PENGENDALIAN INTERNAL (COSO)

Didirikan pada tahun 1985, yang merupakan aliansi dari lima organisasi profesi diantaranya :
Financial Executives International (FEI)
The American Accounting Association (AAA)
The American Institute of Certified Public Accountants (AICPA)
The Institute of Internal Auditors (IIA)
The Institute of Management Accountants (IMA) (formerly the National Association of
Accountants).
Misi utama dari COSO adalah Memperbaiki/meningkatkan kualitas laporan keuangan entitas
melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance.

Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi

mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tahun 1992, telah
diselesaikan studi tersebut dengan memperkenalkan sebuah kerangka kerja pengendalian
internal yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator,
penyusun standar, organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif
untuk mengukur efektifitas pengendalian internal mereka.

A. Pengendalian Internal Menurut COSO

Pengendalian internal merupakan bagian yang sangat penting agar tujuan perusahaan
dapat tercapai. Tanpa adanya pengendalian internal, tujuan tujuan perusahaan tidak dapat dicapai
secara efektif dan efisien. Semakin besar perusahaan semakin penting pula arti dari pengendalian
internal dalam perusahaan tersebut.
Secara umum, pengendalian internal merupakan bagian dari masing-masing sistem yang
dipergunakan sebagai prosedur dan pedoman operasional perusahaan atau organisasi tertentu.
Perusahaan umumnya menggunakan Sistem Pengendalian Internal untuk mengarahkan operasi
perusahaan dan mencegah terjadinya penyalahgunaan sistem. Definisi pengendalian internal
yang dikemukan oleh banyak penulis pada umumnya bersumber dari definisi yang dibuat oleh
COSO (The Committee Of Sponsoring Organizations Of Treadway Commission).
Pada edisi yang baru, COSO (2013) mendefinisikan pengendalian internal sebagai
berikut: "Internal control is a process, affected by an entity's board of directors, management,
and other personnel, designed to provide reasonable assurance regarding the achievement of
objectives relating to operations, reporting, and compliance"
Pengertian pengendalian internal control menurut COSO tersebut, dapat dipahami
bahwa pengendalian internal adalah proses, karena hal tersebut menembus kegiatan operasional
organisasi dan merupakan bagian integral dari kegiatan manajemen dasar. Pengendalian internal
hanya dapat menyediakan keyakinan memadai, bukan keinginan mutlak. Hal ini menegaskan
bahwa sebaik apapun pengendalian internal itu dirancang dan dioperasikan,hanya dapat
menyediakan keyakinan yang memadai, tidak dapat sepenuhnya efektif dalam mencapai tujuan
pengendalian internal meskipun telah dirancang dan disusun sedemikian rupa dengan sebaik
baiknya. Bahkan bagaimanapun baiknya pengendalian internal yang ideal di rancang, namun
keberhasilannya bergantung pada kompetisi dan kendala dari pada pelaksanaannya dan tidak
terlepas dari berbagai keterbatasan.
1. Tujuan pengendalian internal
Dari beberapa pendapat para ahli dapat dijelaskan bahwa tujuan pengendalian internal
yaitu mencakup tiga hal pokok yang dapat diuraikan sebagai berikut:

Tujuan tujuan operasi yang berkaitan dengan efektivitas dan efisiensi operasi.
Bahwa pengendalian internal dimaksudkan untuk meningkatkan efektifitas dan efisiensi dari
semua operasi perusahaan sehingga dapat mengendalikan biaya yang bertujuan untuk mencapai
tujuan organisasi.

Tujuan-tujuan pelaporan
Bahwa pengendalian internal dimaksudkan untuk meningkatkan keandalan data serta catatan
catatan akuntansi dalam bentuk laporan keuangan dan laporan manajemen sehingga tidak
menyesatkan pemakai laporan tersebut dan dapat diuji kebenarannya.

Tujuan-tujuan ketaatan terhadap hukum dan peraturan yang berlaku.

Bahwa pengendalian internal dimaksudkan untuk meningkatkan ketaatan entitas terhadap hukum
hukum dan peraturan yang telah ditetapkan pemerintah, pembuat aturan terkait, maupun
kebijakan kebijakan entitas itu sendiri.
Ketiga tujuan pengendalian internal tersebut merupakan hasil (output) dari suatu
pengendalian internal yang baik, yang dapat dicapai dengan memperhatikan unsur unsur
pengendalian internal yang merupakan proses untuk menghasilkan pengendalian internal yang
baik. Oleh karena itu, agar tujuan pengendalian internal tercapai, maka perusahaan harus
mempertimbangkan unsur unsur pengendalian internal.

