Model Kontrol Lainnya Penyakit Sars
Model Kontrol Lainnya
COSO dan CoCo memang merupakan kerangka kerja pengendalian yang paling terkenal karena
keduanya telah memberikan sebagian besar dari apa yang dibutuhkan bagi suatu organisasi untuk
mempertimbangkan pengembangan kerangka kerjanya sendiri . tetapi di luar dua metode tersebut,
juga terdapat sumber informasi lain untuk membantu pengembangan kerangka kerja perusahaan
diantaranya yaitu :
The International Organisation of Supreme Audit Institutions (intosai)
Organisasi Internasional Lembaga Audit Tertinggi (INTOSAI) adalah afiliasi di seluruh dunia dari
badan pemerintah. Anggotanya adalah Chief Financial Controller / Pengawas Keuangan Umum .
Para anggota INTOSAI adalah utama auditor eksternal dari PBB. Mereka mengadakan konferensi
tiga tahunan berjudul International Congress of Supreme Audit Institutions (INCOSAI). Hal
menerbitkan International Journal of Government Auditing yang keluar setiap satu kuartalan
sekali. Contoh publikasi utama adalah:
Pedoman Standar Pengendalian Internal Sektor Publik (1992 - Teks saat ini adalah revisi
tahun 2004 oleh Control Komite Standar internal INTOSAI, disetujui oleh XVIIIth
INCOSAI Oktober 2004. Telah kemudian diintegrasikan dalam standar INTOSAI /
pedoman sebagai "INTOSAI GOV 9100 "). Hal ini bergantung pada COSO 'kerangka
terpadu karena pengendalian internal (seperti yang dinyatakan dalam kata pengantar), dan
menggunakan definisi COSO tentang Pengendalian Internal dan IIA ' s definisi Internal
Audit .
Pedoman Praktik Terbaik untuk Audit Privatisasi, (1998)
Pedoman Perencanaan Audit Pengendalian Internal untuk Utang Publik , (2002)
Badan ini telah menyiapkan standar pada pengendalian internal yang menyediakan landasan bagi
akuntabilitas dalam pemerintahan.
Dimana manajer bertanggung jawab untuk membangun lingkungan pengendalian yang efektif
dalam organisasi mereka. Ini adalah bagian dari tanggung jawab kepengurusan manajer atas
penggunaan sumber yang telah mereka lakukan. Dan manajer sendiri diatur oleh stakeholder atas
tindakan mereka, kebijakan, dan komunikasi dapat menghasilkan budaya baik kontrol positif atau
longgar..
Control Objectives for Information and Related Technology (COBIT)
COBIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat
membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara risiko bisnis,
kebutuhan control dan masalah-masalah teknis TI. COBIT bermanfaat bagi auditor karena
merupakan teknik yang dapat membantu dalam identifikasi ITcontrols issues.
COBIT berguna bagi IT user karena memperoleh keyakinan atas kehandalan sistem
aplikasi yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan
investasi di bidang TI serta infrastrukturnya, menyusun strategic IT Plan, menentukan information
architecture, dan keputusan atas procurement (pengadaan / pembelian) aset. COBIT dikeluarkan
oleh ITGI yang dapat diterima secara internasional sebagai praktek pengendalian atas informasi,
IT dan resiko terkait. COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan
pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik,
faktor kesuksesan dan model kedewasaan. COBIT (Control Objective for IT) merupakan
framework manajemen untuk menentukan IT process yang cocok di sebuah perusahaan.
COBIT pada versi 4, terdapat 34 IT Process yang terbagi dalam 4 domain, yaitu:
1. Planning & Organizing yang berisikan proses-proses perencanaan seperti Strategic
Plan IT, perencanaan anggaran IT.
2. Acquire & Implement yang berisikan proses-proses implementasi seperti Analisis,
Desain dan implementasi software.
3. Deliver & Support yang berisikan proses support seperti penanganan SLA,
perawatan.
4. Monitoring & Evaluate yang berisikan proses-proses seperti monitoring dari
kontrak, kesesuaian kontrak dengan hukum dan lain sebaginya.
Basel Committee on Banking Supervision
Bagian ini mencerminkan kerja pada pengendalian internal untuk organisasi perbankan yang
dikembangkan oleh Komite Basel untuk Pengawasan Perbankan, yang merupakan komite otoritas
pengawas perbankan didirikan oleh gubernur bank sentral dari kelompok negara-negara terkemuka
di
1975.
