Strategi ini juga harus dapat beradaptasi dengan perkembangan teknologi informasi saat ini yang

dapat menimbulkan peluang dan hambatan dimasa yang akan datang.

IT Strategy memiliki fokus pada area dimana perubahan sangat diperlukan berdasar pada
kebutuhan bisnis atau focus pada peluang-peluang baru yang muncul karena adanya kemajuan dan
perubahan pada teknologi, pengalaman atau juga kemampuan.
Risk and HiddenCosts
Shirking:Vendor dengan bebas melakukan kinerja yang buruk sementaramengklaim
pembayaran penuh
Poaching:Vendor mengembangkan aplikasi strategis untuk klien dan kemudian
menggunakannya untuk klien lainnya.
Opportunistic repricing: Saat klien menyetujui kontrak jangka panjang dengan vendor, vendor
merubah informasi keuangan dibeberapa poin atau tambahan biaya untuk peningkatan tak
terduga dan perpanjangankontrak

Tipe pekerjaan yangtidak siap melakukan ofshore

Pekerjaan yang belum dirutinkan
Bekerja bahwa jika ofshore akan mengakibatkan perusahaanklien kehilangan terlalu banyak
kontrol atas operasi kritis
Situasi di manaofshoringakan menempatkan perusahaanklien pada risiko yang terlalu besar
untuk keamanan data, datapribadi, atau kekayaan intelektual
Kegiatan usaha yang mengandalkan kombinasi tidak umumpada aplikasi domain pengetahuan
yang spesifk danpengetahuan IT untuk melakukan pekerjaan dengan benar

IT Vendor Relationships
Terdapat 2Kriteria saat memilih Vendor
Pengalaman dengan sistem yang sangat miripdengan ukuran yang sama, ruang lingkup,
danpersyaratan
Pengalaman dengan sistem yang sangat miripdengan ukuran yang sama, ruang lingkup,
danpersyaratan

1. Pengertian sistem pengendalian internal

Pengendalian internal adalah rencana organisasi dan metode bisnis yang dipergunakan
untuk menjaga aset, memberikan informasi yang akurat dan andal, mendorong dan memperbaiki
efisiensi jalannya organisasi, serta mendorong kesesuaian dengan kebijakan yang telah
ditetapkan.

Mengapa Sistem pengendalian internal penting?

Faktor-faktor yang menyebabkan makin pentingnya sistem pengendalian internal antara lain;
a. Perkembangan kegiatan dan skalanya menyebabkan kpmleksitas struktur,sistem, dan prosedur
suatu organisasi semakin rumit.
b. Tanggungjawab utama untuk melindungi aset organisasi, mencegah dan menemukan kesalahan-
kesalahan serta kecurangan terletak pada manajemen, sehingga manajemen harus mengatur
sistem pengendalian intern yang sesuai untuk memenuhi tanggungjawab tersebut.
c. Pengawasan oleh lebih dari satu orang merupakan cara yang tepat untuk menutup kekurangan
yang bisa terjadi pada manusia.
d. Pengawasan yang built in langsung pada sistem berupa pengendalian intern yang baik
dianggap lebih tepat daripada pemeriksaan secara langsung dan detail oleh pemeriksa
(khususnya yang berasal dari luar organisasi.
Dalam mendesain sistem pengendalian intern langkah yang peru dilaksanakan adalah :
a. Pengalaman yang lalu mengenai kejadian kejadian kesalahan sebagai dsar penetapan risiko
yang perlu ditanggung
b. Pertimbangan manajemen sebarapa jauh pihak pimpinan peduli akan keinginan dan tujuan
yang ingin dicapai
c. Menetapkan tujuan dari sistem pengendalian intern itu sendiri, sejauh mana pertimbangan
risiko-kontrol yang hendak dicapai
d. Menetapkan sistem pengendalian yang bersifat umum maupun khusus berlaku untuk unit
tertentu. Dengan demikian kontrol di desain karena adanya risiko, dan tingkat risiko itulah yang
menentukan sistem pengendalian internal

2. COSO
COSO adalah singkatan dari Comitte of Sponsoring Organization of treadway
Commision, yaitu suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan
utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan
keuangan dan membuat rekomendai untuk pengendalian, standar, dan kriteria internal yang dapat
digunakan perusahaan untuk menilai sistem pengendalian mereka.
COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional, antara
lain : American Institute of Certified Public Accountant (AICPA), American Accounting
Association (AAA),Financial Excecutives Institute (FEI), The Institute of Internal Auditor (IIA)
dan The Institute of Management Accountant (IMA)
Meskipun disponsori oleh 5 profesional association, pada dasarnya komisi ini bersifat
independen dan orang-orang yang berada didalamnya berasal dari berbagai kalangan: industri,
akuntan publik, bursa efek, dan investor
Model COSO adalah salah satu model pengendalian internal yan banyak digunakan oleh
para auditor sebagai dasar untuk mengevaluasi, dan mengembangkan pengendalian internal.
Menurut model COSO, internal control adalah suatu proses, melibatkan seluruh anggota
organisasi, dan memiliki tiga tujuan utama, yaitu efektifitas dan efisiensi operasi, mendorong
kehandalan laporan keuangan, dan dipatuhinya hukum dan peraturan yang ada.
 Menurut COSO framework, internal control terdiri dari lima komponen yang saling
terkait, yaitu:
a. Control enviroment
b. Risk assessment
c. Control activities
d. Information and communication
e. Monitoring
Pada tahun 2004,COSO mengeluarkan report enterprise risk management integrated
framework sebagai penembangan COSO framework diatas. Dijelaskan ada 8 komponen dalam
enetrprise risk management, yaitu :
Internal enviroment
Objective setting
Event identification
Risk assessment
Risk response
Control activities
Information and communication
Monitoring

3 . COBIT
COBIT adalah a set of best practices (framework) bagi pengelolaan teknologi
informasi.COBIT adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat
membantu auditor, pengguna, dan manajemen untuk menjembatani gap antara risiko bisnis,
kbutuhan control dan masalah-masalah teknis IT.
COBIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk
manajemen TI yang mencakup 4 domain:
a. Perencanaan dan organisasi
Mencakup pembahasan tentang identifikasi dan strategi investasi TI yang dapat memberikan
yang terbaik untuk mencapai tujuan bisnis. Kemudian direncanakan, dikomunikasikan, dan
diatur pelaksanaannya dari berbagai perspektif.
b. Perolehan dan implementasi
Yaitu untuk merealisasikan strategi TI perlu diatur kebutuhan TI. Diidentifikasi, dikembangkan,
atau diimplementasikan secara terpadu dalam proses bisnis organisasi.
c. Penyerahan dan pendukung
Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap kegiatan
operasional bisnis
d. Monitoring
Yaitu semua proses TI yang perlu dinilai secara berkala agar kualitas dan tujuan dukungan TI
tercapai, dan kelengkapannya berdasarkan pada syarat kontrol internal yang baik.
Coso framework
Kepanjangan dari COSO adalah Committee of Sponsoring Organizations of the Treadway
Commission. COSO ini dibuat oleh sektor swasta untuk menghindari tindak korupsi yang sering
terjadi di Amerika pada tahun 1970-an. COSO terdiri atas 5 komponen:
1. Control environment
Tindakan atau kebijakan manajemen yang mencerminkan sikap manajemen puncak secara
keseluruhan dalam pengendalian manajemen. Yang termasuk dalam control environment:
- Integrity and ethical values (integritas dan nilai etika)
- Commitment to competence (komitmen terhadap kompetensi)
- Board of Directors and audit committee (dewan komisaris dan komite audit)
- Managements philosophy and operating style (filosofi manajemen dan gaya mengelola
operasi)
- Organizational structure (struktur organisasi)
- Human resource policies and procedures (kebijakan sumber daya manusia dan prosedurnya)
2. Risk assessment
Tindakan manajemen untuk mengidentifikasi, menganalisis risiko-risiko yang relevan dalam
penyusunan laporan keuangan dan perusahaan secara umum. Yang termasuk dalam risk
assessment:
- Company-wide objectives (tujuan perusahaan secara keseluruhan)
- Process-level objectives (tujuan di setiap tingkat proses)
- Risk identification and analysis (indentifikasi risiko dan analisisnya)
- Managing change (mengelola perubahan)
3. Control activities
Tindakan-tindakan yang diambil manajemen dalam rangka pengendalian intern. Yang termasuk
control activities:
- Policies and procedures (kebijakan dan prosedur)
- Security (application and network) > (keamanan dalam hal aplikasi dan jaringan)
- Application change management (manajemen perubahan aplikasi)
- Business continuity or backups (kelangsungan bisnis)
- Outsourcing (memakai tenaga outsourcing)
4. Information and communication
Tindakan untuk mencatat, memproses dan melaporkan transaksi yang sesuai untuk menjaga
akuntablitas. Yang termasuk komponen ini adalah sebagai berikut.
- Quality of information (kualitas informasi)
- Effectiveness of communication (efektivitas komunikasi)
5. Monitoring
Peniilaian terhadap mutu pengendalian internal secara berkelanjutan maupun periodik untuk
memastikan pengendalian internal telah berjalan dan telah dilakukan penyesuian yang diperlukan
sesuai kondisi yang ada. Yang termasuk di dalam komponen ini, yakni:
- On-going monitoring (pengawasan yang terus berlangsung)
- Separate evaluations (evaluasi yang terpisah)
- Reporting deficiencies (melaporkan kekurangan-kekurangan yang terjadi)

Definisi Pengendalian Internal versi COSO

Oleh Aswin Wahab / Selasa 12 Februari 2013 / Tanggapi?
Sistem pengendalian internal merupakan suatu proses yang melibatkan dewan komisaris,
manajemen, dan personil lain, yang dirancang untuk memberikan keyakinan memadai tentang
pencapaian tiga tujuan.

