No.
Perbedaan
BASEL II
Bank sebagai perusahaan yang menjalankan fungsi intermediasi atas dana yang diterima dari nasabah, memiliki sebuah dampak sistemik apabila mengalami kegagalan. Hal ini karena adanya hubungan yang sangat erat antara bank dengan lembaga lainnya yang menyimpan dananya di bank tersebut. Diperkirakan bahwa dampak tersebut dapat berdampak secara nasional maupun internasional. Karena pentingnya peranan bank tersebut maka perlu diatur secara baik dan benar. Bank of International Settlements (BIS) selaku pelopor mengeluarkan konsep kerangka permodalan yang dikenal dengan BASEL I (The 1988 Accord). Sistem ini dibuat sebagai penerapan kerangka pengukuran bagi resiko kredit, dengan mensyaratkan standar modal minimum adalah 8%. Selanjutnya BASEL I (The 1988 Accord) disempurnakan menjadi BASEL II, yang dibuat berdasarkan struktur dasar dari BASEL I yang memberikan kerangka perhitungan berdasarkan modal yang bersifat lebih sensitif terhadap resiko (risk sensitive) serta memberikan insentif terhadap peningkatan kualitas manajemen resiko di bank. Hal ini dicapai dengan cara penyesuaian persyaratan modal dengan resiko dari kerugian kredit dan juga memperkenalkan perubahan perhitungan modal dari ekposure yang disebabkan Ketentuan baru dalam BASEL II antara lain : memperkenalkan pengelolaan resiko pasar melalui penyisihan modal untuk manajemen resiko operasional, dan beberapa pendekatan dalam pengukuran resiko kredit.
Tujuan dari BASEL II adalah untuk meningkatkan dan menjamin kestabilan serta kesehatan sistem keuangan. Untuk itu, upaya yang ditempuh adalah dengan cara meningkatkan sensitivitas resiko dalam perhitungan modal bank. Upaya ini harus didukung dengan penguatan pengawasan internal bank dan disiplin pasar.
Perhitungan resiko dalam BASEL II tidak hanya didasarkan pada resiko kredit, tetapi juga resiko pasar, yang meliputi nilai tukar dan suku bunga serta resiko
operasional, yang meliputi sistem pengelolaan perbankan, termasuk TI. 1
Latar Belakang
Tiga tujuan utama yang ingin dicapai BASEL II :
1. Memastikan bahwa alokasi modal (capital allocation) lebih sensitif terhadap resiko.
2. Memisahkan resiko operasional (operational risk) dari resiko kredit (credit risk), dan mengukur keduanya.
3. Berusaha untuk menciptakan hubungan/aliansi ekonomi dan pengaturan terhadap modal untuk mengurangi masalah penagturan arbitrasi.
- Bank of International Settlements (BIS)
- Pemerintah diwakili oleh Bank Sentral
- Bank Umum
- Market dan Pihak-pihak yang berkaitan dengan industri perbankan.
BASEL II adalah rekomendasi hukum dan ketentuan perbankan yang diterbitkan oleh Komite Basel. Rekomendasi ini ditujukan untuk menciptakan suatu standar internasional yang dapat digunakan regulator perbankan untuk membuat ketentuan berapa banyak modal yang harus disisihkan bank sebagai perlindungan terhadap resiko keuangan dan operasional yang mungkin dihadapi bank..
1 2
Stake Holders
Hal-hal yang
diatur
Tujuan
3BASEL II dipercaya mampu melindungi sistem keuangan internasional terhadap masalah yang mungkin timbul sewaktu runtuhnya bank-bank utama atau serangkaian bank. Dalam praktiknya BASEL II berupaya mencapai hal ini dengan menyiapkan persyaratan manajemen resiko dan modal yang ketat yang dirancang untuk meyakinkan bahwa suatu bank memiliki cadangan modal yang cukup untuk resiko yang dihadapinya. Secara umum aturan-aturan ini menegaskan bahwa semakin besar resiko yang dihadapi bank, semakin besar pula jumlah modal yang dibutuhkan bank untuk menjaga likuiditas bank tersebut serta stabilitas ekonomi pada umumnya.
