PENGAUDITAN MENEJEMEN

KELOMPOK 10

1. BAYU PRASSETYO (F1316028)

2. DADAN RAMADHANIAL (F1316035)

3. YOGA PRATAMA NUGROHO (F1316107)

PROGRAM STUDI AKUNTANSI (TRANSFER)

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS SEBELAS MARET

SURAKARTA
 2017

BAB 5

11991ANOTHER INTERNAL CONTROLS FRAMEWORK: COBIT

Committee of Sponsoring Organization (COSO) adalah organisasi yang menjadi mekanisme

standar yang mengukur dan mengevaluasi pengendalian akuntansi internal di bawah Sarbanes-
Oxley Act (SOx). Sox dianggap kurang member perhatian penuh pada pengendalian internal
berbasis TI. Oleh karena itu dibuatlah Control Objectives for Information and Related
Technology (CobiT) yang lebih member perhatian terhadap pengendalian internal berbasis TI.
CobiT bukanlah pengganti dari COSO sebagai kerangka hukum utama, namun merupakan alat
yang membantu auditor untuk mengevaluasi pengendalian internal perusahaan yang telah
berbasis TI. Mereka yang tidak menggunakan CobiT harus memiliki pemahaman yang cukup
tinggi untuk melakukan audit.

Introduction to CobiT
Kerangka kerja CobiT kini telah diperluas dan sebagai auditor, sedikitnya harus memahami
untuk membantu pendokumentasian, pengkajian, dan pemahaman SOx. Perubahan dan
pembaharuan CobiT dilakukan oleh IT Governance Institute (ITGI) yang bekerja sama dengan
Information System Audit and Control Association (ISACA). ISACA berfokus pada audit TI
sedangkan ITGI pada penelitian dan proses pengelolaannya. ISACA awalnya diperkenalkan
sebagai Electronic Data Processing Auditor Association (EDPAA) pada tahun 1967. Namun
karena IIA merasa bahwa EDPAA tidak memberikan perhatian khusus pada pentingnya sistem TI
dan pengendaliannya sebagai bagian dari audit internal, maka dibentuklah ISACA yang lebih
focus pada TI. Kerangka CobiT sering digambarkan sebagai pentagon yang saling terkait, yang
meliputi:
Keselarasan strategi
Pendistribusian yang bernilai
Manajemen risiko
Manajemen sumber daya
 Pengukuran kinerja
 Kelima elemen tersebut menggambarkan fokus utama dalam pengendalian internal dan
CobiT telah menjadi alat yang paling efektif untuk mendokumentasikan TI dan pengendalian
internal lainnya. Walupun awalnya hanya dikenal sebagai AuditCobiT masihTI, nam
merupakan alat yang paling efektif hingga saat ini.