COSO memandang pengendalian internal merupakan rangkaian tindakan yang mencakup

keseluruhan proses dalam organisasi
Committee of Sponsoring Organization of The Treadway Commission (COSO) pada tahun 1992
mengeluarkan definisi tentang pengendalian internal. Definisi COSO tentang pengendalian intern
sebagai berikut: Internal control is process, affected by entilitys board of directors,
management and other personnel, designed to provide reasonable assurance regarding the
achievement of objectives in the following categories:
Effectiveness and efficiency of operations
Realibillty of Financial Reporting
Compliance with Applicable laws and regulations
Atau terjemahan bebasnya adalah sebagai berikut : sistem pengendalian internal merupakan
suatu proses yang melibatkan dewan komisaris, manajemen, dan personil lain, yang dirancang
untuk memberikan keyakinan memadai tentang pencapaian tiga tujuan berikut ini:
Efektivitas dan efisiensi operasi
Keandalan pelaporan keuangan
Kepetuhan kerhadap hukum dan peraturan yang berlaku).
COSO memandang pengendalian internal merupakan rangkaian tindakan yang mencakup
keseluruhan proses dalam organisasi. Pengendalian internal berada dalam proses manajemen
dasar, yaitu perencanaan, pelaksanaan, dan pemantauan.
Pengendalian bukanlah sesuatu yang ditambahkan dalam proses manajemen tersebut, akan tetapi
merupakan bagian integral dalam proses tersebut.
 Komponen pengendalian intern menurut COSO adalah :
1. Lingkungan pengendalian (control environment). Faktor-faktor lingkungan pengendalian
mencakup integritas, nilai etis, dan kompetensi dari orang dan entitas, filosofi manajemen dan
gaya operasi, cara manajemen memberikan otoritas dan tanggung jawab serta
mengorganisasikan dan mengembangkan orangnya, perhatian dan pengarahan yang diberikan
oleh board.
2. Penaksiran risiko (risk assessment). Mekanisme yang ditetapkan untuk mengindentifikasi,
menganalisis, dan mengelola risiko-risiko yang berkaitan dengan berbagai aktivitas di mana
organisasi beroperasi.
3. Aktivitas pengendalian (control activities). Pelaksanaan dari kebijakan-kebijakan dan prosedur-
prosedur yang ditetapkan oleh manajemen untuk membantu memastikan bahwa tujuan dapat
tercapai.
4. Informasi dan komunikasi (informasi and communication). Sistem yang memungkinkan orang
atau entitas, memperoleh dan menukar informasi yang diperlukan untuk melaksanakan,
mengelola, dan mengendalikan operasinya.
5. Pemantauan (monitoring). Sistem pengendalian internal perlu dipantau, proses ini bertujuan
untuk menilai mutu kinerja sistem sepanjang waktu. Ini dijalankan melalui aktivitas pemantauan
yang terus-menerus, evaluasi yang terpisah atau kombinasi dari keduanya.

Definisi Pengendalian Internal menurut COBIT

COBIT mengadopsi definisi pengendalian dari COSO yaitu : Kebijakan, prosedur, dan praktik, dan
struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi
dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki. Sedangkan
COBIT mengadaptasi definisi tujuan pengendalian (control objective)dari SAC yaitu : Suatu pernyataan
atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur
pengendalian dalam aktivitas IT tertentu.
Komponen tujuan pengendalian (control objectives) COBIT ini terdiri atas 4 tujuan pengendalian tingkat-
tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu : planning &
organization , acquisition & implementation ,delivery & support , dan monitoring.
Ringkasan Konsep Pengendalian Internal COBIT dilihat dari berbagai sudut pandang
Pengguna Utama
COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :
Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi pengendalian dalam
sebuah lingkungan IT yang sering tidak dapat diprediksi.
User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh
pihak internal atau pihak ketiga.
Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk memberikan saran kepada
manajemen atas pengendalian internal yang ada.
Tujuan Pengendalian Internal bagi Organisasi
Operasi yang efektif dan efisien
Keefektifan berkenaan dengan informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis
yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten, dan bermanfaat. Sedangkan
keefisienan berkaitan dengan penyediaan informasi melalui sumber daya (yang paling produktif dan
ekonomis) yang optimal.
Kerahasiaan
 Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak berwenang.
Integritas
Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai nilai-nilai dan
harapan bisnis.
Ketersedian Informasi
Berkaitan dengan informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik sekarang
maupun di masa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang perlu dan
kemampuan yang terkait.
Pelaporan keuangan yang handal
Berkaitan dengan pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan
dan juga pemenuhan kewajiban mereka untuk membuat pelaporan keuangan.
Ketaatan terhadap ketentuan hukum dan peraturan
Terkait dengan pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian kontrak, dimana
dalam hal ini proses bisnis dipandang sebagai suatu subjek.
Domain
1. Planning and organization
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara maksimal
dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu
direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah
pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya.
2. Acquisition dan implementation
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan
sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus
berlangsung untuk sistem-sisteem ini.
3. Delivery and Support
Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup
area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses
dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses
dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.
4. Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan
atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses
pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun
eksternal atau diperoleh dari sumber-sumber anternatif lainnya.
Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:
Control Objectives : Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives )
yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition &
implementation , delivery & support , dan monitoring .
Audit Guidelines : Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control
objectives ) untuk membantu para auditor dalam memberikanmanagement assurance dan/atau saran
perbaikan.
Management Guidelines : Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang
mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang
dihasilkannya.
Apa saja indikator untuk suatu kinerja yang bagus?
Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors )?
 Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
Bagaimana dengan perusahaan lainnya apa yang mereka lakukan?
Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.
The COBIT Framework memasukkan juga hal-hal berikut ini:
Maturity Models Untuk memetakan status maturity proses-proses TI (dalam skala 0 5) dibandingkan
dengan the best in the class in the Industry dan juga International best practices
Critical Success Factors (CSFs) Arahan implementasi bagi manajemen agar dapat melakukan kontrol
atas proses TI.
Key Goal Indicators (KGIs) Kinerja proses-proses TI sehubungan dengan business requirements
Key Performance Indicators (KPIs) Kinerja proses-proses TI sehubungan denganprocess goals.
Satu dari prinsip dalam COBIT 5 ini adalah pembedaan yang dibuat antara tata kelola (governance) dan
pengelolaan (management). Selaras dengan prinsip ini, setiap organisasi diharapkan untuk melaksanakan
sejumlah proses tata kelola dan sejumlah proses pengelolaan untuk menyediakan tata kelola dan
pengelolaan enterprise IT yang komprehensif.
Ketika mempertimbangkan proses untuk tata kelola dan pengelolaan dalam konteks enterprise,
perbedaan antara jenis-jenis proses tergantung kepada tujuan dari proses tersebut, antara lain :
1. Proses tata kelola berhubungan dengan tujuan tata kelola, yaitu value delivery; manajemen resiko
dan penyeimbangan sumber daya; serta termasuk praktik dan aktivitas yang dituju sesuai evaluasi
pilihan strategis yang menyediakan arahan kepada IT dan memantau outcome (hal ini sesuai dengan
konsep standar ISO 38500).
2. Selaras dengan definisi pengelolaan, praktik dan aktivitas dari proses pengelolaan (management
process) melingkupi tanggung jawab area perencanaan, pembangunan, pelaksanaan, dan pemantauan
dari enterprise IT. Proses pengelolaan juga menyediakan cakupan end-to-end dari IT.
Walau outcome kedua jenis proses berbeda dan dimaksudkan untuk audience yang berbeda, secara
internal, contohnya dari konteks prosesnya sendiri, semua proses membutuhkan aktivitas perencanaan,
pembangunan (atau implementasi), eksekusi, dan pemantauan.
COBIT 5 tidaklah menentukan tetapi dari penjelasan di atas jelas bahwa COBIT 5 mendukung organisasi
mengimplementasi proses tata kelola dan pengelolaan pada area yang dicakupi seperti yang dijelaskan
pada gambar di bawah.
Dalam teorinya, perusahaan dapat mengorganisasi prosesnya apabila memungkinkan selama tujuan dasar
tata kelola dan pengelolaan tercakupi. Perusahaan kecil memiliki proses yang lebih sedikit sedangkan
perusahaan yang lebih besar atau rumit memiliki proses yang banyak. Semuanya mencakupi tujuan yang
sama. Meskipun begitu, COBIT 5 juga menyertakan sebuah model referensi proses yang mendefinisikan
dan menjelaskan secara rinci sejumlah proses tata kelola dan pengelolaan. Model referensi proses
merepresentasikan semua proses yang secara normal ditemukan dalam sebuah perusahaan yang
berhubungan dengan kegiatan IT dengan demikian menyediakan sebuah model referensi umum yang
dapat dimengerti untuk manajer bisnis dan It yang beroperasi dan juga auditor maupun penasehat.
Menggabungkan model operasional dan membuat sebuah bahasa umum untuk semua bagian bisnis yang
terlibat dalam kegiatan IT merupakan salah satu hal yang paling penting dan langkah kritis menuju tata
kelola yang baik (good governance). Selain itu, model referensi proses menyediakan kerangka kerja untuk
mengukur dan memantau kinerja IT, mengomunikasikan dengan penyedia layanan, serta menyatukan
praktik-praktik pengelolaan terbaik.

