sebutkan dan jelaskan elemen pengendalian intern (versi coso)

on Minggu, 17 November 2013

1. Apa yang dimaksud dengan struktur penegendalian internal (SPI) dalam kerangka COSO?
Jawaban :
Menurut COSO (The Committee of Sponsoring Organizations of the Treadway Commission) : Pengendalian Internal adalah Sebuah proses yang dihasilkan oleh Dewan Direktur, Manajemen, dan Personel Lainnya, yang didesain untuk memberikan jaminan yang masuk akal yang memperhatikan tercapainya tujuan-tujuan dengan kategori sebagai berikut :
•Efektif dan efisisiensinya operasi
•Terpercayanya (Reliabillity) Laporan Keuangan
•Tunduk pada hukum dan aturan yang berlaku.


2.Sebutkan dan jelaskan tujuan pengendalian internal menurut COSO ?
Jawaban :
Tujuan pengendalian internal menurut COSO sebagai berikut 1.Keefektifan dan efesiensi dari operasi
Dengan menggunakan system pengendalian internal maka kegiatan operasiperusahaan dapat diharapkan lebih efektif dan efesien.
2.Keandalan pelaporan keuangan
Jika system informasi internal perusahaan bagus maka dapat dipastikan laporan keuangan juga bagus.
3.Ketaatan terhadap peraturan dan hokum yang berlaku
System pengendalian internal dibuat agar para pekerja dalam perusahaan menaati peraturan dan hokum yang berlaku.
4. Menjaga kekayaan suatu organisasi
System pengendalian internal diharapkan kekayaan perusahaan dapat dijaga dari segala kemungkinan/resiko yang terjadi misalnya penyalahguanan kas dapat dikontrol melalui system pengendalian interlal yang telah dibuat oleh perusahaan.


