MODUL PERKULIAHAN

SISTEM
INFORMASI &
PENGENDALIAN
INTERNAL

Kerangka dari COSO dan

COBIT

Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

10
Ekonomi Magister Akuntansi A11553EL Aloysius Harry Mukti, PhD, MS.Ak, ERMCP

Abstract Kompetensi
Pengertian awal kerangka Mahasiswa dapat dengan jelas
pengendalian internal dan tata mengetahui pemahaman dasar
kelola teknologi informasi kerangka pengendalian internal dan tata
kelola teknologi informasi

2009 Sistem Infromasi dan Pengendalian Internal

1
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
Pembahasan
Pengendalian internal, sebagian ada yang menyebut pengendalian intern atau
pengawasan internal, adalah istilah yang diserap dari internal controls. Istilah
tersebut merujuk pada proses di dalam entitas (organisasi, termasuk perusahaan),
dipengaruhi oleh dewan komisaris (atau dewan pengawas serupa), manajemen, dan
personel lainnya, dirancang untuk memberikan jaminan yang layak agar entitas
mencapai tujuan-tujuannya. Tujuan-tujuan entitas dikelompokkan menjadi tiga kategori
(COSO, 2013):
1 Efektivitas dan efisiensi operasi.
2 Keandalan atau reliabilitas pelaporan keuangan.
3 Kepatuhan dengan peraturan dan perundang-undangan yang berlaku.
Berikut adalah rumusan asli definisi pengendalian internal menurut COSO (2013):
Internal control is a process, effected by an entity’s board of directors, management, and
other personnel, designed to provide reasonable assurance regarding the achievement
of objectives relating to operations, reporting, and compliance. 
Pengendalian internal seharusnya memainkan peran penting dalam mendeteksi dan
mencegah kecurangan serta melindungi aset organisasi, baik yang berwujud (misalnya,
persediaan, aset tetap, dan kas) maupun yang tidak berwujud (misalnya reputasi, hak
atas kekayaan intelektual, dan merek dagang).
Kerangka dan pedoman implementasi pengendalian internal digagas oleh organisasi
yang berbasis di Amerika Serikat, yaitu Committee of Sponsoring Organizations of the
Treadway Commission (COSO). Meskipun demikian, kerangka dan pedoman
implementasi pengendalian internal rumusan COSO diadopsi secara luas di berbagai
negara, baik di sektor publik maupun sektor swasta.
Sebagai contoh, di Indonesia terdapat Peraturan Pemerintah RI No. 60/2008 tentang
Sistem Pengendalian Iintern Pemerintah. BAPEPAM-LK (sekarang OJK) juga
menerbitkan Peraturan Bapepam-LK No.IX.I.7, Lampiran Keputusan Ketua Bapepam-LK
No.Kep-496/BL/2008 tentang Pembentukan dan Pedoman Penyusunan Piagam Unit
Audit Internal. Auditor juga diharuskan untuk memahami desain dan implementasi
pengendalian internal yang diterapkan oleh perusahaan yang diaudit.
Pada tingkatan konsep atau gagasan, pengendalian internal erat terkait dengan
akuntansi. Satu dari tiga kategori tujuan entitas dalam definisi pengendalian internal di
atas adalah mengenai keandalan atau reliabilitas pelaporan keuangan. Dengan alasan
itulah, Weygandt, Kimmel, dan Kieso (2010) membahas konsep pengendalian internal

2009 Sistem Infromasi dan Pengendalian Internal

2
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
yang dijadikan satu bab dengan pembahasan tentang kas yang merupakan aset yang
perusahaan paling berisiko.
Apakah komponen pengendalian internal?
Kerangka pengendalian internal COSO (2013) menetapkan lima komponen
pengendalian internal:

