Risk-Based Auditing and Control Objectives for Information and Related Technology (COBIT)
By Tri Wahyudi
Abstract
The organisation has already identified its key risks then it has the basis for risk-based auditing. If risks have not been formally identified and assessed then there is a real opportunity to work with management to help create this information. Control, compliance, conflict, challenge, coordinate, champion and catalyst is challenge for internal audit. Risk based auditing (RBA) has been the audit methodology adopted within Arun since April 2003, starts with business objectives and their associated risks rather than the need for controls. According to Gartner Report, Within the governance, risk and compliance (GRC) marketplace, continuous controls monitoring (CCM) is a set of technologies that assist the business in reducing business losses from fraud or failure to follow rules governing financial transactions, and improving performance through continuous monitoring (CM) and reducing the cost of auditing through continuous audit (CA) of the automated controls in ERP systems or other financial applications. Risk-Based Auditing with sampling, it will use Control Objectives for Information and related Technology (COBIT).
Many public and private organisations now use COBIT, and they are fairly confident that anyone who has experience of the tool would confirm that it is highly comprehensive and its use quite time consuming. Gartner Survey indicates more than 95 percent of organizations expect to maintain or grow their use of software as a service through 2010, Gartner Survey found that most companies still do not have policies governing the evaluation. COBIT is a set of best practices (framework) for information technology (IT) management, created by the Information Systems Audit and Control Association (ISACA) and the IT Governance Institute (ITGI) in 1996. COBIT provides managers, auditors, and IT users with a set of generally accepted measures, indicators, processes and best practices, to assist them in maximizing the benefits derived through the use of information technology, and developing appropriate IT governance andcontrol in a company. The new Management Guidelines are composed of Maturity Models, Critical Success Factors, Key Goal Indicators, and Key Performance Indicators.
Key Word : Risk-Based Auditing, COBIT, Gartner.
I. PENDAHULUAN
Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor. Tujuannya adalah untuk melakukan verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima. Audit telah mengalami evolusi yang pesat hingga saat ini. Hal ini dipicu oleh berbagai event risiko baik kecil maupun besar yang terjadi secara global, mulai dari kasus Enron dan Worldcom, hingga yang terbaru yakni krisis keuangan global, yang semakin memperkuat pentingnya fungsi internal audit. Risiko yang bervariasi, dan juga semakin kompleks seiring berkembangnya sistem keuangan saat ini, menjadikan peran audit yang kuat semakin diperlukan.
Risiko audit (audit risk) merupakan risiko kesalahan auditor dalam memberikan pendapat wajar tanpa pengecualian atas laporan keuangan yang salah saji secara material. Risiko bisnis (business risk) merupakan risiko dimana auditor akan menderita kerugian atau merugikan dalam melakukan praktik profesinya akibat proses pengadilan atau penolakan publik dalam hubungannya dengan audit. (Guy, Dan et al, 2002). Risiko audit yang dihadapi auditor hendaknya terus diusahakan dapat diminimalisir untuk menghindari risiko bisnis yang dihadapi oleh pengguna laporan auditor dan juga bertujuan untuk menjaga reputasi dari auditor itu sendiri. Di New Zealand, Project Enable’s, mengembangkan pendekatan baru yang bertujuan untuk lebih memfokuskan audit pada area dimana terdapat risiko audit yang siginifikan, sedangkan untuk area lainnya dilakukan prosedur audit yang minimal. Hal ini membantu dihasilkannya laporan yang lebih terfokus pada ”big picture issues”, yaitu yang dikenal dengan CARKEYS (Control, Analytical Review, Key Item, dan Sampling).
Jika awalnya audit hanya berfokus dalam mengidentifikasi pelanggaran semata serta menekankan compliance terhadap regulasi, hingga kemudian punya pemahaman yang menyeluruh mengenai risiko, kini sudah sampai berkembang risk-based audit atau audit berbasis risiko, dimana auditor pertama-tama harus memahami dulu bagaimana visi, misi, tujuan, target, dan strategi dari perusahaan, baru kemudian mengidentifikasi dan menganalisa risiko yang berpotensi menghalangi pencapaian tujuan. Auditor bertugas untuk menentukan apakah kontrol sudah ditempatkan dengan baik dan berjalan secara efektif dalam mengelola risiko.
