Satria Putra

A031181361

Another Internal Control Framework : CobiT

            SOx tidak memandatkan agar penggunaan  ketat  pada Kerangka COSO tetapi hanya untuk
pemanfaatanNya, memahami dan mengevaluasipengendalian internal . Beberapa profesional telah
menyatakan keprihatinan tentang COSO internkerangka kontrol dan mengkritik itu terutama karena
tidak memberikancukup penekanan pada teknologi informasi ( TI ) alat dan proses .
            Sebuah kerangka pengendalian internal yang lebih berorientasi IT , yang disebut
tujuan untukControl objectives forinformation and related T echnology (CobiT),CobiT framework
merpakan  pengendalian internal menyediakanpedoman evaluasi dan memahami pengendalian
internal , dengan penekananpada sumber daya TI perusahaan .
            Meskipun awalnya diluncurkan sebagai alat untuk membantu apa yang pernah disebut
"komputerauditor " (spesialis auditor internal dan eksternal yang merewiew IT )terkait internal
kontrol , COBIT adalah alat yang berguna untuk mengevaluasi semua kontrol internal disuatu
perusahaan sebagai tambahan disamping telah adanya internal control yang diterbitkan oleh COSO.

5.1  Pengantar CobiT

            CobiT merupakan kerangka pengendalian internal penting yang dapat berdiri sendiri tetapi
merupakan bagian penting sebagai  alat untuk mendokumentasikan dan memahami COSO dan SOx.
 Standar dan kerangka kerja CobiT diterbtkan dan diperbaharui secara berkala olehIT Governance
Institute ( ITGI , www.itgi.org ) dan berafiliasi erat dengan  organisasi profesional , Information
Systems Audit and Control Association (ISACA). ISACA lebih fokus pada audit IT sementara
penekanan ITGI adalah pada proses penelitian dan pemerintahan.
ISACA awalnya dikenal sebagai Electronic Data Processing Auditor's Association (EDPAA),
sebuah kelompok profesional yang dimulai pada tahun 1967 oleh auditor internal yang merasakan
organisasi profesional mereka, Institute of Internal Auditor ( IIA), tidak memberikan perhatian yang
cukup pada pentingnya sistem TI dan kontrol teknologi sebagai bagian dari aktivitas audit internal.
EDP pernah berdiri untuk pemrosesan data elektronik, hari ini istilah yang hampir kuno untuk IT.
Seiring waktu, perusahaan profesional ini memperluas fokusnya dan menjadi ISACA, sedangkan IIA
juga telah lama merangkul masalah teknologi yang kuat. EDPAA mulai mengembangkan materi
panduan profesional audit TI segera setelah pembentukannya. Sama seperti EDPAA berevolusi
menjadi ISACA dan sekarang ITGI, standar audit TI aslinya menjadi serangkaian tujuan pengendalian
internal yang sangat baik yang berkembang menjadi CobiT. Kerangka CobiT sering digambarkan
sebagai segi lima yang mencakup lima area pengendalian internal yang luas dan saling berhubungan
sbb :
Keselarasan strategis. Upaya harus dilakukan untuk menyelaraskan operasi dan aktivitas TI dengan
semua operasi perusahaan lainnya. Ini termasuk membangun hubungan antara operasi bisnis
perusahaan dan rencana TI serta proses untuk mendefinisikan, memelihara, dan memvalidasi
hubungan kualitas dan nilai.
Satria Putra
A031181361

Pengiriman nilai. Proses harus ada untuk memastikan bahwa TI dan unit operasi lainnya
memberikan manfaat yang dijanjikan sepanjang siklus pengiriman dan dengan strategi yang
mengoptimalkan biaya sambil menekankan nilai intrinsik TI dan aktivitas terkait.
Manajemen risiko. Manajemen, di semua tingkatan, harus memiliki pemahaman yang jelas tentang
selera risiko perusahaan, persyaratan kepatuhan, dan dampaknya risiko yang signifikan. Baik TI dan
operasi lainnya memiliki tanggung jawab manajemen risiko sendiri dan bersama yang dapat
berdampak secara individu atau bersama-sama pada seluruh perusahaan.
Pengelolaan sumber daya. Dengan penekanan pada TI, harus ada investasi yang optimal dan
pengelolaan yang tepat dari sumber daya TI kritis, aplikasi, informasi, infrastruktur, dan orang-orang.
Tata kelola TI yang efektif bergantung pada optimalisasi pengetahuan dan infrastruktur.
Pengukuran kinerja. Proses harus ada untuk melacak dan memantau implementasi strategi,
penyelesaian proyek, penggunaan sumber daya, kinerja proses, dan pemberian layanan. Mekanisme
tata kelola TI harus menerjemahkan strategi implementasi menjadi tindakan dan pengukuran untuk
mencapai tujuan ini. Kelima masalah pengendalian internal CobiT ini adalah elemen kerangka CobiT
dan tata kelola TI yang jelas. Kerangka kerja CobiT adalah alat yang efektif untuk
mendokumentasikan TI dan semua kontrol internal lainnya.

