MODUL AUDIT INTERNAL

ANOTHER INTERNAL CONTROLS FRAMEWORK: CobiT

KELOMPOK 11:

RUSDIAWAN (A031181046)
DIOSA LARA INDAH MUSA (A031181324)
MONALISA FEBRIANTY LELANG (A031181339)

DEPARTEMEN AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS HASANUDDIN

2021
 KATA PENGANTAR
Puji syukur kehadirat Allah SWT, Tuhan yang mahakuasa, atas
berkat dan rahmat-Nya sehingga penulis dapat menyelesaikan modul
dengan judul “Another Internal Controls Framework: CobiT” sebagai
pemenuhan akan tugas pengganti Ulangan Tengah Semester pada
matakuliah Audit Internal tepat pada waktunya.

Penulis mengucapkan terima kasih yang tulus kepada pihak-pihak

yang telah mendukung kami dalam penyusunan modul ini, baik itu berupa
semangat, masukan, ataupun arahan yang membantu kami dalam proses
penyusunan modul ini. Terlebih khusus, penulis mengucapkan terima kasih
yang tulus kepada bapak Prof. Abd. Hamid Habbe, SE., M.Si, selaku dosen
pengampuh mata kuliah Audit Internal, yang telah memberikan kami
kesempatan untuk membuat suatu modul pembelajaran melalui tugas ini.

Penulis menyadari modul ini masih jauh dari kata sempurna. Untuk
itu, kami mohon kritik dan saran yang membangun dari siapa saja yang
membaca modul pembelajaran ini, agar kedepannya penulis dapat
membuat modul pembelajaran yang lebih baik lagi. Akhir kata, penulis
mengucapkan terima kasih. Semoga modul pembelajaran ini dapat berguna
dan menambah wawasan bagi segenap pembaca.

Makassar, 18 Mei 2021

Penulis

i
 DAFTAR ISI

KATA PENGANTAR ........................................................................................................ i

DAFTAR ISI ...................................................................................................................... ii
BAGIAN I .......................................................................................................................... 1
TINJAUAN MATA KULIAH............................................................................................ 1
A. DESKRIPSI MATA KULIAH ............................................................................. 1
B. KEGUNAAN MATA KULIAH ............................................................................ 1
C. SASARAN PEMBELAJARAN .......................................................................... 1
BAGIAN II ......................................................................................................................... 3
PENDAHULUAN .............................................................................................................. 3
A. SASARAN PEMBELAJARAN .......................................................................... 3
B. RUANG LINGKUP MODUL .............................................................................. 3
C. MANFAAT MEMPELAJARI MODUL .............................................................. 3
D. URUTAN PEMBAHASAN ................................................................................. 3
BAGIAN III ........................................................................................................................ 5
MATERI PEMBELAJARAN ........................................................................................... 5
A. ISACA ................................................................................................................... 5
B. SEJARAH PERKEMBANGAN COBIT ........................................................... 6
C. PENGANTAR COBIT ......................................................................................... 7
D. KERANGKA KERJA COBIT ............................................................................ 9
E. MENGGUNAKAN COBIT UNTUK MENILAI PENGENDALIAN
INTERNAL .................................................................................................................. 11
F. MENGGUNAKAN COBIT DI LINGKUNGAN SOX ..................................... 17
G. PANDUAN KERANGKA KERJA JAMINAN COBIT .................................. 18
H. COBIT DALAM PERSPEKTIF ........................................................................ 18
I. CONTOH PENERAPAN KERANGKA KERJA COBIT: ANALISIS COBIT
PADA PT KERETA API INDONESIA .................................................................... 19
BAGIAN IV ...................................................................................................................... 27
RANGKUMAN ................................................................................................................ 27
DAFTAR PUSTAKA ...................................................................................................... 28

ii
 BAGIAN I

TINJAUAN MATA KULIAH

A. DESKRIPSI MATA KULIAH

Mata kuliah Pengauditan Internal secara umum membahas prosedur dan
langkah-langkah dalam melaksanakan pengauditan serta akun-akun
yang terkait dalam penyusunan laporan audit internal. Audit Internal
sebagai suatu mata kuliah mempelajari mengenai konsep audit internal
secara umum, rerangka pengendalian internal mengacu pada konsep
COSO, latar belakang dan konsep Sarbanes Oxley Act (SOx), rerangka
pengendalian internal berstandar CobiT, manajemen hubungan risiko
dan hubungannya dengan ERM, standar-standar profesi dan sertifikasi
auditor internal, bagaimana prosedur audit internal yang efektif, cara
pengujian, penilaian dan evaluasi bukti audit, audit universe dan
menyusun program audit, isi piagam audit, kompetensi-kompetensi
auditor internal, proses perencanaan dan pelaksanaan audit internal,
menyusun kertas kerja dan mendokumentasikan pekerjaan audit
internal, serta peran audit internal sebagai bagian dari governance.

B. KEGUNAAN MATA KULIAH

Dengan mempelajari mata kuliah Pengauditan internal, mahasiswa
diharapkan mampu melaksanakan proses pengauditan internal dan
penyusunan laporan audit internal secara professional serta
mengkomunikasikannya kepada stakeholder.

C. SASARAN PEMBELAJARAN
PERTEMUAN SASARAN PEMBELAJARAN
1 Mampu memahami:
GBRP dan gambaran umum Audit Internal
2 Mampu menjelaskan rerangka pengendalian
internal mengacu pada konsep COSO

1
3 Mampu menjelaskan latar belakang dan konsep
SOx
4 Mampu menjelaskan rerangka pengendalian
internal berstandar CobiT
5 Mampu menjelaskan manajemen risiko dan
hubungannya dengan ERM
6 Mampu mengidentifikasi dan menjelaskan standar-
standar profesi dan sertifikat professional auditor
internal
7 Mampu menjelaskan prosedur audit internal
8 UJIAN TENGAH SEMESTER
9 Mampu menggambarkan cara pengujian, penilaian
dan evaluasi bukti audit
10 Mampu mengidentifikasi audit universe dan
menyusun program audit
11 Mampu menjelaskan isi piagam audit
12 Mampu mengidentifikasi dan menjelaskan
kompetensi-kompetensi auditor internal
13 Mampu meggambarkan dan menjelaskan proses-
proses perencanaan dan pelaksanaan audit internal
14 Mampu mengidentifikasi dan menyusun kertas
kerja dan mendokumentasikan pekerjaan audit
internal
15 Mampu menjelaskan peran audit internal sebagai
bagian dari governance
16 FINAL TEST