Unsur unsur pengendalian internal

COSO menyatakan mengenai unsur unsur pengendalian internal sebagai berikut:
"Internal control consists of five integrated components:
1. Control Environment
2. Risk Assessment
3. Control Activities
4. Information And Communication
5. Monitoring Activities"
Adapun hubungan diantara kelima tujuan dan komponen komponen pengendalian
internal tersebut digambarkan oleh COSO dalam bentuk kubus sebagai berikut:
 Berdasarkan gambar tersebut menjelaskan bahwa ada suatu hubungan langsung antara
tujuan tujuan sebagai apa yang hendak dicapai entitas dengan komponen komponen
pengendalian internal yang mewakili apa yang diperlukan untuk mencapai tujuan tujuan itu, serta
struktur organisasi entitas pada setiap tingkatan (divisi, unit, operasi, fungsi, dan lainnya). Ketiga
kategori tujuan tersebut (operasi, pelaporan, dan ketaatan) diwakili oleh kolom, kemudian kelima
komponen pengendalian internal diwakili oleh baris, sedangkan struktur organisasi entitas
direpresentasikan oleh ketiga dimensinya.
Agar lebih jelas berikut ini akan dijelaskan kelima komponen pengendalian internal
tersebut :
1. Lingkungan Pengendalian (Control Invironment)
Lingkungan pengendalian menciptakan suasana pengendalian dalam suatu organisasi
dan mempengaruhi kesadaran personal organisasi tentang pengendalian. Lingkungan
pengendalian merupakan landasan untuk semua komponen pengendalian internal yang
membentuk disiplin dan struktur.
Berdasarkan rumusan COSO, bahwa lingkungan pengendalian didefinisikan sebagai
seperangkat standar, proses, dan struktur yang memberikan dasar untuk melaksanakan
pengendalian internal di seluruh organisasi.
Selanjutnya, COSO menyatakan, bahwa terdapat lima prinsip yang harus ditegakkan
atau dijalankan dalam organisasi untuk mendukung lingkungan pengendalian agar dapat
terwujud dengan baik, yaitu:
Organisasi yang terdiri dari dewan direksi, manajemen, dan personil lainnya menunjukkan
komitmen terhadap integritas dan nilai-nilai etika.
Dewan direksi menunjukkan indenpendensi dari manajemen dan dalam mengawasi
pengembangan dan kinerja pengendalian internal.
Manajemen dengan pengawasan dewan direksi menetapkan struktur, jalur pelaporan,
wewenang-wewenang dan tanggung jawab dalam mengejar tujuan.
Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan
individu yang kompetensi sejalan dengan tujuan.
Organisasi meyakinkan individu bertanggung jawab atas tugas dan tanggung jawab
pengendalian internal mereka dalam mengejar tujuan.
2. Penilaian Risiko (Risk Assessment)
Menurut COSO, penilaian risiko melibatkan proses yang dinamis dan interaktif untuk
mengidentifikasi dan menilai risiko terhadap pencapaian tujuan. Risiko itu sendiri dipahami
sebagai suatu kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian
tujuan entitas, dan risiko terhadap pencapaian seluruh tujuan dari entitas ini dianggap relatif
terhadap toleransi risiko yang ditetapkan. Oleh karena itu, penilaian risiko membentuk dasar
untuk menentukan bagaimana risiko harus dikelola oleh organisasi

Prinsip-prinsip yang mendukung penilaian risiko menurut COSO sebagai berikut:

Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan
identifikasi dan penilaian risiko yang berkaitan dengan tujuan.
Organisasi mengidentifikasi risiko terhadap pencapaian tujuan di seluruh entitas dan analis
risiko sebagai dasar untuk menentukan bagaimana risiko harus dikelola.
Organisasi mempertimbangkan potensi kecurangan dalam menilai risiko terhadap
pencapaian tujuan.
Organisasi mengidentifikasi dan menilai perubahan yang signifikan dapat mempengaruhi
sistem pengendalian internal.

3. Aktivitas Pengendalian (Control Activities)

Menurut COSO, aktivitas pengendalian adalah tindakan-tindakan yang ditetapkan
melalui kebijakan-kebijakan dan prosedur-prosedur yang membantu memastikan bahwa arahan
manajemen untuk mengurangi risiko terhadap pencapaian tujuan dilakukan. Aktivitas
pengendalian dilakukan pada semua tingkat entitas, pada berbagai tahap dalam proses bisnis, dan
atas lingkungan teknologi.
Aktivitas pengendalian memiliki berbagai macam tujuan dan diterapkan dalam berbagai
tindakan dan fungsi organisasi. Aktivitas pengendalian meliputi kegiatan yang berbeda,seperti:
otorisasi, verifikasi, rekonsiliasi, analisis, prestasi kerja, menjaga keamanan harta perusahaan dan
pemisahan fungsi.
COSO menegaskan mengenai prinsip prinsip dalam organisasi yang mendukung
aktivitas pengendalian yaitu sebagai berikut:
Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi terhadap
mitigasi risiko pencapaian sasaran pada tahap yang dapat diterima.
Organisasi memilih dan mengembangkan aktivitas pengendalian umum atas teknologi untuk
mendukung tercapainya tujuan.
Organisasi menyebarkan aktivitas pengendalian melalui kebijakan kebijakan yang
menetapkan apa yang diharapkan, dan prosedur-prosedur yang menempatkan kebijakan
kebijakan ke dalam tindakan.

4. Informasi Dan Komunikasi (Information And Communication)

COSO menjelaskan bahwa informasi sangat penting bagi setiap entitas untuk
melaksanakan tanggung jawab pengendalian internal guna mendukung pencapaian tujuan-
tujuannya. Informasi yang diperlukan manajemen adalah informasi yang relevan dan berkualitas
baik yang berasal dari sumber internal maupun eksternal dan informasi yang digunakan untuk
mendukung fungsi komponen-komponen lain pengendalian internal. Informasi diperoleh ataupun
dihasilkan melalui proses komunikasi antar pihak internal maupun eksternal yang dilakukan
 secara terus- menerus, berulang, dan berbagi. Kebanyakan organisasi membangun suatu sistem
informasi untuk memenuhi kebutuhan informasi yang andal, releva,n dan tepat waktu.
Ada 3 prinsip yang mendukung komponen informasi dan komunikasi dalam
pengendalian internal menurut COSO, yaitu:
Organisasi memperoleh atau menghasilkan dan menggunakan informasi yang berkualitas dan
yang relevan untuk mendukung fungsi pengendalian internal.
Organisasi secara internal mengkomunikasikan informasi, termasuk tujuan dan tanggung
jawab untuk pengendalian internal dalam rangka mendukung fungsi pengendalian internal.
Organisasi berkomunikasi dengan pihak internal mengenai hal-hal yang mempengaruhi
fungsi pengendalian internal.