5.2 Kerangka COBIT

Proses TI dan aplikasi perangkat lunak pendukungnya serta perangkat keras merupakan
komponen kunci dalam perusahaan mana pun saat ini. Baik bisnis ritel kecil yang perlu melacak
inventaris dan membayar karyawan, atau perusahaan besar Fortune 50, semua perusahaan
memerlukan serangkaian proses TI yang saling berhubungan dan seringkali rumit yang terkait erat
dengan operasi bisnis mereka. Artinya, proses bisnis dan sumber daya TI pendukungnya bekerja
dalam hubungan berbagi informasi yang erat. TI tidak dapat dan tentu saja tidak boleh memberi tahu
operasi bisnis jenis proses dan sistem TI apa yang harus mereka pertimbangkan untuk diterapkan,
tetapi TI memberikan informasi untuk membantu memengaruhi keputusan bisnis.
Pada masa-masa awal sistem komputer, manajer TI terkadang merasa mereka memiliki
banyak jawaban dan solusi sistem yang dipromosikan untuk bisnis mereka, terkadang dengan hasil
yang sangat kontraproduktif. Namun, saat ini hubungan ini telah berubah, dan TI dan operasi bisnis
umumnya memiliki hubungan timbal balik yang erat antara persyaratan dan informasi bersama.
Auditor internal harus memahami kebutuhan dan persyaratan berbagi informasi di kedua sisi. TI
memiliki tanggung jawab atas serangkaian area proses terkait lainnya yang diaudit oleh atau melalui
pedoman audit yang ditetapkan, diukur dengan serangkaian ukuran dan aktivitas indikator kinerja, dan
dibuat efektif melalui serangkaian tujuan aktivitas. Semua aktivitas ini merupakan bagian dari CobiT,
kerangka kerja kontrol termasuk TI dan proses bisnis.
Auditor internal harus memahami kebutuhan dan persyaratan berbagi informasi di kedua sisi.
TI memiliki tanggung jawab atas serangkaian area proses terkait lainnya yang diaudit oleh atau
Satria Putra
A031181361

melalui pedoman audit yang ditetapkan, diukur dengan serangkaian ukuran dan aktivitas indikator
kinerja, dan dibuat efektif melalui serangkaian tujuan aktivitas. Semua aktivitas ini merupakan bagian
dari CobiT, kerangka kerja kontrol termasuk TI dan proses bisnis. Auditor internal harus memahami
kebutuhan dan persyaratan berbagi informasi di kedua sisi. TI memiliki tanggung jawab atas
serangkaian area proses terkait lainnya yang diaudit oleh atau melalui pedoman audit yang ditetapkan,
diukur dengan serangkaian ukuran dan aktivitas indikator kinerja, dan dibuat efektif melalui
serangkaian tujuan aktivitas. Semua aktivitas ini merupakan bagian dari CobiT, kerangka kerja
kontrol termasuk TI dan proses bisnis.
Tata kelola TI adalah konsep CobiT kunci yang, sebelum SOx, tidak terlalu ditekankan
sebagai elemen CobiT. Ini adalah konsep pengendalian internal yang penting saat ini dengan ITGI
memainkan peran kepemimpinan yang kuat. Seperti yang dijelaskan dalam Tampilan 5.1, CobiT
mendefinisikan tata kelola TIsebagai serangkaian area utama mulai dari menjaga fokus pada
penyelarasan strategis hingga pentingnya pengukuran risiko dan kinerja.
a) Komponen Kubus CobiT: Sumber Daya TI
Sisi Sumber Daya TI dari kubus CobiT tiga dimensi mewakili semua aset TI
perusahaan, termasuk orang-orangnya, sistem aplikasi, teknologi terpasang, fasilitasnya, dan
nilai datanya. Melihat Tampilan 5.3, sisi kubus ini mewakili perhatian untuk semua sumber
daya yang diperlukan untuk pengoperasian sumber daya TI perusahaan. Baik secara individu
atau sebagai kelompok, sumber daya ini harus dipertimbangkan ketika mengevaluasi kontrol
dalam lingkungan TI, yang diidentifikasi sebagai:
 Aplikasi terdiri dari sistem pengguna otomatis dan prosedur manual untuk memproses
informasi Informasi, termasuk input, output, dan data yang diproses, untuk digunakan oleh
proses bisnis
 Komponen teknologi dan infrastruktur fasilitas termasuk perangkat keras, sistem operasi,
database, jaringan, dan lingkungan yang menampung dan mendukungnya
 Personil kunci dan khusus untuk merencanakan, mengatur, memperoleh, menerapkan,
mendukung, memantau, dan mengevaluasi layanan TI