2
 BAGIAN II

PENDAHULUAN

A. SASARAN PEMBELAJARAN
Setelah mengikuti perkuliahan, mahasiswa diharapkan mampu untuk:
 Menjelaskan latar belakang terbentuknya kerangka pengendalian
internal CobiT
 Menjelaskan kerangka pengendalian internal CobiT dan bagaimana
perbedaannya dengan kerangka pengendalian internal COSO
 Menjelaskan bagaimana menggunakan CobiT untuk menilai
pengendalian internal
 Menjelaskan bagaimana menggunakan CobiT di Lingkungan SOx

B. RUANG LINGKUP MODUL

Modul pembelajaran ini membahas mengenai sejarah perkembangan
CobiT, Kerangka CobiT, Penggunaan CobiT untuk menilai pengendalian
internal dan lingkungan SOx, Panduan kerangka kerja jaminan CobiT,
CobiT dalam perspektif, serta contoh implementasi kerangka kerja CobiT
pada PT. Kereta Api Indonesia.

C. MANFAAT MEMPELAJARI MODUL

Setelah mempelajari modul pembelajaran ini, mahasiswa diharapkan
mampu untuk menjelaskan kerangka pengendalian internal berstandar
CobiT, serta bagaimana menggunakannya untuk menilai pengendalian
internal perusahaan dan bagaimana menggunakannya di lingkungan
SOx.

D. URUTAN PEMBAHASAN
1. Information System Audit and Control Association (ISACA)
2. Sejarah Perkembangan CobiT
3. Pengantar CobiT
4. Kerangka Kerja CobiT
5. Menggunakan CobiT Untuk menilai Pengendalian Internal

3
6. Menggunakan CobiT di Lingkungan SOx
7. Panduan Kerangka Kerja Jaminan CobiT
8. CobiT dalam Perspektif
9. Contoh Penerapan Kerangka Kerja CobiT: Analisis CobiT pada PT.
Kereta Api Indonesia

4
 BAGIAN III

MATERI PEMBELAJARAN
Beberapa profesional telah menyatakan keprihatinan tentang
kerangka pengendalian internal COSO dan mengkritiknya secara khusus
karena tidak member penekanan yang cukup pada alat dan proses
teknologi informasi (IT). Kerangka kerja pengendalian internal yang lebih
berorientasi IT disebut Control objectives for information and related
Technology (CobiT), sudah ada sebelum SOX dan banyak lagi perusahaan
mulai menggunakannya ketika SOx menjadi undang-undang untuk
mematuhi prosedur pengendalian internal Bagian 404. Kerangka kerja
pengendalian internal CobiT memberikan panduan dalam mengevaluasi
dan memahami pengendalian internal, dengan penekanan pada sumber
daya IT perusahaan. Meskipun awalnya diluncurkan sebagai alat untuk
membantu apa yang dulunya disebut "auditor komputer", CobiT adalah alat
yang berguna untuk mengevaluasi semua pengendalian internal sebuah
perusahaan.
A. ISACA
Information Systems Audit and Control Association (ISACA) sebagai
lembaga independen, nonprofit, asosiasi global, terlibat dalam
pengembangan, penerapan dan penggunaan pengetahuan, dan
pengalaman yang diterima secara global mengenai sistem informasi.
Sebelumnya dikenal sebagai Information Systems Audit and Control
Association. Namun kini hanya menggunakan akronim ISACA, untuk
merefleksikan cakupan yang luas dari IT governance.
ISACA dibuat badan hukumnya pada tahun 1967 oleh individual yang
melihat adanya kebutuhan mengenai pusat sumber infomasi dan panduan
di bidang audit kontrol untuk sistem komputer. Kini konstituen ISACA terdiri
lebih dari 140.000 secara global. Konstituten tinggal dan bekerja di lebih
dari 180 negara dan memegang berbagai posisi profesional yang berkaitan
dengan TI, seperti: Auditor Sistem Informasi, Konsultan, Pengajar,
Professional Keamanan Informasi, Regulator, CIO, dan Auditor Internal.
Mereka bekerja hampir di semua kategori industry termasuk: Finansial,

5
Perbankan, Akuntan Publik, Pemerintahan, Sektor Publik, Utilities (air,
listrik, gas), dan Manufaktur.
Perbedaan-perbedaan ini membuat anggota dapat belajar dari yang
lainnya, dan bertukar sudut pandang yang berbeda tentang topic
professional. Hal tersebut menjadi salah satu kekuatan ISACA. Adapun
publikasi ISACA yaitu:
 Standards, Guidelines and Procedures for Informastion System
Auditing (bersama dengan IFAC)
 CobiT
 Val IT
 Information System Control Journal
B. SEJARAH PERKEMBANGAN COBIT

COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang
menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang
menekankan pada tahap control, COBIT versi 3 pada tahun 2000 yang
berorientasi kepada manajemen, COBIT versi 4 yang lebih mengarah pada
ITGovernance, dan terakir dirilis adalah COBIT versi 5 pada tahun 2012
yang mengarah pada tata kelola dan menejemen untuk aset-aset
perusahaan IT.