1. Suasana atau lingkungan pengendalian (control environment)

Lingkungan pengendalian mencakup standar, proses, dan struktur yang menjadi
landasan terselenggaranya pengendalian internal di dalam organisasi secara
menyeluruh. Lingkungan pengendalian tercermin dari suasana dan kesan yang
diciptakan dewan komisaris dan manajemen puncak mengenai pentingnya
pengendalian internal dan standar perilaku yang diharapkan. Managemen
mempertegas harapan atau ekspektasi itu pada berbagai tingkatan organisasi.
Sub-komponen lingkungan pengendalian mencakup integritas dan nilai etika
yang dianut organisasi; parameter-parameter yang menjadikan dewan komisaris
mampu melaksanakan tanggung jawab tata kelola; struktur organisasi serta
pembagian wewenang dan tanggung jawab; proses untuk menarik,
mengembangkan, dan mempertahankan individu yang kompeten; serta
kejelasan ukuran kinerja, insentif, dan imbalan untuk mendorong akuntabilitas
kinerja. Lingkungan pengendalian berdampak luas terhadap sistem
pengendalian internal secara keseluruhan.
2. Penilaian risiko (risk assessment)
COSO merumuskan definisi risiko sebagai kemungkinan terjadinya suatu
kejadian yang akan berdampak merugikan bagi pencapaian tujuan. Risiko yang
dihadapi organisasi bisa bersifat internal (berasal dari dalam) ataupun eksternal

2009 Sistem Infromasi dan Pengendalian Internal

3
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
 (bersumber dari luar). Penilaian risiko adalah proses dinamis dan berulang
(iteratif) untuk mengenali (identifikasi) dan menilai (analisis) risiko atas
pencapaian tujuan. Risiko yang teridentifikasi selanjutnya dibandingkan dengan
tingkat toleransi risiko yang telah ditetapkan. Dengan demikian, penilaian risiko
menjadi landasan bagi pengelolaan atau manajemen risiko. Salah satu
prakondisi bagi penilaian risik0 adalah penetapan tujuan-tujuan yang saling
terkait pada berbagai tingkatan entitas. Manajemen harus menetapkan tujuan
dalam kategori operasi, pelaporan keuangan, dan kepatuhan dengan jelas
sehingga risko-risiko terkait bisa diidentifikasi dan dianalisis. Manajemen juga
harus mempertimbangkan kesesuaian tujuan dengan entitas. Penilaian risiko
mengharuskan manajemen untuk mempertimbangkan dampak perubahan
lingkungan eksternal serta perubahan model bisnis entitas itu sendiri yang
berpotensi mengakibatkan pengendalian internal yang ada tidak efektif lagi.
3. Aktivitas pengendalian (control activities)
Aktivitas-aktivitas pengendalian mencakup tindakan-tindakan yang ditetapkan
melalui satu set kebijakan dan prosedur (misalnya prosedur operasi standar atau
SOP) untuk membantu memastikan dilaksanakannya arahan manajemen dalam
rangka meminimalkan risiko atas pencapaian tujuan. Aktivitas-aktivitas
pengendalian dilaksanakan pada semua tingkatan entitas, pada berbagai tahap
proses bisnis, dan dalam setting atau konteks teknologi yang digunakan.
Aktivitas pengendalian ada yang bersifat preventif atau detektif, Aktivitas
pengendalian juga bisa manual atau otomatis, contohnya adalah aktivitas
otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan evaluasi kinerja.
Pembagian tugas harus erat terkait dengan dengan proses pemilihan dan
pengembangan aktivitas pengendalian. Jika pembagian tugas dianggap tidak
praktis, manajemen harus memilih dan mengembangkan alternatif aktivitas
pengendalian.
4. Informasi dan komunikasi (information and communication)
Entitas memerlukan informasi demi terselenggaranya tanggung jawab
pengendalian internal yang mendukung pencapaian tujuan. Manajemen harus
memperoleh, menghasilkan, dan menggunakan informasi yang relevan dan
berkualitas, baik yang berasal dari sumber internal maupun eksternal, untuk
mendukung komponen-komponen pengendalian internal lainnya berfungsi
sebagaimana mestinya. Komunikasi sebagaimana yang dimaksud dalam
kerangka pengendalian internal COSO adalah proses iteratif dan berkelanjutan
untuk memperoleh, membagikan, dan menyediakan informasi. Komunikasi

