Model rerangka pengendalian: COBIT, COSO dan ERM
Kartika
Khairunisa
55518110035
Dosen
Pengampu :
Prof. Dr.
Ir, Hapzi Ali, MM, CMA
Magister
Akuntansi
Universitas
Mercu Buana
Jakarta
2018
COBIT kepanjangan dari
Control Objective for Information and Related Technology merupakan panduan
standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh
IT Governance Institute yang merupakan bagian dari ISACA para tahun 1992. COBIT
5 merupakan verse paling baru.
COBIT mempunyai empat cakupan
domain yaitu:
- perencanaan dan organisasi
- pengadaan dan dukungan
- pengantaran dan dukungan
- pengawasan dan evaluasi
Tujuan utama COBIT adalah
menyediakan kebijakan yang jelas dan good practice untuk IT governance,
membantu manajemen senior dalam memahami dan mengelola risiko-risiko yang
berhubungan dengan IT.
Untuk mencapai keselarasan dari
best practices terhadap kebutuhan bisnis, sangat disarankan supaya menggunakan
COBIT pada highest level, menyediakan control framework berdasarkan model
proses teknologi informasi yang seharusnya cocok.
COBIT framework
Kerangka kerja COBIT terdiri dari
beberapa guidelines yaitu:
a. Control Objectives
Terdiri atas empat tujuan
pengendalian tingkat tinggi yang tercermin dalam 4 domain yaitu : planning
& organization, acquisition & implementation, delivery & support,
dan monitoring.
b. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan
pengendali rinci untuk membantu para auditor dalam memberikan management assurance
atau saran perbaikan.
c. Management Guidelines
Berisi arahan baik secara umum
maupun spesifik mengenai apa såja yang mesti dilakukan, seperti: apa saja
indikator untuk suatu kinerja yang bagus, apa saja resiko yang timbul, dan
lain-lain.
d. Maturity Models
Untuk memetakan status maturity
proses-proses IT (dalam skala 0-5).
COBIT CUBE
Kerangka kerja cobit menjelaskan
bagaimana proses teknologi informasi menyampaikan informasi bahwa kebutuhan
bisnis mencapai tujuannya, cobit menyediakan tiga komponen masing-masing
membentuk dimensi kubus COBIT.
2. COSO adalah kepanjangan
dari Committee of Sponsoring Organization of The Treadway Commission pada tahun
1992 mengeluarkan definisi tentang pengendalian internal. COSO adalah suatu
inisiatif dari sektor swasta yang di bentuk pada tahun 1985. Misi utama coso
adalah memperbaiki atau meningkatkan kualitas laporan keuangan entitas
melalui etika bisnis, pengendalian internal yang efektif dan cooperate
governance. Sektor swasta ini yang membentuk The Treadway Commission. Komisi
ini disponsori oleh lima professional association yaitu:
-AICPA (The American Institute of
Certified Public Accountants)
-AAA ( The American Accounting
Association)
-FEI (Financial Executives
International)
-IIA ( The Institute of Internal
Auditors)
-IMA ( The Institute of
Management Accountants)
Komisi ini mengeluarkan report
pertamanya pada tahun 1987 yang isinya merekomendasikan report komprehensif
tentang internal control. Kemudian pada tahun 1992, Cooper & Lybrand
mengeluarkan report itu pada tahun 1994 dengan judul Internal Control -
Integrated Framework.
Menurut COSO framework, internal
control terdiri dari lima komponen yang saling terkait yaitu:
1. Lingkungan pengendalian
Merupakan tanggung jawab
manajemen puncak untuk menyatakan dengan jelas nilai integritas dan kegiatan
tidak etis yang tidak dapat ditoleransi.
2. Penaksiran Resiko
Perusahaan harus mengidentifikasi
dan menganalisis faktor yang menciptakan resiko bisnis dan harus menentukan
bagaimana cara mengelola risiko tersebut.
3. Kegiatan Penendalian
Tujuannya untuk mengurangi
terjadinya kecurangan dengan cara manajemen harus merancang kebijakan dan
prosedur untuk mengidentifikasi resiko tersebut yang dihadapi perusahaan.