Dikenal dengan istilah Three Pillar :
1. Pengelolaan tiga komponen utama resiko yang dihadapi bank, yaitu: credit risk, operational risk, dan market risk.
2. Memberikan regulator lebih banyak tools dibandingkan BASEL I, dan juga menyediakan framework yang berkaitan dengan resiko-resiko lain yang mungkin akan dihadapi oleh bank, seperti: systemic risk , strategic risk, liquidity risk, dan legal risk (seluruh resiko tersebut dapat disebut sebagai residual risk)
3. Mengharuskan bank untuk meningkatkan keterbukaan terhadap pasar (market), sehingga memberikan gambaran yang lebih baik mengenai posisi keseluruhan resiko dari seluruh bank tersebut kepada pasar (market).
Konsep
Pengendalian
Hal-hal yang
diatur
3 4BASEL II dipercaya mampu melindungi sistem keuangan internasional terhadap masalah yang mungkin timbul sewaktu runtuhnya bank-bank utama atau serangkaian bank. Dalam praktiknya BASEL II berupaya mencapai hal ini dengan menyiapkan persyaratan manajemen resiko dan modal yang ketat yang dirancang untuk meyakinkan bahwa suatu bank memiliki cadangan modal yang cukup untuk resiko yang dihadapinya. Secara umum aturan-aturan ini menegaskan bahwa semakin besar resiko yang dihadapi bank, semakin besar pula jumlah modal yang dibutuhkan bank untuk menjaga likuiditas bank tersebut serta stabilitas ekonomi pada umumnya.
BASEL II memiliki berbagai kompleksitas dan prakondisi yang cukup berat bagi perbankan. Prasyarat utama agar BASEL II dapat diterapkan dengan baik meliputi :
- Penerapan manajemen resiko di bank sebagaimana telah diatur dalam PBI No. 5/8/PBI/2003 tanggal 19 Mei 2003 tentang Penerapan Manajemen Resiko Bagi Bank Umum.
- Penyesuaian standar akuntansi yang mengacu kepada standar akuntansi internasional (IAS) antara lain IAS 32 dan IAS 39.
- Penerapan perhitungan permodalan secara konsolidasi dengan perusahaan tertentu dalam sektor keuangan kecuali asuransi.
- Pengakuan perusahaan pemeringkat oleh Bank Indonesia untuk dapat melakukan rating terhadap debitur bank.
Hal-hal Yang
Bisa
Diterapkan Di
Indonesia
Hal-hal Yang
Bisa
Diterapkan Di
Indonesia
COSO
COSO merupakan sebuah organisasi sektor swasta yang sukarela, didirikan di Amerika Serikat, yang bertujuan untuk menyediakan panduan kepada manajemen eksekutif dan pengelola perusahaan tentang aspek-aspek kritis dalam pengelolaan organisasi, etika bisnis, pengendalian internal, manajemen risiko perusahaan, kecurangan, dan pelaporan keuangan. Misi utama dari COSO adalah memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance. COSO didirikan untuk menciptakan satu suara untuk masalah yang berkaitan dengan kecurangan pelaporan keuangan (fraudulent financial reporting ) dalam komunitas bisnis keuangan
Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tehun 1992, menyelesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal mereka.
COSO didirikan untuk menciptakan satu suara untuk masalah yang berkaitan dengan kecurangan pelaporan keuangan (fraudulent financial reporting) dalam komunitas bisnis keuanga
memperbaiki kualitas pelaporan keuangan melalui etika bisnis, pengendalian internal yang efektif, dan pemerintahan perusahaan (corporate governance).
Dewan Direktur
Dewan Direktur berkepentingan terhadap COSO untuk menjadi acuan apakah sistim pengendalian internal perusahaan sudah sesuai dengan teori yang ada sehingga operasi perusahaan dapat berjalan secara efisien, efektif dan ekonomis.
Komite Audit
Komite Audit berkepentingan untuk mengetahui kerangka COSO yang diterapkan perusahaan untuk mengetahui gambaran kekuatan dan kelemahan sistem pengendalian internal. Bagi auditor internal sendiri dengan memahami COSO dapat membantu efisiensinya dalam melakukan audit.
Internal Control Issues in Derivatives
Proyek COSO berikutnya adalah “Internal Control Issues in Derivative Usage ”. Proyek ini menghasilkan pedoman untuk memahami risiko yang berkaitan dengan financial derivatives . Dokumen ini disusun berdasarkan Integrated Framework yang telah ada untuk membantu pembaca dalam mengembangkan dan mengevaluasi struktir internal control untuk menggunakan derivatif.
