SISTEM INFORMASI DAN PENGENDALIAN INTERN (2)
SISTEM INFORMASI DAN PENGENDALIAN INTERNAL (SI-PI)
MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL
Dosen :
Prof. Dr. Ir. Hapzi Ali, MM, CMA
Oleh :
YOHANES AGUNG NUGROHO
55516120049
FAKULTAS MAGISTER AKUNTANSI
UNIVERSITAS MERCU BUANA MERUYA
JAKARTA
2017
A. Pengertian
ITSM (Information Technology Service Management, Manajemen Layanan Teknologi Informasi) adalah
suatu metode pengelolaan sistem teknologi informasi (TI) yang secara filosofis terpusat pada perspektif
konsumen layanan TI terhadap bisnis perusahaan. ITSM merupakan kebalikan dari pendekatan manajemen
1
TI dan interaksi bisnis yang terpusat pada teknologi. Istilah ITSM tidak berasal dari suatu organisasi,
pengarang, atau pemasok tertentu dan awal penggunaan frasa inipun tidak jelas kapan dimulainya.
gambar konsep ITSM. Source : link
ITSM berfokus pada proses dan karenanya terkait dan memiliki minat yang sama dengan kerangka kerja dan
metodologi gerakan perbaikan proses (seperti TQM, Six Sigma,Business Process Management, dan CMMI).
Disiplin ini tidak memedulikan detail penggunaan produk suatu pemasok tertentu atau detail teknis suatu
sistem yang dikelola, melainkan berfokus pada upaya penyediaan kerangka kerja untuk menstrukturkan
aktivitas yang terkait dengan TI dan interaksi antara personel teknis TI dengan pengguna teknologi
informasi.
ITSM umumnya menangani masalah operasional manajemen teknologi informasi (kadang disebut
operations architecture, arsitektur operasi) dan bukan pada pengembangan teknologinya sendiri. Contohnya,
proses pembuatan perangkat lunak komputer untuk dijual bukanlah fokus dari disiplin ini, melainkan sistem
komputer yang digunakan oleh bagian pemasaran dan pengembangan bisnis di perusahaan perangkat lunaklah yang merupakan fokus perhatiannya. Banyak pula perusahaan non-teknologi, seperti pada industri
keuangan, ritel, dan pariwisata, yang memiliki sistem TI yang berperan penting, walaupun tidak terpapar
langsung kepada konsumennya.
Sesuai dengan fungsi ini, ITSM sering dianggap sebagai analogi disiplin ERP pada TI, walaupun sejarahnya
yang berakar pada operasi TI dapat membatasi penerapannya pada aktivitas utama TI lainnya seperti
manajemen portfolio TI dan rekayasa perangkat lunak. Beberapa proses dari ITSM itu yaitu :
Bagaimana menjaga keseimbangan antara bisnis layanan teknologi informasi sesuai dengan apa yang
dibutuhkan customer
Melayani dengan TI yang berkualitas dan dengan harga yang sesuai dengan keefektifan TI yang diberikan
2
Membina kerjasama yang baik antara pihak suplier dan customer dengan tidak saling mengecewakan dan
dapat memberikan layanan yang terbaik
Membina dan melayani dengan tingkat kemampuan melayani sebaik- baiknya customer yang nantinya akan
mempengaruhi terhadap kepuasan yang akan didapatkan customer tersebut
Di sini juga ada hal yang mempengaruhi tantangan dalam manajemen layanan teknologi informasi, yaitu:
Menjaga jalannya layanan TI setiap saat
Mengoptimalkan biaya TI
Mengelola resiko dan kompleksitas TI
Mencapai kepatuhan hukum dan peraturan
Mengelola perubahan volume yang lebih tinggi
Menyelaraskan layanan TI dengan kebutuhan bisnis
B. Macam-macam Frameworks
Kerangka kerja (framework) yang dianggap dapat memberikan contoh penerapan ITSM di antaranya :
Information Technology Infrastructure Library (ITIL)
Control Objectives for Information and Related Technology (COBIT)
Software Maintenance Maturity Model
PRM-IT IBM's Process Reference Model for IT
Application Services Library (ASL)
Business Information Services Library (BISL)
Microsoft Operations Framework (MOF)
E-Sourcing Capability Model for Service Providers (eSCM-SP) dan eSourcing Capability Model for Client
Organizations (eSCM-CL) dari ITSqc for Sourcing Management.
C. Framework COBIT
Control Objective for Information and related Technology, disingkat COBIT, adalah suatu panduan standar
praktik manajemen teknologi informasi. Cobit dirancang sebagai alat penguasaan IT yang membantu dalam
pemahaman dan memanage resiko, manfaat serta evaluasi yang berhubungan dengan IT. Standar COBIT
dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.0 merupakan versi
terbaru.
3
Gambar Logo COBIT. Source : link
Disusun oleh Information Systems Audit and Control Foundation (ISACF®) pada tahun 1996. Edisi kedua
dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information
Technology Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada
tahun 2007.
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena
dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir
seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional
tersebut.Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang
dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer,
pengguna dan profesional TI serta pengawas/pengendali profesional. Secara resmi tidak ada sertifikasi
profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di
Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants
(CPAs) danChartered Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70
Service Organisations review, Systrust certification or Sarbanes-Oxley compliance.
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
EffectivenessMenitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses
oleh sistem informasi yang dibangun.
EfficiencyMenitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh
sistem.
ConfidentialityMenitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
IntegrityMenitikberatkan pada integritas data/informasi dalam sistem.
AvailabilityMenitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
ComplianceMenitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
ReliabilityMenitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan
data/informasi.
4
Framework COBIT terdiri dari 34 high-level control objective, dimana tiap-tiap IT proses dikelompokkan
dalam empat domain utama :
Planning and OrganizationMencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI
dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah
organisasi yang baik dengan infrastruktur teknologi yang baik pula.
PO1 Define a strategic information technology plan
PO2 Define the information architecture
PO3 Determine the technological direction
PO4 Define the IT organisation and relationships
PO5 Manage the investment in information technology
PO6 Communicate management aims and direction
PO7 Manage human resources
PO8 Ensure compliance with external requirements
PO9 Assess risks
PO10 Manage projects
PO11 Manage quality
Acquisition and Implementationidentifikasi solusi TI dan kemudian diimplementasikan dan diintegrasikan
dalam proses bisnis untuk mewujudkan strategi TI.
AI1 Identify automated solutions
AI2 Acquire and maintain application software
AI3 Acquire and maintain technology infrastructure
AI4 Develop and maintain IT procedures
AI5 Install and accredit systems
AI6 Manage changes
Delivery and SupportDomain yang berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri
dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan pengadaan training.
DS1 Define and manage service levels
DS2 Manage third-party services
5
DS3 Manage performance and capacity
DS4 Ensure continuous service
DS5 Ensure systems security
DS6 Identify and allocate costs
DS7 Educate and train users
DS8 Assist and advise customers
DS9 Manage the configuration
DS10 Manage problems and incidents
DS11 Manage data
DS12 Manage facilities
DS13 Manage operations
Monitoringsemua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya
dengan kebutuhan kontrol
M1 Monitor the process
M2 Assess internal control adequacy
M3 Obtain independent assurance
M4 Provide for independent audit
COSO Enterprise Risk Management — Integrated Framework (COSO ERM) adalah kerangka kerja manajemen
risiko korporasi (MRK) yang diterbitkan olehCommittee of Sponsoring Organizations of the Treadway
Commission Amerika Serikat pada tahun 2004. COSO ERM merupakan pengembangan dari kerangka kerja
COSO untuk pengendalian internal yang diterbitkan pada tahun 1992. Kerangka kerja COSO ERM terdiri atas
delapan komponen dan empat kategori sasaran yang divisualisasikan dalam bentuk kubus.
MRK terdiri atas delapan komponen yang saling terkait sebagai berikut.
6
1.
Lingkungan internal (internal environment)
2.
Penentuan sasaran (objective setting)
3.
Identifikasi peristiwa (event identification)
4.
Penilaian risiko (risk assessment)
5.
Tanggapan risiko (risk response)
6.
Aktivitas pengendalian (control activities)
7.
Informasi dan komunikasi (information and communication)
8.
Pemantauan (monitoring)
COSO ERM – Integrated Framework 2004
Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai proyek untuk
mengembangkan sebuah kerangka kerja manajemen risiko yang dapat digunakan untuk mengevaluasi dan
meningkatkan efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan dirilisnya COSO
ERM – Integrated Framework, yang mendefinisikan manajemen risiko sebagai:
“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas, diaplikasikan
pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian
potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas, untuk
menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas.”
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat menentukan terlebih
dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:
1.
Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.
2.
Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
3.
Pelaporan: keterpercayaan dari pelaporan.
4.
Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.
COSO ERM – Integrated Framework juga mendeskripsikan peran dan tanggung jawab dari unit-unit kerja
perusahaan dalam penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa
“semua bagian di dalam perusahaan memiliki tanggung jawab terhadap ERM”, yang artinya implementasi
manajemen risiko harus mencakup entity-level, division, business unit, hingga subsidiary, dan mencakup
seluruh seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat pembagian peran dan tanggung
jawab dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab yang dijelaskan COSO
ERM:
7
·
Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan pemantauan terhadap
penerapan manajemen risiko, dengan turut memperhitungkan risk appetite dari entitas;
·
Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan berjalannya ERM yang
efektif pada keseluruhan perusahaan;
·
Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM perusahaan, memastikan
pemenuhan ERM dengan risk appetite, dan mengelola risiko di ranah kewenangannya agar konsisten
dengan risk tolerance yang dimilikinya;
·
Risk officer, financial officer, dan internal audit memiliki peran kunci dalam mendukung efektivitas
penerapan manajemen risiko perusahaan;
·
Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam menerapkan
manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan manajemen risiko perusahaan;
·
Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan dalam value
chainperusahaan) tidak memiliki tanggung jawab dalam memastikan efektivitas ERM dari entitas, tetapi pihakpihak tersebut berperan penting dalam menyediakan informasi yang dapat mendukung efektivitas manajemen
risiko.
Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling terkait, yaitu:
1.
Lingkungan internal
Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahannya, serta pandangan entitas
terhadap risiko dan manajemen risiko.
2.
Penetapan sasaran
Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan, serta konsisten denganrisk
appetite perusahaan.
3.
Identifikasi kejadian
Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran perusahaan harus diidentifikasi,
meliputi risiko dengan kesempatan yang dapat muncul.
4.
Penilaian risiko
Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan dijadikan dasar untuk
menentukan perlakuan risiko.
5.
