COBIT : CONTROL OBJECTIVES FOR INFORMATION AND RELATED

TECHNOLOGY
Mata Kuliah: Pengauditan Internal

Dosen Pengampu: Dr. Asri Usman, SE. M.Si., AK., CA.

Disusun Oleh:

Kelompok 8

Muhammad Akmal Amanah (A031201111)

Muradha Tri Dewi Makmur (A031201118)

Raymond Renson Ankristipa (A031201152)

DEPARTEMEN AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS HASANUDDIN

2023
 COBIT : CONTROL OBJECTIVES FOR INFORMATION AND RELATED
TECHNOLOGY
CobiT (Control Objectives for Information and Related Technology) adalah sebuah
kerangka kerja pengendalian internal yang lebih berorientasi IT yang dibuat oleh ISACA
untuk Information Technology management dan Information Technology governance. CobiT
adalah alat pendukung yang digunakan oleh manajer untuk menjembatani kesenjangan antara
persyaratan kontrol, masalah teknis, dan risiko bisnis yang dibuat untuk 3 pengguna yang
antara lain yaitu manajer, user, dan auditor. CobiT dikembangkan oleh IT governance
Institute (ITGI) yang merupakan bagian dari Information Systems Audit and Control
Association (ISACA) (Irwan, 2011).
CobiT sangat bermanfaat bagi manajemen untuk membantu dalam menyeimbangkan
antara resiko dan investasi pengendalian dalam sebuah lingkungan Teknologi yang sering
tidak dapat diprediksi. Bagi user, hal ini menjadi sangat berguna untuk memperoleh
keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal
atau pihak ketiga. Sedangkan bagi Auditor untuk mendukung atau memperkuat opini yang
dihasilkan dan untuk memberikan saran kepadamanajemen atas pengendalian internal yang
ada (Hapzi Ali, 2018).
Meskipun awalnya diluncurkan sebagai alat untuk membantu apa yang pernah disebut
"komputerauditor " (spesialis auditor internal dan eksternal yang merewiew IT )terkait
internal kontrol , CobiT adalah alat yang berguna untuk mengevaluasi semua kontrol internal
disuatu perusahaan sebagai tambahan disamping telah adanya internal control yang
diterbitkan oleh COSO.
Pengantar CobitT
CobiT sendiri merupakan kerangka kontrol internal yang penting, tetapi merupakan
bagian penting sebagai alat untuk mendokumentasikan dan memahami COSO dan SOx.
Institut Tata Kelola TI (ITGI, www.itgi.org) secara teratur menerbitkan dan memperbarui
standar dan kerangka kerja CobiT dan terkait erat dengan organisasi profesional Asosiasi
Audit dan Kontrol Sistem Informasi (ISACA). ISACA lebih berfokus pada audit TI,
sedangkan ITGI berfokus pada penelitian dan proses manajemen. 
            Electronic Data Processing Auditor’s Association (EDPAA) mulai mengembangkan
pedoman profesional audit IT sesaat setelah pembentukannya. CobiT framework sering
digambarkan sebagai pentago nmeliputi lima bidang luas dan saling kontrol internal  sbb :
  Keselarasan strategis , Ini termasuk membangun hubunganantara operasi bisnis
perusahaan dan rencana IT serta proses untukmendefinisikan , memelihara , dan
memvalidasi hubungan kualitas dan nilai.
 Nilai pengiriman, memastikan bahwa TI dan unit operasi lainnyamemberikan manfaat
yang dijanjikan di seluruh siklus pengiriman dan denganStrategi yang mengoptimalkan
biaya sementara menekankan nilai-nilai intrinsik dari IT dan kegiatan yang berhubungan
 Manajemen risiko, Manajemen  di semua tingkatan , harus memiliki pemahaman yang
jelas akan risiko suatu perusahaan, syarat kepatuhan,  dampak risiko yang signifikan .
 Pengelolaan sumber daya,  Dengan penekanan pada TI , harus ada optimalinvestasi ,
dan pengelolaan yang baik , sumber daya kritis TI, aplikasi,informasi, infrastruktur , dan
orang-orang . ITgovernance  yang efektif tergantung padaoptimasi pengetahuan dan
infrastruktur.
 Pengukuran kinerja , melacak dan memantauimplementasi strategi , penyelesaian
proyek , penggunaan sumber daya , proses  kinerja,dan pelayanan . Mekanisme tata kelola
TI harus menerjemahkan implementasistrategi ke dalam tindakan dan pengukuran untuk
mencapai tujuan