3.Sebutkan unsur-unsur SPI menurut COSO dan mana dari setiap unsur yang merupakan soft control dan hard control ?
Jawaban :
Pengendalian internal terdiri dari 5 (lima) komponen yang saling berhubungan. Komponen ini didapat dari cara manajemen menjalankan bisnisnya, dan terintegrasi dengan proses manajemen. Walaupun komponen-komponen tersebut dapat diterapkan kepada semua entitas, perusahaan yang kecil dan menengah dapat menerapkannya berbeda dengan perusahaan besar. Dalam hal ini pengendalian dapat tidak terlalu formal dan tidak terlalu terstruktur, namun pengendalian internal tetap dapat berjalan dengan efektif.
Adapun 5 (lima) komponen Pengendalian internal tersebut adalah :
1.Control Environment ( Lingkungan pengendalian)
Lingkungan pengendalian memberikan nada pada suatu organisasi, mempengaruhi kesadaran pengendalian dari para anggotanya. Lingkungan pengendalian merupakan dasar bagi komponen Pengendalian Internal lainnya, memberikan disiplin dan struktur. Faktor lingkungan pengendalian termasuk :
•Integritas, nilai etika dan kemampuan orang-orang dalam entitas;
•Filosofi manajemen dan Gaya Operasi;
•Cara Manajemen untuk menentukan wewenang dan tanggung jawab, mengorganisasikan dan mengembangkan orang-orangnya; dan
•Kebijakan dan praktek sumber daya manusia
•Perhatian dan arahan yang diberikan dewan direksi.
2.Risk Assesment (penilaian risiko)
Seluruh entitas menghadapi berbagai macam resiko dari luar dan dalam yang harus ditaksir. Prasyarat dari Risk Assessment adalah penegakan tujuan, yang terhubung antara tingkatan yang berbeda, dan konsisten secara internal. Risk Assessment adalah proses mengidentifikasi dan menganalisis resiko-resiko yang relevan dalam pencapaian tujuan, membentuk sebuah basis untuk menentukan bagaimana resiko dapat diatur. Karena kondisi ekonomi, industri, regulasi, dan operasi selalu berubah, maka diperlukan mekanisme untuk mengidentifikasi dan menghadapi resiko-resiko spesial terkait dengan perubahan tersebut.
3.Control Activities (aktivitas pngendalian )
Control Activities adalah kebijakan dan prosedur membantu meyakinkan manajemen bahwa arahannya telah dijalankan. Control Activities membantu meyakinkan bahwa tindakan yang diperlukan telah diambil dalam menghadapi resiko sehingga tujuan entitas dapat tercapai. Control Activities terjadi pada seluruh organisasi, pada seluruh level, dan seluruh fungsi. Control activities termasuk berbagai kegiatan yang berbeda-beda, seperti :
•Penyetujuan (Approvals)
•Otorisasi (Authorization)
•Verifikasi (Verifications)
•Rekonsiliasi (Reconciliations)
•Review terhadap performa operasi (Reviews of Operating Performance)
•Keamanan terhadap Aset (Security of Assets)
•Pemisahan tugas (Segregation of duties)
Pengendalian terhadap sistem informasi meliputi dua cara:
1.General controls, mencakup kontrol terhadap akses, perangkat lunak, dan system development.
2.Application controls, mencakup pencegahan dan deteksi transaksi yang tidak terototrisasi. Berfungsi untuk menjamin completeness,accuray,authorization and validity dari proses transaksi.
4. Information and Communication (informasi dan komunikasi)
Informasi yang bersangkutan harus diidentifikasi, tergambar dan terkomunikasi dalam sebuah form dan timeframe yang memungkinkan orang-orang menjalankan tanggung jawabnya. Sistem informasi menghasilkan laporan, yang berisi informasi operasional, finansial, dan terpenuhinya keperluan sistem, yang membuatnya mungkin untuk menjalankan dan mengendalikan bisnis. Informasi dan Komunikasi tidak hanya menghadapi data-data yang dihasilkan internal, tetapi juga kejadian eksternal, kegiatan dan kondisi yang diperlukan untuk memberikan informasi dalam rangka pembuatan keputusan bisnis dan laporan eksternal. Komunikasi yang efektif juga harus terjadi dalam hal yang lebih luas, mengalir ke bawah, ke samping dan ke atas organisasi. Seluruh personel harus menerima dengan jelas pesan dari manajemen teratas bahwa pengendalian tanggung jawab diambil dengan serius. Para personel harus mengerti peran mereka dalam sistem pengendalian internal, sebagaimana mereka mengerti bahwa kegiatan individu mereka berhubungan dengan pekerjaan orang lain. Mereka harus memiliki niat untuk mengkomunikasikan informasi yang signifikan kepada atasannya. Selain itu juga dibutuhkan komunikasi efektif dengan pihak eksternal, seperti customer, supplier, regulator, dan Pemegang Saham.
5.Monitoring (pemantaun)
Sistem pengendalian internal perlu diawasi, sebuah proses untuk menentukan kualitas performa sistem dari waktu ke waktu. Proses ini terselesaikan melalui kegiatan pengawasan yang berkesinambungan, evaluasi yang terpisah atau kombinasi dari keduanya. Kegiatan ini termasuk manajemen dan supervisi yang reguler, dan kegiatan lainnya yang dilakukan personel dalam menjalankan tugasnya. Luas dan frekuensi evaluasi terpisah, akan tergantung pada terutama penaksiran resiko dan efektifnya prosedur monitoring yang sedang berlangsung. Ketergantungan sistem pengendalian harus dilaporkan kepada atasan, dengan masalah yang serius juga dilaporkan kepada manajemen teratas dan dewan direksi.
Yang merupakan Soft Control sebagai berikut:
1.Lingkungan pengendalian (Control Environment)
2.Penilaian resiko (Risk Assesment)
Yang merupakan Hard Control sebagai berikut:
1.Aktivitas pengendalian (Control Activities)
2.Informasi dan komunikasi (Information and Communication)
3.Pemantaun (monitoring)


