MODEL KERANGKA PENGENDALIAN: COBIT, COSO DAN ERM


MODEL KERANGKA PENGENDALIAN: COBIT, COSO DAN ERM
Oleh: Martina Melissa L. (55517120041)
Dosen: Prof. Dr. Hapzi Ali, CMA

1.   COSO
COSO merupakan singkatan dari Comittee of Sponsoring Organization of treadway Commision, yaitu suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. COSO merupakan model pengendalian internal yang banyak digunakan oleh auditor sebagai dasar untuk mengevaluasi dan mengembangkan pengendalian internal. Struktur pengendalian internal COSO dikenal sebagai kerangka kerja pengendalian internal yang terintegrasi dan memiliki lima komponen yang saling berhubungan. Komponen ini didapat dari cara manajemen dalam menjalankan bisnisnya dan terintegrasi dengan proses manajemen. Komponen pengendalian COSO antara lain meliputi:
a.    Lingkungan Pengendalian Tindakan atau kebijakan manajemen yang mencerminkan sikap manajemen puncak secara keseluruhan dalam pengendalian manajemen.
b.    Penilaian Risiko Tindakan manajemen untuk mengidentifikasi dan menganalisis risiko-risiko yang relevan dalam penyusunan laporan keuangan dan perusahaan secara umum.
c.     Aktivitas Pengendalian Kebijakan dan prosedur, selain yang sudah termasuk dalam empat komponen lainnya, yang membantu memastikan bahwa tindakan yang diperlukan telah diambil untuk menangani risiko guna mencapai tujuan entitas.
d.    Informasi dan Komunikasi Tindakan untuk mencatat, memproses dan melaporkan transaksi yang sesuai untuk menjaga akuntabilitas.
e.    Pemantauan Penilaian terhadap mutu pengendalian internal secara berkelanjutan maupun periodik untuk memastikan pengendalian internal telah berjalan dan telah dilakukan penyesuaian yang diperlukan sesuai kondisi yang ada.
Tujuan pada setiap komponen COSO adalah:
a.    Lingkungan pengendalian menyediakan arahan bagi organisasi dan mempengaruhi
b.    kesadaran pengendalian dari pihak-pihak yang ada dalam organisasi tersebut.
c.     Dalam penaksiran risiko untuk mencapai tujuan yaitu membentuk suatu dasar untuk
d.    menentukan bagaimana risiko harus dikelola.
e.    Aktivitas pengendalian untuk menjamin bahwa arahan manajemen dilaksanakan dan
f.      membantu memastikan bahwa tindakan yang diperlukan untuk menanggulangi risiko
g.    dalam pencapaian tujuan entitas.
h.    Perlunya untuk mengakses informasi dari dalam dan luar, mengembangkan strategi yang
i.      potensial dan sistem terintegrasi, serta perlunya data yang berkualitas. Sedangkan
j.      komunikasi berfokus kepada menyampaikan permasalahan pengendalian intern, dan
k.    mengumpulkan informasi pesaing.
l.      Pemantauan menentukan kualitas kinerja pengendalian intern sepanjang waktu, metode
m.  yang digunakan oleh entitas untuk mengirimkan, mengolah, memelihara, dan mengakses
n.    informasi, serta penerapan persyaratan hukum dan peraturan.

Fokus utama COSO adalah:
a.    Fokus pengguna utama adalah manajemen.
b.    Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.
c.     Tujuan yang ingin dicapai adalah pengoperasian sistem yang efektif dan efisien serta
d.    pelaporan laporan keuangan yang andal.
e.    Komponen yang dituju adalah pengendalian atas lingkungan, manajemen risiko,
f.      pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.
g.    Pertanggungjawaban atas sistem pengendalian ditujukan kepada manajemen.