Kerangka CobiT

Proses TI dan aplikasi software pendukungnya serta perangkat

kerasnyamerupakankomponen kunci pada perusahaan dewasa ini. IT tidak bisa dan tentu saja
tidak harus memberitahu tentang operasi bisnis jenis apa terkait proses dan sistem TI yang
sebaiknya diterapkan, bamun  IT memberikan informasi agar membantu dalam hal
pengambilan keputusan bisnis.
           . Internal auditor mungkin mengatakan : " Saya mengerti dan menggunakan COSO
internal kontrol. Namun, mengapa digunakan framework lain ? " Jawabannya adalah bahwa
CobiT memberikan pendekatan alternatif untuk mendefinisikan dan menggambarkan kontrol
internal yang lebih menekankan IT daripada COSO kerangka pengendalian internal murni.
                IT governance adalah kunci konsep CobiT, sebelum SOx , tidak kuat ditekankan
sebagai  unsur CobiT. Bagian berikutnya menjelaskan tentang kerangka CobiT dan alasan
mengapa penting untuk memahami pengendalian internal SOx dan meningkatkan tata kelola
TI.
a)      Komponen kubus CobiT : Sumber Daya IT
             Sumber Daya IT (IT Resources) tiga sisi dimensi CobiT kubus mewakili semua dari
aset TI perusahaan itu, termasuk orang-orangnya, sistem aplikasi, teknologi yang digunakan,
fasilitas, dan nilai data. Sisi dari kubus merupakan hal yg sangat penting untuk diperhatikan
terhadap semua sumber daya yang diperlukan untuk operasi darisumber daya IT perusahaan.
Baik secara individu maupun sebagai kelompok, sumber daya ini harus dipertimbangkan
ketika mengevaluasi kontrol dalam lingkungan TI, dan hal tersebut dapat diidentifikasi
sebagai :
 Aplikasi yang terdiri dari sistem pengguna otomatis dan prosedur manualuntuk
memproses informasi
 Informasi , termasuk input, output , dan olah data , untuk digunakan dalam proses bisnis
 Teknologi dan fasilitas komponen infrastruktur termasuk perangkat keras, operasisistem,
database, jaringan, dan lingkungan lokasi mendukung mereka
 Personil kunci dan khusus untuk merencanakan, mengatur, memperoleh,
menerapkan,mendukung,memantau, dan mengevaluasi layanan TI
b)      Komponen kubus CobiT
I. PROSES IT, Dimensi kedua dan menghadap ke depan dari kubus  CobiT
merepresentasikanIT Proses dan terdiri dari tiga segmen : domain , proses , dan kegiatan.
Domain adalah pengelompokan proses TI yang  sesuai dengan area-area pertanggungjawaban
dalam organisasi; CobiT mendefinisikan empat bidang domain yang spesifik :
1. Perencanaan dan enterprise. Daerah domain ini meliputi strategi dan taktik yang
memungkinkan TI untuk berkontribusi terbaik dan mendukung tujuan bisnis perusahaan.
Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola
untuk berbagai perspektif yang berbeda.
2. Akuisisi dan implementas. Solusi TI perlu diidentifikasi, dikembangkan
atau diakui, kemudian keduanya diimplementasikan dan terintegrasikan dengan proses
bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup
dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung
untuk sistem-sistem ini.
3. Pengiriman dan dukungan. Daerah domain ini meliputi actual delivery terhadap
layanan yg diperlukan. Domain ini memberikan fokus utama pada aspek
penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian
aplikasi-aplikasi dalam sistem IT dan hasilnya, serta proses dukungan yang memungkinkan
pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk
isu/masalah keamanan dan juga pelatihan.
4. Pemantauan dan evaluasi. Daerah ini mencakup proses kontrol, termasuk
kualitas dan pemantauan kepatuhan , serta evaluasi prosedur audit internal dan eksternal.
emua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan
pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan
manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang
dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber
alternatif lainnya.
            Bahan deskriptif CobiT menggambarkan masing-masing domain daerah secara lebih
rinci :
 Tentukan rencana strategis TI .
 Menentukan arsitektur informasi .
 Menentukan arah teknologi .
 Tentukan perusahaan TI dan hubungan .
 Mengelola investasi TI .
 Komunikasikan tujuan manajemen dan arah .
 Mengelola sumber daya manusia.
 Memastikan kepatuhan terhadap persyaratan eksternal .
 Menilai risiko .
 Mengelola proyek .
 Mengelola kualitas .
 II. PERSYARATAN USAHA, Dimensi ketiga dari kubus CobitT digambarkan
sebagai Kebutuhan Bisnis. tujuh komponen harus dipertimbangkan untuk semua
kebutuhan bisnis dengan pertimbangan pemberian sumber daya yang diperlukan dan proses
TI:
1. Efectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan
dengan proses bisnis, konsisten, dapat dipercaya dan tepat waktu
2. Eficiency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang
paling produktif dan ekonomis) yang optimal.
3. Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari
pihak-pihak yang tidak memiliki hak otoritas atau tidak berwenang.
4. Integrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi
dan tingkat validitas yang sesuai dengan ekspektasi dan nilai bisnis.
 5. Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika
diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini
juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.
6. Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan
hukum, peraturan, dan rencana perjanjian atau kontrak untuk proses bisnis.
7. Reability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen
untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat
laporan keuangan.
Semua sistem TI secara keseluruhan harus dievaluasi berdasarkan pada tujuh bidang
tersebut. The kubus  CobiT menyajikan cara yang efektif untuk memahami hubungan
antarakebutuhan bisnis , proses TI , dan sumber daya TI. Sifat tiga dimensi model
menekankan hubungan dan saling ketergantungan antara bisnis dan proses TI. Dalam dunia
IT yang bersifat dependen, ini adalah cara yang berguna bagi internal auditor untuk melihat
dan memahami pengendalian internal.

