cobit dan coso

COBIT dan COSO

Mahasiswa dapat menjelaskan standarEDP Audit

Curr

iculu

m V

itae

D III Akuntansi STAN (Bintaro)2002-2005

SD s.d SMU (Magelang)1985-2002

Rohmad Adi Siaman SST. Akt., M.Ec.Dev.NIP. 19850529 200602 1 003Magelang, 29 Mei 1985

Auditor Terampil, BPKP Maluku (Ambon)

2006-2008

DIV Akuntansi STAN (Bintaro)2009-2010

Auditor Pertama, BPKPKalimantan Selatan (Banjarbaru)

2011-2012

S2 MEP UGM (Yogyakarta)2012-2014

Auditor Muda, BPKP Pusat danDosen Tidak Tetap PKN

STAN(Jakarta)2014-sekarang

Conta

ctRohmad Adi Siaman SST. Akt., M.Ec.Dev.NIP. 19850529 200602 1 003Magelang, 29 Mei 1985

085243341401

085243341401

www.adis.web.id

twitter.com/adiswebid

facebook.com/rohmadadis

slideshare.net/rohmadadis

Praktik Korupsi Asing

Foreign Corruption Practices Act (FCPA) dikeluarkan diUSA pada tahun 1977 untuk mencegah perusahaanmenyuap pejabat asing agar mendapatkan proyek. FCPAjuga mengharuskan perusahaan memiliki sistempengendalian akuntansi internal. Tapi UU ini ternyatatidak mampu mencegah permasalahan yang adasetelahnya.

Salah satu dari The Big Five KAPterlibat dalam skandal ini. KAP

manakah itu?

Apa kesimpulan yang bisa ditarikdari dua skandal di atas?

Mencegah kejahatan laporan

keuangan

Memperkuat pengendalian

internal

Membuat laporan keuangan lebih

transparan

Memberikan perlindungan

kepada investor

Menghukum eksekutif yang

melakukan kejahatan

Aspek Terpenting SOX

PCAOB Auditor Komite Audit CEO dan CFO Internal Control

Public Company

Accounting Oversight

Board untuk mengatur

profesi pengauditan

Memberikankritik pada

praktek dankebijakanakuntansi,

Auditor harusdirotasi,

Larangan bagiauditor untuklayanan non

audit

Komiteaudit harus

ada di jajarandewan

direktur, Independen,

Salah satuanggota

harus ahlikeuangan

LaporanKeuanganharus di

reviu, Manajemen

harusmemberitahu

auditor jikaterdapat

kelemahanpengendalianinternal dankecurangan

Manajemenharus

bertanggung-jawab untukmembangundan menjaga

sistempengendalianinternal yang

memadai

Pengendalian Internal

Apakah pengendalian internal itu?

Manakah yang tidak termasuk pengendalian internal?1. Pemisahan tugas bendahara dan kasir2. Pemasangan alat pemadam kebakaran pada gudang3. Pemeriksaan laporan keuangan oleh BPK4. Penggunaan kas kecil pada perusahaan5. Perlunya satuan pengendalian internal dalam

perusahaan

Definisi

Kebijakan, prosedur, dan praktik dan struktur organisasiyang dirancang untuk memberikan keyakinan yang wajarbahwa tujuan organisasi dapat dicapai dan hal-hal yangtidak diinginkan dapat dicegah atau dideteksi dan diperbaiki

Kerangka Pengendalian

Information System Audit and Control Association

Control Objectives for Information and Related Technology

COSO – IC FRAMEWORK

COSO – ERM FRAMEWORK

COSO IC Framework

IC Framework Vs ERM Framework

Apa perbedaan antara COSO IC Framework dan COSO ERM

Framework?

IC Framework Vs ERM Framework

• Lebih Sederhana dan diterapkandi pemerintahan RI melalui PP60 Tahun 2008 tentang SistemPengendalian InternalPemerintah

• Pendekatan Controls-based

• Lebih Komprehensif

• Pendekatan Risk-based

• Lebih fleksibel dan relevan

• Terdapat penanganan risiko yanglebih lengkap

• Lebih banyak diadopsi di dunia

LATAR BELAKANG

• Era reformasi : Masyarakat menilai bagaimana penyelenggaraan kinerja pemerintahan

• Pelayanan publik menjadi sorotan masih sering dijumpai komplain/kritik kinerja pemerintahan terutama pelayanan yang kurang efektif dan efisien.

