View
475
Download
3
Embed Size (px)
Citation preview
COBIT dan COSO
Mahasiswa dapat menjelaskan standarEDP Audit
Curr
iculu
m V
itae
D III Akuntansi STAN (Bintaro)2002-2005
SD s.d SMU (Magelang)1985-2002
Rohmad Adi Siaman SST. Akt., M.Ec.Dev.NIP. 19850529 200602 1 003Magelang, 29 Mei 1985
Auditor Terampil, BPKP Maluku (Ambon)
2006-2008
DIV Akuntansi STAN (Bintaro)2009-2010
Auditor Pertama, BPKPKalimantan Selatan (Banjarbaru)
2011-2012
S2 MEP UGM (Yogyakarta)2012-2014
Auditor Muda, BPKP Pusat danDosen Tidak Tetap PKN
STAN(Jakarta)2014-sekarang
Conta
ctRohmad Adi Siaman SST. Akt., M.Ec.Dev.NIP. 19850529 200602 1 003Magelang, 29 Mei 1985
085243341401
085243341401
www.adis.web.id
twitter.com/adiswebid
facebook.com/rohmadadis
slideshare.net/rohmadadis
Praktik Korupsi Asing
Foreign Corruption Practices Act (FCPA) dikeluarkan diUSA pada tahun 1977 untuk mencegah perusahaanmenyuap pejabat asing agar mendapatkan proyek. FCPAjuga mengharuskan perusahaan memiliki sistempengendalian akuntansi internal. Tapi UU ini ternyatatidak mampu mencegah permasalahan yang adasetelahnya.
Salah satu dari The Big Five KAPterlibat dalam skandal ini. KAP
manakah itu?
Apa kesimpulan yang bisa ditarikdari dua skandal di atas?
Mencegah kejahatan laporan
keuangan
Memperkuat pengendalian
internal
Membuat laporan keuangan lebih
transparan
Memberikan perlindungan
kepada investor
Menghukum eksekutif yang
melakukan kejahatan
Aspek Terpenting SOX
PCAOB Auditor Komite Audit CEO dan CFO Internal Control
Public Company
Accounting Oversight
Board untuk mengatur
profesi pengauditan
Memberikankritik pada
praktek dankebijakanakuntansi,
Auditor harusdirotasi,
Larangan bagiauditor untuklayanan non
audit
Komiteaudit harus
ada di jajarandewan
direktur, Independen,
Salah satuanggota
harus ahlikeuangan
LaporanKeuanganharus di
reviu, Manajemen
harusmemberitahu
auditor jikaterdapat
kelemahanpengendalianinternal dankecurangan
Manajemenharus
bertanggung-jawab untukmembangundan menjaga
sistempengendalianinternal yang
memadai
Pengendalian Internal
Apakah pengendalian internal itu?
Manakah yang tidak termasuk pengendalian internal?1. Pemisahan tugas bendahara dan kasir2. Pemasangan alat pemadam kebakaran pada gudang3. Pemeriksaan laporan keuangan oleh BPK4. Penggunaan kas kecil pada perusahaan5. Perlunya satuan pengendalian internal dalam
perusahaan
Definisi
Kebijakan, prosedur, dan praktik dan struktur organisasiyang dirancang untuk memberikan keyakinan yang wajarbahwa tujuan organisasi dapat dicapai dan hal-hal yangtidak diinginkan dapat dicegah atau dideteksi dan diperbaiki
Kerangka Pengendalian
Information System Audit and Control Association
Control Objectives for Information and Related Technology
COSO – IC FRAMEWORK
COSO – ERM FRAMEWORK
COSO IC Framework
IC Framework Vs ERM Framework
Apa perbedaan antara COSO IC Framework dan COSO ERM
Framework?
IC Framework Vs ERM Framework
• Lebih Sederhana dan diterapkandi pemerintahan RI melalui PP60 Tahun 2008 tentang SistemPengendalian InternalPemerintah
• Pendekatan Controls-based
• Lebih Komprehensif
• Pendekatan Risk-based
• Lebih fleksibel dan relevan
• Terdapat penanganan risiko yanglebih lengkap
• Lebih banyak diadopsi di dunia
LATAR BELAKANG
• Era reformasi : Masyarakat menilai bagaimana penyelenggaraan kinerja pemerintahan
• Pelayanan publik menjadi sorotan masih sering dijumpai komplain/kritik kinerja pemerintahan terutama pelayanan yang kurang efektif dan efisien.
