Anda di halaman 1dari 11

TUGAS MATA KULIAH

Pengauditan Manajemen Kelas C

Chapter 5, Another Internal Controls Framework: Cobit


Chapter 6, Risk Management:COSO ERM

Kelompok 2
Annisa Aprilia P

F0312016

Daisy Tisnadjaja

F0312037

Nuraeni Hidayati

F0312089

Jurusan Akuntansi Fakultas Ekonomi dan Bisnis


Universitas Sebelas Maret, Surakarta
Semester Genap 2014/2015

BAB 5
ANOTHER INTERNAL CONTROLS FRAMEWORK: COBIT
Committee of Sponsoring Organization (COSO) adalah organisasi yang menjadi
mekanisme standar yang mengukur dan mengevaluasi pengendalian akuntansi
internal di bawah Sarbanes-Oxley Act (SOx). Sox dianggap kurang member
perhatian penuh pada pengendalian internal berbasis TI. Oleh karena itu dibuatlah
Control Objectives for Information and Related Technology (CobiT) yang lebih
member perhatian terhadap pengendalian internal berbasis TI. CobiT bukanlah
pengganti dari COSO sebagai kerangka hukum utama, namun merupakan alat yang
membantu auditor untuk mengevaluasi pengendalian internal perusahaan yang telah
berbasis TI. Mereka yang tidak menggunakan CobiT harus memiliki pemahaman
yang cukup tinggi untuk melakukan audit.
Introduction to CobiT
Perubahan dan pembaharuan CobiT dilakukan oleh IT Governance Institute
(ITGI) yang bekerja sama dengan Information System Audit and Control Association
(ISACA). ISACA berfokus pada audit TI sedangkan ITGI pada penelitian dan proses
pengelolaannya. ISACA awalnya diperkenalkan sebagai Electronic Data Processing
Auditor Association (EDPAA) pada tahun 1967. Namun karena IIA merasa bahwa
EDPAA tidak memberikan perhatian khusus pada pentingnya sistem TI dan
pengendaliannya sebagai bagian dari audit internal, maka dibentuklah ISACA yang
lebih focus pada TI. Kerangka CobiT sering digambarkan sebagai pentagon yang
saling terkait, yang meliputi:

Keselarasanstrategi
Pendistribusian yang bernilai
Manajemenrisiko
Manajemensumberdaya
Pengukurankinerja
Kelima elemen tersebut menggambarkan fokus utama dalam pengendalian

internal dan CobiT telah menjadi alat yang paling efektif untuk mendokumentasikan
TI dan pengendalian internal lainnya. Walupun awalnya hanya dikenal sebagai
Audit TI, namun CobiT masih merupakan alat yang paling efektif hingga saat ini.

CobiT Framework
Sekarang ini, proses berbasis TI, Software dan perangkat Hardware telah
menjadi bagian penting perusahaan. Tak hanya perusahaan besar, bahkan
perusahaan kecil pun menggunakannya seperti dalam siklus persediaan dan
penggajian mereka. TI tidak bisa membentuk suatu sistem atau menentukan jenis
dan proses yang harus diterapkan dalam perusahaan, namun TI dapat membantu
menyediakan informasi yang dapat mempengaruhi pegambilan keputusan.
Awalnya penggunaan IT membantu para manajermen peroleh informasi dalam
pengambilan keputusan namun dengan kuantitas yang terlalu banyak, bahkan
kontra produktif. Namun kini hubungan itu telah berubah dan dalam proses bisnis,
informasi memberikan hubungan timbale balik yang begitu erat.
Dalam hal ini auditor harus memahami kebutuhan perusahaan dan informasi
yang seperti apa yang harus diberikan oleh sistem TI. TI memiliki tanggung jawab
atas serangkaian proses yang diaudit dalam perusahaan dan seharusnya
menjadikan proses bisnis menjadi lebih efektif. Dan CobiT dapat menjadi solusi
efektif dalam kerangka pengendalian internal berbasis TI dan proses bisnisnya.
Informasi dan perangkat pendukung TI sering kali telah menjadi aset paling
berharga bagi perusahaan dan manajemen bertanggungjawab besar untuk
melindungi asset tersebut. Manajemen sebagai pengguna TI dan auditor internal
harus