5. Aktivitas Pemantauan (Monitoring Activities)

Aktivitas pemantauan menurut COSO merupakan kegiatan evaluasi dengan beberapa
bentuk apakah yang sifatnya berkelanjutan, terpisah maupun kombinasi keduanya yang
digunakan untuk memastikan apakah masing-masing dari kelima komponen pengendalian
internal mempengaruhi fungsi fungsi dalam setiap komponen, ada dan berfunsi. Evaluasi
berkesinambungan ,(terus menerus) dibangun ke dalam proses bisnis pada tingkat yang berbeda
dari entitamenyajikanyajikan informasi yang tepat waktu. Evaluasi terpisah dilakukan secara
periodik, akan bervariasi dalam lingkup dan frekuensi tergantung pada penilaian risiko,
efektifitas evaluasi yang sedang berlangsung, bahan pertimbangan manajemen lainnya. Temuan-
temuan dievaluasi terhadap kriteria yang ditetapkan oleh pembuat kebijakan, lembaga-lembaga
pembuat standar yang diakui atau manajemen dan dewan direksi, dan kekurangan kekurangan
yang ditemukan dikomunikasikan kepada manajemen dan dewan direksi.
Kegiatan pemantauan meliputi proses penilaian kualitas kinerja pengendalian internal
sepanjang waktu, dan memastikan apakah semuanya dijalankan seperti yang diinginkan serta
apakah telah disesuaikan dengan perubahan keadaan. Pemantauan seharusnya dilakukan oleh
personal yang semestinya melakukan pekerjaan tersebut, baik pada tahap desain maupun
pengoperasian pengendalian pada waktu yang tepat, guna menentukan apakah pengendalian
internal beroperasi sebagaimana yang diharapkan dan untuk menentukan apakah pengendalian
internal tersebut telah disesuaikan dengan perubahan keadaan yang selalu dinamis.
Secara singkat dapat dikatakan bahwa pemantauan dilakukan untuk memberikan
keyakinan apakah pengendalian internal telah dilakukan secara memadai atau tidak. Dari hasil
pemantauan tersebut dapat ditemukan kelemahan dan kekurangan pengendalian sehingga dapat
diusulkan pengendalian yang lebih baik.

Keterbatasan pengendalian internal

Pelaksanaan struktur pengendalian internal yang efisien dan efektif haruslah
mencerminkan keadaan yang ideal. Namun dalam kenyataannya hal ini sulit untuk dicapai,
karena dalam pelaksanaannya struktur pengendalian internal mempunyai keterbatasan-
keterbatasan. COSO menjelaskan bahwa pengendalian internal tidak bisa mencegah penilaian
buruk atau keputusan, atau kejadian eksternal yang dapat menyebabkan sebuah organisasi gagal
untuk mencapai tujuan operasionalnya. Dengan kata lain bahwa sistem pengendalian internal
yang efektif dapat mengalami kegagalan.
Lebih lanjut dikemukakan bahwa keterbatasan-keterbatasan yang ada nungkin terjadi
sebagai hasil dari penetapan tujuan-tujuan yang menjadi prasyarat untuk pengendalian internal
tidak tepat, penilaian manusia dalam pengendalian keputusan yang dapat salah dan bias, faktor
kegagalan/kesalahananusia sebagai pelaksana, kemampuan manajemen untuk mengesampingkan
pengendalian internal, kemampuan manajemen, personel lainnya, ataupun pihak ketiga untuk
menghindari kolusi, dan juga peristiwa-peristiwa eksternal yang berada di luar kendali
organisasi.
Keterbatasan bawaan yang melekat dalam setiap pengendalian internal sebagaimana
dikekukakan oleh mulyadi (2003) yaitu:
1. Kesalahan dalam pertimbangan
2. Gangguan
3. Kolusi
4. Pengabaian oleh manajemen
5. Biaya lawan manfaat

KELEMAHAN dan KELEBIHAN

COSO ERM Integrated Framework memiliki keunggulan esensial dalam memberikan panduan
yang lebih mendetail dan komprehensif. Keberadaan prinsip manajemen risiko, penetapan
konteks eksternal, dan pemisahan antara kerangka kerja dengan proses manajemen risiko
menjadi keunggulan kompetitif yang dimiliki. Namun pada akhirnya, dalam memilih standar
terbaik untuk diimplementasikan, keunikan pada kedua standar tersebut perlu dipertimbangkan
dan disesuaikan dengan sasaran, karakteristik, dan regulasi yang berlaku pada organisasi. Dalam
penerapannya, organisasi juga dapat mengadaptasi dan mengkombinasikan komponen-
komponen tertentu pada kedua rujukan tersebut untuk membangun sistem manajemen risiko
tersendiri yang efektif bagi organisasinya.