b) Komponen Kubus CobiT

(i) PROSES TI Dimensi kedua dan menghadap ke depan dari kubus CobiT
mereferensikan Proses TI dan terdiri dari tiga segmen: domain, proses, dan aktivitas.
Domain adalah pengelompokan proses TI yang sesuai dengan area tanggung jawab
organisasi; CobiT mendefinisikan empat area domain spesifik:
 Perencanaan dan usaha. Area domain ini mencakup strategi dan taktik itu
memungkinkan TI untuk memberikan kontribusi terbaik dan mendukung
tujuan bisnis perusahaan. Jenis pesan visi strategis TI ini harus
Satria Putra
A031181361

dikomunikasikan ke seluruh perusahaan — pesan misi TI dan apa yang ingin

dicapai untuk keseluruhan perusahaan. Ini adalah materi khusus IT yang
mirip dengan pembahasan Bab 24 tentang etika.
 Akuisisi dan implementasi. Solusi TI perlu diidentifikasi, dikembangkan
oped atau diperoleh, dan keduanya diimplementasikan dan terintegrasi
dengan proses bisnis. Area domain ini mencakup perubahan dan
pemeliharaan sistem yang ada.
 Pengiriman dan dukungan. Area domain ini mencakup pengiriman yang
sebenarnya diperlukan layanan, baik aplikasi maupun alat infrastruktur.
Proses sebenarnya dari data dan kontrol aplikasi tercakup dalam domain ini.
 Pemantauan dan evaluasi. Area ini mencakup proses kontrol, termasuk
pemantauan kualitas dan kepatuhan, serta prosedur evaluasi audit eksternal
dan internal.
Bahan deskriptif COBIT menggambarkan masing-masing domain daerah secara lebih rinci :
Tentukan rencana strategis TI, Menentukan arsitektur informasi, Menentukan arah teknologi,
Tentukan perusahaan TI dan hubungan, Mengelola investasi TI, Komunikasikan tujuan manajemen
dan arah, Mengelola sumber daya manusia, Memastikan kepatuhan terhadap persyaratan eksternal,
Menilai risiko, Mengelola proyek, dan Mengelola kualitas .
(ii) PERSYARATAN BISNIS Dimensi ketiga kubus CobiT dijelaskan sebagai
Persyaratan Bisnis. Ketujuh komponennya harus dipertimbangkan untuk semua
persyaratan bisnis dengan mempertimbangkan sumber daya dan proses TI yang
diperlukan: Efektivitas, Efisiensi, Kerahasiaan, Integritas, Ketersediaan, Pemenuhan
dan Keandalan
Semua sistem TI secara keseluruhan harus dievaluasi berdasarkan tujuh area
ini. Penekanan akan bervariasi tergantung pada jenis proses, tetapi semua proses TI
harus mempertimbangkan kriteria ini. Fungsi bisnis biasanya menetapkan persyaratan
seperti itu untuk umum kebutuhan bisnis dan untuk IT. Masing-masing atribut ini
dibahas secara lebih rinci di Bagian 5.3 dan Bab 18 tentang mengaudit kontrol umum
TI menggunakan ITIL. Kubus CobiT menyajikan cara yang efektif untuk memahami
hubungan antara persyaratan bisnis, proses TI, dan sumber daya TI. Sifat model tiga
dimensi menekankan hubungan silang dan saling ketergantungan antara proses bisnis
dan TI. Di dunia kita yang bergantung pada TI, ini adalah cara yang berguna bagi
auditor internal untuk melihat dan memahami kontrol internal. CobiT adalah
rangkaian proses yang kaya — terkadang hampir terlalu kaya — untuk berfokus pada
tujuan bisnis dan TI serta kontrol utama dan mengidentifikasi metric pengukuran
utama. Bagian selanjutnya membahas CobiT dalam beberapa detail tingkat tinggi,
Satria Putra
A031181361

tetapi pembaca didorong untuk berkonsultasi dengan materi CobiT IT Governance

Institute untuk rincian dan penjelasan lebih lanjut.