4.Apa yang dimaksud dengan Risk Exposure dan sebutkan contoh-contoh risk exposure?
Jawaban :
Risk exposure adalah resiko-resiko yang dihadapi suatu entitas dari operasi usahanya dan yang memiliki konsekwensi keuangan. Eksposur resiko muncul bukan karena tidak ada pengendalian internal namun karena pengendalia internal yang kurang memadai . Eksposur resiko bisa menghalangi suatu entitas untuk mencapai tujuannya. Eksposur resiko bisa berasal dari dalam (internal) entitas maupun dari luar (eksternal) entitas.
Contoh –contoh risk exposure sebagai berikut:
•Kos yang berlebihan
•Pendapatan yang menurun
•Kehilangan aset
•Kesalahan-kesalahan akuntansi yang tidak disengaja
•Bisnis yang berhenti
•Pencurian aktiva
•Tindakan kekerasan dan bencana alam
•Kecurangan dan kejahatan kerah putih (white collar crime),dll.


5.Jelaskan hubungan antara eksposur dan Sistem Pengendalian Internal?
Jawaban :
Exposure risiko muncul karena pengendalian internal yang kurang memadai, jadi jika pengendalian internal lebih diperbaiki lagi maka exposure risiko dapat diminimalkan sehingga tujuan perusahaan dapat tercapai maka hubungan exposure risiko dan SPI yaitu: sistem pengendalian internal dirancang untuk menurunkan risiko/exposure
Ada 4 hal yang tercakup dalam penilaian risiko dalam hubungannya dengan tujuan diatas, yaitu :
1.Identifikasi risiko internal yang signifikan
2.Identifikasi risiko eksternal yang signifikan
3.Mempersiapkan analisis risiko
4.Pengaturan dari resiko relevan.
http://chandrachristianoke.blogspot.com/2013/01/sia-pengendalian-internal.html

jelaskan pengertian pengendalian intern (versi coso)

Elemen-elemen Pengendalian Intern

Committee of Sponsoring Organizations of the Treatway Commission (COSO) memperkenalkan adanya lima komponen pengendalian intern yang meliputi Lingkungan Pengendalian (Control Environment), Penilaian Resiko (Risk Assesment), Prosedur Pengendalian (Control Procedure), Pemantauan (Monitoring), serta Informasi dan Komunikasi (Information and Communication).

Lingkungan Pengendalian (Control Environment)

Lingkungan pengendalian perusahaan mencakup sikap para manajemen dan karyawan terhadap pentingnya pengendalian yang ada di organisasi tersebut. Salah satu faktor yang berpengaruh terhadap lingkungan pengendalian adalah filosofi manajemen (manajemen tunggal dalam persekutuan atau manajemen bersama dalam perseroan) dan gaya operasi manajemen (manajemen yang progresif atau yang konservatif), struktur organisasi (terpusat atau ter desentralisasi) serta praktik kepersonaliaan. Lingkungan pengendalian ini amat penting karena menjadi dasar keefektifan unsur-unsur pengendalian intern yang lain. pengendalian internal vc pengendalian manajemen: 1. pengendalian internal a penegnedalian manajemen terdiri dari pengendallian intern dan ekstern b. lebih nekenkankan pd tujuan perusahaan dan menghubungkan pengendallian manajemen untuk mencapai tujaun c. meliputi produksi, transportasi dan riset perusahaan.
2. pengendalian manjemen a. mengendalikan terrdiri dari pengendalian administratif dan pengendalian akuntansi b. menekankan pda pengendazlian terhadap mengamankan aktiva perusahaan dengan melakukan pecatatan akuntansi memeadai c. meliputi akkuntansi meningkatkan efektifitas dan efesiensi dan taat pd hukum yang berlaku.

