalian internal adalah suatu proses yang dilakukan oleh dewan entitas
direksi, manajemen, dan personil lainnya; dirancang untuk memberikan keyakinan memadai tentang
pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan.”

Kerangka pengendalian internal tahun 2013 masih menggunakan tiga kategori tujuan
tersebut, dan terdiri dari lima komponen terpadu : lingkungan pengendalian, penilaian risiko,
aktivitas pengendalian, informasi dan komunikasi, serta pemantauan. Kerangka tersebut terus
beradaptasi, dan memungkinkan kita untuk mempertimbangkan pengendalian internal dari entitas,
divisi, unit operasi, dan/atau tingkat fungsional, misalnya pusat layanan bersama.

Ø Komponen Pengendalian Internal dalam Kerangka COSO 2013

Ada 17 prinsip-prinsip pengendalian internal dalam komponen pengendalian internal :

I. Lingkungan Pengendalian

1. Menunjukkan komitmen terhadap integritas dan etika nilai-nilai.

2. Tanggung jawab pengawasan pelatihan.

3. Menetapkan struktur, wewenang, dan tanggung jawab.

4. Menunjukkan komitmen untuk berkompetensi

5. Meningkatkan akuntabilitas

II. Penilaian Risiko

6. Menentukan tujuan yang sesuai.

7. Mengidentifikasi dan menganalisis risiko.

8. Menilai risiko penyelewengan (fraud)

9. Mengidentifikasi dan menganalisis perubahan yang signifikan.

III. Aktivitas Pengendalian

10. Memilih dan mengembangkan kegiatan pengendalian

11. Memilih dan mengembangkan kontrol umum atas teknologi.

12. Menyebarkan melalui kebijakan dan prosedur.

IV. Informasi dan Komunikasi

13. Menggunakan informasi yang relevan.

14. Berkomunikasi secara internal

15. Berkomunikasi eksternal

V. Monitoring

16. Melakukan evaluasi berkelanjutan dan/atau terpisah.

17. Mengevaluasi dan mengkomunikasikan kelemahan.

I. Lingkungan Pengendalian

Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan dalam suatu organisasi yang
akan mempengaruhi efektivitas pengendalian. Kondisi lingkungan kerja dipengaruhi oleh beberapa
hal, yaitu adanya penegakan integritas dan etika seluruh anggota organisasi, omitmen pimpinan
manajemen atas kometensi, kepemimpinan manajemen yang kondusif, pembentukan struktur
organisasi yang sesuai dengan kebutuhan, pendelegasian wewenang dan tanggung jawab yang
tepat, penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya manusia,
perwujudan peran aparat pengawasan yang efektif, dan hubungan kerja yang baik dengan pihak
ekstern.

II. Penilaian Risiko

Risiko merupakan hal-hal yang berpotensi menghambat tercapainya tujuan. Identifikasi terhadap
risiko (risk identification) diperlukan untuk mengetahui potensi-potensi kejadian yang dapat
menghambat dan menghalangi terwujudnya tujuan organisasi. Setelah dilakukan identifikasi maka
dilakukan analisis terhadap risiko meliputi analisis secara kuantitatif (quantitative risk analysis) dan
kualitatif (qualitative risk analysis). Analisis risiko akan menentukan dampak kejadian, serta
merupakan input untuk mendapatkan cara mengelola risiko tersebut.
III. Aktivitas Pengendalian

Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko, menetapkan dan
melaksanakan kebijakan serta prosedur, serta memastikan bahwa tindakan tersebut telah
dilaksanakan secara efektif. Tindakan-tindakan yang dilakukan untuk mengatasi risiko dapat dibagi
menjadi 2 jenis tindakan yaitu tindakan preventif dan tindakan mitigasi. Tindakan preventif adalah
tindakan yang dilakukan sebelum kejadian yang berisiko berlangsung, sedangkan tindakan mitigasi
adalah tindakan yang dilakukan setelah kejadian berisiko berlangsung, dalam hal ini tindakan
mitigasi berfungsi untuk mengurangi dampak yang terjadi. Tindakan-tindakan tersebut juga harus
dilakukan evaluasi sehingga dapat dinilai keefektifan serta keefisienan tindakan tersebut.