5.3 Menggunakan COBIT untuk Menilai Pengendalian Intern

Selain kubus CobiT, dengan bagian depan yang menunjukkan diagram aliran proses untuk
menekankan hubungan, materi panduan CobiT yang diterbitkan 2 dapat terlihat tangguh bagi
beberapa auditor internal dan banyak bisnis dan bahkan profesional TI. Bahan referensi dasar CobiT
diterbitkan dalam hampir 200 halaman manual yang diisi terutama dengan serangkaian bagan dan
tabel. Ini adalah seperangkat materi yang berguna, tetapi beberapa studi mungkin diperlukan untuk
memahami sepenuhnya konsep di balik kerangka CobiT. Bagian di sini harus membantu auditor
internal untuk menavigasi melalui kerangka CobiT yang diterbitkan dan, yang lebih penting,
menggunakannya untuk mengembangkan dan menilai pengendalian internal perusahaan.
Meskipun setiap dimensi kubus CobiT dapat digunakan untuk memahami lingkungan kontrol,
empat domain yang telah dibahas sebelumnya, dimulai dengan perencanaan dan perusahaan,
berfungsi sebagai langkah pertama yang efektif. Berdasarkan tiga dimensi kubus kontrol CobiT ini,
setiap proses TI harus dievaluasi melalui lima langkah navigasi dengan cara ini:
I Kontrol dari ( nama proses)
II Yang memuaskan ( daftar persyaratan bisnis)
III Dengan berfokus pada ( daftar tujuan TI yang penting)
IV Dicapai oleh ( daftar pernyataan kontrol)
V Dan diukur dengan ( daftar metrik utama)
Proses lima langkah ini dapat dimulai dari nomor I ke bawah atau dapat dimulai dari tingkat
dasar dan mengarah ke atas. Dalam kedua kasus, kerangka kerja CobiT mengatakan bahwa kontrol
dari setiap proses harus dipenuhi oleh daftar persyaratan bisnis pendukung dan bahwa tujuan bisnis
tersebut harus fokus pada tujuan TI yang penting. Ini masuk akal. Proses yang ditentukan hanya akan
menjadi sebuah nama kecuali bisnis spesifik dan persyaratan TI mendorong dan mengatur proses itu.
Masing-masing persyaratan tersebut harus ditentukan oleh satu atau lebih pernyataan pengendalian
dengan praktik pengendalian khusus. Terakhir, kami tidak dapat menilai apakah masalah beroperasi
secara efektif dan metrik pengukuran utama diperlukan. Proses lima langkah ini dapat menjadi skrip
untuk memahami kontrol yang mendukung proses apa pun di perusahaan. Elemen penting di sini
adalah mendefinisikan pernyataan kendali angka IV yang mendukung setiap proses dan angka V
pengidentifikasian metrik untuk menilai kendali yang teridentifikasi tersebut. Meskipun penekanan
CobiT secara historis dalam bidang TI, jenis analisis ini harus digunakan untuk berbagai audit terkait
pengendalian internal, baik terkait TI maupun tidak.
a) Perencanaan dan Enterprise
CobiT menyerukan sekelompok proses tingkat tinggi yang mengatur arah untuk
perusahaan dan sumber daya TI-nya. Untuk domain ini, CobiT menyerukan 10 tujuan kontrol
Satria Putra
A031181361

Perencanaan dan Pengorganisasian (PO) tingkat tinggi, didefinisikan dan dinomori dengan
cara ini:
PO1     Menentukan rencana strategis.
PO2     Menentukan gambaran informasi.
PO3     Menentukan arah teknologi.
PO4     Mendefinisikan proses TI, perusahaan, dan hubungan.
PO5     Mengelola investasi TI.
PO6     Komunikasikan tujuan manajemen dan arah.
PO7     Mengelola sumber daya manusia TI.
PO8     Mengelola kualitas.
PO9     Menilai dan mengelola risiko TI.
PO10   Mengelola proyek.
Ini semua adalah konsep tingkat tinggi di mana banyak manajer mungkin
berargumen, "Tentu saja!" ketika auditor internal menggunakan daftar ini untuk menanyakan
apakah mereka memiliki rencana strategis, telah mendefinisikan arsitektur informasi mereka,
atau sesuai dengan salah satu tujuan PO ini. Namun, CobiT menelusuri area tujuan control
yang telah ditentukan dengan lebih rinci. Meskipun banyak dari masalah yang serupa, hal ini
sangat kontras dengan elemen Pemantauan dari pengendalian internal COSO sebagaimana
dibahas dalam Bab 3. Di sana, konsepnya hanya berada pada level yang cukup tinggi; CobiT
jauh lebih spesifik. Misalnya, dengan menggunakan tujuan pengendalian PO1 ini untuk
mendefinisikan rencana strategis, CobiT kemudian menjelaskan enam tujuan yang lebih rinci
di bawah PO1:
PO1.1  Manajemen nilai TI.
PO1.2  Keselarasan Bisnis-IT.
PO1.3  Penilaian kinerja saat ini.
PO1.4  IT rencana strategis.
PO1.5  IT rencana taktis.
PO1.6  Manajemen portofolio TI.
Penomoran ini penting, karena COBIT diterbitkan dari referensi masing-masing dan
dan sebagai tujuan  dalam hal input dan output mereka. Bahan COBIT diterbitkan
memberikan gambaran tingkat tinggi untuk masing-masing sasarannya. Sebagai contoh,
tujuan PO1.4 pada rencana strategis menyatakan:
“Membuat rencana strategis dapat didefinisikan bahwa, dalam kerjasama dengan para
pemangku kepentingan yang relevan, TI harus memberikan kontribusi untuk tujuan strategis
perusahaan itu (gol) dan biaya terkait dan risiko pengedaliannya. Ini mencakup bagaimana
TI akan mendukung program investasi dan pelayanan operasional. Ini mendefinisikan
bagaimana tujuan akan bertemu dan diukur dan akan diterima secara formal dari para
Satria Putra
A031181361