II. RISK-BASED AUDITING
Perkembangan kegiatan bisnis ternyata mampu mempengaruhi dan membawa perubahan paradigma pelaksanaan audit dari pendekatan dengan pengendalian ke pendekatan audit berdasarkan Risiko (Risk Based Auditing). Pergeseran fokus audit dari pengendalian ke risiko telah membuat suatu revolusi yang besar dalam pendekatan audit masa kini. Risk assessment merupakan bagian dari tahapan pertama metodologi Risk Management Based Auditing yang harus dilakukan dalam melaksanakan audit keuangan dengan berbasis pada manajemen risiko. Tahapan tersebut adalah memahami operasi auditee yang bertujuan untuk mengidentifikasi dan memprioritaskan risiko kegagalan, risiko kekeliruan, dan risiko kecurangan yang dapat mempengaruhi audit laporan keuangan.
Salah satu model Risk Based Auditing yang dapat digunakan adalah model yang diperkenalkan oleh The Committee of Sponsoring Organizations of the Treadway Commissions (COSO). Model COSO menunjukkan hubungan antara risiko organisasi dengan perencanaan audit, Model tersebut jelas menunjukkan bahwa penentuan pengendalian yang dibutuhkan oleh organisasi harus melalui tahapan penilaian risiko (risk assessment). Pengendalian yang telah berorientasi kepada risiko akan lebih efektif karena jelas risiko terkait yang akan di minimalisasi (mitigate). Pengendalian intern yang telah berorientasi kepada risiko akan memberikan tingkat keyakinan yang lebih tinggi kepada auditor atas efektivitas pengendalian tersebut. Semakin efektif pengendalian maka audit juga akan menjadi semakin efisien dan efektif.
Risk-Based Auditing (RBA) merupakan pendekatan yang berfokus pada respon organisasi untuk risiko yang dihadapinya dalam mencapai maksud dan tujuannya. Tidak seperti bentuk lain dari audit, RBA dimulai dengan tujuan bisnis dan risiko yang terkait mereka daripada kebutuhan untuk kontrol. Hal ini bertujuan untuk memberikan jaminan risiko independen yang dikelola pada tingkat yang memadai dan untuk memfasilitasi perbaikan bila diperlukan. Peran Internal Audit berdasarkan pendekatan ini adalah untuk meninjau proses manajemen risiko (sebagai lawan murni kontrol internal) yang berada di tempat, untuk mengurangi risiko ke tingkat yang dapat diterima oleh organisasi.
Akibat ketidakmatangan lingkungan manajemen risiko, tidak dianggap bahwa proses manajemen risiko saat ini cukup kuat atau tertanam dalam sistem bisnis perusahaan untuk Internal Audit. Oleh karena itu mengambil pendekatan pragmatis terhadap pengembangan RBA, risiko melakukan sendiri proses penilaian (dalam hubungannya dengan manajemen) untuk menentukan tingkat yang tepat dari pekerjaan yang dibutuhkan. Dalam jangka pendek, Internal Audit terus fokus terutama pada sistem yang lengkap, proses atau unit bisnis, meninjau tujuan bisnis dan proses manajemen risiko di masing-masing entitas audit. Namun, Internal Audit akan berusaha untuk mengembangkan pendekatan ini, menempatkan ketergantungan lebih besar pada diri penilaian risiko yang dilakukan oleh manajemen.
Pendekatan audit bebasis risiko dilakukan dengan membuat matrik toleransi yaitu dengan menentukan kategori risiko yang berlaku dan sub-kategori (baik internal maupun eksternal) melalui pemahaman, mendefinisikan, dan mengidentifikasi risiko dan sesi brainstorming. Menilai dan memprioritaskan risiko dengan mengumpulkan informasi dari pemegang kepala kantor dan departemen, laporan audit sebelumnya, kuesioner pengendalian internal, penilaian diri, dan lain-lain.