• Standar Minimal Pelayanan sebagai tolak ukur mutu pelayanan pemerintah belum dijalankan secara optimal

LATAR BELAKANG

• Belum efektifnya pengawasan internal pemerintah oleh Aparat Pengawas Intern pemerintah (APIP) : BPKP dan Inspektorat

• Lemahnya SPI : membuka terjadinya penyimpangan pelaksanaan anggaran (APBN/APBD).

Pemerintah menerbitkan PP No. 60 Tahun 2008 tentang Standar Pengendalian Intern Pemerintahan.

PENYELENGGARAAN PEMERINTAHAN :PENGELOLAAN KEUANGAN NEGARA YG EFEKTIF, EFISIEN, TRANSPARAN DAN AKUNTABLEPENINGKATAN PELAYANAN PUBLIK

Pencapaian tujuan Instansi Pemerintah

SPIP

•VISI – MISI PRESIDEN

•Mengutamakan hard control•Soft control : tidak tersentuh (integritas, komitmen, kepemimpinan, nilai etika) • KKN

Apa perbedaan HardControl dan SoftControl?

Apa sebenarnya SPI dan SPIP?

SPI adalah proses yang integral pada tindakan dan kegiatan yang dilakukan secaraterus-menerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinanmemadai atas tercapainya tujuan organisasi melalui kegiatan yang efektif danefisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatanterhadap peraturan perundang-undangan (PP 60/2008, Bab I Ps. 1 butir 1)

SPIP adalah sistem pengendalian intern (SPI) yang diselenggarakan secaramenyeluruh di lingkungan pemerintah pusat dan pemerintah daerah

(PP 60/2008, Bab I Ps. 1 butir 2)

SPIP

Pemantauan

Pengendalian

Intern

Informasi &

Komunikasi

Kegiatan

Pengendalian

Penilaian Risiko

Lingkungan

Pengendalian

Identifikasi Risiko

Analisis Risiko

Sarana Komunikasi

Sistem Informasi

Pemantauan Berkelanjutan

Evaluasi Terpisah

Tindak Lanjut

Pembinaan Sumber Daya Manusia

Pengendalian Pengelolaan Sistem InformasiPengendalian Fisik atas AsetPenetapan & Reviu Indikator & Ukuran KinerjaPemisahan FungsiOtorisasi Transaksi dan Kejadian PentingPencatatan yang Akurat dan Tepat WaktuPembatasan Akses atas Sumber DayaAkuntabilitas terhadap Sumber Daya

Reviu atas Kinerja Instansi Pemerintah

Dokumentasi atas Sistem Pengendalian Intern

Kebijakan yang Sehat tentang Pembinaan SDMPendelegasian Wewenang dan Tanggung JawabStruktur Organisasi yang Sesuai Kebutuhan

Kepemimpinan yang Kondusif

Komitmen terhadap Kompetensi

Penegakan Integritas dan Etika

Peran APIP yang Efektif

Hubungan Kerja yang Baik

Ps. 4

Ps. 13

Ps. 18

Ps. 41

Ps. 43

a. Lingkungan pengendalianKondisi dalam instansi pemerintah yang mempengaruhiefektivitas pengendalian intern.

Pimpinan instansi pemerintah wajib menciptakan danmemelihara lingkungan pengendalian yang menimbulkanperilaku positif dan kondusif untuk penerapan sistempengendalian intern dalam lingkungan kerjanya.

Lingkungan pengendalian merupakan fondasi bagiefektifitas penerapan komponen SPIP lainnya.

UNSUR SISTEM PENGENDALIAN INTERN DALAM PERATURAN PEMERINTAH

b. Penilaian risikoKegiatan penilaian atas kemungkinan kejadian yangmengancam pencapaian tujuan dan sasaran InstansiPemerintah. Penilaian risiko terdiri dari identifikasi risikodan analisis risiko.Dalam penilaian risiko, pimpinan Instansi Pemerintahterlebih dahulu menetapkan tujuan instansi pemerintahdan tujuan pada tingkat kegiatan dengan berpedomanpada peraturan perundang-undangan.


Apa yang dimaksuddengan Risiko?

c. Kegiatan pengendalianTindakan yang diperlukan untuk mengatasi risiko sertapenetapan dan pelaksanaan kebijakan dan prosedur untukmemastikan bahwa tindakan mengatasi risiko telahdilaksanakan secara efektif.

