Model rerangka pengendalian: COBIT, COSO dan ERM

Kartika Khairunisa

55518110035

Dosen Pengampu :

Prof. Dr. Ir, Hapzi Ali, MM, CMA

Magister Akuntansi

Universitas Mercu Buana

Jakarta

2018

COBIT kepanjangan dari Control Objective for Information and Related Technology merupakan panduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA para tahun 1992. COBIT 5 merupakan verse paling baru.

COBIT mempunyai empat cakupan domain yaitu:

- perencanaan dan organisasi

- pengadaan dan dukungan

- pengantaran dan dukungan

- pengawasan dan evaluasi

Tujuan utama COBIT adalah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola risiko-risiko yang berhubungan dengan IT.

Untuk mencapai keselarasan dari best practices terhadap kebutuhan bisnis, sangat disarankan supaya menggunakan COBIT pada highest level, menyediakan control framework berdasarkan model proses teknologi informasi yang seharusnya cocok.

COBIT framework

Kerangka kerja COBIT terdiri dari beberapa guidelines yaitu:

a. Control Objectives

Terdiri atas empat tujuan pengendalian tingkat tinggi yang tercermin dalam 4 domain yaitu : planning & organization, acquisition & implementation, delivery & support, dan monitoring.

b. Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendali rinci untuk membantu para auditor dalam memberikan management assurance atau saran perbaikan.

c. Management Guidelines

Berisi arahan baik secara umum maupun spesifik mengenai apa såja yang mesti dilakukan, seperti: apa saja indikator untuk suatu kinerja yang bagus, apa saja resiko yang timbul, dan lain-lain.

d. Maturity Models

Untuk memetakan status maturity proses-proses IT (dalam skala 0-5).

COBIT CUBE

Kerangka kerja cobit menjelaskan bagaimana proses teknologi informasi menyampaikan informasi bahwa kebutuhan bisnis mencapai tujuannya, cobit menyediakan tiga komponen masing-masing membentuk dimensi kubus COBIT.

2. COSO adalah kepanjangan dari Committee of Sponsoring Organization of The Treadway Commission pada tahun 1992 mengeluarkan definisi tentang pengendalian internal. COSO adalah suatu inisiatif dari sektor swasta yang di bentuk pada tahun 1985. Misi utama coso adalah memperbaiki atau meningkatkan kualitas laporan keuangan  entitas melalui etika bisnis, pengendalian internal yang efektif dan cooperate governance. Sektor swasta ini yang membentuk The Treadway Commission. Komisi ini disponsori oleh lima professional association yaitu:

-AICPA (The American Institute of Certified Public Accountants)

-AAA ( The American Accounting Association)

-FEI (Financial Executives International)

-IIA ( The Institute of Internal Auditors)

-IMA ( The Institute of Management Accountants)

Komisi ini mengeluarkan report pertamanya pada tahun 1987 yang isinya merekomendasikan report komprehensif tentang internal control. Kemudian pada tahun 1992, Cooper & Lybrand mengeluarkan report itu pada tahun 1994 dengan judul Internal Control - Integrated Framework.

Menurut COSO framework, internal control terdiri dari lima komponen yang saling terkait yaitu:

1. Lingkungan pengendalian

Merupakan tanggung jawab manajemen puncak untuk menyatakan dengan jelas nilai integritas dan kegiatan tidak etis yang tidak dapat ditoleransi.

2. Penaksiran Resiko

Perusahaan harus mengidentifikasi dan menganalisis faktor yang menciptakan resiko bisnis dan harus menentukan bagaimana cara mengelola risiko tersebut.

3. Kegiatan Penendalian

Tujuannya untuk mengurangi terjadinya kecurangan dengan cara manajemen harus merancang kebijakan dan prosedur untuk mengidentifikasi resiko tersebut yang dihadapi perusahaan.

4. Informasi dan Komunikasi

Sistem pengendalian internal harus dikomunikasikan dan informasikan kepada seluruh karyawan perusahaan dari atas sampai bawah.

5. Pemantauan

Sistem pengendalian internal harus dipantau secara berkala. Jika terjadi sesuatu kekurangan yang signifikan harus secepatnya dilaporkan kepada manajemen puncak dan ke dewan komisaris.

Persamaan COSO dan COBIT

a. Seluruh tujuan dari framework COSO dan COBIT adalah pengendalian serta pengawasan atas proses dan lingkungan

b. Pertanggungjawaban atas sistem pengendalian ditujukan kepada manajemen

c. Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku.

Perbedaan COSO dan COBIT

Indikator:

Fokus pengguna utama 

- COSO : manajemen

- COBIT : manajemen, operator, auditor sistem informasi

Sudut pandang atas internal control

- COSO : kesatuan beberapa proses secara umum

- COBIT : kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi

Tujuan dalam internal control

- COSO : pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang andal serta kesesuaian dengan peraturan yang berlaku.

- COBIT : pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang andal disesuaikan dengan peraturan yang berlaku.

Komponen yang dituju

- COSO : pengendalian atas lingkungan, manajemen risiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.

