SISTEM INFORMASI DAN PENGENDALIAN INTERNAL TENTANG MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL: 1.COSO INTERNAL CONTROL INTEGRATED FRAMEWORK; 2. COSO ENTERPRISE RISK PDF

Preview

Summary

SISTEM INFORMASI DAN PENGENDALIAN INTERNAL TENTANG MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL: 1.COSO INTERNAL CONTROL INTEGRATED FRAMEWORK; 2. COSO ENTERPRISE RISK MANAGEMENT; DAN 3. COBIT DOSEN : PROF. DR. IR. HAPZI ALI, MM, CMA DIBUAT OLEH : KHRISTINA DAMAYANTI (55516120065) MAGISTER AKUNTANSI ...

Description

Accelerat ing t he world's research.

SISTEM INFORMASI DAN PENGENDALIAN INTERNAL TENTANG MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL: 1.COSO INTERNAL... Khristina Damayanti

Related papers

Download a PDF Pack of t he best relat ed papers 

SI-PI, Khrist ina Damayant i, Hapzi Ali, Membandingkan Kerangka Pengendalian Int ernal , Univer… Khrist ina Damayant i

SI - PI, Yohana Premavari, Hapzi Ali, Membandingkan Kerangka Pengendalian Int ernal COSO IC Int egra… yohana premavari SI-PI, Yohanes agung nugroho, Sist em Informasi.docx Agung Nugroho

SISTEM INFORMASI DAN PENGENDALIAN INTERNAL TENTANG MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL: 1.COSO INTERNAL CONTROL INTEGRATED FRAMEWORK; 2. COSO ENTERPRISE RISK MANAGEMENT; DAN 3. COBIT

DOSEN : PROF. DR. IR. HAPZI ALI, MM, CMA DIBUAT OLEH : KHRISTINA DAMAYANTI (55516120065)

MAGISTER AKUNTANSI PROGRAM PASCASARJANA (S2) UNIVERSITAS MERCUBUANA TAHUN 2017

Control Objective for Information and related Technology (COBIT) adalah suatu panduan standar praktik manajemen Information Technolgy (IT). Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT 4.1 merupakan versi terbaru. Penerapan IT (Informasi Teknologi) pada perusahaan tentunya sudah menjadi hal yang sudah menjadi hal yang sangat umum. Penggunaan IT pada perusahaan tentunya membawa banyak manfaat bagi perusahaan, contohnya seperti: meningkatkan performa bisnis, meningkatkan ROI, meminimalisasi biaya dan waktu pemasaran, dan meminimalisasi resiko dalam bisnis yang dinamis. Namun penerapan IT pada perusahaan yang bertujuan untuk meningkatkan profit dari perusahaan bisa dapat berdampak sebaliknya bila Tata Kelola IT tersebut buruk. Untuk itulah dibutuhkan IT Governance dimana penggunaan dan penerapan IT pada perusahaan dapat bekerja secara optimal. IT Governance sendiri mempunyai banyak Tools (Alat) dan salah-satunya adalah COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) framework. Dengan adanya COBIT framework ini perusahaan dapat memanfaatkan IT dengan optimal dan sesuai dengan hasil yang diharapkan. COBIT juga diharapkan mendukung kebutuhan manajemen dalam menentukan dan monitoring tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka. Dengan begitu perusahaan akan merasa bahwa investasi IT-nya membawa keuntungan maksimal bagi proses bisnis mereka. COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaikbaiknya. Cobit adalah merupakan a set of best practies (framework) bagi pengelolaan teknologi informasi (IT management). Cobit disusun oleh oleh IT Governace Institute (ITGI) dan Infomation Systems Audit and Control Association (ISACA), tepatnya Information Systems Audit and ControFoundation’s(ISACF) pada tahun 1992. edisi pertamanya dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line dikeluarkan tahun 2003) dan saat ini adalah edisi keempat pada desember 2005. COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah “ generally applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP). Sedang, COBIT’s “good practices” mencerminkan

konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi. Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan areaarea yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut. COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT controls issues. COBIT berguna bagi para IT user karena memperoleh keyakinan atas kehandalan system aplikasi yang dipergunakan. Sedangfkan para manager memperoleh manfaat dalam keputusan investasi di bidang IT serta Infrastruktur nya, menyusun strategic IT Plan, menentukan Information Architecture, dan keputusan atas procurement (pengadaan/pembelian) mesin. Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi Anda, atau objek khusus di lingkungan TI. Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di perusahaan. COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan IT Governance pada suatu perusahaan. COBIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT, serta menyediakan referensi best business practices yang mencakup keseluruhan IT dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktifitasaktifitas logis yang dapat dikelola serta dikendalikan secara sfektif. COBIT mendukung manajemen dalam mengoptimalkan investasi TI nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau resiko akan atau sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan. Sumber daya TI merupakan suatu elemen yang sangat disoroti COBIT, termasuk

pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasian, keterpaduan, ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalan informasi.