Menggunakan CobiT Untuk Menilai Pengendalian Intern

Berdasarkan ini kontrol tiga dimensi kubus CobiT, maka setiap proses TI harus
dievaluasi melalui lima langkah navigasi sbb :
                        I.     Pengendalian atas apa ? ( nama proses )
                      II.     Memuaskan apa ? ( daftar kebutuhan bisnis )
                   III.     Dengan berfokus pada ? ( daftar tujuan TI penting )
                   IV.     Dicapai dengan ? ( daftar pernyataan kontrol)
                      V.     Dan diukur dengan ( daftar metrik kunci )
(a) Perencanaan dan Enterprise
       CobiT atau dikenal sebagai tingkat tinggi dari proses yang mengatur arah sebuah
perusahaan dan sumber daya IT. Untuk ini, CobitT memiliki 10 Planning dan Organizing
(PO) yang didefinisikan dengan cara ini:
PO1     Menentukan rencana strategis.
PO2     Menentukan gambaran informasi.
PO3     Menentukan arah teknologi.
PO4     Mendefinisikan proses TI, perusahaan, dan hubungan.
PO5     Mengelola investasi TI.
PO6     Komunikasikan tujuan manajemen dan arah.
PO7     Mengelola sumber daya manusia TI.
 PO8     Mengelola kualitas.
PO9     Menilai dan mengelola risiko TI.
PO10   Mengelola proyek.
Konsep pada level yang cukup tinggi, CobiT jauh lebih spesifik. Misalnya, dengan
menggunakan ini tujuan kontrol PO1 pada mendefinisikan rencana strategis, CobiT kemudian
menjelaskan enam tujuan yang lebih rinci pada PO1:
PO1.1  Manajemen nilai TI.
PO1.2  Keselarasan Bisnis-IT.
PO1.3  Penilaian kinerja saat ini.
PO1.4  IT rencana strategis.
PO1.5  IT rencana taktis.
PO1.6  Manajemen portofolio TI.
       Penomoran ini penting, karena CobiT diterbitkan dari referensi masing-masing dan dan
sebagai tujuan  dalam hal input dan output mereka. Bahan CobiT diterbitkan memberikan
gambaran tingkat tinggi untuk masing-masing sasarannya. Sebagai contoh, tujuan PO1.4
pada rencana strategis menyatakan:
“Membuat rencana strategis dapat didefinisikan bahwa, dalam kerjasama
dengan para pemangku kepentingan yang relevan, TI harus memberikan kontribusi
untuk tujuan strategis perusahaan itu (gol) dan biaya terkait dan risiko
pengedaliannya. Ini mencakup bagaimana TI akan mendukung program investasi dan
pelayanan operasional. Ini mendefinisikan bagaimana tujuan akan bertemu dan diukur
dan akan diterima secara formal dari para pemangku kepentingan. Rencana strategis
TI harus mencakup investasi / biaya operasional, sumber pendanaan, strategi
sourcing, strategi akuisisi, dan persyaratan hukum dan peraturan.”
       Pada paragraph ini merupakan contoh salah satu dari banyak tujuan pengendalian dalam
CobiT. Disini tidak memberitahu profesional bagaimana menulis sebuah rencana strategis IT
tapi memberikan bimbingan yang sangat baik tentang bagaimana membangun rencana
tersebut, tidak peduli ukuran atau status dari perusahaan. Ini tujuan umum dan alat yang baik
untuk auditor internal untuk membangun kriteria kajian di bidang ini.
       Untuk setiap tujuan CobiT, bahan bimbingan juga mengandung apa yang disebut
diagram RACI. Sebuah alat yang berevolusi dari inisiatif kualitas pada tahun 1960, grafik
RACI adalah alat yang baik untuk mengidentifikasi peran dan tanggung jawab proses..
Tanggung jawab untuk kegiatan tersebut diidentifikasi dalam berpotongan sel melalui satu
atau beberapa inisial RACI:
 R = Responsible, atau memiliki masalah atau proses.
A = Akuntabel, atau yang harus menandatangani aktivitas sebelum efektif.
C = Consulted , atau yang memiliki informasi dan / atau kemampuan untuk
menyelesaikan kerja.