Perlakuan risiko
Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance), menerima (acceptance),
mengurangi (reduction), dan membagi risiko (sharing). Pemilihan perlakuan risiko dilakukan dengan
membandingkan hasil analisis risiko dengan risk appetite dan risk tolerance.
6.
Aktivitas pengendalian
8
Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan perlakuan risiko diterapkan
dengan efektif.
7.
Informasi dan komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan waktu yang tepat agar
personil dapat melakukan tanggung jawabnya dengan baik.
8.
Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.
Pengendalian internal pada ditempat saya bekerja meliputi pengendalian keuangan dan pengendalian
operasional.
Pengendalian keuangan terdiri dari struktur organisasi, prosedur-prosedur dan sistem pencatatan yang berkaitan
dengan pengelolaan dan pengamanan harta kekayaan Perusahaan dan dapat dipercayanya catatan keuangan
serta konsekuensinya. Struktur organisasi, prosedur dan sistem pencatatan itu disusun untuk memberikan
jaminan yang cukup dalam arti:
1. Transaksi-transaksi dilaksanakan sesuai dengan pengesahan (otorisasi) manajemen yang telah ditentukan
sesuai tugas dan tanggung jawabnya.
2.
Transaksi-transaksi dicatat untuk
a. memungkinkan penyusunan laporan keuangan yang sesuai dengan prinsip auntansi sesuai standar akuntansi
yang berlaku atau kriteriakriteria lain yang perlu untuk laporan laporan tersebut dan
b. menunjukkan pertanggungjawaban atas pengelolaan harta kekayaan perusahaan.
3.
Penggunaan harta kekayaan Perusahaan hanya diperbolehkan bila sesuai dengan otorisasi Manajemen.
4. Tanggung jawab atas pencatatan harta kekayaan Perusahaan dibandingkan dengan harta kekayaan yang
ada setiap waktu tertentu dan diambil tindakan yang perlu bila ada perbedaan- perbedaan.
Pengesahan/otorisasi tersebut merupakan fungsi manajemen yang secara langsung berhubungan dengan
tanggung jawab untuk mencapai tujuan – tujuan perusahaan dan merupakan titik awal untuk menyusun
pengawasan keuangan atas transaksi -transaksi.
Jajaran tertinggi perusahaan (Management perusahaan) perusahaan memiliki tanggung jawab untuk terus
menerapkan sistem pengendalian internal yang baik untuk mencapai tujuan perusahaan . Pengendalian internal
perusahaan dijalankan mulai dari Direksi, Audit internal dan semua karyawan. Sedangkan Komisaris memiliki
tanggung jawab dalam pengawasan untuk memastikan terselenggaranya pengendalian internal dalam setiap
kegiatan usaha perusahaan pada setiap jenjang organisasi
9
Implementasi pengendalian internal yang dilakukan ditempat saya bekerja antara lain meliputi lingkungan
pengendalian, pengukuran risiko, aktivitas pengendalian, teknologi informasi dan komunikasi serta pemantauan.
Lingkungan Pengendalian
Lingkungan pengendalian merupakan komponen yang terpenting karena membentuk budaya dan perilaku
manusia menjadi sadar akan pentingnya pengendalian. Untuk menciptakan lingkungan pengendalian yang dapat
mendukung efektivitas pengendalian internal, maka perusahaan telah melakukan berbagai kebijakan antara
lain:
1.
Memastikan bahwa semua anggota perusahaan memiliki integritas dan nilai etika yang tinggi.
2.
Menetapkan filosofi perusahaan yang disosialisasikan dan diterapkan kepada seluruh komponen di dalam
perusahaan
3.
Membuat struktur organisasi yang memungkinkan dilakukannya pengendalian secara efektif
4.
Menetapkan tugas dan tanggung jawab yang jelas di antara unit organisasi
5.
Menetapkan kebijakan pengembangan sumber daya manusia, sehingga sumber daya manusia perusahaan
memiliki integritas yang tinggi.
6.
Mendorong peran aktif komite untuk melakukan pengawasan dan memberikan saran/masukan agar
pengendalian internal berjalan dengan efektif dan baik
Pengukuran Risiko
Penilaian risiko merupakan identifikasi dan menilai risiko-risiko yang dihadapi dalam mencapai tujuan.
Perusahaan semakin dituntut untuk dapat mengenali dan mengelola risiko-risiko kegiatan yang dihadapinya
hingga ke tingkat yang dapat diterima.Untuk pengukuran resiko perusahaan secara berkelanjutan melakukan
analisa untuk mengidentifikasikan risiko-risiko yang sedang dan akan dihadapi oleh perusahaan, merumuskan
rekomendasi tingkat risiko yang dapat diambil oleh Manajemen dan tingkat toleransi dari tiap risiko dan
merumuskan kebijakan pengelolaan risiko untuk menjaga tingkat risiko perusahaan.
Aktivitas Pengendalian
10
Aktivitas pengendalian adalah segala kebijakan dan prosedur untuk menyakinkan bahwa tindakan yang
diperlukan untuk mengatasi risiko-risiko benarbenar dilaksanakan dalam rangka mencapai tujuan organisasi.
Efektivitas aktivitas pengendalian akan tergantung dari ketepatan dalam mengidentifikasi dan mengukur risiko
yang dilakukan perusahaan.
Beberapa kebijakan yang diambil perusahaan dalam melakukan aktivitas pengendalian antara lain :
1.
Mempersiapkan pencatatan data dan penyimpanan dokumen dengan baik.
2.
Mempersiapkan pengamanan data dan dokumen dengan baik.