CobiT Framework
Sekarang ini, proses berbasis TI, Software dan perangkat Hardware telah menjadi bagian
penting perusahaan. Tak hanya perusahaan besar, bahkan perusahaan kecil pun menggunakannya
seperti dalam siklus persediaan dan penggajian mereka. TI tidak bisa membentuk suatu sistem
atau menentukan jenis dan proses yang harus diterapkan dalam perusahaan, namun TI dapat
membantu menyediakan informasi yang dapat mempengaruhi pegambilan keputusan.
Awalnya penggunaan IT membantu para manajermen peroleh informasi dalam
pengambilan keputusan namun dengan kuantitas yang terlalu banyak, bahkan kontra produktif.
Namun kini hubungan itu telah berubah dan dalam proses bisnis, informasi memberikan
hubungan timbale balik yang begitu erat.
Dalam hal ini auditor harus memahami kebutuhan perusahaan dan informasi yang seperti
apa yang harus diberikan oleh sistem TI. TI memiliki tanggung jawab atas serangkaian proses
yang diaudit dalam perusahaan dan seharusnya menjadikan proses bisnis menjadi lebih efektif.
Dan CobiT dapat menjadi solusi efektif dalam kerangka pengendalian internal berbasis TI dan
proses bisnisnya.
Informasi dan perangkat pendukung TI sering kali telah menjadi aset paling berharga
bagi perusahaan dan manajemen bertanggungjawab besar untuk melindungi asset tersebut.
Manajemen sebagai pengguna TI dan auditor internal harus mengerti proses informasi yang
terkait dan pengendalian yang mendukungnya. Para pengguna ini berfokus pada keefektif dan
keefisiensian sumberdaya TI, Proses TI, dan kebutuhan perusahaan secara keseluruhan yang
merupakan dasar CobiT.
Tata kelola TI adalah kunci dari konsep CobiT. CobiT mendefinisikan tata kelola TI
sebagai serangkaian bidang utama meliputi focus pada strategi yang berpihak pada pentingnya
pengukuran kinerja dan risiko dalam mengatur sumberdaya TI.
CobiT juga member perhatian pada pengendalian dalam tiga dimensi yang berhubungan
dengan TI, yaitu sumber daya, proses, dan jenis informasi.
 Using CobiT to Assess Internal Controls
Beberapa studi mulai mengkaji kerangka dasar CobiT untuk membantu
memahami konsepnya. Diharapkan dengan pemahaman yang mendalam tentang konsep
CobiT ini dapat berguna untuk menilai dan mengembangkan pengendalian internal
perusahaan.
Berdasarkan tiga dimensi pengendalian CobiT, setiap proses TI harus
dievaluasi melalui lima langkah berikut:
Pengendalian yang dilakukan (nama proses)
Fokus utama proses bisnis (daftar kebutuhan bisnis)
Tujuan penggunaan TI (daftar penting penggunaan TI)
Bagaimana mencapainya (daftar laporan pengendalian)
Dan diukur dengan (daftar kunci metrik)

Lima langkah tersebut dapat dimulai dari atas kebawah maupun sebaliknya
yang dapat berguna untuk memahami perangkat pendukung pengendalian dan proses bisnis
perusahaan. Meskipun CobiT selalu menekankan pada TI, namun langkah-langkah ini juga
harus digunakan untuk menganalisis pengndalian internal yang lain, baik terkait dengan TI atau
pun tidak.
a) Planning and enterprise
b) Acquisition and implementation
c) Delivery and support
d) Monitoring and evaluating
Dalam bukti 5.9 mengenai hubungan COSO dan COBIT dapat dilihat bahwa COSO
digunakan sebagai alat bantu khusus IT audit bukan hanya sebagai alat bantu yang
bersifat umum pada audit internal lainya. COBIT disini menekankan pada
penggunaan kerangka kerja COBIT bagi semua auditor guna membantu pekerjaan
mereka serta adanya SOX sebagai aturan persyaratan kepatuhan mereka.

5.5 COBIT PETUNJUK JAMINAN KERANGKA KERJA
Kerangka kerja COBIT diharapkan dapat memberikan panduan untuk membentuk
pengendalian internal yang lebih efektif dengan menggunakan penekanan pada
sumber daya ITnya. Pada tahun 2008 ITGI merilis sebuah pedoman jaminan kerangka
kerja (ITAF) yang difungsikan untuk memberikan pedoman pada pelikalu, desain,
 serta pelaporan internal audit oleh IT. Tujuan dari ITAF adalah untuk mendefinikan
suatu standar perangkat guna membantu memastikan kualitas, konsistensi dan
keandalan penilaian IT berdasarkan peraturan-peratauran yang berlaku.

5.6 COBIT DALAM PERSEPTIF
Semua auditor internal harus memiliki pemahaman terhadap CBOK dalam
kerangka kerja COBIT, hal ini digunakan sebagai alat untuk menilai pengendalian internal
secara lebih teleti dan berorientasi pada lingkungan IT yang hampir semua lingkungan pasti
dialami oleh seorang auditor. Kekuatan sesungguhnya dari COBIT adalah fokus pada aturan-
aturan dari IT sendiri, seperti yang dijelaskan pada pada lampiran 5.1 yang menggambarkan
pentingnya aliansi strategi bisnis dan sumber daya IT. Serta pada penilaian pengirimana,
manajemen sumber daya, manajemen resiko dan proses pengukuran kinerja. Kelima sumber
daya tersebut memungkinkan perusahaan untuk membangun tata kelolah IT yang efektif serta
adanya COBIT yang akan membantu dalam pengelolahan dan pemahaman mengenai konsep-
konsep yang benar. Semua auditor diharapkan memiliki pemahaman tentang CBOK dari
COBIT dan belajar untuk menggunakan serta memahami pengendalian internal terhadap
penilaian kerangka kerja.