Pengendalian Internal Menurut COBIT

Definisi Pengendalian Internal menurut COBIT

Control Objectives for Information and Related Technology atau COBIT adalah proses yang
sedang dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari
Information System Audit and Control Association (ISACA) untuk membantu perusahaan dalam
mengelola sumber daya teknologi informasi.

COBIT juga merupakan jembatan antara manajemen teknologi informasi dengan para eksekutif
bisnis atau dewan direksi. Dikatakan seperti itu karena CoBIT mampu menjelaskan laporan
dengan bahasa yang umum sehingga dapat mudah dipahami oleh semua pihak. Salah satu alasan
mengapa COBIT dapat merajalela di seluruh dunia karena semakin besarnya perhatian dari
corporate governance dan kebutuhan perusahaan dalam menghasilkan sesuatu yang lebih dengan
kondisi sumber daya yang sedikit dan ekonomi yang sulit.
Tujuan utama yang diharapkan dari adanya COBIT yaitu agar perusahaan mampu meningkatkan
nilai tambah dalam bidang IT dan dapat mengurangi risiko-risiko inheren yang ada didalamnya.

COBIT mengadopsi definisi pengendalian dari COSO yaitu : Kebijakan, prosedur, dan praktik,
dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan
organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan
diperbaiki. Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control
objective)dari SAC yaitu : Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin
dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu.
Komponen tujuan pengendalian (control objectives) COBIT ini terdiri atas 4 tujuan pengendalian
tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu : planning
& organization , acquisition & implementation ,delivery & support , dan monitoring.

Komponen-komponen COBIT

COBIT mempunyai komponen-komponen sebagai berikut:

a. Executive Summary

b. Framework

c. Control Objective

d. Audit Guidelines

e. Management Guidelines

f. Control Practices

Definisi Pengendalian Internal menurut COBIT

Untuk pengertian Pengendalian Internal COBIT mengadopsinya dari COSO, yaitu:

Kebijakan, prosedur, praktik, struktur organisasi yang dirancang untuk memberikan keyakinan
yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat
dicegah, dideteksi atau diperbaiki.

Selain itu untuk tujuan pengendalian sendiri COBIT mengadopsinya dari SAC, yaitu:

Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan
mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu.
Ringkasan Konsep Pengendalian Internal COBIT dilihat dari berbagai sudut pandang
Pengguna UtamaCOBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :
Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi
pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang
disediakan oleh pihak internal atau pihak ketiga.
Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk
memberikan saran kepada manajemen atas pengendalian internal yang ada.

Tujuan Pengendalian Internal bagi Organisasi

a. Operasi yang efektif dan efisien
Keefektifan berkenaan dengan informasi yang diperoleh harus relevan dan berkaitan
dengan proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten,
dan bermanfaat. Sedangkan keefisienan berkaitan dengan penyediaan informasi melalui
sumber daya (yang paling produktif dan ekonomis) yang optimal.
b. Kerahasiaan
Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang
tidak berwenang.
c. Integritas
Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai
nilai-nilai dan harapan bisnis.
d. Ketersedian Informasi
Berkaitan dengan informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses
bisnis baik sekarang maupun di masa yang akan datang. Ini juga terkait dengan
pengamanan atas sumber daya yang perlu dan kemampuan yang terkait.
e. Pelaporan keuangan yang handal
Berkaitan dengan pemberian informasi yang tepat bagi manajemen untuk
mengoperasikan perusahaan dan juga pemenuhan kewajiban mereka untuk membuat
pelaporan keuangan.
f. Ketaatan terhadap ketentuan hukum dan peraturan
Terkait dengan pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian
kontrak, dimana dalam hal ini proses bisnis dipandang sebagai suatu subjek.

Domain
1. Planning and organization
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT
secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi
dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai
perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur
teknologi harus di tempatkan di tempat yang semestinya.
2. Acquisition dan implementation
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau
diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu,
perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk
memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sisteem ini.
 3. Delivery and Support
Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT.
Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT
dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT
tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan
dan juga pelatihan.

4. Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan
pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan
manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang
dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber
anternatif lainnya.

Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:
Control Objectives : Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control
objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition &
implementation , delivery & support , dan monitoring .
Audit Guidelines : Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed
control objectives ) untuk membantu para auditor dalam memberikanmanagement
assurance dan/atau saran perbaikan.
Management Guidelines : Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja
yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai
dengan manfaat yang dihasilkannya.
Apa saja indikator untuk suatu kinerja yang bagus?
Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical
success factors )?
Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
Bagaimana dengan perusahaan lainnya apa yang mereka lakukan?
Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.
The COBIT Framework memasukkan juga hal-hal berikut ini:
Maturity Models Untuk memetakan status maturity proses-proses TI (dalam skala 0
5) dibandingkan dengan the best in the class in the Industry dan juga International best
practices
Critical Success Factors (CSFs) Arahan implementasi bagi manajemen agar dapat
melakukan kontrol atas proses TI.
Key Goal Indicators (KGIs) Kinerja proses-proses TI sehubungan dengan business
requirements
Key Performance Indicators (KPIs) Kinerja proses-proses TI sehubungan
denganprocess goals.
Satu dari prinsip dalam COBIT 5 ini adalah pembedaan yang dibuat antara tata kelola
(governance) dan pengelolaan (management). Selaras dengan prinsip ini, setiap organisasi
diharapkan untuk melaksanakan sejumlah proses tata kelola dan sejumlah proses pengelolaan
untuk menyediakan tata kelola dan pengelolaan enterprise IT yang komprehensif.
Ketika mempertimbangkan proses untuk tata kelola dan pengelolaan dalam konteks enterprise,
perbedaan antara jenis-jenis proses tergantung kepada tujuan dari proses tersebut, antara lain :
1. Proses tata kelola berhubungan dengan tujuan tata kelola, yaitu value delivery;
manajemen resiko dan penyeimbangan sumber daya; serta termasuk praktik dan aktivitas
yang dituju sesuai evaluasi pilihan strategis yang menyediakan arahan kepada IT dan
memantau outcome (hal ini sesuai dengan konsep standar ISO 38500).
2. Selaras dengan definisi pengelolaan, praktik dan aktivitas dari proses pengelolaan
(management process) melingkupi tanggung jawab area perencanaan, pembangunan,
pelaksanaan, dan pemantauan dari enterprise IT. Proses pengelolaan juga menyediakan
cakupan end-to-end dari IT.
Walau outcome kedua jenis proses berbeda dan dimaksudkan untuk audience yang berbeda,
secara internal, contohnya dari konteks prosesnya sendiri, semua proses membutuhkan aktivitas
perencanaan, pembangunan (atau implementasi), eksekusi, dan pemantauan.
COBIT 5 tidaklah menentukan tetapi dari penjelasan di atas jelas bahwa COBIT 5 mendukung
organisasi mengimplementasi proses tata kelola dan pengelolaan pada area yang dicakupi seperti
yang dijelaskan pada gambar di bawah.
Dalam teorinya, perusahaan dapat mengorganisasi prosesnya apabila memungkinkan selama
tujuan dasar tata kelola dan pengelolaan tercakupi. Perusahaan kecil memiliki proses yang lebih
sedikit sedangkan perusahaan yang lebih besar atau rumit memiliki proses yang banyak.
Semuanya mencakupi tujuan yang sama. Meskipun begitu, COBIT 5 juga menyertakan sebuah
model referensi proses yang mendefinisikan dan menjelaskan secara rinci sejumlah proses tata
kelola dan pengelolaan. Model referensi proses merepresentasikan semua proses yang secara
normal ditemukan dalam sebuah perusahaan yang berhubungan dengan kegiatan IT dengan
demikian menyediakan sebuah model referensi umum yang dapat dimengerti untuk manajer
bisnis dan It yang beroperasi dan juga auditor maupun penasehat.
Menggabungkan model operasional dan membuat sebuah bahasa umum untuk semua bagian
bisnis yang terlibat dalam kegiatan IT merupakan salah satu hal yang paling penting dan langkah
kritis menuju tata kelola yang baik (good governance). Selain itu, model referensi proses
menyediakan kerangka kerja untuk mengukur dan memantau kinerja IT, mengomunikasikan
dengan penyedia layanan, serta menyatukan praktik-praktik pengelolaan terbaik.
Model referensi proses COBIT 5 membagi proses tata kelola dan pengelolaan perusahaan IT ke
dalam dua domain, yaitu domain tata kelola dan domain pengelolaan.
1. Domain tata kelola mengandung lima proses tata kelola yang di dalam setiap prosesnya
praktik evaluasi, pengarahan, dan pemantauan didefinisikan.
2. Domain pengelolaan ada empat yang selaras dengan wilayah tanggung jawab
perencanaan, pembangunan, pelaksanaan, dan pemantauan.
3. Dalam COBIT 5, proses-proses juga mencakupi lingkup penuh dari kegiatan bisnis dan
IT yang berhubungan dengan tata kelola dan pengelolaaan enterprise IT. Dengan
demikian membuat model proses benar-benar enterprise-wide.
Model referensi proses COBIT 5 adalah penerus proses model COBIT 4.1 dengan
mengintegrasikan proses model Risk IT dan Val IT. Gambar di bawah menggambarkan
himpunan lengkap dari proses tata kelola dan pengelolaan dalam COBIT 5.
PENGENDALIAN DAN AUDIT SISTEM INFORMASI AKUNTANSI
CASE 7.1.

a. Anda bertemu dengan Komite Audit Go-Go, yang terdiri dari controller, bendahara,
wakil presiden keuangan, dan direktur anggaran.

MASALAH:
Bagian 301 dari Sarbanes-Oxley Act of 2002 (SOX) mensyaratkan perusahaan publik
untuk memiliki sebuah komite audit yang independen. Di Indonesia,berdasarkan POJK
No. 33 tentang Direksi dan Dewan Komisaris Emiten atau Perusahaan Publik serta
merujuk ke Peraturan Bapepam IX.I.5 tentang Pembentukan dan Pedoman Pelaksanaan
Kerja Komite Audit dimana Komite Audit adalah komite yang dibentuk oleh Dewan
Komisaris dan terdiri dari sekurang-kurangnya satu orang Komisaris Independen dan
sekurang-kurangnya 2 (dua) orang lainnya berasal dari luar Emiten atau Perusahaan
Publik.Hal ini tidak terjadi di Go-Go Corporation.

SOLUSI:
Komite Audit harus dibentuk sesuai dengan ketentuan atau paraturan-peraturan yang
telah ditetapkan bagi Emiten atau Perusahaan Publik. Komite Audit harus independen dan
bertanggung jawab untuk:
 Melakukan penelaahan atas informasi keuangan seperti laporan keuangan,
proyeksi dan informasi keuangan lainnya,
Melakukan penelaahan atas ketaatan perusahaan terhadap peraturan perundang-
undangan di bidang Pasar Modal dan peraturan perundang-undangan lainnya yang
berhubungan dengan kegiatan perusahaan,
Mengawasi struktur pengendalian internal korporasi,
Komite Audit harus menjaga kerahasiaan dokumen, data dan informasi
perusahaan.

b. Anda mengenali bendahara sebagai mantan ajudan Ernie Eggers, yang didakwa atas
penipuan beberapa tahun yang lalu.