3.
Memberikan tugas, tanggung jawab dan kewenangan sesuai dengan fungsi dari masing - masing
unit organisasi.
4.
Melakukan penilaian atau pemeriksaan atas kinerja perusahaan oleh pihak diluar perusahaan yang
independensinya tidak diragukan
Teknologi Informasi dan Komunikasi
Perusahaan menyadari bahwa komponen pengendalian internal (lingkungan pengendalian, penilaian risiko,
aktivitas pengendalian, pemantauan) akan mudah direalisasikan jika terdapat sistem informasi dan komunikasi
yang baik dan andal dalam perusahaan atau organisasi. Perusahaan telah memiliki kebijakan sebagai pedoman
teknologi informasi dan komunikasi.
Kebijakan tersebut antara lain penggunaan sarana e-mail, intranet dan internet, penanganan pengamanan sistem
informasi untuk mengurangi risiko kerugian sebagai akibat dari kelalaian atau kesalahan dalam penggunaan
sistem informasi. Kebijakan ini dibuat pengelolaan sistem informasi dan komunikasi dapat berjalan dengan
efektif, tepat, dapat diandalkan dan terlindungi atau aman.
Pemantauan
Keseluruhan proses kegiatan perusahaan harus dipantau dan dibuat seditkit perubahan atau modifikasi bila
diperlukan . Maka akan terdapat pengendalian internal yang dinamis yang berubah sesuai dengan kondisi yang
ada.
Pemantauan adalah usaha berkelanjutan untuk menyakinkan bahwa setiap gerak perusahaan secara sinergis
sedang mengarah kepada usaha pencapaian tujuan. Hal ini dilakukan dengan menilai kembali kekuatan
lingkungan pengendalian, usaha-usaha penilaian risiko dan pemilihan aktivitas pengendalian. Menjadi unsur
penting dalam pemantauan adalah pelaporan terhadap penyimpangan dan kekurangan
Pemantauan dan evaluasi yang dilakukan perusahaan antara lain
1.
Pelaksanaan pengawasan melalui audit internal yang dilakukan oleh unit audit Internal.
11
2.
Sistem pertanggungjawaban dan penilaian yang memungkinkan untuk melakukan penilaian terhadap
setiap anggota manajemen dan unit dalam organisasi
3.
Supervisi dari tiap tingkatan level manajemen
4.
Pengawasan oleh Komite Audit, khususnya berkaitan dengan pencatatan keuangan
5.
Pengawasan yang berkaitan dengan aktivitas operasional dan kepatuhan perusahaan terhadap peraturan
/undang – undang yang berlaku
6.
Pengawasan dari level Top Management
7.
Pengawasan semua aktivitas manajemen
Referensi
Wikipedia, https://id.wikipedia.org/wiki/COSO_ERM
12
Kusuma, Charvin, 2014, Perbandingan Coso Erm-Integrated Framework Dengan Iso31000: 2009 Risk
Management – Principles And Guidelines : http://crmsindonesia.org/knowledge/crms-articles/perbandingancoso-erm-integrated-framework-dengan-iso31000-2009-risk-managem, diakses tanggal 11 Mei 2017 pukul
17.30
Hapzi Ali, 2015, Modul perkulihan Sistem Informasi dan Pengendalian Internal : Membandingkan kerangka
pengendalian internal : 1. COSO internal control integrated framework 2. COSO enterprise risk management 3.
COBIT, Jakarta.
Prayogo, Aditya, 2012, COSO dan COBIT
cobit.html, diakses tanggal 11 Mei 2017 pukul 15.50.
:http://apraysjournal.blogspot.co.id/2012/12/coso-dan-
Kartika,
Sari,
2017,
Melindungi
SI,
Konsep
&
Komponen
Pengendalian
Internal :https://www.slideshare.net/SariKartika5/sipi-sari-kartika-hapzi-ali-melindungi-si-konsep-komponenpengendalian-internal-universitas-mercu-buana-2017, diakses tanggal 11 Mei 2017 pukul 15.00.
Riadi,
Muchlisin,
2014,
Pengertian,
Sejarah
dan
Komponen
COBIT
:
http://www.kajianpustaka.com/2014/02/pengertian-sejarah-dan-komponen-cobit.html, diakses tanggal 11 Mei
2017 pukul 16.10.
Wendi Dwi Asmoro, 2015, Pengertian cobit overview : http://wendydw.blogspot.co.id/2015/05/pengertiancobit-overview.html, diakses tanggal 11 Mei 2017 pukul 14.10.
Santoso,
Dwi,
2015,
Makalah
Manfaat
Penggunaan
Cobit
:http://www.kompasiana.com/dwisantoso_vcc/makalah-manfaat-penggunaancobit_567fe81390fdfd5d0956ffba, diakses tanggal 11 Mei 2017 pukul 14.10.
Samuel
Lasmana
(Salas),
2015,
Pentingnya
IT
Governance
(COBIT)
Pada
Perusahaan
: https://samuellasmana.wordpress.com/2015/02/05/pentingnya-it-governance-cobit-padaperusahaan/, diakses tanggal 11 Mei 2017 pukul 14.30.
Website :
1.
Wikipedia. ITSM. [Online] Maret 2016. Link Website : https://id.wikipedia.org/wiki/ITSM. [Diakses pada : 20
Maret 2016]
2.