2.   COBIT
COBIT merupakan singkatan dari Control Objective for Information and Related Technology, adalah sebuah kerangka kerja yang dibuat oleh ISACA untuk Information Technology management dan Information Technology governance. COBIT adalah alat pendukung yang digunakan oleh manajer untuk menjembatani kesenjangan antara persyaratan kontrol, masalah teknis, dan risiko bisnis. COBIT dibuat untuk 3 pengguna yang antara lain yaitu manajer, user, dan auditor. COBIT memiliki beberapa komponen yang antara lain meliputi:
a.         Executive summary
b.        Framework
c.         Control objective
d.        Audit guidelines
e.         Management guidelines
f.          Control practices

Tujuan pada setiap komponen COBIT adalah:
a.    Planning and Organization
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda.
b.    Acquisition and Implementation
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini.

c.     Delivery and Support
Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, serta proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.

d.    Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber alternatif lainnya.

3.   ERM
Pengertian Enterprise Risk Management (ERM) adalah “suatu proses yang dipengaruhi oleh board of director, dan personel lain dari suatu organisasi, diterapkan dalam setting strategi, dan mencakup organisasi secara keseluruhan, didesain untuk mengidentifikasi kejadian potensial yang mempengaruhi suatu organisasi, untuk memberikan jaminan yang cukup pantas berkaitan dengan pencapaian tujuan organisasi” (COSO ERP, 2004).
Enterprise Risk Management (ERM) adalah “suatu proses yang dipengaruhi oleh board of director, dan personel lain dari suatu organisasi, diterapkan dalam setting strategi, dan mencakup organisasi secara keseluruhan, didesain untuk mengidentifikasi kejadian potensial yang mempengaruhi suatu organisasi, untuk memberikan jaminan yang cukup pantas berkaitan dengan pencapaian tujuan organisasi” (COSO ERP, 2004).
Delapan komponen ERM :
1.    Lingkungan Internal (INTERNAL ENVIRONMENT
Komponen ini meliputi sikap manajemen di semua tingkatan terhadap operasi secara umum dan konsep kontrol secara khusus. Hal ini mencakup: etika, kompetensi, serta integritas dan kepentingan terhadap kesejahteraan organisasi.
2.    Penetapan Tujuan(OBJECTIVE SETTING)
Tujuan ditetapkan pada tingkat strategis yang menjadi dasar untuk penetapan tujuan operasional. Pelaporan, dan ketaatan. Setiap organisasi menghadapi berbagai risiko baik yang bersumber dari internal maupun eksternal. Penetapan tujuan merupakan langkah awal untuk nantinya dapat mengidentifikasi kejadian, menilai risiko, dan menentukan respon terhadap risiko.
3.    Identifikasi Kejadian(EVENT IDENTIFICATION)
Manajemen mengidentifikasi kejadian potensial yang dapat mempengaruhi organisasi dalam mencapai tujuannya dan juga memastikan apakah kejadian yang mempengaruhi kegiatan organisasi dalam mencapai tujuannya, juga membuka peluang bagi organisasi untuk menerapkan strategi yang lebih baik dalam upaya untuk mencapai tujuan organisasi.
4.    Penilaian Risiko(RISK ASSESSMENT)
Penilaian risiko memungkinkan setiap organisasi untuk mempertimbangkan luasnya kejadian yang dapat mempengaruhi pencapaian tujuan organisasi.
5.    Respon terhadap Risiko (risk response)
Setelah risiko dinilai, manajemen menentukan bagaimana risiko direspon, yaitu bagaimana tindakan-tindakan dilakukan untuk mengelola risiko yang terjadi atau berpotensi akan terjadi.
6.    Aktivitas Pengendalian(CONTROL ACTIVITIES)
Merupakan kebijakan dan prosedur yang membantu memastikan bahwa risk response yang dipilih dilaksanakan dengan memadai.
7.    Informasi dan Komunikasi(INFORMATION & COMMUNICATION)
Informasi diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan kerangka waktu yang tepat dan sesuai sehingga memungkinkan setiap orang untuk dapat melaksanakan tugas dan tanggung jawab yang dibebankan kepadanya.
8.    Monitoring(MONITORING)
Penerapan manajemen risiko (ERM) dimonitor atau dipantau terus dalam rangka untuk memastikan keberadaannya dan apakah komponen-komponennya berfungsi dengan memadai setiap saat.