- COBIT : perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian.

Fokus pengendalian

- COSO : keseluruhan entitas

- COBIT: sisi teknologi informasi

Evaluasi atas internal control

- COSO - ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu

- COBIT - ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan

3. ERM kepanjangan dari Enterprise Risk Management merupakan proses yang melibatkan keseluruhan entitas mulai dari dewan direksi, manajemen dan pejabat lainnyaa, yang diterapkan ke dalam penyusunan strategi dan melingkupi keseluruhan perusahaan, yang didesain untuk mengidentifikasi kejadian yang berakibat pada suatu entitas dan mengelola resiko pada tingkat resiko yang dikehendaki untuk menyediakan penjaminan yang wajar dalam rangka mencapai tujuan dari entitas.

Konsep dasar ERM yaitu:

- sebuah proses yang berjalan dan mengalir melalui entitas

- dipengaruhi oleh manusia disetiap tingkatan organisasi

- dijalankan pada saat penetapan strategi

- berlaku keseluruh perusahaan, pada tiap tingkatan dan unit, termasuk menetapkan cara pandang resiko pada portofolio pada suatu tingkatan entitas

- dirancang untuk mengidentifikasi peristiwa yang berpotensi mempunyai dampak terhadap entitas dan mengelola risiko dalam batas jangkauan resiko itu sendiri

- dapat memberikan jaminan yang masuk akal kapad entitas dan dewan perusahaan

- mendorong untuk mencapai tujuan

Komponen dari ERM terdiri atas tujuh kunci utama yaitu: Corporate Governance, Line Management, Portofolio Management, Risk Transfer, Risk Analytics, Data and Technology Resources dan Stakeholders Management.

Tujuan dan Komponen ERM  

Tujuannya terbagi menjadi empat kategori yaitu:

- Strategic - tujuan yang ditetapkan pada tingkat manajemen atas, disatukan dan dibuat untuk mendukung misi dari perusahaan.

- Operations - penggunaan sumber daya secara efektif dan efisien

- Reporting - pelaporan yang dapat dipercaya

- Compliance - patuh dengan hukum dan peraturan yang berlaku

Komponennya terbagi menjadi delapan yaitu:

- Internal Environment - memperlihatkan penekanan dari organisasi dan penetapan dasar terhadap bagaimana resiko dipandang dan ditetapkan oleh suatu entitas

- Objective Setting - ERM memastikan manajemen telah berada pada proses yang tepat ketika menetapkan tujuan dan memilih hal-hal yang dapat mendukung tujuan tersebut.

- Event Identification - kejadian internal dan eksternal yang berdampak pada pencapaian tujuan dari entitas harus diindentifikasi dan harus dibedakan antara resiko dan kesempatan.

- Risk Assessment - resiko dianalisa dengan mempertimbangkan kemungkinan dan dampak sebagai dasar untuk menetapkan bagaimana hal tersebut dapat dikelola. 

- Risk Response - manajemen menyeleksi respon dari resiko, menghindari, menerima, mengurangi atau membagi resiko, menetapkan tindakan-tindakan untuk menyelaraskan resiko dengan toleransi resiko dari entitas dan batas resiko.

- Control Activities - prosedur dan peraturan yang ada diimplementasikan untuk menolong memastikan respon dari resiko berjalan secara efektif.

- Information dan Commutation - informasi yang relevan diindentifikasi, ditangkap dan dikomunikasikan secara formal dan sesuai dengan waktu yang telah ditetapkan sehingga mebuat orang dapat mengetahui tanggung jawab mereka.

- Monitoring - keseluruhan dari ERM dimonitor dan dimodifikasi oleh manajemen sesuai dengan kebutuhan.

Implementasi COBIT perlu diterapkan dalam pengelolaan perusahaan agar penggunaan TI sesuai dengan kebutuhan perusahaan dan menghasilkan kinerja yang efisien dan efektif serta mencegah adanya risiko terhadap penggunaan TI. PT K adalah perusahaan yang bergerak dalam bidang jasa transportasi. Berikut ini adalah gambaran metode COBIT dillhat dari langkah pertama yaitu:

Perencanaan dan organisasi

Mendefinisikan rencana strategis TI - Mendefinisikan arkitektur informasi - Menentukan arahan teknologi, Mendefinisikan proses TI - organisasi dan keterhubungannya -  Mengelola invests TI - Mengkomunikasikan tujuan dan arahan manajemen - Mengelola sumber daya TI - Mengelola kualitas - Menaksir dan mengelola risiko TI - Mengelola proyek.