PENDAHULUAN
Pengendalian (controlling) merupakan salah satu fungsi manajemen dalam mencapai tujuan organisasi, yang
merupakan manifestasi dari usaha manajemen untuk mengurangi resiko kerugian dan penyimpangan dalam suatu
organisasi. Pengendalian Internal yang efektif merupakan salah satu faktor kunci dalam kesuksesan sebuah
organisasi. Dalam pengendalian intern yang efektif, manajemen dan segenap anggota organisasi yang lain akan
memiliki tingkat keyakinan yang memadai dalam mencapai tujuan dan sasaran suatu organisasi. Dimana dengan
adanya sistem pengendalian intern yang efektif, dapat membantu dalam mencapai tujuan organisasi yang antara
lain dalam hal efisiensi, mengurangi resiko kerugian, dan menghasilkan suatu laporan keuangan yang andal dan
sesuai dengan hukum dan peraturan yang berlaku.
Dengan semakin dominannya penggunaan komputer dalam membantu kegiatan operasional diberbagai
perusahaan, maka diperlukan standar-standar yang tepat sebagai alat pengendali internal untuk menjamin bahwa
data elektronik yang diproses adalah benar. Sehingga data elektronik tersebut menghasilkan pelaporan keuangan
perusahaan yang dapat dipertanggungjawabkan.
Dalam perkembangannya terdapat banyak standar-standar control yang muncul akibat berbagai latar belakang yang
berbeda. Oleh karena itu, dalam paper ini akan diuraikan beberapa jenis standar kontrol EDP yaitu Committee of the
Sponsoring Organizations (COSO), COBIT, SARBOX, ISO 17799, dan BASEL II. Selanjutnya akan dibahas beberapa
perbedaan diantara kelima standar tersebut mencakup tujuan pembentukan standar dimaksud, stakeholders siapa
yang diuntungkan dan siapa yang terbebani atas penerapan standar, pengaturan yang diterapkan dalam masing-
masing standar, konsep pengendalian yang diatur dalam standard dan aspek-aspek dari standar yang paling cocok
untuk diterapkan pada pengendalian EDP di Indonesia, khususnya untuk diimplementasikan oleh Badan Usaha Milik
Negara.
COSO
The Comitte of Sponsoring Organizations of the treadway commissions (COSO) dibentuk pada tahun 1985
sebagai alinasi dari 5 (lima) organisasi professional. Organisasi tersebut terdiri dari American Accounting Association,
American Instititue of Certified Public Accountants, Financial Executives International, Instititute of Management
Accountants, dan The Institute of Internal Auditors. Koalisi ini didirikan untuk menyatukan pandangan dalam
komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud.
Pada tahun 1992, COSO menyusun dan menerbitkan internal control integrated framework yang berisi
rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern.
Kerangka ini diterima sebagai acuan umum pengendalian intern, yang penggunaannya mencakup penentuan tujuan
pengendalian pelaporan keuangan dan proses operasional dalam konteks organisasional, sehingga perbaikan dan
kontrol dapat dilakukan secara menyeluruh. Struktur pengendalian intern menurut COSO mencakup aktivitas
pengendalian terkait pengendalian dengan pemrosesan informasi yaitu pengendalian umum dan pengendalian
aplikasi.
Pada tahun 2004, COSO mengembangkan internal control integrated framework dengan menambahkan
cakupan tentang manajemen dan strategi risiko yang selanjutnya dikenal dengan pendekatan enterprise risk
management (ERM). Menurut kerangka tersebut, pengendalian intern merupakan bagian integral dari manajemen
risiko.

Tujuan Pembentukan
COSO mendefinisikan pengendalian intern sebagai, sebuah proses yang dipengaruhi oleh dewan komisaris,
manajemen dan pegawai perusahaan lainnya yang dibentuk untuk menyediakan keyakinan yang memadai/wajar
berkaitan dengan pencapaian tujuan dalam kategori berikut:
Efektifitas dan efisiensi aktivitas operasi
Kendali ini dimaksudkan untuk mendorong penggunaan yang efektif dan efisien atas sumber daya organisasi,
hal ini mencakup personil untuk mengotimalkan sasaran perusahaan. Bagian penting dari kendali ini adalah
informasi yang akurat untuk pengambilan keputusan internal.
Kehandalan pelaporan keuangan
Secara legal dan profesional manajemen bertanggungjawab untuk menyiapkan laporan keuangan bagi investor,
kreditur, dan para pemakai lainnya. Dalam rangka memenuhi tanggung jawab tersebut maka diperlukan adanya
 kendali untuk memastikan bahwa informasi tersebut disiapkan secara wajar menurut prinsip akuntansi yang
berlaku secara umum (PAYBU).
Ketaatan terhadap hukum dan peraturan yang berlaku
Konsekuensi logis dari pendirian suatu organisasi yang berorientasi publik adalah kewajiban legal, organisasi
diwajibkan untuk mematuhi aturan hukum dan berbagai peraturan yang berlaku (misal, UU Pajak dan peraturan
Bursa Efek). Kendali ini memiliki nilai penting dalam rangka memastikan bahwa oraganisasi dalam kelangsungan
telah mematuhi dan taat terhadap hukum dan peraturan tersebut.
Pengamanan aset entitas
Terkait dengan tujuan pelaporan publik manajemen, ditambahkan kategori baru yaitu pengamanan aset entitas.
Nilai penting dari kendali ini adalah mencegah terjadinya akuisisi, penggunaan atau pemindahan aset yang tidak
terotorisasi yang dapat memiliki efek material terhadap laporan keuangan.

