Apa Itu Coso Dan Cobit [PDF]

Citation preview

APA ITU COSO DAN CoBID I. COSO The Committee of Sponsoring Organizations of the Treadway Commission‟s (COSO) didirikan pada tahun 1985, yang merupakan aliansi dari lima organisasi profesi diantaranya :  Financial Executives International (FEI)  The American Accounting Association (AAA)  The American Institute of Certified Public Accountants (AICPA)  The Institute of Internal Auditors (IIA)  The Institute of Management Accountants (IMA) (formerly the National Association of Accountants). Misi utama dari COSO adalah “Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance.” Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tehun 1992, telah diselesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal mereka. Kerangka Kerja Pengendalian Internal (Internal Control-Integrated Framework) Dua tujuan utama dari laporan COSO adalah (1) untuk menetapkan definisi umum pengendalian internal yang melayani berbagai pihak, dan (2) menyediakan standar terhadap organisasi yang dapat menilai sistem pengendalian dan menentukan cara untuk meningkatkan/memperbaiki sistem tersebut. Definisi Pengendalian Internal COSO “suatu proses, yang dipengaruhi oleh dewan komisaris, manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan pencapaian tujuan dalam beberapa kategori”. Kategori-kategori dalam pencapaian tujuan Pengendalian Internal  Efektivitas dan efisiensi operasi  Keandalan laporan keuangan  Kepatuhan terhadap hukum dan peraturan yang berlaku Laporan ini menekankan bahwa sistem pengendalian internal merupakan alat/perangkat dari manajemen dan bukan pengganti manajemen. Jadi manajemen dan sistem pengendalian seharusnya dibentuk didalam kegiatan operasi. Definisi COSO Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:  Efektifitas dan efisiensi operasional  Reliabilitas pelaporan keuangan  Kepatuhan atas hukum dan peraturan yang berlaku COSO menekankan Pengendalian Internal sebagai suatu “proses” yang merupakan bagian tidak terpisahkan dari aktivitas bisnis entitas yang berkelanjutan (on going business activities). Untuk tujuan pelaporan manajemen kepada publik.



Pengendalian Internal terkait penjagaan asset dari pengambilan, penggunaan, atau penghilangan yang tidak terotorisasi adalah suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan pencegahan atau deteksi dini terhadap pengambilan, penggunaan, atau penghilangan yang tidak terotorisasi terhadap asset entitas sehingga dapat memberikan pengaruh/efek yang material terhadap laporan keuangan. Pihak yang terlibat Didalam dokumen COSO dikatakan bahwa pihak-pihak yang terlibat dalam Pengendalian Internal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yang mendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawab atas penetapan, penjagaan, dan pengawasan sistem Pengendalian Internal adalah tanggung jawab manajemen. Tujuan Pengendalian Internal bagi Organisasi Asumsi COSO, bahwa entitas telah menetapkan sendiri tujuan dari aktivitas operasinya. Namun COSO mengidentifikasikan tiga tujuan utama dari entitas, antara lain :  Efektivitas dan efisiensi operasi  Keandalan laporan keuangan  Kepatuhan terhadap hukum dan peraturan yang berlaku Komponen yang saling terkait dalam internal control menurut COSO framework, yaitu: COSO mengidentifikasi Sistem Pengendalian Internal yang efektif meliputi lima komponen yang saling berhubungan untuk mendukung pencapaian tujuan entitas, yaitu: (a) Lingkungan Pengendalian (Control Environment) Pondasi dari komponen lainnya dan meliputi beberapa faktor diantaranya : Integritas dan Etika  Komitmen untuk meningkatkan kompetensi  Dewan komisaris dan komite audit  Filosofi manajemen dan jenis operasi  Kebijakan dan praktek sumber daya manusia COSO menyediakan pedoman untuk mengevaluasi tiap faktor yang ada. Misal, filosofi manajemen dan jenis operasi dapat dinilai dengan cara menguji sifat dari penerimaan risiko bisnis, frekuensi interaksi dari tiap subordinat, dan pengaruhnya terhadap laporan keuangan. (b) Penilaian Risiko (Risk Assessment) Terdiri dari identifikasi risiko dan analisis risiko. Identifikasi risiko merupakan pengujian terhadap faktor-faktor eksternal seperti perkembangan teknologi, persaingan, dan perubahan ekonomi. Factor internal diantaranya kompetensi karyawan, sifat dari aktivitas bisnis, dan karakteristik pengelolaan sistim informasi. Sedangkan Analisis Risiko dilakukan dengan mengestimasi signifikansi risiko, menilai kemungkinan terjadinya risik, dan bagaimana mengelola risiko tersebut. (c) Aktivitas Pengendalian (Control Activities) Terdiri dari kebijakan dan prosedur yang menjamin karyawan melaksanakan arahan manajemen. Aktivitas Pengendalian meliputi review terhadap sistim pengendalian, pemisahan tugas, dan pengendalian terhadap sistim informasi.



