PENGERTIAN COBIT, COSO DAN ERM SERTA IMPLEMENTASINYA


Toharudin
Prof. Dr. Hapzi Ali, CMA.


                                      PENGERTIAN COBIT, COSO DAN ERM

  1. COBIT

Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna(user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalah-masalah teknis IT.  COBIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT control issues. (Sasongko, 2009)

COBIT memiliki fungsi tidak saja dalam mengelola Teknologi Informasi, tetapi juga sebagai Pengendali investasi dan risiko pada lingkungan TI.
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja (framework) untuk mengatur keselaran TI dengan bisnis dimana teknologi informasi dikelola dengan baik.

Kerangka Kerja COBIT terdiri dari beberapa arahan/pedoman, yakni :
1.    Control Objectives (Pengendalian Tujuan); yang terdiri dari 4 domain yaitu: Planing & Organization, Aquisition & Implementation, Delivery & Support, dan Monitoring & Evaluation.
2.    Audit Guidelines (Arahan Auditor); berisi tujuan-tujuan pengendalian yang bersifat rinci untuk membantu para auditor dalam memberikan saran perbaikan kepada manajemen.
3.    Management Guidelaines ( (Arahan Manajemen); berisi arahan, baik secara umum maupun spesific mengenai apasaja yang mesti dilakukan, agar dapat menjawab pertanyaan-pertanyaan:
-       Bagaimana biaya pengelolaan dan manfaat TI yang dikelola
-       Apa saja indikator untuk suatu kinerja yang baik
-       Apa saja indikator atau kondisi yang harus diciptakan agar dapat mencapai kesuksesan
-       Risiko-risiko apa saja yang mungkin timbul
-       Apa yang dilakukan oleh pesaing
-       Bagaimana mengukur keberhasilan dan bagaimana membandingkannya
Dari uraian singkat diatas maka Manfaat untuk pengguna COBIT adalah :
1.    Manajemn :  Untuk pengambilan keputusan investasi TI, untuk pertimbangan keseimbangan antara risiko dan kontrol investasi serta untuk bencmark lingkungan TI sekarang dan ke depan.
2.    Pengguna (User) : Untuk memperoleh jaminan keamanan dan kontrol produk dan jasa yang dibutuh secara internal maupun eksternal
3.    Auditor : Untuk memperkuat simpulan (Opini) untuk manajemen dalam hal Control internal, dan untuk memberikan saran pada contol minimum yang diperlukan.

 Sedangkan lingkup kriteria informasi yang menjadi perhatian COBIT adala : Effectiveness, Efficiency, Confidentiality, Availability, Complience dan Reability.

  1. COSO

Pengertian COSO Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut.
COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.
COSO ini membentuk framework COSO Internal Control yang memfokuskan pada pengelolaan keuangaan, seiring waktu berlangsung terjadi perkembangan dan COSO membentuk Framework COSO Enterprise Risk Management yang mulai meluaskan fokus pada pengelolaan resiko menurut Committee of sponsoring organizations (COSO) dalam Krismiaji (2015:220) menjelaskan bahwa pengendalian intern adalah suatu proses yang diterapkan oleh dewan direktur, manajemen, dan untuk memberikan jaminan yang cukup bahwa tujuan pengendalian berikut ini dapat dicapai, yaitu:
1. Efektifitas dan efisiensi operas
2. Daya andal dan laporan keuangan
3. Kesesuaian dengan hukum dan peraturan yang berlaku

FUNGSI COSO adalah Memberikan pemikiran kepemimpinan melalui pengembangan kerangka kerja dan pedoman yang komprehensif tentang manajemen risiko perusahaan , pengendalian internal dan pencegahan kecurangan yang dirancang untuk meningkatkan kinerja organisasi dan tata pemerintahan dan untuk mengurangi tingkat kecurangan dalam organisasi

Pada tahun 1992 COSO mempublikasikan sebuah kerangka kerja pengendalian intern yang akhirnya banyak menjadi acuan bagi para dewan direksi, eksekutif, regulator, penyusun standar, organisasi profesi untuk mengukur efektivitas pengendalian item.
Kerangka kerja itu dikenal dengan sebutan Internal Control-Integrated Framework. Pada tahun 1994 kerangka krja tersebut mengalami perubahan minor dengan tambahan ruang lingkup terkait management report on internal control.
Kerangka kerja pengendalian intern COSO 1992 memberikan definisi umum tentang pengendalian intern dan memberikan kerangka kerja untuk menilai dan memperbaiki system pengendalian intern. Kerangka tersebut menyatakan bahwa pengendalian intern dirancang untuk meberikan keyakinan memadai terhadap pencapaian tiga tujuan organisasi yaitu;
1. Efektivitas dan efisiensi operasi
2. Keandalan pelaporan keuangan
3. Kepatuhan terhadap hukum dan peraturan.

  1. ENTERPRISE RISK MANAGEMENT

Enterprise Risk Management (ERM) merupakan sebuah proses yang diterapkan  dalam penentuan startegi perusahaan, didesain untuk mengidentifikasi kemungkinan yang potensial yang mungkin mempengaruhi entitas (Pedrusahaan), dan mengelola risiko-risiko dan kecendrungan risiko yng mungkin terjadi, untuk menyediakan jaminan yang layak mengenai pencapaian tujuan entitas (Perusahaan)

Manfaat dari penerapan ERM adalah untuk meningkatkan kemampuan sebuah perusahaan untuk menyelaraskan risk appetite dengan strategi dan arah kebijakan perusahaan sehingga dapat meningkatkan kualitas keputusan yang diambil oleh manajemen perusahaan dalam merespon risiko.



Elemen-elemen ERM yang mempengaruhi sekaligus mendukung ERM adalah :
1.    Lingkungan Internal Perusahaan : berkaitan dengan budaya risiko yang ada dalam perusahaan serta bagaimana nantinya enterprise risk manajemen diterapkan.
2.    Penentuan Tujuan : Identifikasi risiko-risiko pada masing-masing tujuan harus dapat dilakukan sebelum tujuan tersebut ditetapkan menjadi tujuan perusahaan.
3.    Identifikasi kejadia risiko; tujuannnya adalah agar dapat dilakukan pemetaan yang jelas atas risiko-risiko yang mungkinterjadi serta bagaimana meminimalisasinya.
4.    Kontrol dan komonikasi: dilakuakn secara terus menerus untuk mengelola risiko dalam perusahaan sehingga risiko yang sama tidak terjadi secara berulang.


IMPLEMETASI COBIT, COSO dan ERM di PT PLN (PERSERO)

Secara garis besar Control Objective for Information and Related Technology (COBIT) diPLN (Persero) telah dilaksanakan dengan baik dan ditangani secara struktural di Divisi Sistem dan Teknologi Informasi (DIVSI)  yang dikepalai oleh seorang Kepala Divisi dibawah Direksi, dengan cakupan secara nasional sehingga teknologi Informasi di PLN (Persero) dikelola secara terpusat. Perencanaan, Kebijakan dan arah pengembangan Teknologi Informasi di PLN dikelola secara terpusat. Pembagian kerja  dalam pengelolaan Teknologi Informasi  kemudian di tangani oleh 4 sub divisi (Bidang) yaitu :
1. Bidang perencanaan Teknologi Informasi
2. Bidang Pengendalian Teknologi Informasi
3. Bidang Infrastruktur  Teknologi Informasi
4. Bidang Pengembangan  Teknologi Informasi
5. Bidang Operasional  Teknologi Informasi
Masing masing bidang tersebut dikendalikan oleh Manajemen Senior.
Dalam Pengembanagn Pengelolaan Bisnis dan pembangunan Sistem Informasi, PT PLN (Persero) membentuk Anak Perusahaan  yaitu PT ICON+ yang melaksanakan dan menjalankan kebijakan-kebijakan dan pengembangan sistem yang digunakan oleh PT PLN seluruh indonesia.
Dalam perkembangannya PT ICON+ juga melayani kebutuhan pembangunan dan pengelolaan Teknologi Informasi untuk eksternal.
Sementara itu untuk Pengendalian Internal terhadap bisnis perusahaan, PT PLN (Persero) memiliki Satuan Pengawas Intern (SPI) yang organisasinya tersebar diseluruh Indonesia sesuai dengan unit bisnis PT PLN (Persero). Struktur Satuan Pengawas Intern  berada dibawah Direksi sehingga tanggungjawab dan kewenangannya dalam mengawasi tata kelola dan bisnis perusahaan menjadi lebih efektif serta dalam memeberikan masukan kepada manajemen menjadi lebih cepat dan efektif pula.
Untuk pengelolaan Risiko bisnis atau Enterprise Risk Manajement (ERM) ,  PT PLN (Persero) membentuk satu Divisi  dibawah Direksi  yang menangani risiko-risiko yang dihadapi perusahaan atau yang mungkin timbul diperusahaan. Divisi inilah yang melakukan pemetaan, pengkategorian serta membuat mitigasi risiko yang kemudian dievaluasi dan di kontrol secara terus menerus setiap bulan, triwulanan, semesteran dan tahunan. 


SUMBER BACAAN:
http://pengertianmanage-ment.blogspot.co.id/2014/08/pengertian-enterprise-riskmanagement.html.08.04.2018.23.42

Krismiaji. (2015).Sistem informasi akuntansi. Yogyakarta: UPP STIM YKPN

Hendra.2012. https://haendra.wordpress.com/2012/06/08/pengertian-cobit/.08.04.2018.23.32 Maramis, Dkk .2012

Komentar

  1. McWarouw7 Februari 2020 pukul 04.09

    Pak saya ijin kutip untuk buat materi di kelas saya yah. ada tugas bagi kami sebagai mahasiswa. Makasih sebelumnya

    BalasHapus

Posting Komentar

Postingan populer dari blog ini

Pengendalian Internal dan Unsur Unsur Pengendalian Internal COSO

Toharudin Prof. Dr. Hapzi Ali, CMA. Pengendalian Internal merupakan bagian Integral dari Manajemen dalam menjalankan aktivitasnya di sebuah organisasi atau perusahaan.   Sistem Pengendalian Internal meliputi struktur organisasi, metode dan ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhinya kebijakan manajemen (Mulyadi, 2010). Menurut Mulyadi, tujuan Sistem Pengendalian Internal adalah : 1.        Menjaga kekayaan organisasi ; mencegah agar asset yang dimiliki perusahaan baik fisik maupun non fisik   dari pencurian, kehancuran ataupun hilang karena tidak dilindungi dengan dokumen atau bukti yang memadai. 2.        Mengecek ketelitian dan keandalan data Akuntansi ; Pengendalian Internal dirancang untuk memberikan jaminan proses pengolahan data akuntansi akan menghasilkan informasi keuangan yang t...
Baca selengkapnya

Penyerangan Komputer & Jenis - Jenis Serangan

Toharudin Prof. Dr. Hapzi Ali, CMA. Definisi Penyerangan Komputer: Serangan pada computer adalah tindakan yang bertujuan terhadap computer dan atau system kumputer untuk mengganggu operasional peralatan, mengubah control proses atau mengubah data yang tersimpan sehingga menjadi rusak. (Simpulan dari beberapa sumber termasuk Congresional Research Service, 2013 .. Computer attack). Jenis-Jenis Serangan pada Komputer 1. Intrusion Penyerang seakan menggunakan system computer yang kita miliki dengan menginginkan akses sebagaimana halnya pengguna yang mempunyai hak mengakses system. 2. Intelligence Pengumpulan segala informasi yang berkaitan dengan system target, berbagai cara bisa ditempuh guna mendapatkan informasi tersebut, baik melalui internet, mencari buku-buku maupun jurnal. 3. Land Attack Salah satu macam serangan terhadap suatu server/computer yang terhubung dalam suatu jaringan dengan tujuan menghentikan layanan yang diberikan server sehingga terjadi gangguan p...
Baca selengkapnya