Stakeholder
Setiap personel berperan dalam implementasi pengendalian internal perusahaan, tetapi tanggung jawab
penyedia dan pelaksana pengendalian internal adalah manajemen senior, dalam hal ini CEO dan CFO. CEO berperan
sebagai pemberi warna dan juga memberikan contoh kepada anggota lain. Sedangkan CFO dan manajemen senior
lainnya berperan dalam proses desain, implementasi dan monitoring sistem pelaporan keuangan perusahaan.
Dewan komisaris dan komite audit menyediakan, panduan dan pengawasan. Anggota dewan komisaris dan
komite audit harus objektif, mampu, dan kritis. Mereka juga harus menitikberatkan pada peran pengawasan, selain
itu mereka juga harus mengetahui lingkungan bisnis perusahaan, aktifitas pelaporan dan sistem pengendalian
internal.
Secara garis besar stakeholder atas COSO yaitu Entitas; regulator; penyusun standar; organisasi profesi;
intitusi pendidikan. Namun, pihak yang bertanggung jawab dan terbebani yaitu Dewan Komisaris, manajemen dan
pegawai lainnya, sedangkan pihak yang diuntungkan adalah entitas dan pengguna informasi.
Overview COSO
Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi
pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi.
Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut
memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang
diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:
1. Lingkungan pengendalian
2. Penilaian resiko
3. Aktifitas pengendalian
4. Informasi dan komunikasi
5. Pemantauan
I. Lingkungan Pengendalian
Lingkungan pengendalian menempatkan kualitas dalam organisasi, mempengaruhi kesadaran pengendalian
terhadap pegawainya. Hal ini juga merupakan dasar bagi komponen pengendalian internal yang lain, menyiapkan
disiplin dan struktur. Faktor lingkungan pengendalian meliputi integritas, nilai etis, gaya operasi manajemen, sistem
pelimpahan wewenang, serta proses untuk mengatur dan mengembangkan sumber daya manusia dalam organisasi.
1. Integritas dan Nilai etika
a) Ada dan diterapkannya kode etik
b) Bekerjasama dengan karyawan, pemasok dan lain-lain dengan integritas yang tinggi
c) Tekanan mencapai target yang tidak realistis dan target ini dipakai sebagai ukuran kinerja
2. Komitmen atas kompetensi
a) Deskripsi pekerjaan formal atau informal
 b) Analisis mengenai kompetensi dalam mengisi formasi pegawai
3. Dewan Komisaris/Komite Audit
a) Independen dari manajemen
b) Frekuensi dan ketepatan pertemuan dengan CFO, internal auditor maupun eksternal auditor
c) Penyediaan informasi yang penting dan tepat waktu untuk memungkinkan pemantauan atas tujuan dan
strategi manajemen, performa keuangan perusahaan dan syarat-syarat atas perjanjian penting
4. Filosofi Manajemen dan Gaya Operasi
a) Resiko bisnis yang diterima, ini bisa berbentuk risk adverse atau risk taker
b) Frekuensi pertemuan manajemen puncak dan manajemen operasi, terutama ketika beroperasi dalam
wilayah geografis yang berbeda
c) Sikap dan tindakan berkaitan dengan pelaporan keuangan termasuk juga mengenai perbedaan pendapat
atas perlakuan akuntansi yang diterima.
5. Struktur organisasi
a) Kelayakan struktur organisasi dan tersedianya jalur informasi yang layak
b) Kecukupan pembagian tanggung jawab diantara manajer
c) Kemampuan dan pengalaman manajer dalam memenuhi tanggung jawabnya
6. Kewenangan dan Tanggung Jawab
a) Pendelegasian wewenang dan tanggung jawab disesuaikan dengan keperluan pencapaian tujuan
perusahaan, peraturan yang berlaku, atau tujuan operasional
b) Kecukupan standar dan prosedur yang berkaitan dengan pengendalian, termasuk juga deskripsi pekerjaan
c) Kecukupan kuantitas dan kualitas pegawai dalam bidang akuntansi dan pemrosesan data disesuaikan
dengan kompleksitas, sifat dan ukuran entitas
7. Kebijakan dan praktek berkaitan dengan manajemen SDM
a) Adanya kebijakan dan prosedur berkaitan dengan penerimaan, pelatihan dan promosi pegawai
b) Untuk kasus yang tidak sesuai dengan kebijakan yang berlaku, maka prosedurnya harus diulang
c) Kecukupan pengecekan mengenai latar belakang pegawai
d) Kecukupan kriteria promosi dan teknik-teknik pengumpulan informasi berkaitan dengan kode etik pegawai
II. Penilaian Risiko
Setiap organisasi dalam mencapai tujuannya menghadapi berbagai macam risiko baik eksternal maupun internal.
Resiko ini bermacam-macam dilihat dari dampak ataupun tingkat keseringan terjadinya, misalkan resiko kebakaran
tentu berbeda dengan resiko pencurian dana kas di cash register tentu berbeda dampak dan frekuensi terjadinya.
Penilaian risiko merupakan tindakan yang penting untuk menentukan pengelolaan risiko.
Aspek-aspek penilaian resiko adalah sebagai beikut:
1. Tujuan
Tujuan entitas dapat bersifat eksplisit atau implisit, biasanya tercermin dalam misi atau nilai entitas. Lebih
spesifik lagi, tujuan terdapat dalam rencana strategis perusahaan yang merupakan tujuan tingkat entitas. Tujuan ini
kemudian dikaitkan dengan tujuan tingkat aktifitas. Kategori tujuan terdiri dari :
a) Tujuan operasi, memasukkan unsur efektif dan efisien termasuk juga tujuan kinerja dan tujuan laba dan
pengamanan terhadap sumber daya
b) Tujuan pelaporan keuangan, yang menitikberatkan pada penyusunan laporan keuangan yang andal sesuai
dengan standar
c) Tujuan Kepatuhan, yang menitikberatkan pada ketaatan kepada hukum dan peraturan yang berlaku
2. Identifikasi dan analisa resiko
Identifikasi dan analisa resiko harus bisa mencakup semua resiko yang signifikan dalam pencapaian tujuan.
Proses identifikasi dan analisa resiko biasanya berulang-ulang dan terintegrasi dalam proses perencanaan.
a. Resiko tingkat entitas
 Resiko ini bersumber dari internal dan eksternal perusahaan, entitas harus bisa mendeteksi resiko semacam ini,
berikut resiko-resiko entitas baik internal maupun eksternal :
b. Resiko tingkat aktifitas
Semua aktifitas yang signifikan harus diidentifikasikan resiko yang mungkin timbul. Resiko aktifitas sendiri
mungkin signifikan atau tidak, relevan atau tidak. Dalam identifikasi dan analisis resiko penting untuk
memperhatikan dampak yang ditimbulkan resiko dan frekuensi resiko terjadi.
3. Manajemen perubahan
Setiap entitas harus mempunyai sebuah prosedur, baik formal atau informal, untuk mengidentifikasikan kondisi-
kondisi yang menghalangi kemampuan perusahaan dalam mencapai tujuannya. Mekanisme ini harus mampu
mengantisipasi perubahan yang signifikan untuk dapat menghindari masalah atau memanfaatkan peluang yang
muncul dari perubahan itu.
III. Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang memastikan arahan manajemen dilaksanakan. Aktivitas
pengendalian terjadi di seluruh bagian organisasi, baik pada berbagai tingkatan maupun berbagai fungsi yang
meliputi otorisasi, verifikasi, rekonsiliasi, review kinerja operasi, keamanan aset, pemisahan wewenang dan
tanggung jawab. Aktifitas pengendalian dapat bersifat preventif atau detektif, manual atau otomatis, atau review
manajemen.
Aspek-aspek aktifitas pengendalian:
A. Prosedur dan Kebijakan
Kebijakan berfungsi menetapkan apa yang harus dilakukan sedangkan prosedur adalah tindakan personel untuk
menjalankan kebijakan. Keduanya membantu memastikan bahwa arahan manajemen mengenai resiko dijalankan.
Kebijakan dan prosedur dapat dibagi menjadi 3 kategori yaitu operasi, pelaporan keuangan dan ketaatan.
Berbagai jenis pengendalian dapat diterapkan untuk memastikan bahwa tujuan akan terpenuhi. Aktifitas
pengendalian dapat diklasifikasikan menjadi :
1. Pengendalian preventif
2. Pengendalian detektif
3. Pengendalian manual
4. Pengendalian otomatis
5. Pengendalian manajemen
B. Sistem pengendalian Informasi
Terdiri dari 2 macam pengendalian yaitu : pengendalian umum dan pengendalian khusus. Pengendalian ini
berlaku baik bagi mainframe ataupun komputer pengguna.
1. Pengendalian umum
a. Operasi pusat data, meliputi tindakan backup, pengesetan dan pengecekan komputer, dan tindakan-
tindakan kontijensi ketika terjadi bencana atas pusat data
b. Software sistem, pengendalian atas perolehan, penggunaan dan perawatan software baik sistem operasi
maupun software pendukung lainnya termasuk software keamanan, basis data dan yang lain.
c. Keamanan akses, semua akses ke sistem harus diotorisasi yang dapat berupa id khusus dengan password
atau nomor-nomor tertentu
d. Metodologi pengembangan sistem, mencakup desain sistem dan implementasi sistem, fase-fase
pengembangan, dokumentasi yang diharuskan, pengesahan dan pengujian untuk menekan biaya
pengembangan sistem
2. Pengendalian aplikasi
Pengendalian aplikasi didesain untuk memastikan kelengkapan dan akurasi pemrosesan transaksi, otorisasi dan
validasi. Dalam banyak kasus, pengecekan komputer dapat mencegah terjadinya kesalahan dan mendeteksi
serta mengkoreksi kesalahan.
 Pengendalian umum diperlukan untuk mendukung pelaksanaan pengendalian aplikasi, sedangkan pengendalian
aplikasi diperlukan untuk memastikan pemrosesan transaksi yang akurat dan lengkap.
C. Pengendalian entitas khusus
Karena masing-masing entitas memiliki tujuan dan strategi masing-masing, maka aktifitas pengendalian
mungkin akan berbeda satu sama lain. Faktor-faktor yang mempengaruhi desain pengendalian internal adalah :
kemampuan dan penilaian manajemen, lingkungan dan industri beroperasinya, kompleksitas dan sifat organisasi,
penyebaran asset dan karyawan serta tingkat kerumitan operasi dan pemrosesan informasi.
IV. Informasi dan Komunikasi
Sistem informasi berperan dalam sistem pengendalian internal sebagai penghasil laporan, termasuk operasional,
finansial, dan ketaatan, sehingga memungkinkan karyawan untuk melakukan aktifitas pengendalian dan juga untuk
memperoleh informasi serta mengkomunikasikannya secara tepat waktu maupun tepat bentuknya. Ini akan
memudahkan manajemen untuk melakukan dan mengendalikan bisnis dengan efektif.
V. Pemantauan
Pemantauan (monitoring) merupakan suatu proses yang menilai kualitas dari kinerja suatu sistem dalam suatu
waktu. Sistem pengendalian internal harus dimonitor untuk mengetahui kualitas sistem pengendalian internal dari
waktu ke waktu. Ketika monitoring diatur dengan baik perusahaan cenderung diuntungkan karena perusahaan akan
dapat :
a) Mengidentifikasikan dan memperbaiki pengendalian internal pada waktu yang tepat
b) Menyediakan informasi yang lebih akurat dan dapat diandalkan untuk pengambilan keputusan
c) Menyediakan laporan keuangan yang akurat dan tepat waktu
d) Berada dalam posisi kesiapan menyatakan pendapat mengenai kemampuan pengendalian internal
Konsep Pengendalian
Beberapa konsep utama/dasar terkait dengan pengendalian intern adalah:
Tanggung jawab manajemen Manajemen yang bertanggung jawab dalam rangka mempersiapkan dan menyajikan
laporan keuangan. Oleh karena itu manajemen yang bertanggung jawab dalam menentukan dan memelihara adanya
pengendalian intern yang efektif dan handal.
Proses yang berkesinambungan Internal control bukanlah suatu kejadian tunggal, tetapi merupakan serangkaian
tindakan dan kegiatan yang meliputi operasi organisasi. Tindakan-tindakan ini melekat dalam metode yang
digunakan manajemen untuk melaksanakan operasi sehari-hari. Internal control jangan dipandang sebagai sesuatu
yang terpisah atau suatu sistem tersendiri dalam suatu bagian, tetapi lebih merupakan suatu bagian yang terpadu
dari proses bisnis yang dikelola oleh manajemen untuk mencapai tujuan organisasi. Suatu sistem internal control
yang efektif ditandai dengan pengendalian melekat pada infrastruktur suatu bagian dan bukan pengendalian yang
ditambahkan di atas infrastruktur.
Bergantung pada faktor manusia Manusia yang membuat internal control berjalan. Pimpinan pada akhirnya
bertanggung jawab untuk memelihara struktur internal control yang efektif, meskipun manajemen mencapainya
melalui pendelegasian dan kinerja dari pertanggungjawaban oleh semua pegawai dalam organisasi. Dengan
demikian para pegawai dengan jelas harus memahami tanggung jawab dan batas wewenangnya serta pengaruhnya
terhadap pencapaian efektifitas dari struktur internal control. Faktor manusialah yang mendefinisikan tujuan-tujuan
bisnis yang terukur, mengawali mekanisme internal control dan kegiatan, dan memantau seberapa bagus
pengendalian membantu dalam pencapaian tujuan-tujuan yang telah ditetapkan.
Keyakinan Yang Memadai bukan mutlak Walaupun internal control dibuat dan dilaksanakan dengan sebaik-
baiknya, internal control tidak dapat memberikan keyakian mutlak. Manajemen harus merancang dan
mengimplementasikan internal control berdasarkan perkiraan manfaat dan biaya. Pada dasarnya, internal control
hanya memberikan keyakinan yang memadai dalam mencapai tujuan. Kesalahan dalam memberikan penilaian,
kapasitas manajemen untuk menolak pengendalian, dan tindakan kolusi untuk mengelak dari pengendalian dapat
menghambat pencapaian tujuan. Namun, struktur internal control yang efektif dapat memberikan keyakinan terbaik
bahwa kejadian yang tidak diharapkan dapat diminimalkan serta tercapainya tujuan organisasi.
Pengendalian intern beroperasi pada level efektivitas yang berbeda-beda. Pengendalian Internal dapat
dinilai apakah efektif atau tidak berdasarkan 3 kriteria dimana baik dewan komisaris maupun manajemen
mempunyai jaminan yang wajar bahwa tujuan organisasi diupayakan dalam bentuk:
a. Laporan keuangan yang dipublikasikan bersifat handal
b. Hukum dan peraturan yang berlaku ditaati
Ketika pengendalian internal adalah sebuah proses, maka tingkat keefektifannya adalah keadaan pada satu saat
tertentu (bervariasi dari waktu ke waktu).
Implementasi pada BUMN
Dalam rangka meningkatkan keberhasilan usaha dan akuntabilitas perusahaan/BUMN (corporate
governance) guna mewujudkan nilai pemegang saham dalam jangka panjang dengan tetap memperhatikan
kepentingan stakeholder lainnya, berlandaskan peraturan perundangan dan nilai-nilai etika maka pemerintah
Republik Indonesia telah menerbitkan Keputusan Menteri Negara BUMN Nomor Kep-117/M-MBU/2002 tentang
Penerapan Praktek Good Corporate Governance pada Badan Usaha Milik Negara (BUMN).
Salah satu bagian penting yang diatur dalam keputusan tersebut adalah sistem pengendalian internal dari
BUMN. Pada pasal 22 KEP-117/M-MBU/2002 tersebut dinyatakan hal-hal sebagai berikut:
Ayat (1)
Direksi harus menetapkan suatu Sistem Pengendalian Internal yang efektif untuk mengamankan investasi dan aset
BUMN.
Ayat (2)
Sistem Pengendalian Internal sebagaimana dimaksud dalam ayat (1), antara lain mencakup hal-hal sebagai berikut:
a. Lingkungan pengendalian internal dalam perusahaan yang disiplin dan terstruktur, yang terdiri dari :
1. integritas, nilai etika dan kompetensi karyawan;
2. filosofi dan gaya manajemen;
3. cara yang ditempuh manajemen dalam melaksanakan kewenangan dan tanggung jawabnya;
4. pengorganisasian dan pengembangan sumber daya manusia; dan
5. perhatian dan arahan yang dilakukan oleh Direksi.
b. pengkajian dan pengelolaan resiko usaha yaitu suatu proses untuk mengidentifikasi, menganalisis, menilai dan
mengelola resiko usaha relevan.
c. aktivitas pengendalian yaitu tindakan-tindakan yang dilakukan dalam suatu proses pengendalian terhadap
kegiatan perusahaan pada setiap tingkat dan unit dalam struktur organisasi BUMN, antara lain mengenai
kewenangan, otorisasi, verifikasi, rekonsiliasi, penilaian atas prestasi kerja, pembagian tugas dan keamanan
terhadap aset perusahaan.
d. sistem informasi dan komunikasi yaitu suatu proses penyajian laporan mengenai kegiatan operasional, financial,
dan ketaatan atas ketentuan dan peraturan yang berlaku pada BUMN.
e. monitoring yaitu proses penilaian terhadap kualitas sistem pengendalian internal termasuk fungsi internal audit
pada setiap tingkat dan unit struktur organisasi BUMN, sehingga dapat dilaksanakan secara optimal, dengan
ketentuan bahwa penyimpangan yang terjadi dilaporkan kepada Direksi dan tembusannya disampaikan kepada
Komite Audit.
Berdasarkan ketentuan tersebut maka penyaji dapat memastikan bahwa kerangka kerja pengendalian
intern COSO tidak hanya aplikatif pada BUMN Indonesia, namun juga telah memiliki basis legal yang memastikan
bahwa BUMN Indonesia memiliki kewajiban baik secara professional maupun legal untuk mengadopsi dan
mengaplikasikan pengendalian intern COSO.
COBIT
Control Objectives for Information and Related Technology (COBIT) dapat definisikan sebagai alat
pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap
teknologi informasi yang dikembangkan oleh Information System Audit and Control Association (ISACA) melalui
lembaga yang dibentuknya yaitu Information and Technology Governance Institute (ITGI) pada tahun 1992.
COBIT yang pertama kali diluncurkan pada tahun 1996, mengalami perubahan berupa perhatian lebih
kepada dokumen sumber, revisi pada tingkat lebih lanjut serta tujuan pengendalian rinci dan tambahan seperangkat
alat implementasi (implementation tool set) pada edisi keduanya yang dipublikasikan pada tahun 1998. COBIT pada
edisi ketiga ditandai dengan masuknya penerbit utama baru COBIT yaitu ITGI. COBIT edisi keempat merupakan versi
terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait.

