COBIT, COSO & ERM

COBIT, COSO dan ERM

1.             COBIT
COBIT (Control Objectives for Information and Related Technology) merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1992.
Control Objectives for Information and Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).
COBIT bermanfaat bagi manajemen untuk membantu menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi. Bagi user, ini menjadi sangat berguna untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga. Sedangkan bagi Auditor untuk mendukung atau memperkuat opini yang dihasilkan dan memberikan saran kepada manajemen atas pengendalian internal yang ada.
COBIT memiliki fungsi untuk:
·         Meningkatkan pendekatan/program audit
·         Mendukung audit kerja dengan arahan audit secara rinci
·         Memberikan petunjuk untuk IT governance
·         Sebagai penilaian benchmark untuk kendali IS/IT
·         Meningkatkan control IS/IT
·         Sebagai standarisasi pendekatan/program audit

2.             COSO
COSO adalah singkatan dari Committee of Sponsoring Organizations of the Treadway Commission. COSO merupakan suatu inisiatif dari lima organisasi sektor swasta yang dibentuk pada tahun 1985 yaitu AICPA (American Institute of Certified  Public Accountant), AAA (The American Accounting Association), FEI (Financial Executives International), IIA (The Institute of Internal Auditor), IMA (Institute of Management Accountants).
Tujuan utama komisi ini adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi-rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.

3.             ERM
ERM (Enterprise Risk Management) merupakan suatu proses yang sistematis dan berkelanjutan yang dirancang dan dijalankan oleh manajemen guna memberikan keyakinan yang memadai bahwa semua risiko yang berpotensi memberikan dampak negatif telah dikelola sedemikian rupa sesuai dengan tingkat risiko yang bersedia diambil perusahaan (Hery, 2015).
ERM memiliki fungsi untuk:
1.      Peningkatan efektifitas organisasi
Adanya koordinasi yang lebih baik antara beberapa fungsi pengelolaan risiko serta meningkatkan ruang lingkup pengelolaan risiko (meningkatkan efisiensi proses pengelolaan risiko secara terintegrasi yaitu mencakup semua bisnis dan organisasi serta mencakup semua jenis risiko yang dihadapi). Pengelolaan risiko secara terintegrasi ini akan memperbesar peluang pencapaian tujuan perusahaan yang pada akhirnya akan meningkatkan value perusahaan.
2.      Meningkatkan ketahanan organisasi
Penerapan ERM akan memberikan perusahaan suatu langkah antisipasi/mitigasi risiko dalam menghadapi berbagai risiko yang akan dihadapi perusahaan (corporate risk) sehingga memberikan early warning system yang efektif dalam menghadapi keadaan yang tersulit bagi perusahaan.
3.      Mendukung dan meningkatkan kualitas penerapan tata kelola perusahaan yang baik (Good Corporate Governance (GCG). ERM adalah salah satu pilar penting dalam mendukung terciptanya GCG.
4.      Adanya sinergi antara strategi perusahaan dan tingkat risiko yang diterima (Risk Appetite) untuk mencapai tujuan (improved outcomes).
5.      Mendorong manajemen yang proaktif dan bukan reaktif.
6.      Meningkatkan keselamatan dan pencegahan insiden.
7.      Meningkatkan kepercayaan para pemangku kepentingan.

4.             Implementasi pada PT Madani Sentra Multi Jasa

Pada perusahaan sudah memiliki prosedur pengelolaan teknologi informasi yang dijalankan, tetapi faktanya prosedur tersebut tidak sepenuhnya dijalankan, sehingga user biasanya melakukan secara manual. Mengetahui berbagai kendala dalam pengelolaan teknologi informasi yang dijalankan. Perusahaan menginginkan adanya suatu evaluasi tata kelola teknologi informasi untuk peningkatan mutu perusahaan.

A.           Perencanaan dan Organisasi
Berikut ini adalah kelemahan-kelemahan perencanaan dan organisasi di Perusahaan yaitu:

1.    Rencana strategis TI
Pada Perusahaan sudah mengetahui akan rencana strategis TI, meski kenyataannya pelaksanaannya sering diabaikan dan belum diaplikasikan dengan baik. Pendokumentasian belum terstruktur dengan jelas. Dan hanya diketahui oleh beberapa pegawai yang berkepentingan saja. Update dari rencana strategis TI merupakan respon dari permintaan pihak perusahaan dan juga berdasarkan perubahan kondisi yang ada. Keputusan-keputusan stategis yang diambil hanya berdasarkan pada masalah yang ada dalam perusahaan yang sedang dilaksanakan, belum berdasarkan rencana strategis TI yang telah ditetapkan secara konsisten.
Tetapi pada perusahaan ini sudah adanya solusi TI yang dibuat untuk menghadapi masalah yang ada. Penyampaian kepada konsumen juga sudah dilakukan, hanya belum berjalan dengan maksimal. Penyampaian kepada konsumen dilakukan secara online, dengan website yang diberikan perusahaan.
Seperti adanya rencana strategis dalam pemanfataan TI pada perusahaan ini yakni :
·        Solusi menyeluruh untuk industri perdagangan dan investasi
·        Solusi TI menyeluruh dengan nilai yang luar biasa
·        Solusi TI menyeluruh dengan kompetensi yang tinggi

2.    Arsitektur informasi
Belum semua bagian memiliki sistem informasi dan sistem informasi yang dikembangkan belum terintegrasi.
3.    Arah teknologi
Teknologi yang digunakan belum begitu canggih karena sarana dan prasarana belum memadai.
4.    Organisasi TI dan hubungan
Belum ada sebuah organisasi yang jelas dan secara khusus menangani bidang IT, hanya seseorang yang biasa diandalkan dalam menangani hal tersebut.
5.    Investasi TI
Belum adanya rancangan anggaran TI yang menyeluruh dan alokasi anggaran yang masih terbatas.
6.    Komunikasi tujuan dan arah manajemen
Masih lemahnya koordinasi pembagian produk produk yang telah tersedia. Hal ini menyebabkan koordinasi kurang efektif, antrian yang semakin panjang dan kesalahpahaman bagian yang terkait.

7.    Manage SDM
Penempatan SDM yang tidak tepat dan pembagian tugas yang tidak jelas. Pengelolaan sumber daya yang belum optimal baik di tingkat teknis operasional maupun manajerial.
8.    Kesesuaian dengan external requirement
Kurangnya kesiapan dalam antisipasi (change of management) baik terhadap perkembangan teknologi informasi dan komunikasi maupun terhadap tuntutan masyarakat (globalisasi).
9.    Penilaian resiko
Pada perusahaan ini belum adanya  kebijakan akan manajemen resiko, karena sebagian besar pelaksanaan kegiatan bisnis di perusahaan ini belum memanfaatkan teknologi yang terintegrasi. Manajemen resiko dilakukan hanya ketika ada masalah yang mulai  membuat tidak nyaman. Selain itu belum ada standart khusus untuk mengatur kebijakan manajemen resiko tersebut.  Manajemen resiko pada perusahaan ini belum disosialisasikan kepada seluruh pegawai, jadi hanya pihak terkait atau manager yang mengaturnya dan menjalankannya. Apabila terjadi kesalahan manajer yang memberitahukan secara manual kepada pegawainya.
Proses kelonggaran/mitigasi yang diberikan terhadap resiko perusahaan semuanya diperiksa oleh manager, tetapi masih belum konsisten karena tidak adanya standart khusus untuk proses tersebut.
10.     Manajemen proyek
Pada perusahaan ini, menajemen belum memenuhi kebutuhan user. User disini ialah pegawai, manager, pimpinan dan stakeholders lainnya. Namun, proses pedokumentasian belum berjalan dengan baik serta pengembangan dan penggunaan teknik juga belum dilaksanakan dengan baik. Serta aplikasi dari penerapan manajemen tergantung pada kebijakan dari manager.
11.     Manajemen kualitas
Kurangnya tenaga ahli yang mampu mengawasi kualitas TI dan rendahnya penghargaan terhadap SDM TI terampil mempengaruhi kualitas sistem dan pengembangan TI.
B.            Akuisisi dan Implementasi
Ditinjau dari tahapan akuisisi dan implementasi maka dapat disimpulkan bahwa sebenarnya telah terdapat beberapa otomatisasi layanan dan pengembangan sistem informasi. Namun pengembangan sistem tersebut masih sporadis di beberapa bagian dan belum terintegrasi. Demikian pula dengan manajemen waktu dan perubahan, roadmap yang disusun baru mengakomodasi perubahan jangka pendek (short time investment) dan belum mencakup jangka menengah dan jangka panjang (long time investment).
Beberapa kelemahan yang ditemukan diantaranya :
1.    Identifikasi solusi otomatisasi
Belum semua sistem terotomatisasi. Sebagian besar layanan masih menggunakan sistem manual. Sistem yang sudah dikembangkan belum terintegrasi.
2.    Pemeliharaan aplikasi perangkat lunak
Tidak terdapat alokasi anggaran yang memadai untuk pemeliharaan. Yang sering terjadi justru penggunaan perangkat lunak tidak optimal
3.    Pemeliharaan infrastruktur teknologi
Tidak didukung SDM TI yang handal dalam pemeliharaan infrastruktur. Alokasi anggaran pemeliharaan masih terbatas. Jangka waktu pemakaian yang tidak jelas.
4.    Mengembangkan dan memelihara prosedur
Aturan yang berubah-ubah menjadikan prosedur turut berubah pula. Tidak ada korelasi dan koherensi antar setiap perubahan sehingga menyulitkan pengembangan dan pemeliharaan prosedur.
5.    Instalasi sistem
Instalasi sistem masih dalam tahap pengembangan ke depan dan menyeluruh.
6.    Mengatur perubahan
Sudah ada persiapan dari pihak Perusahaanterhadap perubahan. Perubahan  yang ditentukan dari luar akan segera direncanakan dari dalam. Tetapi pada prosesnya, persiapan perubahan tersebut berjalan lambat dan tidak optimal serta inisiatif internal masih rendah.
C.           Pelaksanaan dan Dukungan
Pengembangan IT pada Perusahaan dilihat dari pelaksanaan dan dukungan bagi keberlanjutannya, ternyata masih dapat ditemukan beberapa kelemahan sebagai berikut :
1.    Mengidentifikasi dan mengatur service levels
Instalasi sistem yang tidak seragam dan belum terintegrasi.
2.    Mengatur layanan pihak ke-3
Sistem layanan online bagi masyarakat yang dilayaninya yaitu melalui telpon, email dan social media.
3.    Mengatur kinerja dan kapasitas
Tidak terdapat standarisasi antara kapasitas dan aktualitas, potensi dan hasil kerja.
4.    Memastikan layanan berkelanjutan
Roadmap yang dibuat hanya dalam jangka waktu pendek (short time), belum terdapat roadmap jangka menengah dan jangka panjang (long time). Roadmap jangka pendek tidak intensif, dan tidak terinci, sangat rentan terhadap penyimpangan. Acuan yang digunakan masih sangat umum sehingga sulit dilaksanakan.
5.    Memastikan keamanan sistem
Belum adanya sistem yang menjamin keamanan data serta pengelolaan data yang belum optimal. Tanggung jawab terhadap keamanan data dan transaksi yang tidak jelas, prosedur dan mekanisme pengamanan data yang minimalis dan sangat rentan terhadap serangan. Tingkat vulnerability sistem masih relatif tinggi.
6.     Identifikasi dan alokasi biaya/sumber daya
Alokasi anggaran yang tidak tepat sasaran, sangat terbatas. Alokasi anggaran pada masing-masing tingkat bagian sangat beragam
7.    Edukasi dan pelatihan pengguna
Tidak adanya regenersi SDM sehingga SDM yang handal masih sangat terbatas. Kalaupun ada SDM yang cukup terampil, namun penempatan dan psosisinya tidak tepat sehingga tidak termanfaatkan kemampuannya secara optimal serta rendahnya penghargaan terhadap kinerja sumber daya manusia yang terampil.
Meskipun sudah ada usaha untuk mensosialisasikan rencana-rencana, sosialisasi dari implementasi masih belum optimal sehingga nilai manfaat dari perkembangan masih belum dapat dirasakan.
8.    Mengatur konfigurasi
Prosentase penggunaan teknologi informasi di masing-masing bagian yang masih kurang serta tingkat utilitas dari implementasi belum optimal.
9.    Mengatur masalah dan kejadian luar biasa
ID member masih dalam tahap perencanaan. Belum terdapat rancangan dalam penanganan kejadian luar biasa termasuk pertanggungjawabannya.
10.     Mengatur data
Data antara bagian belum terintegrasi. Belum menggunakan data storage yang memadai. Manajemen back up data menggunakan komputerisasi.
11.      Mengatur fasilitas
Perencanaan fasilitas dan pemeliharaan sudah dilaksanakan, namun masih belum optimal begitu juga pemanfaatan dan pemeliharaan fasilitas.
12.     Mengatur operasional
Tidak didukung dengan sistem yang jelas. Peraturan yang ada masih bersifat umum dan multi tafsir.

Kesimpulan
Metode COBIT perlu diterapkan pada perusahaan, hal ini berdasarkan atas kelemahan-kelemahan yang telah diuraikan pada bagian sebelumnya. Dengan diterapkannya metode cobit diharapkan kinerja perusahaan dapat lebih baik dan terorganisir sehingga visi dan misi perusahaan dapat tercapai.

Referensi :
Cobit Control Objectives. 8 April 2018. http://irwan-manullang.blogspot.co.id/2011/04/cobit-control-objectives-for.html.
Hery. 2015. Manajemen Risiko Bisnis Enterprise Risk Management. Jakarta: Grasindo.
Menggunakan Framework COBIT Versi. 4.1, Ping Test Dan Caat Pada Pt.Bank X Tbk. di Bandung (Seminar Nasional Aplikasi Teknologi Informasi 2009 (SNATI 2009) ISSN: 1907-5022 Yogyakarta, 20 Juni 2009).
Penerapan Enterprise Risk Management. 8 April 2018. http://mulyono-oke.blogspot.co.id/2010/06/penerapan-enterprise-risk-management.html.
Pengertian Sejarah dan Komponen. 8 April 2018. https://www.kajianpustaka.com/2014/02/pengertian-sejarah-dan-komponen-cobit.html.

Sasongko, Nanang. 2009. Pengukuran Kinerja Teknologi Informasi.

Komentar

Posting Komentar

Postingan populer dari blog ini

Sistem Informasi Siklus Produksi

Sistem Informasi Siklus Produksi Menurut Romney and Steinbart (2015:441-443), siklus produksi adalah berulang kegiatan bisnis dan operasi pemrosesan informasi terkait yang berhubungan dengan pembuatan produk. Sebagai imbalannya, sistem informasi siklus produksi mengirimkan informasi siklus pendapatan tentang barang jadi yang telah diproduksi dan tersedia untuk dijual. Meskipun akuntan terlibat terutama pada langkah keempat, akuntansi biaya, mereka harus memahami tiga proses lain untuk dapat merancang laporan yang menyediakan manajemen dengan informasi yang dibutuhkan untuk mengelola kegiatan siklus produksi perusahaan manufaktur modern. Tujuan sistem informasi siklus produksi, yaitu: 1.     Siklus produksi dilakukan secara efektif dan efisien, 2.     Mengetahui catatan persediaan barang, 3.     Semua kegiatan produksi telah diotorisasi dengan baik, 4.     Semua kegiatan siklus produksi telah tercatat dengan akurat, Berikut ini adalah aktivitas siklus produksi di Pe
Baca selengkapnya

Pengendalian Internal atas Pelaporan Keuangan

Pengendalian Internal atas Pelaporan Keuangan Pengendalian Internal atas Pelaporan Keuangan (Internal Control over Financial Reporting - ICOFR) merupakan suatu proses yang dirancang dan dilaksanakan oleh manajemen perusahaan dalam rangka mencapai keandalan laporan keuangan, efisiensi, dan efektivitas operasi, serta kepatuhan terhadap peraturan yang berlaku untuk memberikan keyakinan yang memadai. ICOFR bertujuan untuk memastikan pencatatan yang terperinci, akurat, dan wajar atas transaksi dan pengelolaan transaksi perusahaan. Tujuan ini selanjutnya akan memberikan keyakinan yang memadai bahwa transaksi telah dicatat dengan benar dengan prinsip akuntansi yang berlaku umum serta keyakinan yang memadai akan upaya pencegahan atau identifikasi perolehan, penggunaan, atau pengelolaan aset perusahaan tanpa otorisasi yang berdampak material atas pelaporan keuangan. ICOFR tidak dapat menjanjikan bahwa perusahaan akan mutlak tidak akan mengalami kesalahan dalam penyajian laporan keuangannya
Baca selengkapnya