• Standar Minimal Pelayanan sebagai tolak ukur mutu pelayanan pemerintah belum dijalankan secara optimal
LATAR BELAKANG
• Belum efektifnya pengawasan internal pemerintah oleh Aparat Pengawas Intern pemerintah (APIP) : BPKP dan Inspektorat
• Lemahnya SPI : membuka terjadinya penyimpangan pelaksanaan anggaran (APBN/APBD).
Pemerintah menerbitkan PP No. 60 Tahun 2008 tentang Standar Pengendalian Intern Pemerintahan.
PENYELENGGARAAN PEMERINTAHAN :PENGELOLAAN KEUANGAN NEGARA YG EFEKTIF, EFISIEN, TRANSPARAN DAN AKUNTABLEPENINGKATAN PELAYANAN PUBLIK
Pencapaian tujuan Instansi Pemerintah
SPIP
•VISI – MISI PRESIDEN
•Mengutamakan hard control•Soft control : tidak tersentuh (integritas, komitmen, kepemimpinan, nilai etika) • KKN
Apa perbedaan HardControl dan SoftControl?
Apa sebenarnya SPI dan SPIP?
SPI adalah proses yang integral pada tindakan dan kegiatan yang dilakukan secaraterus-menerus oleh pimpinan dan seluruh pegawai untuk memberikan keyakinanmemadai atas tercapainya tujuan organisasi melalui kegiatan yang efektif danefisien, keandalan pelaporan keuangan, pengamanan aset negara, dan ketaatanterhadap peraturan perundang-undangan (PP 60/2008, Bab I Ps. 1 butir 1)
SPIP adalah sistem pengendalian intern (SPI) yang diselenggarakan secaramenyeluruh di lingkungan pemerintah pusat dan pemerintah daerah
(PP 60/2008, Bab I Ps. 1 butir 2)
SPIP
Pemantauan
Pengendalian
Intern
Informasi &
Komunikasi
Kegiatan
Pengendalian
Penilaian Risiko
Lingkungan
Pengendalian
Identifikasi Risiko
Analisis Risiko
Sarana Komunikasi
Sistem Informasi
Pemantauan Berkelanjutan
Evaluasi Terpisah
Tindak Lanjut
Pembinaan Sumber Daya Manusia
Pengendalian Pengelolaan Sistem InformasiPengendalian Fisik atas AsetPenetapan & Reviu Indikator & Ukuran KinerjaPemisahan FungsiOtorisasi Transaksi dan Kejadian PentingPencatatan yang Akurat dan Tepat WaktuPembatasan Akses atas Sumber DayaAkuntabilitas terhadap Sumber Daya
Reviu atas Kinerja Instansi Pemerintah
Dokumentasi atas Sistem Pengendalian Intern
Kebijakan yang Sehat tentang Pembinaan SDMPendelegasian Wewenang dan Tanggung JawabStruktur Organisasi yang Sesuai Kebutuhan
Kepemimpinan yang Kondusif
Komitmen terhadap Kompetensi
Penegakan Integritas dan Etika
Peran APIP yang Efektif
Hubungan Kerja yang Baik
Ps. 4
Ps. 13
Ps. 18
Ps. 41
Ps. 43
a. Lingkungan pengendalianKondisi dalam instansi pemerintah yang mempengaruhiefektivitas pengendalian intern.
Pimpinan instansi pemerintah wajib menciptakan danmemelihara lingkungan pengendalian yang menimbulkanperilaku positif dan kondusif untuk penerapan sistempengendalian intern dalam lingkungan kerjanya.
Lingkungan pengendalian merupakan fondasi bagiefektifitas penerapan komponen SPIP lainnya.
UNSUR SISTEM PENGENDALIAN INTERN DALAM PERATURAN PEMERINTAH
b. Penilaian risikoKegiatan penilaian atas kemungkinan kejadian yangmengancam pencapaian tujuan dan sasaran InstansiPemerintah. Penilaian risiko terdiri dari identifikasi risikodan analisis risiko.Dalam penilaian risiko, pimpinan Instansi Pemerintahterlebih dahulu menetapkan tujuan instansi pemerintahdan tujuan pada tingkat kegiatan dengan berpedomanpada peraturan perundang-undangan.
UNSUR SISTEM PENGENDALIAN INTERN DALAM PERATURAN PEMERINTAH
Apa yang dimaksuddengan Risiko?
c. Kegiatan pengendalianTindakan yang diperlukan untuk mengatasi risiko sertapenetapan dan pelaksanaan kebijakan dan prosedur untukmemastikan bahwa tindakan mengatasi risiko telahdilaksanakan secara efektif.
