TUGAS MATA KULIAHPengauditan Manajemen Kelas C

Chapter 5, Another Internal Controls Framework: CobitChapter 6, Risk Management:COSO ERM

Kelompok 2Annisa Aprilia PF0312016Daisy TisnadjajaF0312037Nuraeni HidayatiF0312089

Jurusan Akuntansi Fakultas Ekonomi dan BisnisUniversitas Sebelas Maret, SurakartaSemester Genap 2014/2015

BAB 5ANOTHER INTERNAL CONTROLS FRAMEWORK: COBIT

Committee of Sponsoring Organization (COSO) adalah organisasi yang menjadi mekanisme standar yang mengukur dan mengevaluasi pengendalian akuntansi internal di bawah Sarbanes-Oxley Act (SOx). Sox dianggap kurang member perhatian penuh pada pengendalian internal berbasis TI. Oleh karena itu dibuatlah Control Objectives for Information and Related Technology (CobiT) yang lebih member perhatian terhadap pengendalian internal berbasis TI. CobiT bukanlah pengganti dari COSO sebagai kerangka hukum utama, namun merupakan alat yang membantu auditor untuk mengevaluasi pengendalian internal perusahaan yang telah berbasis TI. Mereka yang tidak menggunakan CobiT harus memiliki pemahaman yang cukup tinggi untuk melakukan audit.Introduction to CobiTPerubahan dan pembaharuan CobiT dilakukan oleh IT Governance Institute (ITGI) yang bekerja sama dengan Information System Audit and Control Association (ISACA). ISACA berfokus pada audit TI sedangkan ITGI pada penelitian dan proses pengelolaannya. ISACA awalnya diperkenalkan sebagai Electronic Data Processing Auditor Association (EDPAA) pada tahun 1967. Namun karena IIA merasa bahwa EDPAA tidak memberikan perhatian khusus pada pentingnya sistem TI dan pengendaliannya sebagai bagian dari audit internal, maka dibentuklah ISACA yang lebih focus pada TI. Kerangka CobiT sering digambarkan sebagai pentagon yang saling terkait, yang meliputi:1. Keselarasanstrategi1. Pendistribusian yang bernilai1. Manajemenrisiko1. Manajemensumberdaya1. PengukurankinerjaKelima elemen tersebut menggambarkan fokus utama dalam pengendalian internal dan CobiT telah menjadi alat yang paling efektif untuk mendokumentasikan TI dan pengendalian internal lainnya. Walupun awalnya hanya dikenal sebagai Audit TI, namun CobiT masih merupakan alat yang paling efektif hingga saat ini.CobiT FrameworkSekarang ini, proses berbasis TI, Software dan perangkat Hardware telah menjadi bagian penting perusahaan. Tak hanya perusahaan besar, bahkan perusahaan kecil pun menggunakannya seperti dalam siklus persediaan dan penggajian mereka. TI tidak bisa membentuk suatu sistem atau menentukan jenis dan proses yang harus diterapkan dalam perusahaan, namun TI dapat membantu menyediakan informasi yang dapat mempengaruhi pegambilan keputusan.Awalnya penggunaan IT membantu para manajermen peroleh informasi dalam pengambilan keputusan namun dengan kuantitas yang terlalu banyak, bahkan kontra produktif. Namun kini hubungan itu telah berubah dan dalam proses bisnis, informasi memberikan hubungan timbale balik yang begitu erat. Dalam hal ini auditor harus memahami kebutuhan perusahaan dan informasi yang seperti apa yang harus diberikan oleh sistem TI. TI memiliki tanggung jawab atas serangkaian proses yang diaudit dalam perusahaan dan seharusnya menjadikan proses bisnis menjadi lebih efektif. Dan CobiT dapat menjadi solusi efektif dalam kerangka pengendalian internal berbasis TI dan proses bisnisnya.Informasi dan perangkat pendukung TI sering kali telah menjadi aset paling berharga bagi perusahaan dan manajemen bertanggungjawab besar untuk melindungi asset tersebut. Manajemen sebagai pengguna TI dan auditor internal harus mengerti proses