pemangku kepentingan. Rencana strategis TI harus mencakup investasi / biaya operasional,

sumber pendanaan, strategi sourcing, strategi akuisisi, dan persyaratan hukum dan
peraturan.”
Pada paragraph ini merupakan contoh salah satu dari banyak tujuan pengendalian
dalam COBIT.Disini tidak memberita hu profesional bagaimana menulis sebuah rencana
strategis IT tapi memberikan bimbingan yang sangat baik tentang bagaimana membangun
rencana tersebut, tidak peduli ukuran atau status dari perusahaan.Ini tujuan umum dan alat
yang baik untuk auditor internal untuk membangun kriteria kajian di bidang ini.
Untuk setiap tujuan COBIT, bahan bimbingan juga mengandung apa yang disebut
diagram RACI. Sebuah alat yang berevolusi dari inisiatif kualitas pada tahun 1960, grafik
RACI adalah alat yang baik untuk mengidentifikasi peran dan tanggung jawab proses..
Tanggung jawab untuk kegiatan tersebut diidentifikasi dalam berpotongan sel melalui satu
atau beberapa inisial RACI:
R = Responsible, atau memiliki masalah atau proses.
A = Akuntabel, atau yang harus menandatangani aktivitas sebelum efektif.
C = Consulted , atau yang memiliki informasi dan / atau kemampuan untuk menyelesaikan
kerja.
I = Informed, atau yang harus diberitahu tentang hasil tetapi tidak perlu dikonsultasikan.

b) Akuisisi dan Implementasi

Setiap tujuan pengendalian tingkat tinggi COBIT membahas prosedur pengendalian
dalam format umum yang sama.
A11                 Mengidentifikasi solusi otomatis.
A12                 Memperoleh dan memelihara perangkat lunak aplikasi.
A13                 Memperoleh dan memelihara infrastruktur teknologi.
A14                 Aktifkan operasi dan digunakan.
A15                 Pengadaan sumber daya TI.
A16                 Mengelola perubahan.
A17                 Instal dan akreditasi solusi dan perubahan.
Masing-masing tujuan rinci diatas meliputi prosedur kontrol atas  pelaksanaan alat-
alat baru. Sementara penekanannya pada software IT. Namun, Ruang tidak memungkinkan
diskusi lengkap masing-masing tujuan kontrol, tapi kami akan diperiksa AI6 pada
pengelolaan perubahan sebagai contoh bagaimana COBIT menguraikan daerah kontrol ini.
Misalnya, sebelumnya kita diuraikan proses lima langkah COBIT untuk mengevaluasi tujuan
pengendalian. AI6 tujuan untuk mengelola perubahan mengikuti proses lima langkah yang
sama:
I. Kontrol atas Proses TI mengelola perubahan
Satria Putra
A031181361

II. Yang memenuhi kebutuhan bisnis untuk TI menanggapi kebutuhan bisnis yang selaras
dengan strategi bisnis, sekaligus mengurangi solusi dan cacat pengiriman dan pengerjaan
ulang
III. Dengan berfokus pada pengendalian penilaian dampak, otorisasi, dan pelaksanaan
semua perubahan pada infrastruktur TI, aplikasi, dan solusi teknis, meminimalkan kesalahan
karena permintaan spesifikasi lengkap dan implementasi penghentian perubahan tidak sah
IV. Dapat dicapai dengan  Mendefinisikan dan mengkomunikasikan prosedur perubahan,
termasuk perubahan darurat Menilai, memprioritaskan, dan otorisasi perubahan Status
Pelacakan dan pelaporan tentang perubahan
V. Dan diukur dengan  Jumlah gangguan atau kesalahan data yang disebabkan oleh
spesifikasi yang tidak akurat atau tidak lengkap Application penilaian dampak atau ulang
infrastruktur akibat tidak memadai spesifikasi Persen perubahan perubahan yang mengikuti
perubahan internal mengontrol proses.

c) Pengiriman dan Dukungan

Setelah format umum yang sama, tujuan tingkat tinggi ketiga control COBIT adalah
Pengiriman dan dukungan (DS). Tujuan pengendalian ini terutama mencakup isu-isu
manajemen pelayanan berkaitan dengan tujuan proses bisnis ITIL.Ini benar-benar menyoroti
beberapa perubahan pemahaman kita tentang internal kontrol yang telah berkembang sejak
diberlakukannya SOx pada tahun 2002. Kedua COBIT dan ITIL adalah dengan kami pada
waktu itu, tetapi SOx Pasal 404 penekanan pada pengendalian internal yang efektif telah
membawa hal-hal bersama-sama. Tujuan pengendalian COBIT DS mirip dengan kontrol
internal ITIL untuk meningkatkan proses bisnis. Keduanya menutupi area penting dari apa
yang dikenal sebagai manajemen layanan TI, proses yang diperlukan untuk memastikan
operasional TI yang efisien dan untuk memberikan layanan ini.
Ada kebutuhan untuk pelayanan yang efisien dan masalah  proses manajemen untuk
melaporkan dan mengatasi hal-hal tersebut. The COBIT DS control  Tujuan mencakup
banyak segmen-segmen penting:
DS1     Mendefinisikan dan mengelola tingkat layanan.
DS2     Mengelola layanan pihak ketiga.
DS3     Mengelola kinerja dan kapasitas.
DS4     Pastikan layanan secara kontinu.
DS5     Pastikan sistem keamanan.
DS6     Mengidentifikasi dan mengalokasikan biaya.
DS7     Mendidik dan melatih pengguna.
DS8     Mengelola service desk dan insiden.
DS9     Mengelola konfigurasi.
Satria Putra
A031181361

DS10   Mengelola masalah.