2009 Sistem Infromasi dan Pengendalian Internal

4
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
 internal harus menjadi sarana diseminasi informasi di dalam organisasi, baik dari
atas ke bawah, dari bawah ke atas, maupun lintas fungsi.
5. Pemantauan (monitoring)
Pemantauan mencakup evaluasi berkelanjutan, evaluasi terpisah, atau
kombinasi dari keduanya yang dimaksudkan untuk memastikan tiap-tiap
komponen pengendalian internal ada dan berfungsi sebagaimana mestinya.
Organisasi, baik perusahaan maupun pemerintah, biasanya memiliki unit audit internal
yang menjadi penopang terselenggaranya pengendalian internal dan bertanggung jawab
langsung kepada manajer puncak atau dewan pengawas.
Prinsip-prinsip pengendalian internal
Kerangka pengendalian internal COSO (2013) menyatakan 17 prinsip yang
merepresentasikan konsep-konsep fundamental yang terkait dengan tiap-tiap komponen
pengendalian internal. Prinsip-prinsip pengendalian internal dirumuskan langsung dari
komponen pengendalian internal, sehingga entitas akan mencapai pengendalian internal
secara efektif dengan menerapkan semua prinsip. Semua prinsip pengendalian internal
terkait dengan tujuan-tujuan entitas, baik dalam kategori operasi, pelaporan keuangan,
maupun kepatuhan.
Berikut adalah prinsip-prinsip pengendalian internal dimaksud.
Lingkungan pengendalian
1. Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
2. Dewan komisaris (atau dewan pengawas) menunjukkan independensi dari
manajemen dan melaksanakan pengawasan atas pengembangan dan
pelaksanaan pengendalian internal.
3. Di bawah pengawasan dewan komisaris (atau dewan pengawas), manajemen
menetapkan struktur organisasi, garis pelaporan, serta wewenang dan tanggung
jawab yang tepat sesuai dengan tujuan yang ditetapkan.
4. Organisasi menunjukkan komitmen dalam merekrut, mengembangkan, dan
mempertahankan individu-individu yang kompeten sesuai dengan tujuan yang
ditetapkan.
5. Organisasi memberikan dukungan bagi individu-individu yang bertanggung
jawab atas pelaksanaan pengendalian internal sesuai dengan tujuan yang
ditetapkan.
Penilaian risiko
1. Organisasi menetapkan tujuan-tujuan yang jelas agar identifikasi dan penilaian risiko
terkait tujuan-tujuan itu bisa dilakukan.
2. Organisasi melakukan identifikasi risiko atas pencapaian tujuan entitas secara

2009 Sistem Infromasi dan Pengendalian Internal

5
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
 menyeluruh dan dan melaksanakan analisis risiko sebagai landasan untuk
menetapkan manajemen risiko.
3. Organisasi mempertimbangkan potensi kecurangan (fraud) dalam melakukan
penilaian risiko atas pencapaian tujuan.
4. Organisasi melakukan identifikasi dan penilaian atas perubahan-perubahan yang
mungkin berdampak signifikan terhadap sistem pengendalian internal.
Aktivitas pengendalian
3. Organisasi memilih dan mengembangkan aktivitas-aktivitas pengendalian yang yang
akan memberikan kontribusi dalam meminimalkan risiko atas pencapaian tujuan
hingga mencapai tingkat toleransi risiko yang bisa diterima.
4. Organisasi memilih dan mengembangkan aktivitas-aktivitas pengendalian umum atas
teknologi pendukung pencapaian tujuan.
5. Organisasi memberlakukan aktivitas-aktivitas pengendalian melalui kebijakan yang
menetapkan apa yang diharapkan dan melalui prosedur yang menjabarkan
kebijkan menjadi tindakan.
Informasi dan komunikasi
1 Organisasi memperoleh atau menghasilkan dan menggunakan informasi yang relevan
dan berkualitas untuk mendukung komponen-komponen pengendalian internal
lain berfungsi sebagaimana mestinya.
2 Organisasi melakukan komunikasi informasi secara internal, termasuk tujuan dan
tanggung jawab pengendalian internal, yang diperlukan untuk mendukung the
pengendalian internal berfungsi sebagaimana mestinya.
3 Organisasi menjalin komunikasi dengan pihak-pihak eksternal terkait hal-hal yang
mempengaruhi berfungsinya komponen-komponen pengendalian internal
lainnya.
Monitoring Activities
1.4. Organisasi memilih, mengembangkan, dan melaksanakan evaluasi, baik yang
dilakukan secara terus-menerus (berkelanjuatan) maupun yang dilakukan secara
terpisah untuk memastikan apakah komponen-komponen pengendalian internal
ada dan berfungsi.
1.5. Organisasi mengevaluasi dan mengkomunikasikan kelemahan-kelemahan
pengendalian internal secara tepat waktu kepada pihak-pihak yang bertanggung
jawab untuk mengambil tindakan koretif, termasuk manajemen puncak dan
dewan komisaris (atau dewan pengawas serupa), sebagaimana mestinya.

