Modern internal auditing
MEGAWATI ANWAR (A31110011)UMRAH (A31110019)SITI NURJANNAH (A31110289)SITTI R SYAFITRI (A31110286)
BAB I
PENDAHULUAN
A. Latar belakang
Kerangka pengendalian internal Komite Organisasi Sponsoring (COSO), seperti yang
diperkenalkan dan dibahas dalam Bab 3, telah menjadi mekanisme standar untuk
mengukur dan mengevaluasi pengendalian akuntansi internal di bawah Sarbanes-Oxley
Act (SOX). Namun, SOx tidak mandat penggunaan yang ketat dari kerangka COSO
tetapi hanya panggilan untuk pemanfaatannya untuk memahami dan mengevaluasi
pengendalian internal. Beberapa profesional telah menyatakan keprihatinan tentang
COSO di-ternal kontrol kerangka kerja dan mengkritik terutama karena tidak
memberikan penekanan yang cukup untuk teknologi informasi (TI) alat dan proses.
Sebagai contoh, COSO diterbitkan internal yang mengontrol bahan bimbingan melihat TI
pengendalian aplikasi antar-nal pada tingkat yang sangat tinggi, beberapa telah berusaha
lebih IT-spesifik pedoman pengendalian internal.
Sebuah internal lebih berorientasi IT kontrol kerangka kerja, disebut Control tujuan
untuk informasi dan teknologi terkait (CobiT), berada di tempat sebelum SOx, dan
banyak perusahaan mulai menggunakannya ketika SOx menjadi hukum untuk mematuhi
Sec-tion nya 404 prosedur pengawasan internal . Kerangka pegendalian internal CobiT
bertujuan sebagai pedoman evaluasi dan memahami pengendalian internal, dengan
menekankan pada TI sumber daya perusahaan. COBIT bukanlah pengganti untuk
kerangka internal COSO kontrol tetapi cara yang berbeda untuk melihat kontrol internal
di bidang TI-sentris dunia saat ini.
Meskipun awalnya diluncurkan sebagai alat untuk membantu apa yang pernah
disebut "com-puter auditor"-spesialis auditor internal dan eksternal yang terakhir
berkaitan dengan IT pengendalian internal- CobiT adalah alat yang berguna untuk
mengevaluasi semua kontrol internal di perusahaan. Ini menekankan dan memberikan
panduan pada hubungan TI dengan sumber daya bisnis lainnya untuk memberikan nilai
keseluruhan untuk perusahaan hari ini. Bab ini merupakan gambaran dari kerangka
CobiT dan komponen utamanya. Lebih penting lagi, itu menggambarkan hubungan
antara tujuan CobiT dan COSO internal yang kerangka kontrol untuk digunakan dalam
ulasan audit internal. Bahkan jika mereka tidak menggunakan CobiT kerangka kerja
dalam tinjauan pengendalian internal, semua auditor internal harus memiliki tubuh tinggi
tingkat pengetahuan umum (CBOK) dari kerangka CobiT dasar. Selain kerangka internal
COSO kontrol, pengetahuan CobiT akan membantu auditor internal untuk lebih
memahami peran TI kontrol dan risiko dalam lingkungan perusahaan banyak
B. Rumusan Masalah
1. Apa yang dimaksud dengan Kerangka pegendalian internal CobiT?
2. Apa manfaat Kerangka pegendalian internal CobiT?
C. Tujuan
1. Untuk mengetahui apa yang dimaksud dengan Kerangka pegendalian internal CobiT
2. Untuk mengetahui apa manfaat Kerangka pegendalian internal CobiT
BAB II
PEMBAHASAN
Kerangka pegendalian internal CobiT
Apa yang dimaksud dengan Kerangka pegendalian internal CobiT
5.1 Pengantar COBIT
CobiT merupakan akronim yang semakin diakui oleh auditor dan banyak profesional
TI. Meskipun kadang-kadang disingkat sebagai CobiT bukan penunjukan benar seperti
CobiT, singkatan atau kata singkatan Kontrol tujuan untuk informasi dan teknologi terkait.