Fraudulent Financial Reporting
Laporan ini dibuat untuk menyediakan analisis atas financial statement fraud pada perusahaan publik. Laporan ini membahas seluruh aspek fraud, termasuk pelakunya, dampak finansialnya, dan bagaimana fraud tersebut dilakukan.
Pegawai (employee )
Dengan mengetahui kerangkan pengendalian COSO maka pegawai perusahaan dapat mengerti tanggung jawab pengendaliannya yang berhubungan dengan sistem yang lebih besar (sistem perusahaan)
Lima komponen Internal Control meliputi: penilaian Risiko (Risk Assessment) , Lingkungan Pengendalian (Control Environment) , Aktivitas Pengendalian (Control
Activities) , Informasi dan komunikasi (Information and Communication) , Pengawasan (Monitoring) . Terdapat dalam konsep Enterprise Resource Management
Fokus utama pengaturan adalah bahwa pada konsep COSO menetapkan Pengendalian Internal merupakan partisipasi dari semua stakeholder entitas yang meliputi seluruh/semua area atau fungsi bisnis entitas.
Enterprise Risk Management: Conceptual Framework
Enterprise Risk Management: Conceptual Framework (Kerjasama dengan PWC), merupakan pedoman untuk mengembangkan struktur manajemen risiko perusahaan (enterprise-wide risk management structure ).
COSO mengidentifikasikan tiga tujuan utama dari entitas, antara lain : • Efektivitas dan efisiensi operasi
• Keandalan laporan keuangan
Di Indonesia, untuk sektor swasta, penerapan COSO termasuk di dalam usaha untuk mewujudkan Good Corporate Governance yang saat ini banyak didengungkan oleh perusahaan.
Dalam sektor publik, sebagaimana diamanatkan dalam UU Nomor 1 Tahun 2004 tentang Perbendaharaan Negara mensyaratkan adanya Sistem Pengendalian Intern, serta dalam UU Nomor 15 Tahun 2004 dinyatakan bahwa dalam rangka pemeriksaan keuangan dan/atau kinerja, pemeriksa melakukan pengujian dan penilaian atas pelaksanaan sistem pengendalian intern pemerintah.
Kemudian bagi BUMN keharusan penyelenggaraan internal control berbasis framework COSO tertuang dalam pasal 22 Keputusan Menteri BUMN Nomor Kep-117/M-MBU/2002 tentang penerapan good governance pada Badan Usaha Milik Negara (BUMN). Dalam keputusan tersebut dinyatakan bahwa manajemen BUMN harus memelihara internal control bagi perusahaan yang meliputi : Lingkungan Pengendalian, Penilaian Risiko, Aktivitas Pengendalian, Informasi dan Komunikasi, serta Monitoring.
catatan: Meskipun terdapat peraturan-peraturan yang ada, namun masih belum
sepenuhnya kompatibel dengan konsep COSO, semangat yang ingin dicapai oleh konsep COSO ini adalah untuk lebih menitikberatkan peran manusia dalam organisasi sehingga diperlukan adanya koordinasi dari pihak-pihak yang terkait.
COBIT
COBIT merupakan seperangkat alat bagi manajemen IT yang diciptakan oleh Information System Audit and Control Association (ISACA) pada tahun 1992 dengan misi untuk mengembangkan, melakukan riset, dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up-to-date untuk digunakan dalam kegiatan bisnis sehari-hari. COBIT pertama kali diluncurkan pada tahun 1996, edisi keduanya diluncurkan pada tahun 1998, sedangkan third edition-nya diluncurkan pada Juli 2000 oleh ITGI (Information Technology Government Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada tahun 2007.
COBIT didasarkan atas filosofi bahwa sumber daya IT membutuhkan pengelolaan untuk menyediakan informasi yang dapat dipercaya kepada organisasi dalam rangka mencapai tujuannya. Penguasaan IT yang efektif akan membantu untuk menyakinkan bahwa IT telah mendukung tujuan perusahaan, mengoptimalkan investasi bisnis pada IT.
Tujuan COBIT adalah menyediakan model dasar yang memungkinkan pengembangan aturan yang jelas dan praktek yang baik dalam mengontrol informasi dalam suatu organisasi/perusahaan dalam mencapai tujuannya.