Jenis-jenis framework COBIT berdasarkan perkembangannya:

 Framework Audit dan Kontrol IT (COBIT 1 dan COBIT 2, fokus pada

tujuan pengendalian)

 Framwork Manajemen IT (COBIT 3, di sini adanya penambahan untuk

pedoman pengelolaan dari framework sebelumnya)

 Framework Tata Kelola IT (COBIT 4.0 dan COBIT 4.1, di sini

ditambahkan tata kelola dan proses pemenuhan di dalamnya dan
proses assurance dihilangkan)

 COBIT 5 adalah evolusi dari framework sebelumnya yakni COBIT 4.1

yang ditambah dengan Val IT 2.0 dan Risk IT

6
Berikut adalah gambar yang menunjukkan evolusi dari CobiT 5.

C. PENGANTAR COBIT
CobiT adalah kerangka kerja pengendalian internal penting yang
dapat berdiri sendiri tetapi merupakan kerangka kerja penting alat
pendukung untuk mendokumentasikan dan memahami kontrol internal
COSO dan SOx. Meskipun penekanan asli CobiT adalah pada IT, kerangka
kerjanya telah diperluas. Auditor di banyak perusahaan setidaknya harus
memiliki pemahaman tentang CobiT, kerangka kerja dan penggunaannya
sebagai alat untuk mendokumentasikan, meninjau, dan memahami
pengendalian internal Sox. Standar dan kerangka kerja CobiT dikeluarkan
dan diperbarui secara berkala oleh IT Governance Institute (ITGI;
www.itgi.org) dan profesional yang berafiliasi erat organisasi, Asosiasi Audit
dan Pengendalian Sistem Informasi (ISACA).
ISACA lebih fokus pada audit IT sedangkan penekanan ITGI adalah
pada penelitian dan tata kelola proses. ISACA juga mengarahkan Certified
Information Systems Auditor (CISA) mantan aminasi dan penunjukan
profesional serta Informasi Tersertifikasi yang lebih baru dalam Sertifikasi
dan pemeriksaan System Manager (CISM). ISACA awalnya dikenal
sebagai Electronic Data Processing Auditor's Association (EDPAA),
kelompok profesional itu dimulai pada tahun 1967 oleh auditor internal yang
merasakan organisasi profesinya, yaitu Institute of Internal Auditor (IIA),
kurang memperhatikan pentingnya pemeliharaan sistem IT dan
pengendalian teknologi sebagai bagian dari aktivitas audit internal. Sama
seperti EDPAA berkembang menjadi ISACA dan sekarang ITGI, standar

7
audit IT asli menjadi satu set tujuan pengendalian internal yang sangat baik
itu berevolusi menjadi CobiT, sekarang dalam edisi 2007 versi
4.1. 1. Kerangka CobiT sering digambarkan sebagai segi lima mencakup
lima area pengendalian internal yang luas dan saling berhubungan.
 Penyelarasan Strategis
Upaya harus dilakukan untuk menyelaraskan operasi TI dan aktivitas
dengan semua operasi perusahaan lainnya, termasuk membangun
hubungan antara operasi bisnis perusahaan dan rencana IT serta
proses untuk mendefinisikan, memelihara, dan memvalidasi
hubungan kualitas dan nilai.
 Penyampaian Nilai
Proses harus ada untuk memastikan bahwa IT dan operasi lainnya
memberikan manfaat yang dijanjikan sepanjang siklus pengiriman dan
dengan strategi yang mengoptimalkan biaya sambil menekankan nilai
intrinsik IT dan aktivitas terkait.
 Manajemen Risiko
Manajemen di semua tingkatan, harus memiliki pemahaman yang
jelas memahami selera perusahaan akan risiko, persyaratan
kepatuhan, dan dampaknya risiko signifikan
 Manajemen Sumber Daya
Tata kelola TI yang efektif bergantung pada optimalisasi pengetahuan
dan infrastruktur.
 Pengukuran Kinerja
Proses harus ada untuk melacak dan memantau implementasi
strategi, penyelesaian proyek, penggunaan sumber daya, kinerja
proses, dan pengiriman layanan.

8
D. KERANGKA KERJA COBIT

CobiT mendefinisikan tata kelola TI sebagai serangkaian area utama

mulai dari tetap fokus pada keselarasan strategis dengan pentingnya
pengukuran risiko dan kinerja saat mengelola sumber daya IT. CobiT juga
melihat pengendalian dalam tiga dimensi terkait IT, yaitu sumber daya,
proses, dan kriteria informasi. Ketiganya juga dijelaskan dalam apa yang
disebut kubus CobiT. Model CobiT melihat pengendalian IT dari perspektif
tiga dimensi. Artinya masing-masing komponen pada satu bidang
berhubungan dengan dua dimensi penghubung lainnya.

a. Komponen Kubus CobiT: Sumber Daya IT

Sisi Sumber Daya TI dari kubus CobiT tiga dimensi mewakili semua
aset IT perusahaan, termasuk orang-orangnya, sistem aplikasi,
teknologi yang diinstal, fasilitasnya, dan nilai datanya. Sumber daya
ini harus dipertimbangkan saat mengevaluasi pengendalian dalam

9
 lingkungan IT, yang diidentifikasi sebagai Aplikasi, Informasi,
Komponen infrastruktur teknologi dan fasilitas, serta Personel kunci
dan khusus.
b. Komponen Kubus CobiT
 Proses IT
Berada pada dimensi kedua dan menghadap ke depan dari
kubus CobiT. Proses IT dan terdiri dari tiga segmen, yaitu domain,
proses, dan aktivitas. Domain adalah pengelompokan proses IT
yang sesuai dengan area tanggung jawab organisasi. CobiT
mendefinisikan empat area domain tertentu, yaitu Perencanaan
dan usaha (mencakup strategi dan taktik yang memungkinkan IT
untuk memberikan kontribusi terbaik dan mendukung tujuan bisnis
perusahaan), Akuisisi dan implementasi (Solusi IT perlu
diidentifikasi, dikembangkan atau diperoleh, dan keduanya
diimplementasikan dan diintegrasikan dengan proses bisnis),
Pengiriman dan dukungan (Mencakup pengiriman yang
sebenarnya diperlukan layanan, baik aplikasi maupun alat
infrastruktur), serta Monitoring dan evaluasi (Mencakup proses
pengendalian, termasuk pemantauan kualitas dan kepatuhan, serta
evaluasi proses audit eksternal dan internal).
Dalam perusahaan TI, proses untuk mengidentifikasi dan
membangun aplikasi baru sering disebut systems development life
cycle (SDLC) sebagai bagian dari domain implementasi CobiT
dengan jaminan kualitas sebagai bagian dari domain
pemantauan. CobiT menjelaskan masing-masing domain secara
lebih rinci, yaitu Tentukan rencana IT strategis, Tentukan arsitektur
informasi, Tentukan arah teknologi, Mendefinisikan perusahaan IT
dan hubungannya, Kelola investasi TI, Komunikasikan tujuan dan
arahan manajemen, Mengelola sumber daya manusia, Pastikan
kepatuhan dengan persyaratan eksternal, Menilai resiko,
Mengelola proyek, dan Kelola kualitas
 Persyaratan Bisnis