MASALAH:
Posisi bendahara sebuah perusahaan melibatkan pengelolaan kas dan aset keuangan
lainnya, sangat penting bahwa posisi tersebut diisi oleh seseorang yang integritas dan
nilai-nilai etikanya tidak diragukan lagi. Kondisi yang ada di Go-Go Corporation menjadi
dilemma dimana di satu sisi, hanya karena bendahara pernah bekerja untuk seseorang
yang ternyata tidak jujur tidak berarti bendahara tidak jujur juga. Setiap orang harus
dinilai pada kemampuannya sendiri, bukan kepentingan orang lain. Oleh karena itu, Anda
perlu berhati-hati untuk tidak berasumsi bahwa secara otomatis bendahara tidak jujur. Di
sisi lain, fakta mengatakan bahwa bendahara tersebut pernah menjadi pembantu
seseorang yang didakwa karena penipuan sehingga harus menimbulkan pertanyaan dalam
dirikita sebagai auditor.
SOLUSI:
Meskipun kita mungkin tidak memiliki informasi yang spesifik untuk mengkaitkan
bendahara perusahaan dengan kasus penipuan sebelumnya, informasi ini harus
menunjukkan kebutuhan untuk memeriksa dengan seksama standar sumber daya manusia
yang dimiliki oleh perusahaan serta kebijakan dan prosedur SDM perusahaan dalam hal
perekrutan.

c. Manajemen menjelaskan rencananya untuk mengubah metode akuntansi atas penyusutan

dari metode akselerasi menjadi lurus. Manajemen menyiratkan bahwa jika Kantor
Akuntan tidak sependapat dengan perubahan ini, Go-Go akan mempekerjakan auditor
lainnya.

MASALAH:
Mengapa sebuah perusahaan ingin merubah metode penyusutan dari akselerasi menjadi
garislurus? Salah satu alasannya adalah untuk mengurangi beban penyusutan, sehingga
dapat meningkatkan laba bersih dan berpotensi meningkatkan harga saham perusahaan.
Atau, mereka mungkin akan mencari cara untuk menutupi, atau menyembunyikan,
masalahperusahaan yang lainnya yang akan mempengaruhi laba bersih.

SOLUSI:
Di Indonesia, perubahan kebijakan akuntansi telah diatur di dalam PSAK 25.Perusahaan
harus memiliki alasan logis dalam mengubah kebijakan akuntansinya, selain hanya untuk
meningkatkan laba bersih dan harga saham. Jika manajemen tidakmemiliki alasan yang
 baik dan jelas atas perubahan kebijakan akuntansi yang diinginkan, maka komitmen
terhadap integritas, nilai-nilai etika serta kompetensi perusahaan harus dievaluasi secara
cermat. Hal ini juga mungkin ada hubungannya dengan filosofi manajemen, gaya
pengoperasian, dan selera resiko yang mana perusahaan juga memiliki selera resiko yaitu
jumlah resiko yang bersedia diterima oleh perusahaan untuk mencapai tujuan dan
sasarannya.

d. Anda mempelajari bahwa wakil presiden keuangan mengelola staf yang terdiri atas lima
auditor internal.

MASALAH:
Fungsi audit internal itu harusnya bersifat independen dan tidak terorganisasi dari fungsi
akuntansi dan keuangan.

SOLUSI:
Aspek-aspek penting dari struktur organisasi adalah dengan menyertakan hal-hal sebagai
berikut:
Sentralisasi atau desentralisasi wewenang
Hubungan pengarahan atau matriks pelaporan
Organisasi berdasarkan industry, lini produk, lokasi atau jaringan pemasaran
Bagaimana alokasi tanggungjawab mempengaruhi ketentuan informasi
Organisasi dan garis wewenang untuk akutansi, pengauditan, dan fungsi system
informasi
Ukuran dan jenis aktivitas perusahaan

Untuk itu berdasarkan aspek-aspek penting dalam struktur organisasi, harusnya staff
internal audit bertanggungjawab langsung kepada komite audit bukan ke wakil presiden
keuangan.

e. Anda mencatat bahwa seluruh otoritas manajemen tampaknya berada pada tiga
bersaudara, yang bertindak sebagai CEO, presiden, dan wakil presiden keuangan.

MASALAH:
Dominasi organisasi manajemen oleh satu atau beberapa individu merupakan aspek
filosofi dan gaya pengoperasian manajemen dandapat mengindikasikan masalah pada
lingkungan internal.Mungkin akan ada potensi dari kelompok kecil ini untuk menimpa
sistem pengendalian internal.

SOLUSI:
Dalamkondisiotoritasmanajemen yang dijalankan oleh keluarga, sangat penting
mengevaluasi situasi seperti ini dengan hati-hati untuk menentukan apakah terdapat
kelemahan dalam pengendalian internal.

f. Anda diberitahu bahwa kinerja divisi dan manager departemen dievaluasi secara
subjektif, karena manajemen Go Go percaya bahwaprosedur evaluasi kinerjaformal
kontraproduktif.
 MASALAH:
Hal ini mungkinmenunjukkan adanyamasalah dalam standar sumber daya manusia
manajemen dan pemantauan kinerja mereka. Metode evaluasi subjektif sering tidak
efektif dalam mendeteksi masalah atau dalam mengidentifikasi kinerja yang baik.