Kegiatan pengendalian ditetapkan untuk membantumemastikan bahwa arahan pimpinan Instansi Pemerintahdilaksanakan dan membantu memastikan tindakan yangperlu, telah dilakukan untuk meminimalkan risiko dalammencapai tujuan
UNSUR SISTEM PENGENDALIAN INTERN DALAM PERATURAN PEMERINTAH
Apa perbedaanLingkunganPengendalian danAktivitasPengendalian?
d. Informasi dan komunikasi
Informasi adalah data yang telah diolah yang dapat digunakanuntuk pengambilan keputusan dalam rangka penyelenggaraantugas dan fungsi Instansi Pemerintah.
Sedangkan komunikasi adalah proses penyampaian pesan atauinformasi dengan menggunakan simbol atau lambang tertentubaik secara langsung maupun tidak langsung untukmendapatkan umpan balik.
UNSUR SISTEM PENGENDALIAN INTERN DALAM PERATURAN PEMERINTAH
Sebutkan contoh perolehaninformasi dan penyampaiankomunikasi yang tidak tepat!
e. Pemantauan Pengendalian InternProses penilaian atas mutu kinerja sistem pengendalianintern dan proses yang memberikan keyakinan bahwatemuan audit dan evaluasi lainnya segera ditindaklanjuti.Pemantauan pengendalian intern dilaksanakan melaluipemantauan berkelanjutan, evaluasi terpisah, dan tindaklanjut rekomendasi hasil audit dan reviu lainnya.
UNSUR SISTEM PENGENDALIAN INTERN DALAM PERATURAN PEMERINTAH
Kapankah tindak lanjut dari suatutemuan audit, evaluasi dll dinyatakantelah selesai? Siapa yangmenentukan?
SPIP YANG EFEKTIF
• SPI merupakan proses, efektivitasnya adalah kondisi;
• SPIP Efektif jika Tujuan SPIP tercapai yaitu:• Tercapainya tujuan dengan efektif dan efisien;
• Andalnya laporan keuangan;
• Amannya aset negara;
• Taatnya organisasi pada ketentuan yang berlaku.
• Efektivitas tersebut perlu dievaluasi secara berkala.
Informasi
Informasi adalah salah satu sumber daya bagi semua perusahaan
Informasi dibuat, digunakan, disimpan, diungkapkan dan dihancurkan.
Teknologi memainkan peran kunci dalam tindakan ini. Mengapa?
Teknologi menjadi meresap dalam semua aspek bisnis dan kehidupan
pribadi.
Manfaat apa yang diberikan oleh informasi dan teknologi pada
perusahaan?
Pentingnya Informasi Bagi Stakeholder
• Untuk memenuhi kebutuhan stakeholder dibutuhkan tata kelola dan
manajemen TI yang bagus
• Dewan Komisaris, Eksekutif dan Manajemen merangkul TI sama
pentingnya dengan bagian lain dalam perusahaan.
• Untuk itu diperlukan sebuah kerangka yang lengkap untuk membantu
perusahaan mencapai tujuan mereka dan membantu mereka mencapai
value yang mereka inginkan melalui tata kelola dan manajemen TI yang
efektif
Apakah COBIT Itu?
Sebuah model yang dikembangkan untuk membantuperusahaan dalam pengelolaan sumber daya teknologiinformasi (TI).
COBIT menciptakan sebuah jembatan antaramanajemen TI dan para eksekutif bisnis. COBITmampu menyediakan bahasa yang umum sehinggadapat dipahami oleh semua pihak.
Fokus utama dari COBIT adalah perusahaan akanmampu meningkatkan nilai tambah melaluipenggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.
COBIT adalah kerangka bisnis untuk tatakelola dan manajemen perusahaan IT (ITgovernance framework), dan juga kumpulanalat yang mendukung para manager untukmenjembatani jarak (gap) antara kebutuhanyang dikendalikan (control requirements),masalah teknis (technical issues) dan resikobisnis (business risk).
Versi evolusi menggabungkan pemikiranterbaru dalam tata kelola perusahaan danteknik manajemen, dan memberikan prinsip-prinsip yang diterima secara global, praktek,alat-alat analisis dan model untuk membantumeningkatkan kepercayaan, dan nilai dari,sistem informasi.
Apa perbedaan COBIT dan General Control dan Application Control?
Perbedaan COBIT dan General Control danApplication ControlGeneral Control dan Application Control ialah teori yang membedakan jenis-jenispengendalian dalam TI.
Sedangkan COBIT merupakan model, kerangka, kumpulan alat, best practice dalam tatakelola TI dan manajemen.
