Framework audit

-COSO

- COBIT

- ITIL

Latar belakang:

- Banyak perusahaan bangkrut dan financial collapase di 1970->transparansi among public

companies
- The foreign corrupt practices act of 1977 (FCPA)
o First implementasi internal control proses to keep extensive records
- 1980 – US wants more control
o Untuk mencegah campur tangan pemerintah ada sector swasta yang bediri sendiri –
COSO 1985
- COSO dipublikasi pada 1992 di jurnal internal control integrated framewok. Boeing-COSO

COSO sponsor:

- American Institute of Certified Public Accountants (AICPA)

- American Accounting Association (AAA)
- Financial Executive Institute (FEI)
- Institute of Internal Auditors (IIA)
- Institute of Management Accountants (IMA)

Scope COSO:

- Monitoring
- Information & Communication
- Control Environment
- Control Activities
- Risk Assessment

1. Control Environment
- Sets the tone of the company
- Senior management must set in appreciate “tone at the top”

Factor-factor:

- Integrity and ethical values

 - Commitment to competence
- Managements Philosophy and operating style
- Organizational structure
- Assignment of authority and responsibility
- Human resources policies and practices
- IT consideration

2. Risk Assessment
- Perusahaan harus sadar dengan resiko yang akan dihadapi
- Perusahaan harus memiliki tujuan sehingga semua komponen perusahaa ndapat membuat
langkah-langkah yang searah dengan tujuan.
- Sekali object ditentukan, maka perusahaan harus mengidentifikasi resiko, menganalisa dan
diatur untuk meminimalisir impactnya.
o Contoh: gempa- dapat melakukan pelatihan persiapan untuk menyelamatkan diri keluar
dar I gedung atau berlindung dibawah meja, financial (kurs mata uang) – meramal
resiko, jika terjadi penurunan harga mata uang, Karen a kebanyakan perusahaa
computer menjual produk computer yang tergantung dengan kurs dolar yang sewaktu-
waktu bias berubah.

Risk assessment process

- Set objectives – kemungkinan yang akan terjadi

- Identify risk to achieving those objective
- Asses risk – konsekuensi dari resiko –meramal konsekuensi kerusakan yang terparah.
- Manage risk – bagaimana kta bias mengelola resiko dengn mengeluarkan biaya yang sebanding
dengan kegunaannya.

Control activities : control policies and procedures must be establish

- Define control activities – implement recovery plan

- Design control – design recovery plan, implement paln dan uji coba.
- Contoh : perencanaan saat terjadi kebakaran seperti pelatiahan untuk menunjukkanjalan keluar
ketika terjadi kebakaran.

Information and communication

- Informasi apa yang dibutuhkan agar internal control perusahan dapat berjalan sesuai dengan
tujuan perusahaan.

Monitoring

- Semua komponen harus dimonitor

- Proses untuk menilai internal control perusahaan
 - Contoh : -manajemen melakuakn koordinasi walaupun tidak ada tanda yang terdeteksi
- Adanya data-data dari pihak luar yang dapat menunjukkan apakah ada nya kerusakan dalam
perusahaan
- Memanfaatkan eksternal auditor

COSO and IT control

- Coso memperkenalkan awal mengenai Control IS

- Ada 2 kategori

Iso 2870001/17799/bs7799

Iso 1799 melingkupi

-security policy

- Organization on information security.