1.

Ketiga framework memiliki fungsi yang tumpang tindih (overlapping)

2. ERM fokus pada penanganan risiko dan manajemen risiko an overview level
3. COBIT fokus pada pengembangan IT dan implementation control
4. ISO 27002 fokus pada mengembangkan security management system on IT dan lebih
mendetail

SYSTEMS
 Comprehensive framework
 Sistem yang disusun secara tepat,
sesuai tujuan dan aman
 Memusatkan pada informasi dan
komunikasi dalam framework untuk
entitas dalam keseluruhan
 Memusatkan pada monitoring system
dengan proper incentive for monitoring
people
PEOPLE
 Memusatkan pada perekrutan talent
terbaik dalam hal kualitas SDM dan
intgritas
 Lebih baik untuk men-training orang
dalam mengimplementasi sistem
 Memusatkan pada monitoring system
dengan proper incentive for monitoring
people

Top lesson

1. Ketiga framework tersebut memiliki fungsi saling tumpang tindih (overlapping), dan
ketiganya memiliki fokusnya masing-masing
2. Berdasarkan pemetaan, kita dapat mengetahui kelebihan dan kekurangan dalam setiap
framework
3. lebih baik untuk tidak fokus pada salah satu framework saja
4. mengetahui kekuatan dan kekurangan, perusahaan dapat mengembangkan internal
framework yang menggabungkan ketiga framework
5. Hal ini dapat juga digunakan oleh internal audit untuk mengembangkan rencana
pemeriksaan berdasarkan ketiga framework tersebut sehingga overwork dapat terhindari

ERM

 Luas dan lengkap; Pendekatan yang menyeluruh terhadap seluruh resiko yang akan dihadapi
oleh perusahaan (6)
 Mampu menyusun system sesuai dengan filosofi perusahaan masing-masing (1)
 Pengetahuan yang lebih jelas mengenai bisnis dan risiko bisnis (4)
 Kemungkinan yang lebih besar untuk mencapai tujuan bisnis (3)
 Meningkatkan compliance/ketaatan dengan peraturan hukum untuk menciptakan tata
kelola yang baik (7)
 Meningkatkan efektivitas dan efisiensi (5)
 Standarized risk reporting / Pelaporan resiko yang terstandarisasi (2)
 Meningkatkan kepercayaan para stakeholder.(8)
COBIT

 Dapat memelihara kualitas informasi, seperti data yang tepat, relevan, dan tepat waktu (4)
 Mencapai tujuan startegic dan objektif melalui penggunaan IT (1)
 Mencapai operating excellence melalui penggunaan IT (2)
 Maintaining IT related risk at acceptance level (6)
 Optimalisasi biaya IT (3)
 Supporting compliance melalui IT (8)
 Pendekatan sistematis untuk mengatasi resiko (pendekatan yang terstandarisasi) (7)
 Meningkatkan kerahasiaan data (5)

ISO

 Menyediakan framework untuk menyelesaikan masalah keamanan (3)

 Menyediakan kebijakan dan prosedur sesuai dengan standar international (5)
 Menyediakan jaminan kerahasiaan yang risiko IT (1)
 Meningkatkan awareness akan keamanan data (4)
 Membantu dalam pengembangan best practice (2)
 Menggambarkan secara jelas, proses untuk implemention, management, maintainance,
ISMS evaluation (6)
 Mengoptimalisasi security delivery cost, fraud, error, in-efficiency dapat di kurangi (7)
 Menghasilkan peningkatan external perception dan confidence (8)