informasi yang terkait dan pengendalian yang mendukungnya. Para pengguna ini berfokus pada keefektif dan keefisiensian sumberdaya TI, Proses TI, dan kebutuhan perusahaan secara keseluruhan yang merupakan dasar CobiT. Tata kelola TI adalah kunci dari konsep CobiT. CobiT mendefinisikan tata kelola TI sebagai serangkaian bidang utama meliputi focus pada strategi yang berpihak pada pentingnya pengukuran kinerja dan risiko dalam mengatur sumberdaya TI.CobiT juga member perhatian pada pengendalian dalam tiga dimensi yang berhubungan dengan TI, yaitu sumber daya, proses, dan jenis informasi.Using CobiT to Assess Internal ControlsBeberapa studi mulai mengkaji kerangka dasar CobiT untuk membantu memahami konsepnya. Diharapkan dengan pemahaman yang mendalam tentang konsep CobiT ini dapat berguna untuk menilai dan mengembangkan pengendalian internal perusahaan.Berdasarkan tiga dimensi pengendalian CobiT, setiap proses TI harus dievaluasi melalui lima langkah berikut:1. Pengendalian yang dilakukan (nama proses)1. Fokus utama proses bisnis (daftar kebutuhan bisnis)1. Tujuan penggunaan TI (daftar penting penggunaan TI)1. Bagaimana mencapainya (daftar laporan pengendalian)1. Dan diukur dengan (daftar kunci metrik)Lima langkah tersebut dapat dimulai dari atas kebawah maupun sebaliknya yang dapat berguna untuk memahami perangkat pendukung pengendalian dan proses bisnis perusahaan. Meskipun CobiT selalu menekankan pada TI, namun langkah-langkah ini juga harus digunakan untuk menganalisis pengndalian internal yang lain, baik terkait dengan TI atau pun tidak.1. Planning and enterprise1. Acquisition and implementation1. Delivery and support1. Monitoring and evaluatingDalam bukti 5.9 mengenai hubungan COSO dan COBIT dapat dilihat bahwa COSO digunakan sebagai alat bantu khusus IT audit bukan hanya sebagai alat bantu yang bersifat umum pada audit internal lainya. COBIT disini menekankan pada penggunaan kerangka kerja COBIT bagi semua auditor guna membantu pekerjaan mereka serta adanya SOX sebagai aturan persyaratan kepatuhan mereka.COBIT PETUNJUK JAMINAN KERANGKA KERJAKerangka kerja COBIT diharapkan dapat memberikan panduan untuk membentuk pengendalian internal yang lebih efektif dengan menggunakan penekanan pada sumber daya ITnya. Pada tahun 2008 ITGI merilis sebuah pedoman jaminan kerangka kerja (ITAF) yang difungsikan untuk memberikan pedoman pada pelikalu, desain, serta pelaporan internal audit oleh IT. Tujuan dari ITAF adalah untuk mendefinikan suatu standar perangkat guna membantu memastikan kualitas, konsistensi dan keandalan penilaian IT berdasarkan peraturan-peratauran yang berlaku.COBIT DALAM PERSEPTIFSemua auditor internal harus memiliki pemahaman terhadap CBOK dalam kerangka kerja COBIT, hal ini digunakan sebagai alat untuk menilai pengendalian internal secara lebih teleti dan berorientasi pada lingkungan IT yang hampir semua lingkungan pasti dialami oleh seorang auditor. Kekuatan sesungguhnya dari COBIT adalah fokus pada aturan-aturan dari IT sendiri, yang menggambarkan pentingnya aliansi strategi bisnis dan sumber daya IT. Serta pada penilaian pengirimana, manajemen sumber daya, manajemen resiko dan proses pengukuran kinerja. Kelima sumber daya tersebut memungkinkan perusahaan untuk membangun tata kelolah IT yang efektif serta adanya COBIT yang akan membantu dalam pengelolahan dan pemahaman mengenai konsep-konsep yang benar. Semua auditor diharapkan memiliki pemahaman tentang CBOK dari COBIT dan belajar untuk menggunakan serta memahami pengendalian internal terhadap penilaian kerangka kerja.

