FRAMEWORK, STANDAR, DAN REGULASI Titien S. Sukamto
FRAMEWORK
COSO (COMMITTEE OF SPONSORING ORGANIZATIONS) COSO sangat diterima di USA sebagai pondasi dari pengendalian internal modern dan praktik manajemen risiko di enterprise. COSO mendefinisikan pengendalian internal, manajemen risiko enterprise dan konsep dasar lainnya. Definisi Pengendalian Internal menurut COSO : merupakan sebuah proses yang dipengaruhi oleh dewan direksi, manajemen dan personal lainnya, dirancang untuk menyediakan jaminan menyangkut pencapaian sasaran berikut : Efektivitas dan efisiensi operasional Reliabilitas laporan keuangan Pemenuhan hukum dan peraturan yang berlaku.
PENGENDALIAN INTERNAL INTEGRATED FRAMEWORK Dalam COSO terdapat 5 komponen dalam pengendalian internal 1. Pengendalian lingkungan (Control Environment) 2. Penilaian risiko (Risk Assesment) 3. Aktivitas pengendalian (Control Activities) 4. Informasi dan komunikasi (Information and Communication) 5. Pengawasan (Monitoring)
KOMPONEN PENGENDALIAN INTERNAL COSO 1. Pengendalian Lingkungan (Control Environment) Pengendalian lingkungan mengatur warna organisasi. Merupakan dasar dari semua komponen pengendalian internal, berupa aturan dan struktur. Faktor pegendalian lingkungan termasuk integritas, nilai etika, kompetensi staff, filosofi manajemen dan gaya operasional, cara manajemen memberikan otoritas dan tanggung jawab serta pengembangan staff, perhatian dan arahan dari dewan direksi. 2. Risk Assessment (Penilaian Risiko) Setiap entitas dalam organisasi akan menghadapi beragam risiko yang berasal dari eksternal dan internal yang harus dinilai/diperkirakan. Penilaian/identifikasi risiko merupakan identifikasi dan analisa dari risiko yang relevan dalam mencapai sasaran, yang kemudian mengarah pada bagaimana risiko dikelola. Karena kondisi ekonomi, industri, peraturan/regulasi, dan operasional akan terus berubah, sebuah mekanisme diperlukan untuk mengidentifikasi dan mengelola risiko karena perubahan.
KOMPONEN PENGENDALIAN INTERNAL COSO CONT... 3. Aktivitas Pengendalian Aktivitas pengendalian merupakan kebijakan dan prosedur yang membantu manjamin bahwa manajemen dijalankan dengan baik. Hal ini akan menjamin bahwa tindakan penting diambil untuk menyelesaikan risiko dan mencapai sasaran entitas. Aktivitas pengendalian dijalankan di seluruh organisasi, di semua level dan fungsi. Termasuk di dalamnya, aktivitas untuk persetujuan, keamanan aset dan pemisahan tugas. 4. Informasi dan Komunikasi Menurut COSO, informasi harus diidentifikasi, disimpan dan dikomunikasikan dalam sebuah form dan time frame yang memungkinkan individu dapat menjalankan tanggung jawabnya. Sistem informasi memproduksi laporan yang berisi operasional, keuangan dan pemenuhan informasi yang digunakan untuk menjalankan dan mengendalikan bisnis. Informasi tidak hanya berasal dari data internal, tetapi juga berasal dari kejadian, aktivitas dan kondisi eksternal yang perlu untuk proses pengambilan keputusan dan pelaporan eksternal. Komunikasi yang efektif harus disampaikan dengan jelas dari manajemen atas bahwa pengendalian harus dijalankan dengan serius. Masing-masing individu harus mengerti peran dalam sistem pengendalian internal.
KOMPONEN PENGENDALIAN INTERNAL COSO CONT... 5. Pengawasan (Monitoring) Sistem pengendalian internal harus diawasi, sebuah proses yang menjamin kualitas dari kinerja pengendalian untuk masa waktu tertentu. 6. Hubungan antar Komponen Terdapat sinergi dan keterkaitan diantara komponen pengendalian internal tersebut, yang membentuk sistem yang terintegrasi yang bereaksi secara dinamis terhadap perubahan kondisi. Sistem pengendalian internal terjalin dengan keseluruhan aktivitas operasi dan ada sebagai dasar bisnis. Pengendalian internal akan lebih efektif jika disusun ke dalam infrastruktur dan menjadi bagian dari enterprise.