Manajemen -- Dengan penerapan COBIT, manajemen dapat terbantu dalam proses penyeimbangan resiko dan pengendalian investasi dalam lingkungan IT yang tidak dapat diprediksi.
User -- Pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
1. Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition & implementation , delivery & support dan monitoring .
2. Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives ) untuk membantu para auditor dalam
memberikan management assurance dan/atau saran perbaikan. Tujuan COBIT adalah menyediakan model dasar yang memungkinkan pengembangan aturan yang jelas dan praktek yang baik dalam mengontrol informasi dalam suatu organisasi/perusahaan dalam mencapai tujuannya.
Auditor ---- Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.
3. Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan.
Kerangka kerja COBIT juga memasukkan juga hal-hal berikut ini : (1) Maturity Models , (2) Critical Success Factors (CSFs), (3) Key Goal Indicators (KGIs), dan (4) Key Performance Indicators (KPIs).
COBIT melihat pengendalian dalam tiga dimensi berbeda yaitu Sumber TI, Proses TI, dan Kriteria Informasi TI.
1. Sumber TI (IT Resources), mencakup semua asset IT suatu perusahaan, yang dapat diidentifikasikan sebagai berikut : (a) Data, (b) Sistem aplikasi, (c) Teknologi, (d) Fasilitas, dan (e) Manusia
2. Proses TI (IT Process), terdiri dari tiga segmen, yaitu : domains, proses, dan aktivitas .
3. Kriteria Informasi TI (IT Information Criteria), COBIT mengkombinasikan beberapa prinsip penyusunan informasi berdasarkan model-model yang sudah ada, dan merumuskannya kedalam tiga kategori utama, yaitu : quality, fiduciary responsibility dan security . Tiga kategori ini kemudian diuraikan lebih lanjut dalam kriteria-kriteria sebagai berikut : 1. Efektifitas , 2. Efisiensi , 3. Kerahasiaan , 4. Integritas , 5. Ketersediaan , 6. Kepatuhan , dan 7. Keandalan .
· Pada perusahaan besar besar dimana IT telah menjadi bagian integral dari keseluruhan aktivitas bisninya, COBIT dapat (malah sebaiknya) diterapkan dengan memperhitungkan biaya dan manfaat yang diperoleh serta dampaknya bagi kemajuan perusahaan tersebut.
· Manajemen dapat mengadopsi control objectives COBIT dalam perancangan model pengelolaan dan pengendalian IT perusahaan. Proses perancangan tersebut dapat diadopsi dari langkah-langkah/proses yang ada dalam domain-domain COBIT.
· Manajemen dapat mengadopsi management guideline COBIT sebagai tools
dalam perumusan kebijakan management baik kebijakan mengenai IT maupun kebijakan lainnya yang berhubungan dengan kinerja perusahaan.
·Pengawas internal (auditor) dapat menggunakan audit guideline COBIT sebagai standar dalam perancangan dan pelaksanaan audit atas sistem informasi perusahaan. Secara rinci, auditor menggunakannya dalam :E38
· perencanaan audit dan pengembangan program audit.
ITIL
Sebenarnya ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan framework/best practice bagi IT service management untuk menciptakan layanan teknologi informasi yang bermutu tinggi. Pada tahun 2005, BS 15000 ditempatkan kedalam “fast track ” oleh ISO yang kemudian menyebutnya sebagai ISO 20000 sehingga mendapatkan pengakuan dan legitimasi dari seluruh dunia. ISO 20000 diadopsi dari kumpulan kerangka ITIL2, Bagian IT dari ISO 9000 dan sebagian ISO 17999.
Pada tahun 2005, ITIL direvisi oleh ITMSF yang dikenal dengan ITIL-3 (revisi ke-2 ITIL) dan dirilis pada tahun 2007. Dikalangan komunitas IT, sebelum diterbitkan ITIL-3 lebih populer dibandingkan dengan ITIL-2. ITIL-ITIL-3 menggunakan pendekatan IT “Service Life Cycle ” yaitu bagaimana cara meningkatkan apa yang dimiliki untuk memastikan penyesuaian terhadap standar baru yang memberikan penyesuaian terhadap proses upgrade Hardware dan Software.
