COBIT, COSO & ERM
COBIT, COSO dan ERM
1.
COBIT
COBIT
(Control Objectives for Information and Related Technology) merupakan
audit sistem informasi dan dasar pengendalian yang dibuat oleh Information
Systems Audit and Control Association (ISACA) dan IT Governance
Institute (ITGI) pada tahun 1992.
Control Objectives for
Information and Related Technology (COBIT) adalah
sekumpulan dokumentasi best practice untuk IT Governance yang dapat
membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara
resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko,
2009).
COBIT
bermanfaat bagi manajemen untuk membantu menyeimbangkan antara resiko dan
investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat
diprediksi. Bagi user, ini menjadi sangat berguna untuk memperoleh keyakinan
atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal
atau pihak ketiga. Sedangkan bagi Auditor untuk mendukung atau memperkuat opini
yang dihasilkan dan memberikan saran kepada manajemen atas pengendalian
internal yang ada.
COBIT
memiliki fungsi untuk:
·
Meningkatkan
pendekatan/program audit
·
Mendukung audit kerja
dengan arahan audit secara rinci
·
Memberikan petunjuk
untuk IT governance
·
Sebagai penilaian
benchmark untuk kendali IS/IT
·
Meningkatkan control
IS/IT
·
Sebagai standarisasi
pendekatan/program audit
2.
COSO
COSO
adalah singkatan dari Committee
of Sponsoring Organizations of the Treadway Commission. COSO
merupakan suatu inisiatif dari lima organisasi sektor swasta yang dibentuk pada
tahun 1985 yaitu AICPA (American Institute of Certified Public Accountant), AAA (The American Accounting Association),
FEI (Financial Executives International),
IIA (The Institute of Internal Auditor),
IMA (Institute of Management Accountants).
Tujuan utama komisi ini adalah untuk
mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan
dan membuat rekomendasi-rekomendasi
untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum
untuk pengendalian, standar, dan kriteria internal yang dapat digunakan
perusahaan untuk menilai sistem pengendalian mereka.
3.
ERM
ERM
(Enterprise Risk Management)
merupakan suatu proses yang sistematis dan berkelanjutan yang dirancang dan
dijalankan oleh manajemen guna memberikan keyakinan yang memadai bahwa semua
risiko yang berpotensi memberikan dampak negatif telah dikelola sedemikian rupa
sesuai dengan tingkat risiko yang bersedia diambil perusahaan (Hery, 2015).
ERM memiliki fungsi untuk:
1.
Peningkatan efektifitas
organisasi
Adanya
koordinasi yang lebih baik antara beberapa fungsi pengelolaan risiko serta
meningkatkan ruang lingkup pengelolaan risiko (meningkatkan efisiensi proses
pengelolaan risiko secara terintegrasi yaitu mencakup semua bisnis dan
organisasi serta mencakup semua jenis risiko yang dihadapi). Pengelolaan risiko
secara terintegrasi ini akan memperbesar peluang pencapaian tujuan perusahaan
yang pada akhirnya akan meningkatkan value perusahaan.
2.
Meningkatkan ketahanan organisasi
Penerapan
ERM akan memberikan perusahaan suatu langkah antisipasi/mitigasi risiko dalam
menghadapi berbagai risiko yang akan dihadapi perusahaan (corporate risk) sehingga memberikan early warning system yang efektif dalam menghadapi keadaan yang
tersulit bagi perusahaan.
3.
Mendukung dan
meningkatkan kualitas penerapan tata kelola perusahaan yang baik (Good Corporate Governance
(GCG). ERM adalah salah satu pilar penting dalam mendukung terciptanya GCG.
4.
Adanya sinergi antara
strategi perusahaan dan tingkat risiko yang diterima (Risk Appetite) untuk mencapai tujuan (improved outcomes).
5.
Mendorong manajemen yang
proaktif dan bukan reaktif.
6.
Meningkatkan keselamatan
dan pencegahan insiden.
7.
Meningkatkan
kepercayaan para pemangku kepentingan.
4.
Implementasi pada PT Madani Sentra Multi Jasa
Pada perusahaan sudah memiliki prosedur
pengelolaan teknologi informasi yang dijalankan, tetapi faktanya prosedur
tersebut tidak sepenuhnya dijalankan, sehingga user biasanya melakukan secara
manual. Mengetahui
berbagai kendala dalam pengelolaan teknologi informasi yang dijalankan. Perusahaan menginginkan
adanya suatu evaluasi tata kelola teknologi informasi untuk peningkatan mutu
perusahaan.
A.
Perencanaan
dan Organisasi
Berikut ini adalah kelemahan-kelemahan perencanaan
dan organisasi di Perusahaan yaitu:
1. Rencana
strategis TI
Pada Perusahaan sudah mengetahui akan
rencana strategis TI, meski kenyataannya pelaksanaannya sering diabaikan dan
belum diaplikasikan dengan baik. Pendokumentasian belum terstruktur dengan
jelas. Dan hanya diketahui oleh beberapa pegawai yang berkepentingan saja.
Update dari rencana strategis TI merupakan respon dari permintaan pihak
perusahaan dan juga berdasarkan perubahan kondisi yang ada. Keputusan-keputusan
stategis yang diambil hanya berdasarkan pada masalah yang ada dalam perusahaan yang sedang dilaksanakan, belum
berdasarkan rencana strategis TI yang telah ditetapkan secara konsisten.
Tetapi pada perusahaan ini sudah adanya solusi TI
yang dibuat untuk menghadapi masalah yang ada. Penyampaian kepada konsumen juga
sudah dilakukan, hanya belum berjalan dengan maksimal. Penyampaian kepada
konsumen dilakukan secara online, dengan website yang diberikan perusahaan.
Seperti
adanya rencana strategis dalam pemanfataan TI pada perusahaan ini yakni :
·
Solusi menyeluruh untuk
industri perdagangan dan investasi
·
Solusi TI menyeluruh
dengan nilai yang luar biasa
·
Solusi TI menyeluruh
dengan kompetensi yang tinggi
2. Arsitektur
informasi
Belum semua bagian memiliki sistem informasi dan
sistem informasi yang dikembangkan belum terintegrasi.
3. Arah
teknologi
Teknologi yang digunakan belum begitu canggih karena
sarana dan prasarana belum memadai.
4. Organisasi
TI dan hubungan
Belum ada sebuah organisasi yang jelas dan secara
khusus menangani bidang IT, hanya seseorang yang biasa diandalkan dalam
menangani hal tersebut.
5. Investasi
TI
Belum adanya rancangan anggaran TI yang menyeluruh dan alokasi anggaran yang masih terbatas.
6. Komunikasi
tujuan dan arah manajemen
Masih lemahnya koordinasi pembagian produk produk
yang telah tersedia. Hal ini menyebabkan koordinasi kurang efektif, antrian
yang semakin panjang dan kesalahpahaman bagian yang terkait.
7. Manage
SDM
Penempatan SDM yang tidak tepat dan pembagian tugas
yang tidak jelas. Pengelolaan
sumber daya yang belum optimal baik di tingkat teknis operasional maupun manajerial.
8. Kesesuaian
dengan external requirement
Kurangnya kesiapan dalam antisipasi (change of
management) baik terhadap
perkembangan
teknologi informasi dan komunikasi maupun terhadap tuntutan masyarakat
(globalisasi).
9. Penilaian
resiko
Pada perusahaan ini belum
adanya kebijakan akan manajemen resiko, karena sebagian besar pelaksanaan
kegiatan bisnis di perusahaan ini belum memanfaatkan teknologi yang terintegrasi.
Manajemen resiko dilakukan hanya ketika ada masalah yang mulai membuat tidak nyaman. Selain itu belum ada
standart khusus untuk mengatur kebijakan manajemen resiko tersebut. Manajemen resiko pada perusahaan ini belum
disosialisasikan kepada seluruh pegawai, jadi hanya pihak terkait atau manager
yang mengaturnya dan menjalankannya. Apabila terjadi kesalahan manajer yang
memberitahukan secara manual kepada pegawainya.
Proses kelonggaran/mitigasi yang diberikan terhadap
resiko perusahaan semuanya diperiksa oleh manager, tetapi masih belum konsisten
karena tidak adanya standart khusus untuk proses tersebut.
10. Manajemen
proyek
Pada perusahaan ini, menajemen belum memenuhi
kebutuhan user. User disini ialah pegawai, manager, pimpinan dan stakeholders
lainnya. Namun, proses pedokumentasian belum berjalan dengan baik serta
pengembangan dan penggunaan teknik juga belum dilaksanakan dengan baik. Serta
aplikasi dari penerapan manajemen tergantung pada kebijakan dari manager.
11. Manajemen
kualitas
Kurangnya tenaga ahli yang mampu mengawasi kualitas
TI dan rendahnya penghargaan terhadap SDM TI terampil mempengaruhi kualitas
sistem dan pengembangan TI.
B.
Akuisisi
dan Implementasi
Ditinjau
dari tahapan akuisisi dan implementasi maka dapat disimpulkan bahwa sebenarnya
telah terdapat beberapa otomatisasi
layanan dan pengembangan sistem informasi. Namun pengembangan sistem tersebut
masih sporadis di beberapa bagian dan belum terintegrasi. Demikian pula dengan
manajemen waktu dan
perubahan, roadmap yang disusun baru mengakomodasi perubahan jangka pendek (short time investment) dan belum
mencakup jangka menengah dan jangka panjang (long time investment).
Beberapa
kelemahan yang ditemukan diantaranya :
1. Identifikasi
solusi otomatisasi
Belum semua sistem terotomatisasi. Sebagian besar layanan
masih menggunakan sistem manual.
Sistem
yang sudah dikembangkan belum terintegrasi.
2. Pemeliharaan
aplikasi perangkat lunak
Tidak terdapat alokasi anggaran yang memadai untuk
pemeliharaan. Yang
sering terjadi justru penggunaan perangkat lunak tidak optimal
3. Pemeliharaan
infrastruktur teknologi
Tidak didukung SDM TI yang handal dalam pemeliharaan
infrastruktur. Alokasi
anggaran pemeliharaan masih terbatas. Jangka waktu pemakaian yang tidak jelas.
4. Mengembangkan
dan memelihara prosedur
Aturan yang berubah-ubah menjadikan prosedur turut
berubah pula. Tidak
ada korelasi dan koherensi antar setiap perubahan sehingga menyulitkan pengembangan dan
pemeliharaan prosedur.
5. Instalasi
sistem
Instalasi sistem masih dalam tahap pengembangan ke
depan dan menyeluruh.
6. Mengatur
perubahan
Sudah ada persiapan dari
pihak Perusahaanterhadap perubahan. Perubahan yang ditentukan
dari luar akan segera
direncanakan dari dalam. Tetapi pada prosesnya, persiapan perubahan tersebut berjalan lambat dan
tidak optimal serta inisiatif internal masih rendah.
C.
Pelaksanaan
dan Dukungan
Pengembangan
IT pada Perusahaan dilihat
dari pelaksanaan dan dukungan bagi keberlanjutannya, ternyata masih dapat ditemukan
beberapa kelemahan sebagai berikut :
1. Mengidentifikasi
dan mengatur service levels
Instalasi
sistem yang tidak seragam dan belum terintegrasi.
2. Mengatur
layanan pihak ke-3
Sistem layanan online bagi
masyarakat yang dilayaninya yaitu melalui telpon, email dan social media.
3. Mengatur
kinerja dan kapasitas
Tidak terdapat standarisasi antara kapasitas dan
aktualitas, potensi dan hasil kerja.
4. Memastikan
layanan berkelanjutan
Roadmap yang dibuat hanya dalam jangka waktu pendek
(short time), belum terdapat
roadmap
jangka menengah dan jangka panjang (long time). Roadmap jangka pendek
tidak intensif, dan tidak terinci, sangat rentan terhadap penyimpangan. Acuan yang digunakan
masih sangat umum sehingga sulit dilaksanakan.
5. Memastikan
keamanan sistem
Belum adanya sistem yang menjamin keamanan data
serta pengelolaan data yang belum
optimal.
Tanggung jawab terhadap keamanan data dan transaksi yang tidak jelas, prosedur dan mekanisme
pengamanan data yang minimalis dan sangat rentan terhadap serangan. Tingkat vulnerability
sistem masih relatif tinggi.
6. Identifikasi dan alokasi biaya/sumber daya
Alokasi anggaran yang tidak tepat sasaran, sangat
terbatas. Alokasi
anggaran pada masing-masing tingkat bagian sangat beragam
7. Edukasi
dan pelatihan pengguna
Tidak adanya regenersi SDM sehingga SDM yang handal
masih sangat terbatas. Kalaupun
ada SDM yang cukup terampil, namun penempatan dan psosisinya tidak tepat sehingga tidak
termanfaatkan kemampuannya secara optimal serta rendahnya penghargaan terhadap kinerja sumber
daya manusia yang terampil.
Meskipun sudah ada usaha untuk mensosialisasikan
rencana-rencana, sosialisasi
dari implementasi
masih belum optimal sehingga nilai manfaat dari perkembangan masih belum dapat dirasakan.
8. Mengatur
konfigurasi
Prosentase penggunaan teknologi informasi di
masing-masing bagian yang masih kurang serta tingkat utilitas dari implementasi
belum optimal.
9. Mengatur
masalah dan kejadian luar biasa
ID member masih dalam tahap perencanaan. Belum terdapat
rancangan dalam penanganan kejadian luar biasa termasuk pertanggungjawabannya.
10. Mengatur
data
Data antara bagian belum terintegrasi. Belum menggunakan data
storage yang memadai. Manajemen
back up data menggunakan komputerisasi.
11. Mengatur fasilitas
Perencanaan fasilitas dan pemeliharaan sudah
dilaksanakan, namun masih belum optimal begitu juga pemanfaatan dan
pemeliharaan fasilitas.
12. Mengatur
operasional
Tidak didukung dengan sistem yang jelas. Peraturan yang ada
masih bersifat umum dan multi tafsir.
Kesimpulan
Metode
COBIT perlu diterapkan pada perusahaan, hal ini berdasarkan
atas kelemahan-kelemahan yang telah diuraikan pada bagian sebelumnya. Dengan
diterapkannya metode cobit diharapkan kinerja
perusahaan dapat lebih baik dan terorganisir
sehingga visi dan misi perusahaan dapat tercapai.
Referensi :
Cobit
Control Objectives. 8 April 2018. http://irwan-manullang.blogspot.co.id/2011/04/cobit-control-objectives-for.html.
Hery. 2015. Manajemen Risiko Bisnis Enterprise Risk
Management. Jakarta: Grasindo.
Menggunakan Framework COBIT Versi.
4.1, Ping Test Dan Caat Pada Pt.Bank X Tbk. di Bandung (Seminar Nasional
Aplikasi Teknologi Informasi 2009 (SNATI 2009) ISSN: 1907-5022 Yogyakarta, 20 Juni
2009).
Penerapan
Enterprise Risk Management. 8 April 2018. http://mulyono-oke.blogspot.co.id/2010/06/penerapan-enterprise-risk-management.html.
Pengertian
Sejarah dan Komponen. 8 April 2018. https://www.kajianpustaka.com/2014/02/pengertian-sejarah-dan-komponen-cobit.html.
Sasongko, Nanang. 2009. Pengukuran Kinerja Teknologi Informasi.
Komentar
Posting Komentar