mengerti

proses

informasi

yang

terkait

dan

pengendalian

yang

mendukungnya. Para pengguna ini berfokus pada keefektif dan keefisiensian


sumberdaya TI, Proses TI, dan kebutuhan perusahaan secara keseluruhan yang
merupakan dasar CobiT.
Tata kelola TI adalah kunci dari konsep CobiT. CobiT mendefinisikan tata kelola
TI sebagai serangkaian bidang utama meliputi focus pada strategi yang berpihak
pada pentingnya pengukuran kinerja dan risiko dalam mengatur sumberdaya TI.
CobiT juga member perhatian pada pengendalian dalam tiga dimensi yang
berhubungan dengan TI, yaitu sumber daya, proses, dan jenis informasi.
Using CobiT to Assess Internal Controls
Beberapa studi mulai mengkaji kerangka dasar CobiT untuk membantu
memahami konsepnya. Diharapkan dengan pemahaman yang mendalam tentang
konsep CobiT ini dapat berguna untuk menilai dan mengembangkan pengendalian
internal perusahaan.

Berdasarkan tiga dimensi pengendalian CobiT, setiap proses TI harus


dievaluasi melalui lima langkah berikut:

Pengendalian yang dilakukan (nama proses)


Fokus utama proses bisnis (daftar kebutuhan bisnis)
Tujuan penggunaan TI (daftar penting penggunaan TI)
Bagaimana mencapainya (daftar laporan pengendalian)
Dan diukur dengan (daftar kunci metrik)

Lima langkah tersebut dapat dimulai dari atas kebawah maupun sebaliknya
yang dapat berguna untuk memahami perangkat pendukung pengendalian dan
proses bisnis perusahaan. Meskipun CobiT selalu menekankan pada TI, namun
langkah-langkah ini juga harus digunakan untuk menganalisis pengndalian internal
yang lain, baik terkait dengan TI atau pun tidak.
a Planning and enterprise
b

Acquisition and implementation

Delivery and support

Monitoring and evaluating

Dalam bukti 5.9 mengenai hubungan COSO dan COBIT dapat dilihat bahwa COSO
digunakan sebagai alat bantu khusus IT audit bukan hanya sebagai alat bantu yang
bersifat umum pada audit internal lainya. COBIT disini menekankan pada
penggunaan kerangka kerja COBIT bagi semua auditor guna membantu pekerjaan
mereka serta adanya SOX sebagai aturan persyaratan kepatuhan mereka.
COBIT PETUNJUK JAMINAN KERANGKA KERJA
Kerangka kerja COBIT diharapkan dapat memberikan panduan untuk
membentuk pengendalian internal yang lebih efektif dengan menggunakan
penekanan pada sumber daya ITnya. Pada tahun 2008 ITGI merilis sebuah
pedoman jaminan kerangka kerja (ITAF) yang difungsikan untuk memberikan
pedoman pada pelikalu, desain, serta pelaporan internal audit oleh IT. Tujuan dari
ITAF adalah untuk mendefinikan suatu standar perangkat guna membantu
memastikan kualitas, konsistensi dan keandalan penilaian IT berdasarkan peraturanperatauran yang berlaku.

COBIT DALAM PERSEPTIF


Semua auditor internal harus memiliki pemahaman terhadap CBOK dalam
kerangka kerja COBIT, hal ini digunakan sebagai alat untuk menilai pengendalian
internal secara lebih teleti dan berorientasi pada lingkungan IT yang hampir semua
lingkungan pasti dialami oleh seorang auditor. Kekuatan sesungguhnya dari COBIT
adalah fokus pada aturan-aturan dari IT sendiri, yang menggambarkan pentingnya
aliansi strategi bisnis dan sumber daya IT. Serta pada penilaian pengirimana,
manajemen sumber daya, manajemen resiko dan proses pengukuran kinerja.
Kelima sumber daya tersebut memungkinkan perusahaan untuk membangun tata
kelolah IT yang efektif serta adanya COBIT yang akan membantu dalam
pengelolahan dan pemahaman mengenai konsep-konsep yang benar. Semua
auditor diharapkan memiliki pemahaman tentang CBOK dari COBIT dan belajar
untuk menggunakan serta memahami pengendalian internal terhadap penilaian
kerangka kerja.