10
 Dimensi ketiga dari kubus CobiT dijelaskan sebagai Persyaratan
Bisnis. Ketujuh komponennya harus dipertimbangkan untuk semua
persyaratan bisnis dengan pertimbangan diberikan kepada sumber
daya IT dan proses yang diperlukan, yaitu Efektivitas, Efisiensi,
Kerahasiaan, Integritas, Ketersediaan, Kepatuhan, dan Keandalan.
Semua sistem IT secara keseluruhan harus dievaluasi berdasarkan
tujuh area ini. Tekanan akan bervariasi tergantung pada jenis
prosesnya, tetapi semua proses IT harus memiliki kriteria dalam
pikiran

E. MENGGUNAKAN COBIT UNTUK MENILAI PENGENDALIAN

INTERNAL
Kubus CobiT permukaan depan menunjukkan aliran proses untuk
menekankan hubungan. Bagian di sini akan membantu auditor internal
untuk menavigasi kerangka kerja CobiT yang dipublikasikan dan
menggunakannya untuk mengembangkan dan menilai pengendalian
internal perusahaan. Meskipun setiap dimensi kubus CobiT dapat
digunakan untuk memahami pengendalian lingkungan, empat domain yang
telah dibahas sebelumnya, dimulai dengan perencanaan dan perusahaan,
berfungsi sebagai langkah pertama yang efektif. Berdasarkan tiga kubus
pengendalian CobiT ini, setiap proses IT harus dievaluasi melalui lima
langkah navigasi dengan cara:

I. Kontrol (nama proses)

II. Yang memenuhi (daftar persyaratan bisnis)
III. Dengan berfokus pada (daftar tujuan TI yang penting)
IV. Dicapai oleh (daftar pernyataan pengendalian)
V. Dan diukur dengan (daftar metric utama)

Proses lima langkah ini dapat dimulai dari nomor I ke bawah atau
dapat dimulai di tingkat dasar dan menavigasi ke atas. Proses harus
dipenuhi oleh daftar persyaratan bisnis pendukung dan tujuan bisnis
tersebut harus fokus pada tujuan IT yang penting. Setiap persyaratan
tersebut harus ditentukan oleh satu atau lebih pernyataan pengendalian

11
dengan praktik pengendalian khusus. Akhirnya, kita tidak bisa menilai
apakah hal-hal beroperasi secara efektif dan metrik pengukuran utama
yang perlu. Proses lima langkah ini dapat menjadi script untuk memahami
pendukung pengendalian proses apa pun di perusahaan. Elemen penting
di sini adalah menentukan angka Pernyataan Pengendalian IV yang
mendukung setiap proses dan identifikasi nomor V untuk menilai
pengendalian yang diidentifikasi tersebut. Setiap tujuan pengendalian
utama dalam materi panduan CobiT yang diterbitkan didasarkan pada
kerangka navigasi ITGI. Meskipun ini adalah sampel kosong, pada
pedoman CobiT, masing-masing ditandai dengan P (untuk persyaratan
primer), S (untuk sekunder), atau dikosongkan untuk tujuan pengendalian
yang tidak dapat diterapkan. Kanan bawah pojok mencantumkan area
sumber daya IT. Jika ada yang berlaku, mereka dicatat dengan tanda
centang. Sudut kiri bawah menunjukkan diagram segi lima, di sini bagian
diarsir atau ditandai jika itu primer atau sekunder. Bagian tengah dari setiap
halaman panduan CobiT memiliki “Pengendalian atas Proses IT”.
Selanjutnya kita melihat navigasi CobiT di berbagai domain yang dipilih
untuk memberikan kesan untuk organisasinya. Auditor internal setidaknya
harus bereksperimen dengan menggunakan CobiT dalam audit internal
terpilih.

12
a. Perencanaan dan Enterprise
CobiT menyerukan sekelompok proses tingkat tinggi yang mengatur
arah bagi perusahaan dan sumber daya IT. Untuk domain ini, CobiT
menyerukan 10 high-level Planning and Organizing (PO) control
objectives, didefinisikan dan diberi nomor dengan cara ini:
PO 1: Tentukan rencana strategis. Terdiri dari:
PO 1.1: Manajemen Nilai TI
PO 1.2: Penyelarasan Bisnis IT
PO 1.3: Penilaian Kinerja saat ini
PO 1.4: Rencana Strategis IT
PO 1.5: Rencana Taktis IT
PO 1.6: Manajemen Portofolio IT
PO 2: Tentukan arsitektur Informasi
PO 3: Tentukan arahan teknologi
PO 4: Tentukan proses IT, perusahaan dan hubungan
PO 5: Kelola investasi IT
PO 6: Komunikasi tujuan dan arahan manajemen
PO 7: Kelola sumber daya manusia IT
PO 8: Kelola kualitas
PO 9: Menilai dan mengelola risiko IT
PO 10: Kelola proyek

Penomoran di sini penting, sebagai materi panduan CobiT yang

diterbitkan mereferensikan masing-masing tujuan ini dan tujuan
lainnya dalam hal masukan dan keluaran. Tujuan umum ini juga
merupakan alat yang baik untuk auditor internal yang perlu
membangun kriteria tinjauan di salah satu bidang ini. Tujuan audit
tersebut bisa dikembangkan dengan mengambil setiap kalimat dari
tujuan pengendalian tersebut dan berkembang area tinjauan audit.
Untuk setiap tujuan CobiT, materi panduan juga berisi apa adanya
disebut grafik RACI, yaitu alat yang baik untuk mengidentifikasi peran
dan tanggung jawab proses. Menggunakan format spreadsheet,
kegiatan diidentifikasi di kolom samping dengan fungsi atau deskripsi