Wikipedia. COBIT. [Online] Maret 2016. Link Website : https://id.wikipedia.org/wiki/COBIT. [Diakses pada :
20 Maret 2016]
13
MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL
Dosen :
Prof. Dr. Ir. Hapzi Ali, MM, CMA
Oleh :
YOHANES AGUNG NUGROHO
55516120049
FAKULTAS MAGISTER AKUNTANSI
UNIVERSITAS MERCU BUANA MERUYA
JAKARTA
2017
A. Pengertian
ITSM (Information Technology Service Management, Manajemen Layanan Teknologi Informasi) adalah
suatu metode pengelolaan sistem teknologi informasi (TI) yang secara filosofis terpusat pada perspektif
konsumen layanan TI terhadap bisnis perusahaan. ITSM merupakan kebalikan dari pendekatan manajemen
1
TI dan interaksi bisnis yang terpusat pada teknologi. Istilah ITSM tidak berasal dari suatu organisasi,
pengarang, atau pemasok tertentu dan awal penggunaan frasa inipun tidak jelas kapan dimulainya.
gambar konsep ITSM. Source : link
ITSM berfokus pada proses dan karenanya terkait dan memiliki minat yang sama dengan kerangka kerja dan
metodologi gerakan perbaikan proses (seperti TQM, Six Sigma,Business Process Management, dan CMMI).
Disiplin ini tidak memedulikan detail penggunaan produk suatu pemasok tertentu atau detail teknis suatu
sistem yang dikelola, melainkan berfokus pada upaya penyediaan kerangka kerja untuk menstrukturkan
aktivitas yang terkait dengan TI dan interaksi antara personel teknis TI dengan pengguna teknologi
informasi.
ITSM umumnya menangani masalah operasional manajemen teknologi informasi (kadang disebut
operations architecture, arsitektur operasi) dan bukan pada pengembangan teknologinya sendiri. Contohnya,
proses pembuatan perangkat lunak komputer untuk dijual bukanlah fokus dari disiplin ini, melainkan sistem
komputer yang digunakan oleh bagian pemasaran dan pengembangan bisnis di perusahaan perangkat lunaklah yang merupakan fokus perhatiannya. Banyak pula perusahaan non-teknologi, seperti pada industri
keuangan, ritel, dan pariwisata, yang memiliki sistem TI yang berperan penting, walaupun tidak terpapar
langsung kepada konsumennya.
Sesuai dengan fungsi ini, ITSM sering dianggap sebagai analogi disiplin ERP pada TI, walaupun sejarahnya
yang berakar pada operasi TI dapat membatasi penerapannya pada aktivitas utama TI lainnya seperti
manajemen portfolio TI dan rekayasa perangkat lunak. Beberapa proses dari ITSM itu yaitu :
Bagaimana menjaga keseimbangan antara bisnis layanan teknologi informasi sesuai dengan apa yang
dibutuhkan customer
Melayani dengan TI yang berkualitas dan dengan harga yang sesuai dengan keefektifan TI yang diberikan
2
Membina kerjasama yang baik antara pihak suplier dan customer dengan tidak saling mengecewakan dan
dapat memberikan layanan yang terbaik
Membina dan melayani dengan tingkat kemampuan melayani sebaik- baiknya customer yang nantinya akan
mempengaruhi terhadap kepuasan yang akan didapatkan customer tersebut
Di sini juga ada hal yang mempengaruhi tantangan dalam manajemen layanan teknologi informasi, yaitu:
Menjaga jalannya layanan TI setiap saat
Mengoptimalkan biaya TI
Mengelola resiko dan kompleksitas TI
Mencapai kepatuhan hukum dan peraturan
Mengelola perubahan volume yang lebih tinggi
Menyelaraskan layanan TI dengan kebutuhan bisnis
B. Macam-macam Frameworks
Kerangka kerja (framework) yang dianggap dapat memberikan contoh penerapan ITSM di antaranya :
Information Technology Infrastructure Library (ITIL)
Control Objectives for Information and Related Technology (COBIT)
Software Maintenance Maturity Model
PRM-IT IBM's Process Reference Model for IT
Application Services Library (ASL)
Business Information Services Library (BISL)
Microsoft Operations Framework (MOF)
E-Sourcing Capability Model for Service Providers (eSCM-SP) dan eSourcing Capability Model for Client
Organizations (eSCM-CL) dari ITSqc for Sourcing Management.
C. Framework COBIT
Control Objective for Information and related Technology, disingkat COBIT, adalah suatu panduan standar
praktik manajemen teknologi informasi. Cobit dirancang sebagai alat penguasaan IT yang membantu dalam
pemahaman dan memanage resiko, manfaat serta evaluasi yang berhubungan dengan IT. Standar COBIT
dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.0 merupakan versi
terbaru.
3
Gambar Logo COBIT. Source : link
Disusun oleh Information Systems Audit and Control Foundation (ISACF®) pada tahun 1996. Edisi kedua
dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information
Technology Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada
tahun 2007.
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena
dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir
seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional
tersebut.Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang
dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer,
pengguna dan profesional TI serta pengawas/pengendali profesional. Secara resmi tidak ada sertifikasi
profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di
Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants
(CPAs) danChartered Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70
Service Organisations review, Systrust certification or Sarbanes-Oxley compliance.
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
EffectivenessMenitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses
oleh sistem informasi yang dibangun.
EfficiencyMenitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh
sistem.
ConfidentialityMenitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
IntegrityMenitikberatkan pada integritas data/informasi dalam sistem.
AvailabilityMenitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
ComplianceMenitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
ReliabilityMenitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan
data/informasi.
4
Framework COBIT terdiri dari 34 high-level control objective, dimana tiap-tiap IT proses dikelompokkan
dalam empat domain utama :
Planning and OrganizationMencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI
dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah
organisasi yang baik dengan infrastruktur teknologi yang baik pula.
PO1 Define a strategic information technology plan
PO2 Define the information architecture
PO3 Determine the technological direction
PO4 Define the IT organisation and relationships
PO5 Manage the investment in information technology
PO6 Communicate management aims and direction
PO7 Manage human resources
PO8 Ensure compliance with external requirements
PO9 Assess risks
PO10 Manage projects
PO11 Manage quality
Acquisition and Implementationidentifikasi solusi TI dan kemudian diimplementasikan dan diintegrasikan
dalam proses bisnis untuk mewujudkan strategi TI.
AI1 Identify automated solutions
AI2 Acquire and maintain application software
AI3 Acquire and maintain technology infrastructure
AI4 Develop and maintain IT procedures
AI5 Install and accredit systems
AI6 Manage changes
Delivery and SupportDomain yang berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri
dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan pengadaan training.
DS1 Define and manage service levels
DS2 Manage third-party services
5
DS3 Manage performance and capacity
DS4 Ensure continuous service
DS5 Ensure systems security
DS6 Identify and allocate costs
DS7 Educate and train users
DS8 Assist and advise customers
DS9 Manage the configuration
DS10 Manage problems and incidents
DS11 Manage data
DS12 Manage facilities
DS13 Manage operations
Monitoringsemua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya
dengan kebutuhan kontrol
M1 Monitor the process
M2 Assess internal control adequacy
M3 Obtain independent assurance
M4 Provide for independent audit
COSO Enterprise Risk Management — Integrated Framework (COSO ERM) adalah kerangka kerja manajemen
risiko korporasi (MRK) yang diterbitkan olehCommittee of Sponsoring Organizations of the Treadway
Commission Amerika Serikat pada tahun 2004. COSO ERM merupakan pengembangan dari kerangka kerja
COSO untuk pengendalian internal yang diterbitkan pada tahun 1992. Kerangka kerja COSO ERM terdiri atas
delapan komponen dan empat kategori sasaran yang divisualisasikan dalam bentuk kubus.
MRK terdiri atas delapan komponen yang saling terkait sebagai berikut.
6
1.
Lingkungan internal (internal environment)
2.
Penentuan sasaran (objective setting)
3.
Identifikasi peristiwa (event identification)
4.
Penilaian risiko (risk assessment)
5.
Tanggapan risiko (risk response)
6.
Aktivitas pengendalian (control activities)
7.
Informasi dan komunikasi (information and communication)
8.
Pemantauan (monitoring)
COSO ERM – Integrated Framework 2004
Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai proyek untuk
mengembangkan sebuah kerangka kerja manajemen risiko yang dapat digunakan untuk mengevaluasi dan
meningkatkan efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan dirilisnya COSO
ERM – Integrated Framework, yang mendefinisikan manajemen risiko sebagai:
“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas, diaplikasikan
pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian
potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas, untuk
menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas.”
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat menentukan terlebih
dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:
1.
Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.
2.
Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
3.
Pelaporan: keterpercayaan dari pelaporan.
4.
Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.
COSO ERM – Integrated Framework juga mendeskripsikan peran dan tanggung jawab dari unit-unit kerja
perusahaan dalam penerapan manajemen risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa
“semua bagian di dalam perusahaan memiliki tanggung jawab terhadap ERM”, yang artinya implementasi
manajemen risiko harus mencakup entity-level, division, business unit, hingga subsidiary, dan mencakup
seluruh seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat pembagian peran dan tanggung
jawab dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab yang dijelaskan COSO
ERM:
7
·
Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan pemantauan terhadap
penerapan manajemen risiko, dengan turut memperhitungkan risk appetite dari entitas;
·
Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan berjalannya ERM yang
efektif pada keseluruhan perusahaan;
·
Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM perusahaan, memastikan
pemenuhan ERM dengan risk appetite, dan mengelola risiko di ranah kewenangannya agar konsisten
dengan risk tolerance yang dimilikinya;
·
Risk officer, financial officer, dan internal audit memiliki peran kunci dalam mendukung efektivitas
penerapan manajemen risiko perusahaan;
·
Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam menerapkan
manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan manajemen risiko perusahaan;
·
Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan dalam value
chainperusahaan) tidak memiliki tanggung jawab dalam memastikan efektivitas ERM dari entitas, tetapi pihakpihak tersebut berperan penting dalam menyediakan informasi yang dapat mendukung efektivitas manajemen
risiko.
Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling terkait, yaitu:
1.
Lingkungan internal
Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahannya, serta pandangan entitas
terhadap risiko dan manajemen risiko.
2.
Penetapan sasaran
Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan, serta konsisten denganrisk
appetite perusahaan.
3.
Identifikasi kejadian
Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran perusahaan harus diidentifikasi,
meliputi risiko dengan kesempatan yang dapat muncul.
4.
Penilaian risiko
Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan dijadikan dasar untuk
menentukan perlakuan risiko.
5.
Perlakuan risiko
Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance), menerima (acceptance),
mengurangi (reduction), dan membagi risiko (sharing). Pemilihan perlakuan risiko dilakukan dengan
membandingkan hasil analisis risiko dengan risk appetite dan risk tolerance.