I = Informed, atau yang harus diberitahu tentang hasil tetapi tidak perlu
dikonsultasikan.
(b) Akuisisi dan Implementasi
Setiap tujuan pengendalian tingkat tinggi CobiT membahas prosedur pengendalian
dalam format umum yang sama.
A11  Mengidentifikasi solusi otomatis.
A12  Memperoleh dan memelihara perangkat lunak aplikasi.
A13  Memperoleh dan memelihara infrastruktur teknologi.
A14  Aktifkan operasi dan digunakan.
A15  Pengadaan sumber daya TI.
A16   Mengelola perubahan.
A17  Instal dan akreditasi solusi dan perubahan.
       Masing-masing tujuan rinci diatas meliputi prosedur kontrol atas  pelaksanaan alat-alat
baru. Sementara penekanannya pada software IT. Namun, Ruang tidak memungkinkan
diskusi lengkap masing-masing tujuan kontrol, tapi akan diperiksa AI6 pada pengelolaan
perubahan sebagai contoh bagaimana CobiT menguraikan daerah kontrol ini. Misalnya,
sebelumnya kita diuraikan proses lima langkah COBIT untuk mengevaluasi tujuan
pengendalian. AI6 tujuan untuk mengelola perubahan mengikuti proses lima langkah yang
sama:
I. Kontrol atas Proses TI mengelola perubahan
II. Yang memenuhi kebutuhan bisnis untuk TI menanggapi kebutuhan bisnis yang
selaras dengan strategi bisnis, sekaligus mengurangi solusi dan cacat pengiriman dan
pengerjaan ulang
III. Dengan berfokus pada pengendalian penilaian dampak, otorisasi, dan pelaksanaan
semua perubahan pada infrastruktur TI, aplikasi, dan solusi teknis, meminimalkan
kesalahan karena permintaan spesifikasi lengkap dan implementasi penghentian
perubahan tidak sah
IV. Dapat dicapai dengan  Mendefinisikan dan mengkomunikasikan prosedur
perubahan, termasuk perubahan darurat Menilai, memprioritaskan, dan otorisasi
perubahan Status Pelacakan dan pelaporan tentang perubahan
 V. Dan diukur dengan  Jumlah gangguan atau kesalahan data yang disebabkan oleh
spesifikasi yang tidak akurat atau tidak lengkap Application penilaian dampak atau
ulang infrastruktur akibat tidak memadai spesifikasi Persen perubahan perubahan
yang mengikuti perubahan internal mengontrol proses.
(c) Pengiriman dan Dukungan
       Setelah format umum yang sama, tujuan tingkat tinggi ketiga control CobiT adalah
Pengiriman dan dukungan (DS). Tujuan pengendalian ini terutama mencakup isu-isu
manajemen pelayanan berkaitan dengan tujuan proses bisnis ITIL. Ini benar-benar menyoroti
beberapa perubahan pemahaman kita tentang internal kontrol yang telah berkembang sejak
diberlakukannya SOx pada tahun 2002. Kedua CobiT dan ITIL adalah dengan kami pada
waktu itu, tetapi SOx Pasal 404 penekanan pada pengendalian internal yang efektif telah
membawa hal-hal bersama-sama. Tujuan pengendalian CobiT DS mirip dengan kontrol
internal ITIL untuk meningkatkan proses bisnis. Keduanya menutupi area penting dari apa
yang dikenal sebagai manajemen layanan TI, proses yang diperlukan untuk memastikan
operasional TI yang efisien dan untuk memberikan layanan ini.
Ada kebutuhan untuk pelayanan yang efisien dan masalah  proses manajemen untuk
melaporkan dan mengatasi hal-hal tersebut. The CobitT DS control  Tujuan mencakup
banyak segmen-segmen penting:
DS1     Mendefinisikan dan mengelola tingkat layanan.
DS2     Mengelola layanan pihak ketiga.
DS3     Mengelola kinerja dan kapasitas.
DS4     Pastikan layanan secara kontinu.
DS5     Pastikan sistem keamanan.
DS6     Mengidentifikasi dan mengalokasikan biaya.
DS7     Mendidik dan melatih pengguna.
DS8     Mengelola service desk dan insiden.
DS9     Mengelola konfigurasi.
DS10   Mengelola masalah.
DS11   Mengelola data.
DS12   Mengelola lingkungan fisik.
DS13   Mengelola operasi.