13
posisi dalam sel di bagian atas. Tanggung jawab untuk aktivitas
tersebut diidentifikasi dalam memotong sel melalui satu atau beberapa
inisial RACI:
R = Responsible / Bertanggung jawab, atau memiliki masalah atau
proses
A = Accountable / Akuntabel, atau siapa yang harus
menandatangani aktivitas sebelum efektif
C = Consulted / Berkonsultasi, atau memiliki informasi dan / atau
kemampuan untuk menyelesaikan pekerjaan
I = Informed / Diinformasikan, atau siapa yang harus diinformasikan
tentang hasil tetapi tidak perlu dikonsultasikan.
Materi CobiT diakhiri dengan analisis ringkasan tujuan
pengendaliannya. Untuk masing-masing, serangkaian pertimbangan
berbasis metrik menguraikan tujuan aktivitas pengendalian yang
diukur dengan sekumpulan indikator kinerja utama yang mendorong
tujuan proses. Proses ini dan kumpulan dokumentasi CobiT dijelaskan
saat kami meninjau CobiT lainnya tujuan pengendalian. Manajer yang
menggunakan CobiT dan auditor yang mengevaluasi kepatuhan

namun harus selalu ingat bahwa CobiT adalah seperangkat materi

panduan praktik terbaik, tetapi bukan persyaratan wajib. Auditor
internal harus selalu menggunakan panduan CobiT dengan hati-hati,
menyadari bahwa CobiT sering kali menetapkan beberapa cita-cita
tingkat tinggi Auditor internal yang mengikuti CobiT dan
merekomendasikan kebutuhan papan "Arsitektur IT" formal di
perusahaan yang lebih kecil.

14
b. Akuisisi dan Implementasi
Setiap tujuan pengendalian tingkat tinggi CobiT membahas prosedur
pengendalian di format umum yang sama. Apakah itu upaya
pengembangan perangkat lunak in-house atau mengejar komponen
IT, akuisisi dan implementasi tingkat tinggi yang direkomendasikan
tujuan di sini adalah:
AI 1: Identifikasi solusi otomatis
AI 2: Dapatkan dan pelihara perangkat lunak aplikasi
AI 3: Memperoleh dan memelihara infrastruktur teknologi
AI 4: Aktifkan pengoperasian dan penggunaan
AI 5: Dapatkan sumber daya IT
AI 6: Kelola perubahan
AI 7: Instal dan akreditasi solusi dan perubahan
Setiap tujuan rinci dalam domain ini mencakup prosedur pengendalian
atas implementasi alat baru. Sedangkan penekanannya pada
software IT, konsep pengendalian internal dapat diterapkan pada
akuisisi dan implementasi banyak hal baru pada alat perusahaan.
c. Pengiriman dan Dukungan
Mengikuti format umum yang sama, tujuan pengendalian CobiT
tingkat tinggi ketiga disebut Delivery and Support (DS). Tujuan
pengendalian ini sebagian besar mencakup layanan masalah
manajemen terkait dengan tujuan proses bisnis ITIL yang menyoroti
beberapa perubahan pada pemahaman kita tentang pengendalian
internal yang telah berkembang sejak diberlakukannya SOx pada
tahun 2002. Keduanya CobiT dan ITIL ada bersama kami pada saat
itu, tetapi SOx Section 404 menekankan pada efektifitas pengendalian
internal telah menyatukan semuanya. Tujuan pengendalian CobiT DS
adalah mirip dengan kontrol internal ITIL untuk meningkatkan proses
bisnis. Keduanya menutupi area penting dari apa yang dikenal
sebagai manajemen layanan IT, proses yang diperlukan untuk
memastikan operasi IT yang efisien, dan untuk memberikan layanan

15
 ini. Tujuan pengendalian CobiT DS mencakup banyak bidang penting
berikut:
DS 1: Tentukan dan kelola tingkat layanan
DS 2: Kelola layanan pihak ketiga
DS 3: Kelola kinerja dan kapasitas
DS 4: Pastikan layanan berkelanjutan
DS 5: Pastikan keamanan sistem
DS 6: Identifikasi dan alokasikan biaya
DS 7: Mendidik dan melatih pengguna
DS 8: Kelola meja layanan dan insiden
DS 9: Kelola konfigurasinya
DS 10: Kelola masalah
DS 11: Kelola data
DS 12: Kelola lingkungan fisik
DS 13: Kelola operasi
d. Pemantauan dan Evaluasi
Domain CobiT keempat disebut Monitoring and Evaluation (ME), satu
set tujuan pengendalian yang menekankan CobiT sebagai proses loop
tertutup yang secara efektif tidak pernah berakhir. Area domain ini
mencakup area jaminan kualitas yang dimiliki secara tradisional lebih
umum di bidang manufaktur dan operasi lainnya daripada di bidang
IT. Meski tidak dibahas dalam materi bimbingan CobiT, kualitas
pionirnya pekerjaan jaminan W. Edwards Deming memberikan cara
untuk mempertimbangkan CobiT ini pada area domain. Seorang
konsultan yang membantu membangun kembali Jepang setelah
Perang Dunia II, Deming mengembangkan standar kualitas dan
pendekatan yang membantu Jepang membangun kembali dan
mempelajari praktik kualitas yang digunakan di seluruh dunia saat
ini. Di antara pendekatan lainnya, Deming mengembangkan
pendekatan sistem kualitas yang membutuhkan proses bisnis
dianalisis dan diukur untuk mengidentifikasi sumber variasi yang
menyebabkan produk untuk menyimpang dari kebutuhan

16
 pelanggan. Ia mengusulkan agar proses bisnis menjadi ditempatkan
dalam putaran umpan balik yang terus menerus sehingga manajer
dapat mengidentifikasi dan mengubah bagian dari proses yang
membutuhkan perbaikan. Deming menyebut ini Plan, Do, Check Act
cycle (PDCA). Langkah-langkahnya adalah (1) Rencanakan, (2)
Lakukan, (3) Periksa, dan (4) Bertindak. Mengikuti format yang sama
seperti domain CobiT lainnya, domain komponen ME memiliki empat
tujuan pengendalian prinsip, yaitu:
ME 1: Pantau dan evaluasi kinerja IT
ME 2: Pantau dan evaluasi pengendalian internal
ME 3: Pastikan kepatuhan regulasi
ME 4: Menyediakan tata kelola IT

F. MENGGUNAKAN COBIT DI LINGKUNGAN SOX

Tujuan utama CobiT, dari Perencanaan dan Perusahaan hingga
Monitoring dan Evaluasi, dapat digunakan untuk memahami dan
mengevaluasi pengendalian internal melalui lima komponen pengendalian
internal COSO. Tujuan pengendalian rinci CobiT yang dipublikasikan ke
masing-masing komponen COSO ini. Ada hubungan erat antara keduanya
antara sasaran dan komponen pengendalian CobiT dan COSO. Penekanan
CobiT terus berada pada TI, semua auditor internal harus
mempertimbangkannya Kerangka CobiT sebagai alat yang sangat baik
untuk membantu SOx saat ini dan berkembang persyaratan kepatuhan.

