COBIT
Pengertian
COBIT
COBIT
(Control Objectives for Information and Related Technology) adalah
sebuah proses model yang dikembangkan untuk membantu perusahaan dalam
pengelolaan sumber daya teknologi informasi (IT). Proses model ini difokuskan
pada pengendalian terhadap masing-masing dari 34 proses IT, meningkatkan
tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT.
Komponen-Komponen
COBIT
COBIT
memiliki komponen-komponen sebagai berikut :
a)
Executive Summary
b)
Framework
c)
Control Objective
d)
Audit Guidelines
e)
Management Guidelines
f)
Control Practices
Definisi
Pengendalian Internal Menurut COBIT
COBIT
mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan
praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang
wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan
dapat dicegah atau dideteksi dan diperbaiki”.
Sedangkan
COBIT mengadaptasi definisi tujuan pengendalian (control objective) dari
SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin
dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT
tertentu”.
Komponen
tujuan pengendalian (control objectives) COBIT ini terdiri
atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives )
yang tercermin dalam 4 domain, yaitu : planning & organization , acquisition
& implementation , delivery & support , dan monitoring.
Ringkasan
Konsep Pengendalian Internal COBIT Dilihat Dari Berbagai Sudut Pandang
Pengguna
Utama
COBIT
di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :
a)
Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi
pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
b)
User : untuk memperoleh keyakinan atas layanan keamanan dan
pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
c)
Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau
untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.
Tujuan
Pengendalian Internal bagi Organisasi
Operasi
yang efektif dan efisien. Keefektifan berkenaan dengan informasi yang diperoleh
harus relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat
diperoleh tepat waktu, benar, konsisten, dan bermanfaat. Sedangkan keefisienan
berkaitan dengan penyediaan informasi melalui sumber daya (yang paling
produktif dan ekonomis) yang optimal.
Kerahasiaan.
Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak
yang tidak berwenang.
Integritas.
Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya
sesuai nilai-nilai dan harapan bisnis.
Ketersedian
Informasi. Berkaitan dengan informasi harus dapat tersedia ketika dibutuhkan
oleh suatu proses bisnis baik sekarang maupun di masa yang akan datang. Ini
juga terkait dengan pengamanan atas sumber daya yang perlu dan kemampuan yang
terkait.
Pelaporan
keuangan yang handal. Berkaitan dengan pemberian informasi yang tepat bagi
manajemen untuk mengoperasikan perusahaan dan juga pemenuhan kewajiban mereka
untuk membuat pelaporan keuangan.
Ketaatan
terhadap ketentuan hukum dan peraturan. Terkait dengan pemenuhan sesuai dengan
ketentuan hukum, peraturan, perjanjian kontrak, dimana dalam hal ini proses
bisnis dipandang sebagai suatu subjek.
Domain
Planning
and organization. Domain ini mencakup strategi dan taktik, dan perhatian atas
identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian
tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan,
dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir,
sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di
tempatkan di tempat yang semestinya.
Acquisition
dan implementation. Untuk merealisasikan strategi IT, solusi TI perlu
diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan
terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan
sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus
hidup akan terus berlangsung untuk sistem-sisteem ini.
Delivery
and Support. Domain ini memberikan fokus utama pada aspek
penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti
pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses
dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan
efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.
Monitoring.
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga
kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada
perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta
penilaian independen yang dilakukan baik auditor internal maupun eksternal atau
diperoleh dari sumber-sumber anternatif lainnya.
COSO
Sejarah COSO
COSO
kepanjangannya Committee of Sponsoring Organizations of the Treadway
Commission. Sejarahnya, COSO ini ada kaitannya sama FCPA yang dikeluarkan sama SEC
dan US Congress di tahun 1977 untuk melawan fraud dan
korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA adalah inisiatif
dari eksekutif-legislatif, nah kalo COSO ini lebih merupakan inisiatif dari
sektor swasta.
Sektor
swasta ini membentuk ‘National Commission on Fraudulent Financial Reporting’
atau dikenal juga dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini
disponsori oleh 5 professional association yaitu: AICPA, AAA,
FEI,
IIA,
IMA. Tujuan komisi ini adalah melakukan riset
mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan
membuat rekomendasi2 yang terkait dengannya untuk perusahaan publik, auditor
independen, SEC, dan institusi pendidikan.
Walaupun
disponsori sama 5 professional association, tapi pada dasarnya komisi ini
bersifat independen dan orang2 yang duduk di dalamnya berasal dari beragam
kalangan: industri, akuntan publik, Bursa Efek, dan investor. Nama ‘Treadway’
sendiri berasal dari nama ketua pertamanya yaitu James C. Treadway, Jr.
Komisi
ini mengeluarkan report pertamanya pada 1987. Isi reportnya di antaranya adalah
merekomendasikan dibuatnya report komprehensif tentang pengendalian internal
(integrated guidance on internal control). Makanya terus dibentuk COSO, yang
kemudian bekerjasama dengan Coopers
& Lybrand (Ehm, kira2 bisa dibilang mbahnya PwC gitu) untuk membuat report itu.
Coopers
& Lybrand mengeluarkan report itu pada 1992, dengan perubahan minor pada
1994, dengan judul ‘Internal Control – Integrated Framework’. Report ini berisi
definisi umum internal control dan membuat framework untuk melakukan penilaian
(assessment) dan perbaikan (improvement) atas internal control. Gunanya report
ini salah satunya adalah untuk mengevaluasi FCPA compliance di suatu
perusahaan.
Definisi Pengendalian Internal Menurut
COSO
Suatu proses yang dijalankan oleh
dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance
mengenai:
a)
Efektifitas dan efisiensi
operasional
b)
Reliabilitas pelaporan keuangan
c)
Kepatuhan atas hukum dan peraturan
yang berlaku
Menurut
COSO Framework, Internal Control Terdiri Dari 5 Komponen Yang Saling Terkait, Yaitu:
a)
Control
Environment
b)
Risk
Assessment
c)
Control
Activities
d)
Information
and communication
e)
Monitoring
Di
tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated
Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8
komponen dalam Enterprise Risk Management, yaitu:
a)
Internal Environment
b)
Objective Setting
c)
Event Identification
d)
Risk Assessment
e)
Risk Response
f)
Control Activities
g)
Information and Communication
h)
Monitoring