AUDIT SISTEM INFORMASI MENGGUNAKAN COBIT 4.1 PADA PT. ERAJAYA SWASEMBADA, TBK.
Pengetahuan dan teknologi, terjadi perpaduan antar dua bidang ilmu, khususnya pada bidang teknologi sistem informasi dan bidang akuntansi dengan spesifikasi audit sehingga menghasilkan bidang ilmu baru yaitu audit sistem informasi. Meskipun bidang ilmu ini baru muncul ke permukaan, tetapi sepak terjangnya sangat dibutuhkan. Perusahaan-perusahaan besar sangat membutuhkan peranan audit sistem informasi untuk memeriksa kehandalan dari sistem komputerisasi yang mereka gunakan dalam pengerjaan operasional perusahaan.
Dunia bisnis pada masa sekarang sangat mengandalkan teknologi informasi dan komunikasi untuk menjalankan proses bisnisnya. Oleh karena itu, adalah suatu hal yang penting bagi dunia bisnis untuk memahami dan mengerti aspek teknologi informasi dan komunikasi untuk dapat menerapkannya baik secara manajerial maupun teknikal pada proses bisnis dan kegiatan ekspansinya.
Pritoritas utama diberikan terhadap suatu mekanisme kontrol atau pengendalian, baik intern maupun ekstern, untuk memastikan bahwa laporan dan keputusan yang diterima dan dihasilkan oleh manajemen merupakan suatu pengambilan keputusan yang jujur dan mempunyai integritas tinggi berdasarkan hasil proses audit yang dilakukan terhadap sistem berbasis teknologi informasi dan komunikasi organisasi bisnis yang bersangkutan.
Adapun tujuan yang diinginkan dari audit sistem informasi ini adalah untuk menciptakan Good Corporate Governance di dalam suatu perusahaan Pengendalian internal masa depan, tidak hanya cukup dengan pengendalian umum (general controls) dan pengendalian aplikasi dan formulir (application controls), melainkan dibutuhkan juga pengendalian batasan (boundary control), pengendalian proses (process control), dan pengendalian komunikasi aplikasi (application communication control).
Salah satu standar penting dan efektif untuk diterapkan adalah COBIT atau Control Objectives for Information and Related Technology. COBIT dikeluarkan oleh organisasi bernama ISACA pada tahun 1992 dan merupakan standar yang berorientasi pada proses, berfokus pada sasaran bisnis dan merupakan alat manajerial dan teknikal untuk unit TI.
Penggunaan bantuan dan metode COBIT, memberi manfaat untuk perusahaan yang dapat membantu untuk menciptakan Good Corporate Governance di dalam suatu perusahaan serta membantu auditor, manajemen dan pengguna (user) untuk menjembatani GAP antara risiko bisnis, kebutuhan kontrol (internal, application and access control), security dan permasalahan- permasalahan teknis melalui pengendalian terhadap masing-masing dari proses IT, serta meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari TI.
COBIT merupakan sekumpulan dokumentasi dan panduan yang mengarahkan pada IT Governance dan Management yang dapat membantu auditor, manajemen, dan pengguna (user) untuk menjembatani pemisah antara risiko bisnis, kebutuhan kontrol, dan permasalahan- permasalahan teknis yang terjadi. COBIT dibagi dalam 4 domain utama yaitu:
-       Plan and Organise (PO) - Mengarahkan perusahaan dalam penyampaian solusi (AI) sampai kepada penyampaian pelayanan (DS)
-       Acquire and Implement (AI) - Memberikan solusi dan merubahnya menjadi suatu layanan
-       Deliver and Support (DS) - Menerima solusi dan mengubahnya agar dapat digunakan untuk penggunaan akhir
-       Monitor and Evaluate (ME) - Memantau seluruh proses untuk memastikan bahwa arah yang diberikan telah sesuai dijalankan.