Penilaian Resiko (Risk Assesment)

Semua organisasi memiliki risiko, dalam kondisi apapun yang namanya risiko pasti ada dalam suatu aktivitas, baik aktivitas yang berkaitan dengan bisnis (profit dan non profit) maupun non bisnis. Suatu risiko yang telah di identifikasi dapat di analisis dan evaluasi sehingga dapat di perkirakan intensitas dan tindakan yang dapat meminimalkannya.

Prosedur Pengendalian (Control Procedure)

Prosedur pengendalian ditetapkan untuk menstandarisasi proses kerja sehingga menjamin tercapainya tujuan perusahaan dan mencegah atau mendeteksi terjadinya ketidakberesan dan kesalahan. Prosedur pengendalian meliputi hal-hal sebagai berikut:
  • Personil yang kompeten, mutasi tugas dan cuti wajib.
  • Pelimpahan tanggung jawab.
  • Pemisahan tanggung jawab untuk kegiatan terkait.
  • Pemisahan fungsi akuntansi, penyimpanan aset dan operasional.

Pemantauan (Monitoring)

Pemantauan terhadap sistem pengendalian intern akan menemukan kekurangan serta meningkatkan efektivitas pengendalian. Pengendalian intern dapat di monitor dengan baik dengan cara penilaian khusus atau sejalan dengan usaha manajemen. Usaha pemantauan yang terakhir dapat dilakukan dengan cara mengamati perilaku karyawan atau tanda-tanda peringatan yang diberikan oleh sistem akuntansi.
Penilaian secara khusus biasanya dilakukan secara berkala saat terjadi perubahan pokok dalam strategi manajemen senior, struktur korporasi atau kegiatan usaha. Pada perusahaan besar, auditor internal adalah pihak yang bertanggung jawab atas pemantauan sistem pengendalian intern. Auditor independen juga sering melakukan penilaian atas pengendalian intern sebagai bagian dari audit atas laporan keuangan.

Informasi dan Komunikasi (Information and Communication)

Informasi dan komunikasi merupakan elemen-elemen yang penting dari pengendalian intern perusahaan. Informasi tentang lingkungan pengendalian, penilaian risiko, prosedur pengendalian dan monitoring diperlukan oleh manajemen Winnebago pedoman operasional dan menjamin ketaatan dengan pelaporan hukum dan peraturan-peraturan yang berlaku pada perusahaan.
Informasi juga diperlukan dari pihak luar perusahaan. Manajemen dapat menggunakan informasi jenis ini untuk menilai standar eksternal. Hukum, peristiwa dan kondisi yang berpengaruh pada pengambilan keputusan dan pelaporan eksternal.
http://rnurinaramadhani.blogspot.com/2013/01/35-sebutkan-dan-jelaskan-elemen-spi_23.html