(d) Monitoring dan Evaluasi

 Selanjutnya, CobiT keempat disebut Monitoring dan Evaluasi (ME). tujuan
pengendalian yang menekankan CobiT sebagai proses loop tertutup yang secara efektif tidak
pernah berakhir. CobiT panggilan untuk menetapkan langkah-langkah dasar untuk
memungkinkan suatu perusahaan untuk mengukur bagaimana kinerja mereka dan
memberikan mereka kesempatan di masa mendatang. Segmen ini meliputi bidang-bidang
jaminan kualitas yang secara tradisional telah lebih umum untuk manufaktur dan operasi
lainnya .
            Untuk proses bisnis yang akan dianalisis dan diukur dalam mengidentifikasi berbagai
sumber yang menyebabkan produk yang diberikan berbeda dengan yang diinginkan
pelanggan. Deming mengusulkan bahwa umpan balik proses bisnis harus dilakukan terus
menerus sehingga manajer dapat mengidentifikasi dan mengubah bagian dari proses yang
membutuhkan perbaikan.
            Deming disebut ini sebagai siklus Plan, Do, Check Act (PDCA), berikut adalah
langkah-langkahnya:
Langkah 1. Rencana: Desain atau merevisi proses bisnis untuk meningkatkan hasil.
Langkah 2. Lakukan: Melaksanakan untuk merencanakan dan mengukur kinerjanya.
Langkah 3. Periksa: Menilai pengukuran dan melaporkan hasilnya
Langkah 4. Act: Tentukan perubahan yang diperlukan untuk meningkatkan hasil.
            Bahan kontrol untuk ME2 (Monitor and evaluate internal controls) pada pemantauan
dan evaluasi pengendalian internal adalah contoh yang baik dari kekuatan CobiT itu sendiri.
Ini menyatakan bahwa proses monitoring dan evaluasi pengendalian internal dicapai dengan
mendefinisikan sistem kontrol TI yang terdapat didalam kerangka proses TI, dengan
memantau dan melaporkan efektivitas kontrol internal, dan dengan melaporkan pengecualian
kepada manajemen untuk tindakan korektif.
            Penilaian diri sendiri atas Pengendalian mengacu pada proses tinjauan internal yang
sedang berlangsung pada kelengkapan dan efektivitas pengendalian internal seseorang. Hal
itu adalah proses audit internal yang sangat penting untuk diperhatikan. Terdapat tujuh tujuan
Pemantauan dan Mengevaluasi Pengendalian Internal CobiT :
Pemantauan ME2.1 Kerangka Pengendalian Intern . Auditor Internal harus terus
memantau kerangka lingkungan pengendalian dan menggunakan industri praktek terbaik dan
benchmarking untuk meningkatkan lingkungan pengendalian dan kerangka .
Ulasan Pengawas ME2.2. Selain ulasan auditor, CobiT memantau dan melaporkan
efektivitas pengendalian internal IT melalui review pengawasan, termasuk kepatuhan
terhadap kebijakan dan standar, keamanan informasi, kontrol perubahan, dan kontrol
didirikan pada perjanjian tingkat layanan .
ME2.3 Kontrol Pengecualian. Mencatat informasi mengenai semua pengecualian kontrol
dan memastikan bahwa hal itu mengarah pada analisis penyebab dan tindakan korektif .
Manajemen harus memutuskan yang mana pengecualian yang harus dikomunikasikan kepada
individu yang bertanggung jawab untuk fungsi dan  pengecualian pengendalian mana yang
harus ditingkatkan.
ME2.4 Control Self - Assessment. Manajemen TI harus mengevaluasi kelengkapan dan
efektivitas pengendalian internal atas proses TI mereka melalui program berkelanjutan dari
self-assessment.
ME2.5 Jaminan Pengendalian Intern. IT harus mendapatkan , sesuai kebutuhan, kepastian
lebih lanjut dari kelengkapan dan efektivitas pengendalian internal melalui review pihak
ketiga oleh fungsi kepatuhan perusahaan , audit internal , konsultan luar , atau lembaga
sertifikasi .
ME2.6 Pengendalian Internal pada Pihak Ketiga. Menilai status pengendalian internal
masing-masing penyedia eksternal internal dan memastikan bahwa mereka mematuhi
persyaratan hukum dan peraturan dan kewajiban kontrak .
ME2.7 Tindakan Remedial. Mengidentifikasi dan melakukan tindakan perbaikan
berdasarkan kontrol penilaian dan pelaporan. Ini termasuk tindak lanjut dari semua penilaian
termasuk : ( 1 ) review, negosiasi , dan pembentukan manajemen tanggapan , (2 ) pembagian
tanggung jawab untuk perbaikan atau penerimaan risiko; dan ( 3 ) melacak hasil dari tindakan
yang diambil.