Pihak yang Berkepentingan (Stakeholder) dalam COBIT untuk pengendalian internal. Berdasarkan penjelasan di atas COBIT merupakan standar manajmen tekhnologi informasi sehingga dengan adanya manajemen yang baik pengendalian internal dapat ditangani dengan baik, berikut ini pihak yang berkepentingan dalam COBIT untuk pengendalian Internal. Manajemen harus memutuskan apa yang harus diinvestasikan untuk pengendalian dan keamanan IT dan bagaimana cara menyeimbangkan risiko dan mengendalikan dalam lingkungan IT yang tidak bisa diramalkan. Pengendalian dan pengamanan sistem informasi dapat membantu mengelola risiko tetapi tidak dapat menghapuskan risiko sama sekali. Tingkat risiko tidak pernah dapat diketahui secara tepat karena selalu ada ketidakpastian. Para pemakai jasa IT ingin memperoleh keyakinan akan adanya pengendalian dan pengamanan yang cukup, melalui akreditasi dan audit jasa IT yang disediakan oleh pihak internal maupun oleh pihak ketiga. Untuk meningkatkan kualitas opini audit dan menyediakan usulan perbaikan pengendalian intern kepada manajemen. Auditor menggunakan kerangka COBIT dalam melakukan audit yaitu dengan cara: a. membentuk dasar dan standar pengendalian b. memfasilitasi dan membuat matriks kinerja untuk penilaian risiko c. mengembangkan rencana audit d. memfasilitasi audit e. mengelola risiko residual f. memberikan saran pengendalian dan rekomendasi kepada manajemen

Domain merupakan pengelompokkan secara alami dari proses IT, dan sering sesuai dengan domain tanggung jawab perusahaan. Dalam suatu organisasi, COBIT menggambarkan empat domain khusus: a. Perencanaan dan Organisasi (Plan and Organise) Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola

untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya. Langkah-langkah: ü Menetapkan rencana stratejik TI ü Menetapkan susunan informasi ü Menetapkan kebijakan teknologi ü Menetapkan hubungan dan organisasi TI ü Mengelola investasi IT ü Mengkomunikasikan arah dan tujuan manajemen ü Mengelola sumberdaya manusia ü Memastikan pemenuhan keperluan pihak eksternal ü Menaksir risiko ü Mengelola proyek ü Mengelola kualitas b. Pengadaan dan Implementasi (Acquire dan implement) Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini. Langkah-langkah : ü Mengidentifikasi solusi terotomatisasi ü Mendapatkan dan memelihara software aplikasi ü Mendapatkan dan memelihara infrastruktur teknologi ü Mengembangkan dan memelihara prosedur ü Memasang dan mengakui sistem ü Mengelola perubahan c. Pengantara dan Dukungan (Delivery and Support) Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian

sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan. Langkah-langkah : ü Menetapkan dan mengelola tingkat pelayanan ü Mengelola pelayanan kepada pihak lain ü Mengelola kinerja dan kapasitas ü Memastikan pelayanan yang kontinyu ü Memastikan keamanan sistem ü Melakukan identifikasi terhadap atribut biaya ü Memberi pelatihan kepada user ü Melayani konsumen IT ü Mengelola konfigurasi/susunan ü Mengelola masalah dan kecelakaan ü Mengelola data ü Mengelola fasilitas ü Mengelola operasi d. Pengawasan dan Evaluasi (Monitor and Evaluate) Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber anternatif lainnya. Langkah-langkah: ü Memonitor proses ü Menaksir kecukupan pengendalian internal ü Mendapatkan kepastian yang independen Keempat domain tersebut diatas kemudian dijabarkan menjadi 34 faktor resiko yang harus dievaluasi jika ingin diperoleh suatu kesimpulan mengenai seberapa besar kepedulian manajemen terhadap teknologi informasi, serta bagaimana teknologi informasi dapat memenuhi kebutuhan manajemen akan informasi.