Komite
Basel
melihat
sistem
yang
efektif
pengendalian internal sebagai komponen penting dari manajemen bank dan landasan untuk aman
dan Operasi suara organisasi perbankan.
Komite Basel merumuskan standar dan pedoman pengawasan umum dan merekomendasikan
praktik terbaik dalam pengawasan perbankan (seperti Basel II) dengan harapan bahwa negaranegara anggotanya serta negara-negara lain akan mengimplementasikan rekomendasirekomendasi tersebut ke dalam sistem nasional masing-masing. Tujuan komite ini adalah untuk
mendorong konvergensi menuju pendekatan dan standar bersama dalam sektor perbankan
Hubungan ke Manajemen Risiko
Kita memperluas model pengendalian dengan memasukkan dua fitur lebih. Yang pertama
adalah CRSA di mana risiko yang melekat dianggap dan dinilai untuk memastikan setiap
pengendalian yang perlu untuk diperbarui terkait dengan risiko yang telah diperdebatkan.
Penambahan kedua adalah pengaturan tata kelola perusahaan yang melibatkan peran dan tanggung
jawab dewan dan komite audit utama. Model pengendalian yang gagal untuk menghubungkan misi
mereka ke struktur tata kelola akan berantakan. Bahkan, itu adalah pengaturan tata kelola yang
mendorong penilaian risiko, yang pada gilirannya mendorong proses yang diadopsi dan
pengendalian diletakkan di tempat.
Turnbull mengakui link ini untuk risiko dan menyatakan bahwa penilaian tahunan dewan harus
mempertimbangkan :
5. perubahan sejak penilaian tahunan terakhir di sifat dan tingkat risiko yang signifikan, dan
kemampuan perusahaan untuk merespon perubahan bisnis dan lingkungan eksternal;
dan
kualitas
pemantauan
manajemen
risiko
dan
sistem
pengendalian internal, dan, di mana berlaku, karya fungsi audit internal dan lainnya
penyedia jaminan;
7. tingkat dan frekuensi komunikasi dari hasil pemantauan ke papan
(Atau komite Dewan (s)) yang memungkinkan untuk membangun penilaian kumulatif
keadaan
kontrol di perusahaan dan efektivitas yang berisiko sedang dikelola;
8. kejadian kegagalan kontrol yang signifikan atau kelemahan yang telah diidentifikasi pada
setiap waktu selama periode dan sejauh mana mereka telah menghasilkan hasil yang tak
terduga atau kontinjensi yang memiliki, bisa memiliki, atau mungkin di masa depan
memiliki, dampak material pada kinerja keuangan perusahaan atau kondisi; dan
9. efektivitas proses pelaporan publik perusahaan. (Para. 33)
6. cakupan
Mengubah risiko panggilan untuk mengubah kontrol, misalnya, pergeseran ke arah e-procurement dapat
memungkinkan manajer lokal untuk menempatkan pesanan langsung dengan pemasok dan tampaknya
menimpa pusat membeli kontrol. Tapi kriteria yang ketat atas pemasok, barang, harga dan sebagainya
dipaksa melalui mengadopsi sistem informasi (dan database yang terkait) dapat sendiri bertindak sebagai
membeli sentral mengontrol dan mengalihkan fokus kontrol untuk proses otomatis dengan intervensi kantor
pusat di mana sesuai.
Mekanisme Kontrol
mekanisme kontrol adalah semua pengaturan dan prosedur untuk memastikan bisnis tujuan dapat
dipenuhi . Mereka terdiri dari mekanisme individu digunakan oleh orang-orang dan proses seluruh
organisasi
Tipe – Tipe Kontrol :
•
Administrative
Untuk melakukan kontrol di bagian administratif
•
Informational
Untuk melakukan kontrol di bagian informasi data.
•
Managerial
Untuk melakukan control pada pimpinan suatu perusahaan
•
Procedural
Untuk melakukan kontrol terhadap sistem yang berjalan pada suatu perusahaan.