Menggunakan CobiT di Lingkungan Sox

Banyak perusahaan mengadopsi CobiT, dengan penekanan berat pada tingkat tinggi
pengendalian internal berorientasi IT, sebagai kerangka pengendalian internal pilihan. CobiT
adalah kerangka penilaian pengendalian internal alternatif yang kuat, khususnya di
lingkungan dengan konsentrasi pada proses TI dan sumber daya. Tujuan utama CobitT, dari
Perencanaan Perusahaan untuk Monitoring dan Evaluasi, dapat digunakan untuk memahami
dan mengevaluasi pengendalian internal melalui lima komponen pengendalian internal
COSO.
            Dengan SOx, meningkatkan penekanan pada tata kelola TI, dan pengakuannya dalam
kebanyakan keputusan pengendalian internal CobiT telah melalui beberapa revisi. CobiT
yang mendukung IT pada Institusi Pemerintah melakukan pekerjaan yang sangat baik dengan
merilis publikasi yang memetakan kerangka kerja CobiT ke standar-standar lainnya. Rincian
tujuan pengendalian CobiT mengikat untuk masing-masing komponen COSO. Ada hubungan
yang erat antara tujuan CobiT dan Pengendalian COSO serta komponennya. Keseluruhan
tujuan Pengendalian CobiT  memberikan dukungan kuat bagi internal auditor dalam
melakukan SOx Section 404 mengenai ulasan penilaian pengendalian internal.
            Pemahaman dan penilaian mereka mengenai  pengendalian internal IT terkait adalah
kunci untuk mencapai kepatuhan SOx. CobiT telah ada selama beberapa tahun sekarang,
tetapi banyak telah dilihat sebagai hanya alat audit TI khusus, bukan sebagai bantuan yang
lebih umum untuk pekerjaan audit internal lainnya. Meskipun penekanan CobiT terus berada
di IT, semua auditor internal harus mempertimbangkan kerangka kerja CobiT sebagai alat
yang sangat baik untuk membantu dengan persyaratan kepatuhan SOx saat ini dan akan terus
dikembangkan.

Pedoman Kerangka Kerja CobiT

Sementara framework CobiT memberikan panduan untuk menetapkan kontrol internal
yang efektif dengan penekanan pada sumber daya TI, pada tahun 2008 ITGI
merilis Information Technology Assurance Framework (ITAF). Pedoman CobiT yang baru
berfokus pada hal lain dan kata yang berhubungan dengan audit yang kurang umum, yaitu
jaminan. Istilah ini juga ditemukan dalam acuan dasar IIA bahwa:
            Internal audit adalah profesional independen, obyektif,dan aktivitas konsultasi
yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Ini
membantu organisasi mencapai tujuannya dengan secara sistematis, menggunakan
pendekatan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen
risiko, pengendalian, dan proses tata kelola.
            Tujuan keseluruhan dari ITAF adalah untuk mendefinisikan satu set standar untuk
membantu memastikan kualitas, konsistensi, dan kehandalan ketetapan IT, berdasarkan
seperangkat pedoman praktek-pengaturan dan prosedur yang baik. Sementara dokumen ITAF
mengacu pada pedoman sebagai "standar," saat ini ISACA CobiT tidak diakui sebagai badan
pembuat standar.

Perspektif CobiT

Keputusan untuk menggunakan CobiT dalam audit internal harus menjadi keputusan
yang dilakukan berkali-kali. Sebaliknya, audit internal harus melatih anggota kunci tim audit
pada penggunaan CobiT, kemudian mencoba menggunakannya untuk menilai pengendalian
internal pada beberapa audit lainnya yang sedang dikembangkan dan didokumentasikan
dengan menggunakan teknik audit internal.

            Penerapannya harus terlebih dahulu dibicarakan dengan komite audit untuk
menjelaskan alasan untuk mengubah pendekatan audit internal. Jika perusahaan
menempatkan ketergantungan pada sistem dan proses TI, kemudian harus pindah ke
penggunaan CobiT maka hal itu tampaknya merupakan hal yang baik. Namun, audit internal
tidak harus memiliki spesialis audit internal IT dalam proses penilaian CobiT walaupun audit
internal yang lainnya menggunakan standar audit operasional / keuangan internal.
            Mungkin hal yang paling sulit dari keseluruhan kegunaan internal audit adalah bahwa
sebetulnya pembuatan CobiT digunakan sebagai alat mengaudit TI. Kekuatan sebetulnya dari
CobiT adalah tata kelola fokusnya. Pentingnya strategi bisnis dan sumber daya TI yang
disertai nilai, manajemen sumber daya, dan proses pengukuran performa. Kelima hal tersebut
dapat membuat suatu perusahaan mencapai tata kelola IT yang efektif, dan CobiT akan
membantu dalam mengatur dan memahami konsepnnya. Semua auditor internal harus
memahami CBOK dari CobiT serta belajar untuk memahami kerangka penilaian
pengendalian internalnya.