6.
Aktivitas pengendalian
8
Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan perlakuan risiko diterapkan
dengan efektif.
7.
Informasi dan komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan waktu yang tepat agar
personil dapat melakukan tanggung jawabnya dengan baik.
8.
Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.
Pengendalian internal pada ditempat saya bekerja meliputi pengendalian keuangan dan pengendalian
operasional.
Pengendalian keuangan terdiri dari struktur organisasi, prosedur-prosedur dan sistem pencatatan yang berkaitan
dengan pengelolaan dan pengamanan harta kekayaan Perusahaan dan dapat dipercayanya catatan keuangan
serta konsekuensinya. Struktur organisasi, prosedur dan sistem pencatatan itu disusun untuk memberikan
jaminan yang cukup dalam arti:
1. Transaksi-transaksi dilaksanakan sesuai dengan pengesahan (otorisasi) manajemen yang telah ditentukan
sesuai tugas dan tanggung jawabnya.
2.
Transaksi-transaksi dicatat untuk
a. memungkinkan penyusunan laporan keuangan yang sesuai dengan prinsip auntansi sesuai standar akuntansi
yang berlaku atau kriteriakriteria lain yang perlu untuk laporan laporan tersebut dan
b. menunjukkan pertanggungjawaban atas pengelolaan harta kekayaan perusahaan.
3.
Penggunaan harta kekayaan Perusahaan hanya diperbolehkan bila sesuai dengan otorisasi Manajemen.
4. Tanggung jawab atas pencatatan harta kekayaan Perusahaan dibandingkan dengan harta kekayaan yang
ada setiap waktu tertentu dan diambil tindakan yang perlu bila ada perbedaan- perbedaan.
Pengesahan/otorisasi tersebut merupakan fungsi manajemen yang secara langsung berhubungan dengan
tanggung jawab untuk mencapai tujuan – tujuan perusahaan dan merupakan titik awal untuk menyusun
pengawasan keuangan atas transaksi -transaksi.
Jajaran tertinggi perusahaan (Management perusahaan) perusahaan memiliki tanggung jawab untuk terus
menerapkan sistem pengendalian internal yang baik untuk mencapai tujuan perusahaan . Pengendalian internal
perusahaan dijalankan mulai dari Direksi, Audit internal dan semua karyawan. Sedangkan Komisaris memiliki
tanggung jawab dalam pengawasan untuk memastikan terselenggaranya pengendalian internal dalam setiap
kegiatan usaha perusahaan pada setiap jenjang organisasi
9
Implementasi pengendalian internal yang dilakukan ditempat saya bekerja antara lain meliputi lingkungan
pengendalian, pengukuran risiko, aktivitas pengendalian, teknologi informasi dan komunikasi serta pemantauan.
Lingkungan Pengendalian
Lingkungan pengendalian merupakan komponen yang terpenting karena membentuk budaya dan perilaku
manusia menjadi sadar akan pentingnya pengendalian. Untuk menciptakan lingkungan pengendalian yang dapat
mendukung efektivitas pengendalian internal, maka perusahaan telah melakukan berbagai kebijakan antara
lain:
1.
Memastikan bahwa semua anggota perusahaan memiliki integritas dan nilai etika yang tinggi.
2.
Menetapkan filosofi perusahaan yang disosialisasikan dan diterapkan kepada seluruh komponen di dalam
perusahaan
3.
Membuat struktur organisasi yang memungkinkan dilakukannya pengendalian secara efektif
4.
Menetapkan tugas dan tanggung jawab yang jelas di antara unit organisasi
5.
Menetapkan kebijakan pengembangan sumber daya manusia, sehingga sumber daya manusia perusahaan
memiliki integritas yang tinggi.
6.
Mendorong peran aktif komite untuk melakukan pengawasan dan memberikan saran/masukan agar
pengendalian internal berjalan dengan efektif dan baik
Pengukuran Risiko
Penilaian risiko merupakan identifikasi dan menilai risiko-risiko yang dihadapi dalam mencapai tujuan.
Perusahaan semakin dituntut untuk dapat mengenali dan mengelola risiko-risiko kegiatan yang dihadapinya
hingga ke tingkat yang dapat diterima.Untuk pengukuran resiko perusahaan secara berkelanjutan melakukan
analisa untuk mengidentifikasikan risiko-risiko yang sedang dan akan dihadapi oleh perusahaan, merumuskan
rekomendasi tingkat risiko yang dapat diambil oleh Manajemen dan tingkat toleransi dari tiap risiko dan
merumuskan kebijakan pengelolaan risiko untuk menjaga tingkat risiko perusahaan.
Aktivitas Pengendalian
10
Aktivitas pengendalian adalah segala kebijakan dan prosedur untuk menyakinkan bahwa tindakan yang
diperlukan untuk mengatasi risiko-risiko benarbenar dilaksanakan dalam rangka mencapai tujuan organisasi.
Efektivitas aktivitas pengendalian akan tergantung dari ketepatan dalam mengidentifikasi dan mengukur risiko
yang dilakukan perusahaan.
Beberapa kebijakan yang diambil perusahaan dalam melakukan aktivitas pengendalian antara lain :
1.
Mempersiapkan pencatatan data dan penyimpanan dokumen dengan baik.
2.
Mempersiapkan pengamanan data dan dokumen dengan baik.
3.