•
Physical
Untuk melakukan kontrol kegiatan sehari-hari pada suatu perusahaan
Dapat disederhanakan lagi menjadi :
1. Directive
Dilakukan untuk mengkontrol direksi dalam mencapai tujuan. Kontrol ini memastikan bahwa
terdapat arah yang jelas dalam control tersebut dan dapat mendorong manajer untuk mencapai
tujuan yang dinyatakan. Ini adalah pengaturan yang positif untuk memotivasi orang dan memberi
mereka arah yang jelas (dan kemampuan) untuk membuat kemajuan yang baik.
2. Preventive
Yaitu kegiatan pengendalian yang dilakukan untuk mencegah terjadinya suatu permasalahan (error
condition) dari suatu proses bisnis, atau dengan kata lain pengendalian yang dilakukan sebelum
masalah timbul. Kegiatan pengendalian ini relatif murah jika dibandingkan kedua tipe
pengendalian lainnya.
Contoh pengendalian preventif:
Dibuatnya standar operasional prosedur untuk suatu kegiatan entitas;
Dibuatnya pemisahan fungsi dalam suatu entitas;
Dibuatnya rentang otorisasi dalam suatu entitas.
3. Detectitve
Yaitu kegiatan pengendalian yang dilakukan dalam rangka mencari atau mendeteksi adanya suatu
permasalahan dan mencari akar permasalahan tersebut, atau dengan kata lain pengendalian yang
dilakukan dimana telah terdapat suatu permasalahan. Kegiatan pengendalian ini lebih mahal dari
kegiatan pengendalian preventif.
Contoh pengendalian detektif:
Dilakukan rekonsiliasi kas;
Dilaksanakannya audit secara periodik;
4. Corrective
Yaitu kegiatan pengendalian yang dilakukan untuk memperbaiki kondisi jika terdapat suatu
permasalahan yang menyebabkan resiko tidak tercapainya tujuan organisasi, yang telah
ditemukan pada kegiatan pengendalian preventif maupun detektif. Kegiatan Korektif relatif
lebih mahal dari kegiatan peventif maupun detektif.
Contoh kegiatan korektif:
Dilakukannya perbaikan suatu sistem informasi atas kesalahan data yang
disebabkan adanya eror dalam sistem informasi suatu entitas.
Yang diperlukan dari sebuah kontrol agar berjalan dengan baik :
Spesific
Yaitu control atau pengendalian yang dilakukan harus Spesifik pada suatu bidang.
Sehingga ini akan mempermudah auditor internal dalam melakukan control/pengendalian
karena terdapat pemisahaan antara masalah 1 dengan yang lainnya.
Measurable
Jadi control yang dilakukan sebaiknya menggunakan suatu ukuran tertentu sehingga
batasan-batasan kontrolnyapun jelas dan tidak menyebabkan overcontrol. Misalnya lap.
Keuangan harus selesai dan dilaporkan pada tanggal 31 desember.
Achieveable
Atau Dapat dicapai dengan suatu usaha tertentu.
Result Oriented
Berorientasi pada hasil.
Timely
Yaitu control yang dilakukan tepat waktu sehingga tidak menimbulkan resiko deteksi,
kemudian laporan atas kontrol itu delaporkan Tepat pada waktunya sesuai dengan rencana
pengendalian yang telah ditetapkan sebelumnya agar dapat dilakukan pemecahan masalah
yang ditemukan dengan segera.
Kendala dalam Menyesuaikan Kontrol :
Kemampuan manajer senior untuk mengesampingkan kontrol yang telah disetujui
Kurangnya staff dan berita lowongan pekerjaan
Budaya kontrol yang buruk
Adanya staff yang kolusi
Kepercayaan pada individual sebagai indikator performa
Kepercayaan pada memori
Retrospektif pencatatan teransaksi
Pembagian tugas yang tidak terkontrol
Jawaban pertanyaan :
1.
Menurut Grant Purdy, seorang praktisi manajemen risiko
veteran di Melbourne, dalam metode pengendalian yang telah
didefinidikan oleh coso itu terdapat Kemungkinan terjadinya
sebuah event yang dapat mempengaruhi pencapaian sasaran
entitas. Sehingga definisi tersebut gagal menangkap potensi
risiko yang dapat muncul akibat perubahan kondisi yang terjadi
secara perlahan.