17
G. PANDUAN KERANGKA KERJA JAMINAN COBIT
Sedangkan kerangka CobiT memberikan panduan untuk membangun
pengendalian internal yang efektif dengan penekanan pada sumber daya
IT dan ITGI pada tahun 2008 merilis Informasinya pada Panduan
Information Technology Assurance Framework (ITAF), model pengaturan
praktik yang baik untuk memberikan panduan tentang desain, pelaksanaan,
dan pelaporan audit dan asuransi tugas IT. Tujuan dari pedoman terkait
CobiT ini adalah untuk menetapkan standar peran dan tanggung jawab
profesional audit dan jaminan, pengetahuan dan keterampilan, dan
persyaratan ketekunan, perilaku dan pelaporan. Tujuan keseluruhan dari
ITAF adalah untuk menentukan seperangkat standar untuk membantu
memastikan kualitas, konsistensi, dan keandalan penilaian TI, berdasarkan
seperangkat pedoman dan prosedur pengaturan praktik. Sedangkan
dokumen ITAF mengacu padanya pedoman sebagai standar, saat ini
ISACA CobiT tidak diakui sebagai standar pengaturan tubuh. Namun,
auditor internal harus memahami bahwa ITAF adalah hal baru dan dapat
mencapai lebih banyak pengakuan karena diterima dengan lebih baik dan
mungkin disesuaikan dengan baik.

H. COBIT DALAM PERSPEKTIF

Spesialis operasional, keuangan, atau IT, semua auditor internal
harus memiliki di setidaknya pemahaman CBOK tingkat tinggi tentang
kerangka CobiT. Ini khususnya alat yang berguna untuk menilai
pengendalian internal dalam lingkungan yang lebih berorientasi
IT. Keputusan untuk menggunakan CobiT dalam audit internal tidak boleh
menjadi keputusan tingkat audit satu kali atau individu. Sebaliknya, audit
internal harus melatih anggota kunci tim audit tentang penggunaan CobiT,
kemudian coba gunakan untuk menilai pengendalian internal pada
beberapa audit lain yang sedang dikembangkan dan didokumentasikan
menggunakan teknik audit internal. CobiT akan menawarkan beberapa
perbaikan pada proses audit yang sedang berlangsung. Penerapannya
harus terlebih dahulu didiskusikan dengan komite audit untuk menjelaskan
alasan mengubah pendekatan audit internal. Jika perusahaan

18
menempatkan ketergantungan yang besar pada sistem dan proses IT,
perpindahan untuk menggunakan CobiT tampaknya bagus secara
logistik. Namun, audit internal tidak boleh memiliki spesialis audit internal IT
menggunakan proses penilaian CobiT sementara penggunaan audit
internal lainnya ditetapkan sesuai standar audit internal operasional /
keuangan.

I. CONTOH PENERAPAN KERANGKA KERJA COBIT: ANALISIS

COBIT PADA PT KERETA API INDONESIA
 Profil PT. Kereta Api Indonesia

PT. Kereta Api Indonesia (Persero) yang selanjutnya disingkat sebagai

PT. KAI adalah Badan Usaha Milik Negara yang menyediakan,
mengatur, dan mengurus jasa angkutan kereta api di Indonesia. PT. KAI
merupakan salah satu operator kereta api terbesar di indonesia. Dalam
masa lima tahun terakhir sejak 2009, PT. KAI telah melakukan langkah
revolusioner dalam merevatilisasi bisnis sesuai perubahan jaman dan
kondisi eksternal yang dinamik.
 4 Cakupan Domain CobiT
1) Plan and Organise (PO)
Secara umum domain ini meliputi strategi dan taktik, serta identifikasi
bagaimana TI dapat berkontribusi terhadap pencapaian sasaran
bisnis. Domain ini dibagi ke dalam 10 fase dalam prosesnya, yaitu:
 PO1: Mendefenisikan rencana strategis TI
Analisis: PT KAI sudah terdapat IT Master Plan yang berisikan
tentang rencana kerja dan investasi strategis pengembangan TI

19
 untuk jangka panjang selama 5 tahun dan untuk jangka pendek
dibuat untuk kurun waktu kurang dari 1 tahun.
 PO2: Mendefenisikan arsitektur informasi
Analisis: PT KAI belum dapat terdapat model arsitektur informasi
terstandard yang digunakan.
 PO3: Menentukan arahan teknologi
Analisis: Manajemen PT KAI telah merancang arah pengembangan
teknologi perusahaan. Hal ini ditandai dengan rencana
penambahan modul ERP perusahaan, peningkatan infrastruktur TI
perusahaan dan berbagai sertifikasi ISO dalam bidang teknologi
informasi.
 PO4: Mendefenisikan proses TI, organisasi dan
keterhubungannya
Analisis: PT KAI telah memiliki pembagian tugas yang jelas pada
divisi TI. Hal ini dituangkan dalam tugas pokok inti divisi TI. Selain
itu keamanan informasi sudah dilakukan dengan
melakukan encrypton serta cryptographic pada informasi
perusahaan.
 PO5: Mengelola investasi TI
Analisis: Pada PT KAI manajemen telah menentukan prioritas
investasi TI yang sesuai dengan budget perusahaan selain itu
penetapan penetapan budget untuk investasi TI telah dilakukan
oleh dewan direksi untuk setiap tahunnya. Perencanaan
penggunaan dana investasi TI ini dituangkan dalam IT Master
Plan perusahaan.
 PO6: Mengomunikasikan tujuan dan arahan manajemen
Analisis: Manajemen PT KAI telah secara aktif mengomunikasiskan
penerapan TI antara dewan direksi dan divisi TI. Hal ini dilakukan
melalui rapat koordinasi dan evaluasi yang rutin dilakukan baik
secara horizontal maupun vertical.
 PO7: Mengelola sumber daya TI