COBIT IT Processes Defined Withen The Four Domain

Gambar kerangka COBIT

Secara keseluruhan 34 proses diataslah yang digunakan sebagai panduan dalam menangani masalah tata kelola IT atau pembuatan IT strategic plan, meskipun dalam prakteknya tidak mesti menggunakan 34 proses tersebut karena proses-proses tersebut menyesuaikan dengan kondisi organisasi.

COSO Enterprise Risk Management (COSO ERM) adalah kerangka Kerja Manajemen Risiko Korporasi (MRK) yang diterbitkan oleh Committee of Sponsoring Organizations of the Treadway Commission (COSO) Amerika Serikat. MRK terdiri atas delapan komponen yang saling terkait sebagai berikut. 1.

internal environment

2.

objective setting

3.

event identification

4.

risk assessment

5.

risk respons

6.

control activities

7.

information and communication

8.

monitoring

Definisi Enterprise Risk Management Menurut COSO dalam Simbolon (2010), definisi Enterprise Risk Management adalah sebagai berikut: “Enterprise Risk Management is a process, effected by an entity’s board of directors, mangement and other personnel, applied is strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.” Atas dasar definisi tersebut, kita dapat mensintesiskan Enterprise Risk Management ke dalam beberapa konsep yang fundamental, antara lain meliputi: •

Suatu proses, yang berjalan dan mengalir di dalam suatu entitas atau organisasi..

•

Diperngaruhi oleh individu pada semua tingkatan manajerial di dalam organisasi.

•

Dapat dipergunakan untuk kepentingan formulasi strategi.

•

Dapat diaplikasikan pada semua tingaktan manajerial, unit bsinis, termasuk penentuan portofolio risiko.

•

Dirancang untuk mengidentifikasikan peristiwa potensial, bilamana terjadi, yang dapat mempengaruhi entitas dan mengelola risiko.

Mampu memberikan jaminan yang rasional bagi manajemen dan diwan direksi suatu

•

entitas. Diarahkan untuk mewujudkan tujuan yang terpisah akan tetapi dalam kategori yang

•

tumpang tindih. Jadi kalau dikaji, definisi yang dikemukakan oleh COSO memberikan makna yang cukup luas.

Memiliki kemampuan untuk mengakomodir konsep fundamental inti mengenai

bagaimana perusahaan dan organisasi lainnya mengelola risiko, menyediakan dasar implementasi untuk berbagai organisasi, industri dan sektor. Selanjutnya, definisi tersebut juga memfokuskan upaya untuk mewujudkan tujuan yang telah ditetapkan dan memberikan landasan fundamental untuk menetapkan efektivitas enterprise risk management. Dasar-dasar Manajemen Risiko Setiap perusahaan ada untuk memberikan nilai bagi para pemangku kepentingannya, tetapi nilai yang dapat terkikis melalui kejadian tak terduga di semua tingkat perusahaan dan dalam semua kegiatan, mulai dari operasi rutin untuk strategi pengaturan serta untuk lainya. Sebuah proses manajemen risiko yang efektif memerlukan empat langkah: (1) Identifikasi risiko, (2) Kuantitatif atau kualitatif penilaian risiko terdokumentasi, (3) Prioritas resiko dan respon perencanaan, dan (4) Pemantauan risiko. empat langkah proses manajemen risiko Ini harus dilaksanakan di semua tingkat perusahaan dan dengan partisipasi banyak orang yang berbeda. 1. Mengidentifikasi resiko Proses ini meliputi identifikasi resiko yang mungkin terjadi dalam suatu aktivitas usaha. Identifikasi resiko secara akurat dan kompleks sangatlah vital dalam manajemen resiko.

Salah satu aspek penting dalam identifikasi resiko adalah

mendaftar resiko yang mungkin terjadi sebanyak mungkin. Teknik-teknik yang dapat digunakan dalam identifikasi resiko antara lain: a. Brainstorming b. Survey c. Wawancara d. Informasi historis e. Kelompok kerja 2. Menganalisa Risiko

Setelah melakukan identifikasi resiko, maka tahap berikutnya adalah pengukuran resiko dengan cara melihat seberapa besar potensi terjadinya kerusakan (severity) dan probabilitas terjadinya resiko tersebut.

