KELOMPOK 10
SURAKARTA
2017
BAB 5
Introduction to CobiT
Kerangka kerja CobiT kini telah diperluas dan sebagai auditor, sedikitnya harus memahami
untuk membantu pendokumentasian, pengkajian, dan pemahaman SOx. Perubahan dan
pembaharuan CobiT dilakukan oleh IT Governance Institute (ITGI) yang bekerja sama dengan
Information System Audit and Control Association (ISACA). ISACA berfokus pada audit TI
sedangkan ITGI pada penelitian dan proses pengelolaannya. ISACA awalnya diperkenalkan
sebagai Electronic Data Processing Auditor Association (EDPAA) pada tahun 1967. Namun
karena IIA merasa bahwa EDPAA tidak memberikan perhatian khusus pada pentingnya sistem TI
dan pengendaliannya sebagai bagian dari audit internal, maka dibentuklah ISACA yang lebih
focus pada TI. Kerangka CobiT sering digambarkan sebagai pentagon yang saling terkait, yang
meliputi:
Keselarasan strategi
Pendistribusian yang bernilai
Manajemen risiko
Manajemen sumber daya
Pengukuran kinerja
Kelima elemen tersebut menggambarkan fokus utama dalam pengendalian internal dan
CobiT telah menjadi alat yang paling efektif untuk mendokumentasikan TI dan pengendalian
internal lainnya. Walupun awalnya hanya dikenal sebagai AuditCobiT masihTI, nam
merupakan alat yang paling efektif hingga saat ini.
CobiT Framework
Sekarang ini, proses berbasis TI, Software dan perangkat Hardware telah menjadi bagian
penting perusahaan. Tak hanya perusahaan besar, bahkan perusahaan kecil pun menggunakannya
seperti dalam siklus persediaan dan penggajian mereka. TI tidak bisa membentuk suatu sistem
atau menentukan jenis dan proses yang harus diterapkan dalam perusahaan, namun TI dapat
membantu menyediakan informasi yang dapat mempengaruhi pegambilan keputusan.
Awalnya penggunaan IT membantu para manajermen peroleh informasi dalam
pengambilan keputusan namun dengan kuantitas yang terlalu banyak, bahkan kontra produktif.
Namun kini hubungan itu telah berubah dan dalam proses bisnis, informasi memberikan
hubungan timbale balik yang begitu erat.
Dalam hal ini auditor harus memahami kebutuhan perusahaan dan informasi yang seperti
apa yang harus diberikan oleh sistem TI. TI memiliki tanggung jawab atas serangkaian proses
yang diaudit dalam perusahaan dan seharusnya menjadikan proses bisnis menjadi lebih efektif.
Dan CobiT dapat menjadi solusi efektif dalam kerangka pengendalian internal berbasis TI dan
proses bisnisnya.
Informasi dan perangkat pendukung TI sering kali telah menjadi aset paling berharga
bagi perusahaan dan manajemen bertanggungjawab besar untuk melindungi asset tersebut.
Manajemen sebagai pengguna TI dan auditor internal harus mengerti proses informasi yang
terkait dan pengendalian yang mendukungnya. Para pengguna ini berfokus pada keefektif dan
keefisiensian sumberdaya TI, Proses TI, dan kebutuhan perusahaan secara keseluruhan yang
merupakan dasar CobiT.
Tata kelola TI adalah kunci dari konsep CobiT. CobiT mendefinisikan tata kelola TI
sebagai serangkaian bidang utama meliputi focus pada strategi yang berpihak pada pentingnya
pengukuran kinerja dan risiko dalam mengatur sumberdaya TI.
CobiT juga member perhatian pada pengendalian dalam tiga dimensi yang berhubungan
dengan TI, yaitu sumber daya, proses, dan jenis informasi.
Using CobiT to Assess Internal Controls
Beberapa studi mulai mengkaji kerangka dasar CobiT untuk membantu
memahami konsepnya. Diharapkan dengan pemahaman yang mendalam tentang konsep
CobiT ini dapat berguna untuk menilai dan mengembangkan pengendalian internal
perusahaan.
