MODEL KERANGKA PENGENDALIAN: COBIT, COSO DAN ERM
MODEL
KERANGKA PENGENDALIAN: COBIT, COSO DAN ERM
Oleh:
Martina Melissa L. (55517120041)
Dosen:
Prof. Dr. Hapzi Ali, CMA
1.
COSO
COSO
merupakan singkatan dari Comittee of Sponsoring Organization of treadway
Commision, yaitu suatu inisiatif dari sektor swasta yang dibentuk pada tahun
1985. COSO merupakan model pengendalian internal yang banyak digunakan oleh
auditor sebagai dasar untuk mengevaluasi dan mengembangkan pengendalian
internal. Struktur pengendalian internal COSO dikenal sebagai kerangka kerja
pengendalian internal yang terintegrasi dan memiliki lima komponen yang saling
berhubungan. Komponen ini didapat dari cara manajemen dalam menjalankan
bisnisnya dan terintegrasi dengan proses manajemen. Komponen pengendalian COSO
antara lain meliputi:
a. Lingkungan
Pengendalian Tindakan atau kebijakan manajemen yang mencerminkan sikap
manajemen puncak secara keseluruhan dalam pengendalian manajemen.
b. Penilaian
Risiko Tindakan manajemen untuk mengidentifikasi dan menganalisis risiko-risiko
yang relevan dalam penyusunan laporan keuangan dan perusahaan secara umum.
c. Aktivitas
Pengendalian Kebijakan dan prosedur, selain yang sudah termasuk dalam empat
komponen lainnya, yang membantu memastikan bahwa tindakan yang diperlukan telah
diambil untuk menangani risiko guna mencapai tujuan entitas.
d. Informasi
dan Komunikasi Tindakan untuk mencatat, memproses dan melaporkan transaksi yang
sesuai untuk menjaga akuntabilitas.
e. Pemantauan
Penilaian terhadap mutu pengendalian internal secara berkelanjutan maupun
periodik untuk memastikan pengendalian internal telah berjalan dan telah
dilakukan penyesuaian yang diperlukan sesuai kondisi yang ada.
Tujuan pada setiap komponen COSO adalah:
a. Lingkungan
pengendalian menyediakan arahan bagi organisasi dan mempengaruhi
b. kesadaran
pengendalian dari pihak-pihak yang ada dalam organisasi tersebut.
c. Dalam
penaksiran risiko untuk mencapai tujuan yaitu membentuk suatu dasar untuk
d. menentukan
bagaimana risiko harus dikelola.
e. Aktivitas
pengendalian untuk menjamin bahwa arahan manajemen dilaksanakan dan
f. membantu
memastikan bahwa tindakan yang diperlukan untuk menanggulangi risiko
g. dalam
pencapaian tujuan entitas.
h. Perlunya
untuk mengakses informasi dari dalam dan luar, mengembangkan strategi yang
i. potensial
dan sistem terintegrasi, serta perlunya data yang berkualitas. Sedangkan
j. komunikasi
berfokus kepada menyampaikan permasalahan pengendalian intern, dan
k. mengumpulkan
informasi pesaing.
l. Pemantauan
menentukan kualitas kinerja pengendalian intern sepanjang waktu, metode
m. yang
digunakan oleh entitas untuk mengirimkan, mengolah, memelihara, dan mengakses
n. informasi,
serta penerapan persyaratan hukum dan peraturan.
Fokus utama COSO adalah:
a. Fokus
pengguna utama adalah manajemen.
b. Sudut
pandang atas internal control adalah kesatuan beberapa proses secara umum.
c. Tujuan yang
ingin dicapai adalah pengoperasian sistem yang efektif dan efisien serta
d. pelaporan
laporan keuangan yang andal.
e. Komponen yang
dituju adalah pengendalian atas lingkungan, manajemen risiko,
f. pengawasan
serta pengendalian atas aktivitas informasi dan komunikasi.
g. Pertanggungjawaban
atas sistem pengendalian ditujukan kepada manajemen.
2.
COBIT
COBIT merupakan singkatan dari Control
Objective for Information and Related Technology, adalah sebuah kerangka kerja
yang dibuat oleh ISACA untuk Information Technology management dan Information
Technology governance. COBIT adalah alat pendukung yang digunakan oleh manajer
untuk menjembatani kesenjangan antara persyaratan kontrol, masalah teknis, dan
risiko bisnis. COBIT dibuat untuk 3 pengguna yang antara lain yaitu manajer,
user, dan auditor. COBIT memiliki beberapa komponen yang antara lain meliputi:
a.
Executive summary
b.
Framework
c.
Control objective
d.