SOLUSI:
Sangat penting mengevaluasi situasi seperti ini dengan hati-hati untuk menentukan
apakah terdapat kelemahan dalam pengendalian internal. Harusnya evaluasi dilakukan
secara objektif dan dilakukan secara periodic untuk mengetahui kekuatan dan kelemahan
mereka.

g. Anda mempelajari bahwa perusahaan telah melaporkan peningkatan dalam pendapatan

per saham dalam kurun waktu 25 kuartal; Namun, pendapatan selama kuartal terakhir
telah mendatar dan bisa menurun.

MASALAH:
Filosofi dan gaya operasi manajemen, serta komitmen mereka terhadap integritas dan
nilai-nilai etika, dapat diuji ketika sebuah perusahaan menghadapi penurunan laba. Ketika
laba per saham menurun atau ketika mereka tidak memenuhi harapan, sahamperusahaan
dapat terjun bebas bahkan terkadang turun dengan sangat signifikan. Akibatnya,
perusahaan berusaha untuk menghin dari penurunan laba bila memungkinkan.
Masalahnya akan muncul dan akan dipertanyakan ketika manajemen berusaha untuk
menopang pendapatan mereka.

SOLUSI:
Karena banyaknya kasus penipuan yang telah dilakukan oleh beberapa perusahan dengan
cara penggelembungan pendapatan, jika nantinya perusahaan berusaha menopang
pendapatan mereka, hal ini nantinya harus diselidiki dan harus bersikap lebih skeptic
serta dapat ditandai dengan red flags.

h. Anda meninjau kebijakan dan prosedur manual perusahaan, yang terdaftar kebijakan
untuk berurusan dengan pelanggan, vendor, dan karyawan.

MASALAH:
Salah satu metode untuk menempatkan wewenang dan tanggung jawab adalah kebijakan
dan prosedur manual tertulis dan komprehensif. Go-Go memiliki kebijakan dan prosedur
manual tertulis, tetapi tidak lengkap. Hal ini terbatas hanya tiga bidang: kebijakan untuk
menangani pelanggan, vendor, dan karyawan.

SOLUSI:
Sebuah kebijakan dan prosedur manual harus berisi lebih dari apa yang ditunjukkan.
Kebijakan dan prosedur manual harus menjelaskan praktek-praktek bisnis yang tepat,
menggambarkan pengetahuan dan pengalaman yang diperlukan oleh personil kunci,
menjelaskan proedur dokumen, menjelaskan cara menangani transaksi, dan mendata
sumber daya yang disediakan untuk melaksanakan tugas-tugas tertentu. PedomanIni
 dapat menyertakan bagan, salinan formulir serta dokumen.Hal ini sangat penting untuk
mengidentifikasisi apa yang bertanggung jawab untuk kebijakan keamanan informasi
perusahaan.

i. Penilaian awal Anda adalah bahwa sistem akuntansi dirancang dengan baik dan mereka
menerapkan prosedur pengendalian internal yang efektif

MASALAH:
Meskipun kita percaya bahwa sistem akuntansi yang dirancang dengan baik, dan mereka
telah menerapkan prosedur pengendalian internal yang efektif, namun kita tidak dapat
bergantung pada keyakinan itu.

SOLUSI:
Kita tidak dapat mengandalkan prosedur pengendalian internal yang efektif, untuk itu kita
harus melakukan pengujian atas prosedur pengendalian internal perusahaan. Adapun hal-
hal yang dapat dilakukan dalam pengujian prosedur pengendalian internal terhadap
system akuntansi antara lain:
1. Pengelolaan Akses
Akses fisik ke perangkat keras teknologi sistem informasi dilindungi secara
memadai.
Keamanan sistem telah dikonfigurasikan secara memadai.
Hak akses yang besar hanya diberikan kepada pengguna yang berwenang.
Keamanan password telah dikonfigurasikan secara memadai.
Pengawasan dilakukan terhadap hak akses yang telah diberikan kepada
pengguna.
Permintaan hak akses pengguna telah disetujui oleh pihak-pihak yang
berwenang.
Pemisahan tugas-tugas yang menimbulkan konflik kepentingan diterapkan
dalam pengelolaan akses (pemohon hak akses merupakan individu yang terpisah
dari tugas pembuatan hak akses di dalam sistem).

2. Operasi Komputer
Backup terhadap data finansial dan pengujian terhadap kemampuan restore data
dari medium backup telah dilakukan.

j. Beberapa karyawan mengeluh bahwa beberapa manajer terkadang bertentangan dengan

instruksi dari manajer lain terkait prosedur keamanan data yang tepat.

MASALAH:
Tidak ada batasan yang jelas ataswewenang dan tanggung jawab untuk kebijakan dan
prosedur keamanan data.
 SOLUSI:
Memiliki keamanan serta kontrol yang memadai atas data organisasi harus menjadi
prioritas bagi manajemen puncak. Sebuah struktur organisasi perusahaan harusnya
memberikan sebuah kerangka untuk operasi perencanaan, pelaksanaan, pengendalian,
dan pengawasan. Manajemen harus memastikan para pegawai untuk dapat memahami
sasaran dan tujuan entitas, menetapkan wewenang dan tanggung jawab baik untuk
departemen maupun individu untuk mencapai tujuan bisnis, seperti halnya keamanan
data. Wewenang dan tanggung jawab ditetapkan dan dikomunikasikan dengan
menggunakan deskripsi pekerjaan formal, pelatihan karyawan, jadwal pengoperasian,
anggaran, kode etik, serta kebijakan dan prosedur tertulis.

k. Setelah tinjauan yang teliti terhadap anggaran untuk proyek-proyek peningkatan

keamanan data, Anda merasa anggaran tampaknya memadai.