20
 Analisis: Pada PT KAI terdapat pendekatan strategis untuk
merekrut dan mengelola IT personnel. Rencana training resmi telah
ditetapkan untuk SDM TI. Program rotasi karyawan sudah
ditetapkan dalam rangka pengembangan skill manajemen dan
teknik.
 PO8: Mengelola kualitas
Analisis: Pada PT KAI manajemen telah menerapkan ISO 9001
yang mengatur tentang quality management system terhadap
berbagai divisi dan sarana pada perusahaan. Hal ini menunjukan
bahwa manajemen telah menyadarinya sebuah kebutuhan atas
kualitas mutu.
 PO9: Menaksir dan mengelola risiko TI
Analisis: Pada PT KAI, manajemen khususnya divisi TI belum
memiliki pengukuran risiko yang terdokumentasi dan formal.
 PO10: Mengelola proyek
Analisis: Pada PT KAI sudah terdapat gambaran dan rencana
mengenai pengembangan TI pada perusahaan yang tergambarkan
dalam Master Plan IT. Walau begitu dalam manajemen proyek
belum terdapat kerangka kerja formal, perusahaan masih
menggunakan pendekatan tradisional dalam menjalankan proyek.
2) Acquire and Implement (AI)
Domain ini menggambarkan bagaimana perubahan dan pemeliharaan
dari sistem yang ada selaras dengan sasaran bisnis. Domain AI
terbagi menjadi tujuh proses TI, yaitu:
 AI1: Mengidentifikasi Solusi Otomatis
Analisis: Pada PT KAI rencana pembelian atau pembuatan
mengenai proyek TI sudah dilakukan tahapan
perencanaanoleh business process owner terkait. Rencana ini
mencakup mengenai biaya, waktu dan spesifikasi proyek yang
diinginkan.
 AI2: Memperoleh dan Memelihara software Aplikasi

21
 Analisis: Pada PT KAI saat perusahaan memutuskan untuk
membuat atau membeli sebuah aplikasi atau perangkat TI maka
persyaratan dan spesifikasi diberikan oleh tim BPO. Spesifikasi dan
persyaratan ini akan dikonsultasikan dengan divisi TI dan
ditraslasikan kedalam sebuah solusi yang terencana.
 AI3: Memperleh dan Memelihara Infrastruktur Teknologi
Analisis: PT KAI sudah melakukan perawatan dan perencanaan
pemeliharaan infrastruktur secara berkala.
Pada datacenter perusahaan setiap minggu sistem akan
di switch ke back-up system untuk dirotasi dan memastikan bahwa
sistem cadangan bekerja.
 AI4: Memungkinkan Operasional dan Penggunaan
Analisis: Pada PT KAI dalam memastikan penerapan sebuah
sistem atau aplikasi baru agar dapat digunakan oleh end-user divisi
TI melakukan pelatihan kepada para pengguna.
 AI5: Memungkinkan Operasional dan Penggunaan
Analisis: Pada PT KAI pengadaan kebijakan dan prosedur akuisisi
TI telah ditetapkan, didokumentasikan dan dikomunikasikan.
Kebijakan dan prosedur akuisisi TI di PT KAI mengacu kepada
proses bisnis perusahaan secara keseluruhan. Manajemen TI
mengkomunikasikan kebutuhan akuisisi dan manajemen kontrak
melalui fungsi TI.
 AI6: Mengelola Perusahaan
Analisis: Pada PT KAI sudah terdapat dokumentasi formal
mengenai perubahan yang berkaitan dengan TI yang mencakup
prosedur, proses, kebijakan dan sistem. Perubahan sistem yang
besar misalnya pada saat penerapan ERP SAP dilakukan sesuai
dengan standard sistem terkait yang mencakup persiapan
proyek, business blueprint hingga persiapan go live.
 AI7: Instalisasi dan Akreditasi Solusi beserta Perubahannya
Analisis: Hal ini tidak dapat dibahas lebih lanjut karena pada
pengujian dan pengetesan sebuah sistem yang mempengaruhi

22
 operasi secara besar perusahaan menyerahkan sepenuhnya test
environment dan test procedure kepada pihak eksternal
dan vendor yang menyediakan jasa pengadaan sistem.
3) Deliver and Support (DS)
Domain ini mencakup penyampaian hasil aktual dari layanan yang
diminta, termasuk pengelolaan kelancaran dan keamanan, dukungan
layanan terhadap pengguna serta pengelolaan data dan operasional
fasilitas, yang meliputi:
 DS1: Mengidentifikasi dan Mengelola Tingkat Layanan
Analisis: Pada PT KAI untuk berbagai pelayanan TI yang terkait
dengan pihak eksternal maupun internal, manajemen menentukan
batasan SLA minimum yakni kehandalan (reliability) 99,9%. Untuk
pihak eksternal manajemen TI melakukan penilaian performa
setiap bulan untuk memastikan tingkat operasional memenuhi SLA
yang telah ditentukan.
 DS2: Mengelola Layanan Pihak Ketiga
Analisis: Pada PT KAI untuk pelayanan yang disediakan oleh pihak
ketiga seperti RTS, jaringan dan sebagainya sudah memiliki
dokumentasi SLA dalam bentuk perjanjian formal. Perjanjian
mengenai SLA ini mengatur hal-hal penting seperti kehandalan
minimum mengenai layanan, penalty bila target tidak tercapai dan
berbagai hal lainnya.
 DS3: Mengelola Kinerja dan Kapasitas
Analisis: Pada PT KAI penentuan kapasitas dan performa pada
bidang TI sudah diselaraskan dengan peramalan kebutuhan bisnis.
Hal ini sesuai dengan manajemen stratejik perusahaan yang
disudah mempertimbangkan berbagai asumsi makro dan
perkembangan bisnis. Pembuatan IT Master Plan sudah
diselaraskan dengan manajemen stratejik perusahaan.
 DS4: Memastikan Layanan yang Berkelanjutan