Menentukan dampak, kemungkinan dan toleransi risiko yang terjadi. Tentukan prioritas untuk diterapkan ke setiap kategori dan sub-kategori berdasarkan pengaruh risiko potensial atau dikenal (risiko primer, sekunder dan minor).
Review hasil penilaian risiko. Kemudian melakukan perubahan jadwal untuk melakukan audit berdasarkan hasil.
Memindahkan risiko yang lebih tinggi ke jadwal audit peninjauan audit lengkap. Menetapkan staf audit yang lebih tinggi terampil untuk meninjau daerah berisiko tinggi dan
Memodifikasi program audit berdasarkan hasil program yang diperbaharui untuk menguji semua daerah berisiko tinggi. Lalu
mengurangi ukuran sampel di daerah risiko dan melakukan langkah-langkah di daerah risiko rendah pada setiap siklus audit. Laporan temuan dan menyampaikan rekomendasi kepada manajemen. Sampaikan keberhasilan pendekatan berbasis risiko adalah atas manajemen bersikap proaktif dalam melaksanakan prosedur untuk mengurangi risiko dalam mengidentifikasi daerah berisiko tinggi.
Audit berbasis risiko dapat dilakukan dengan menggunakan COBIT yang dikembangkan oleh ISACA, berlaku umum dan diterima sebagai standar untuk keamanan teknologi informasi. Framework menjelaskan bagaimana proses TI menyampaikan informasi, pengiriman ini dikontrol melalui 34 kontrol tujuan tingkat tinggi, satu untuk setiap proses TI, terkandung dalam empat domain. Kerangka mengidentifikasi yang mana dari tujuh informasi kriteria (efektifitas, efisiensi, kerahasiaan, integritas, ketersediaan, kepatuhan dan keandalan), serta sebagaimana yang sumber daya TI (orang, aplikasi, teknologi, fasilitas dan data) adalah penting bagi proses TI untuk sepenuhnya
mendukung tujuan bisnis.
Pedoman Pengelolaan: untuk memastikan perusahaan sukses, efektifitas dalam mengelola antara proses bisnis dan sistem informasi. Pedoman Manajemen COBIT yang baru
terdiri dari Maturity Model, Critical Success Factor, Key Performance Indicator and Key Goal Indicator. Pedoman manajemen ini akan membantu menjawab pertanyaan langsung kepada semua pihak yang memiliki saham dalam keberhasilan perusahaan. Pedoman manajemen COBIT terutama dirancang untuk memenuhi kebutuhan manajemen IT untuk pengukuran kinerja. Tujuan Pedoman manajemen berisi arahan, baik secara umum dan spesifik mengenai hal-hal yang menyangkut kebutuhan manajemen. Secara garis besar dapat memberikan jawaban mengenai:
o Apa saja indikator untuk mencapai hasil kinerja yang baik?
o Faktor apa saja yang harus diperhatikan untuk mencapai sukses?
o Apa resiko yang mungkin muncul bila tidak mencapai sasaran?
Dari perspektif kontrol, pedoman manajemen menangani masalah kunci menentukan tingkat hak kontrol TI sedemikian rupa sehingga mendukung tujuan perusahaan. Bagaimana kita mengukur kinerja? Bagaimana kita dibandingkan dengan orang lain? Dan bagaimana kita meningkatkan dari waktu ke waktu?
III. MATURITY MODEL
Maturity Model membantu memberikan tanggung jawab, mengukur kinerja, benchmark dan alamat kesenjangan dalam kemampuan. Panduan tentang bagaimana menilai dan meningkatkan kinerja proses TI, dengan menggunakan model kematangan (maturity), metrik, dan faktor-kritikal faktor keberhasilan. Disamping itu, dalam kerangka kerja COBIT juga memasukkan bagian-bagian seperti :
• Maturity models: untuk menilai tahap maturity IT dalam skala 0-5
• Critical Success Factors (CSF): arahan implementasi bagi manajemen dalam melakukan pengendalian atas proses IT.