Penentuan probabilitas

terjadinya suatu event sangatlah subjektif dan lebih berdasarkan nalar dan pengalaman. Beberapa resiko memang mudah untuk diukur, namun sangatlah sulit untuk memastikan probabilitas suatu kejadian yang sangat jarang terjadi. Sehingga, pada tahap ini sangatlah penting untuk menentukan dugaan yang terbaik supaya nantinya kita dapat memprioritaskan dengan baik dalam implementasi perencanaan manajemen resiko. Kesulitan dalam pengukuran resiko adalah menentukan kemungkinan terjadi suatu resiko karena informasi statistik tidak selalu tersedia untuk beberapa resiko tertentu. Selain itu, mengevaluasi dampak kerusakan (severity) sering kali cukup sulit untuk asset immaterial. 3. Monitoring resiko dan evaluasi Mengidentifikasi, menganalisa dan merencanakan suatu resiko merupakan bagian penting dalam perencanaan suatu proyek.

Namun, manajemen resiko

tidaklah berhenti sampai di sini saja. Praktek, pengalaman, dan terjadinya kerugian akan membutuhkan suatu perubahan dalam rencana dan keputusan mengenai penanganan suatu resiko. Sangatlah penting untuk selalu memonitor proses dari awal mulai dari identifikasi resiko dan pengukuran resiko Apakah keefektifan respon yang telah dipilih dan untuk mengidentifikasi adanya resiko yang baru maupun berubah. Sehingga, ketika suatu resiko terjadi maka respon yang dipilih akan sesuai dan diimplementasikan secara efektif. Enterprise Risk Management – Intergrated Framework Pada tahun 2001, COSO memulai sebuah proyek, dan terlibat PricewaterhouseCoopers, untuk mengembangkan kerangka kerja yang akan mudah digunakan oleh manajemen untuk mengevaluasi dan meningkatkan manajemen risiko perusahaan organisasi mereka. Skandal bisnis profil tinggi dan kegagalan (misalnya Enron , Tyco International , Adelphia , Peregrine Systems dan WorldCom ) menyebabkan panggilan untuk tata kelola perusahaan ditingkatkan dan manajemen risiko. Akibatnya tindakan Sarbanes-Oxley diundangkan. Hukum ini meluas persyaratan lama untuk perusahaan publik untuk memelihara sistem pengendalian internal, membutuhkan manajemen untuk mensertifikasi dan auditor independen untuk membuktikan efektivitas sistem tersebut.

The Internal Control - Integrated Framework tetap menjadi standar luas diterima untuk memenuhi persyaratan pelaporan. Namun, pada tahun 2004 diterbitkan COSO Enterprise Risk Management – Integrated Framework. COSO percaya kerangka ini memperluas pengendalian intern, menyediakan lebih kuat dan luas fokus pada subjek yang lebih luas dari manajemen risiko perusahaan. Kerangka kerja sekarang termasuk empat kategori: •

Strategis: tingkat tinggi tujuan, sejalan dengan dan mendukung misinya

•

Operasi: penggunaan efektif dan efisien dari sumber daya

•

Pelaporan: keandalan pelaporan

•

Kepatuhan: kepatuhan terhadap hukum dan peraturan yang berlaku

Delapan komponen kerangka Delapan komponen manajemen risiko perusahaan mencakup lima komponen sebelumnya dari Kerangka Control-Integrated internal sementara memperluas model untuk memenuhi permintaan untuk manajemen risiko:

1. Lingkungan internal Lingkungan internal yang meliputi pada organisasi, dan menetapkan dasar untuk bagaimana risiko dipandang dan ditangani oleh orang-orang entitas, termasuk filosofi manajemen risiko, dan resiko, integritas dan nilai etika, dan lingkungan di mana mereka beroperasi.

Dari rubik tersebut memiliki komponen : •

Empat kolom vertikal mewakili tujuan strategi dari resiko perusahaan.

•

Delapan baris horizontal merupakan komponen risiko

•

Tingkatan yang berbeda-beda untuk menggambarkan beberapa perusahaan. dari tingkat "markas" entitas anak perusahaan masing-masing. Tergantung pada ukuran organisasi, akan ada banyak irisan model di sini.

•

Sumber daya manusia standar. Penerapan COSO dalam komponen Lingkungan Internal di perusahaan saya di

terapkan

pada

perekrutan

karyawan,

pelatihan,

kompensasi,

mempromosikan,

mendisiplinkan, dan semua tindakan lainnya mengirim pesan mengenai apa yang disukai, ditoleransi, dan dilarang. Kuat standar diperlukan untuk memastikan bahwa aturan sumber daya manusia yang baik dikomunikasikan kepada semua stakeholder dan ditegakkan. The COSO ERM menerbitkan bahan bimbinga...