3. Proses dan kerangka kerja manajemen risiko tidak dipaparkan secara terpisah. Menurut Grant
Purdy hal ini dapat menimbulkan kebingungan dan inefektivitas terhadap manajemen risiko,
dimana kerangka kerja seharusnya dirancang pada top level management, sedangkan proses
manajemen risiko seharusnya diterapkan pada proses-proses organisasi. Standar ini menekankan
pada pengembangan pengendalian internal sebagai upaya perusahaan dalam mengelola risiko.
5. Inherent risk diartikan sebagai eksposur perusahaan terhadap risiko secara utuh. (dampak dari
existing control tidak diperhitungkan)
7. Perbaikan hanya dilakukan apabila diperlukan, berdasarkan hasil pemantauan. Bukanya
Memfasilitasi perbaikan berkelanjutan pada keseluruhan kerangka kerja dan proses manajemen
risiko, sesuai dengan kebutuhan organisasi dan perkembangan konteks
8. Informasi hanya dikomunikasikan kepada pelaku manajemen risiko bukan kepada seluruh
stakeholder untuk mendukung pencapaian sasaran unit-unit tersebut. Keterlibatan stakeholders
eksternal tidak diungkapkan pada standar ini.
9. Aspek manusia disebutkan sebagai batasan dari manajemen risiko dalam memberikan jaminan
terhadap pencapaian sasaran organisasi. Sedangkan menurutnya pengendalian harus
Memperhitungkan aspek manusia dan budaya ke dalam manajemen risiko. Sehingga Penerapan
manajemen risiko turut mempertimbangkan kultur, persepsi, dan kapabilitas manusia, termasuk
memperhitungkan perselisihan kepentingan antara organisasi dengan individu di dalamnya.
Kekurangan COBIT
COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi
operasional. Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka
perlu diadopsi berbagai framework tata kelola operasional seperti ITIL (The Information
Technology Infrastructure Library) yang merupakan sebuah kerangka pengelolaan layanan
TI yang terbagi ke dalam proses dan fungsi.
Kerumitan penerapan. Apakah semua control objective dan detailed control objective
harus diadopsi, ataukah hanya sebagian saja? Bagaimana memilihnya?
COBIT hanya berfokus pada kendali dan pengukuran.
COBIT kurang dalam memberikan panduan keamanan namun memberikan wawasan
umum atas proses TI pada organisasi.
COSO dan CoCo memang merupakan kerangka kerja pengendalian yang paling terkenal karena
keduanya telah memberikan sebagian besar dari apa yang dibutuhkan bagi suatu organisasi untuk
mempertimbangkan pengembangan kerangka kerjanya sendiri . tetapi di luar dua metode tersebut,
juga terdapat sumber informasi lain untuk membantu pengembangan kerangka kerja perusahaan
diantaranya yaitu :
The International Organisation of Supreme Audit Institutions (intosai)
Organisasi Internasional Lembaga Audit Tertinggi (INTOSAI) adalah afiliasi di seluruh dunia dari
badan pemerintah. Anggotanya adalah Chief Financial Controller / Pengawas Keuangan Umum .
Para anggota INTOSAI adalah utama auditor eksternal dari PBB. Mereka mengadakan konferensi
tiga tahunan berjudul International Congress of Supreme Audit Institutions (INCOSAI). Hal
menerbitkan International Journal of Government Auditing yang keluar setiap satu kuartalan
sekali. Contoh publikasi utama adalah:
Pedoman Standar Pengendalian Internal Sektor Publik (1992 - Teks saat ini adalah revisi
tahun 2004 oleh Control Komite Standar internal INTOSAI, disetujui oleh XVIIIth
INCOSAI Oktober 2004. Telah kemudian diintegrasikan dalam standar INTOSAI /
pedoman sebagai "INTOSAI GOV 9100 "). Hal ini bergantung pada COSO 'kerangka
terpadu karena pengendalian internal (seperti yang dinyatakan dalam kata pengantar), dan
menggunakan definisi COSO tentang Pengendalian Internal dan IIA ' s definisi Internal
Audit .
Pedoman Praktik Terbaik untuk Audit Privatisasi, (1998)
Pedoman Perencanaan Audit Pengendalian Internal untuk Utang Publik , (2002)
Badan ini telah menyiapkan standar pada pengendalian internal yang menyediakan landasan bagi
akuntabilitas dalam pemerintahan.