• Key Goal Indicators (KGI): berisi mengenai arahan kinerja proses-proses IT sehubungan dengan kebutuhan bisnis.
• Key Performance Indicators (KPI): kinerja proses-proses IT sehubungan dengan sasaran/tujuan proses (process goals).
COBI T Maturity Model adalah alat pengelolaan TI yang digunakan untuk mengukur seberapa baik mengembangkan proses manajemen sehubungan dengan pengendalian internal. Model kematangan memungkinkan organisasi untuk grade diri dari tidak ada (0) untuk dioptimalkan (5). Kemampuan tersebut dapat dimanfaatkan oleh auditor untuk membantu manajemen memenuhi tata kelola TI Perusahaan yaitu tanggung jawab,, latihan tanggung jawab yang efektif atas penggunaan IT seperti bagian lain dari bisnis. Sebuah fitur mendasar dari model maturity adalah bahwa hal itu memungkinkan suatu organisasi untuk mengukur seperti apa adanya tingkat kematangan, dan menentukan to-be tingkat kematangan serta untuk mengisi kesenjangan. Akibatnya, organisasi dapat menemukan perbaikan praktis dengan sistem kontrol internal TI. Namun, tingkat kematangan bukan tujuan, melainkan mereka adalah sarana untuk mengevaluasi kecukupan pengendalian internal terkait dengan tujuan bisnis perusahaan.
Model maturity direkomendasikan untuk digunakan dengan melakukan pemetaan dan perbandingan berikut:
• Status organisasi - dimana organisasi adalah hari ini
• Status saat ini (terbaik) industri- perbandingan
• Status saat ini pedoman standar internasional-perbandingan tambahan
• Strategi organisasi untuk perbaikan - di mana organisasi ingin menjadi.
Perbandingan ini perlu dilakukan untuk setiap 34 proses TI. Pedoman Manajemen COBIT tidak menyarankan metodologi khusus apapun untuk mengukur tingkat kematangan proses TI, dan pendekatan yang dapat diikuti. Namun, untuk menggunakan Maturity Model sebagai alat manajemen yang efektif, perusahaan harus mengembangkan metodologi yang efisien untuk mengukur tingkat kematangan proses TI mereka. Hasil dari upaya benchmarking berdasarkan Maturity Model dan metode yang digunakan untuk mengukur tingkat kematangan untuk proses TI telah disajikan. Meskipun metode ini tidak ketat incremental, seperti yang disyaratkan oleh Model Kedewasaan, itu terbukti menjadi alat yang efisien untuk mengukur tingkat kematangan untuk tujuan perbandingan. Hal ini juga memberikan ide-ide yang dapat dikembangkan dan digunakan untuk membangun metode ketat tambahan.
IV. CRITICAL SUCCESS FACTOR
Critical Success Factors (CSF) yaitu arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI. Faktor Kritis Sukses memberikan manajemen dengan pedoman untuk melaksanakan kontrol atas TI dan prosesnya. CSF adalah hal yang paling penting untuk dilakukan yang berkontribusi terhadap proses TI mencapai tujuannya. CSF adalah kegiatan yang dapat dari strategis, teknis, organisasi, proses atau alam prosedural. Mereka biasanya berurusan dengan kemampuan dan keterampilan dan harus pendek,
terpusat dan tindakan yang berorientasi, memanfaatkan sumber daya yang merupakan kepentingan utama dalam proses yang sedang dipertimbangkan.
Model dan prinsip-prinsipnya mengidentifikasi sejumlah faktor Keberhasilan Kritis yang biasanya berlaku untuk semua proses saat mereka berurusan dengan apa yang standar, yang
set itu, yang mengontrol atau kebutuhan untuk bertindak :
• Ditetapkan dan didokumentasikan proses
• Ditetapkan dan didokumentasikan kebijakan
• Hapus akuntabilitas
• Dukungan yang kuat / komitmen dari manajemen
• Komunikasi yang tepat bagi orang-orang internal dan eksternal yang bersangkutan
• Konsisten pengukuran praktek.