Untuk lebih memperjelas dan lebih mempermudah pengamatan, COBIT 4.1 memecah 4 domain tersebut menjadi 34 pokok pembahasan.


Tabel 1. Daftar Proses TI COBIT















Pada COBIT 4.1 pengendalian internal untuk menilai kinerja dapat menggunakan maturity model. Maturity model merupakan dasar pengaturan dan pengontrolan untuk departemen TI pada suatu perusahaan. Maturity model dibuat untuk menilai kinerja proses TI yang dapat dijadikan landasan perusahaan dalam rangka perbaikan kinerja. Pengukuran ini dibagi menjadi 6 level yaitu Non-Existent (0), Initial/ad hoc (1), Repeatable but Intuitive (2), Defined (3), Managed and Measurable (4), dan Optimized (5). Penilaian atas audit dengan menggunakan pengukuran maturity model dibagi sesuai dengan domain COBIT. Penghitungan hasil tingkat kematangan tiap- tiap domain dilakukan dengan penghitungan nilai yang paling sering muncul (modus) pada masing- masing proses TI.
Pengimplementasian proses TI Plan and Organise pada tingkat kematangan 4 - Managed and measurable, yaitu sebanyak 5 proses TI. Perusahaan mendapat 3 proses TI dengan tingkat kematangan 5 - Optimised, sedangkan 2 proses TI yang lain berada pada tingkat kematangan dibawah 3 - Defined Process.
Pengimplementasian proses TI Acquire and Implement pada tingkat kematangan 5 - Optimised, yaitu sebanyak 4 proses TI. Perusahaan mendapat 3 proses TI yang lain berada pada tingkat kematangan 4 - Managed and measurable. Pengimplementasian proses TI Deliver and Support pada tingkat kematangan 4 - Managed and measurable, yaitu sebanyak 6 proses TI. Perusahaan mendapat 5 proses TI dengan tingkat kematangan 5 - Optimised, dan 2 proses TI dengan tingkat kematangan 3 - Defined Process. Pengimplementasian proses TI Monitor and Evaluate pada tingkat kematangan 4 - Managed and measurable, yaitu sebanyak 3 proses TI. Perusahaan mendapat 1 proses TI dengan tingkat kematangan 3 -

Defined Process.
Penerapan proses TI Plan and Organise di departemen TI pada PT Erajaya Swasembada, Tbk dilakukan dengan membuat perencanaan strategi TI, membuat tata kelola beserta anggaran yang akan dikeluarkan, merumuskan IT Goals yang selaras dengan Business Goals, memiliki arsitektur yang jelas dalam mendokumentasikan tanggung jawab tiap-tiap bagian, bagian TI memiliki tanggung jawab penuh dalam pengadaan infrastruktur TI, memberikan pelatihan bagi para personil perusahaan, serta terintegrasinya informasi perusahaan. Pengimplementasian proses TI Plan and Organise pada tingkat kematangan Managed and measurable (Level 4).
Penerapan proses TI Acquire and Implement di departemen TI pada PT Erajaya Swasembada, Tbk dilakukan dengan merumuskan kebutuhan sistem bagi pengguna, bertanggung jawab menentukan kriteria pemilihan vendor, pemeliharaan infrastruktur TI, serta merumuskan materi pelatihan sistem aplikasi. Pengimplementasian proses TI Acquire and Implement pada tingkat kematangan Optimised (Level 5).
Penerapan proses TI Deliver and Support di departemen TI pada PT Erajaya Swasembada, Tbk dilakukan dengan memastikan keselarasan IT Goals dan Business Goals, memiliki kontrak dengan pihak ketiga, pengontrolan kinerja sistem, mengontrol dan mengevaluasi pembiayaan, memiliki program pelatihan, sistem yang telah bersifat preventif, adanya pengaturan kerahasiaan data, dan kontrol yang ketat dalam pengaksesan informasi. Pengimplementasian proses TI Deliver and Support pada tingkat kematangan Managed and measurable (Level 4).
Penerapan proses TI Monitor and Evaluate di departemen TI pada PT Erajaya Swasembada, Tbk dilakukan dengan memonitor informasi operasional pada aplikasi, sistem, dan proses, dokumentasi pengontrolan dan evaluasi, kepatuhan terhadap peraturan       dan      kontrak,          serta   kejelasan            pembagian     tanggung jawab dan kepemilikan   tugas. Pengimplementasian proses TI Monitor and Evaluate pada tingkat kematangan Managed and measurable (Level 4).