jelaskan apa itu cobit

Banyaknya framework, pendekatan serta guidance dalam pengelolaan Teknologi Informasi seringkali membuat praktisi terkait baik manajemen maupun staff IT menjadi bingung. Bagaimanakah posisi framework, metodologi atau guidance yang satu dengan yang lain? apakah saling melengkapi ataukah saling menggantikan? kalau saling melengkapi bagaimana cara implementasinya? sebaliknya kalau saling menggantikan dimana kelemahan dan kelebihan satu dari yang lainnya? atau bahkan hanya akal-akalan vendor atau organisasi tertentu dalam mendorong penjualan produk atau servicenya?
Pertanyaan yang sering muncul dalam diskusi, forum maupun seminar adalah perbedaan serta penggunaan ITIL dan COBIT.
Sebagaimana kita ketahui COBIT atau Control OBjective of Information and related Technology merupakan sebuah pedoman bagi pengelolaan IT termasuk input, proses, output, serta process control yang terbagi kedalam 4 obyektif dan 34 area kunci. Masing-masing obyektif tersebut adalah: Planing & Organization (PO), Acquisition & Implementation (AI), Delivery & Support (DS) dan Monitoring.
Sedangkah ITIL merupakan sebuah kerangka pengelolaan layanan IT yang terbagi kedalam proses dan fungsi (lihat penjelasan tentang apa itu ITIL dalam artikel terpisah). Dua area/modul dalam ITIL, yaitu Service Support dan Delivery kemudian menjadi CORE dalam ITIL versi 2, yang kemudian kita kenal dengan IT Service Management.
Apabila dilihat dari posisi kedua pendekatan tersebut, maka dapat kita lihat hubungan secara langsung diantara Delivery & Support (COBIT) dan ITSM. Dimana COBIT mengatur masalah obyektif yang harus dicapai oleh sebuah organisasi dalam memberikan layanan IT, sedangkan ITIL merupakan best practice cara-cara pengelolaan IT untuk mencapai obyektif organisasi. Sehingga dapat dikatakan bahwa COBIT dan ITIL merupakan dua pendekatan dalam IT Governance dan tata kelola layanan teknologi informasi yang saling melengkapi. Apabila dibedah lebih jauh, relavansi ITIL tidak hanya berhenti di area Deliveri & Support, tetapi bisa kita petakan ke area COBIT lainnya.
Bagi anda yang sudah menggunakan COBIT sebagai standar kontrol terhadap pengelolaan IT, anda dapat juga mengimplementasikan ITIL dalam upaya meningkatkan tingkat kematangan IT perusahaan anda (Maturity Level). Bagi yang belum mengimplementasikannya dapat mengkombinasikan kedua pendekatan ini karena hubungannya satu dengan yang lain adalah saling melengkapi.
Berikut ini adalah tabel dari framework COBIT dan ITIL yang saling melengkapi satu dengan lainnya
COBIT and ITIL
Memang belum seluruh area dalam COBIT ditunjang oleh setiap proses dalam ITIL versi 2, akan tetapi dengan munculnya ITIL versi 3 hal tersebut sudah terlengkapi
http://itilindo.com/2009/03/17/posisi-itil-dan-cobit/