Audit guidelines
e.
Management guidelines
f.
Control practices
Tujuan pada setiap komponen COBIT adalah:
a. Planning and
Organization
Domain ini
mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara
maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu,
realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola
untuk berbagai perspektif yang berbeda.
b. Acquisition
and Implementation
Untuk
merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh,
serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan
serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan
bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini.
c. Delivery and
Support
Domain ini
memberikan fokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini
mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya,
serta proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan
efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga
pelatihan.
d. Monitoring
Semua proses
IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan
atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen
atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan
baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber alternatif
lainnya.
3.
ERM
Pengertian
Enterprise Risk Management (ERM) adalah “suatu proses yang dipengaruhi oleh
board of director, dan personel lain dari suatu organisasi, diterapkan dalam
setting strategi, dan mencakup organisasi secara keseluruhan, didesain untuk
mengidentifikasi kejadian potensial yang mempengaruhi suatu organisasi, untuk
memberikan jaminan yang cukup pantas berkaitan dengan pencapaian tujuan
organisasi” (COSO ERP, 2004).
Enterprise Risk Management (ERM) adalah
“suatu proses yang dipengaruhi oleh board of director, dan personel lain dari
suatu organisasi, diterapkan dalam setting strategi, dan mencakup organisasi
secara keseluruhan, didesain untuk mengidentifikasi kejadian potensial yang mempengaruhi
suatu organisasi, untuk memberikan jaminan yang cukup pantas berkaitan dengan pencapaian
tujuan organisasi” (COSO ERP, 2004).
Delapan komponen ERM :
1. Lingkungan
Internal (INTERNAL ENVIRONMENT
Komponen ini meliputi sikap manajemen di
semua tingkatan terhadap operasi secara umum dan konsep kontrol secara khusus.
Hal ini mencakup: etika, kompetensi, serta integritas dan kepentingan terhadap
kesejahteraan organisasi.
2. Penetapan
Tujuan(OBJECTIVE SETTING)
Tujuan ditetapkan pada tingkat strategis yang
menjadi dasar untuk penetapan tujuan operasional. Pelaporan, dan ketaatan.
Setiap organisasi menghadapi berbagai risiko baik yang bersumber dari internal
maupun eksternal. Penetapan tujuan merupakan langkah awal untuk nantinya dapat
mengidentifikasi kejadian, menilai risiko, dan menentukan respon terhadap
risiko.
3. Identifikasi
Kejadian(EVENT IDENTIFICATION)
Manajemen mengidentifikasi kejadian potensial
yang dapat mempengaruhi organisasi dalam mencapai tujuannya dan juga memastikan
apakah kejadian yang mempengaruhi kegiatan organisasi dalam mencapai tujuannya,
juga membuka peluang bagi organisasi untuk menerapkan strategi yang lebih baik
dalam upaya untuk mencapai tujuan organisasi.
4. Penilaian
Risiko(RISK ASSESSMENT)
Penilaian risiko memungkinkan setiap
organisasi untuk mempertimbangkan luasnya kejadian yang dapat mempengaruhi
pencapaian tujuan organisasi.
5. Respon
terhadap Risiko (risk response)
Setelah risiko dinilai, manajemen menentukan
bagaimana risiko direspon, yaitu bagaimana tindakan-tindakan dilakukan untuk
mengelola risiko yang terjadi atau berpotensi akan terjadi.
6. Aktivitas
Pengendalian(CONTROL ACTIVITIES)
Merupakan kebijakan dan prosedur yang
membantu memastikan bahwa risk response yang dipilih dilaksanakan dengan
memadai.
7. Informasi
dan Komunikasi(INFORMATION & COMMUNICATION)
Informasi diidentifikasi, diperoleh, dan
dikomunikasikan dalam bentuk dan kerangka waktu yang tepat dan sesuai sehingga
memungkinkan setiap orang untuk dapat melaksanakan tugas dan tanggung jawab
yang dibebankan kepadanya.
8. Monitoring(MONITORING)
Penerapan manajemen risiko (ERM) dimonitor
atau dipantau terus dalam rangka untuk memastikan keberadaannya dan apakah
komponen-komponennya berfungsi dengan memadai setiap saat.
AUDIT SISTEM
INFORMASI MENGGUNAKAN COBIT 4.1 PADA PT. ERAJAYA SWASEMBADA, TBK.