Bab 6
RISK MANAGEMENT:COSO ERM

Perusahaan perlu mengidentifikasi semua risiko usaha yang mereka hadapi- antara lain
resiko keuangan dan operasional serta sosial, etika, dan lingkungan dan untuk
mengelola risiko ke tingkat yang lebih diterima.
6.1. Dasar-dasar Manajemen Risiko
Manajemen risiko adalah konsep asuransi terkait di mana seorang individu atau perusahaan
menggunakan mekanisme asuransi untuk memberikan perlindungan dari risiko-risiko
tersebut. Proses manajemen resiko yang efektif memerlukan empat langkah, yaitu: (1) risk
identification, (2) quantitative or qualitative assessment of the documented risks, (3) risk
prioritization and response planning, and (4) risk monitoring. Empat langkah proses
manajemen risiko ini harus dilaksanakan pada semua tingkat perusahaan dan dengan
partisipasi dari banyak orang yang berbeda.
a. Identifikasi Resiko
Manajemen harus berusaha untuk mengidentifikasi semua risiko yang
mungkin mempengaruhi keberhasilan perusahaan, mulai dari yang besar atau lebih
signifikan bisnis, secara keseluruhan risiko ke risiko kurang penting terkait dengan
proyek-proyek individu atau lebih kecil unit bisnis. Proses identifikasi
risiko perlu dipelajari, pendekatan yang disengaja untuk melihat potensi risiko di
setiap daerah operasi dan kemudian mengidentifikasi lebih daerah risiko signifikan
yang dapat mempengaruhi setiap operasi dalam jangka waktu yang wajar.
Cara yang baik untuk memulai proses identifikasi risiko adalah
denganmemulai dari manajemen tinkat atas korporasi maupun unit operasi. Masingmasing unit mungkin memiliki fasilitas di berbagai lokasi global dan dapat terdiri dari
beberapa dan berbagai jenis operasi.
Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar untuk
lebih menentukan risiko spesifik yang dihadapi berbagai unit perusahaan, seperti
masuk dalam contoh ini kelangsungan bisnis risiko di bawah risiko teknologi.
b. Key Risk Assessment
Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah
berikutnya adalah untuk menilai kemungkinan mereka dan signifikansi relatif.
Berbagai pendekatan dapat digunakan di sini, mulai dari pendekatan kualitatif untuk
beberapa rinci, kuantitatif sangat matematis analisis. Ide untuk membantu
memutuskan
mana
dari
serangkaian peristiwa berpotensi
berisiko, harus
memberikan manajemen resiko yang paling mengkhawatirkan. Manajer yang
bertanggung jawab harus menilai risiko ini menggunakan pendekatan kuesioner.
(i)
Probabililty and Uncertainty
Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus
berpikir dari perkiraan likelihoods risiko individu dan kejadian dalam dua digit
probabilitas berkisar dari 0,01 sampai 0,99.
(ii)
Risk Interdependencies
Kita telah membahas risiko pada individu organisasi tingkat unit,
namun independensi risiko harus selalu dipertimbangkan dan dievaluasi

seluruh struktur organisasi. Meskipun suatu entitas harus peduli tentang risiko
di semua tingkat organisasi, mereka hanya memiliki kontrol atas risiko dalam
lingkup sendiri
(iii)
Risk Ranking
Langkah berikutnya adalah untuk mengambil makna dan
kemungkinan perkiraan yang ditetapkan, menghitung risiko peringkat, dan
mengidentifikasi risiko yang paling signifikan di seluruh entitas terakhir.
c. Quantitative Risk Analysis
Expected Value And Response Planning
Ada sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali
perusahaan memiliki setidaknya beberapa rencana awal untuk tindakan yang
diperlukan jika salah satu risiko terjadi. Idenya adalah untuk memperkirakan
dampak biaya dari timbulnya beberapa risiko yang diidentifikasi dan kemudian
menerapkan biaya itu untuk kemungkinan risiko dalam mendapatkan nilai yang

diharapkan atau biaya risiko.


Risk Monitoring
Identifikasi risiko utama tidak pernah bisa menjadi proses yang dilakukan hanya
sekali. Lingkungan sekitar risiko yang teridentifikasi akan segera berubah
karena kondisi sekitarnya juga berubah. Untuk beberapa risiko, kondisi-kondisi
bisa berubah sedemikian rupa sehingga risiko menjadi ancaman yang lebih
besar. Setelah risiko telah diidentifikasi, perusahaan perlu memantau dan
membuat penyesuaian yang berkelanjutan terhadap risiko sesuai yang
diperlukan. Pemantauan risiko ini dapat dilakukan oleh pemilik proses atau
reviewer independen. Audit internal seringkali merupakan sumber yang sangat
kredibel dan baik untuk memantau status risiko yang teridentifikasi.