DS11   Mengelola data.
DS12   Mengelola lingkungan fisik.
DS13   Mengelola operasi.

d) Monitoring dan Evaluasi

Selanjutnya, COBIT keempat disebut Monitoring dan Evaluasi (ME). tujuan
pengendalian yang menekankan COBIT sebagai proses loop tertutup yang secara efektif tidak
pernah berakhir. COBIT panggilan untuk menetapkan langkah-langkah dasar untuk
memungkinkan suatu perusahaan untuk mengukur bagaimana kinerja mereka dan
memberikan mereka kesempatan di masa mendatang. Segmen ini meliputi bidang-bidang
jaminan kualitas yang secara tradisional telah lebih umum untuk manufaktur dan operasi
lainnya .
Untuk proses bisnis yang akan dianalisis dan diukur dalam mengidentifikasi berbagai
sumber yang menyebabkan produk yang diberikan berbeda dengan yang diinginkan
pelanggan. Deming mengusulkan bahwa umpan balik proses bisnis harus dilakukan terus
menerus sehingga manajer dapat mengidentifikasi dan mengubah bagian dari proses yang
membutuhkan perbaikan.
            Deming disebut ini sebagai siklus Plan, Do, Check Act (PDCA), berikut adalah langkah
langkahnya:
Langkah 1. Rencana: Desain atau merevisi proses bisnis untuk meningkatkan hasil.
Langkah 2. Lakukan: Melaksanakan untuk merencanakan dan mengukur kinerjanya.
Langkah 3. Periksa: Menilai pengukuran dan melaporkan hasilnya
Langkah 4. Act: Tentukan perubahan yang diperlukan untuk meningkatkan hasil.
Bahan kontrol untuk ME2 (Monitor and evaluate internal controls) pada pemantauan
dan evaluasi pengendalian internal adalah contoh yang baik dari kekuatan COBIT itu sendiri.
Ini menyatakan bahwa proses monitoring dan evaluasi pengendalian internal dicapai dengan
mendefinisikan sistem kontrol TI yang terdapat didalam kerangka proses TI, dengan
memantau dan melaporkan efektivitas kontrol internal, dan dengan melaporkan pengecualian
kepada manajemen untuk tindakan korektif.
Penilaian diri sendiri atas Pengendalian mengacu pada proses tinjauan internal yang
sedang berlangsung pada kelengkapan dan efektivitas pengendalian internal seseorang. Hal
itu adalah proses audit internal yang sangat penting untuk diperhatikan. Terdapat tujuh tujuan
Pemantauan dan Mengevaluasi Pengendalian Internal COBIT :
Pemantauan ME2.1 Kerangka Pengendalian Intern . Auditor Internal harus terus
memantau kerangka lingkungan pengendalian dan menggunakan industri praktek terbaik dan
benchmarking untuk meningkatkan lingkungan pengendalian dan kerangka .
Satria Putra
A031181361

Ulasan Pengawas ME2.2. Selain ulasan auditor, COBIT memantau dan melaporkan

efektivitas pengendalian internal IT melalui review pengawasan, termasuk kepatuhan
terhadap kebijakan dan standar, keamanan informasi, kontrol perubahan, dan kontrol
didirikan pada perjanjian tingkat layanan .
ME2.3 Kontrol Pengecualian. Mencatat informasi mengenai semua pengecualian kontrol
dan memastikan bahwa hal itu mengarah pada analisis penyebab dan tindakan korektif .
Manajemen harus memutuskan yang mana pengecualian yang harus dikomunikasikan
kepada individu yang bertanggung jawab untuk fungsi dan  pengecualian pengendalian
mana yang harus ditingkatkan.
ME2.4 Control Self - Assessment. Manajemen TI harus mengevaluasi kelengkapan dan
efektivitas pengendalian internal atas proses TI mereka melalui program berkelanjutan dari
self-assessment.
ME2.5 Jaminan Pengendalian Intern. IT harus mendapatkan , sesuai kebutuhan, kepastian
lebih lanjut dari kelengkapan dan efektivitas pengendalian internal melalui review pihak
ketiga oleh fungsi kepatuhan perusahaan , audit internal , konsultan luar , atau lembaga
sertifikasi .
ME2.6 Pengendalian Internal pada Pihak Ketiga. Menilai status pengendalian internal
masing-masing penyedia eksternal internal dan memastikan bahwa mereka mematuhi
persyaratan hukum dan peraturan dan kewajiban kontrak.
ME2.7 Tindakan Remedial. Mengidentifikasi dan melakukan tindakan perbaikan
berdasarkan kontrol penilaian dan pelaporan. Ini termasuk tindak lanjut dari semua
penilaian termasuk : ( 1 ) review, negosiasi , dan pembentukan manajemen tanggapan, (2 )
pembagian tanggung jawab untuk perbaikan atau penerimaan risiko; dan ( 3 ) melacak hasil
dari tindakan yang diambil.