COBIT mempermudah perkembangan peraturan yang jelas (clear policy development) danpraktik baik (good practice) untuk mengendalikan IT dalam organisasi.
COBIT menekankan kepatuhan terhadap peraturan, membantu organisasi untukmeningkatkan nilai yang ingin dicapai dengan penggunaan IT, memungkinkan untukmenyelaraskan dan menyederhanakan penerapan dari the COBIT framework.
Sejarah COBITCOBIT telah memiliki lima rilis utama:1. Pada tahun 1996, edisi pertama dirilis
COBIT.2. Pada tahun 1998, edisi kedua
menambahkan "PedomanPengelolaan".
3. Pada tahun 2000, edisi ketiga dirilis.Kemudian pada tahun 2003, versi on-line tersedia.
4. Pada bulan Desember 2005, edisikeempat dirilis. Pada bulan Mei 2007,revisi 4.1 saat dirilis.
5. COBIT 5 dirilis pada bulan Juni 2012.Ini mengkonsolidasikan danmengintegrasikan COBIT 4.1, Val IT2.0 dan Risk IT.
COBIT 5 Product Family
Source: COBIT® 5, figure 11. © 2012 ISACA® All rights reserved.
COBIT 5 EnablersEnablers secara luas didefinisikansebagai sesuatu hal apapun yang dapatmembantu mencapai tujuanperusahaan.
Enablers adalah faktor yang – secaraindividual maupun kolektif –mempengaruhi apakah sesuatu dapatberjalan dengan baik, dalam kasus iniadalah apakah tata kelola danmanajemen TI perusahaan dapatberjalan dengan baik.
1. Prinsip-prinsip, kebijakan-kebijakan dan framework : sarana untuk menerjemahkan tingkah laku yangdiinginkan kedalam petunjuk praktek untuk pelaksanaan manajemen harian.
2. Proses : menjelaskan kumpulan terorganisasi dari praktek-praktek dan aktivitas-aktivitas untuk mencapaitujuan yang telah ditentukan dan menghasilkan sekumpulan keluaran di dalam dukungan pencapaianseluruh sasaran TI.
3. Struktur organisasi : entitas pembuatan keputusan kunci di dalam perusahaan.4. Budaya, etika dan tingkah laku : merupakan kebiasaan dari individu dan perusahaan yang sering
dianggap sebagai faktor penghambat kesuksesan di dalam aktivitas tata kelola dan manajemen.5. Informasi : sebuah kebutuhan untuk memastikan agar organisasi tetap berjalan dan dapat dikelola
dengan baik. Tetapi ditingkat operasional, informasi seringnya digunakan sebagai hasil dari prosesperusahaan.
6. Layanan, infrastruktur dan aplikasi : menyediakan layanan dan proses teknologi informasi bagiperusahaan.
7. Orang, keterampilan dan kemampuan : dibutuhkan untuk menyelesaikan aktivitas dan membuatkeputusan yang tepat serta mengambil tindakan-tindakan perbaikan.
COBIT 5 Enablers
Praktek COBIT 5 Enablers
Proses
Prinsip-prinsip, kebijakan-kebijakan dan framework
Orang, keterampilan dan kemampuan
Layanan, infrastruktur dan aplikasi
Informasi
Budaya, etika dan tingkah laku
Struktur organisasi
Perolehan data yang valid dan akurat
Penggunaan LAN berbasis wireless
Standar Operasi dan Prosedur
Indikator kinerja
Kode etik dan aturan perilaku
Pelatihan, Workshop dan Seminar
Susunan organisasi berdasarkan tugas pokokdan fungsi
Praktek COBIT 5 Enablers
Proses
Prinsip-prinsip, kebijakan-kebijakan dan framework
Orang, keterampilan dan kemampuan
Layanan, infrastruktur dan aplikasi
Informasi
Budaya, etika dan tingkah laku
Struktur organisasi
Perolehan data yang valid dan akurat
Penggunaan LAN berbasis wireless
Standar Operasi dan Prosedur
Indikator kinerja
Kode etik dan aturan perilaku
Pelatihan, Workshop dan Seminar
Susunan organisasi berdasarkan tugas pokokdan fungsi
COBIT 5 Principles
Memenuhi Kebutuhan Stakeholder
Melingkupi Seluruh Perusahaan
Menerapkan Suatu Kerangka Tunggal yang Terintegrasi
Menggunakan sebuah pendekatan yang menyeluruh
Pemisahan Tata kelola Dari Manajemen
1. Memenuhi Kebutuhan Stakeholder
Perusahaan ada untuk menciptakan nilai bagi para stakeholdernyadengan menjaga keseimbangan antara realisasi keuntungan danoptimasi risiko dan penggunaan sumber daya.
Apa value yang diciptakanoleh PKN STAN bagistakeholders sehinggaorganisasi ini bisa tetap eksis?
1. Memenuhi Kebutuhan Stakeholder
Penggerak stakeholder mempengaruhi kebutuhan stakeholder
Kebutuhan stakeholder diturunkan menjadi tujuan perusahaan
Tujuan perusahaan diturunkan menjadi tujuan yang berhubungan dengan TI
Tujuan TI diturunkan menjadi tujuan pemicu (enabler goal)
2. Melingkupi Seluruh Perusahaan
Pemicu Tata Kelola
• Sumber daya organisasi untuk tata kelola, seperti kerangka kerja, prinsip, struktur, proses, dan praktik
Ruang Lingkup Tata Kelola
• Tata kelola dapat diterapkan pada seluruh perusahaan, suatu entitas, suatu aset yang tangible maupun intangible, dsb
Peran, Aktivitas, dan Hubungan
• Menentukan siapa yang terlibat dalam tata kelola, bagaimana merekaterlibat, apa yang mereka lakukan dan bagaimana mereka berinteraksidalam suatu ruang lingkup sistem tata kelola
2. Melingkupi Seluruh Perusahaan
COBIT 5 mencakup semua fungsi dan proses dalam perusahaan. COBIT 5 tidak
hanya fokus pada ‘fungsi TI’, namun memperlakukan informasi dan teknologi yang
berhubungan dengannya sebagai suatu aset yang perlu ditangani oleh semua
orang dalam perusahaan seperti juga aset-aset perusahaan yang lain.Di PKN STAN, identifikasikan pihak yangmelakukan/memiliki peran sebagai :a. Operasi dan eksekusib. Manajemenc. Governing Bodyd. Pemilik dan Stakeholders
3. Menerapkan Suatu Kerangka Tunggal yang Terintegrasi
COBIT 5 adalah sebuah kerangka tunggal dan terintegrasi karena :
• Selaras dengan standar dan kerangka kerja lain yang relevan danterbaru,
• Sangat lengkap menjangkau semua lingkup perusahaan
• Menyediakan sebuah arsitektur sederhana untuk menyusun bahanpanduan dan menghasilkan produk yang konsisten
• Mengintegrasikan semua pengetahuan sebelumnya yang terpecah-pecah dalam kerangka ISACA yang berbeda-beda. Seperti : COBIT, ValIT, Risk IT, BMIS, ITAF, dan lain-lain.
PR!! Jelaskan secara singkat yangdimaksud dengan :a. Val ITb. Risk ITc. BMISd. ITAF
4. Menggunakan sebuah pendekatan yang menyeluruh
COBIT 5 mendefinisikan serangkaian pemicu untuk mendukungimplementasi sistem yang komprehensif tentang tata kelola danmanajemen TI perusahaan.
5. Pemisahan Tata kelola Dari Manajemen
Apakah perbedaan antara Tata Kelola dan Manajemen?
5. Pemisahan Tata kelola Dari Manajemen
Kunci perbedaan antara tata kelola dan manajemen menurut COBIT 5 adalah :
Tata kelola menjamin bahwa kebutuhan stakeholder, kondisi-kondisi, dan pilihan-pilihanselalu dievaluasi untuk menentukan tujuan perusahaan yang seimbang dan disepakati untukdicapai; menentukan arah melalui penentuan prioritas dan pengambilan keputusan; danmemantau pemenuhan unjuk kerja terhadap tujuan dan arah yang disepakati.
Manajemen bertugas untuk merencanakan, membangun, menjalankan, dan memantauaktivitas dalam rangka penyelarasan dengan arah perusahaan yang telah ditentukan olehbadan pengelola (tata kelola), untuk mencapai tujuan perusahaan. Pada kebanyakanperusahaan, manajemen adalah tanggung jawab manajemen eksekutif di bawah pimpinanseorang CEO.
Kekurangan COBIT
1. COBIT hanya memberikan panduan kendali dan tidak memberikan
panduan implementasi operasional.
2. Kerumitan penerapan. Apakah semua control objective dan detailed
control objective harus diadopsi, ataukah hanya sebagian saja?
Bagaimana memilihnya?
3. COBIT hanya berfokus pada kendali dan pengukuran.
4. COBIT kurang dalam memberikan panduan keamanan namun
memberikan wawasan umum atas proses TI pada organisasi.
Referensi
• Cobit 5 Introduction : ISACA
• Paparan SPIP : BPKP