Pengendalian terhadap sistim informasi meliputi dua cara : General controls, mencakup kontrol terhadap akses, perangkat lunak, dan system development. Application controls, mencakup pencegahan dan deteksi transaksi yang tidak terotorisasi. Berfungsi untuk menjamin completeness, accuracy, authorization and validity dari proses transaksi yang terjadi. (d) Informasi dan komunikasi Sistem yang memungkinkan orang atau entitas, memperoleh dan menukar informasi yang diperlukan untuk melaksanakan, mengelola, dan mengendalikan operasinya dan adanya jalan untuk dapat mengakses informasi dari dalam dan luar, dengan mengembangkan strategi yang potensial dan sistem terintegrasi, serta perlunya data yang berkualitas. Sedangkan diskusi mengenai komunikasi berfokus kepada menyampaikan permasalahan Pengendalian Internal, dan mengumpulkan informasi pesaing. (e) Pengawasan (Monitoring) Sistem pengendalian internal perlu dipantau sepanjang waktu, proses ini bertujuan untuk menilai mutu kinerja sistem sepanjang waktu. Ini dijalankan melalui aktivitas pemantauan yang terus-menerus, evaluasi yang terpisah atau kombinasi dari keduanya, melalui aktivitas yang berkelanjutan dan melalui evaluasi yang ditujukan terhadap aktivitas atau area yang khusus. Di tahun 2004, COSO mengeluarkan report „Enterprise Risk Management – Integrated Framework‟, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu: 1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan. 2. Penentuan Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih dahulusebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi dalam pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi perusahaan dan konsisten dengan risk appetite-nya. 3. Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang yang dapat terjadi. Peluang dikembalikan kepada proses penetapan strategi atau tujuan manajemen. 4. Penilaian Risiko (Risiko Assessment), Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan pengelolaan risiko. 5. Respons Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima, mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang terjadi masih sesuai dengan toleransi dan risk appetite.



6. Kegiatan Pengendalian (Control Activities), kebijakan serta prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif. 7. Informasi dan Komunikasi (Information and Communication), Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya. 8. Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya. Fokus utama COSO menyatakan Pengendalian Internal merupakan partisipasi dari semua stakeholder (pemangku kepentingan) entitas yang meliputi seluruh/semua area atau fungsi dari bisnis entitas. Evaluasi keefektifan Pengendalian Internal Meskipun COSO menekankan Pengendalian Internal sebagai suatu “proses” namun keefektifan dari pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada saat pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar menyatakan bahwa Pengendalian Internal telah berjalan efektif. Bagaimana pelaporan masalah Pengendalian Internal COSO menjelaskan bagaimana manajemen memperoleh dan mengolah informasi jika terjadi defisiensi Pengendalian Internal. COSO merekomendasikan kepada personil yang mengidentifikasi terjadinya defisiensi untuk segera melaporkannya kepada atasan langsungnya, namun jika informasinya sensitif maka perlu adanya jalur khusus penyampaian informasi.



II. CoBIT Control Objectives for Information and Related Technology atau CoBIT adalah proses yang sedang dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari Information System Audit and Control Association (ISACA) untuk membantu perusahaan dalam mengelola sumber daya teknologi informasi. CoBIT juga merupakan jembatan antara manajemen teknologi informasi dengan para eksekutif bisnis atau dewan direksi. Dikatakan seperti itu karena CoBIT mampu menjelaskan laporan dengan bahasa yang umum sehingga dapat mudah dipahami oleh semua pihak. Salah satu alasan mengapa CoBIT dapat merajalela di seluruh dunia karena semakin besarnya perhatian dari corporate governance dan kebutuhan perusahaan dalam menghasilkan sesuatu yang lebih dengan kondisi sumber daya yang sedikit dan ekonomi yang sulit. Tujuan utama yang diharapkan dari adanya CoBIT yaitu agar perusahaan mampu meningkatkan nilai tambah dalam bidang IT dan dapat mengurangi risiko-risiko inheren yang ada didalamnya.



a. b. c. d. e. f.



Komponen-komponen CoBIT CoBIT mempunyai komponen-komponen sebagai berikut: Executive Summary Framework Control Objective Audit Guidelines Management Guidelines Control Practices



a. b. c. d.