Pengetahuan
dan teknologi, terjadi perpaduan antar dua bidang ilmu, khususnya pada bidang
teknologi sistem informasi dan bidang akuntansi dengan spesifikasi audit
sehingga menghasilkan bidang ilmu baru yaitu audit sistem informasi. Meskipun
bidang ilmu ini baru muncul ke permukaan, tetapi sepak terjangnya sangat
dibutuhkan. Perusahaan-perusahaan besar sangat membutuhkan peranan audit sistem
informasi untuk memeriksa kehandalan dari sistem komputerisasi yang mereka
gunakan dalam pengerjaan operasional perusahaan.
Dunia bisnis
pada masa sekarang sangat mengandalkan teknologi informasi dan komunikasi untuk
menjalankan proses bisnisnya. Oleh karena itu, adalah suatu hal yang penting
bagi dunia bisnis untuk memahami dan mengerti aspek teknologi informasi dan
komunikasi untuk dapat menerapkannya baik secara manajerial maupun teknikal
pada proses bisnis dan kegiatan ekspansinya.
Pritoritas
utama diberikan terhadap suatu mekanisme kontrol atau pengendalian, baik intern
maupun ekstern, untuk memastikan bahwa laporan dan keputusan yang diterima dan
dihasilkan oleh manajemen merupakan suatu pengambilan keputusan yang jujur dan
mempunyai integritas tinggi berdasarkan hasil proses audit yang dilakukan
terhadap sistem berbasis teknologi informasi dan komunikasi organisasi bisnis yang
bersangkutan.
Adapun
tujuan yang diinginkan dari audit sistem informasi ini adalah untuk menciptakan
Good Corporate Governance di dalam suatu perusahaan Pengendalian internal masa
depan, tidak hanya cukup dengan pengendalian umum (general controls) dan
pengendalian aplikasi dan formulir (application controls), melainkan dibutuhkan
juga pengendalian batasan (boundary control), pengendalian proses (process
control), dan pengendalian komunikasi aplikasi (application communication
control).
Salah satu
standar penting dan efektif untuk diterapkan adalah COBIT atau Control
Objectives for Information and Related Technology. COBIT dikeluarkan oleh
organisasi bernama ISACA pada tahun 1992 dan merupakan standar yang
berorientasi pada proses, berfokus pada sasaran bisnis dan merupakan alat
manajerial dan teknikal untuk unit TI.
Penggunaan
bantuan dan metode COBIT, memberi manfaat untuk perusahaan yang dapat membantu
untuk menciptakan Good Corporate Governance di dalam suatu perusahaan serta
membantu auditor, manajemen dan pengguna (user) untuk menjembatani GAP antara
risiko bisnis, kebutuhan kontrol (internal, application and access control),
security dan permasalahan- permasalahan teknis melalui pengendalian terhadap
masing-masing dari proses IT, serta meningkatkan tingkatan kemapanan proses
dalam IT dan memenuhi ekspektasi bisnis dari TI.
COBIT
merupakan sekumpulan dokumentasi dan panduan yang mengarahkan pada IT
Governance dan Management yang dapat membantu auditor, manajemen, dan pengguna
(user) untuk menjembatani pemisah antara risiko bisnis, kebutuhan kontrol, dan
permasalahan- permasalahan teknis yang terjadi. COBIT dibagi dalam 4 domain
utama yaitu:
-
Plan and Organise (PO) - Mengarahkan perusahaan dalam penyampaian
solusi (AI) sampai kepada penyampaian pelayanan (DS)
-
Acquire and Implement (AI) - Memberikan solusi dan merubahnya
menjadi suatu layanan
-
Deliver and Support (DS) - Menerima solusi dan mengubahnya agar
dapat digunakan untuk penggunaan akhir
-
Monitor and Evaluate (ME) - Memantau seluruh proses untuk memastikan
bahwa arah yang diberikan telah sesuai dijalankan.
Untuk lebih memperjelas dan lebih mempermudah
pengamatan, COBIT 4.1 memecah 4 domain tersebut menjadi 34 pokok pembahasan.
Tabel 1. Daftar Proses TI COBIT
Pada COBIT 4.1
pengendalian internal untuk menilai kinerja dapat menggunakan maturity model.
Maturity model merupakan dasar pengaturan dan pengontrolan untuk departemen TI
pada suatu perusahaan. Maturity model dibuat untuk menilai kinerja proses TI
yang dapat dijadikan landasan perusahaan dalam rangka perbaikan kinerja.
Pengukuran ini dibagi menjadi 6 level yaitu Non-Existent (0), Initial/ad hoc
(1), Repeatable but Intuitive (2), Defined (3), Managed and Measurable (4), dan
Optimized (5). Penilaian atas audit dengan menggunakan pengukuran maturity
model dibagi sesuai dengan domain COBIT. Penghitungan hasil tingkat kematangan
tiap- tiap domain dilakukan dengan penghitungan nilai yang paling sering muncul
(modus) pada masing- masing proses TI.
