A. COBIT
Control Objective for Information & Related Technology (COBIT) adalah
sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu
auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko
bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk
mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan
bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola
secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya
dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai
framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga
swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di
setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.
Kesimpulan:
COBIT mengatur masalah tujuan yang harus dicapai oleh sebuah organisasi
dalam memberikan layanan TI, sedangkan ITIL merupakan best practice cara-
cara pengelolaan TI untuk mencapai tujuan organisasi. Sehingga dapat dikatakan
bahwa COBIT dan ITIL merupakan dua pendekatan dalam tata kelola TI dan tata
kelola layanan teknologi informasi yang saling melengkapi.
Secara umum dapat dikatakan bahwa COBIT merupakan sebuah model tata
kelola TI yang memberikan sebuah arahan yang lengkap mulai dari sistem mutu,
perencanaan, manajemen proyek, keamanan, pengembangan dan pengelolaan
layanan. Arahan dari COBIT kemudian didetailkan kembali oleh beberapa model
framework sesuai dengan perkembangan keilmuan.
B. COSO
Sistem Pengendalian Menurut COSO
Committee of Sponsoring Organization of The Treadway Commission (COSO) pada
tahun 1992 mengeluarkan definisi tentang pengendalian internal. Definisi COSO
tentang pengendalian intern sebagai berikut: Internal control is process, affected
by entility’s board of directors, management and other personnel, designed to
provide reasonable assurance regarding the achievement of objectives in the
following categories:
Effectiveness and efficiency of operations
Realibillty of Financial Reporting
Compliance with Applicable laws and regulations
Dalam bahasa Indonesia, terjemahannya sebagai berikut: sistem pengendalian
internal merupakan suatu proses yang melibatkan dewan komisaris, manajemen,
dan personil lain, yang dirancang untuk memberikan keyakinan memadai tentang
pencapaian tiga tujuan berikut ini:
Efektivitas dan efisiensi operasi
Keandalan pelaporan keuangan
Kepetuhan kerhadap hukum dan peraturan yang berlaku).
Komponen-komponen pengendalian internal menurut COSO antara lain:
1. A control environment (lingkungan pengendalian).
Merupakan tanggung jawab manajemen puncak untuk menyatakan dengan jelas
nilai-nilai integritas dan kegiatan tidak etis yang tidak dapat ditoleransi.
2. Risk assessment (penaksiran resiko).
Perusahaan harus mengidentifikasi dan menganalisis faktor-faktor yang
menciptakan resiko bisnis dan harus menentukan bagaimana caranya mengelola
resiko tersebut.
3. Control activities (kegiatan pengendalian).
Untuk mengurangi terjadinya kecurangan, manajemen harus merancang
kebijakan dan prosedur untuk mengidentifikasi resiko tertentu yang dihadapi
perusahaan.
4. Information and communication (informasi dan komunikasi).
Sistem pengendalian internal harus dikomunikasikan dan diinfokan kepada
seluruh karyawan perusahaan dari atas hingga bawah.
5. Monitoring (pemantauan).
Sistem pengendalian internal harus dipantau secara berkala. Apabila terjadi
kekurangan yang signifikan, harus segera dilaporkan kepada manajemen puncak
and ke dewan komisaris.
Defined Process.
Penerapan proses TI Plan and Organise di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan membuat perencanaan strategi TI, membuat
tata kelola beserta anggaran yang akan dikeluarkan, merumuskan IT Goals yang
selaras dengan Business Goals, memiliki arsitektur yang jelas dalam
mendokumentasikan tanggung jawab tiap-tiap bagian, bagian TI memiliki tanggung
jawab penuh dalam pengadaan infrastruktur TI, memberikan pelatihan bagi para
personil perusahaan, serta terintegrasinya informasi perusahaan.
Pengimplementasian proses TI Plan and Organise pada tingkat kematangan
Managed and measurable (Level 4).
Penerapan proses TI Acquire and Implement di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan merumuskan kebutuhan sistem bagi pengguna,
bertanggung jawab menentukan kriteria pemilihan vendor, pemeliharaan infrastruktur
TI, serta merumuskan materi pelatihan sistem aplikasi. Pengimplementasian proses
TI Acquire and Implement pada tingkat kematangan Optimised (Level 5).
Penerapan proses TI Deliver and Support di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan memastikan keselarasan IT Goals dan
Business Goals, memiliki kontrak dengan pihak ketiga, pengontrolan kinerja sistem,
mengontrol dan mengevaluasi pembiayaan, memiliki program pelatihan, sistem yang
telah bersifat preventif, adanya pengaturan kerahasiaan data, dan kontrol yang ketat
dalam pengaksesan informasi. Pengimplementasian proses TI Deliver and Support
pada tingkat kematangan Managed and measurable (Level 4).
Penerapan proses TI Monitor and Evaluate di departemen TI pada PT Erajaya
Swasembada, Tbk dilakukan dengan memonitor informasi operasional pada aplikasi,
sistem, dan proses, dokumentasi pengontrolan dan evaluasi, kepatuhan terhadap
peraturan dan kontrak, serta kejelasan pembagian tanggung jawab
dan kepemilikan tugas. Pengimplementasian proses TI Monitor and Evaluate
pada tingkat kematangan Managed and measurable (Level 4).
Daftar Pustaka:
Cangemi, P. Michael and Singleton, Tommie, Managing The Audit Functio. Third
Edition. United States: John Willey & Sons, 2003.