6.2. COSO ERM : Enterprise Risk Management


COSO Enterprise Risk Management adalah suatu kerangka kerja untuk membantu
perusahaan untuk memiliki definisi yang konsisten dari risiko mereka. Ini juga merupakan
alat penting bagi pemahaman internal dan meningkatkan kontrol internal SOx. COSO ERM
diluncurkan pada cara yang sama dengan pengembangan kerangka pengendalian internal
COSO, seperti dibahas dalam Bab 3.
ERM didefinisikan:
Enterprise risk management is a process, effected by an entitys board of directors,
management and other personnel, applied in a strategy setting and across the enterprise,
designed to identify potential events that may affect the entity, and manage risk to be within
its risk appetite, to provide reasonable assurance regarding the achievement of entity
objectives.
Profesional harus mempertimbangkan poin-poin penting yang mendukung kerangka kerja
ERM COSO ini yaitu

ERM adalah sebuah proses

ERM proses dilaksanakan oleh orang-orang di perusahaan


ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan.
Konsep risk appetite harus dipertimbangkan
ERM menyediakan kelayakan tapi jaminan tidak positif dalam pencapaian tujuan
ERM dirancang untuk membantu mencapai tujuan

6.3 COSO ERM Key Elements


Bagian ini menjelaskan komponen horizontal COSO ERM; bagian selanjutnya membahas
dua dimensi yang lain dan bagaimana mereka semua berhubungan satu sama lain. Tujuan
kerangka ERM ini adalah untuk menyediakan model bagi perusahaan untuk
mempertimbangkan dan memahami kegiatan yang berhubungan dengan risiko pada semua
tingkat serta bagaimana dampak komponen risiko ini satu sama lain. Sebuah Tujuan dari
bab ini adalah untuk membantu auditor intern-dari kepala eksekutif audit (CAE) untuk staf
auditor untuk lebih memahami COSO ERM dan belajar bagaimana dapat membantu
mengelola berbagai risiko yang dihadapi perusahaan.
a. Komponen Lingkungan Internal
Elemen-elemennya adalah
Filosofi Manajemen Resiko, Sampai seberapa jauh filosofi mempengaruhi
manajemen
Risk Appetite, Sampai seberapa jauh menerapkan resiko
Tingkah Laku Pemangku Kepentingan, Sampai seberapa jauh solidnya
Integritas dan Nilai etika, Nilai-nilai etika dalam menghadapi resiko
Komitmen pada Kompetensi, Apakah orang-orang yang ditempatkan di
struktur organisasi telah tepat dalam mengatasi resiko
Struktur Organisasi, bagaimana bentuk organisasinya
Penetapan Otoritas dan tanggung jawab, Apakah ada kejelasan
pendelegasian wewenang dan job description
Standar Sumber Daya Manusia, Apakah sudah ditentukan standar SDM nya
b. Penetapan Tujuan
ERM mensyaratkan pada saat menetapkan tujuan maka juga harus
menyeting resikonya dan risk responnya.
c. Event Identification
Melakukan identifikasi kejadian-kejadian internal dan eksternal yang
mempengaruhi pencapaian tujuan korporasi yang telah ditetapkan.
Eksternal Economic Events
Natural Environmental Events
Political events
Social factors
Internal Infrastructure Events
Internal Process-related Events
External & Internal Technological Events
COSO ERM merilis teknik melalui beberapa pendekatan ini:

Event Inventories
Facilliated workshop
Interviews, questionnaires,and surveys
Process flow analysis

Leading events and escalation trigers


Lost event data tracking
d. Penilaian resiko
Penilaian resiko memungkinakan korporasi untuk mepertimbangkan apa
dampak potensial dari kejadian yang terkait resiko.
Resiko Inheren
Resiko residual
e. Respon Resiko
Avoidance : menghindar resiko
Reduction : mengurangi resiko
Sharing : membagi resiko
Acceptance : Menerima resiko
f. Aktivitas pengendalian
Merupakan kebijakan dan prosedur yang dilakukan untuk merespon resiko.
Secara umum pengendalian internal meliputi
Separation of duties
Audit trails
Security & Integrity
Documentation
Walaupun pengaturan standar dari aktivitas pengendalian ERM saat ini tidak
disetujui, dokumentasi COSO ERM menyarankan beberapa macam area yaitu
Top level review
Direct functional or activity management
Information processing\
Physical controls
Performance indikator
Segregation of duties
g. Informasi dan Komunikasi
Informasi dan komunikasi harus secara berkesinambungan dan terintegrasi
h. Monitoring
ERM monitoring adalah penting untuk menentukan semua yang di instal.