Dimana manajer bertanggung jawab untuk membangun lingkungan pengendalian yang efektif
dalam organisasi mereka. Ini adalah bagian dari tanggung jawab kepengurusan manajer atas
penggunaan sumber yang telah mereka lakukan. Dan manajer sendiri diatur oleh stakeholder atas
tindakan mereka, kebijakan, dan komunikasi dapat menghasilkan budaya baik kontrol positif atau
longgar..
Control Objectives for Information and Related Technology (COBIT)
COBIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat
membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara risiko bisnis,
kebutuhan control dan masalah-masalah teknis TI. COBIT bermanfaat bagi auditor karena
merupakan teknik yang dapat membantu dalam identifikasi ITcontrols issues.
COBIT berguna bagi IT user karena memperoleh keyakinan atas kehandalan sistem
aplikasi yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan
investasi di bidang TI serta infrastrukturnya, menyusun strategic IT Plan, menentukan information
architecture, dan keputusan atas procurement (pengadaan / pembelian) aset. COBIT dikeluarkan
oleh ITGI yang dapat diterima secara internasional sebagai praktek pengendalian atas informasi,
IT dan resiko terkait. COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan
pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik,
faktor kesuksesan dan model kedewasaan. COBIT (Control Objective for IT) merupakan
framework manajemen untuk menentukan IT process yang cocok di sebuah perusahaan.
COBIT pada versi 4, terdapat 34 IT Process yang terbagi dalam 4 domain, yaitu:
1. Planning & Organizing yang berisikan proses-proses perencanaan seperti Strategic
Plan IT, perencanaan anggaran IT.
2. Acquire & Implement yang berisikan proses-proses implementasi seperti Analisis,
Desain dan implementasi software.
3. Deliver & Support yang berisikan proses support seperti penanganan SLA,
perawatan.
4. Monitoring & Evaluate yang berisikan proses-proses seperti monitoring dari
kontrak, kesesuaian kontrak dengan hukum dan lain sebaginya.
Basel Committee on Banking Supervision
Bagian ini mencerminkan kerja pada pengendalian internal untuk organisasi perbankan yang
dikembangkan oleh Komite Basel untuk Pengawasan Perbankan, yang merupakan komite otoritas
pengawas perbankan didirikan oleh gubernur bank sentral dari kelompok negara-negara terkemuka
di
1975.
Komite
Basel
melihat
sistem
yang
efektif
pengendalian internal sebagai komponen penting dari manajemen bank dan landasan untuk aman
dan Operasi suara organisasi perbankan.
Komite Basel merumuskan standar dan pedoman pengawasan umum dan merekomendasikan
praktik terbaik dalam pengawasan perbankan (seperti Basel II) dengan harapan bahwa negaranegara anggotanya serta negara-negara lain akan mengimplementasikan rekomendasirekomendasi tersebut ke dalam sistem nasional masing-masing. Tujuan komite ini adalah untuk
mendorong konvergensi menuju pendekatan dan standar bersama dalam sektor perbankan
Hubungan ke Manajemen Risiko
Kita memperluas model pengendalian dengan memasukkan dua fitur lebih. Yang pertama
adalah CRSA di mana risiko yang melekat dianggap dan dinilai untuk memastikan setiap
pengendalian yang perlu untuk diperbarui terkait dengan risiko yang telah diperdebatkan.
Penambahan kedua adalah pengaturan tata kelola perusahaan yang melibatkan peran dan tanggung
jawab dewan dan komite audit utama. Model pengendalian yang gagal untuk menghubungkan misi
mereka ke struktur tata kelola akan berantakan. Bahkan, itu adalah pengaturan tata kelola yang
mendorong penilaian risiko, yang pada gilirannya mendorong proses yang diadopsi dan
pengendalian diletakkan di tempat.