Tujuan Pembentukan
Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan mempublikasikan suatu
standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis
sehari-hari.
Dengan bahasa lain, COBIT dapat pula dikatakan sebagai sekumpulan dokumentasi best practices untuk IT
governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko
bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis melalui pengendalian terhadap masing-masing
dari 34 proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT.
COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari
COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap corporate
governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun
ketika terjadi kondisi ekonomi yang sulit.
Fokus utama COBIT adalah harapan bahwa melalui adopsi COBIT ini perusahaan akan mampu meningkatkan
nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.

Stakeholder
COBIT dirancang untuk digunakan oleh tiga pengguna berbeda yaitu :
Manajemen
Dengan penerapan COBIT, manajemen dapat terbantu dalam proses penyeimbangan resiko dan pengendalian
investasi dalam lingkungan IT yang tidak dapat diprediksi.
User
Pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan keamanan dan pengendalian
IT yang disediakan oleh pihak internal atau pihak ketiga.
Auditor
Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang dihasilkan dan/atau untuk
memberikan saran kepada manajemen atas pengendalian internal yang ada.

Overview COBIT
Secara singkat dapat COBIT memiliki kerangka kerja yang terdiri atas beberapa arahan (guidelines), yakni :
I. Control Objectives
COBIT terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives), yaitu :
1. Planning and Organization
Mencakup strategi, taktik dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi
dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan
dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur
teknologi harus di tempatkan di tempat yang semestinya. Proses dalam domain ini adalah :
Menetapkan rencana stratejik TI
Menetapkan susunan informasi
Menetapkan kebijakan teknologi
Menetapkan hubungan dan organisasi TI
Mengelola investasi IT
Mengkomunikasikan arah dan tujuan manajemen
Mengelola sumberdaya manusia
Memastikan pemenuhan keperluan pihak eksternal
Menaksir risiko
Mengelola proyek
Mengelola kualitas
2. Acquisition and Implementation
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang
ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-
sistem ini. Langkah-langkah domain ini adalah :
Mengidentifikasi solusi terotomatisasi
Mendapatkan dan memelihara software aplikasi
Mendapatkan dan memelihara infrastruktur teknologi
Mengembangkan dan memelihara prosedur
Memasang dan mengakui sistem
Mengelola perubahan
3. Delivery and Support
Domain ini berfokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area
seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan
pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan
dan juga pelatihan.
Proses dalam domain ini adalah :
Menetapkan dan mengelola tingkat pelayanan
Mengelola pelayanan kepada pihak lain
Mengelola kinerja dan kapasitas
Memastikan pelayanan yang kontinyu
Memastikan keamanan sistem
Melakukan identifikasi terhadap atribut biaya
Memberi pelatihan kepada user
Melayani konsumen IT
Mengelola konfigurasi/susunan
Mengelola masalah dan kecelakaan
Mengelola data
Mengelola fasilitas
Mengelola operasi
4. Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas
syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam
organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari
sumber-sumber anternatif lainnya. Proses dalam domai ini sebagai berikut :
Memonitor proses.
Menaksir kecukupan pengendalian internal.
Mendapatkan kepastian yang independen.
II. Audit Guidelines COBIT
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.
III. Management Guidelines COBIT
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar
dapat menjawab pertanyaan-pertanyaan berikut :
Sejauh mana TI harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang
dihasilkannya?
Apa saja indikator untuk suatu kinerja yang bagus?
Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses?
Apa saja risiko-risiko yang timbul apabila kita tidak mencapai sasaran yang ditentukan?
Apa yang dilakukan perusahaan lain?
Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya?
Kerangka kerja COBIT juga memasukkan juga hal-hal berikut ini :
1. Maturity Models Untuk memetakan status maturity proses-proses TI (dalam skala 0 - 5) dibandingkan
dengan the best in the class in the Industry dan juga International best practices.
2. Critical Success Factors (CSFs) Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas
proses TI.
3. Key Goal Indicators (KGIs) Kinerja proses-proses TI sehubungan dengan business requirements.
4. Key Performance Indicators (KPIs) Kinerja proses-proses TI sehubungan dengan process goal.