4. Informasi dan Komunikasi
Sistem pengendalian internal
harus dikomunikasikan dan informasikan kepada seluruh karyawan perusahaan dari
atas sampai bawah.
5. Pemantauan
Sistem pengendalian internal
harus dipantau secara berkala. Jika terjadi sesuatu kekurangan yang signifikan
harus secepatnya dilaporkan kepada manajemen puncak dan ke dewan komisaris.
Persamaan COSO dan COBIT
a. Seluruh tujuan dari framework
COSO dan COBIT adalah pengendalian serta pengawasan atas proses dan lingkungan
b. Pertanggungjawaban atas sistem
pengendalian ditujukan kepada manajemen
c. Seluruh sistem pelaporan dan
prosedur wajib mengikuti aturan yang berlaku.
Perbedaan COSO dan COBIT
Indikator:
Fokus pengguna utama
- COSO : manajemen
- COBIT : manajemen, operator,
auditor sistem informasi
Sudut pandang atas internal
control
- COSO : kesatuan beberapa proses
secara umum
- COBIT : kesatuan beberapa
proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur
organisasi
Tujuan dalam internal control
- COSO : pengoperasian sistem
yang efektif dan efisien, pelaporan laporan keuangan yang andal serta
kesesuaian dengan peraturan yang berlaku.
- COBIT : pengoperasian sistem
yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang
dilengkapi dengan sistem pelaporan keuangan yang andal disesuaikan dengan
peraturan yang berlaku.
Komponen yang dituju
- COSO : pengendalian atas
lingkungan, manajemen risiko, pengawasan serta pengendalian atas aktivitas
informasi dan komunikasi.
- COBIT : perencanaan dan
pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta
pendistribusian.
Fokus pengendalian
- COSO : keseluruhan entitas
- COBIT: sisi teknologi informasi
Evaluasi atas internal control
- COSO - ditujukan atas seberapa
efektif pengendalian tersebut diterapkan dalam poin waktu tertentu
- COBIT - ditujukan atas seberapa
efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah
ditetapkan
3. ERM kepanjangan dari
Enterprise Risk Management merupakan proses yang melibatkan keseluruhan entitas
mulai dari dewan direksi, manajemen dan pejabat lainnyaa, yang diterapkan ke
dalam penyusunan strategi dan melingkupi keseluruhan perusahaan, yang didesain untuk
mengidentifikasi kejadian yang berakibat pada suatu entitas dan mengelola
resiko pada tingkat resiko yang dikehendaki untuk menyediakan penjaminan yang
wajar dalam rangka mencapai tujuan dari entitas.
Konsep dasar ERM yaitu:
- sebuah proses yang berjalan dan
mengalir melalui entitas
- dipengaruhi oleh manusia
disetiap tingkatan organisasi
- dijalankan pada saat penetapan
strategi
- berlaku keseluruh perusahaan,
pada tiap tingkatan dan unit, termasuk menetapkan cara pandang resiko pada
portofolio pada suatu tingkatan entitas
- dirancang untuk
mengidentifikasi peristiwa yang berpotensi mempunyai dampak terhadap entitas
dan mengelola risiko dalam batas jangkauan resiko itu sendiri
- dapat memberikan jaminan yang
masuk akal kapad entitas dan dewan perusahaan
- mendorong untuk mencapai tujuan
Komponen dari ERM terdiri atas
tujuh kunci utama yaitu: Corporate Governance, Line Management, Portofolio
Management, Risk Transfer, Risk Analytics, Data and Technology Resources dan
Stakeholders Management.
Tujuan dan Komponen ERM
Tujuannya terbagi menjadi empat
kategori yaitu:
- Strategic - tujuan yang
ditetapkan pada tingkat manajemen atas, disatukan dan dibuat untuk mendukung
misi dari perusahaan.
- Operations - penggunaan sumber
daya secara efektif dan efisien
- Reporting - pelaporan yang
dapat dipercaya
- Compliance - patuh dengan hukum
dan peraturan yang berlaku
Komponennya terbagi menjadi
delapan yaitu:
- Internal Environment -
memperlihatkan penekanan dari organisasi dan penetapan dasar terhadap bagaimana
resiko dipandang dan ditetapkan oleh suatu entitas
- Objective Setting - ERM
memastikan manajemen telah berada pada proses yang tepat ketika menetapkan
tujuan dan memilih hal-hal yang dapat mendukung tujuan tersebut.