6.4 Other Dimensions of COSO ERM: Enterprise Risk Objectives


a. Tujuan operasi manjemen resiko
Banyak jenis risiko operasi dapat berdampak perusahaan. Identifikasi risiko
operasi tingkat tujuan sering membutuhkan rinci pengumpulan informasi dan analisis,
terutama untuk sebuah perusahaan yang lebih besar yang meliputi beberapa wilayah
geografis, lini produk, atau bisnis proses.
b. Tujuan melaporkan resiko manajemen
Tujuan Risiko ini meliputi keandalan laporan suatu perusahaan dari internal
dan eksternal data keuangan dan nonkeuangan. Pelaporan yang akurat sangat
penting untuk keberhasilan suatu perusahaan dalam banyak dimensi. Laporan berita
sering detail dalam penemuan akurat pelaporan keuangan perusahaan dan

mengakibatkan dampak pasar saham untuk menyinggung entitas. Pelaporan yang


tidak akurat yang sama dapat menyebabkan masalah di banyak daerah.
c. Tujuan Risiko Kepatuhan Hukum dan Peraturan
Setiap jenis perusahaan harus mematuhi berbagai peraturan dan standar
industri yang berlaku. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko
hukum kadang-kadang benar-benar tak terduga. Di Amerika Serikat, misalnya,
sistem hukum penggugat agresif dapat menimbulkan risiko besar untuk dinyatakan
perusahaan bermaksud baik.
6.5 Entity-Level Risks
a. Risks Encompassing the Entire Organization
Beberapa risiko di tingkat unit bisnis harus menggulung risiko entitas-tingkat.
sekarang mudah bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat
unit sebagai "tidak material", untuk menggunakan pre-SOx terminologi akuntan
publik, suatu perusahaan harus memikirkan semua risiko sebagai berpotensi
signifikan.
b. Business UnitLevel Risks
Risiko terjadi di semua tingkatan dari suatu perusahaan. Resiko harus
dipertimbangkan dalam setiap organisasi yang signifikan unit. Bahkan risiko yang
teridentifikasi dalam posisi kepemilikan minoritas dalam penjualan perusahaan
negara asing, misalnya, mungkin risiko yang unik ke unit itu, tetapi kemudian harus
menggulung ke entitas secara keseluruhan
6.6 Putting It All Together
The COSO framework ERM dijelaskan di sini membahas pendekatan manajemen risiko
yang berlaku untuk semua industri dan meliputi semua jenis risiko. Dengan fokus pada
pengakuan selera suatu perusahaan untuk risiko dan kebutuhan untuk menerapkan
manajemen risiko dalam konteks pengaturan strategi secara keseluruhan, COSO ERM
memiliki beberapa dasar perbedaan dari kebanyakan model risiko yang telah digunakan
sampai saat ini. COSO ERM belum digunakan cukup lama untuk menunjuk ke serangkaian.
6.7 Auditing Risk and COSO ERM Processes
Auditor internal akan menghadapi isu-isu risiko dan manajemen risiko di banyak daerah.
Auditor internal yang efektif harus memahami proses manajemen risiko. Terlalu sering,
internal auditor akan akan melakukan suatu pengendalian internal review di beberapa
daerah dan akan diberitahu bahwa daerah itu atau tidak dipilih karena "pertimbangan risiko."
Auditor harus memiliki tingkat pengetahuan CBOK proses manajemen risiko dasar untuk
dapat mengajukan pertanyaan yang tepat dan untuk meninjau kecukupan proses-proses
tersebut.
6.8 Risk Management and COSO ERM in Perspective
Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat mudah
untuk mengabaikan karakteristik unik dari COSO ERM . Butuh waktu bertahun-tahun untuk
pengendalian internal COSO untuk diakui sebagai lebih dari menarik teknis studi. Undangundang awal SOx berbicara tentang akuntansi internalstandar " yang akan didirikan . "
Kemudian Perusahaan Publik Pengawasan Akuntansi Dewan ( PCAOB ) mengamanatkan
bahwa pengendalian internal COSO harus review pengendalian internalstandar. IIA adalah
pendukung awal yang penting , dan unsur-unsur ERM bisadilihat dalam versi baru dari

tujuan Control untuk informasi dan terkait Technology ( COBIT ) kerangka kerja ( lihat Bab
5 ) , tetapi masih tidak pada tingkat yang sama penting dan signifikansi untuk suatu
perusahaan sebagai pengendalian internal COSO .