23
 Analisis: PT KAI sudah memiliki beberapa IT Continuity Plan untuk
beberapa infrastruktur vital seperti datacenter yang memiliki 2
offsite back up storage yang terletak di Jakarta dan BSD.
 DS5: Memastikan Keamanan Sistem
Analisis: Pada PT KAI perusahaan telah melakukan berbagai
langkah pengamanan informasi. Hal ini dapat dilihat dari penerapan
pembatasan akses pengguna yang dibagi menjadi 3 level,
penggunaan firewall pada datacenter perusahaan, encrypton pada
server mail hingga pengadopsian ISO 27001 mengenai
standardisasi keamanan informasi sesuai dengan standard
internasional.
 DS6: Mengidentifikasi dan Mengalokasikan Biaya
Analisis: Pada PT KAI sudah terdapat ketentuan dan dokumentasi
mengenai biaya teknologi informasi. Alokasi biaya TI perusahaan
disesuaikan dengan kebutuhan bisnis dan pelaksanaanya harus
sesuai dengan yang telah direncanakan.
 DS7: Mendidik dan Melatih Pengguna
Analisis: Pada PT KAI manajemen TI telah melakukan pelatihan
baik terhadap internal divisi TI dan kepada end-user agar
pengoperasian sistem berjalan efektif. PT KAI sudah memiliki
dokumentasi dan perencanaan formal mengenai pelatihan dan
pendidikan pengguna, selain itu PT KAI juga rutin melakukan
sertifikasi bagi personel TI.
 DS8: Mengelola Serice Risk
Analisis: Pada PT KAI suda terdapat help desk untuk membantu
pengguna akhir jika terdapat permasalahan dalam sistem. Sudah
terdapat SOP dan dokumentasi lainnya yang membantu dan
mengarahkan tugas help desk dalam menghadapi beberapa
permasalahan umum.
 DS9: Mengelola Konfigurasi
Analisis: PT KAI belum memiliki manajemen konfigurasi secara
formal dan terdokumentasi.

24
  DS10: Mengelola Permasalahan
Analisis: Pada PT KAI permasalahan diidentifikasi apakah terjadi
karena kesalahan pengguna atau kesalahan sistem oleh help desk.
Apabila kesalahan sistem terjadi terkait dengan aplikasi yang
disediakan eksternal vendor, maka penyelesaian masalah
menggunakan bantuan vendor.
 DS11: Mengelola Data
 DS12: Mengelola Lingkungan Fisik
 DS13: Mengelola Operasi
Analisis: Pada PT KAI sudah melakukan beberapa manajemen
terait operasi seperti pengawasan infrastruktur TI, pengukuran
kehandalan dan pemenuhan SLA, pembakuan dan dokumentasi
SOP terkait operasi serta perawatan terhadap insfrastruktur.
4) Monitor dan Evaluate (ME)
Domain ini terkait dengan kinerja manajemen, kontrol internal,
pemenuhan terhadap aturan serta menyediakan tata kelola. Fungsi
doman ini sendiri adalah untuk memastikan seluruh proses TI dapat
dikontrol secara periodik yang bermaksud untuk menjaga kualitas dan
pemenuhan kebutuhan pasar. Berbeda dari domain yang lain, ME
hanya terdiri dari 4 proses TI, yaitu:
 ME1: Mengawasi dan Mengevaluasi TI
Analisis: Pada PT KAI sudah melakukan pengawasan dan
pengukuran kinerja untuk beberapa pelayanan TI. Tingkat SLA
berbagai infrastruktur TI diawasi oleh sistem terintegrasi, evaluasi
personil dilakukan sesuai KPI dan sudah dikembangkan
pendekatan balance scorecard untuk pengukuran kinerja.
 ME2: Mengawasi dan Mengevaluasi Kontrol Internal
 ME3: Memastikan Pemenuhan terhadap Kebutuhan Eksternal
 ME4: Menyediakan Tata Kelola TI
Analisis: Salah satu tujuan PT KAI adalah penerapan tata kelola
perusahaan yang termasuk didalamnya tata kelola informasi. Hal
ini terlihat dengan pembentukan komite audit di tahun 2012,

25
 pembentukan IT Steering Committee dan perunagah struktur
organisasi perusahaan. Perencanaan dan pendekatan BSC sudah
digunakan untuk memetakan tujuan perusahaan beserta KPI.

Implementasi COBIT dipercaya dapat membantu perusahaan dalam

hal meningkatkan pendekatan/program audit, mendukung audit kerja
dengan arahan audit secara rinci, memberikan petunjuk untuk IT
governance, sebagai penilaian benchmark untuk kendali IS/IT,
meningkatkan control IS/IT, dan sebagai standarisasi pendekatan / program
audit.

26
 BAGIAN IV

RANGKUMAN

Control Objective for Information and related Technology (CobiT)

adalah suatu panduan standar praktik manajemen teknologi informasi.
CobiT adalah kerangka pengendalian internal yang penting yang dapat
berdiri sendiri, namun juga merupakan alat pendukung penting untuk
mendokumentasikan dan memahami pengendalian interna COSO dan Sox.
Standar ini dikeluarkan oleh IT Governance Institute yang merupakan
bagian dari ISACA.

COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang
menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang
menekankan pada tahap control, COBIT versi 3 pada tahun 2000 yang
berorientasi kepada manajemen, COBIT versi 4 yang lebih mengarah pada
ITGovernance, dan terakir dirilis adalah COBIT versi 5 pada tahun 2012
yang mengarah pada tata kelola dan menejemen untuk aset-aset
perusahaan IT.
Kerangka CobiT sering digambarkan sebagai segi lima mencakup
lima area pengendalian internal yang luas dan saling berhubungan yaitu:
(1) Penyelarasan Strategis, (2) Penyampaian Nilai, (3) Manajemen Risiko,
(4) Pengelolaan Sumber Daya, (5) Pengukuran Kinerja.

27
 DAFTAR PUSTAKA
Moeller, Robert. 2009. Brink’s Modern Internal Auditing 7th Edition. New
Jersey: John Wiley & Sons, Inc.

Sarno, Riyanarto.2009. Audit Sistem dan Teknologi Informasi.ITS Press:

Surabaya ISACA. (2007).

https://www.isaca.org/resources/cobit diakses pada tanggal 9 Mei 2021

http://anindyatalitha.blogspot.com/2019/04/analisa-cobit-pada-pt-kai.html
diakses pada tanggal 10 Mei 2021

https://id.scribd.com/document/361345800/bab-6-internal-audit-cobit
diakses pada tanggal 15 Mei 2021

28