tugas cobit
DESCRIPTION
tugas cobitTRANSCRIPT
![Page 1: tugas cobit](https://reader035.vdokumen.com/reader035/viewer/2022071705/563dbb2e550346aa9aaaef48/html5/thumbnails/1.jpg)
1. COBIT
COBIT (Control Objectives for Information and Related Technology) adalah sebuah
proses model yang dikembangkan untuk membantu perusahaan dalam pengelolaan
sumber daya teknologi informasi (IT). COBIT menciptakan sebuah jembatan antara
manajemen TI dan para eksekutif bisnis. COBIT mampu menyediakan bahasa yang
umum sehingga dapat dipahami oleh semua pihak.
Domain
a. Planning and organization
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana
IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu,
realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk
berbagai perspektif yang berbeda.
b. Acquisition dan implementation
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau
diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis.
c. Delivery and Support
Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT.
Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem
IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian
sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk
isu/masalah keamanan dan juga pelatihan.
d. Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas
dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya
pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian
independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh
dari sumber-sumber anternatif lainnya.
Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem informasi.
Sudut pandang atas internal control adalah kesatuan beberapa proses yang terdiri
atas kebijakan, prosedur, penerapan serta struktur organisasi.
![Page 2: tugas cobit](https://reader035.vdokumen.com/reader035/viewer/2022071705/563dbb2e550346aa9aaaef48/html5/thumbnails/2.jpg)
Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem
yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang
dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan
peraturan yang berlaku.
Komponen/domain yang dituju adalah perencanaan dan pengorganisasian,
pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian.
Fokus pengendalian dari COBIT adalah sisi teknologi informasi.
Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut
diterapkan dalam periode waktu yang sudah ditetapkan.
Pertanggungjawaban atas sistem pengendalian dari COBIT ditujukan kepada
manajemen
2. COSO
Menurut COSO framework, internal control terdiri dari 5 komponen yang saling terkait,
yaitu:
a. Control environment, merupakan pondasi dari komponen lainnya yang meliputi
diantaranya:
Integritas dan etika
Komitmen untuk meningkatkan kompetensi
Dewan komisaris dan komite audit
Filosofi manajemen dan jenis operasi
Kebijakan dari praktek sumber daya manusia
b. Risk assessment
Terdiri dari identifikasi resiko dan analisis resiko. Identifikasi resiko meliputi
pengujian terhadap faktor-faktor eksternal seperti perkembangan teknologi,
persaingan dan perubahan ekonomi. Faktor intgernal diantaranya kompetensi
karyawan, sifat dari aktivitas bisnis, dan karakteristik pengelolaan system informasi.
Sedangan analisis resiko meliputi mngestimasi signifikansi resiko, menilai
kemungkinannya terjadi risk, dan bagaimana mengelola resiko.
c. Contol activities
![Page 3: tugas cobit](https://reader035.vdokumen.com/reader035/viewer/2022071705/563dbb2e550346aa9aaaef48/html5/thumbnails/3.jpg)
Terdiri dari kebijakan prosedur yang menjamin karyawan melaksanakan arahan
manajemen. Aktivitas pengendalian meliputi review terhadap system pengendalian,
pemisahan tugas, dan pengendalian terhadap system informasi.
d. Information and communication
Perlu untuk mengakses informasi dari dalam dam luar, mengembangkan strategi
yang potensial dari system terintegrasi, serta perlunya data yang berkualitas.
Sedangkan komunikasi berfokus kepada penyampaian permasalahan pengendalian
internal dan mengumpulkan informasi dari pesaing.
e. Monitoring
Manajemen perlu melakukan pengawasan terhadap keseluruhan system
pengendalian internal melalui aktivitas atau area yang khus
Fokus Pengguna Utama adalah manajemen.
Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.
Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem
yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian
dengan peraturan yang berlaku.
Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen
resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.
Fokus pengendalian dari eSAC adalah keseluruhan entitas.
Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut
diterapkan dalam poin waktu tertentu.
Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada
manajemen.
3. ERM
Di tahun 2004, COSO mengeluarkan Report Enterprise Risk Management – Integrated
Framework, sebagai pengembangan COSO framework sebelumnya. Dijelaskan ada 8
komponen dalam Enterprise Risk Management, yaitu:
a. Internal environment
![Page 4: tugas cobit](https://reader035.vdokumen.com/reader035/viewer/2022071705/563dbb2e550346aa9aaaef48/html5/thumbnails/4.jpg)
Komponen ini berkaitan dengan lingkungan dimana instansi Pemerintah berada dan
beroperasi. Cakupannya adalah risk-management philosophy (kultur manajemen
tentang risiko), integrity (integritas), risk-perspective (perspektif terhadap risiko),
risk-appetite (selera atau penerimaan terhadap risiko), ethical values (nilai moral),
struktur organisasi, dan pendelegasian wewenang
b. Objective setting
Manajemen harus menetapkan objectives (tujuan-tujuan) dari organisasi agar dapat
mengidentifikasi, mengakses, dan mengelola risiko. Objective dapat diklasifikasikan
menjadi strategic objective dan activity objective. Strategic objective di instansi
Pemerintah berhubungan dengan pencapaian dan peningkatan kinerja instansi
dalam jangka menengah dan panjang, dan merupakan implementasi dari visi dan
misi instansi tersebut. Sementara itu, activity objective dapat dipilah menjadi 3
kategori, yaitu (1) operations objectives; (2) reporting objectives; dan (3) compliance
objectives.