jelaskan apa itu coso

APA ITU COSO DAN CoBID


I. COSO
The Committee of Sponsoring Organizations of the Treadway Commission’s (COSO) didirikan pada tahun 1985, yang merupakan aliansi dari lima organisasi profesi diantaranya :
  Financial  Executives International (FEI)
  The American Accounting Association (AAA)
  The American Institute  of  Certified  Public  Accountants (AICPA)
  The  Institute  of  Internal Auditors (IIA)
  The Institute of Management Accountants (IMA) (formerly the National Association of Accountants).
Misi utama dari COSO adalah  “Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance.”
Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tehun 1992, telah diselesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal mereka.
Kerangka Kerja Pengendalian Internal (Internal  Control-Integrated  Framework)
Dua tujuan utama dari laporan COSO adalah (1) untuk menetapkan definisi umum pengendalian internal yang melayani berbagai pihak, dan (2) menyediakan standar terhadap organisasi yang dapat menilai sistem pengendalian dan menentukan cara untuk meningkatkan/memperbaiki sistem tersebut.
Definisi Pengendalian Internal COSO
“suatu proses, yang dipengaruhi  oleh dewan komisaris, manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan pencapaian tujuan dalam beberapa kategori”.
Kategori-kategori dalam pencapaian tujuan Pengendalian Internal
  Efektivitas dan efisiensi operasi
  Keandalan laporan keuangan
  Kepatuhan terhadap hukum dan peraturan yang berlaku
Laporan ini menekankan bahwa sistem pengendalian internal merupakan alat/perangkat dari manajemen dan bukan pengganti manajemen. Jadi manajemen dan sistem pengendalian seharusnya dibentuk didalam kegiatan operasi.
Definisi COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
  Efektifitas dan efisiensi operasional
  Reliabilitas pelaporan keuangan
  Kepatuhan atas hukum dan peraturan yang berlaku
COSO menekankan Pengendalian Internal sebagai suatu “proses” yang merupakan bagian tidak terpisahkan dari aktivitas bisnis entitas yang berkelanjutan (on going business activities). Untuk tujuan pelaporan manajemen kepada publik.
Pengendalian Internal terkait penjagaan asset dari pengambilan, penggunaan, atau penghilangan yang tidak terotorisasi adalah suatu proses yang dipengaruhi  oleh dewan komisaris, manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan pencegahan atau deteksi dini terhadap pengambilan, penggunaan, atau penghilangan yang tidak terotorisasi terhadap asset entitas sehingga dapat memberikan pengaruh/efek yang material terhadap laporan keuangan.
Pihak yang terlibat
Didalam dokumen COSO dikatakan bahwa pihak-pihak yang terlibat dalam Pengendalian Internal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yang mendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawab atas penetapan, penjagaan, dan pengawasan sistem Pengendalian Internal adalah tanggung jawab manajemen.
Tujuan Pengendalian Internal bagi Organisasi
Asumsi COSO, bahwa entitas telah menetapkan sendiri tujuan dari aktivitas operasinya. Namun COSO mengidentifikasikan tiga tujuan utama dari entitas, antara lain :
  Efektivitas dan efisiensi operasi
  Keandalan laporan keuangan
  Kepatuhan terhadap hukum dan peraturan yang berlaku
Komponen yang saling terkait dalam internal control menurut COSO framework, yaitu:
COSO mengidentifikasi Sistem Pengendalian Internal yang efektif meliputi lima komponen yang saling berhubungan untuk mendukung pencapaian tujuan entitas, yaitu:
(a) Lingkungan Pengendalian (Control Environment)
Pondasi dari komponen lainnya dan meliputi beberapa faktor diantaranya :
Integritas dan Etika
        Komitmen untuk meningkatkan kompetensi
        Dewan komisaris dan komite audit
        Filosofi manajemen dan jenis operasi
        Kebijakan dan praktek sumber daya manusia
COSO menyediakan pedoman untuk mengevaluasi tiap faktor yang ada. Misal, filosofi manajemen dan jenis operasi dapat dinilai dengan cara menguji sifat dari penerimaan risiko bisnis, frekuensi interaksi dari tiap subordinat, dan pengaruhnya terhadap laporan keuangan.
(b) Penilaian Risiko (Risk Assessment)
Terdiri dari identifikasi risiko dan analisis risiko. Identifikasi risiko merupakan pengujian terhadap faktor-faktor eksternal seperti perkembangan teknologi, persaingan, dan perubahan ekonomi.  Factor internal diantaranya kompetensi karyawan, sifat dari aktivitas bisnis, dan karakteristik pengelolaan sistim informasi. Sedangkan Analisis Risiko dilakukan dengan mengestimasi signifikansi risiko, menilai kemungkinan terjadinya risik, dan bagaimana mengelola risiko tersebut.
(c) Aktivitas Pengendalian (Control Activities)
Terdiri dari kebijakan dan prosedur yang menjamin karyawan melaksanakan arahan manajemen. Aktivitas Pengendalian meliputi review terhadap sistim pengendalian, pemisahan tugas, dan pengendalian terhadap sistim informasi.
Pengendalian terhadap sistim informasi meliputi dua cara :
General controls, mencakup kontrol terhadap akses, perangkat lunak, dan  system development.
Application controls, mencakup pencegahan dan deteksi transaksi yang tidak terotorisasi. Berfungsi untuk menjamin completeness, accuracy,  authorization and validity dari proses transaksi yang terjadi.
(d) Informasi dan komunikasi
Sistem yang memungkinkan orang atau entitas, memperoleh dan menukar informasi yang diperlukan untuk melaksanakan, mengelola, dan mengendalikan operasinya dan adanya jalan untuk dapat mengakses informasi dari dalam dan luar, dengan mengembangkan strategi yang potensial dan sistem terintegrasi, serta perlunya data yang berkualitas. Sedangkan diskusi mengenai komunikasi berfokus kepada menyampaikan permasalahan Pengendalian Internal, dan mengumpulkan informasi pesaing.
(e) Pengawasan (Monitoring)
Sistem pengendalian internal perlu dipantau sepanjang waktu, proses ini bertujuan untuk menilai mutu kinerja sistem sepanjang waktu. Ini dijalankan melalui aktivitas pemantauan yang terus-menerus, evaluasi yang terpisah atau kombinasi dari keduanya, melalui aktivitas yang berkelanjutan dan melalui evaluasi yang ditujukan terhadap aktivitas atau area yang khusus.
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:

1. Lingkungan Internal (Internal Environment),
Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih dahulusebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi dalam pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
3. Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang yang dapat terjadi. Peluang dikembalikan kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian Risiko (Risiko Assessment), Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan pengelolaan risiko.
5. Respons Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima, mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang terjadi masih sesuai dengan toleransi dan risk appetite.
6. Kegiatan Pengendalian (Control Activities), kebijakan serta prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.
7. Informasi dan Komunikasi (Information and Communication), Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.


Fokus utama
COSO menyatakan Pengendalian Internal merupakan partisipasi dari semua stakeholder (pemangku kepentingan) entitas yang meliputi seluruh/semua area atau fungsi dari bisnis entitas.
Evaluasi keefektifan Pengendalian Internal
Meskipun COSO menekankan Pengendalian Internal sebagai suatu “proses” namun keefektifan dari pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada saat pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar menyatakan bahwa Pengendalian Internal telah berjalan efektif.
Bagaimana pelaporan masalah Pengendalian Internal
COSO menjelaskan bagaimana manajemen memperoleh dan mengolah informasi jika terjadi defisiensi Pengendalian Internal. COSO merekomendasikan kepada personil yang mengidentifikasi terjadinya defisiensi untuk segera melaporkannya kepada atasan langsungnya, namun jika informasinya sensitif maka perlu adanya jalur khusus penyampaian informasi.
II. CoBID

Control Objectives for Information and Related Technology atau CoBIT adalah proses yang sedang dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari Information System Audit and Control Association (ISACA) untuk membantu perusahaan dalam mengelola sumber daya teknologi informasi.
CoBIT juga merupakan jembatan antara manajemen teknologi informasi dengan para eksekutif bisnis atau dewan direksi. Dikatakan seperti itu karena CoBIT mampu menjelaskan laporan dengan bahasa yang umum sehingga dapat mudah dipahami oleh semua pihak. Salah satu alasan mengapa CoBIT dapat merajalela di seluruh dunia karena semakin besarnya perhatian dari corporate governance dan kebutuhan perusahaan dalam menghasilkan sesuatu yang lebih dengan kondisi sumber daya yang sedikit dan ekonomi yang sulit.
Tujuan utama yang diharapkan dari adanya CoBIT yaitu agar perusahaan mampu meningkatkan nilai tambah dalam bidang IT dan dapat mengurangi risiko-risiko inheren yang ada didalamnya.
Komponen-komponen CoBIT
CoBIT mempunyai komponen-komponen sebagai berikut:
a.    Executive Summary
b.    Framework
c.    Control Objective
d.    Audit Guidelines
e.    Management Guidelines
f.    Control Practices
Definisi Pengendalian Internal menurut CoBIT