IV. Informasi dan Komunikasi

Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan keputusan dalam
rangka penyelenggaraan tugas dan fungsi organisasi. Informasi yang berkualitas tentunya harus
dikomunikasikan kepada pihak-pihak yang terkait. Penyampaian informasi yang tidak baik dapat
mengakibatkan kesalahan interpretasi penerima informasi.

V. Pemantauan Pengendalian Intern

Pemantauan (monitoring) adalah tindakan pengawasan yang dilakukan oleh pimpinan manajemen
dan pegawai lain yang ditunjuk dan bertanggung jawab dalam pelaksanaan tugas sebagai penilai
terhadap kualitas dan efektivitas sistem pengendalian intern. Pemantauan dapat dilakukan dengan 3
cara yaitu pemantauan berkelanjutan (on going monitoring), evaluasi yang terpisah (separate
evaluation), dan tindak lanjut atas temuan audit.

Ø Lima Langkah Transisi Dari Kerangka COSO 1992 Ke Kerangka COSO 2013

1. Mengembangkan Kesadaran, Keahlian, dan Keselarasan

Langkah pertama dalam transisi ke Kerangka COSO 2013 adalah dengan membangun kesadaran
internal, keahlian pengguna COSO, dan keselarasan kepemimpinan di perusahaan. Untuk itu kita
harus memahami Kerangka COSO 2013.

2. Penilaian Dampak Aw al

Setelah memahami kerangka COSO 2013, kita perlu melakukan penilaian bagaimana dampak transisi
itu. Mungkin faktor paling signifikan yang mempengaruhi transisi dari versi 1992 sampai versi 2013
adalah bagaimana manajemen yang sesungguhnya diterapkan dengan baik.

3. Memfasilitasi Kesadaran, Pelatihan, dan Penilaian Komprehensif

Langkah 1 dan 2 terbatas hanya pada perusahaan. Langkah ketiga ini mensyaratkan terlibat
organisasi yang lebih luas untuk membangun kesadaran dan melakukan pressure test penilaian
dampak awal yang dilakukan pada langkah ke dua.

Kita harus memfasilitasi kesadaran untuk memperbarui Kerangka Kerja COSO. Kita juga harus
mendiskusikan dampak kerangka kerja COSO 2013 dengan auditor eksternal perusahaan, selain itu
pelatihan mendalam mungkin diperlukan.

4. Mengembangkan dan Menjalankan Rencana Transisi COSO

Setelah kita membangun kesadaran yang luas mengenai pembaharuan kerangka COSO, memperoleh
keselarasan kepemimpinan dan dukungan pada waktu transisi, serta menyelesaikan penilaian
dampak komprehensif, maka kemudian kita mengembangkan dan melaksanakan rencana transisi
perusahaan kita. Harus realistis antara harapan dan rencana. Ketika kita mengeksekusi rencana
transisi, kita akan melewati tiga tahap, yaitu:

a. Dokumentasi dan Evaluasi

Kita perlu memperbarui format dari dokumen yang mendasari perusahaan, menyelaraskan ke
pemetaan baru yang diciptakan dalam langkah dua. Dokumentasi yang mendasari harus mendukung
manajemen dalam membuat suatu keputusan. Kita juga harus mengevaluasi desain kontrol yang
mendasari dan meningkatkan desain sesuai kebutuhan.

b. Validasi Pengujian dan Gap (Kesenjangan) Remidiasi

Setelah kontrol perusahaan mengenai pelaporan keuangan eksternal dan pengungkapan efektif, kita
perlu melakukan pengujian validasi untuk memastikan kontrol ini telah diimplementasikan dan
beroperasi seperti yang diharapkan.

c. Review Eksternal dan Pengujian

Di beberapa titik, auditor eksternal perlu menilai dan mendapatkan kenyamanan dengan program
COSO 2013 dan dokumentasi pendukung.

5. Memacu Peningkatan Berkelanjutan

Setelah transisi untuk Kerangka COSO 2013 selesai, kita harus terus-menerus mendorong perbaikan
setelah transisi tersebut.

Mereka yang saat ini masih menggunakan COSO versi 1992 harus menyelesaikan transisi
mereka ke versi 2013 paling lambat 15 Desember 2014, di mana kerangka asli akan dianggap
digantikan.