Karena penekanan ini kerangka pada kontrol dan teknologi, huruf pertama dan terakhir
dikapitalisasi. CobiT merupakan kerangka kerja pengendalian internal yang penting dapat
berdiri sendiri, tetapi merupakan alat pendukung penting untuk mendokumentasikan dan
memahami COSO dan internal kontrol SOx. Meskipun penekanan asli CobiT adalah pada TI,
kerangka kerja telah diperluas. Auditor di banyak perusahaan setidaknya harus memiliki
pemahaman tentang kerangka CobiT dan penggunaannya sebagai alat untuk
mendokumentasikan, mengkaji, dan memahami kontrol SOx internal.
Standar CobiT dan kerangka yang dikeluarkan dan secara teratur diperbarui oleh IT
Governance Institute (ITGI, www.itgi.org) dan organisasi profesi erat berafiliasi, Informasi
Audit Sistem dan Control Association (ISACA). ISACA lebih terfokus pada IT audit
sementara penekanan ITGI adalah pada proses penelitian dan pemerintahan. ISACA juga
mengarahkan Informasi Auditor Certified Systems (CISA) ex-aminasi dan penunjukan
profesional serta baru yang Bersertifikat Information Manager Systems (CISM) sertifikasi
dan pemeriksaan. Sertifikasi ini terkait audit professional dibahas dalam Bab 27. ISACA
awalnya dikenal sebagai Electronic Data Processing Auditor Association (EDPAA), sebuah
kelompok profesional yang dimulai pada tahun 1967 oleh auditor internal yang merasa
organisasi profesi mereka, Institute of Internal Auditors (IIA), tidak memberikan perhatian
yang cukup terhadap impor- dikan sistem TI dan kontrol teknologi sebagai bagian dari
kegiatan audit internal. EDP pernah berdiri untuk pengolahan data elektronik, saat ini istilah
hampir kuno untuk IT. Seiring waktu, ini perusahaan profesional memperluas fokus dan
menjadi ISACA, sedangkan IIA juga telah lama memeluk masalah teknologi yang kuat.
EDPAA mulai mengembangkan TI mengaudit bahan bimbingan profesional tak lama
setelah pembentukannya. Sama seperti EDPAA berkembang menjadi ISACA dan sekarang
ITGI tersebut, aslinya IT standar audit menjadi set yang sangat baik dari tujuan pengendalian
internal yang berevolusi untuk CobiT, sekarang di tahun 2007 versi 4.1 edition.1 Dengan
hampir semua perusahaan.
proses hari ini terkait dengan IT-hal yang berkaitan dengan, pemahaman tentang
wilayah keseluruhan tata kelola TI sangat penting. Kerangka CobiT sering digambarkan
sebagai pentagon meliputi lima bidang yang luas dan saling berhubungan pengendalian
internal, seperti yang digambarkan dalam Exhibit 5.1.
Bidang utama CobiT terhadap penekanan diatur di sekitar konsep inti penting dari
tata kelola TI
Strategis keselarasan. Upaya harus berada di tempat untuk menyelaraskan TI operasi
dan kegiatan dengan semua operasi perusahaan lainnya. Ini termasuk hubungan antara
operasi mendirikan bisnis perusahaan dan IT berencana serta proses untuk menentukan,
memelihara, dan memvalidasi hubungan kualitas dan nilai.
Realisasi Manfaat. Proses harus berada di tempat untuk memastikan bahwa IT dan lain-
op erating unit memberikan manfaat yang dijanjikan seluruh siklus pengiriman dan
dengan strategi yang mengoptimalkan biaya sementara menekankan nilai-nilai intrinsik
dari IT dan kegiatan terkait
Manajemen risiko. Manajemen, di semua tingkatan, harus memiliki jelas mengerti-ing
nafsu makan suatu perusahaan untuk risiko, persyaratan kepatuhan, dan dampak risiko
yang signifikan. Kedua TI dan operasi lainnya memiliki tanggung jawab sendiri dan
bersama mereka manajemen risiko yang mungkin secara individual atau bersama-sama
mempengaruhi seluruh perusahaan.
