Bab 6

COBIT and Other ISACA

Guidance
Disusun Oleh :
1. Vebriane Werdaningrum 12030117120036
2. Sri aida fitriani 12030117120028
3. Yuqa diana khairi 12030117130112
4. Astari Ninin Astari nuriadini 12030117130144
 COBIT and Other ISACA Guidance

Introduction To COBIT 5 prinsip Using COBIT Mapping COBIT

COBIT Framewrok COBIT To Assess To COSO Internal
Internal Contorls
Controls
Introduction To COBIT

Organisasi
Profesional
Audit

Peran audit TI
Introduction To COBIT

bidang utama seputar konsep inti yang penting bagi

tata kelola TI :
1. Keselarasan Strategis
2. Penyampaian Nilai
3. Manajemen Risiko
4. Manajemen Sumber Daya
5. Pengukuran Kinerja
COBIT Framework

A
B
C
D
five COBIT internal control concerns
Prinsip 1: Pertemuan Kepetingan
Kebutuhan

USAHA

kepentingan menjadi tujuan spesifik dan yang

terkait dengan perusahaan dan TI
Prinsip 2 : Meliputi Enterprise End-To-End
COBIT Tata Kelola TI
Membahas masalah serta bisnis internal dan eksternal
6.5 PRINCIPLE 3: A SINGLE INTEGRATED FRAMEWOK

Kerangka kerja tunggal menyeluruh berfungsi sebagai

1
sumber bimbingan yang konsisten dan terintegrasi dalam
bahasa umum nonteknis, teknologi-agnostik.
COBIT menyediakan arsitektur sederhana untuk
2
menyusun bahan panduan dan menghasilkan rangkaian
produk yang konsisten.

3
COBIT adalah alat alternatif yang harus dipertimbangkan
oleh auditor internal sebagai kerangka kerja peninjauan
kontrol internal alternatif.
4
6.6 PRINCIPLE 4: ENABLING A HOLISTIC APPROACH

COBIT adalah bahwa informasi, yang perlu dikelola

1
sebagai sumber daya, dan informasi lainnya, seperti
laporan manajemen dan informasi intelijen bisnis

2 Dimensi umum enabler

1. pemangku kepentingan internal
3 2. tujuan pemangku kepentingan eksternal
3. siklus hidup pemangku kepentingan pemangku
kepentingan, dan
4. hanya praktik yang baik.
4
6.7 PRINCIPLE 5: SEPARATING GOVERNANCE FROMMANAGEMENT

Sistem tata kelola mengacu pada semua cara dan mekanisme

yang memungkinkan banyak pemangku kepentingan dalam
1 perusahaan untuk
suatu
• memiliki suara yang terorganisir dalam mengevaluasi
kondisi dan opsi
2
• pengaturan arah
• dan memantau kepatuhan, kinerja, dan kemajuan terhadap
rencana, untuk memenuhi tujuan perusahaan yang spesifik.

3
Manajemen bertanggung jawab atas pelaksanaan sesuai
arahan yang ditetapkan oleh badan atau unit pemandu.
Manajemen merupkan bagaimana perencanaan,
4
pembangunan, pengorganisasian, dan pengendalian kegiatan
operasional agar sejalan dengan arahan yang ditetapkan oleh
badan tata kelola.
6.8 USING COBIT TO ASSESS INTERNAL CONTROLS

Mengevaluasi, Mengarahkan, dan Memantau

(EDM)

Menyelaraskan, Merencanakan, dan

Mengorganisir (APO) COBIT membagi
langkah-langkah yang
Membangun, Memperoleh, dan diperlukan untuk
Melaksanakan (BAI)
mengevaluasi kontrol dan
proses TI menjadi apa
Memberikan, Layanan, dan Mendukung yang
(DSS)
COBIT panggil dari lima
area domain:
Memantau, Mengevaluasi, dan Menilai
(MEA)
 COBIT memberikan sasaran tingkat IT
dan perusahaan di seluruh serta
serangkaian input dan output yang luas
untuk hampir setiap praktik manajemen.

Pedoman COBIT menekankan bahwa tata kelola

dan manajemen adalah jenis kegiatan yang
berbeda, masing-masing dengan tanggung jawab
yang berbeda.
Namun, mengingat peran pengarah tata kelola
serangkaian interaksi diperlukan antara tata kelola
dan manajemen untuk menciptakan sistem tata
kelola yang efisien dan efektif.
 6.9 MAPPING COBIT TO COSO INTERNAL
CONTROLS

Kerangka kerja pengendalian COBIT mendekati kontrol TI

internal COSO menyatakan dengan melihat informasi yang
bahwa pengendalian internal diperlukan untuk mendukung
adalah suatu proses yang persyaratan bisnis dan sumber
dirancang untuk memberikan daya serta proses TI terkait.
jaminan yang wajar mengenai
pencapaian tujuan yang
dinyatakan.

COSO dan COBIT melayani audiens

yang berbedai
CHAPTER 7
COSO ERM :Enterprise
Risk Management
Manajemen risiko
adalah konsep dimana individu ataupun
kelompok menggunakan suatu mekanisme
untuk menyediakan suatu perlindungan
dari timbulnya suatu resiko.
7.1 RISK MANAGEMENT FUNDAMENTAL

1 Identifikasi Risiko

2
Proses identifikasi risiko adalah dimulai dari
manajemen tingkat atas korporasi maupun unit
operasi. Masing-masing unit mungkin memiliki
3
fasilitas di berbagai lokasi global dan dapat terdiri
dari beberapa dan berbagai jenis operasi.
4
contoh risiko kelangsungan bisnis di bawah ini.
2 Penilaian Risiko Kunci