Kegiatan pengendalian ditetapkan untuk membantumemastikan bahwa arahan pimpinan Instansi Pemerintahdilaksanakan dan membantu memastikan tindakan yangperlu, telah dilakukan untuk meminimalkan risiko dalammencapai tujuan


Apa perbedaanLingkunganPengendalian danAktivitasPengendalian?

d. Informasi dan komunikasi

Informasi adalah data yang telah diolah yang dapat digunakanuntuk pengambilan keputusan dalam rangka penyelenggaraantugas dan fungsi Instansi Pemerintah.

Sedangkan komunikasi adalah proses penyampaian pesan atauinformasi dengan menggunakan simbol atau lambang tertentubaik secara langsung maupun tidak langsung untukmendapatkan umpan balik.


Sebutkan contoh perolehaninformasi dan penyampaiankomunikasi yang tidak tepat!

e. Pemantauan Pengendalian InternProses penilaian atas mutu kinerja sistem pengendalianintern dan proses yang memberikan keyakinan bahwatemuan audit dan evaluasi lainnya segera ditindaklanjuti.Pemantauan pengendalian intern dilaksanakan melaluipemantauan berkelanjutan, evaluasi terpisah, dan tindaklanjut rekomendasi hasil audit dan reviu lainnya.


Kapankah tindak lanjut dari suatutemuan audit, evaluasi dll dinyatakantelah selesai? Siapa yangmenentukan?

SPIP YANG EFEKTIF

• SPI merupakan proses, efektivitasnya adalah kondisi;

• SPIP Efektif jika Tujuan SPIP tercapai yaitu:• Tercapainya tujuan dengan efektif dan efisien;

• Andalnya laporan keuangan;

• Amannya aset negara;

• Taatnya organisasi pada ketentuan yang berlaku.

• Efektivitas tersebut perlu dievaluasi secara berkala.

Informasi

Informasi adalah salah satu sumber daya bagi semua perusahaan

Informasi dibuat, digunakan, disimpan, diungkapkan dan dihancurkan.

Teknologi memainkan peran kunci dalam tindakan ini. Mengapa?

Teknologi menjadi meresap dalam semua aspek bisnis dan kehidupan

pribadi.

Manfaat apa yang diberikan oleh informasi dan teknologi pada

perusahaan?

Pentingnya Informasi Bagi Stakeholder

• Untuk memenuhi kebutuhan stakeholder dibutuhkan tata kelola dan

manajemen TI yang bagus

• Dewan Komisaris, Eksekutif dan Manajemen merangkul TI sama

pentingnya dengan bagian lain dalam perusahaan.

• Untuk itu diperlukan sebuah kerangka yang lengkap untuk membantu

perusahaan mencapai tujuan mereka dan membantu mereka mencapai

value yang mereka inginkan melalui tata kelola dan manajemen TI yang

efektif

Apakah COBIT Itu?

Sebuah model yang dikembangkan untuk membantuperusahaan dalam pengelolaan sumber daya teknologiinformasi (TI).

COBIT menciptakan sebuah jembatan antaramanajemen TI dan para eksekutif bisnis. COBITmampu menyediakan bahasa yang umum sehinggadapat dipahami oleh semua pihak.

Fokus utama dari COBIT adalah perusahaan akanmampu meningkatkan nilai tambah melaluipenggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.

COBIT adalah kerangka bisnis untuk tatakelola dan manajemen perusahaan IT (ITgovernance framework), dan juga kumpulanalat yang mendukung para manager untukmenjembatani jarak (gap) antara kebutuhanyang dikendalikan (control requirements),masalah teknis (technical issues) dan resikobisnis (business risk).

Versi evolusi menggabungkan pemikiranterbaru dalam tata kelola perusahaan danteknik manajemen, dan memberikan prinsip-prinsip yang diterima secara global, praktek,alat-alat analisis dan model untuk membantumeningkatkan kepercayaan, dan nilai dari,sistem informasi.

Apa perbedaan COBIT dan General Control dan Application Control?

Perbedaan COBIT dan General Control danApplication ControlGeneral Control dan Application Control ialah teori yang membedakan jenis-jenispengendalian dalam TI.

Sedangkan COBIT merupakan model, kerangka, kumpulan alat, best practice dalam tatakelola TI dan manajemen.