CHAPTER 6

MANAJEMEN RESIKO : COSO ERM

Perusahaan perlu mengidentifikasi semua risiko usaha yang mereka hadapi- antara
lain resiko keuangan dan operasional serta sosial, etika, dan lingkungan dan untuk
mengelola risiko ke tingkat yang lebih diterima.

6.1 Dasar-dasar Manajemen Risiko

Manajemen risiko adalah konsep asuransi terkait di mana seorang individu atau
perusahaan menggunakan mekanisme asuransi untuk memberikan perlindungan dari
risiko-risiko tersebut. Empat langkah proses manajemen risiko ini harus dilaksanakan
pada semua tingkat

perusahaan dan dengan partisipasi dari banyak orang yang berbeda.

a) Identifikasi Resiko

Manajemen harus berusaha untuk mengidentifikasi semua risiko yang

mungkin mempengaruhi keberhasilan perusahaan, mulai dari yang besar atau lebih
signifikan bisnis, secara keseluruhan risiko ke risiko kurang penting terkait dengan
proyek-proyek individu atau lebih kecil unit bisnis. Proses identifikasi
risiko perlu dipelajari, pendekatan yang disengaja untuk melihat potensi risiko di
setiap daerah operasi dan kemudian mengidentifikasi lebih daerah risiko signifikan
yang dapat mempengaruhi setiap operasi dalam jangka waktu yang wajar.

Cara yang baik untuk memulai proses identifikasi risiko adalah denganmemulai dari
manajemen tinkat atas korporasi maupun unit operasi. Masing-masing unit mungkin
memiliki fasilitas di berbagai lokasi global dan dapat terdiri dari beberapa dan
berbagai jenis operasi.

Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar untuk lebih
menentukan risiko spesifik yang dihadapi berbagai unit perusahaan, seperti masuk
dalam contoh ini kelangsungan bisnis risiko di bawah risiko teknologi.
 b) Key Risk Assessment

Setelah mengidentifikasi risiko perusahaan yang signifikan, langkah

berikutnya adalah untuk menilai kemungkinan mereka dan signifikansi relatif.
Berbagai pendekatan dapat digunakan di sini, mulai dari pendekatan kualitatif untuk
beberapa rinci, kuantitatif sangat matematis analisis. Ide untuk membantu
memutuskan mana dari serangkaian peristiwa berpotensi berisiko, harus memberikan
manajemen resiko yang paling mengkhawatirkan. Manajer yang bertanggung jawab
harus menilai risiko ini menggunakan pendekatan kuesioner.

(i) Probabililty and Uncertainty

Ketika sejumlah besar risiko telah diidentifikasi, manajemen harus berpikir dari
perkiraan likelihoods risiko individu dan kejadian dalam dua digit probabilitas
berkisar dari 0,01 sampai 0,99.

(ii) Risk Interdependencies

Kita telah membahas risiko pada individu organisasi tingkat unit, namun independensi
risiko harus selalu dipertimbangkan dan dievaluasi seluruh struktur organisasi.
Meskipun suatu entitas harus peduli tentang risiko di semua tingkat organisasi,
mereka hanya memiliki kontrol atas risiko dalam lingkup sendiri

(iii) Risk Ranking

Langkah berikutnya adalah untuk mengambil makna dan kemungkinan perkiraan

yang ditetapkan, menghitung risiko peringkat, dan mengidentifikasi risiko yang paling
signifikan di seluruh entitas terakhir.

6.2 COSO ERM : Enterprise Risk Manage

COSO Enterprise Risk Management adalah suatu kerangka kerja untuk

membantu perusahaan untuk memiliki definisi yang konsisten dari risiko mereka. Ini
juga merupakan alat penting bagi pemahaman internal dan meningkatkan kontrol
internal SOx. COSO ERM diluncurkan pada cara yang sama dengan pengembangan
kerangka pengendalian internal COSO, seperti dibahas dalam Bab 3. Profesional
harus mempertimbangkan poin-poin penting yang mendukung kerangka kerja ERM
COSO ini a. l.

ERM adalah sebuah proses

 ERM proses dilaksanakan oleh orang-orang di perusahaan

ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan.

Konsep risk appetite harus dipertimbangkan

ERM menyediakan kelayakan tapi jaminan tidak positif dalam pencapaian tujuan

ERM dirancang untuk membantu mencapai tujuan

6.3 COSO ERM Key Elements

Bagian ini menjelaskan komponen horizontal COSO ERM; bagian selanjutnya

membahas dua dimensi yang lain dan bagaimana mereka semua berhubungan satu
sama lain. Tujuan kerangka ERM ini adalah untuk menyediakan model bagi
perusahaan untuk mempertimbangkan dan memahami kegiatan yang berhubungan
dengan risiko pada semua tingkat serta bagaimana dampak komponen risiko ini satu
sama lain. Sebuah Tujuan dari bab ini adalah untuk membantu auditor intern-dari
kepala eksekutif audit (CAE) untuk staf auditor untuk lebih memahami COSO ERM
dan belajar bagaimana dapat membantu mengelola berbagai risiko yang dihadapi
perusahaan.

a) Komponen Lingkungan Internal

Elemen-elemennya adalah

Filosofi Manajemen Resiko, Sampai seberapa jauh filosofi mempengaruhi

manajemen

Risk Appetite, Sampai seberapa jauh menerapkan resiko

Tingkah Laku Pemangku Kepentingan, Sampai seberapa jauh solidnya

Integritas dan Nilai etika, Nilai-nilai etika dalam menghadapi resiko

Komitmen pada Kompetensi, Apakah orang-orang yang ditempatkan di struktur

organisasi telah tepat dalam mengatasi resiko

Struktur Organisai, bagaimana bentuk organisasinya

Penetapan Otoritas dan tanggung jawab, Apakah ada kejelasan pendelegasian

wewenang dan job description
 Standar Sumber Daya Manusia, Apakah sudah ditentukan standar SDM nya

b) Penetapan Tujuan

ERM mensyaratkan pada saat menetapkan tujuan maka juga harus menyeting
resikonya dan risk responnya.

c) Event Identification

Melakukan identifikasi kejadian-kejadian internal dan eksternal yang mempengaruhi

pencapaian tujuan korporasi yang telah ditetapkan.

Eksternal Economic Events

Natural Environmental Events

Political events

Social factors

Internal Infrastructure Events

Internal Process-related Events

External & Internal Technological Events

COSO ERM merilis teknik melalui beberapa pendekatan ini:

Event Inventories

Facilliated workshop

Interviews, questionnaires,and surveys

Process flow analysis

Leading events and escalation trigers

Lost event data tracking

d) Penilaian resiko
 Penilaian resiko memungkinakan korporasi untuk mepertimbangkan apa dampak
potensial dari kejadian yang terkait resiko.

Resiko Inheren

Resiko residual

e) Respon Resiko

Avoidance : menghindar resiko

Reduction : mengurangi resiko

Sharing : membagi resiko

Acceptance : Menerima resiko

f) Aktivitas pengendalian

Merupakan kebijakan dan prosedur yang dilakukan untuk merespon resiko. Secara
umum pengendalian internal meliputi

Separation of duties

Audit trails

Security & Integrity

Documentation

Walaupun pengaturan standar dari aktivitas pengendalian ERM saat ini tidak disetujui,
dokumentasi COSO ERM menyarankan beberapa macam area yaitu

Top level review

Direct functional or activity management

Information processing

Physical controls

Performance indikator

Segregation of duties
 g) Informasi dan Komunikasi

Informasi dan komunikasi harus secara berkesinambungan dan terintegrasi

h) Monitoring

ERM monitoring adalah penting untuk menentukan semua yang di instal.

6.4 Other Dimensions of COSO ERM: Enterprise Risk Objectives

a) Tujuan operasi manjemen resiko

Banyak jenis risiko operasi dapat berdampak perusahaan. Identifikasi risiko operasi
tingkat tujuan sering membutuhkan rinci pengumpulan informasi dan analisis,
terutama untuk sebuah perusahaan yang lebih besar yang meliputi beberapa wilayah
geografis, lini produk, atau bisnis proses.

b) Tujuan melaporkan resiko manajemen

Tujuan Risiko ini meliputi keandalan laporan suatu perusahaan dari internal dan
eksternal data keuangan dan nonkeuangan. Pelaporan yang akurat sangat penting
untuk keberhasilan suatu perusahaan dalam banyak dimensi. Laporan berita sering
detail dalam penemuan akurat pelaporan keuangan perusahaan dan mengakibatkan
dampak pasar saham untuk menyinggung entitas. Pelaporan yang tidak akurat yang
sama dapat menyebabkan masalah di banyak daerah.

c) Tujuan Risiko Kepatuhan Hukum dan Peraturan

Setiap jenis perusahaan harus mematuhi berbagai peraturan dan standar industri yang
berlaku. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko hukum kadang-
kadang benar-benar tak terduga. Di Amerika Serikat, misalnya, sistem hukum
penggugat agresif dapat menimbulkan risiko besar untuk dinyatakan perusahaan
bermaksud baik.

6.5 Entity-Level Risks

a) Risks Encompassing the Entire Organization

 Beberapa risiko di tingkat unit bisnis harus menggulung risiko entitas-tingkat.
sekarang mudah bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat
unit sebagai "tidak material", untuk menggunakan pre-SOx terminologi akuntan
publik, suatu perusahaan harus memikirkan semua risiko sebagai berpotensi
signifikan.

b) Business UnitLevel Risks

Risiko terjadi di semua tingkatan dari suatu perusahaan. Resiko harus

dipertimbangkan dalam setiap organisasi yang signifikan unit. Bahkan risiko yang
teridentifikasi dalam posisi kepemilikan minoritas dalam penjualan perusahaan negara
asing, misalnya, mungkin risiko yang unik ke unit itu, tetapi kemudian harus
menggulung ke entitas secara keseluruhan

6.6 Putting It All Together

The COSO framework ERM dijelaskan di sini membahas pendekatan manajemen

risiko yang berlaku untuk semua industri dan meliputi semua jenis risiko. Dengan
fokus pada pengakuan selera suatu perusahaan untuk risiko dan kebutuhan untuk
menerapkan manajemen risiko dalam konteks pengaturan strategi secara keseluruhan,
COSO ERM memiliki beberapa dasar perbedaan dari kebanyakan model risiko yang
telah digunakan sampai saat ini. COSO ERM belum digunakan cukup lama untuk
menunjuk ke serangkaian.

6.7 Auditing Risk and COSO ERM Processes

Auditor internal akan menghadapi isu-isu risiko dan manajemen risiko di banyak
daerah. Auditor internal yang efektif harus memahami proses manajemen risiko.
Terlalu sering, internal auditor akan akan melakukan suatu pengendalian internal
review di beberapa daerah dan akan diberitahu bahwa daerah itu atau tidak dipilih
karena "pertimbangan risiko." Auditor harus memiliki tingkat pengetahuan CBOK
proses manajemen risiko dasar untuk dapat mengajukan pertanyaan yang tepat dan
untuk meninjau kecukupan proses-proses tersebut.

6.8 Risk Management and COSO ERM in Perspective

Karena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat
mudah untuk mengabaikan karakteristik unik dari COSO ERM . Butuh waktu
 bertahun-tahun untuk pengendalian internal COSO untuk diakui sebagai lebih dari
menarik teknis studi. Undang-undang awal SOx berbicara tentang akuntansi
internalstandar " yang akan didirikan . " Kemudian Perusahaan Publik Pengawasan
Akuntansi Dewan ( PCAOB ) mengamanatkan bahwa pengendalian internal COSO
harus review pengendalian internalstandar. IIA adalah pendukung awal yang penting ,
dan unsur-unsur ERM bisadilihat dalam versi baru dari tujuan Control untuk
informasi dan terkait Technology ( COBIT ) kerangka kerja ( lihat Bab 5 ) , tetapi
masih tidak pada tingkat yang sama penting dan signifikansi untuk suatu perusahaan
sebagai pengendalian internal COSO .