Ini juga perlu dicatat bahwa prinsip-prinsip kontrol diperlukan pada tingkat yang berbeda, yaitu pada strategis, taktis dan tingkat administrasi. Biasanya ada empat jenis kegiatan di setiap tingkat yang logis mengikuti satu sama lain: perencanaan, melakukan, memeriksa dan mengoreksi. Mekanisme umpan balik dan kontrol antara tingkat harus dipertimbangkan. Sebagai contoh, «melakukan» di
tingkat strategis feed «perencanaan» pada taktis, atau «memeriksa» pada tingkat administratif dikonsolidasikan di «memeriksa» pada layer taktis, dan lain-lain.
Pedoman lebih lanjut dalam mengembangkan faktor penentu keberhasilan dapat diperoleh dengan memeriksa tujuan dan pedoman pemantauan kerangka tata kelola TI. Tata kelola TI adalah tanggung jawab eksekutif dan pemegang saham. Ini adalah sistem control yang memastikan bahwa tujuan bisnis tercapai. Ini biasanya terdiri dari mengarahkan organisasi TI usaha setelah meninjau kinerja yang dilaporkan terhadap beberapa norma sederhana yang panggilan untuk:
• TI harus selaras dengan bisnis
• TI untuk memungkinkan bisnis dan memaksimalkan manfaatnya
• Sumber daya TI yang digunakan secara bertanggung jawab
• IT risiko terkait untuk dikelola dengan tepat.
Sedangkan untuk model kontrol standar, ini biasanya akan terjadi pada lapisan yang berbeda, dengan para pemimpin tim liputan ke dan menerima arah dari manajer mereka, dengan manajer pelaporan sampai dengan eksekutif dan eksekutif kepada Dewan Direksi. Juga, laporan yang menunjukkan penyimpangan dari target akan biasanya sudah termasuk rekomendasi untuk tindakan yang akan disahkan.
dan Implementasi; Pengiriman dan Dukungan, dan Monitoring.
V. KEY GOAL INDICATOR
Sebuah Key Goal Indicator, yang merupakan tujuan proses, adalah ukuran dari "apa" yang harus dicapai. Ini adalah indikator yang terukurproses mencapai tujuan, sering didefinisikan sebagai target untuk mencapai.
Sebagai perbandingan, Key Performance Indicator, yang akan dibahas dalam bagian berikutnya, adalah ukuran "seberapa baik" melakukan proses ini. Hubungan ini terbaik digambarkan di bawah ini dengan konsep Balanced Scorecard Bisnis, yang
juga terlihat untuk ukuran hasil tujuan dan untuk mengukur kinerja relatif terhadap enabler yang akan membuatnya
mungkin untuk tujuan yang akan dicapai. Dan dalam konteks ini kita perlu ingat bahwa IT merupakan enabler utama bisnis.
TI, sebagai salah satu enabler utama bisnis, akan memiliki scorecard sendiri. Sebagai enabler, langkah-langkah yang akan kinerja indikator, yaitu, seberapa baik adalah enabler yang melakukan sedemikian rupa sehingga dapat memberikan indikasi bahwa tujuan bisnis akan tercapai. Ini juga harus dicatat bahwa pengukuran kinerja relatif terhadap usaha menjadi tujuan langkah-langkah untuk IT, yaitu Balanced
Bisnis Scorecard yang diturunkan. Tetapi bagaimana bisnis dan TI tujuan dan tindakan yang terkait? Kerangka COBIT menyatakan tujuan untuk TI dalam hal kriteria informasi yang kebutuhan bisnis untuk mencapai tujuan bisnis, yang biasanya akan dinyatakan dalam hal:
• Ketersediaan sistem dan layanan
• Tidak adanya risiko integritas dan kerahasiaan
• Efisiensi biaya proses dan operasi
• Konfirmasi kehandalan, efektivitas dan kepatuhan.