MASALAH:
Tidak ada masalah mengenai anggaran untuk proyek-proyek dalam rangka peningkatan
keamanan data karena dinilai telah memadai. Hal ini menunjukkan bahwa perusahaan
telah mengalokasikan anggaran dengan baik.

l. Proyek firewall jaringan yang meningkat menunjukkan jadwal implementasi yang sangat
agresif. Manajer TI menyebutkan bahwa meskipun ia mengerahkan semua personil dalam
proyek ini selama lima minggu ke depan, ia masih belum dapat menyelesaikan proyek
dengan tepat waktu. Manajer telah mengatakan hal ini kepada manajemen perusahaan,
yang tampaknya tidak ingin memodifikasi jadwal.

MASALAH:
Jadwal pelaksanaan firewall tidak layak.

SOLUSI:
Filosofi manajemen dan gaya pengoperasian harus dievaluasi secara cermat. Apakah
manajemen mengambil risiko bisnis yang tidak semestinya untuk mencapai tujuannya?
Apakah manajemen menekan para pegawainya untuk mencapai hasil yang diinginkan
terlepas dari metode yang digunakan untuk mencapai tujuan tersebut?

m. Beberapa karyawan baru memiliki kesulitan dalam menyelesaikan tugas mereka, dan
sepertinya mereka tidak tahu siapa yang dapat dimintai pertolongan.

MASALAH:
Pelatihan karyawan dan dukungan tampaknya agak lemah. Perusahaan yang meremehkan
pelatihan cenderung memiliki lebih banyak penipuan dan pelanggaran. Jika karyawan
tidak tahu siapa yang dapat dimintai pertolongan, berarti struktur organisasi perusahaan
dan metode dalam menetapkan wewenang dan tanggung jawab tampaknya kurang atau
tidak dapat dijelaskan.

SOLUSI:
Standar sumberdaya manusia yang baik itu harus dapat mengembangkan sumberdaya
 yang ada. Program pelatihan seharusnya diberikan kepada karyawan baru. Program
pelatihan dapat mengajarkan karyawan baru akan tanggung jawab mereka, tingkat kinerja
dan perilaku yang diharapkan, serta kebijakan dan prosedur, budaya, dan gaya
pengoperasian perusahaan. Program pelatihan dapat dilakukan melalui diskusi, training,
sharing knowledge. Pelatihan yang berkelanjutandapatmembantu para
karyawandalammenghadapitantangan-tantanganbaru, tetap berada dalam persaingan,
serta dapat beradaptasi dalam perubahan baik lingkungan maupun teknologi.

n. Strategi Go-Go adalah untuk mencapai pertumbuhan yang konsisten bagi pemegang
sahamnya. Namun, kebijakannya adalah tidak untuk berinvestasi dalam proyek apapun
kecuali payback periode pengembaliannya tidak lebih dari 48 bulan dan menghasilkan
tingkat pengembalian internal yang melebihi biaya modal sebesar 3%.

MASALAH:
Risk appetite atau selera resiko Go-Go Corp terlihat cukup agresif, tetapi tampaknya
didasarkan pada prinsip-prinsip penganggaran biaya modal yang solid. Oleh karena itu,
strategi ini tampaknya tidak menjadi masalah.

o. Anda mengamati bahwa agen pembelian perusahaan mengenakan pakaian dan

perlengkapan lainnya yang menunjukkan itu dari vendor besar. Manajer departemen
pembelian dengan bangga memajang foto dirinya yang memegang seekorikan besar di
atas dek kapal pemancingan mewah yang memiliki logo sebuah vendor Go-Go yang
besar tergambarkan di ruang kemudi nya.

MASALAH:
Hadiah dari vendor dapat terlalu mempengaruhi pembelian agen untuk membeli lebih
banyak barang dari vendor-vendor yang memberikan hadiah. Keputusan pembelian harus
terbebas dari hal semacam ini.

SOLUSI:
Bagian dari filosofi dan gaya operasi manajemenharus menciptakan budaya organisasi
yang menekankan integritas dan komitmen terhadap nilai-nilai etika dan kompetensi.
Dengan demikian, manajemen harus jelas menyatakan standar sumber daya manusia serta
kebijakan yang secara eksplisit menggambarkan perilaku jujur dan tidak jujur. Salah satu
dari kekuatan pengendalian terbesar adalah kejujuran. Kebijakan SDM dan praktik-
praktik yang mengatur kondisi kerja, insentif pekerjaan, dan kemajuan karir dapat
menjadi kekuatan dalam mendorong kejujuran, efisiensi, serta loyalitas.

Daftar Pustaka

http://evilyanitribuana.blogspot.co.id/2014/11/internal-control-menurut-coso-dan-cobit.html
Source : http://davisrockers89.blogspot.com/2013/01/cobit-control-ojective-for-information.html
sumber: http://bismodhanu.blogspot.com/2013/01/apa-itu-coso-dan-cobid.html