Kerangka kerja yang digunakan untuk mengelola infrastruktur teknologi dan informasi dalam suatu organisasi, dan bagaimana memberikan pelayanan yang terbaik bagi para pengguna teknologi informasi.
ITIL-3 bukanlan sebuah standar tetapi hanya kerangka yang berisi 8 seri mengenai praktek-praktek terbaik mengenai IT service management dan distribusi IT service yang berkualitas tinggi. Delapan seri tersebut adalah sebagi berikut : Software Asset Management, Service Support, Service Delivery, Planning to Implement Service Management, ICT Infrastructure Management, Application Management, Security Management, Business Perspective , Volume II Tiga tujuan kunci dari IT Service Management adalah sebagai berikut :
1. Menyearahkan IT Services dengan kebutuhan bisnis dan customer pada saat ini dan masa datang.
Kerangka kerja yang digunakan untuk mengelola infrastruktur teknologi dan informasi dalam suatu organisasi, dan bagaimana memberikan pelayanan yang terbaik bagi para pengguna teknologi informasi.
Pemerintah sebagai regulator, Orang / pihak di bidang jasa pelayanan IT, organisasi yang menerapkan ITIL, Auditor, Mitra Bisnis (Investor/konsumen)
2. Perbaikan kualitas IT Services
3. Mengurangi biaya jangka panjang atas IT Service Provision
2 dasar konsep ITIL :
1. Menjaga supaya layanan bisa digunakan dengan baik oleh user ( service support )
2. Proses bagaimana cara mendeliverykan layanan tersebut (service delivery )
Dua karakteristik dasar konsep ITIL adalah sebagai berikut : Service
ITIL bisa diterapkan di indonesia sebagai berikut :
1. Penentuan proses bisnis dengan IT organisasi.
2. Penerapan dan perbaikan mengenai kualitas service.
3. Kebutuhan untuk fokus kepada konsumen dalam hal IT.
SOA
Undang-undang ini diprakarsai oleh Senator Paul Sarbanes (Maryland) dan Representative Michael Oxley (Ohio), dan telah ditandatangani oleh Presiden George W. Bush pada tanggal 30 Juli 2002. Undang-undang ini dikeluarkan sebagai respons dari Kongres Amerika Serikat terhadap berbagai skandal pada beberapa korporasi besar seperti: Enron, WorldCom (MCI), AOL TimeWarner, Aura Systems, Citigroup, Computer Associates International, CMS Energy, Global Crossing, HealthSouth, Quest Communication, Safety-Kleen dan Xerox; yang juga melibatkan beberapa KAP yang termasuk dalam “the big five ” seperti: Arthur Andersen, KPMG dan PWC
Sarbanes-Oxley Act merupakan undang-undang yang memaksakan tanggung jawab kepada perusahaan dan manajemen untuk menjaga integritas informasi yang digunakan secara internal dan dipublikasikan kepada pihak-pihak eksternal
Secara ringkas tujuan penerbitan SOA adalah memberikan jaminan perlindungan bagi investor dengan meningkatkan akurasi dan reliabilitas pengungkapan oleh perusahaan, serta untuk “memaksa” perusahaan mewujudkan good corporate governance . Tujuan itu dijabarkan sebagai berikut :
1.Menerbitkan standar baru untuk Struktur organisasi perusahaan dan Komite Audit
2.Menerbitkan standar akuntabilitas yang baru dan hukuman pidana kepada manajemen perusahaan
3.Menerbitkan standar independensi yang baru bagi external auditor
- Manajemen Perusahaan atau Korporasi, terutama CEO dan CFO dan Komite Audit Perusahaan
Macro Level Anti Fraud Analysis, Pilar ini memasukkan penilaian penting atas luasnya pengendalian anti fraud termasuk komite audit, mekanisme wistle blowing, code of conduct, independensi external auditor, internal auditor , kebijakan fraud, mekanisme kepatuhan etika, penggunaan tenaga ahli, dan lain-lain. Eksternal auditor harus secara hati-hati menilai keberadaan, kualitas dan efektifitas pengendalian dalam rangka mencegah terjadinya kecurangan dan/atau kesalahan external disclosure. Anti Fraud Controls juga merupakan area kunci perhatian perusahaan bahwa keinginan untuk bisa menunjukkan secara meyakinkan bahwa mereka telah memenuhi harapan prinsip kehati-hatian (due diligence ).