Pengelolaan sumber daya. Dengan penekanan pada TI, harus ada investasi yang
optimal dalam, dan pengelolaan yang baik, kritis sumber daya TI, aplikasi, informasi,
infrastruktur, dan orang-orang. Efektif pemerintahan TI tergantung pada optimalisasi
pengetahuan dan infrastruktur.
Pengukuran kinerja. Proses harus di tempat untuk melacak dan memonitor
implementasi strategi, penyelesaian proyek, penggunaan sumber daya, proses
performance, dan pelayanan. TI mekanisme tata kelola harus menerjemahkan
implementasi-implementasi PPTA strategi ke dalam tindakan dan pengukuran untuk
mencapai tujuan-tujuan
Kelima CobiT keprihatinan pengendalian internal merupakan elemen kerangka CobiT
dan mendefinisikan tata kelola TI. Kerangka CobiT merupakan alat yang efektif untuk
mendokumentasikan TI dan semua kontrol internal lainnya. Makalah ini membahas kerangka
dalam perspektif yang lebih luas menggunakan CobiT untuk membantu dalam proses TI tata
kelola manajemen, perusahaan, dan audit internal.
Bagian berikutnya memberikan gambaran menyeluruh dari kerangka CobiT dan elemen
kunci untuk menghubungkan bisnis dengan TI gol melalui kontrol kunci dan metrik
pengukuran yang efektif. Selain itu, bab ini menjelaskan pemetaan standar CobiT dengan
kerangka pengendalian internal COSO. Elemen dan komponen kunci dari tata kelola TI
dibahas juga. Kerangka CobiT merupakan mekanisme efektif untuk mendokumentasikan dan
memahami pengendalian intern di seluruh tingkat. Meskipun CobiT pertama dimulai
terutama sebagai seperangkat "IT Audit" bahan bimbingan, itu adalah alat yang jauh lebih
kuat hari ini.
Kerangka CobiT
Proses TI dan aplikasi software pendukung dan perangkat keras merupakan
komponen kunci dalam usaha apa pun saat ini. Apakah bisnis ritel kecil yang perlu untuk
melacak persediaan dan membayar karyawan, atau Fortune 50 perusahaan besar, semua
perusahaan memerlukan seperangkat macam saling berhubungan dan sering-kompleks proses
TI yang terkait erat dengan operasi bisnis mereka. Artinya, proses bisnis dan mendukung
sumber daya TI mereka bekerja dalam hubungan berbagi informasi dekat. TI tidak dapat dan
tentu saja tidak harus memberitahu operasi bisnis apa jenis proses TI dan sistem mereka
harus mempertimbangkan untuk menerapkan, tetapi TI menyediakan informasi untuk
membantu mempengaruhi keputusan bisnis. Pada hari-hari awal sistem komputer, manajer TI
kadang-kadang merasa mereka punya banyak jawaban dan solusi sistem untuk
mempromosikan bisnis mereka, kadang-kadang dengan hasil yang sangat kontraproduktif.
Namun, saat ini hubungan ini telah berubah, dan TI dan operasi bisnis umumnya memiliki
hubungan timbal balik dekat persyaratan berbagi dan informasi. Auditor Internal harus
memahami kebutuhan dan persyaratan berbagi informasi pada kedua belah pihak. TI
memiliki tanggung jawab atas serangkaian daerah lain proses terkait yang diaudit oleh atau
melalui pedoman audit yang ditetapkan, yang diukur dengan serangkaian langkah-langkah
indikator kinerja dan kegiatan, dan dibuat efektif melalui serangkaian tujuan kegiatan. Semua
kegiatan ini merupakan bagian dari CobiT, kerangka kontrol termasuk IT dan proses bisnis.
Auditor internal mungkin mengatakan: "Saya mengerti dan menggunakan kontrol
internal COSO. Mengapa menggunakan kerangka lain belum? "Jawabannya adalah bahwa
CobiT menyediakan pendekatan alternatif untuk mendefinisikan dan menggambarkan kontrol
internal yang memiliki lebih dari penekanan TI dari kerangka internal yang murni COSO
kontrol. Infor-masi dan mendukung proses TI seringkali adalah yang paling aset berharga
bagi hampir semua perusahaan saat ini, dan manajemen memiliki tanggung jawab besar
untuk menjaga mendukung TI asetnya, termasuk sistem otomatis. Manajemen, pengguna IT,
dan auditor internal semua perlu memahami proses-proses informasi-terkait dan kontrol yang
mendukung mereka. Semua pengguna prihatin tentang ness yang efektif-dan efisiensi sumber
daya TI mereka, TI proses, dan persyaratan bisnis secara keseluruhan, seperti yang
ditunjukkan dalam Exhibit 5.2 menggambarkan prinsip-prinsip dasar CobiT.