Setelah mengidentifikasi risiko perusahaan secara

signifikan, langkah berikutnya adalah menilai
kemungkinan relatif yang signifikan.
Manajer bertanggung jawab terhadap penilaian resiko
dengan menggunakan pendekatan kuesioner:
 Bagaimana kemungkinan risiko ini terjadi selama
periode satu tahun ke depan?”  
 Bagaimana pentingnya suatu risiko dari segi biaya
perusahaan secara keseluruhan?
 Penilaian risiko kunci

Probabilitas dan Risk Ranking

01 Ketidakpastian
manajemen harus
02 Bertujuan agar manajer berfokus
pada risiko utama yang dampaknya
mengestimasikemungkinan besar sehingga dapat membuat
terjadinya risiko tersebut pengendalian agar resiko tersebut
bisa dikurangin
dengan memberikan skala mulai
dari 0,01sampai 0,99

Interdependensi Risiko
03 Setiap unit operasi bertanggung
jawab untuk mengelola risikonya
sendiri
3 Analisis Risiko Kuantitatif

(i) Expected Value and Response Planning

(ii) Risk Monitoring

Proses mengidentifikasi resiko sering dilakukan dalam jangka
a waktu satu tahun atau seperempat tahun. Setelah salah
satu resiko teridentifikasi, perusahaan harus mengawasi
resiko tersebut dan membuat penyesuaian berkala jika
 7.2 COSO ERM : ENTERPRISE RISK MANAGEMENT

ERM Adalah Proses

Proses ERM Diimplementasikan Oleh

Orang-Orang Di Perusahaan
COSO ERM merupakan
ERM Diterapkan Dalam Formulasi kerangka yang dapat
Strategi Perusahaan Secara
Keseluruhan
membantu perusahaan
ERM Mempertimbangkan Konsep dalam
Risk Appetite
mengidentifikasikan dan
ERM Menyediakan Jaminan Yang Wajar
mendefinisikan resiko
Namun Tidak Positif Terhadap yang dimiliki
PencapaianTujuan

ERM Dirancang Untuk Mencapai Tujuan

 1. Lingkungan internal
7.3 COSO ERM KEY ELEMEN kondisi internal perusahaan
TS 2. Penetapan sasaran
Sasaran kegiatan manajemen risiko harus sejalan dengan
sasaran dari perusahaan.
3. Identifikasi kejadian
Kejadian internal dan eksternal yang dapat mempengaruhi
pencapaian sasaran perusahaan harus diidentifikasi
4. Penilaian risiko
Risiko dianalisis berdasarkan kemungkinan dan dampaknya.
Hasil analisis risiko akan dijadikan dasar untuk menentukan
perlakuan risiko.
5. Perlakuan risiko
menghindari (avoidance), menerima (acceptance),
mengurangi (reduction), dan membagi risiko (sharing)
C O S O E R M F R A M E W O R K 6. Aktivitas pengendalian
Membangun dan mengimplementasikan kebijakan dan
prosedur untuk memastikan perlakuan risiko diterapkan
dengan efektif.
7. Informasi dan komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan
dikomunikasikan dalam bentuk dan waktu yang tepat agar
personil dapat melakukan tanggung jawabnya dengan baik.
TUJUAN RISIKO PERUSAHAAN
1 Tujuan Manajemen Risiko
Operasional
• Meminta identifikasi risiko untuk masing-masing unit
atau komponen perusahaan.
• Untuk mengumpulkan informasi yang lebih rinci
mengenai risiko operasi potensial, informasi dapat
dikumpulkan melalui audit internal atau survei orang-
orang yang terkena dampak langsung dari risiko ini.
TUJUAN RISIKO PERUSAHAAN
2 Melaporkan Tujuan Manajemen Risiko

• Tujuan ERM ini mencakup keandalan pelaporan

perusahaan, termasuk pelaporan internaldan
eksternal atas data keuangan dan non finansial.
• Pelaporan yang akurat sangat penting untuk
kesuksesan sebuah perusahaan dalam banyak
dimensi.
 RISIKO TINGKAT ENTITAS
01 Risiko Meliputi Seluruh
Organisasi
o Beberapa risiko pada tingkat unit
bisnis harus digulirkan ke risiko
tingkat entitas.
o Umumnya, unit semacam itu akan
begitu kecil dalam hal kontribusi
pendapatan korporat atau ukuran
relatifnya sehingga dapat tergelincir
di bawah layar radar di tingkat
perusahaan senior.
 RISIKO TINGKAT ENTITAS
02 Risiko Tingkat Unit Bisnis
• Risiko terjadi di semua tingkat
perusahaan.
• Risiko harus dipertimbangkan di
setiap unit organisasi yang
signifikan.
• Risiko tersebut diidentifikasi dalam
posisi kepemilikan minoritas di
perusahaan penjualan luar negeri.
AUDITING RISKS AND COSO ERM PROCESS
1 Proses flowcharting
• Proses ini dapat berguna dalam menggambarkan
bagaimana manajemen risiko beroperasi di
perusahaan.
• Ini membutuhkan melihat dokumentasi yang
disiapkan untuk proses yang berkaitan dengan
risiko.
2 Benchmarking
Proses melihat fungsi di lingkungan lain untuk menilai
operasi dan mengembangkan pendekatan yang lebih
baik berdasarkan praktik terbaik.
AUDITING RISKS AND COSO ERM PROCESS

3 Tinjauan bahan risiko dan pengendalian

Proses ERM sering menghasilkan hasil volume bahan
panduan yang besar, prosedur terdokumentasi, format
laporan. Mungkin sering ada nilai audit internal untuk
meninjau risiko dan kontrol bahan dari perspektif
efektivitas.

4 Kuesioner
Kuesioner dapat dikirim ke pemangku kepentingan yang
ditunjuk permintaan informasi spesifik.