Tujuan pengendalian CobiT ini dijelaskan sebagai "rinci" tetapi memberikan celah
untuk berbagai prosedur pengendalian yang lebih luas lagi. Misalnya, ME2.1 tentang
pemantauan kerangka pengendalian internal meminta auditor internal untuk mengembangkan
prosedur pengendalian terperinci yang biasanya dapat menghasilkan program yang terdiri dari
lebih banyak pengujian atau langkah. Tujuan pengendalian CobiT ini, serta semua tujuan
lainnya dalam dokumentasi pendukung, memiliki bagian tentang menilai kematangan setiap
pengendalian internal. Kematangan di sini mengacu pada Model Kematangan Kemampuan
(CMM; kadang-kadang disebut CMMi, di mana saya singkatan dari integrasi area proses dan
praktik terbaik). CMMi adalah ukuran penilaian lima tingkat yang dirancang dan
dikembangkan oleh Universitas Carnegie Mellon. 3 Model tersebut telah menetapkan level
ketika kontrol dapat dinilai dari CMMi level 1 yang tidak ada, level 2 sebagai kontrol awal
Satria Putra
A031181361

atau ad hoc hingga level 5, kontrol yang dioptimalkan. CobiT menilai setiap kontrolnya
terhadap ukuran CMMi ini.
Misalnya, CobiT mendefinisikan bahwa perusahaan akan berada di Level 3,
pengendalian proses yang didefinisikan untuk ME2, Memantau dan Mengevaluasi
Pengendalian Internal, ketika manajemen mendukung dan telah melembagakan pemantauan
pengendalian internal. Panduan selanjutnya mengatakan bahwa kebijakan dan prosedur harus
dikembangkan untuk memproses dan melaporkan aktivitas pemantauan pengendalian internal.
Untuk mencapai level CMMi ini, program pendidikan dan pemantauan untuk pemantauan
pengendalian internal harus didefinisikan. Materi CobiT yang diterbitkan memiliki
seperangkat materi panduan tingkat kematangan CMMi yang terbatas untuk masing-masing
kontrol internal mereka. Meskipun dirangkum pada tingkat yang sangat tinggi, pedoman
model kedewasaan ini memungkinkan perusahaan untuk menilai bagaimana kinerjanya terkait
dengan masing-masing pengendalian internal CobiT.

5.4 Menggunakan CobiT di Lingkungan Sox

            Banyak perusahaan mengadopsi COBIT, dengan penekanan berat pada tingkat tinggi
pengendalian internal berorientasi IT, sebagai kerangka pengendalian internal pilihan. COBIT adalah
kerangka penilaian pengendalian internal alternatif yang kuat, khususnya di lingkungan dengan
konsentrasi pada proses TI dan sumber daya. Tujuan utama COBIT, dari Perencanaan Perusahaan
untuk Monitoring dan Evaluasi, dapat digunakan untuk memahami dan mengevaluasi pengendalian
internal melalui lima komponen pengendalian internal COSO.
            Dengan SOx, meningkatkan penekanan pada tata kelola TI, dan pengakuannya dalam
kebanyakan keputusan pengendalian internal COBIT telah melalui beberapa revisi. COBIT yang
mendukung IT pada Institusi Pemerintah melakukan pekerjaan yang sangat baik dengan merilis
publikasi yang memetakan kerangka kerja COBIT ke standar-standar lainnya. Rincian tujuan
pengendalian COBIT mengikat untuk masing-masing komponen COSO. Ada hubungan yang erat
antara tujuan COBIT dan Pengendalian COSO serta komponennya. Keseluruhan tujuan Pengendalian
COBIT  memberikan dukungan kuat bagi internal auditor dalam melakukan SOx Section 404
mengenai ulasan penilaian pengendalian internal.
            Pemahaman dan penilaian mereka mengenai  pengendalian internal IT terkait adalah kunci
untuk mencapai kepatuhan SOx. COBIT telah ada selama beberapa tahun sekarang, tetapi banyak
telah dilihat sebagai hanya alat audit TI khusus, bukan sebagai bantuan yang lebih umum untuk
pekerjaan audit internal lainnya. Meskipun penekanan COBIT terus berada di IT, semua auditor
internal harus mempertimbangkan kerangka kerja COBIT sebagai alat yang sangat baik untuk
membantu dengan persyaratan kepatuhan SOx saat ini dan akan terus dikembangkan.