Berdasarkan tiga dimensi pengendalian CobiT, setiap proses TI harus
dievaluasi melalui lima langkah berikut:
Pengendalian yang dilakukan (nama proses)
Fokus utama proses bisnis (daftar kebutuhan bisnis)
Tujuan penggunaan TI (daftar penting penggunaan TI)
Bagaimana mencapainya (daftar laporan pengendalian)
Dan diukur dengan (daftar kunci metrik)
Lima langkah tersebut dapat dimulai dari atas kebawah maupun sebaliknya
yang dapat berguna untuk memahami perangkat pendukung pengendalian dan proses bisnis
perusahaan. Meskipun CobiT selalu menekankan pada TI, namun langkah-langkah ini juga
harus digunakan untuk menganalisis pengndalian internal yang lain, baik terkait dengan TI atau
pun tidak.
a) Planning and enterprise
b) Acquisition and implementation
c) Delivery and support
d) Monitoring and evaluating
Dalam bukti 5.9 mengenai hubungan COSO dan COBIT dapat dilihat bahwa COSO
digunakan sebagai alat bantu khusus IT audit bukan hanya sebagai alat bantu yang
bersifat umum pada audit internal lainya. COBIT disini menekankan pada
penggunaan kerangka kerja COBIT bagi semua auditor guna membantu pekerjaan
mereka serta adanya SOX sebagai aturan persyaratan kepatuhan mereka.
5.5 COBIT PETUNJUK JAMINAN KERANGKA KERJA
Kerangka kerja COBIT diharapkan dapat memberikan panduan untuk membentuk
pengendalian internal yang lebih efektif dengan menggunakan penekanan pada
sumber daya ITnya. Pada tahun 2008 ITGI merilis sebuah pedoman jaminan kerangka
kerja (ITAF) yang difungsikan untuk memberikan pedoman pada pelikalu, desain,
serta pelaporan internal audit oleh IT. Tujuan dari ITAF adalah untuk mendefinikan
suatu standar perangkat guna membantu memastikan kualitas, konsistensi dan
keandalan penilaian IT berdasarkan peraturan-peratauran yang berlaku.
5.6 COBIT DALAM PERSEPTIF
Semua auditor internal harus memiliki pemahaman terhadap CBOK dalam
kerangka kerja COBIT, hal ini digunakan sebagai alat untuk menilai pengendalian internal
secara lebih teleti dan berorientasi pada lingkungan IT yang hampir semua lingkungan pasti
dialami oleh seorang auditor. Kekuatan sesungguhnya dari COBIT adalah fokus pada aturan-
aturan dari IT sendiri, seperti yang dijelaskan pada pada lampiran 5.1 yang menggambarkan
pentingnya aliansi strategi bisnis dan sumber daya IT. Serta pada penilaian pengirimana,
manajemen sumber daya, manajemen resiko dan proses pengukuran kinerja. Kelima sumber
daya tersebut memungkinkan perusahaan untuk membangun tata kelolah IT yang efektif serta
adanya COBIT yang akan membantu dalam pengelolahan dan pemahaman mengenai konsep-
konsep yang benar. Semua auditor diharapkan memiliki pemahaman tentang CBOK dari
COBIT dan belajar untuk menggunakan serta memahami pengendalian internal terhadap
penilaian kerangka kerja.
CHAPTER 6
Perusahaan perlu mengidentifikasi semua risiko usaha yang mereka hadapi- antara
lain resiko keuangan dan operasional serta sosial, etika, dan lingkungan dan untuk
mengelola risiko ke tingkat yang lebih diterima.
Manajemen risiko adalah konsep asuransi terkait di mana seorang individu atau
perusahaan menggunakan mekanisme asuransi untuk memberikan perlindungan dari
risiko-risiko tersebut. Empat langkah proses manajemen risiko ini harus dilaksanakan
pada semua tingkat
a) Identifikasi Resiko
Cara yang baik untuk memulai proses identifikasi risiko adalah denganmemulai dari
manajemen tinkat atas korporasi maupun unit operasi. Masing-masing unit mungkin
memiliki fasilitas di berbagai lokasi global dan dapat terdiri dari beberapa dan
berbagai jenis operasi.
Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar untuk lebih
menentukan risiko spesifik yang dihadapi berbagai unit perusahaan, seperti masuk
dalam contoh ini kelangsungan bisnis risiko di bawah risiko teknologi.
b) Key Risk Assessment
Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus berpikir dari
perkiraan likelihoods risiko individu dan kejadian dalam dua digit probabilitas
berkisar dari 0,01 sampai 0,99.
Kita telah membahas risiko pada individu organisasi tingkat unit, namun independensi
risiko harus selalu dipertimbangkan dan dievaluasi seluruh struktur organisasi.
Meskipun suatu entitas harus peduli tentang risiko di semua tingkat organisasi,
mereka hanya memiliki kontrol atas risiko dalam lingkup sendiri
ERM menyediakan kelayakan tapi jaminan tidak positif dalam pencapaian tujuan
Elemen-elemennya adalah
b) Penetapan Tujuan
ERM mensyaratkan pada saat menetapkan tujuan maka juga harus menyeting
resikonya dan risk responnya.
c) Event Identification
Political events
Social factors
Event Inventories
Facilliated workshop
d) Penilaian resiko
Penilaian resiko memungkinakan korporasi untuk mepertimbangkan apa dampak
potensial dari kejadian yang terkait resiko.
Resiko Inheren
Resiko residual
e) Respon Resiko
f) Aktivitas pengendalian
Merupakan kebijakan dan prosedur yang dilakukan untuk merespon resiko. Secara
umum pengendalian internal meliputi
Separation of duties
Audit trails
Documentation
Walaupun pengaturan standar dari aktivitas pengendalian ERM saat ini tidak disetujui,
dokumentasi COSO ERM menyarankan beberapa macam area yaitu
Information processing
Physical controls
Performance indikator
Segregation of duties
g) Informasi dan Komunikasi
h) Monitoring
Banyak jenis risiko operasi dapat berdampak perusahaan. Identifikasi risiko operasi
tingkat tujuan sering membutuhkan rinci pengumpulan informasi dan analisis,
terutama untuk sebuah perusahaan yang lebih besar yang meliputi beberapa wilayah
geografis, lini produk, atau bisnis proses.
Tujuan Risiko ini meliputi keandalan laporan suatu perusahaan dari internal dan
eksternal data keuangan dan nonkeuangan. Pelaporan yang akurat sangat penting
untuk keberhasilan suatu perusahaan dalam banyak dimensi. Laporan berita sering
detail dalam penemuan akurat pelaporan keuangan perusahaan dan mengakibatkan
dampak pasar saham untuk menyinggung entitas. Pelaporan yang tidak akurat yang
sama dapat menyebabkan masalah di banyak daerah.
Setiap jenis perusahaan harus mematuhi berbagai peraturan dan standar industri yang
berlaku. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko hukum kadang-
kadang benar-benar tak terduga. Di Amerika Serikat, misalnya, sistem hukum
penggugat agresif dapat menimbulkan risiko besar untuk dinyatakan perusahaan
bermaksud baik.
Auditor internal akan menghadapi isu-isu risiko dan manajemen risiko di banyak
daerah. Auditor internal yang efektif harus memahami proses manajemen risiko.
Terlalu sering, internal auditor akan akan melakukan suatu pengendalian internal
review di beberapa daerah dan akan diberitahu bahwa daerah itu atau tidak dipilih
karena "pertimbangan risiko." Auditor harus memiliki tingkat pengetahuan CBOK
proses manajemen risiko dasar untuk dapat mengajukan pertanyaan yang tepat dan
untuk meninjau kecukupan proses-proses tersebut.
Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat
mudah untuk mengabaikan karakteristik unik dari COSO ERM . Butuh waktu
bertahun-tahun untuk pengendalian internal COSO untuk diakui sebagai lebih dari
menarik teknis studi. Undang-undang awal SOx berbicara tentang akuntansi
internalstandar " yang akan didirikan . " Kemudian Perusahaan Publik Pengawasan
Akuntansi Dewan ( PCAOB ) mengamanatkan bahwa pengendalian internal COSO
harus review pengendalian internalstandar. IIA adalah pendukung awal yang penting ,
dan unsur-unsur ERM bisadilihat dalam versi baru dari tujuan Control untuk
informasi dan terkait Technology ( COBIT ) kerangka kerja ( lihat Bab 5 ) , tetapi
masih tidak pada tingkat yang sama penting dan signifikansi untuk suatu perusahaan
sebagai pengendalian internal COSO .