Tujuan untuk IT maka dapat dinyatakan sebagai memberikan informasi bahwa usaha kebutuhan sesuai dengan kriteria tersebut. Kriteria informasi yang disediakan dalam Pedoman Manajemen dengan indikasi apakah mereka telah primer atau sekunder penting untuk proses yang sedang diperiksa. Dalam prakteknya, informasi kriteria profil perusahaan akan lebih spesifik.
Tingkat pentingnya setiap kriteria informasi di atas adalah fungsi dari bisnis dan lingkungan yang perusahaan beroperasi masuk Gambar sebelumnya hanya contoh. Setiap organisasi harus memutuskan betapa pentingnya masing-masing
kriteria informasi bagi bisnisnya. Dengan demikian, profil juga mengungkapkan posisi perusahaan terhadap risiko. Perlu
dicatat, bagaimanapun, bahwa pentingnya kriteria informasi juga bisa berubah untuk setiap proses di mana mungkin berbeda tujuan berlaku. Meskipun demikian, tujuan bagi organisasi TI adalah untuk menyampaikan informasi bahwa bisnis perlu mencapai tujuannya, sesuai dengan profil kriteria informasi.
VI. KEY PERFORMANCE INDICATOR
Key Performance Indikator adalah ukuran yang memberitahu manajemen bahwa proses TI mencapai kebutuhan bisnis dengan pemantauan kinerja enabler dari proses TI. Membangun Bisnis Balanced Scorecard prinsip, yang
hubungan antara Key Performance Indicator dan Key Goal Indikator adalah sebagai berikut:
Key Performance Indicator adalah indikator singkat, terfokus dan terukur kinerja faktor-faktor pendukung dari TI proses, yang menunjukkan seberapa baik proses memungkinkan tujuan yang akan dicapai. Sementara kunci Indicatorss fokus Goal pada «apa», yang Key Performance Indicator prihatin dengan «bagaimana». Mereka sering akan menjadi ukuran Faktor Sukses Kritis dan, ketikadipantau dan ditindaklanjuti, akan mengidentifikasi peluang untuk perbaikan proses. Perbaikan ini harus berdampak pengaruh positif hasilnya dan, dengan demikian, Key Performance Indicator memiliki hubungan sebab-akibat dengan Goal Kunci Indikator proses.
Dalam beberapa kasus, langkah-langkah komposit disarankan untuk Key Performance Indicator dan, dalam beberapa kasus, Key Goal Indicators juga. Contohnya bisa menjadi ukuran bagi kecukupan organisasi TI yang trek, sebagai nomor satu, staf TI bisnis fokus, moral dan kepuasan kerja. Atau, misalnya indeks kualitas rencana dengan pemantauan sebagai nomor satu, timeliness, kelengkapan dan pendekatan terstruktur.
Sementara Key Goal Indikator bisnis didorong, Key Performance Indikator proses berorientasi dan seringkali akan mengungkapkan bagaimana baik proses dan leverage organisasi dan mengelola sumber daya yang dibutuhkan. Mirip dengan Key Goal Indicators, mereka sering dinyatakan sebagai angka atau persentase. Uji 'asam' A baik dari Key Performance Indicator adalah untuk melihat apakah itu benar-benar
memprediksi keberhasilan atau kegagalan tujuan proses dan apakah atau tidak membantu manajemen dalam meningkatkan proses.
Satu set generik Key Performance Indicator tercantum di bawah ini yang biasanya berlaku untuk semua proses TI:
1. Menerapkan TI secara umum
• Mengurangi waktu siklus (yaitu, daya tanggap TI produksi dan pengembangan)
• Meningkatkan kualitas dan inovasi
• Penggunaan bandwidth komunikasi dan daya komputasi
• Layanan ketersediaan dan waktu respon
• Kepuasan pemangku kepentingan (survei dan jumlah pengaduan)
• Jumlah staf yang terlatih dalam teknologi baru dan keterampilan layanan pelanggan.
2. Menerapkan untuk sebagian besar proses TI
• Meningkatkan efisiensi biaya proses (biaya vs deliverable)
• Staf produktivitas (jumlah kiriman) dan moril (survey)
• Jumlah kesalahan dan pengerjaan ulang.