Dalam pameran, kebutuhan bisnis mendorong permintaan untuk sumber daya TI, dan
sumber daya tersebut memulai proses TI dan informasi perusahaan secara melingkar terus
menerus. Manajemen harus tertarik dalam kualitas, biaya, dan sesuai de-livery of IT-terkait
sumber daya yang kontrol komponen adalah sama dengan elemen kontrol COSO internal.
Pengendalian internal atas sumber daya TI yang sangat banyak didasarkan pada saling
ketergantungan efektivitas dan efisiensi dari komponen TI.
IT governance adalah konsep CobiT kunci yang, sebelum SOx, tidak kuat ditekankan
sebagai elemen CobiT. Ini merupakan konsep pengendalian internal yang penting hari ini
dengan ITGI memainkan peran kepemimpinan yang kuat. CobiT mendefinisikan tata kelola
TI sebagai serangkaian bidang utama mulai dari menjaga fokus pada keberpihakan strategis
untuk pentingnya kedua risiko dan pengukuran kinerja ketika mengelola sumber daya TI.
Kita akan melihat referensi ke ini tata kelola TI pentagon seperti yang kita menavigasi
melalui kerangka CobiT untuk lebih memahami kerangka kerja pengendalian internal.
CobiT juga terlihat di kontrol dalam tiga dimensi yang berhubungan dengan TI:
sumber daya, pro-cesses, dan kriteria informasi. Ketiga juga dijelaskan dalam apa yang
disebut kubus CobiT, seperti yang digambarkan dalam Exhibit 5.3.
CobiT melihat TI kontrol dari perspektif tiga dimensi. Artinya, masing-masing
komponen pada satu pesawat berkaitan dengan dua dimensi menghubungkan lainnya.
Namun, menghadap ke depan dimensi CobiT dengan deskripsi bergambar atas aliran proses
dialog-gram kadang-kadang takut dari non-TI orang. Non-IT-savvy profesional dan ada
banyak-mungkin terlihat pada diagram proses dan memutuskan pendekatan ini harus Ini sama
sekali tidak benar "terlalu teknis.". The bagian berikutnya menjelaskan kerangka CobiT dan
mengapa hal itu dapat berharga untuk memahami pengendalian internal dan SOx
memperbaiki tata kelola TI
a) Komponen Cube CobiT: IT Sumber Daya
TI Sumber Daya sisi kubus CobiT tiga dimensi mewakili semua TI suatu perusahaan aset,
termasuk orang-orangnya, sistem aplikasi, dipasang teknologi-nology, fasilitas, dan nilai
data. Melihat pameran 5.3, ini sisi kubus merupakan keprihatinan bagi semua sumber daya
yang diperlukan untuk pengoperasian perusahaan sumber daya TI. Baik secara individu
maupun sebagai kelompok, sumber daya ini harus dipertimbangkan ketika mengevaluasi
kontrol dalam lingkungan TI, diidentifikasi sebagai:
Aplikasi terdiri dari kedua sistem pengguna otomatis dan manual prosedur untuk
memproses informasi
Informasi, termasuk input, output, dan data olahan, untuk digunakan oleh proses bisnis
Teknologi dan fasilitas infrastruktur komponen, termasuk hardware, beroperasi-ing
sistem, database, jaringan, dan lingkungan rumah itu dan mendukung mereka
Key dan khusus personel untuk merencanakan, mengatur, memperoleh, menerapkan,
mendukung, memantau, dan mengevaluasi layanan TI
Kami telah memulai penjelasan COBIT kami dari sisi kanan kubus, namun pertimbangan
kontrol harus selalu dipertimbangkan dalam hal bagaimana mereka berhubungan dengan
komponen di sisi lain dari kubus. Intinya di sini adalah bahwa sumber daya TI harus selalu
dianggap sebagai komponen kunci dari IT governance dan pengendalian internal.