Bab 6RISK MANAGEMENT:COSO ERM

Perusahaan perlu mengidentifikasi semua risiko usaha yang mereka hadapi-antara lain resikokeuangan dan operasional serta sosial, etika, dan lingkungan dan untuk mengelolarisiko ke tingkat yanglebih diterima.6.1. Dasar-dasar Manajemen RisikoManajemen risikoadalah konsep asuransi terkait di mana seorang individu atau perusahaan menggunakan mekanisme asuransi untuk memberikan perlindungan dari risiko-risiko tersebut. Proses manajemen resiko yang efektif memerlukan empat langkah, yaitu: (1) risk identification, (2) quantitative or qualitative assessment of the documented risks, (3) risk prioritization and response planning, and (4) risk monitoring. Empat langkah proses manajemen risiko ini harus dilaksanakan pada semua tingkat perusahaan dan dengan partisipasi dari banyak orang yang berbeda.a. Identifikasi ResikoManajemen harus berusaha untuk mengidentifikasi semua risiko yang mungkin mempengaruhi keberhasilan perusahaan, mulai dari yang besar atau lebih signifikan bisnis,secara keseluruhan risiko ke risiko kurang penting terkait dengan proyek-proyek individu atau lebih kecil unit bisnis. Proses identifikasi risikoperludipelajari, pendekatan yang disengaja untuk melihat potensi risiko di setiap daerah operasi dan kemudian mengidentifikasi lebihdaerah risiko signifikan yang dapat mempengaruhi setiap operasi dalam jangka waktu yang wajar.Cara yang baik untuk memulai proses identifikasi risiko adalah denganmemulai dari manajemen tinkat ataskorporasi maupun unit operasi. Masing-masing unit mungkin memiliki fasilitas di berbagai lokasi global dan dapat terdiri dari beberapa dan berbagai jenis operasi.Umumnya, model risiko tingkat tinggi ini dapat berfungsi sebagai dasar untuk lebih menentukan risiko spesifik yang dihadapi berbagai unit perusahaan, seperti masuk dalamcontohinikelangsungan bisnis risiko di bawah risiko teknologi.b. Key Risk AssessmentSetelah mengidentifikasi risiko perusahaan yang signifikan, langkah berikutnya adalah untuk menilai kemungkinan mereka dan signifikansi relatif. Berbagai pendekatan dapat digunakan di sini, mulai dari pendekatan kualitatif untuk beberapa rinci, kuantitatif sangat matematis analisis. Ide untuk membantu memutuskan mana dari serangkaianperistiwaberpotensi berisiko,harus memberikan manajemenresiko yang paling mengkhawatirkan.Manajer yang bertanggung jawab harus menilai risiko ini menggunakan pendekatan kuesioner.(i) Probabililty and UncertaintyKetika sejumlah besar risiko telah diidentifikasi, manajemen harus berpikir dari perkiraan likelihoods risiko individu dan kejadian dalam dua digit probabilitas berkisar dari 0,01 sampai 0,99.(ii) Risk InterdependenciesKita telah membahas risiko pada individu organisasi tingkat unit, namun independensi risiko harus selalu dipertimbangkan dan dievaluasi seluruh struktur organisasi. Meskipun suatu entitas harus peduli tentang risiko di semua tingkat organisasi, mereka hanya memiliki kontrol atas risiko dalam lingkup sendiri(iii) Risk RankingLangkah berikutnya adalah untuk mengambil makna dan kemungkinan perkiraan yang ditetapkan, menghitung risiko peringkat, dan mengidentifikasi risiko yang paling signifikan di seluruh entitas terakhir.c. Quantitative Risk Analysis Expected Value And Response PlanningAda sedikit nilai dalam mengidentifikasi risiko yang signifikan kecuali perusahaan memiliki setidaknya beberapa rencana awal untuk tindakan yang diperlukan jika salah satu risiko terjadi. Idenya adalah untuk memperkirakan dampak biaya dari timbulnya beberapa risiko yang diidentifikasi dan kemudian menerapkan biaya itu untuk kemungkinan risiko dalam mendapatkan nilai yang diharapkan atau biaya risiko. Risk MonitoringIdentifikasi risiko utama tidak pernah bisa menjadi proses yang dilakukan hanya sekali. Lingkungan sekitar risiko yang teridentifikasi akan segera berubah karena kondisi sekitarnya juga berubah. Untuk beberapa risiko, kondisi-kondisi bisa berubah sedemikian rupa sehingga risiko menjadi ancaman yang lebih besar. Setelah risiko telah diidentifikasi, perusahaan perlu memantau dan membuat penyesuaian yang berkelanjutan terhadap risiko sesuai yang diperlukan. Pemantauan risiko ini dapat dilakukan oleh pemilik proses atau reviewer independen. Audit internal seringkali merupakan sumber yang sangat kredibel dan baik untuk memantau status risiko yang teridentifikasi.