2009 Sistem Infromasi dan Pengendalian Internal

6
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
Prinsip-prinsip pengendalian internal di atas bisa digunakan oleh auditor atau peneliti
sebagai indikator-indikator untuk menilai efektivitas pengendalian internal klien atau
organisasi yang menjadi obyek penelitian

COBIT yaitu Control Objectives for Information and Related Technology yang
merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh Information
Systems Audit and Control Association (ISACA), dan IT Governance Institute (ITGI)
pada tahun 1992.
1. Business information requirements, terdiri dari : Information : effectiveness
(efektif), efficiency (efisien), (keyakinan), integrity (integritas), availability
(tersedia), (pemenuhan), reliability (dipercaya). 
2. Confidentiality compliance  
3. Information Technology Resource, terdiri dari : People, applications, technology,
facilities, data. 
4. High – Level IT Processes.

COBIT didasari oleh analisis dan harmonisasi dari standar teknologi informasi
dan best practices yang ada, serta sesuai dengan prinsip governance yang diterima
secara umum. COBIT berada pada level atas yang dikendalikan oleh kebutuhan bisnis,
yang mencakupi seluruh aktifitas teknologi informasi, dan mengutamakan pada apa
yang seharusnya dicapai dari pada bagaimana untuk mencapai tatakelola, manajemen
dan kontrol yang efektif. COBIT Framework bergerak sebagai integrator dari praktik IT
governance dan juga yang dipertimbangkan kepada petinggi manajemen atau manager;
manajemen teknologi informasi dan bisnis; para ahli governance, asuransi dan
keamanan; dan juga para ahli auditor teknologi informasi dan kontrol. COBIT Framework
dibentuk agar dapat berjalan berdampingan dengan standar dan best practices yang
lainnya.
 
Implementasi dari best practices harus konsisten dengan tatakelola dan
kerangka kontrol Perusahaan, tepat dengan organisasi, dan terintegrasi dengan metode
lain yang digunakan. Standar dan best practices bukan merupakan solusi yang selalu
berhasil dan efektifitasnya tergantung dari bagaimana mereka diimplementasikan dan
tetap diperbaharui. Best practices biasanya lebih berguna jika diterapkan sebagai
kumpulan pinsip dan sebagai permulaan (starting point) dalam menentukan prosedur.
Untuk mencapai keselarasan dari best practices terhadap kebutuhan bisnis, sangat
disarankan agar menggunakan COBIT pada tingkatan teratas (highest level),

2009 Sistem Infromasi dan Pengendalian Internal

7
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
menyediakan kontrol framework berdasarkan model proses teknologi informasi yang
seharusnya cocok untuk perusahaan  secara umum.
 
COBIT FRAMEWORK
Kerangka kerja CobIT terdiri dari beberapa guidelines (arahan), yakni :
Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang
tercermin dalam 4 domain, yaitu : planning & organization, acquisition &
implementation, delivery & support, dan monitoring.
Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management assurance atau saran
perbaikan.
 
 
Management Guidelines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti
dilakukan, seperti : apa saja indicator untuk suatu kinerja yang bagus, apa saja
resiko yang timbul, dan lain-lain.
Maturity Models
Untuk memetakan status maturity proses-proses IT (dalam skala 0 -5)

Kerangka kerja COBIT terdiri dari tujuan pengendalian tingkat tinggi dan struktur
klasifikasi secara keseluruhan, yang pada dasarnya terdiri tiga tingkat usaha pengaturan
TI yang menyangkut manajemen sumber daya TI. Yaitu dari bawah, kegiatan tugas
(Activities and Tasks) merupakan kegiatan yang dilakukan secara terpisah yang
diperlukan untuk mencapai hasil yang dapat diukur. Dan selanjutnya kumpulan Activity
dan Tasks dikelompokkan kedalam proses TI yang memiliki permasalahan pengelolaan
TI yang sama akan dikelompokkan kedalam domain. Maka konsep kerangka kerja dapat
dilihat dari tiga sudut pandang, meliputi : Information Criteria, IT Resources, IT
Processes, seperti terlihat pada gambar dibawah ini :

2009 Sistem Infromasi dan Pengendalian Internal

8
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
Cube COBIT (ITGI : 2007)

Model proses COBIT terdapat empat domain yang didalamnya terdapat 34  proses
dalam memberikan informasi kepada dunia usaha sesuai dengan bisnis dan kebutuhan
tata kelola teknologi informasi. Sehingga domain tersebut dapat diidentifikasikan yang
terdiri dari 34 proses, yaitu (ITGI, 2007) :