b) Komponen Cobe COBIT
(I) IT PROSES Dimensi kedua dan depan-menghadap dari kubus COBIT ref-erences TI
Proses dan terdiri dari tiga segmen: domain, proses, dan kegiatan-ities. Domain adalah
pengelompokan proses TI pertandingan itu ke daerah-daerah organisasi tanggung jawab,
COBIT mendefinisikan 4 wilayah pada TI yang disebut IT Domain. Keempat area tersebut
meliputi:
1. Plan and Organize (PO)
Meliputi strategi dan taktik, dan fokus pada identifikasi cara terbaik bagaimana IT
dapat berkontribusi untuk mencapai tujuan bisnis.
2. Acquisition and Implementation (AI)
Domain ini meliputi akuisisi, implementasi, dan pemeliharaan dari system yang
mendukung proses bisnis.
3. Delivery and Support (DS)
Domain ini meliputi service delivery yang aktual bagi bisnis. Termasuk managemen
data dan proteksi informasi yang berhubungan dengan proses.
4. Monitoring and Evaluation (ME)
Domain ini terdiri dari pandangan manajemen tentang pengendalian proses-proses,
dari lembaga monitoring independen yang berasal dari dalam dan luar organisasi atau
lembaga alternatif lainnya.
Dalam suatu perusahaan TI, proses untuk mengidentifikasi dan membangun aplikasi baru-
sering disebut sistem siklus hidup pengembangan (SDLC) prosedur-bisa dilihat sebagai
bagian dari domain pelaksanaan COBIT dengan jaminan kualitas bagian dari domain
pemantauan. Bahan deskriptif COBIT menggambarkan masing-masing daerah domain secara
lebih rinci:
Menentukan strategi TI berencana.
Mendefinisikan arsitektur informasi.
Menentukan arah teknologi.
Menentukan perusahaan IT dan hubungan.
Mengelola investasi TI.
Komunikasikan tujuan dan arah manajemen.
Mengelola sumber daya manusia.
Memastikan kepatuhan terhadap persyaratan eksternal.
Menilai risiko.
Mengelola proyek.
Mengelola kualitas.
Proses individual adalah tingkat berikutnya ke bawah. Mereka bergabung dengan kegiatan-
nat ural istirahat kontrol. Akhirnya, kegiatan tindakan yang diperlukan untuk mencapai hasil
yang terukur. Kegiatan memiliki siklus hidup sementara tugas-tugas yang diskrit. Dengan
siklus hidup, kita dapat berpikir tentang siklus hidup pengembangan sistem (SDLC) proses di
mana sebuah aplikasi baru pertama kali dirancang, dilaksanakan, kemudian dioperasikan dari
waktu ke waktu, dan akhirnya diganti dengan proses perbaikan.
(Ii) PERSYARATAN USAHA Dimensi ketiga dari kubus COBIT digambarkan sebagai
Kebutuhan Bisnis. Komponen tujuh harus dipertimbangkan untuk semua kebutuhan bisnis
dengan pertimbangan diberikan kepada sumber daya TI yang diperlukan dan proses:
1. Efektivitas
2. Efisiensi
3. Kerahasiaan
4. Integritas
5. Ketersediaan
6. Kepatuhan
7. Keandalan
COBIT mendefinisikan 34 proses utama dalam wilayah teknologi informasi, 318 control
objectives secara detail, dan 1547 control practices. Control objectives memberikan
seperangkat kebutuhan yang harus disadari oleh manajemen untuk pengendalian yang efektif
dari masing-masing proses utama namun tidak terlalu detail. Sedangkan control practices
menyediakan petunjuk (guidance) mengenai mengapa control bernilai untuk
diimplementasikan dan bagaimana mengimplementasikannya. Dokumen COBIT Control
Practices menyediakan guidance yang lebih detail yang dibutuhkan oleh manajemen, service
provider, pengguna dan professional dan membantu mereka dengan penyesuaian dan
perancangan control yang specific sesuai kebutuhan.