MANAJEMEN RISIKO ENTERPRISE INTEGRATED FRAMEWORK Manajemen risiko Enterprise adalah sebuah proses yang diaplikasikan dalam perumusan strategi dan dirancang untuk mengidentifikasi kejadian potensial yang mungkin akan berdampak pada keseluruhan organisasi, dan pengelolaan risiko. Kategori sasaran dalam manajemen risiko : Strategis : tujuan tingkat tinggi, selaras dengan dan mendukung misi Operasional : penggunaan sumberdaya secara efektif dan efisien Pelaporan : keandalan pelaporan Pemenuhan : pemenuhan hukum dan peraturan yang berlaku
KOMPONEN MANAJEMEN RISIKO ENTERPRISE Menurut COSO terdapat 8 komponen pada manajemen risiko, hal ini didapatkan dari bagaimana cara manajemen menjalankan enterprise dan terintegrasi dengan proses manajemen Lingkungan internal Penetapan tujuan Identifikasi kejadian Penilaian/penaksiran risiko Respon terhadap risiko Aktivitas pengendalian Informasi dan komunikasi pengawasan
KOMPONEN MANAJEMEN RISIKO ENTERPRISE CONT... Lingkungan internal Lingkungan internal melingkupi warna dari organisasi dan menyediakan dasar dari bagaimana risiko dilihat dan ditangani oleh seluruh individu di organisasi. Penetapan Tujuan : Sasaran/tujuan harus ada sebelum manajemen dapat mengidentifikasi kejadian potensial yang akan berdampak pada pencapaian tujuan. Manajemen risiko menjamin bahwa manajemen memiliki proses penetapan tujuan dan tujuan tersebut kemudian didukung dan diselaraskan dengan misi organisasi. Identifikasi Kejadian : Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan harus diidentifikasi dan dibedakan antara risiko dan peluang. Penilaian Risiko : Risiko dianalisa, dipertimbangkan dampaknya, sebagai dasar untuk menentukan bagaimana nantinya risiko tersebut akan dikelola.
KOMPONEN MANAJEMEN RISIKO ENTERPRISE CONT... Respon terhadap risiko : Manajemen memilih respon (menghindari, menerima, mengurangi atau membagi) risiko, kemudian mengembangkan seperangkat tindakan yang selaras dengan risiko Aktivitas Pengendalian : Kebijakan dan prosedur yang dibuat dan diterapkan untuk menjamin bahwa respon terhadap risiko dijalankan dengan baik Informasi dan Komunikasi : Informasi yang relevan diidentifikasi, disimpan dan dikomunikasikan Pengawasan : Keseluruhan manajemen risiko Enterprise diawasi dan dimodifikasi jika diperlukan.
ITIL (IT INFRASTRUCTURE LIBRARY) ITIL berisi pedoman mengenai : 1. Perangkat IT Service Management (Manajemen Layanan TI) : 1. Service Delivery (Penyampaian Layanan) 2. Sevice Support (Dukungan Layanan) 2. Panduan Operasional 1. ICT Infrastructure Management ( Manajemen Infratsruktur ICT) 2. Security Management (Manajemen Keamanan) 3. The Business Perspective (Perspektif Bisnis) 4. Aplication Management (Manajemen Aplikasi) 5. Software Asset Management (Manajemen Aset Perangkat Lunak) 6. Planning to Implement Service Management (Perencanaan Penerapan Manajemen Layanan)
ISO 27001 ISO 27001:2005 membahas 11 area utama dalam keamanan informasi, yaitu : Kebijakan keamanan Keamanan informasi organisasi Manajemen aset Keamanan SDM Keamanan fisik dan lingkungan Manajemen komunikasi dan operasional Pengendalian Akses Pengadaan, pengembangan dan perawatan SI Manajemen insiden Sistem Informasi Manajemen Kontinuitas Bisnis Pemenuhan
REFERENSI Chris Davis, et al. IT Auditing : Using Controls To Protect Information Assets. 2011 Information Systems Control and Audit. Board of Studies The Institute of Chartered Accountants of India. 2010