c. Event identification
Komponen ini mengidentifikasi kejadian-kejadian potensial baik yang terjadi di
lingkungan internal maupun eksternal organisasi yang mempengaruhi strategi atau
pencapaian tujuan dari organisasi. Kejadian tersebut bisa berdampak positif
(opportunities), namun dapat pula sebaliknya atau negative (risks). Terdapat 4 model
dalam identifikasi risiko, yaitu (1) Exposure analysis; (2) Environmental analysis; (3)
Threat scenario; (4) Brainstorming questions.
d. Risk assessment
Komponen ini menilai sejauhmana dampak dari events (kejadian atau keadaan)
dapat mengganggu pencapaian dari objectives. Besarnya dampak dapat diketahui
dari inherent dan residual risk, dan dapat dianalisis dalam dua perspektif, yaitu:
likelihood (kecenderungan atau peluang) dan impact/consequence (besaran dari
terealisirnya risiko). Dengan demikian, besarnya risiko atas setiap kegiatan organisasi
merupakan perkalian antara likelihood dan consequence.
Penilaian risiko dapat menggunakan dua teknik, yaitu: (1) qualitative techniques;
dan (2) quantitative techniques. Qualitative techniques menggunakan beberapa
tools seperti self-assessment (low, medium, high), questionnaires, dan internal audit
reviews. Sementara itu, quantitative techniques data berbentuk angka yang
![Page 5: tugas cobit](https://reader035.vdokumen.com/reader035/viewer/2022071705/563dbb2e550346aa9aaaef48/html5/thumbnails/5.jpg)
diperoleh dari tools seperti probability based, non-probabilistic models (optimalkan
hanya asumsi consequence), dan benchmarking.
e. Risk response
Organisasi harus menentukan sikap atas hasil penilaian risiko. Risk response dari
organisasi dapat berupa: (1) avoidance, yaitu dihentikannya aktivitas atau pelayanan
yang menyebabkan risiko; (2) reduction, yaitu mengambil langkah-langkah
mengurangi likelihood atau impact dari risiko; (3) sharing, yaitu mengalihkan atau
menanggung bersama risiko atau sebagian dari risiko dengan pihak lain; (4)
acceptance, yaitu menerima risiko yang terjadi (biasanya risiko yang kecil), dan tidak
ada upaya khusus yang dilakukan.
f. Control activities
Komponen ini berperanan dalam penyusunan kebijakan-kebijakan (policies) dan
prosedur-prosedur untuk menjamin risk response terlaksana dengan efektif. Aktifitas
pengendalian memerlukan lingkungan pengendalian yang meliputi: (1) integritas dan
nilai etika; (2) kompetensi; (3) kebijakan dan praktik-praktik SDM; (4) budaya
organisasi; (5) filosofi dan gaya kepemimpinan manajemen; (6) struktur organisasi;
dan (7) wewenang dan tanggung jawab.
g. Information and communication
Fokus dari komponen ini adalah menyampaikan informasi yang relevan kepada pihak
terkait melalui media komunikasi yang sesuai. Faktor-faktor yang perlu diperhatikan
dalam penyampaiaan informasi dan komunikasi adalah kualitas informasi, arah
komunikasi, dan alat komunikasi.
Informasi yang disajikan tergantung dari kualitas informasi yang ingin disampaikan,
dan kualitas informasi dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current;
(4) accurate; dan (5) accessible. Arah komunikasi dapat bersifat internal dan
eksternal. Sedangkan alat komunikasi berupa diantaranya manual, memo, buletin,
dan pesan-pesan melalui media elektronis.
h. Monitoring
Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun
terpisah (separate evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas
supervisi, rekonsiliasi, dan aktivitas rutin lainnya. Monitoring terpisah biasanya
![Page 6: tugas cobit](https://reader035.vdokumen.com/reader035/viewer/2022071705/563dbb2e550346aa9aaaef48/html5/thumbnails/6.jpg)
dilakukan untuk penugasan tertentu (kasuistis). Pada monitoring ini ditentukan
scope tugas, frekuensi, proses evaluasi metodologi, dokumentasi, dan action plan.
Standar ini menekankan pada pengembangan pengendalian internal sebagai upaya
perusahaan dalam mengelola risiko.
Proses awal pengendalian risiko dimulai dengan menetapkan sasaran perusahaan
yang terdiri dari empat kategori yaitu strategis, operasi, pelaporan, dan pemenuhan.
Identifikasi konteks eksternal sedikit dilakukan
Komponen proses manajemen risiko Terdiri dari 8 komponen, yaitu: identifikasi
lingkungan internal;penetapan sasaran manajemen risiko, identifikasi kejadian;
penilaian risiko, perlakuan risiko; aktivitas pengendalian; informasi dan komunikasi;
dan pemantauan.
Inherent risk diartikan sebagai eksposur perusahaan terhadap risiko secara utuh.
(dampak dari existing control tidak diperhitungkan)
Penyaluran informasi Informasi hanya dikomunikasikan kepada pelaku manajemen
risiko untuk mendukung pencapaian sasaran unit-unit tersebut. Keterlibatan
stakeholders eksternal tidak diungkapkan pada standar ini.