Konsep Pengendalian
COBIT mengadopsi definisi pengendalian dari COSO yaitu : Kebijakan, prosedur, dan praktik, dan struktur
organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-
hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki.
Sedangkan dalam tujuan pengendalian, COBIT mendefinisikannya sebagai : Suatu pernyataan atas hasil
yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam
aktivitas IT tertentu.
COBIT melihat pengendalian dalam tiga dimensi berbeda yaitu Sumber IT, Proses IT, dan Kriteria Informasi
IT. Dimensi pertama mencakup semua asset IT suatu perusahaan, yang dapat diidentifikasikan sebagai berikut:
a. Data
b. Sistem aplikasi
c. Teknologi
d. Fasilitas
e. Manusia
Proses IT sebagai dimensi kedua dari COBIT terdiri dari tiga segmen, yaitu : domains, proses, dan aktivitas.
Sedangkan dalam dimensi ketiganya COBIT menetapkan kriteria informasi yang berguna dalam mendukung
tercapainya tujuan organisasi dengan merujuk pada kebutuhan informasi di organisasi atau perusahaan. COBIT
mengkombinasikan beberapa prinsip penyusunan informasi berdasarkan model-model yang sudah ada, dan
merumuskannya kedalam tiga kategori utama, yaitu : quality, fiduciary responsibility dan security. Tiga kategori ini
kemudian diuraikan lebih lanjut dalam kriteria-kriteria sebagai berikut :
Efektifitas
Efisiensi
Kerahasiaan
Integritas
Ketersediaan
Kepatuhan
Keandalan

Implementasi pada BUMN

Dipandang dari cukup luasnya cakupan COBIT dalam pengendalian IT perusahaan, maka dapat disimpulkan
bahwa BUMN dapat (bahkan seharusnya) mengadopsi guidelines COBIT dalam pengelolaan dan pengendalian IT-
nya.
Sebelum uraian lebih lanjut mengenai aspek-aspek COBIT yang sesuai untuk BUMN, terlebih dahulu akan
diuraikan mengenai keunggulan-keunggulan COBIT dalam pengendalian internal terhadap manajemen sistem dan
informasi sebagai berikut :
Akseptansi secara internasional, karena didasarkan atas pengalaman praktik dan profesionalitas
para ahli di seluruh dunia.
Memenuhi standar ISO17799, COSO I dan II, dan standar-standar terkait lainnya.
COBIT menjadi jembatan komunikasi antara fungsi IT, bisnis dan auditor dengan menyediakan
suatu pendekatan umum yang dapat dimengerti oleh semuanya pihak.
COBIT berorientasi kepada manajemen, dapat diaplikasikan, dan mudah digunakan.
COBIT menyediakan dukungan yang kuat untuk audit IT, meminimalisasi biaya resiko audit, dan
dapat meningkatkan kualitas audit dan opini audit.
COBIT dapat menghemat waktu dalam mengimplementasikan praktek-praktek yang efektif.
COBIT bersifat fleksibel dan mudah beradaptasi untuk menyesuaikan dengan ukuran dan budaya
organisasi, serta kebutuhan khusus lainnya.
COBIT adalah sebuah konsep yang lengkap dan terintegrasi, dan dikelola oleh organisasi non profit
yang sudah memiliki reputasi, yakni ISACA.
Selain berbagai keunggulan-keunggulan yang disebutkan diatas, terdapat beberapa alasan lain mengapa
sebuah perusahaan mengadopsi COBIT yaitu :
COBIT memberikan perhatian kepada tata kelola IT yang baik (Good IT Governance).
Untuk menguji akuntabilitas manajemen terhadap sumber daya teknologi informasi.
Adanya kebutuhan khusus untuk pengendalian sumber daya TI.
Sebuah solusi yang berorientasi bisnis, karena COBIT mengedepankan penggunaan sumber daya TI
yang efektif dan efisien.
COBIT menyediakan kerangka untuk penilaian resiko atas IT.
Berbasis otorisasi.
Meningkatkan komunikasi antara manajemen, pengguna (users), dan auditor.
Dari keuntungan diatas, dapat disimpulkan bahwa penerapan COBIT dalam pengelolaan IT BUMN adalah
sebuah keharusan. Keseluruhan aspek dalam kerangka kerja COBIT dapat diadopsi, uraian singkat berikut akan
memberikan penjelasan lebih lanjut :
 Manajemen dapat mengadopsi control objectives COBIT dalam perancangan model pengelolaan
dan pengendalian IT perusahaan. Proses perancangan tersebut dapat diadopsi dari langkah-
langkah/proses yang ada dalam domain-domain COBIT.
Manajemen dapat mengadopsi management guideline COBIT sebagai tools dalam perumusan
kebijakan management baik kebijakan mengenai IT maupun kebijakan lainnya yang berhubungan
dengan kinerja perusahaan.
Pengawas internal (auditor) dapat menggunakan audit guideline COBIT sebagai standar dalam
perancangan dan pelaksanaan audit atas sistem informasi perusahaan. Secara rinci, auditor
menggunakannya dalam :
perencanaan audit dan pengembangan program audit.
validasi kontrol-kontrol IT
evaluasi resiko-resiko IT
Mudahnya adopsi COBIT dalam pengelolaan IT pada dasarnya disebabkan oleh mudahnya modifikasi
guidelines COBIT sesuai dengan kondisi industri dan kondisi IT perusahaan atau organisasi.