- Event Identification - kejadian
internal dan eksternal yang berdampak pada pencapaian tujuan dari entitas harus
diindentifikasi dan harus dibedakan antara resiko dan kesempatan.
- Risk Assessment - resiko
dianalisa dengan mempertimbangkan kemungkinan dan dampak sebagai dasar untuk
menetapkan bagaimana hal tersebut dapat dikelola.
- Risk Response - manajemen
menyeleksi respon dari resiko, menghindari, menerima, mengurangi atau membagi
resiko, menetapkan tindakan-tindakan untuk menyelaraskan resiko dengan
toleransi resiko dari entitas dan batas resiko.
- Control Activities - prosedur
dan peraturan yang ada diimplementasikan untuk menolong memastikan respon dari
resiko berjalan secara efektif.
- Information dan Commutation -
informasi yang relevan diindentifikasi, ditangkap dan dikomunikasikan secara
formal dan sesuai dengan waktu yang telah ditetapkan sehingga mebuat orang
dapat mengetahui tanggung jawab mereka.
- Monitoring - keseluruhan dari
ERM dimonitor dan dimodifikasi oleh manajemen sesuai dengan kebutuhan.
Implementasi COBIT perlu
diterapkan dalam pengelolaan perusahaan agar penggunaan TI sesuai dengan
kebutuhan perusahaan dan menghasilkan kinerja yang efisien dan efektif serta
mencegah adanya risiko terhadap penggunaan TI. PT K adalah perusahaan yang
bergerak dalam bidang jasa transportasi. Berikut ini adalah gambaran metode
COBIT dillhat dari langkah pertama yaitu:
Perencanaan dan organisasi
Mendefinisikan rencana strategis
TI - Mendefinisikan arkitektur informasi - Menentukan arahan teknologi,
Mendefinisikan proses TI - organisasi dan keterhubungannya - Mengelola
invests TI - Mengkomunikasikan tujuan dan arahan manajemen - Mengelola sumber
daya TI - Mengelola kualitas - Menaksir dan mengelola risiko TI - Mengelola
proyek.
Akuisisi dan implementasi
Mengidentifikasi solusi otomatis
- Memperoleh dan memelihara software aplikasi - Memperoleh dan memelihara
infrastruktur teknologi - Memungkinkan operational dan penggunaan - Memenuhi
sumber daya TI - Mengelola Perubahan - Instalasi dan akreditasi solusi beserta
perubahannya
Pelaksanaan dan Dukungan
Mengidentifikasi dan mengelola
tingkat layanan - Mengelola layanan pihak ketiga - Mengelola kinerja dan
kapasitas - Memastikan layanan yang berkelanjutan - Memastikan keamanan sistem
- Mengidentifikasi dan mengalokasikan biaya - Mendidik dan melatih pengguna -
Mengelola service desk - Mengelola konfigurasi - Mengelola permasalahan -
Mengelola data - Mengelola lingkungan fisik - Mengelola operasi
Pemantauan dan Evaluasi
Mengawasi dan mengevaluasi
kinderja TI - Mengawasi dan mengevaluasi kontrol internal - Memastikan
pemenuhan terhadap kebutuhan eksternal - Menyediakan tata kelola TI
Implementasi COSO
pengendalian internal sudah digunakan banyak perusahaan. Contohnya PT K
perusahan yang bergerak dalam bidang jasa transportasi sistem pengendalian
COSOnya meliputi:
a. Lingkungan pengendalian
Pimpinan PT K dan seluruh pegawai
harus menciptakan dan memelihara lingkungan dalam keseluruhan organisasi yang
menimbulkan perilaku positif dan mendukung pengendalian internal dan manajemen
yang seat.
b. Penilaian risiko
Pengendalian internal pada PT K
memberikan penilaian atas risiko yang dihadapi unit organisasi baik dari luar
maupun dari dalam.