6.2. COSO ERM : Enterprise Risk ManagementCOSO Enterprise Risk Management adalah suatu kerangka kerja untuk membantu perusahaan untuk memiliki definisi yang konsisten dari risiko mereka. Ini juga merupakan alat penting bagi pemahamaninternaldan meningkatkan kontrol internal SOx. COSO ERM diluncurkan pada cara yang sama denganpengembangan kerangka pengendalian internal COSO, seperti dibahas dalam Bab 3.ERM didefinisikan:Enterprise risk management is a process, effected by an entitys board of directors, management and other personnel, applied in a strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.

Profesional harus mempertimbangkan poin-poin penting yang mendukungkerangka kerja ERM COSO iniyaitu ERM adalah sebuah proses ERM proses dilaksanakan oleh orang-orang di perusahaan ERM diterapkan melalui pengaturan strategi di perusahaan secara keseluruhan. Konsep risk appetite harus dipertimbangkan ERM menyediakan kelayakan tapi jaminan tidak positif dalam pencapaian tujuan ERM dirancang untuk membantu mencapai tujuan6.3COSO ERM Key ElementsBagian ini menjelaskan komponen horizontal COSO ERM; bagian selanjutnya membahas dua dimensi yang lain dan bagaimana mereka semua berhubungan satu sama lain. Tujuan kerangka ERM ini adalah untuk menyediakan model bagi perusahaan untuk mempertimbangkan dan memahami kegiatan yang berhubungan dengan risiko pada semua tingkat serta bagaimana dampak komponen risiko ini satu sama lain. Sebuah Tujuan dari bab ini adalah untuk membantu auditor intern-dari kepala eksekutif audit (CAE) untuk staf auditor untuk lebih memahami COSO ERM dan belajar bagaimana dapat membantu mengelola berbagai risiko yang dihadapi perusahaan.a. Komponen Lingkungan InternalElemen-elemennya adalah Filosofi Manajemen Resiko, Sampai seberapa jauh filosofi mempengaruhi manajemen Risk Appetite, Sampai seberapa jauh menerapkan resiko Tingkah Laku Pemangku Kepentingan, Sampai seberapa jauh solidnya Integritas dan Nilai etika, Nilai-nilai etika dalam menghadapi resiko Komitmen pada Kompetensi, Apakah orang-orang yang ditempatkan di struktur organisasi telah tepat dalam mengatasi resiko Struktur Organisasi, bagaimana bentuk organisasinya Penetapan Otoritas dan tanggung jawab, Apakah ada kejelasan pendelegasian wewenang dan job description Standar Sumber Daya Manusia, Apakah sudah ditentukan standar SDM nyab. Penetapan TujuanERM mensyaratkan pada saat menetapkan tujuan maka juga harus menyeting resikonya dan risk responnya.c. Event IdentificationMelakukan identifikasi kejadian-kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan korporasi yang telah ditetapkan. Eksternal Economic Events Natural Environmental Events Political events Social factors Internal Infrastructure Events Internal Process-related Events External & Internal Technological EventsCOSO ERM merilis teknik melalui beberapa pendekatan ini: Event Inventories Facilliated workshop Interviews, questionnaires,and surveys Process flow analysis Leading events and escalation trigers Lost event data trackingd. Penilaian resikoPenilaian resiko memungkinakan korporasi untuk mepertimbangkan apa dampak potensial dari kejadian yang terkait resiko. Resiko Inheren Resiko residuale. Respon Resiko Avoidance : menghindar resiko Reduction : mengurangi resiko Sharing : membagi resiko Acceptance : Menerima resikof. Aktivitas pengendalianMerupakan kebijakan dan prosedur yang dilakukan untuk merespon resiko. Secara umum pengendalian internal meliputi Separation of duties Audit trails Security & Integrity DocumentationWalaupun pengaturan standar dari aktivitas pengendalian ERM saat ini tidak disetujui, dokumentasi COSO ERM menyarankan beberapa macam area yaitu Top level review Direct functional or activity management Information processing\ Physical controls Performance indikator Segregation of dutiesg. Informasi dan KomunikasiInformasi dan komunikasi harus secara berkesinambungan dan terintegrasih. MonitoringERM monitoring adalah penting untuk menentukan semua yang di instal.