3. Menerapkan dengan tata kelola TI
• Benchmark perbandingan
• Jumlah reportings ketidakpatuhan.
Singkatnya, Key Performance Indicator: adalah ukuran seberapa baik proses ini melakukan? Memprediksi kemungkinan keberhasilan atau kegagalan dalam yaitu, masa depan, 'LEAD' indicator Apakah proses yang berorientasi?, Tetapi didorong TI? Fokus pada proses dan dimensi pembelajaran Balanced Scorecard Bisnis Disajikan? Dalam istilah tepat terukur Akan membantu? Dalam meningkatkan proses TI ketika diukur dan ditindaklanjuti? Fokus pada sumber daya tersebut diidentifikasi sebagai yang paling penting untuk proses ini.
VII KESIMPULAN
Audit berbasis risiko merupakan metodologi yang memastikan bahwa manajemen risiko sudah dilakukan sesuai dengan risiko yang dimiliki organisasi. Pendekatan audit ini berfokus dalam mengevaluasi risiko-risiko baik strategis, finansial, operasional, regulasi dan lainnya yang dihadapi oleh organisasi. Dalam RBIA, risiko-risiko yang tinggi diaudit, sehingga kemudian manajemen bisa mengetahui area baru mana yang berisiko dan area mana yang kontrolnya harus diperbaiki.
Dengan melakukan audit berbasis risiko, maka organisasi dapat memastikan bahwa kontrol internal yang dilakukannya berjalan dengan baik. Pengelolaan risiko yang terjamin menjadikan organisasi menghindari risiko yang berlebihan, sehingga tujuan organisasi bisa tercapai. Jika setiap perusahaan melakukan audit berbasis risiko ini, tentunya kita harapkan krisis finansial tidak akan terulang kembali di kemudian hari.
COBIT merupakan sebuah framework yang banyak digunakan untuk assessment dan Audit tingkat kematangan IT Governance sebuah perusahaan atau organisasi. Untuk memastikan sebuah perusahaan sukses, maka harus secara efektif mengelola antara proses bisnis dan sistem informasi. Pedoman Manajemen terdiri dari Maturity Model, untuk membantu menentukan tahap dan tingkat harapan kontrol dan membandingkan mereka terhadap norma-norma industri; Faktor Kritis Sukses, mengidentifikasi tindakan yang paling penting untuk mencapai kontrol atas proses TI; Key Goal Indikator, untuk menentukan tingkat target kinerja, dan Key Performance Indikator, untuk mengukur apakah proses kontrol TI adalah pertemuan tujuannya. Panduan Manajemen akan membantu menjawab pertanyaan-pertanyaan dari perhatian segera untuk semua orang yang memiliki saham dalam keberhasilan perusahaan.
DAFTAR PUSTAKA
[1] COBIT® 4th Edition Management Guidelines, COBIT Steering Committee and the IT Governance Institute TM, 2007
[2] Phil Griffiths, Risk-Based Auditing, founder and Managing Director of Business Risk Management Ltd, Gower Publishing Company, 2005
[3] Rune Johannessen CISA, CIA, Dip. Internal, Audit Risk-based Sampling Using COBIT, Senior Audit Adviser at the Office of the Auditor General of Norway.
[4] Kadam Avinash, Direktur Keamanan MIEL-e, Pvt. Ltd, The COBIT source for best practices, Network magazine, 2004
[5] Agus Widarsono, Staf Pengajar Program Studi Akuntansi Fakultas Pendidikan Ekonomi & Bisnis Universitas Pendidikan Indonesia (UPI BHMN) Bandung, Audit Berpeduli Risiko (Risk Based Audit) Dalam Perencanaan Dan Pelaksanaan Audit : (Perubahan Paradigma Dalam Melakukan Audit Dari Pengendalian Ke Risiko, Menuju Audit Yang Efektif Dan Efisien).
[6] Edward G. Simanjuntak. 2003. “Audit Berpeduli Risiko”. Majalah Pemeriksa No.93.
Komentar
Posting Komentar