COBIT mempermudah perkembangan peraturan yang jelas (clear policy development) danpraktik baik (good practice) untuk mengendalikan IT dalam organisasi.

COBIT menekankan kepatuhan terhadap peraturan, membantu organisasi untukmeningkatkan nilai yang ingin dicapai dengan penggunaan IT, memungkinkan untukmenyelaraskan dan menyederhanakan penerapan dari the COBIT framework.

Sejarah COBITCOBIT telah memiliki lima rilis utama:1. Pada tahun 1996, edisi pertama dirilis

COBIT.2. Pada tahun 1998, edisi kedua

menambahkan "PedomanPengelolaan".

3. Pada tahun 2000, edisi ketiga dirilis.Kemudian pada tahun 2003, versi on-line tersedia.

4. Pada bulan Desember 2005, edisikeempat dirilis. Pada bulan Mei 2007,revisi 4.1 saat dirilis.

5. COBIT 5 dirilis pada bulan Juni 2012.Ini mengkonsolidasikan danmengintegrasikan COBIT 4.1, Val IT2.0 dan Risk IT.

COBIT 5 Product Family

Source: COBIT® 5, figure 11. © 2012 ISACA® All rights reserved.

COBIT 5 EnablersEnablers secara luas didefinisikansebagai sesuatu hal apapun yang dapatmembantu mencapai tujuanperusahaan.

Enablers adalah faktor yang – secaraindividual maupun kolektif –mempengaruhi apakah sesuatu dapatberjalan dengan baik, dalam kasus iniadalah apakah tata kelola danmanajemen TI perusahaan dapatberjalan dengan baik.

1. Prinsip-prinsip, kebijakan-kebijakan dan framework : sarana untuk menerjemahkan tingkah laku yangdiinginkan kedalam petunjuk praktek untuk pelaksanaan manajemen harian.

2. Proses : menjelaskan kumpulan terorganisasi dari praktek-praktek dan aktivitas-aktivitas untuk mencapaitujuan yang telah ditentukan dan menghasilkan sekumpulan keluaran di dalam dukungan pencapaianseluruh sasaran TI.

3. Struktur organisasi : entitas pembuatan keputusan kunci di dalam perusahaan.4. Budaya, etika dan tingkah laku : merupakan kebiasaan dari individu dan perusahaan yang sering

dianggap sebagai faktor penghambat kesuksesan di dalam aktivitas tata kelola dan manajemen.5. Informasi : sebuah kebutuhan untuk memastikan agar organisasi tetap berjalan dan dapat dikelola

dengan baik. Tetapi ditingkat operasional, informasi seringnya digunakan sebagai hasil dari prosesperusahaan.

6. Layanan, infrastruktur dan aplikasi : menyediakan layanan dan proses teknologi informasi bagiperusahaan.

7. Orang, keterampilan dan kemampuan : dibutuhkan untuk menyelesaikan aktivitas dan membuatkeputusan yang tepat serta mengambil tindakan-tindakan perbaikan.

COBIT 5 Enablers

Praktek COBIT 5 Enablers

Proses

Prinsip-prinsip, kebijakan-kebijakan dan framework

Orang, keterampilan dan kemampuan

Layanan, infrastruktur dan aplikasi

Informasi

Budaya, etika dan tingkah laku

Struktur organisasi

Perolehan data yang valid dan akurat

Penggunaan LAN berbasis wireless

Standar Operasi dan Prosedur

Indikator kinerja

Kode etik dan aturan perilaku

Pelatihan, Workshop dan Seminar

Susunan organisasi berdasarkan tugas pokokdan fungsi

COBIT 5 Principles

Memenuhi Kebutuhan Stakeholder

Melingkupi Seluruh Perusahaan

Menerapkan Suatu Kerangka Tunggal yang Terintegrasi

Menggunakan sebuah pendekatan yang menyeluruh

Pemisahan Tata kelola Dari Manajemen

1. Memenuhi Kebutuhan Stakeholder

Perusahaan ada untuk menciptakan nilai bagi para stakeholdernyadengan menjaga keseimbangan antara realisasi keuntungan danoptimasi risiko dan penggunaan sumber daya.

Apa value yang diciptakanoleh PKN STAN bagistakeholders sehinggaorganisasi ini bisa tetap eksis?