6.4 Other Dimensions of COSO ERM: Enterprise Risk Objectivesa. Tujuan operasi manjemen resikoBanyak jenis risiko operasi dapat berdampak perusahaan. Identifikasi risiko operasi tingkat tujuan sering membutuhkan rinci pengumpulan informasi dan analisis, terutama untuk sebuah perusahaan yang lebih besar yang meliputi beberapa wilayah geografis, lini produk, atau bisnis proses.b. Tujuan melaporkan resiko manajemenTujuan Risiko ini meliputi keandalan laporan suatu perusahaan dari internal dan eksternal data keuangan dan nonkeuangan. Pelaporan yang akurat sangat penting untuk keberhasilan suatu perusahaan dalam banyak dimensi. Laporan berita sering detail dalam penemuan akurat pelaporan keuangan perusahaan dan mengakibatkan dampak pasar saham untuk menyinggung entitas. Pelaporan yang tidak akurat yang sama dapat menyebabkan masalah di banyak daerah.c. Tujuan Risiko Kepatuhan Hukum dan PeraturanSetiap jenis perusahaan harus mematuhi berbagai peraturan dan standar industri yang berlaku. Sementara risiko kepatuhan dapat dipantau dan diakui, risiko hukum kadang-kadang benar-benar tak terduga. Di Amerika Serikat, misalnya, sistem hukum penggugat agresif dapat menimbulkan risiko besar untuk dinyatakan perusahaan bermaksud baik.6.5 Entity-Level Risksa. Risks Encompassing the Entire OrganizationBeberapa risiko di tingkat unit bisnis harus menggulung risiko entitas-tingkat. sekarang mudah bagi perusahaan untuk mempertimbangkan beberapa risiko tingkat unit sebagai "tidak material", untuk menggunakan pre-SOx terminologi akuntan publik, suatu perusahaan harus memikirkan semua risiko sebagai berpotensi signifikan.b. Business UnitLevel RisksRisiko terjadi di semua tingkatan dari suatu perusahaan. Resiko harus dipertimbangkan dalam setiap organisasi yang signifikan unit. Bahkan risiko yang teridentifikasi dalam posisi kepemilikan minoritas dalam penjualan perusahaan negara asing, misalnya, mungkin risiko yang unik ke unit itu, tetapi kemudian harus menggulung ke entitas secara keseluruhan

6.6 Putting It All TogetherThe COSO framework ERM dijelaskan di sini membahas pendekatan manajemen risiko yang berlaku untuk semua industri dan meliputi semua jenis risiko. Dengan fokus pada pengakuan selera suatu perusahaan untuk risiko dan kebutuhan untuk menerapkan manajemen risiko dalam konteks pengaturan strategi secara keseluruhan, COSO ERM memiliki beberapa dasar perbedaan dari kebanyakan model risiko yang telah digunakan sampai saat ini. COSO ERM belum digunakan cukup lama untuk menunjuk ke serangkaian.6.7 Auditing Risk and COSO ERM ProcessesAuditor internal akan menghadapi isu-isu risiko dan manajemen risiko di banyak daerah. Auditor internal yang efektif harus memahami proses manajemen risiko. Terlalu sering, internal auditor akan akan melakukan suatu pengendalian internal review di beberapa daerah dan akan diberitahu bahwa daerah itu atau tidak dipilih karena "pertimbangan risiko." Auditor harus memiliki tingkat pengetahuan CBOK proses manajemen risiko dasar untuk dapat mengajukan pertanyaan yang tepat dan untuk meninjau kecukupan proses-proses tersebut.6.8 Risk Management and COSO ERM in PerspectiveKarena dua model kerangka terlihat sangat mirip pada pengamatan pertama, sangat mudah untuk mengabaikan karakteristik unik dari COSO ERM . Butuh waktu bertahun-tahun untuk pengendalian internal COSO untuk diakui sebagai lebih dari menarik teknis studi. Undang-undang awal SOx berbicara tentang akuntansi internalstandar " yang akan didirikan . " Kemudian Perusahaan Publik Pengawasan Akuntansi Dewan ( PCAOB ) mengamanatkan bahwa pengendalian internal COSO harus review pengendalian internalstandar. IIA adalah pendukung awal yang penting , dan unsur-unsur ERM bisadilihat dalam versi baru dari tujuan Control untuk informasi dan terkait Technology ( COBIT ) kerangka kerja ( lihat Bab 5 ) , tetapi masih tidak pada tingkat yang sama penting dan signifikansi untuk suatu perusahaan sebagai pengendalian internal COSO .