Definisi Pengendalian Internal menurut CoBIT Untuk pengertian Pengendalian Internal CoBIT mengadopsinya dari COSO, yaitu: “Kebijakan, prosedur, praktik, struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah, dideteksi atau diperbaiki”. Selain itu untuk tujuan pengendalian sendiri CoBIT mengadopsinya dari SAC, yaitu: “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”. Komponen tujuan pengendalian CoBIT terdiri dari 4 tujuan pengendalian tingkat tinggi yang tercermin dalam 4 domain, yaitu: Planning and Organization Acquisition & Implementation Delivery & Support Monitoring Sudut Pandang CoBIT tentang Pengendalian Internal



a.



Pengguna Utama CoBIT dibuat untuk digunakan oleh 3 pengguna, yaitu: Manajemen, untuk membantu mereka menyeimbangkan antara risiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi. User, untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga. Auditor, untuk mendukung dan memperkuat opini yang dihasilkan dan atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.



b.



Tujuan pengendalian internal bagi organisasi  Operasi yang efektif dan efisien Operasi dapat dikatakan EFEKTIF jika informasi yang diperoleh relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten serta bermanfaat. Dikatakan EFISIEN jika dalam penyediaan informasi melalui sumber daya (yang paling produktif dan ekonomis) dapat optimal.  Kerahasiaan Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak berwenang.  Integritas Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai dengan nilai-nilai dan harapan bisnis.



 Ketersediaan Informasi Informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik sekarang maupun dimasa yang akan datang. Hal ini juga terkait dengan pengamanan atas sumber daya yang perlu dan adanya kemampuan yang terikat.  Pelaporan Keuangan yang handal Dengan pemberian informasi keuangan yang tepat bagi manajemen untuk mengoperasikan perusahaan dan juga untuk memenuhi kewajiban dalam membuat pelaporan keuangan.  Ketaatan pada ketentuan hukum dan peraturan Berhubungan dengan pemenuhan sesuai dengan ketentuan hukum, peraturan dan perjanjian kontrak dimana dalam hal ini proses bisnis dianggap sebagai subjek. c.



Domain  Planning and Organization Domain ini mencakup strategi serta taktik atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk berbagai perspektif yang berbeda. Ditambah dengan pengorganisasian yang baik dengan menempatkan infrastruktur teknologi ditempat yang semestinya.  Acquisition & Implementation Agar tercapainya strategi IT, solusi IT harus diidentifikasi, dikembangkan,diimplementasikan dan terintegrasi dengan baik ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus dicakup dalam domainini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem ini.  Delivery & Support Domain ini memberikan fokus utama pada aspek penyampaian IT. Dalam delivery and support tercakup area-area seperti pengaplikasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu tentang keamanan dan pelatihan.  Monitoring Semua proses IT perlu dinilai secara teratur sepanjan waktu untuk dapat menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan oleh auditor internal maupun eksternal, atau dapat diperoleh dari sumber-sumber alternatif lainnya.



III. PERBEDAAN COSO DAN CoBID



Perbedaan dan Persamaan COSO dan CoBIT... ^^ Fokus Pengguna



COSO manajemen



Sudut Pandang



kesatuan beberapa proses secara umum



Tujuan yang ingin dicapai



pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku



Komponen/domain



pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi Dari eSAC keseluruhan entitas seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu



Fokus Pengendalian Evaluasi Internal Control



Pertanggungjawaban internal control



1 2 3



dari eSAC ditujukan kepada manajemen



CoBIT manajemen, operator dan auditor sistem informasi. kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang berlaku perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian sisi teknologi informasi seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan Dari CoBIT ditujukan kepada manajemen.



PERSAMAAN COSO & CoBIT Seluruh tujuan dari framework CoBIT, eSAC dan COSO adalah pengendalian serta pengawasan atas proses dan lingkungan Pertanggungjawaban ditujukan pada manajemen Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku



Sebagai dosen pengampu mata kuliah Audit Sistem Informasi, maka saya sering menugaskan mahasiswa untuk melakukan audit SI dengan studi kasus yang nyata. Berikut adalah sebuag contoh Laporan Audit Sistem Informasi berdasarkan framework CObIT. BAGIAN I GAMBARAN UMUM AUDIT I.1. TENTANG PERUSAHAAN/ORGANISASI KPKNL Manado dibentuk berdasarkan Peraturan Menteri Keuangan Nomor 135/PMK.01/2006 tentang Organisasi dan Tata Kerja Instansi Vertikal Direktorat Jenderal Kekayaan Negara sebagai tindak lanjut dari adanya reorganisasi di lingkungan Departemen Keuangan. Pada awal berdirinya, Kantor Pelayanan Kekayaan Negara dan Lelang (KPKNL) Manado bernama Kantor Pelayanan Pengurusan Piutang dan Lelang (KP2LN) Manado. KP2LN Manado dibentuk berdasarkan Keputusan Menteri Keuangan Nomor: 445/KMK.01/2001 tanggal 23 Juli 2001 tentang Organisasi dan Tata Kerja Kantor Wilayah Direktorat Jenderal Piutang dan Lelang Negara sebagaimana telah diubah dengan Keputusan Menteri Keuangan Nomor: 425/KMK.01/2002. Kantor Pelayanan Kekayaan Negara Manado terdiri dari 7 sub bagian, yaitu: • Seksi Pengelolaan Kekayaan Negara, • Seksi Pelayanan Penilaian, • Seksi Piutang Negara, • Seksi Hukum dan Informasi, • Seksi Pelayanan Lelang, dan • Sub Bagian Umum. Seksi Pelayanan Penilaian berfungsi mengelola dan menjadwalkan penilaian dan studi kelayakan terhadap inventaris negara. Dan untuk meningkatkan kinerjanya, maka Seksi Pelayanan Penilaian mengimplementasikan Sistem Informasi Manajemen dalam membantu proses kerja mereka. I.2. TUJUAN PELAKSANAAN AUDIT Pelaksanaan audit pada Seksi Pelayanan Penilaian, Kantor Pelayanan Kekayaan Negara Cabang Manado bertujuan untuk mengumpulkan serta mengevaluasi bukti-bukti untuk menentukan apakah sistem aplikasi yang digunakan telah telah dapat melindungi asset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Selain itu, pada kesempatan ini kegiatan audit dilaksanakan dengan tujuan memperdalam wawasan serta memperkaya pengalaman mahasiswa Audit Sistem Informasi, Teknik Informatika Universitas Sam Ratulangi tahun ajaran 2010/2011. I.3. RUANG LINGKUP AUDIT Pelaksanaan Audit Sistem Informasi di Seksi Pelayanan Penilaiaian, Kantor Pelayanan Kekayaan Negara Cabang Manado melingkupi: 1. Pelaksaan audit dengan menggunakan kerangka kerja COBIT. 2. Pelaksaan Audit Sistem Aplikasi terhadap Pengendalian Masukan (Input Control). I.4. SASARAN PELAKSANAAN AUDIT 1. Rencana Strategis (RENSTRA) Teknologi Informasi / IT Blueprint / Project Plan. 2. Tata kelola Teknologi Informasi yang meliputi: pembagian tugas dan tanggungjawab serta pelaksanaannya di lapangan. I.5. STANDAR PEMBANDING SECARA UMUM 1. Organisasi yang menggunakan teknologi informasi dalam proses bisnisnya haruslah memiliki rancangan yang jelas dalam hal investasi, penggunaan, pengawasan, serta pengembangan aspek-aspek teknologi informasi yang dimilikinya.



2. Secara ideal organisasi memiliki tata kelola teknologi informasi yang pada akhirnya akan berdampak pada pelaksanaan tugas dan tanggungjawab divisi TI serta penerapan rencana strategis teknologi informasi. 3. Antarmuka aplikasi sesuai bagi pengguna yang dalam hal ini pegawai Seksi Pelayanan Penilaiaian, Kantor Pelayanan Kekayaan Negara Cabang Manado. Antarmuka harus memiliki tata letak yang tidak membuat pengguna bingung, serta paduan warna yang tepat. 4. Sistem aplikasi memiliki dokumentasi yang terintegrasi (menu help) untuk memudahkan pengguna. 5. Otorisasi sebelum melakukan peng-input-an data. 6. Dokumentasi / catatan / log kegiatan input data, dokumen sumber, beserta pengarsipannya. I.6. WAKTU PELAKSANAAN AUDIT Audit dilaksanakan pada hari Selasa, tanggal 7 Juni 2011 mulai pukul 09.00 s/d 11.05 waktu setempat. I.7. PELAKSANA AUDIT Kegiatan audit ini dilaksanakan oleh 1. Stanley Karouw, ST., MTI 2. Febrianto Rompis (07 0213 059) 3. Daniel Febrian Sengkey (08 0213 015) Berikut ini adalah beberapa artifak yang dikumpulkan selama pelaksanaan Audit! 1. Hasil Kuesioner (dapat diunduh disini) 2. Dokumen Hasil Penilaian Fakta (dapat diunduh disini) 3. Laporan Temuan (dapat dilihat pada Gambar dibawah)