Akuisisi dan implementasi

Mengidentifikasi solusi otomatis - Memperoleh dan memelihara software aplikasi - Memperoleh dan memelihara infrastruktur teknologi - Memungkinkan operational dan penggunaan - Memenuhi sumber daya TI - Mengelola Perubahan - Instalasi dan akreditasi solusi beserta perubahannya

Pelaksanaan dan Dukungan

Mengidentifikasi dan mengelola tingkat layanan - Mengelola layanan pihak ketiga - Mengelola kinerja dan kapasitas - Memastikan layanan yang berkelanjutan - Memastikan keamanan sistem - Mengidentifikasi dan mengalokasikan biaya - Mendidik dan melatih pengguna - Mengelola service desk - Mengelola konfigurasi - Mengelola permasalahan - Mengelola data - Mengelola lingkungan fisik - Mengelola operasi

Pemantauan dan Evaluasi

Mengawasi dan mengevaluasi kinderja TI - Mengawasi dan mengevaluasi kontrol internal - Memastikan pemenuhan terhadap kebutuhan eksternal - Menyediakan tata kelola TI

Implementasi COSO pengendalian internal sudah digunakan banyak perusahaan. Contohnya PT K perusahan yang bergerak dalam bidang jasa transportasi sistem pengendalian COSOnya meliputi:

a. Lingkungan pengendalian

Pimpinan PT K dan seluruh pegawai harus menciptakan dan memelihara lingkungan dalam keseluruhan organisasi yang menimbulkan perilaku positif dan mendukung pengendalian internal dan manajemen yang seat.

b. Penilaian risiko

Pengendalian internal pada PT K memberikan penilaian atas risiko yang dihadapi unit organisasi baik dari luar maupun dari dalam.

c. Aktivitas pengendalian

Kegiatan pengendalian membantu memastikan bahwa arahan pimpinan PT K dilaksanakan. Kegiatan pengendalian harus efisien dan efektif dengan menetapkan kebijakan-kebijakan dan prosedur dalam pencapaian tujuan PT K.

d. Informasi dan komunikasi

Infomasi dicatat dan dilaporkan kepada pimpinan PT K dan pihak lain yang ditentukan. Informasi disajikan dalam bentuk dan sarana tertentu dengan tepat waktu sehingga pimpinan PT K melaksanakan tugasnya untuk mengambil suatu keputusan.

e. Pemantauan

PT S melakukan pemantauan dengan cara menilai kualitas kinerja dari waktu ke waktu dan apabila ada sesuatu kesalahan dapat diperbaiki.

Implementasi ERM 

ERM bertujuan agar risiko yang mungkin terjadi di masa datang dapat diantisipasi saat pengambilan keputusan agar kemungkinan terjadinya diperkecil, sehingga tujuan dari keputusan yang diambil bisa diraih.

Implementasi ERM harus mendukung pencapaian objektif perusahaan yang dikelompokkan dalam konteks:

- Strategic : high-level goal dan keseluruhan strategi perusahaan

- Operations : efisiensi dan efektivitas pengunaan sumber daya dan sistem pengamanannya.

- Reporting : menjamin akurasi dan reliabilitas pelaporan

- Compliance : menjamin kepatuhan terhadap seluruh regulasi dan hukum yang berlaku

COSO ERM Framework memiliki 8 komponen proses generik yang saling berhubungan

ERM harus meliputi aktivitas di seluruh level organisasi (Entity, Division, Business Unit & Subsidiary)

PT Telkom adalah perusahaan informasi dan komunikasi BUMN yang berstatus perseroan terbuka serta penyedia jasa dan jaringan telekominikasi secara lengkap yang terbesar di Indonesia. Pengelolaan risiko telkom didasarkan pada pengelolaan risiko COSO ERM Framework, yang sesuai dengan pengawasan internal yang telah diterapkan telkom. Analisis ditujukan untuk mengidentifikasi dan menilai besarnya dampak dan kemungkinan dari risiko-risiko operasional yang terjadi di telkom. 

Aspek struktural Telkom

- membangun komitmen, tone at the top

- meletakkan pondasi manajemen risiko dalam kerangka GCG

- membentuk departmen CRMGA (fasilitator implementasi ERM)

- pengembangan kebijakan, pedoman, tata kelola

- pengembangan kompetensi, tools, system

- pengembangan risk management untuk scope spesifik (business inisiatif, asset protection, revenue assurance, dsb)

Aspek Operasional Telkom

- Risk & control self assessment (RCSA) Guidance

- Penetapan risk acceptance criteria (RAC) Guidance

- Pelaksanaan risk assessment corporate, unit and subsidiary

Aspek Perawatan Telkom

- review, monitoring, risk reporting

- audit implementasi ERM

- pengembangan mekanisme penilaian kualitas implementasi ERM : risk management index, risk culture survey, pengukuran risk maturity level

Sumber :

Anonim1, 2015. https://accounting.binus.ac.id/2015/09/25/sistem-pengendalian-menurut-coso/, (8 Oktober 2018, jam 23:11)

Anonim2, 2018. https://id.wikipedia.org/wiki/COBIT, (8 Oktober 2018, jam 23:11)

Aurora Ridha Zenata, 2016. https://www.dictio.id/t/apa-yang-dimaksud-dengan-enterprise-risk-management/18858/3, (8 Oktober 2018, jam 23:11)

Ikhsan, 2013. https://www.slideshare.net/ditkaminfo/implementasi-erm-dan-internal-control. (9 Oktober 2018, jam 17.00)