4 Plan and organize (PO)

Yaitu mencakup masalah mengidentifikasikan cara terbaik TI untuk memberikan
kontribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Domain ini
menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi
organisasi. Domain PO terdiri dari 10 control objectives, meliputi :

1 PO1 : Define a strategic IT plan

2 PO2 : Define the information architecture
3 PO3 : Determine technological direction
4 PO4 : Define the IT processes, organization and relationships
5 PO5 : Manage the IT investment
6 PO6 : Communicate management aims and direction
7 PO7 : Manage IT human resources
8 PO8 : Manage quality human resource
9 PO9 : Asses and manage IT risks
10 PO10 : Manage projects
2009 Sistem Infromasi dan Pengendalian Internal
9
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
5. Acquire and Implement (AI)
Domain ini menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI yang
digunakan. Pelaksanaan strategi yang telah ditetapkan, harus disertai solusi-solusi TI
yang sesuai solusi TI tersebut diadakan, diimplementasikan dan diintegrasikan kedalam
proses bisnis organisasi. Dimana domain AI terdiri dari 7 control objectives, meliputi :
AI1 : Identify automated solutions
AI2 : Acquire and maintain application software
AI3 : Acquire and maintain technology infrastructure
AI4 : Enable operation and use
AI5 : Procure IT resources
AI6 : Manage changes
AI7 : Install and accredit solutions and changes
4 Deliver and Support (DS)
Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya yang
meliputi hal keamanan sistem, kesinambungan layanan,   pelatihan dan pendidikan
untuk pengguna, dan pengelolaan data yang sedang berjalan. Dimana domain DS terdiri
dari 13 control objectives, meliputi :
1 DS1 : Define and manage service levels
2 DS2 : Manage third-party services
3 DS3 : Manage performance and capacity
4 DS4 : Ensure continuous service
5 DS5 : Ensure systems security
6 DS6 : Identify and allocate costs
7 DS7 : Educate and train users
8 DS8 : Manage service desk and incidents
9 DS9 : Manage the configuration
10 DS10 : Manage problems
11 DS11 : Manage data
12 DS12 : Manage the physical environment
13 DS13 : Manage operations
1. Monitor and Evaluate (ME)
Domain ini menitikberatkan pada proses pengawasan  pengelolaan TI pada organisasi
seluruh kendali-kendali yang diterapkan setiap proses TI harus diawasi dan dinilai
kelayakannya secara berkala. Domain ini fokus pada masalah kendali-kendali yang
diterapkan dalam organisasi, pemeriksaan internal dan eksternal. Dimana domain ME
terdiri dari 4 control objectives, meliputi :

2009 Sistem Infromasi dan Pengendalian Internal

10
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
- ME1 : Monitor and evaluate IT performance
- ME2 : Monitor and evaluate internal control
- ME3 : Ensure regulatory compliance
- ME4 : Provide IT Governance

Maka dengan melakukan kontrol terhadap 34 control objectives tersebut, organisasi

dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan
untuk lingkungan TI. Karena COBIT dirancang beriorientasi bisnis agar bisa digunakan
banyak pihak, tetapi lebih penting lagi adalah sebagai panduan yang komprehensif bagi
manajemen dan pemilik bisnis proses. Kebutuhan bisnis akan tercermin dari adanya
kebutuhan informasi. Dan informasi itu sendiri perlu memenuhi kriteria kontrol tertentu,
untuk mencapai tujuan bisnis. 
bisnis. 

2009 Sistem Infromasi dan Pengendalian Internal

11
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
2009 Sistem Infromasi dan Pengendalian Internal
12
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
2009 Sistem Infromasi dan Pengendalian Internal
13
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
2009 Sistem Infromasi dan Pengendalian Internal
14
Pusat Bahan Ajar dan eLearning
Aloysius Harry Mukti, PhD., MS.Ak., ERMCP http://www.mercubuana.ac.id
Daftar Pustaka
1. Sanyoto Gondodiyoto. (2007). Pengelolaan fungsi audit sistem informasi. Mitra
Wacana Media. Jakarta.
2. Marshall B. Romney, Paul John Steinbart, 2006. Accounting Information System,
Ninth Edition, Prentice Hall.
3. IT Governance Institute. (2007), “COBIT 4.1 Framework Control Objectives,
Management Guidelines, Maturity Models”,
Models”, IT Governance Institute.