Memberikan tugas, tanggung jawab dan kewenangan sesuai dengan fungsi dari masing - masing
unit organisasi.
4.
Melakukan penilaian atau pemeriksaan atas kinerja perusahaan oleh pihak diluar perusahaan yang
independensinya tidak diragukan
Teknologi Informasi dan Komunikasi
Perusahaan menyadari bahwa komponen pengendalian internal (lingkungan pengendalian, penilaian risiko,
aktivitas pengendalian, pemantauan) akan mudah direalisasikan jika terdapat sistem informasi dan komunikasi
yang baik dan andal dalam perusahaan atau organisasi. Perusahaan telah memiliki kebijakan sebagai pedoman
teknologi informasi dan komunikasi.
Kebijakan tersebut antara lain penggunaan sarana e-mail, intranet dan internet, penanganan pengamanan sistem
informasi untuk mengurangi risiko kerugian sebagai akibat dari kelalaian atau kesalahan dalam penggunaan
sistem informasi. Kebijakan ini dibuat pengelolaan sistem informasi dan komunikasi dapat berjalan dengan
efektif, tepat, dapat diandalkan dan terlindungi atau aman.
Pemantauan
Keseluruhan proses kegiatan perusahaan harus dipantau dan dibuat seditkit perubahan atau modifikasi bila
diperlukan . Maka akan terdapat pengendalian internal yang dinamis yang berubah sesuai dengan kondisi yang
ada.
Pemantauan adalah usaha berkelanjutan untuk menyakinkan bahwa setiap gerak perusahaan secara sinergis
sedang mengarah kepada usaha pencapaian tujuan. Hal ini dilakukan dengan menilai kembali kekuatan
lingkungan pengendalian, usaha-usaha penilaian risiko dan pemilihan aktivitas pengendalian. Menjadi unsur
penting dalam pemantauan adalah pelaporan terhadap penyimpangan dan kekurangan
Pemantauan dan evaluasi yang dilakukan perusahaan antara lain
1.
Pelaksanaan pengawasan melalui audit internal yang dilakukan oleh unit audit Internal.
11
2.
Sistem pertanggungjawaban dan penilaian yang memungkinkan untuk melakukan penilaian terhadap
setiap anggota manajemen dan unit dalam organisasi
3.
Supervisi dari tiap tingkatan level manajemen
4.
Pengawasan oleh Komite Audit, khususnya berkaitan dengan pencatatan keuangan
5.
Pengawasan yang berkaitan dengan aktivitas operasional dan kepatuhan perusahaan terhadap peraturan
/undang – undang yang berlaku
6.
Pengawasan dari level Top Management
7.
Pengawasan semua aktivitas manajemen
Referensi
Wikipedia, https://id.wikipedia.org/wiki/COSO_ERM
12
Kusuma, Charvin, 2014, Perbandingan Coso Erm-Integrated Framework Dengan Iso31000: 2009 Risk
Management – Principles And Guidelines : http://crmsindonesia.org/knowledge/crms-articles/perbandingancoso-erm-integrated-framework-dengan-iso31000-2009-risk-managem, diakses tanggal 11 Mei 2017 pukul
17.30
Hapzi Ali, 2015, Modul perkulihan Sistem Informasi dan Pengendalian Internal : Membandingkan kerangka
pengendalian internal : 1. COSO internal control integrated framework 2. COSO enterprise risk management 3.
COBIT, Jakarta.
Prayogo, Aditya, 2012, COSO dan COBIT
cobit.html, diakses tanggal 11 Mei 2017 pukul 15.50.
:http://apraysjournal.blogspot.co.id/2012/12/coso-dan-
Kartika,
Sari,
2017,
Melindungi
SI,
Konsep
&
Komponen
Pengendalian
Internal :https://www.slideshare.net/SariKartika5/sipi-sari-kartika-hapzi-ali-melindungi-si-konsep-komponenpengendalian-internal-universitas-mercu-buana-2017, diakses tanggal 11 Mei 2017 pukul 15.00.
Riadi,
Muchlisin,
2014,
Pengertian,
Sejarah
dan
Komponen
COBIT
:
http://www.kajianpustaka.com/2014/02/pengertian-sejarah-dan-komponen-cobit.html, diakses tanggal 11 Mei
2017 pukul 16.10.
Wendi Dwi Asmoro, 2015, Pengertian cobit overview : http://wendydw.blogspot.co.id/2015/05/pengertiancobit-overview.html, diakses tanggal 11 Mei 2017 pukul 14.10.
Santoso,
Dwi,
2015,
Makalah
Manfaat
Penggunaan
Cobit
:http://www.kompasiana.com/dwisantoso_vcc/makalah-manfaat-penggunaancobit_567fe81390fdfd5d0956ffba, diakses tanggal 11 Mei 2017 pukul 14.10.
Samuel
Lasmana
(Salas),
2015,
Pentingnya
IT
Governance
(COBIT)
Pada
Perusahaan
: https://samuellasmana.wordpress.com/2015/02/05/pentingnya-it-governance-cobit-padaperusahaan/, diakses tanggal 11 Mei 2017 pukul 14.30.
Website :
1.
Wikipedia. ITSM. [Online] Maret 2016. Link Website : https://id.wikipedia.org/wiki/ITSM. [Diakses pada : 20
Maret 2016]
2.
Wikipedia. COBIT. [Online] Maret 2016. Link Website : https://id.wikipedia.org/wiki/COBIT. [Diakses pada :
20 Maret 2016]
13