Macro Level Assesment Against A Control Model, mensyaratkan CEO dan CFO mengklaim bahwa perusahaan mereka mempunyai cukup elemen/kriteria pengendalian yang terdaftar dalam model pengendalian yang mereka gunakan sebagai dasar untuk mengklaim mereka “memiliki sistem pengendalian yang efektif atas external financial disclosures yang sesuai (dengan model pengendalian pemerintah)"
4.Menerbitkan Dewan Pengawas Perusahaan Publik (PCAOB) dibawah SEC untuk mengawasi kantor akuntan publik dan pembuatan standar akuntansi
Sufficiency of IT General Controls, mensyaratkan bahwa semua perusahaan terikat oleh peraturan Sarbox 302/404/906 harus menyelesaikan dan secara terus menerus menjaga penilaian pengendalian umum dan aplikasi IT atas semua sistem yang memberikan pengungkapan informasi.
Reliable 10-K, 10-Q Accounts, Notes and Suplemental Disclosures, Perusahaan harus mendokumentasikan dan menjaga penilaian resiko bahwa 10-K dan 10-Q dipenuhi, pengendalian untuk meringankan resiko dan resiko yang dapat diterima dengan menggunakan desain yang bagus dan terus menerus menjaga kepatuhannya.
Pada dasarnya SOA menuntut implementasi internal control yang baik atas 3 (tiga) hal yang sangat erat kaitannya dengan GCG, yaitu:
1. Transparansi (transparency), menuntut kemampuan untuk dapat ditelusuri (treaceability ) dan dapat diaudit dari setiap proses dan aktivitas yang terkait dengan pelaporan keuangan.
2. Akuntabilitas (accountability), menuntut kejelasan dan ketiadaan benturan kepentingan (conflict of interest) atas informasi apa dan siapa yang bertanggung jawab. Selain itu, menjamin hak akses atas informasi dan rentang pengambilan keputusan yang sesuai dengan tugas dan tanggung jawab terkait.
3. Keterukuran (measurability), bertujuan memberikan basis pengukuran untuk perbaikan secara berkelanjutan.
Pengadopsian aturan SOA ini di Indonesia dapat meningkatkan akuntabilitas pengelolaan keuangan, meningkatkan kepercayaan investor atas keandalan laporan keuangan, sehingga menggiatkan kegiatan investasi dan memberikan shock therapy bagi manajemen dan auditor karena dalam UU diatur mengenai sanksi. Indonesia telah menerapkan sebagian dari aturan yang terdapat dalam SOA, di antaranya :
1. Pembentukan Komite Audit, sebagaimana diatur dalam Keputusan Ketua Badan Pengawas Pasar Modal (Bapepam) No. KEP-29/PM/2004 tanggal 24 September 2004 tentang Pembentukan dan Pedoman Pelaksanaan Kerja Komite Audit yaitu komite yang dibentuk oleh Dewan Komisaris dalam rangka membantu melaksanakan tugas dan fungsinya.
2. Pembentukan badan sejenis PCAOB. Perlu diadakan semacam kajian apakah badan tersebut merupakan bagian dari Bapepam ataukah badan yang terpisah. Karena pada dasarnya Bapepam telah menjalankan fungsi dan tugas PCAOB
3. Audit atas pengendalian intern. Mengingat pentingnya implementasi SOA dalam rangka mencegah praktik kecurangan pelaporan keuangan di perusahaan publik, maka sudah saatnya Bapepam-LK mengadopsi salah satu ketentuan dalam SOA tersebut yaitu pemberlakuan audit pengendalian internal pada perusahaan yang telah go publik sebagaimana telah dilakukan oleh oleh segelintir perusahaan yang umumnya adalah perusahaan multinasional yang sahamnya diperdagangkan di pasar bursa AS dan yang beroperasi di Indonesia.
4. Prinsip GCG. Dengan Surat Keputusan Menteri BUMN Nomor KEP-117/M-MBU/2002 secara resmi memerintahkan seluruh BUMN untuk menerapkan prinsip-prinsip Good Corporate Governance (GCG) secara konsisten dalam day-to-day operasional organisasi BUMN. Dengan demikian, Indonesia merupakan negara lain selain Amerika yang menerapkan mandatory system of corporate governance.