Loncat ke pencarian

COSO Enterprise Risk Management — Integrated Framework (COSO ERM) adalah kerangka kerja
manajemen risiko korporasi (MRK) yang diterbitkan oleh Committee of Sponsoring Organizations of
the Treadway Commission Amerika Serikat pada tahun 2004. COSO ERM merupakan pengembangan
dari kerangka kerja COSO untuk pengendalian internal yang diterbitkan pada tahun 1992. Kerangka
kerja COSO ERM terdiri atas delapan komponen dan empat kategori sasaran yang divisualisasikan
dalam bentuk kubus.

Komponen[sunting | sunting sumber]

MRK terdiri atas delapan komponen yang saling terkait sebagai berikut.

1. Lingkungan internal (internal environment)

 2. Penentuan sasaran (objective setting)

3. Identifikasi peristiwa (event identification)

4. Penilaian risiko (risk assessment)

5. Tanggapan risiko (risk response)

6. Aktivitas pengendalian (control activities)

7. Informasi dan komunikasi (information and communication)

8. Pemantauan (monitoring)

Perbedaan coso Erm dan dan coso 2013

PERSAMAAN PERBEDAAN
 COSO dan ERM sama-sama  COSO terdiri atas 5 komponen (Control
merupakan framework untuk Environment, Risk Assessment, Control
mengelola risiko dan Activities, Monitoring, Information &
sekaligus menentukan bagaimana Communication) sedangkan ERM terdiri
opsi perlakuan yang tepat untuk atas 8 komponen yang merupakan
setiap COSO + Internal Control ERM (Internal
risiko, yang notabene merupakan Environment, Objective Setting (OS),
tanggung jawab manajemen. Event Identification (EI), Risk
Assessment (RA), Risk Response (RR),
 Esensi penerapan COSO dan ERM Control Activities, Information &
tidak terbatas pada industri tertentu, Communication, Monitoring).
artinya dapat diterapkan pada
berbagai jenis industri seperi industri  Stakeholder dari COSO adalah
keuangan, perbankan dan eksekutif, dewan direksi, regulator,
sebagainya. penyusun standar, organisasi profesi
sedangkan stakeholder dari ERM adalah
direksi dan manajemen.
 COSO dan ERM dirancang untuk
mencapai objektivitas organisasi
sesuai kebijakan manajemen.  Objektivitas COSO terdiri atas 3
(operations, financial reporting, dan
 Dalam proses evaluasi kinerja, COSO compliance) sedangkan objektivitas
dan ERM sama-sama membutuhkan ERM terdiri atas 4 (strategic, operations,
reporting, compliance).
 auditor internal untuk menilai
implementasinya.  COSO menekankan pada efektivitas dan
efisiensi organisasi pada unit aktivitas
sedangkan ERM mempertimbangkan
seluruh aktivitas pada semua level
organisasi.

Perbedaan coso & cobit

Perbedaan dan Persamaan COSO & CoBIT

CoBIT (Control Objectives for Information and Related Technology)

1. Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem informasi.

2. Sudut pandang atas internal control adalah kesatuan beberapa proses yang terdiri atas
kebijakan, prosedur, penerapan serta struktur organisasi.

3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang
efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi
dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang
berlaku.

4. Komponen/domain yang dituju adalah perencanaan dan pengorganisasian, pemaduan dan

penerapan, pengawasan atas dukungan serta pendistribusian.

5. Fokus pengendalian dari CoBIT adalah sisi teknologi informasi.

6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut
diterapkan dalam periode waktu yang sudah ditetapkan.

7. Pertanggungjawaban atas sistem pengendalian dari CoBIT ditujukan kepada manajemen.

COSO (Committee of Sponsoring Organizations)

1. Fokus Pengguna Utama adalah manajemen.

2. Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.

3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang
efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan
peraturan yang berlaku.

4. Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen resiko,

pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.
 5. Fokus pengendalian dari eSAC adalah keseluruhan entitas.

6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut
diterapkan dalam poin waktu tertentu.

7. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada manajemen.

Jika melihat dari hal-hal tersebut maka dapat dilihat adanya persamaan sebagai berikut:

 Seluruh tujuan dari framework CoBIT, eSAC dan COSO adalah pengendalian serta
pengawasan atas proses dan lingkungan.

 Pertanggungjawaban ditujukan kepada manajemen.

 Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku.