Dokumen tersebut membahas tentang COBIT, COSO, dan ERM. COBIT merupakan kerangka kerja untuk mengelola TI secara efektif dan mendukung bisnis. COSO memberikan kerangka kerja pengendalian internal untuk menilai dan memperbaiki sistem pengendalian. Sedangkan ERM adalah proses mengelola risiko perusahaan untuk mencapai tujuan bisnis.
1, si & pi,mislia, hapzi ali, si ancaman terhadap sistem informasi akunta...
5, si & pi,mislia, hapzi ali, si model rerangka pengendalian cobit, coso dan erm, universitas mercu buana, 2019.doc
1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
COBIT, COSO DAN ERM
Dosen :
Prof. Dr. Ir. Hapzi Ali, MM, CMA
Disusun Oleh:
NAMA : Mislia
NIM : 55518120050
PROGRAM MEGISTER AKUNTANSI
UNIVERSITAS MERCUBUANA
JAKARTA
2019
2. PENGERTIAN COBIT, COSO DAN ERM
A. COBIT
Control Objective for Information & Related Technology (COBIT) adalah sekumpulan
dokumentasi best practicesuntuk IT Governance yang dapat membantu auditor,
pengguna(user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan
control dan masalah-masalah teknis IT. COBIT bermanfaat bagi auditor karena merupakan
teknik yang dapat membantu dalam identifikasi IT control issues. (Sasongko, 2009)
COBIT memiliki fungsi tidak saja dalam mengelola Teknologi Informasi, tetapi juga
sebagai Pengendali investasi dan risiko pada lingkungan TI.
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja (framework) untuk
mengatur keselaran TI dengan bisnis dimana teknologi informasi dikelola dengan baik.
Kerangka Kerja COBIT terdiri dari beberapa arahan/pedoman, yakni :
1. Control Objectives (Pengendalian Tujuan); yang terdiri dari 4 domain yaitu: Planing &
Organization, Aquisition & Implementation, Delivery & Support, dan Monitoring &
Evaluation.
2. Audit Guidelines (Arahan Auditor); berisi tujuan-tujuan pengendalian yang bersifat rinci
untuk membantu para auditor dalam memberikan saran perbaikan kepada manajemen.
3. Management Guidelaines ( (Arahan Manajemen); berisi arahan, baik secara umum
maupun spesific mengenai apasaja yang mesti dilakukan, agar dapat menjawab
pertanyaan-pertanyaan:
- Bagaimana biaya pengelolaan dan manfaat TI yang dikelola
- Apa saja indikator untuk suatu kinerja yang baik
- Apa saja indikator atau kondisi yang harus diciptakan agar dapat mencapai
kesuksesan
- Risiko-risiko apa saja yang mungkin timbul
- Apa yang dilakukan oleh pesaing
- Bagaimana mengukur keberhasilan dan bagaimana membandingkannya
3. Dari uraian singkat diatas maka Manfaat untuk pengguna COBIT adalah :
1. Manajemn : Untuk pengambilan keputusan investasi TI, untuk pertimbangan
keseimbangan antara risiko dan kontrol investasi serta untuk bencmark lingkungan TI
sekarang dan ke depan.
2. Pengguna (User) : Untuk memperoleh jaminan keamanan dan kontrol produk dan jasa
yang dibutuh secara internal maupun eksternal
3. Auditor : Untuk memperkuat simpulan (Opini) untuk manajemen dalam hal Control
internal, dan untuk memberikan saran pada contol minimum yang diperlukan.
Sedangkan lingkup kriteria informasi yang menjadi perhatian COBIT adala :
Effectiveness, Efficiency, Confidentiality, Availability, Complience dan Reability.
B. COSO
Pengertian COSO Committee of Sponsoring Organizations of the Treadway
Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada
tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan
penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian
tersebut.
COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria
internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.
COSO ini membentuk framework COSO Internal Control yang memfokuskan pada
pengelolaan keuangaan, seiring waktu berlangsung terjadi perkembangan dan COSO
membentuk Framework COSO Enterprise Risk Management yang mulai meluaskan fokus
pada pengelolaan resiko menurut Committee of sponsoring organizations (COSO) dalam
Krismiaji (2015:220) menjelaskan bahwa pengendalian intern adalah suatu proses yang
diterapkan oleh dewan direktur, manajemen, dan untuk memberikan jaminan yang cukup
bahwa tujuan pengendalian berikut ini dapat dicapai, yaitu:
1. Efektifitas dan efisiensi operas
2. Daya andal dan laporan keuangan
3. Kesesuaian dengan hukum dan peraturan yang berlaku
4. FUNGSI COSO adalah Memberikan pemikiran kepemimpinan melalui pengembangan
kerangka kerja dan pedoman yang komprehensif tentang manajemen risiko perusahaan ,
pengendalian internal dan pencegahan kecurangan yang dirancang untuk meningkatkan kinerja
organisasi dan tata pemerintahan dan untuk mengurangi tingkat kecurangan dalam organisasi
Pada tahun 1992 COSO mempublikasikan sebuah kerangka kerja pengendalian intern yang
akhirnya banyak menjadi acuan bagi para dewan direksi, eksekutif, regulator, penyusun
standar, organisasi profesi untuk mengukur efektivitas pengendalian item.
Kerangka kerja itu dikenal dengan sebutan Internal Control-Integrated Framework. Pada tahun
1994 kerangka krja tersebut mengalami perubahan minor dengan tambahan ruang lingkup
terkait management report on internal control.
Kerangka kerja pengendalian intern COSO 1992 memberikan definisi umum tentang
pengendalian intern dan memberikan kerangka kerja untuk menilai dan memperbaiki system
pengendalian intern. Kerangka tersebut menyatakan bahwa pengendalian intern dirancang
untuk meberikan keyakinan memadai terhadap pencapaian tiga tujuan organisasi yaitu;
1. Efektivitas dan efisiensi operasi
2. Keandalan pelaporan keuangan
3. Kepatuhan terhadap hukum dan peraturan.
C. ENTERPRISE RISK MANAGEMENT
Enterprise Risk Management (ERM) merupakan sebuah proses yang diterapkan dalam
penentuan startegi perusahaan, didesain untuk mengidentifikasi kemungkinan yang potensial
yang mungkin mempengaruhi entitas (Pedrusahaan), dan mengelola risiko-risiko dan
kecendrungan risiko yng mungkin terjadi, untuk menyediakan jaminan yang layak mengenai
pencapaian tujuan entitas (Perusahaan)
Manfaat dari penerapan ERM adalah untuk meningkatkan kemampuan sebuah
perusahaan untuk menyelaraskan risk appetite dengan strategi dan arah kebijakan perusahaan
sehingga dapat meningkatkan kualitas keputusan yang diambil oleh manajemen perusahaan
dalam merespon risiko.
5. Elemen-elemen ERM yang mempengaruhi sekaligus mendukung ERM adalah :
1. Lingkungan Internal Perusahaan : berkaitan dengan budaya risiko yang ada dalam
perusahaan serta bagaimana nantinya enterprise risk manajemen diterapkan.
2. Penentuan Tujuan : Identifikasi risiko-risiko pada masing-masing tujuan harus dapat
dilakukan sebelum tujuan tersebut ditetapkan menjadi tujuan perusahaan.
3. Identifikasi kejadia risiko; tujuannnya adalah agar dapat dilakukan pemetaan yang jelas
atas risiko-risiko yang mungkinterjadi serta bagaimana meminimalisasinya.
4. Kontrol dan komonikasi: dilakuakn secara terus menerus untuk mengelola risiko dalam
perusahaan sehingga risiko yang sama tidak terjadi secara berulang.
IMPLEMETASI COBIT, COSO dan ERM di PT PLN (PERSERO)
Secara garis besar Control Objective for Information and Related Technology (COBIT) diPLN
(Persero) telah dilaksanakan dengan baik dan ditangani secara struktural di Divisi Sistem dan
Teknologi Informasi (DIVSI) yang dikepalai oleh seorang Kepala Divisi dibawah Direksi,
dengan cakupan secara nasional sehingga teknologi Informasi di PLN (Persero) dikelola secara
terpusat. Perencanaan, Kebijakan dan arah pengembangan Teknologi Informasi di PLN
dikelola secara terpusat. Pembagian kerja dalam pengelolaan Teknologi Informasi kemudian
di tangani oleh 4 sub divisi (Bidang) yaitu :
1. Bidang perencanaan Teknologi Informasi
2. Bidang Pengendalian Teknologi Informasi
3. Bidang Infrastruktur Teknologi Informasi
4. Bidang Pengembangan Teknologi Informasi
5. Bidang Operasional Teknologi Informasi
Masing masing bidang tersebut dikendalikan oleh Manajemen Senior.
Dalam Pengembanagn Pengelolaan Bisnis dan pembangunan Sistem Informasi, PT PLN
(Persero) membentuk Anak Perusahaan yaitu PT ICON+yang melaksanakan dan menjalankan
kebijakan-kebijakan dan pengembangan sistem yang digunakan oleh PT PLN seluruh
indonesia.
6. Dalam perkembangannya PT ICON+ juga melayani kebutuhan pembangunan dan pengelolaan
Teknologi Informasi untuk eksternal.
Sementara itu untuk Pengendalian Internal terhadap bisnis perusahaan, PT PLN (Persero)
memiliki Satuan Pengawas Intern (SPI) yang organisasinya tersebar diseluruh Indonesia sesuai
dengan unit bisnis PT PLN (Persero). Struktur Satuan Pengawas Intern berada dibawah
Direksi sehingga tanggungjawab dan kewenangannya dalam mengawasi tata kelola dan bisnis
perusahaan menjadi lebih efektif serta dalam memeberikan masukan kepada manajemen
menjadi lebih cepat dan efektif pula.
Untuk pengelolaan Risiko bisnis atau Enterprise Risk Manajement (ERM) , PT PLN (Persero)
membentuk satu Divisi dibawah Direksi yang menangani risiko-risiko yang dihadapi
perusahaan atau yang mungkin timbul diperusahaan. Divisi inilah yang melakukan pemetaan,
pengkategorian serta membuat mitigasi risiko yang kemudian dievaluasi dan di kontrol secara
terus menerus setiap bulan, triwulanan, semesteran dan tahunan.