4. Prinsip GCG. Dengan Surat Keputusan Menteri BUMN Nomor KEP-117/M-MBU/2002 secara resmi memerintahkan seluruh BUMN untuk menerapkan prinsip-prinsip Good Corporate Governance (GCG) secara konsisten dalam day-to-day operasional organisasi BUMN. Dengan demikian, Indonesia merupakan negara lain selain Amerika yang menerapkan mandatory system of corporate governance.
ISO 17799
Keamanan data elektronik menjadi hal yang sangat penting di perusahaan penyedia jasa teknologi informasi (TI) maupun industri lainnya, seperti: perusahaan export-import, tranportasi, lembaga pendidikan, pemberitaan, hingga perbankan yang menggunakan fasilitas TI dan menempatkannya sebagai infrastruktur kritikal (penting).
Informasi atau data adalah aset bagi perusahaan. Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, mengoptimalkan return on investment dan mencari kesempatan bisnis. Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing maka semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan. Bagaimana data atau informasi tersebut dikelola, dipelihara dan diekspose, melatarbelakangi disusunnya ISO 17799, standar untuk sistem manajemen keamanan informasi.
Penyusunan standar ini berawal pada tahun 1995, dimana sekelompok perusahaan besar seperti BOC, BT, Marks & Spencer, Midland Bank, Nationwide Building Society, Shell dan Unilever bekerja sama untuk membuat suatu standar yang dinamakan BS (British Standard) 7799.
BS 7799 Part 1: the Code of Practice for Information Security Management. Februari 1998 BS 7799 Part 2: The Specification for Information Security Management Systems (ISMS) menyusul diterbitkan. Desember 2000 ISO (International Organization of Standardization) dan IEC (International Electro-Technical Commission) mengadopsi BS 7799 Part 1 dan menerbitkannya sebagai standar ISO/IEC 17799:2000 yang diakui secara internasional.
BS 7799 Part 1 adalah standar asli yang dipublikasikan sebagai BS 7799 oleh British Standards Institute (BSI) tahun 1995. Ini ditulis oleh Pemerintah Inggris yaitu Departemen Perdagangan dan Industri (Department of Trade and Industry / DTI), dan setelah beberapa kali revisi, secepatnya diadopsi oleh ISO sebagai ISO/IEC 17799, "Information Technology - Code of practice for information security management." tahun 2000. ISO/IEC 17799 terakhir direvisi pada bulan Juni 2005 dan berganti nama menjadi ISO/IEC 27002 pada Juli 2007.
Bagian Kedua dari BS 7799 pertama kali diterbitkan oleh BSI tahun 1999, dikenal sebagai BS 7799 Part 2, dengan judul "Information Security Management Systems -Specification with guidance for use." BS 7799-2 memfokuskan pada bagaimana menerapkan sistem manajemen keamanan informasi (ISMS), mengacu pada struktur manajemen keamanan informasi yang dikenal dalam BS 7799-2, yang kemudian menjadi ISO/IEC 27001. Versi tahun 2002 dari BS 7799-2 diperkenalkan istilah Plan-Do-Check-Act (PDCA), menyejajarkannya dengan standar-standar kualitas seperti ISO 9000. BS 7799 Part 2 diadopsi oleh ISO sebagai ISO/IEC 27001 bulan November 2005
a. 10 control clauses (10 pasal pengamatan), Merupakan pasal-pasal mengenai pengendalian yang perlu dilakukan baik pada tingkat organisasional dan operasional. Pengendalian tersebut diimplementasikan ke dalam tiga aspek, yaitu aspek organisasional, aspek teknikal dan aspek secara fisik.
b. 36 control objectives (36 objek/sasaran pengamanan)
Bagian Kedua dari BS 7799 pertama kali diterbitkan oleh BSI tahun 1999, dikenal sebagai BS 7799 Part 2, dengan judul "Information Security Management Systems -Specification with guidance for use." BS 7799-2 memfokuskan pada bagaimana menerapkan sistem manajemen keamanan informasi (ISMS), mengacu pada struktur manajemen keamanan informasi yang dikenal dalam BS 7799-2, yang kemudian menjadi ISO/IEC 27001. Versi tahun 2002 dari BS 7799-2 diperkenalkan istilah Plan-Do-Check-Act (PDCA), menyejajarkannya dengan standar-standar kualitas seperti ISO 9000. BS 7799 Part 2 diadopsi oleh ISO sebagai ISO/IEC 27001 bulan November 2005
1. Organisasi, untuk mempelajari serta melaksanakannya guna mendapatkan sertifikasi tersebut
2. Auditor TI, untuk membandingkan kesesuaian antara standar dengan kenyataan yang ada di organisasi tersebut
3. Auditor Keuangan, digunakan sebagai salah satu acuan untuk menentukan dalamnya pemeriksaan
ISO 17799 mengakui bahwa perusahaan tidak punya kendali yang efektif pada tempatnya jika tidak mampu merespon secara efisien terhadap peristiwa keamanan dan meresponnya secara produktif dengan menunjukkan bukti-bukti yang ada. Dalam rangka mematuhi ISO 17799, perusahaan harus membantu dirinya untuk membuat alat dan prosedur yang diperlukan agar lebih efisien dan produktif.
ISO 17799:2000 tidak menyediakan suatu definisi atau materi yang spesifik dalam berbagai topik keamanan, namun hanya menyediakan petunjuk umum pada berbagai variasi topik yang ada tetapi tidak secara mendalam. ISO 17799 tidak menyediakan spesifikasi secara detail yang diperlukan dalam program manajemen keamanan informasi, serta tidak menyediakan cukup informasi untuk mendukung secara mendalam suatu review terhadap keamanan informasi organisasi atau mendukung program sertifikasi seperti proses program sertifikasi kualitas ISO 9000. Meskipun demikian, ISO 17799 dapat berguna sebagai gambaran tingkat tinggi dari topik keamanan informasi yang dapat membantu manajemen senior untuk memahami isu mendasar yang menyangkut setiap topik. ISO 17799 harus ditambahkan dengan banyak petunjuk teknik untuk digunakan secara efektif dalam meninjau ulang keamanan.
Aset dan aspek yang dinilai dalam ISO 17799 1. Information assets (aset informasi),
2. Software assets (aset perangkat lunak yang dimiliki), 3. Physical assets ( aset fisik) dan
4. Services ( pelayanan).
Kendala penerapan ISO 17799 adalah bahwa standar ini masih terhitung baru bagi Indonesia, sehingga wajar jika kalangan swasta ingin mempelajarinya terlebih dahulu. Kendala lain adalah untuk mendapatkan standar tersebut dibutuhkan biaya yang besar. Indonesia memilih untuk menterjemahkan standar tersebut sehingga diharapkan harganya akan lebih murah. Saat ini standar tersebut telah selesai di voting namun belum diterbitkan oleh Badan Sertifikasi Nasional (BSN). Selain itu penyedia jasa keamanan informasi untuk mendorong pengadopsian standar ini juga terus mengadakan edukasi, misalnya melalui seminar-seminar atau workshop mengenai sistem keamanan informasi.
Hal yang juga mendapat perhatian adalah apakah isi standar tersebut cocok untuk diterapkan di Indonesia. Sebenarnya ada beberapa isi standar tersebut yang tidak cocok diterapkan di Indonesia. Misalnya, untuk sistem yang memerlukan pengamanan tinggi jumlah password harus 10 karakter. Padahal biasanya panjang password hanya 6 karakter. Artinya ketika standar tersebut digunakan, password-nya harus dirombak total. Kedua, dalam standar tersebut disebutkan bahwa jika masuk ke ruang data center, semua perangkat komunikasi tidak boleh dibawa. Meskipun ada beberapa hal yang dirasa tidak cocok, namun prinsip-prinsip utama pengendalian dapat diadopsi oleh perusahaan-perusahaan di Indonesia. BSN sudah siap mengakomodasi jika ke depannya terdapat beberapa perubahan dalam standar tersebut.
pemakai ISO 17799 antara lain : Australia, New Zealand, Brazil, Denmark, Estonia, Japan, Lithuania, Belanda, Polandia, Peru, Spanyol, Swedia, Inggris, dan Uruguay
pemakai ISO 17799 antara lain : Australia, New Zealand, Brazil, Denmark, Estonia, Japan, Lithuania, Belanda, Polandia, Peru, Spanyol, Swedia, Inggris, dan Uruguay