Turnbull mengakui link ini untuk risiko dan menyatakan bahwa penilaian tahunan dewan harus
mempertimbangkan :
5. perubahan sejak penilaian tahunan terakhir di sifat dan tingkat risiko yang signifikan, dan
kemampuan perusahaan untuk merespon perubahan bisnis dan lingkungan eksternal;
dan
kualitas
pemantauan
manajemen
risiko
dan
sistem
pengendalian internal, dan, di mana berlaku, karya fungsi audit internal dan lainnya
penyedia jaminan;
7. tingkat dan frekuensi komunikasi dari hasil pemantauan ke papan
(Atau komite Dewan (s)) yang memungkinkan untuk membangun penilaian kumulatif
keadaan
kontrol di perusahaan dan efektivitas yang berisiko sedang dikelola;
8. kejadian kegagalan kontrol yang signifikan atau kelemahan yang telah diidentifikasi pada
setiap waktu selama periode dan sejauh mana mereka telah menghasilkan hasil yang tak
terduga atau kontinjensi yang memiliki, bisa memiliki, atau mungkin di masa depan
memiliki, dampak material pada kinerja keuangan perusahaan atau kondisi; dan
9. efektivitas proses pelaporan publik perusahaan. (Para. 33)
6. cakupan
Mengubah risiko panggilan untuk mengubah kontrol, misalnya, pergeseran ke arah e-procurement dapat
memungkinkan manajer lokal untuk menempatkan pesanan langsung dengan pemasok dan tampaknya
menimpa pusat membeli kontrol. Tapi kriteria yang ketat atas pemasok, barang, harga dan sebagainya
dipaksa melalui mengadopsi sistem informasi (dan database yang terkait) dapat sendiri bertindak sebagai
membeli sentral mengontrol dan mengalihkan fokus kontrol untuk proses otomatis dengan intervensi kantor
pusat di mana sesuai.
Mekanisme Kontrol
mekanisme kontrol adalah semua pengaturan dan prosedur untuk memastikan bisnis tujuan dapat
dipenuhi . Mereka terdiri dari mekanisme individu digunakan oleh orang-orang dan proses seluruh
organisasi
Tipe – Tipe Kontrol :
•
Administrative
Untuk melakukan kontrol di bagian administratif
•
Informational
Untuk melakukan kontrol di bagian informasi data.
•
Managerial
Untuk melakukan control pada pimpinan suatu perusahaan
•
Procedural
Untuk melakukan kontrol terhadap sistem yang berjalan pada suatu perusahaan.
•
Physical
Untuk melakukan kontrol kegiatan sehari-hari pada suatu perusahaan
Dapat disederhanakan lagi menjadi :
1. Directive
Dilakukan untuk mengkontrol direksi dalam mencapai tujuan. Kontrol ini memastikan bahwa
terdapat arah yang jelas dalam control tersebut dan dapat mendorong manajer untuk mencapai
tujuan yang dinyatakan. Ini adalah pengaturan yang positif untuk memotivasi orang dan memberi
mereka arah yang jelas (dan kemampuan) untuk membuat kemajuan yang baik.
2. Preventive
Yaitu kegiatan pengendalian yang dilakukan untuk mencegah terjadinya suatu permasalahan (error
condition) dari suatu proses bisnis, atau dengan kata lain pengendalian yang dilakukan sebelum
masalah timbul. Kegiatan pengendalian ini relatif murah jika dibandingkan kedua tipe
pengendalian lainnya.
Contoh pengendalian preventif:
Dibuatnya standar operasional prosedur untuk suatu kegiatan entitas;
Dibuatnya pemisahan fungsi dalam suatu entitas;
Dibuatnya rentang otorisasi dalam suatu entitas.
3. Detectitve
Yaitu kegiatan pengendalian yang dilakukan dalam rangka mencari atau mendeteksi adanya suatu
permasalahan dan mencari akar permasalahan tersebut, atau dengan kata lain pengendalian yang
dilakukan dimana telah terdapat suatu permasalahan. Kegiatan pengendalian ini lebih mahal dari
kegiatan pengendalian preventif.
Contoh pengendalian detektif:
Dilakukan rekonsiliasi kas;
Dilaksanakannya audit secara periodik;
4. Corrective
Yaitu kegiatan pengendalian yang dilakukan untuk memperbaiki kondisi jika terdapat suatu
permasalahan yang menyebabkan resiko tidak tercapainya tujuan organisasi, yang telah
ditemukan pada kegiatan pengendalian preventif maupun detektif. Kegiatan Korektif relatif
lebih mahal dari kegiatan peventif maupun detektif.
Contoh kegiatan korektif:
Dilakukannya perbaikan suatu sistem informasi atas kesalahan data yang
disebabkan adanya eror dalam sistem informasi suatu entitas.
Yang diperlukan dari sebuah kontrol agar berjalan dengan baik :
Spesific
Yaitu control atau pengendalian yang dilakukan harus Spesifik pada suatu bidang.