DAFTAR PUSTAKA:

Ardiansyah, Muhamad. “Penjelasan COSO & COBIT”. 17 April 2016. https://www.slideshare.net/MuhamadArdiansyah1/penjelasan-coso-cobit

Fitriyanti. “Pengertian Enterprise Risk Management”. http://pengertianmanage-ment.blogspot.co.id/2014/08/pengertian-enterprise-risk-management.html

Al-Mubarok. “Definisi Enterprise Risk Management”. http://akukenalkomputer.blogspot.co.id/2015/05/definisi-enterprise-risk-management.html
Harry Andrian Simbolon, SE., M.Ak., QIA, https://akuntansiterapan.com/2010/06/16/enterprise-risk-management/ (16 Juni 2010)
https://haendra.wordpress.com/pengertian-cobit/(08 Juni 2012)
Habsoro, A. (2009). Aplikasi Tata Kelola dan Audit Informasi Menggunakan. EEPIS Repository , Vol 1, 10.
http://ghinaaulias.blogspot.co.id/2014/11/pengertian-coso.html











Comments

Post a Comment

Popular posts from this blog

PENGENDALIAN INTERNAL & UNSUR-UNSUR PENGENDALIAN INTERNAL COSO

PENGENDALIAN INTERNAL & UNSUR-UNSUR PENGENDALIAN INTERNAL COSO Oleh: Martina Melissa L. (55517120041) Dosen: Prof. Dr. Hapzi Ali, CMA A.    Pengertian Pengendalian Internal Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang dirancang untuk memberikan manajemen kepastian yang layak bahwa perusahaan telah mencapai tujuan dan sasarannya. Kebijakan dan prosedur tersebut sering kali disebut sebagai pengendalian, dan secara kolektif akan membentuk suatu pengendalian internal B.    Tujuan Pengendalian Internal Manajemen memiliki tiga tujuan umum dalam merancang system pengendalian internal yang efektif: 1.     Reliabilitas pelaporan keuangan 2.     Manajemen bertanggung jawab untuk menyiapkan laporan bagi para investor, kreditor, dan pemakai lainnya. 3.     Efisiensi dan efektifitas operasi 4.     Pengendalian dalam perusahaan akan mendorong pemakaian sumber daya secara efisien dan efektif untuk mengoptimalkan sasaran-sasaran perusahaan.
Read more

KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SYSTEM

KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SYSTEM Oleh: Martina Melissa L. (55517120041) Dosen: Prof. Dr. Hapzi Ali, CMA Perkembangan teknologi informasi pada abad ke 21 ini telah memberikan kepraktisan bagi masyarakat modern untuk melakukan berbagai kegiatan komunikasi secara elektronik salah satunya dalam bidang seperti perdagangan pendidikan dan perbankan.   Kegiatan berbisnis secara elektronik ini dikenal dengan nama e-commerce. Dengan teknologi informasi khususnya dengan jaringan computer yang luas seperti internet. Barang dan jasa dapat dipromosikan secara luas dalam skala global. Kepada calon konsumen pun diberikan kemudahan-kemudahan yang memungkinkan mereka mengakses dan membeli produk dan jasa yang dimaksud secara praktis. Misalnya pelayanan kartu kredit. Perkembangan ini rupanya membawa serta dampak negative dalam hal keamanan. Praktek-praktek kejahatan dalam jaringan computer
Read more