5.5 Panduan Kerangka Kerja Jaminan CobiT

Satria Putra
A031181361

Sementara kerangka kerja CobiT memberikan panduan untuk menetapkan pengendalian

internal yang efektif dengan penekanan pada sumber daya TI, ITGI pada tahun 2008 merilis Kerangka
Kerja Jaminan Teknologi Informasi (ITAF). 5 panduan, model pengaturan praktik yang baik untuk
memberikan panduan tentang desain, perilaku, dan pelaporan tugas audit dan asurans TI. Tujuan dari
panduan terkait CobiT ini adalah untuk menetapkan standar untuk audit TI dan jaminan peran dan
tanggung jawab profesional, pengetahuan dan keterampilan, serta persyaratan ketekunan, perilaku,
dan pelaporan. Judul kami dan banyak referensi dalam buku ini menggunakan kata tersebut audit;
Panduan CobiT baru ini berfokus pada kata lain yang terkait dengan audit dan kurang umum, jaminan.
Istilah ini juga ditemukan dalam referensi dasar IIA yang menyatakan: Audit internal adalah kegiatan
asurans dan konsultasi yang independen dan obyektif yang dirancang untuk menambah nilai dan
meningkatkan operasi organisasi. Ini membantu organisasi mencapai tujuannya dengan membawa
pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas
manajemen risiko, pengendalian, dan proses tata kelola.
Tujuan keseluruhan dari ITAF adalah untuk menentukan seperangkat standar untuk
membantu memastikan kualitas, konsistensi, dan keandalan penilaian TI, berdasarkan seperangkat
pedoman dan prosedur pengaturan praktik yang baik. Sementara dokumen ITAF mengacu pada
panduannya sebagai "standar," saat ini ISACA CobiT tidak diakui sebagai badan pengaturan standar.
Bab 8 menguraikan standar IIA dan merangkum standar ITAF terkait CobiT. Kami menyebutkan
standar ITAF baru ini di sini untuk menyoroti fakta bahwa standar audit internal sedang
dikembangkan untuk membantu tinjauan di lingkungan CobiT. Namun, auditor internal harus
memahami bahwa ITAF adalah hal baru; hal itu dapat mencapai lebih banyak pengakuan karena
diterima dengan lebih baik dan mungkin disetel dengan lebih baik.

5.6 CobiT dalam Perspektif

Apakah spesialis operasional, keuangan, atau TI, semua auditor internal harus memiliki
setidaknya pemahaman CBOK tingkat tinggi tentang kerangka CobiT. Ini adalah alat yang sangat
berguna untuk menilai kontrol internal dalam lingkungan yang lebih berorientasi TI — jenis
lingkungan yang hampir selalu kita temui saat ini. Untuk banyak perusahaan, CobiT akan
menawarkan beberapa perbaikan pada proses audit yang sedang berlangsung. Penerapannya harus
terlebih dahulu didiskusikan dengan komite audit untuk menjelaskan alasan perubahan pendekatan
audit internal. Jika perusahaan sangat bergantung pada sistem dan proses TI, perpindahan ke
penggunaan CobiT tampaknya bagus secara logistik.
Namun, audit internal tidak boleh memiliki spesialis audit internal TI yang menggunakan
proses penilaian CobiT sementara audit internal lainnya menggunakan standar audit internal
operasional / keuangan yang telah ditetapkan. CobiT adalah kerangka kerja pengendalian internal dan
alat evaluasi yang elegan — terkadang terlalu elegan — untuk menilai pengendalian internal.
Mungkin hambatan audit internal terbesar untuk keseluruhan penggunaannya adalah bahwa CobiT
Satria Putra
A031181361

pada awalnya dibangun terutama sebagai alat audit TI. Meskipun perpindahan dari ISACA ke sponsor
ITGI telah memperluas daya tarik dan fokusnya, fokus TI yang berat di banyak materi panduan CobiT
yang diterbitkan membuat takut beberapa calon pengguna. Kekuatan sebenarnya dari CobiT adalah
fokus tata kelola TI-nya, seperti yang dijelaskan dalam Tampilan 5.1.
Bagan tersebut menggambarkan pentingnya aliansi strategis bisnis dan sumber daya TI
dengan penyampaian nilai, pengelolaan sumber daya, pengelolaan risiko, dan proses pengukuran
kinerja. Kelima sumber daya ini memungkinkan perusahaan untuk membangun tata kelola TI yang
efektif, dan CobiT harus membantu dalam mengelola dan memahami konsep ini. Kami dapat
mengharapkan standar dan praktik yang diterbitkan CobiT untuk terus memperluas dan melampaui
konsep khusus "audit TI". Semua auditor internal harus memiliki pemahaman CBOK tentang CobiT
dan belajar menggunakan dan memahami kerangka penilaian pengendalian internal ini.