c. Aktivitas pengendalian
Kegiatan pengendalian membantu
memastikan bahwa arahan pimpinan PT K dilaksanakan. Kegiatan pengendalian harus
efisien dan efektif dengan menetapkan kebijakan-kebijakan dan prosedur dalam
pencapaian tujuan PT K.
d. Informasi dan komunikasi
Infomasi dicatat dan dilaporkan
kepada pimpinan PT K dan pihak lain yang ditentukan. Informasi disajikan dalam
bentuk dan sarana tertentu dengan tepat waktu sehingga pimpinan PT K
melaksanakan tugasnya untuk mengambil suatu keputusan.
e. Pemantauan
PT S melakukan pemantauan dengan
cara menilai kualitas kinerja dari waktu ke waktu dan apabila ada sesuatu
kesalahan dapat diperbaiki.
Implementasi ERM
ERM bertujuan agar risiko yang
mungkin terjadi di masa datang dapat diantisipasi saat pengambilan keputusan
agar kemungkinan terjadinya diperkecil, sehingga tujuan dari keputusan yang
diambil bisa diraih.
Implementasi ERM harus mendukung
pencapaian objektif perusahaan yang dikelompokkan dalam konteks:
- Strategic : high-level goal dan
keseluruhan strategi perusahaan
- Operations : efisiensi dan
efektivitas pengunaan sumber daya dan sistem pengamanannya.
- Reporting : menjamin akurasi
dan reliabilitas pelaporan
- Compliance : menjamin kepatuhan
terhadap seluruh regulasi dan hukum yang berlaku
COSO ERM Framework memiliki 8
komponen proses generik yang saling berhubungan
ERM harus meliputi aktivitas di
seluruh level organisasi (Entity, Division, Business Unit & Subsidiary)
PT Telkom adalah perusahaan
informasi dan komunikasi BUMN yang berstatus perseroan terbuka serta penyedia
jasa dan jaringan telekominikasi secara lengkap yang terbesar di Indonesia.
Pengelolaan risiko telkom didasarkan pada pengelolaan risiko COSO ERM
Framework, yang sesuai dengan pengawasan internal yang telah diterapkan telkom.
Analisis ditujukan untuk mengidentifikasi dan menilai besarnya dampak dan
kemungkinan dari risiko-risiko operasional yang terjadi di telkom.
Aspek struktural Telkom
- membangun komitmen, tone at the
top
- meletakkan pondasi manajemen
risiko dalam kerangka GCG
- membentuk departmen CRMGA
(fasilitator implementasi ERM)
- pengembangan kebijakan,
pedoman, tata kelola
- pengembangan kompetensi, tools,
system
- pengembangan risk management
untuk scope spesifik (business inisiatif, asset protection, revenue assurance,
dsb)
Aspek Operasional Telkom
- Risk & control self
assessment (RCSA) Guidance
- Penetapan risk acceptance
criteria (RAC) Guidance
- Pelaksanaan risk assessment
corporate, unit and subsidiary
Aspek Perawatan Telkom
- review, monitoring, risk
reporting
- audit implementasi ERM
- pengembangan mekanisme
penilaian kualitas implementasi ERM : risk management index, risk culture survey,
pengukuran risk maturity level
Sumber :
Anonim1, 2015. https://accounting.binus.ac.id/2015/09/25/sistem-pengendalian-menurut-coso/, (8
Oktober 2018, jam 23:11)
Anonim2, 2018. https://id.wikipedia.org/wiki/COBIT, (8
Oktober 2018, jam 23:11)
Aurora Ridha Zenata, 2016. https://www.dictio.id/t/apa-yang-dimaksud-dengan-enterprise-risk-management/18858/3, (8
Oktober 2018, jam 23:11)
Ikhsan,
2013. https://www.slideshare.net/ditkaminfo/implementasi-erm-dan-internal-control.
(9 Oktober 2018, jam 17.00)
Casinos Near Casinos in Wazala - Mapyro
BalasHapusFind Casinos Near Casinos in Wazala, 경상북도 출장안마 Wazala, 속초 출장안마 Wazala 남원 출장안마 and other places 화성 출장안마 to stay 동해 출장안마 closest to them.