Untuk pengertian Pengendalian Internal CoBIT mengadopsinya dari COSO, yaitu:
 “Kebijakan, prosedur, praktik, struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah, dideteksi atau diperbaiki”.
Selain itu untuk tujuan pengendalian sendiri CoBIT mengadopsinya dari SAC, yaitu:
“Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.
Komponen tujuan pengendalian CoBIT terdiri dari 4 tujuan pengendalian tingkat tinggi yang tercermin dalam 4 domain, yaitu:
a.    Planning and Organization
b.    Acquisition & Implementation
c.    Delivery & Support
d.    Monitoring
Sudut Pandang CoBIT tentang Pengendalian Internal
a.    Pengguna Utama
CoBIT dibuat untuk digunakan oleh 3 pengguna, yaitu:
Manajemen, untuk membantu mereka menyeimbangkan antara risiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
User, untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
Auditor, untuk mendukung dan memperkuat opini yang dihasilkan dan atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.
b.    Tujuan pengendalian internal bagi organisasi
  Operasi yang efektif dan efisien
Operasi dapat dikatakan EFEKTIF jika informasi yang diperoleh relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten serta bermanfaat. 
Dikatakan EFISIEN jika dalam penyediaan informasi melalui sumber daya (yang paling produktif dan ekonomis) dapat optimal.
  Kerahasiaan
Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak berwenang.
  Integritas
Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai dengan nilai-nilai dan harapan bisnis.
  Ketersediaan Informasi
Informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik sekarang maupun dimasa yang akan datang. Hal ini juga terkait dengan pengamanan atas sumber daya yang perlu dan adanya kemampuan yang terikat.
  Pelaporan Keuangan yang handal
Dengan pemberian informasi keuangan yang tepat bagi manajemen untuk mengoperasikan perusahaan dan juga untuk memenuhi kewajiban dalam membuat pelaporan keuangan.
  Ketaatan pada ketentuan hukum dan peraturan
Berhubungan dengan pemenuhan sesuai dengan ketentuan hukum, peraturan dan perjanjian kontrak dimana dalam hal ini proses bisnis dianggap sebagai subjek.
c.    Domain
  Planning and Organization
Domain ini mencakup strategi serta taktik atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk berbagai perspektif yang berbeda. Ditambah dengan pengorganisasian yang baik dengan menempatkan infrastruktur teknologi ditempat yang semestinya.
  Acquisition & Implementation
Agar tercapainya strategi IT, solusi IT harus diidentifikasi, dikembangkan, diimplementasikan dan terintegrasi dengan baik ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus dicakup dalam domainini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini.
  Delivery & Support
Domain ini memberikan fokus utama pada aspek penyampaian IT. Dalam delivery and support tercakup area-area seperti pengaplikasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu tentang keamanan dan pelatihan.
  Monitoring
Semua proses IT perlu dinilai secara teratur sepanjan waktu untuk dapat menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan http://bismodhanu.blogspot.com/2013/01/apa-itu-coso-dan-cobid.htmlmanajemen atas proses pengendalian dalam organisasi serta penilaian independen  yang dilakukan oleh auditor internal maupun eksternal, atau dapat diperoleh dari sumber-sumber alternatif lainnya.
III. PERBEDAAN COSO DAN CoBID 
 
Perbedaan dan Persamaan COSO dan CoBIT... ^^

COSO
CoBIT
Fokus Pengguna
manajemen
manajemen, operator dan auditor sistem informasi.
Sudut Pandang
kesatuan beberapa proses secara umum
kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi
Tujuan yang ingin dicapai
pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku
pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang berlaku
Komponen/domain
pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi
perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian
Fokus Pengendalian
Dari eSAC keseluruhan entitas
sisi teknologi informasi
Evaluasi Internal Control
seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu
seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan
Pertanggungjawaban internal control
dari eSAC ditujukan kepada manajemen
Dari CoBIT ditujukan kepada manajemen.
  

PERSAMAAN COSO & CoBIT
1
Seluruh tujuan dari framework CoBIT, eSAC dan COSO adalah pengendalian serta pengawasan atas proses dan lingkungan
2
Pertanggungjawaban ditujukan pada manajemen
3
Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku