Pertemuan 6 Memahami dan Mengukur Efektivitas Pengendalian Internal (Bagian 2)

(1)

Pertemuan 6 Memahami dan Mengukur Efektivitas Pengendalian Internal

(Bagian 2)

(2)

Kerangka Kerja Pengendalian - COBIT

COSO dan CoCo adalah kerangka kerja pengendalian yang cukup terkenal dan mereka menyediakan apa yang dibutuhkan organisasi untuk membuat pertimbangan ketika mengembangkan kerangka kerja mereka sendiri.

COBIT (Control Objectives for Information and Related Technology adalah suatu kerangka kerja (frame work) kesatuan internasional yang menghimpun seluruh standar teknologi informasi (TI) global utama, termasuk ITIL, CMMI, dan ISO 17799.

Konsep kerangka kerja pengendalian COSO dibangun atas 5 (lima) unsur yakni ;

1. Tujuan 4. Reasonable assurance

2. Proses 5. Adabtable

3. Personal

(3)

Keterkaitan Komponen dan Isi Kerangka Kerja COBIT 5

Pengendalian Internal COSO kerangka kerja terintegrasi memberikan dasar kuat untuk mulai membangun dan menilai penyusunan

pengendalian internal serta menghubungkan semua bagian.

Kerangka kerja COBIT 5 memberikan dasar kuat untuk mulai membangun, meningkatkan dan menilai penyusunan GEIT

(Governance of Enterprise Information Technology) dengan 5 (lima) prinsip utama yakni ;

1. Meeting Stakeholder needs.

2. Covering Enterprise End-to-End

3. Applying a Single Integrated Framework

4. Enabling a Holistic Approach

5. Separating Governance from Management

(4)

(5)

I. Meeting Stakeholder Needs (Memenuhi kebutuhan pemangku kepentingan.

Adalah memenuhi kebutuhan pemangku kepentingan. Kebutuhan

pemangku kepentingan merupakan dasar utama dalam mengarahkan setiap kegiatan dan bentuk tata kelola suatu entitas. Semua

kebutuhan dari setiap pemangku kepentingan harus mampu

ditransformasikan dalam bentuk kebijakan dan pengendalian yang tepat.

Perjenjangan tujuan berdasar Balance Scorecard (BSC) dengan tujuan bisnis, tujuan terkait TI dan tujuan pemicu (enabler) dijelaskan sebagai berikut ;

1. Tahap 1, Faktor pemengaruh kebutuhan pemangku kepentingan

2. Tahap 2, Perjenjangan kebutuhan pemangku kepentingan menjadi tujuan entitas.

(6)

3. Tujuan entitas diturunkan menjadi tujuan yang berhubungan dengan TI 4. Tujuan TI diturunkan menjadi tujuan pemicu (enabler goal)

II. Covering Enterprise End – To End (Melingkupi seluruh proses pengelolaan dari Awal hingga akhir)

Cobit 5 harus mampu melingkupi proses pengelolaan dari awal hingga akhir suatu entitas, dan tidak hanya berfokus pada pemanfaatan TI semata.

III. Applying a single integrated framework (menerapkan satu kerangka kerja terintegrasi)

Cobit 5 mampu mengintegrasikan semua ragam kerangka kerja terdahulu yang dikembangkan sebelumnya oleh ISACA dalam bentuk masih terpisah seperti COBIT, VAL IT, RISK IT, BMIS, ITAF dan lainnya.

(7)

IV. Enabling a Holistic Approach (Menerapkan satu pendekatan menyeluruh)

Untuk dapat melaksanakan tata kelola TI secara efektif dan efisien suatu entitas memerlukan satu pendekatan menyeluruh yang mampu melibatkan seluruh komponen terkait yang berinteraksi secara sinergis dalam

mencapai tujuan entitas. Segala hal yang dapat membantu ketercapaian tujuan perusahaan didefinisikan COBIT sebagai pemicu (enabler).

COBIT 5 menjelaskan 7 (tujuh) kategori pemicu yakni ;

1. Proses 5. Informasi

2. Struktur organisasi 6. Layanan, infrastruktur,

3. Budaya, etika, dan kebiasaan dan Aplikasi

4. Prinsip, kebijakan dan kerangka kerja 7. Manusia, kemampuan dan Kompetensi

(8)

V. Separating Governance from Management (Memisahkan tata kelola dari manajemen)

Kerangka kerja COBIT 5 membuat perbedaan secara tegas antara tata kelola dengan manajemen. Pembedaan tersebut

mempertimbangkan 3 (tiga) hal yakni ;

1. Dua aspek tersebut memberikan jenis pengarahan kegiatan yang berbeda

2. Masing-masing membutuhkan struktur organisasi yang berbeda

3. Melayani tujuan yang berbeda.

(9)

Mekanisme Pengendalian

Mekanisme pengendalian adalah serangkaian rencana dan prosedur yang dilakukan untuk menjamin bahwa tujuan organisasi dapat tercapai.

A. Jenis-jenis pengendalian

Pengendalian-pengendalian pokok dikelompokkan ke dalam beberapa kategori sebagai berikut ;

1. Pengendalian direktif

2. Pengendalian preventif

3. Pengendalian detektif

4. Pengendalian korektif

Gabungan dari berbagai jenis pengendalian tersebut sangat penting untuk menjawab 4 (empat) pertanyaan berikut ;

a. Bagaimana agar kita memiliki budaya yang baik dan keyakinan bahwa risiko atas budaya tersebut dapat ditaksir dan diantisipasi

b. Bagaimana kita menerapkan batasan spesifik untuk menghindari risiko yang telah kita ketahui?

(10)

Mekanisme Pengendalian

c. Bagaimana kita dapat mengetahui jika terdapat sesuatu yang salah meskipun kita telah melakukan usaha yang terbaik?

d. Bagaimana kita dapat membuat perencanaan untuk masa yang akan datang untuk menghadapi permasalahan yang telah kita deteksi,

khususnya mengenai risiko yang signifikan bagi bisnis kita?

B. Pelaksanaan pengendalian

Pengendalian harus dilakukan dengan baik. Sifat-sifat yang terkandung dalam pengendalian yang baik meliputi spesifik, dapat diukur, dapat dicapai, berorientasi pda hasil dan tepat waktu.

Beberapa mekanisme pengendalian yang mungkin diaplikasikan dalam praktik meliputi ;

1. Otorisasi

2. Pembatasan akses fisik

3. Supervisi

(11)

Mekanisme Pengendalian

4. Pemeriksaan kesesuaian 5. Manual prosedur

6. Praktik pengembangan dan recruitment karyawan.

7. Pemisahan tanggung jawab 8. Organisasi

9. Dokumen yang bernomor urut dan pengendalian atas alat tulis kantor.

10. Rekonsiliasi.

11. Manajemen usaha untuk memperoleh proyek dan manajemen proyek 12. Pengendalian sistem keuangan

13. Keamanan IT

14. Manajemen Kinerja

(12)

Mekanisme Pengendalian

C. Kesesuaian Pengendalian

Berbicara mengenai penaksiran terhadap kesesuaian sistem pengendalian internal, ada beberapa tanda bahaya yang harus diwaspadai karena hal tersebut menyebabkan turunnya efisiensi lingkungan pengendalian.

(13)

Peninjauan dan Evaluasi pengendalian Internal

Selain membantu manajemen dalam menilai risiko dan merancang pengendalian yang dibutuhkan untuk pengelolaan risiko, auditor internal juga mengevaluasi kecukupan dan efektivitas pengendalian yang sedang berjalan.

Untuk membantu mengevaluasi sistem pengendalian internal, auditor harus mempertimbangkan hal-hal berikut ;

1. Jenis-jenis kesalahan dan ketidakteraturan yang dapat timbul.

2. Prosedur pengendalian untuk mencegah atau mendeteksi kesalahan dan ketidakteraturan.

3. Apakah prosedur telah digunakan dan diikuti dengan memuaskan

4. Kelemahan-kelemahan yang dapat menimbulkan kesalahan dan ketidakteraturan bisa melewati prosedur pengendalian yang ada

5. Sifat, waktu dan luasnya prosedur audit yang digunakan sebagai akibat dari kelemahan-kelemahan tersebut.

6. Metode-metode audit digunakan untuk mempelajari dan mengevaluasi pengendalian internal yang ada.