Sehingga ini akan mempermudah auditor internal dalam melakukan control/pengendalian
karena terdapat pemisahaan antara masalah 1 dengan yang lainnya.
Measurable
Jadi control yang dilakukan sebaiknya menggunakan suatu ukuran tertentu sehingga
batasan-batasan kontrolnyapun jelas dan tidak menyebabkan overcontrol. Misalnya lap.
Keuangan harus selesai dan dilaporkan pada tanggal 31 desember.
Achieveable
Atau Dapat dicapai dengan suatu usaha tertentu.
Result Oriented
Berorientasi pada hasil.
Timely
Yaitu control yang dilakukan tepat waktu sehingga tidak menimbulkan resiko deteksi,
kemudian laporan atas kontrol itu delaporkan Tepat pada waktunya sesuai dengan rencana
pengendalian yang telah ditetapkan sebelumnya agar dapat dilakukan pemecahan masalah
yang ditemukan dengan segera.
Kendala dalam Menyesuaikan Kontrol :
Kemampuan manajer senior untuk mengesampingkan kontrol yang telah disetujui
Kurangnya staff dan berita lowongan pekerjaan
Budaya kontrol yang buruk
Adanya staff yang kolusi
Kepercayaan pada individual sebagai indikator performa
Kepercayaan pada memori
Retrospektif pencatatan teransaksi
Pembagian tugas yang tidak terkontrol
Jawaban pertanyaan :
1.
Menurut Grant Purdy, seorang praktisi manajemen risiko
veteran di Melbourne, dalam metode pengendalian yang telah
didefinidikan oleh coso itu terdapat Kemungkinan terjadinya
sebuah event yang dapat mempengaruhi pencapaian sasaran
entitas. Sehingga definisi tersebut gagal menangkap potensi
risiko yang dapat muncul akibat perubahan kondisi yang terjadi
secara perlahan.
3. Proses dan kerangka kerja manajemen risiko tidak dipaparkan secara terpisah. Menurut Grant
Purdy hal ini dapat menimbulkan kebingungan dan inefektivitas terhadap manajemen risiko,
dimana kerangka kerja seharusnya dirancang pada top level management, sedangkan proses
manajemen risiko seharusnya diterapkan pada proses-proses organisasi. Standar ini menekankan
pada pengembangan pengendalian internal sebagai upaya perusahaan dalam mengelola risiko.
5. Inherent risk diartikan sebagai eksposur perusahaan terhadap risiko secara utuh. (dampak dari
existing control tidak diperhitungkan)
7. Perbaikan hanya dilakukan apabila diperlukan, berdasarkan hasil pemantauan. Bukanya
Memfasilitasi perbaikan berkelanjutan pada keseluruhan kerangka kerja dan proses manajemen
risiko, sesuai dengan kebutuhan organisasi dan perkembangan konteks
8. Informasi hanya dikomunikasikan kepada pelaku manajemen risiko bukan kepada seluruh
stakeholder untuk mendukung pencapaian sasaran unit-unit tersebut. Keterlibatan stakeholders
eksternal tidak diungkapkan pada standar ini.
9. Aspek manusia disebutkan sebagai batasan dari manajemen risiko dalam memberikan jaminan
terhadap pencapaian sasaran organisasi. Sedangkan menurutnya pengendalian harus
Memperhitungkan aspek manusia dan budaya ke dalam manajemen risiko. Sehingga Penerapan
manajemen risiko turut mempertimbangkan kultur, persepsi, dan kapabilitas manusia, termasuk
memperhitungkan perselisihan kepentingan antara organisasi dengan individu di dalamnya.
Kekurangan COBIT
COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi
operasional. Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka
perlu diadopsi berbagai framework tata kelola operasional seperti ITIL (The Information
Technology Infrastructure Library) yang merupakan sebuah kerangka pengelolaan layanan
TI yang terbagi ke dalam proses dan fungsi.
Kerumitan penerapan. Apakah semua control objective dan detailed control objective
harus diadopsi, ataukah hanya sebagian saja? Bagaimana memilihnya?
COBIT hanya berfokus pada kendali dan pengukuran.
COBIT kurang dalam memberikan panduan keamanan namun memberikan wawasan
umum atas proses TI pada organisasi.