Pengimplementasian
proses TI Plan and Organise pada tingkat kematangan 4 - Managed and measurable,
yaitu sebanyak 5 proses TI. Perusahaan mendapat 3 proses TI dengan tingkat
kematangan 5 - Optimised, sedangkan 2 proses TI yang lain berada pada tingkat
kematangan dibawah 3 - Defined Process.
Pengimplementasian
proses TI Acquire and Implement pada tingkat kematangan 5 - Optimised, yaitu
sebanyak 4 proses TI. Perusahaan mendapat 3 proses TI yang lain berada pada
tingkat kematangan 4 - Managed and measurable. Pengimplementasian proses TI
Deliver and Support pada tingkat kematangan 4 - Managed and measurable, yaitu
sebanyak 6 proses TI. Perusahaan mendapat 5 proses TI dengan tingkat kematangan
5 - Optimised, dan 2 proses TI dengan tingkat kematangan 3 - Defined Process.
Pengimplementasian proses TI Monitor and Evaluate pada tingkat kematangan 4 -
Managed and measurable, yaitu sebanyak 3 proses TI. Perusahaan mendapat 1
proses TI dengan tingkat kematangan 3 -
Defined
Process.
Penerapan
proses TI Plan and Organise di departemen TI pada PT Erajaya Swasembada, Tbk
dilakukan dengan membuat perencanaan strategi TI, membuat tata kelola beserta
anggaran yang akan dikeluarkan, merumuskan IT Goals yang selaras dengan
Business Goals, memiliki arsitektur yang jelas dalam mendokumentasikan tanggung
jawab tiap-tiap bagian, bagian TI memiliki tanggung jawab penuh dalam pengadaan
infrastruktur TI, memberikan pelatihan bagi para personil perusahaan, serta
terintegrasinya informasi perusahaan. Pengimplementasian proses TI Plan and
Organise pada tingkat kematangan Managed and measurable (Level 4).
Penerapan
proses TI Acquire and Implement di departemen TI pada PT Erajaya Swasembada,
Tbk dilakukan dengan merumuskan kebutuhan sistem bagi pengguna, bertanggung
jawab menentukan kriteria pemilihan vendor, pemeliharaan infrastruktur TI,
serta merumuskan materi pelatihan sistem aplikasi. Pengimplementasian proses TI
Acquire and Implement pada tingkat kematangan Optimised (Level 5).
Penerapan
proses TI Deliver and Support di departemen TI pada PT Erajaya Swasembada, Tbk
dilakukan dengan memastikan keselarasan IT Goals dan Business Goals, memiliki
kontrak dengan pihak ketiga, pengontrolan kinerja sistem, mengontrol dan
mengevaluasi pembiayaan, memiliki program pelatihan, sistem yang telah bersifat
preventif, adanya pengaturan kerahasiaan data, dan kontrol yang ketat dalam
pengaksesan informasi. Pengimplementasian proses TI Deliver and Support pada
tingkat kematangan Managed and measurable (Level 4).
Penerapan
proses TI Monitor and Evaluate di departemen TI pada PT Erajaya Swasembada, Tbk
dilakukan dengan memonitor informasi operasional pada aplikasi, sistem, dan
proses, dokumentasi pengontrolan dan evaluasi, kepatuhan terhadap peraturan dan kontrak, serta kejelasan pembagian tanggung jawab dan kepemilikan tugas. Pengimplementasian proses TI Monitor
and Evaluate pada tingkat kematangan Managed and measurable (Level 4).
DAFTAR
PUSTAKA:
Ardiansyah,
Muhamad. “Penjelasan COSO & COBIT”. 17 April 2016.
https://www.slideshare.net/MuhamadArdiansyah1/penjelasan-coso-cobit
Fitriyanti.
“Pengertian Enterprise Risk Management”.
http://pengertianmanage-ment.blogspot.co.id/2014/08/pengertian-enterprise-risk-management.html
Al-Mubarok.
“Definisi Enterprise Risk Management”.
http://akukenalkomputer.blogspot.co.id/2015/05/definisi-enterprise-risk-management.html
Harry
Andrian Simbolon, SE., M.Ak., QIA,
https://akuntansiterapan.com/2010/06/16/enterprise-risk-management/ (16 Juni
2010)
https://haendra.wordpress.com/pengertian-cobit/(08
Juni 2012)
Habsoro,
A. (2009). Aplikasi Tata Kelola dan Audit Informasi Menggunakan. EEPIS
Repository , Vol 1, 10.
Comments
Post a Comment