5.3 Penggunaan Cobit untuk menilai pengendalian audit interal
Selain kubus COBIT, dengan wajah depan yang menunjukkan aliran proses dialog-gram
untuk menekankan hubungan, bimbingan COBIT diterbitkan material2 dapat terlihat tangguh
untuk beberapa auditor internal dan banyak bisnis dan bahkan profesi IT-als. Bahan COBIT
acuan dasar yang diterbitkan dalam manual hampir 200-halaman penuh terutama dengan
berbagai grafik dan tabel. Ini adalah satu set yang berguna bahan, tapi beberapa studi
mungkin diperlukan untuk memahami konsep di balik kerangka COBIT. Bagian di sini harus
membantu auditor internal untuk menavigasi melalui kerangka COBIT diterbitkan dan, lebih
penting, menggunakannya untuk mengembangkan dan menilai pengendalian internal
perusahaan.
Meskipun setiap dimensi kubus COBIT dapat digunakan untuk memahami lingkungan
kontrol, empat domain dibahas sebelumnya, dimulai dengan perencanaan dan perusahaan,
berfungsi sebagai langkah pertama yang efektif. Berdasarkan ketiga kontrol dimensi kubus
COBIT, setiap proses TI harus dievaluasi melalui lima langkah navigasi dengan cara ini:
I. Saya Pengendalian (nama proses)
II. Yang memenuhi (daftar kebutuhan bisnis)
III. Dengan berfokus pada (daftar penting TI gol)
IV. Apakah dicapai oleh (daftar laporan kontrol)
V. Dan diukur dengan (daftar metrik kunci)
Ini proses lima langkah dapat pergi dari nomor saya turun atau bisa mulai pada tingkat dasar
dan navigasi atas. Dalam kedua kasus, kerangka COBIT mengatakan bahwa kontrol proses
apapun harus puas dengan daftar mendukung kebutuhan bisnis dan tujuan-tujuan bisnis harus
fokus pada tujuan penting TI. Hal ini masuk akal. Sebuah proses des-ignated hanya akan
menjadi nama kecuali bisnis yang spesifik dan TI persyaratan drive dan mengatur proses
tersebut. Masing-masing persyaratan harus didefinisikan oleh satu atau lebih pernyataan
kontrol dengan praktek kontrol tertentu. Akhirnya, kita tidak bisa menilai apakah hal-hal
berjalan dengan efektif dan metrik pengukuran kunci diperlukan.
COBIT Control Practice memiliki elemen-elemen sebagai berikut. (ITGI, 2003).
Value and risk statements – menyediakan petunjuk yang menjelaskan manfaat dari
implementasi control objective. Value statement memberikan contoh keuntungan
bagi bisnis yang bisa diperoleh dari pencapaian control objective, sementara risk
statements memberikan contoh risiko-risiko yang bisa dicegah.
Control practices – menyediakan kegiatan untuk pengendalian proses, aplikasi dan
untuk control objectives yang spesifik pada masingmasing proses TI.
Untuk merespon kebutuhan bisnis akan TI, organisasi perlu investasi pada sumber daya yang
dibutuhkan untuk menciptakan kemampuan teknis yang sesuai yang memberikan hasil yang
diharapkan. Dari gambar di atas dapat dilihat sumber daya TI yang didefinisikan di dalam
COBIT adalah sebagai berikut.
Aplikasi (appliacations), yaitu sistem pengguna yang terotomasi dan prosedur
manual yang memproses informasi
Informasi (information), yaitu data, dalam segala bentuk, yang dimasukkan, diproses,
dan dikeluarkan oleh sistem informasi yang digunakan oleh bisnis
Infrastuktur (infrastructure), yaitu teknologi dan fasilitas (seperti hardware, sistem
operasi, database management system, jaringan, multimedia, dan lingkungan atau
tempat yang mendukungnya) yang memungkinkan aplikasi-aplikasi dijalankan
Staf (people), yaitu personil yang dibutuhkan untuk merencanakan, mengorganisir,
menyediakan, mengimplementasikan, mendukung, memonitor dan mengevaluasi
sistem informasi dan layanan.
LAMPIRAN
(Power Poin)
Top Related