1. Memenuhi Kebutuhan Stakeholder

Penggerak stakeholder mempengaruhi kebutuhan stakeholder

Kebutuhan stakeholder diturunkan menjadi tujuan perusahaan

Tujuan perusahaan diturunkan menjadi tujuan yang berhubungan dengan TI

Tujuan TI diturunkan menjadi tujuan pemicu (enabler goal)

2. Melingkupi Seluruh Perusahaan

Pemicu Tata Kelola

• Sumber daya organisasi untuk tata kelola, seperti kerangka kerja, prinsip, struktur, proses, dan praktik

Ruang Lingkup Tata Kelola

• Tata kelola dapat diterapkan pada seluruh perusahaan, suatu entitas, suatu aset yang tangible maupun intangible, dsb

Peran, Aktivitas, dan Hubungan

• Menentukan siapa yang terlibat dalam tata kelola, bagaimana merekaterlibat, apa yang mereka lakukan dan bagaimana mereka berinteraksidalam suatu ruang lingkup sistem tata kelola

2. Melingkupi Seluruh Perusahaan

COBIT 5 mencakup semua fungsi dan proses dalam perusahaan. COBIT 5 tidak

hanya fokus pada ‘fungsi TI’, namun memperlakukan informasi dan teknologi yang

berhubungan dengannya sebagai suatu aset yang perlu ditangani oleh semua

orang dalam perusahaan seperti juga aset-aset perusahaan yang lain.Di PKN STAN, identifikasikan pihak yangmelakukan/memiliki peran sebagai :a. Operasi dan eksekusib. Manajemenc. Governing Bodyd. Pemilik dan Stakeholders

3. Menerapkan Suatu Kerangka Tunggal yang Terintegrasi

COBIT 5 adalah sebuah kerangka tunggal dan terintegrasi karena :

• Selaras dengan standar dan kerangka kerja lain yang relevan danterbaru,

• Sangat lengkap menjangkau semua lingkup perusahaan

• Menyediakan sebuah arsitektur sederhana untuk menyusun bahanpanduan dan menghasilkan produk yang konsisten

• Mengintegrasikan semua pengetahuan sebelumnya yang terpecah-pecah dalam kerangka ISACA yang berbeda-beda. Seperti : COBIT, ValIT, Risk IT, BMIS, ITAF, dan lain-lain.

PR!! Jelaskan secara singkat yangdimaksud dengan :a. Val ITb. Risk ITc. BMISd. ITAF

4. Menggunakan sebuah pendekatan yang menyeluruh

COBIT 5 mendefinisikan serangkaian pemicu untuk mendukungimplementasi sistem yang komprehensif tentang tata kelola danmanajemen TI perusahaan.

5. Pemisahan Tata kelola Dari Manajemen

Apakah perbedaan antara Tata Kelola dan Manajemen?

5. Pemisahan Tata kelola Dari Manajemen

Kunci perbedaan antara tata kelola dan manajemen menurut COBIT 5 adalah :

Tata kelola menjamin bahwa kebutuhan stakeholder, kondisi-kondisi, dan pilihan-pilihanselalu dievaluasi untuk menentukan tujuan perusahaan yang seimbang dan disepakati untukdicapai; menentukan arah melalui penentuan prioritas dan pengambilan keputusan; danmemantau pemenuhan unjuk kerja terhadap tujuan dan arah yang disepakati.

Manajemen bertugas untuk merencanakan, membangun, menjalankan, dan memantauaktivitas dalam rangka penyelarasan dengan arah perusahaan yang telah ditentukan olehbadan pengelola (tata kelola), untuk mencapai tujuan perusahaan. Pada kebanyakanperusahaan, manajemen adalah tanggung jawab manajemen eksekutif di bawah pimpinanseorang CEO.

Kekurangan COBIT

1. COBIT hanya memberikan panduan kendali dan tidak memberikan

panduan implementasi operasional.

2. Kerumitan penerapan. Apakah semua control objective dan detailed

control objective harus diadopsi, ataukah hanya sebagian saja?

Bagaimana memilihnya?

3. COBIT hanya berfokus pada kendali dan pengukuran.

4. COBIT kurang dalam memberikan panduan keamanan namun

memberikan wawasan umum atas proses TI pada organisasi.

Referensi

• Cobit 5 Introduction : ISACA

• Paparan SPIP : BPKP

cobit dan coso

Software