The Balanced Scorecard (BSC) telah mengubah kinerja banyak perusahaan di seluruh penjuru dunia. Sejak 1992,
sistem manajemen kinerja ini telah membantu banyak manajemen puncak menentukan tujuan dan strategi
perusahaan dan menerjemahkannya secara konkret ke dalam suatu set cara pengukuran. Apa yang telah
membuatnya begitu sukses adalah bahwa BSC mampu menerjemahkan strategi ke dalam sebuah proses yang
bukan hanya menjadi milik manajemen puncak, namun juga setiap individu pada setiap level di dalam perusahaan.
Setiap pegawai megetahui bukan hanya apa yang harus dilakukannya, namun juga mengapa dia melakukan itu.
Namun yang lebih penting lagi adalah bahwa BSC tidak melulu memandang strategi dalam kaitan aspek finansial
semata, namun juga aspek tiga tambahan lain yaitu: 1) hubungan dengan pelanggan, 2) proses internal, serta 3)
pembelajaran dan pertumbuhan.
Banyak pihak percaya, bahwa ketiga aspek tambahan tersebut bukanlah hal yang benar-benar baru. Namun sebagai
sebuah kerangka pemikiran, dunia harus mengakui bahwa Robert S. Kaplan, seorang profesor akunting pada
Harvard Business Shool, beserta David P. Norton, seorang konsultan teknologi informasi, yang telah berjasa
merumuskan konsep pemikiran tersebut sehingga menjadi sebuah sistem yang dapat menjadi acuan bagi
perusahaan-perusahaan yang ingin menerapkan sistem ini secara sistematis.
Konsep itu sendiri merupakan pemikiran yang tidak statis dan tidak pula bersifat sekali-jadi. Sejak pertama kali
muncul dalam artikel di Harvard Business Review pada edisi Januari-Februari 1992, Kaplan dan Norton secara
evolutif berdasarkan bukti-butkri empirik dari pengalaman-pengalaman perusahaan-perusahaan yang disurvey dalam
penerapan konsep ini, telah memoles dan mempertajam konsep ini dari tahun ke tahun hingga yang mutakhir konsep
ini semakin lengkap dengan konsep Strategy-focused Organisation (SFO). Tulisan ini berusaha memotret dan
mengintegrasikan evolusi pemikiran Kaplan dan Norton tersebut dari sumbernya yang asli, yaitu artikel-artikel dan
buku-buku yang ditulis oleh mereka berdua terkait dengan BSC.
KONSEP BSC
BSC sebagai Sistem Pengukuran yang Mengarahkan Kinerja
Kaplan dan Norton (1992) mengatakan kepada para eksekutif senior: What you measure is what you get. Secara
singkat ungkapan tersebut ingin mengatakan bahwa sistem pengukuran kinerja betul-betul akan mempengaruhi
kinerja dan perilaku individu-individu di dalam perusahaan. Masalahnya, perspektif apa saja yang perlu diperhatikan
dalam pengukuran kinerja? Ketika awal era industrialisasi, secara tradisional orang merasa cukup dengan ukuran-
ukuran akuntansi keuangan seperti return on investment (ROI) atau earnings per share (EPS). Namun pengukuran
perspektif keuangan saja ternyata tidak memuaskan. Orang juga mulai memerlukan informasi yang berkaitan dengan
kinerja operasional. Bahkan ada sebagian orang yang mengatakan Lupakan saja pengukuran perspektif keuangan.
Fokuskan upaya pada perbaikan operasional seperti siklus waktu dan tingkat kerusakan produk. Pada akhirnya ini
akan berdampak juga pada perspektif finansial.
Jelas bahwa pengukuran tunggal tidak lagi mencukupi. Ibarat seorang sopir yang tengah mengendarai mobil, tidak
cukup dengan dashboard yang hanya menunjukkan pengukuran bahan bakar. Dia juga memerlukan petunjuk
pengukuran kecepatan, temperatur mesin, putaran mesin, dan sebagainya. Inilah yang kemudian melatarbelakangi
Kaplan dan Norton merumuskan konsep pengukuran kinerja yang dinamakan The Balanced Scorecard (BSC).
 Keseimbangan (balanced) di sini menunjuk pada adanya kesetimbangan pada perspektif-perspektif yang akan
diukur, yaitu antara perspektif keuangan dan perspektif nonkeuangan sebagai berikut:
1. Perspektif pelanggan, yaitu untuk menjawab pertanyaan bagaimana customer memandang perusahaan.
2. Perspektif internal, untuk menjawab pertanyaan pada bidang apa perusahaan memiliki keahlian.
3. Perspektif inovasi dan pembelajaran, untuk menjawab pertanyaan apakah perusahaan mampu berkelanjutan
dan menciptakan value.
4. Perspektif keuangan, untuk menjawab pertanyaan bagaimana perusahaan memandang pemegang saham.
Kaplan dan Norton menggambarkan keseimbangan hubungan-hubungan perspektif pengukuran-pengukuran
tersebut sebagai berikut:
Selanjutnya Kaplan dan Norton memberikan contoh tujuan-tujuan dan pengukuran kinerjanya untuk keempat
perspektif tersebut pada sebuah perusahaan manufaktur sebagai berikut:

Terlihat dalam contoh tersebut, bagaimana pengukuran secara spesifik dihubungkan pada tujuan-tujuan perusahaan.
Pada umumnya misi perusahaan berbicara secara umum mengenai pelanggan. Namun dengan BSC, tujuan dan
pengukurannya dibuat dengan lebih rinci dengan memperhitungkan ekspekstasi pelanggan terkait dengan waktu,
kualitas, kinerja produk, dan biaya. Demikian pula dengan proses internal, secara rinci memusatkan pada
kompetensi inti, proses, keputusan, serta tindakan-tindakan yang berpengaruh pada kepuasan pelanggan.
Sedangkan inovasi dan pembelajaran menunjukkan keberhasilan masa depan. Perspektif ini mengukur perbaikan
terus-menerus terhadap produk dan proses yang sedang berjalan yang memunculkan produk-produk baru serta
meningkatkan kemampuan perusahaan.
Dengan kombinasi berbagai perspektif tersebut, menjadikan pengukuran kinerja bukan lagi semata domain dari
direktur keuangan atau controller, namun juga orang-orang di lini bisnis yang mengetahui secara persis operasional
yang berlangsung dalam perusahaan. Juga, pengukuran bukan lagi bersifat satu arah dan bertujuan sebagai
pengendalian, namun bersifat multi arah dimana setiap bagian dan individu dalam perusahaan mengetahui visi
perusahaan dan tujuan pada setiap level serta menetapkan sistem yang membantunya mengukur kinerja yang harus
dilakukan dalam mencapai visi dan tujuan tersebut. Inilah mengapa BSC menjadi sistem pengukuran yang
mendorong kinerja.
BSC sebagai Sistem Manajemen Strategik
Penerapan BSC dari tahun ke tahun mengalami pengayaan manajerial. Banyak perusahaan yang menerapkan
konsep ini mendapatkan manfaat bahwa adanya gap antara strategi jangka panjang dengan tindakan jangka pendek
yang selama ini ada dapat diatasi dengan BSC. Selama ini sebagian besar sistem pengendalian manajemen
didasarkan pada pengukruan dan target finansial, yang jarang sekali terkait dengan jangka panjang. Sementara,
menurut Kaplan dan Norton (1996a), BSC membantu manajemen melakukan empat proses manajemen baru yang
menghubungkan antara startegi jangka panjang dengan tindakan jangka pendek. Keempat proses tersebut adalah
sebagai berikut:

Proses pertama menerjemahkan visi membantu para manajer membangun suatu konsensus di sekitar strategi
dan visi organisasi. Meskipun maksud para manajemen puncak itu baik, namun banyak pernyataan visi seperti
menjadi terbaik di kelasnya, menjadi penyalur nomor satu, atau suatu organisasi yang diberdayakan tidak
dengan mudah dapat diterjemahkan dengan terminologi operasional yang oleh karenanya juga tidak mudah
dilaksanakan oleh individu di dalam perusahaan. Dengan BSC, visi dan strategi diterjemahkan dengan suatu set
tujuan dan pengukuran yang integratif, disetujui oleh para eksekutif senior dan menggambarkan arah jangka panjang
menuju sukses.
Proses yang kedua- berkomunikasi dan menghubungkan- membantu para manajer mengomunikasikan strategi
mereka ke seluruh organisasi dan menghubungkannya ke sasaran hasil individu dan per departemen. BSC
memberikan cara bagi para manajer untuk memastikan bahwa semua tingkatan di dalam organisasi memahami
strategi jangka panjang dan bahwa sasaran individu serta departemen tidak lari dari strategi tersebut.
Proses yang yang ketiga perencanaan bisnis- memungkinkan perusahaan untuk mengintegrasikan bisnis mereka
dengan rencana keuangan. Hampir semua organisasi menerapkan berbagai program perubahan, bersama para ahli,
guru, dan konsultan masing-masing, bersaing untuk mendapatkan perhatian, energi, dan sumber daya dari eksekutif
senior. Para manajer mengalami kesulitan untuk mengintegrasikan prakarsa yang berbeda itu untuk mencapai tujuan
strategik mereka. Situasi seperti ini akan mengantarkan perusahaan pada kekecewaan atas hasil program-program
tersebut. Dengan BSC, para manajer dapat melihat program mana yang dapat menjadi prioritas sumber daya, yaitu
hanya program yang mengarah pada tujuan strategik perusahaan.
Proses yang keempat umpan balik dan pembelajaran- memberi perusahaan kapasitas untuk apa yang disebut
dengan pembelajaran strategik. Secara tradisional, umpan balik yang ada dan proses review memusatkan pada
apakah perusahaan, departemen, atau individu karyawannya sudah memenuhi target atu tujuan finansialnya.
Namun dengan BSC, suatu perusahaan dapat memonitor akibat jangka pendek dari ketiga perspektif lainnya -
pelanggan, proses bisnis internal, serta pembelajaran dan pertumbuhan- dan mengevaluasi strategi dipandang dari
sudut kinerja terakhir. BSC dengan demikian dapat memungkinkan perusahaan memodifikasi strateginya secara real
time.
BSC Menerjemahkan Visi dan Strategi Menjadi Aksi
Di atas telah disebutkan adanya gap antara pernyataan visi dan misi dengan kebutuhan aktual setiap individu di
dalam perusahaan untuk bertindak sesuai dengan visi dan misi tersebut. Boleh jadi seluruh manajemen dan
karyawan perusahaan menyepakati salah satu pernyataan misi bahwa perusahaan memberikan layanan yang prima
kepada pelanggan yang setia. Namun bukan tidak mungkin, dalam operasional sehari-hari terjadi perbedaan
persepsi antara individu yang satu dengan yang lain ketika harus menerjemahkan layanan yang prima. Atau bisa
jadi, akan terjadi perbedaan image antara individu satu dengan yang lain mengenai pelanggan yang setia. Artinya,
pada umumnya pernyataan visi dan misi/strategi terlalu umum sehingga tidak memungkinkan setiap individu di dalam
perusahaan untuk bertindak secara terukur dan standar.
Dengan BSC, manajemen senior di dalam perusahaan akan memiliki konsensus yang sama dalam penerjemahan
visi dan strategi perusahaan serta setiap individu memahami ukuran-ukuran tindakan apa yang sesuai dengan visi
dan strategi tersebut. Kaplan dan Norton (1996a) menggambarkan penerjemahan visi dan strategi tersebut dalam
gambar berikut. Dalam gambar tersebut terlihat bagaimana visi dan strategi akan diterjemahkan dalam keempat
perspektif, masing-masing dalam bentuk tujuan, ukuran, target, dan inistiatif untuk level perusahaan.
Selanjutnya, tujuan, ukuran, target, dan inisitiatif pada level perusahaan tersebut akan diturunkan lagi ke level
departemen dan personal, dengan contoh sebagai berikut:
Personal scorecard ini menjadi alat bagi perusahaan dalam mengkomunikasikan tujuannya kepada individu atau tim
yang melakukan pekerjaan di lapangan.
BSC sebagai Alat Memetakan Strategi
Pada uraian di atas telah dijelaskan bagaimana BSC menerjemahkan dan membuat keterhubungan antara visi dan
strategi perusahaan pada level yang paling atas hingga level individu dalam bentuk tujuan-tujuan, ukuran-ukuran,
target, dan inisiatif. Sampai pada titik ini, strategi belum dieksekusi. Ibarat satu kompi pasukan yang siap bertempur
maka setiap individu dalam pasukan, dari komandan hingga anggota, telah menyepakati dan memahami strategi apa
yang digunakan dalam peperangan.
Namun untuk mengeksekusi strategi, akan lebih baik lagi apabila strategi dimaksud dapat divisualisasi dalam bentuk
peta strategi. Sama halnya dengan yang dihadapi pasukan tersebut, perusahaan juga memerlukan peta strategi
untuk menunjukkan pola hubungan sebab akibat di antara aspek-aspek dalam BSC secara visual. Kaplan dan Norton
(2000) menunjukkan contoh bagaimana perusahaan dapat memetakan strategi sebagai berikut:
Peta stratetgi di atas menunjukkan bagaimana perusahaan akan mengkonversi aset-aset yang dimilikinya ke
outcome yang diharapkan. Pada gambar tampak bagaimana pegawai memerlukan pengetahuan, ketrampilan, dan
sistem (perspektif pembelajaran dan pertumbuhan) untuk membuat inovasi dan membangun strategi yang efisien
(perspektif proses internal) sehingga mereka dapat memberikan nilai lebih kepada pasar (perspektif pelanggan),
yang pada akhirnya akan meningkatkan return dan nilai pemegang saham (perspektif keuangan).
BSC sebagai Alat Penghubung Aset Tak Berwujud dengan Nilai Pemegang Saham
Peta strategi yang dibahas di atas bukan hanya menunjukkan pola hubungan sebab akibat antarperspektif, namun
lebih jauh lagi dapat menunjukkan hubungan antara aset tak berwujud (intangible asset) dengan penciptaan nilai
pemegang saham. Kaplan dan Norton (2004) menunjukkan keterhubungan tersebut dalam peta strategi berikut:
Sebagaimana terlihat pada perspektif pertumbuhan dan pembelajaran pada peta strategi di atas, Kaplan dan Norton
mengidentifikasi tiga aset tak berwujud utama suatu perusahaan yaitu: 1) Human Capital, 2) Information Capital, dan
3) Organization Capital. Ketiga aset ini tidak ternilai dengan sistem akuntansi yang tradisional. Padahal sudah tentu
ketiga aset inilah justru yang secara kompetitif bisa menjadi keunggulan karena sifatnya yang sulit untuk diimitasi.
Ketiga aset tak beruwujud ini harus terintegrasi dengan proses internal dan perlu dinilai seberapa kuat kapabilitasnya
dalam menciptakan nilai pelanggan yang pada akhirnya menciptakan nilai pemegang saham.
MEMBANGUN BSC
Menghubungkan pengukuran dengan strategi merupakan inti dari keberhasilan proses pengembangan scorecard.
Untuk itu menurut Kaplan dan Norton (1993) terdapat tiga pertanyaan kunci, yaitu:
1. Bila perusahaan berhasil mencapai visi dan strateginya, maka bagaimana perusahaan bisa terlihat berbeda:
di mata pemegang saham dan pelanggan?
dalam kaitan dengan proses internal?
dalam kaitan dengan kemapuan perusahaan untuk menciptakan inovasi dan bertumbuh?
2. Apa faktor sukses kritikal (critical success factors) untuk setiap perspektif dari keempat perspektif tersebut?
3. Apa pengukuran kunci yang akan memberitahu perusahaan bahwa dia telah mencapai faktor sukses tersebut
sesuai dengan yang direncanakan?
Setiap organisasi bersifat unik sehingga cukup sulit untuk menyamaratakan tahap-tahap pengembangan BSC antara
satu perusahaan dengan perusahaan yang lain. Namun Kaplan dan Norton (1993) memberikan gambaran umum
mengenai bagaimana projek pengembangan BSC dapat dilakukan, sebagai berikut:
1. Persiapan
Organisasi harus mendefinisikan terlebih dahulu unit bisnis di mana suatu scorecard level atas akan diterapkan. Unit
bisnis ini secara umum ditandai dengan adanya pelanggan, saluran distribusi, fasilitas produksi, dan pelaporan
keuangan tersendiri.
2. Interview: Putaran yang pertama
Masing-masing manajer senior di bisnis unit -biasanya antara 6 sampai 12 eksekutif- menerima materi yang
berkaitan dengan penyusunan BSC seperti dokumen internal yang menguraikan visi perusahaan, misi, dan strategi.
Facilitator BSC (baik konsultan dari luar maupun dari dalam perusahaan yang mengorganisir projek) melakukan
wawancara sekitar 90 menit terhadap masing-masing eksekutif senior untuk memperoleh masukan dari mereka
mengenai tujuan strategis perusahaan dan atas proposal pengukuran BSC yang masih tentatif. Facilitator boleh juga
mewawancarai beberapa pemegang saham untuk mendapatkan pemahaman mengenai harapan mereka terhadap
kinerja keuangan perusahaan. Demikian juga terhadap beberapa pelanggan dan pemasok utama perusahaan.
3. Workshop Eksekutif: Putaran Pertama
Sekelompok manajemen puncak tersebut dibawa bersama-sama dengan facilitator untuk mengikuti proses
pengembangan scorecard dengan mengacu pada diagram berikut ini:
Selama workshop, kelompok tersebut dapat berdebat mengenai statemen strategi dan misi yang diusulkan hingga
dapat dicapai sebuah konsensus. Kelompok kemudian berpindah dari misi dan statemen strategi untuk kemudian
menjawab 3 pertanyaan kunci di atas. Dokumentasi wawancara dengan pemegang saham, pelanggan, dan pemasok
dapat disampaikan kepada kelompok tersebut untuk memberikan gambaran bagaimana ekspektasi para stakeholder.
Setelah mendefinisikan faktor sukses kunci tersebut, kelompok kemudian merumuskan suatu BSC pendahuluan
yang telah mengandung pengukuran untuk tujuan-tujuan strategis tersebut. Seringkali, kelompok mengusulkan jauh
lebih banyak dari empat atau lima ukuran untuk masing-masing perspektif. Pada tahap ini, tidak perlu membatasi
aneka pilihan tersebut, walaupun bisa saja kelompok langsung memutuskan ukuran-ukuran yang dipandang memilik
prioritas rendah.
4. Interviews: Putaran Kedua
Facilitator meninjau ulang, memperkuat, dan mendokumentasikan keluaran dari workshop eksekutif di atas dan
mewawancarai masing-masing eksekutif senior tentang BSC pendahuluan tersebut. Facilitator juga meminta
pendapat tentang isu-isu yang mungkin muncul bila BSC jadi diterapkan.
5. Workshop Eksekutif: Putaran Kedua
Workshop putaran kedua ini tidak hanya melibatkan manajemen senior, namun juga manajemen tingkat menengah.
Kembali lagi mereka berdebat mengenai visi dan strategi perusahaan, serta BSC pendahuluan yang telah dihasilkan
dari tahap sebelumnya. Selanjutnya, para peserta bekerja di dalam kelompok, memberikan komentar dan
merencanakan implementasinya. Pada akhir acara, peserta diminta untuk merumuskan sasaran untuk masing-
masing dari ukuran yang diusulkan, termasuk tingkat keberhasilan yang ditargetkan demi peningkatan kinerja
perusahaan.
6. Workshop Eksekutif: Putaran Ketiga
Kelompok eksekutif senior bertemu kembali untuk mencapai sustu konsensus final mengenai vision, tujuan, dan
pengukuran yang dikembangkan dalam dua kali workshop sebelumnya; untuk kemudian menetapkan taget untuk
masing-masing ukuran; dan untuk mengidentifikasi program tindakan persiapan untuk mencapai target. Kelompok
harus sepakat mengenai program implementasi yang akan dijalankan, termasuk mengomunikasikan scorecard ke
karyawan, mengintegrasikan scorecard ke dalam filosofi manajemen, dan mengembangkan sistem informasi untuk
mendukung scorecard tersebut.
 7. Implementasi
Suatu kelompok baru dibentuk untuk menyusun rencana implementasi scorecard, termasuk menghubungkan tiap
ukuran dengan database dan sistem informasi, mengomunikasikan scorecard ke seluruh organisasi, dan mendorong
dan memfasilitasi pengembangan pengukuran hingga ke level unit kerja yang lebih rendah.
8. Review berkala
Setiap triwulan, kuartal, atau setiap bulan, laporan dari BSC disampaikan baik kepada manajemen puncak mapun ke
unit-unit kerja untuk direview, didiskusikan dan ditindaklanjuti. Pengukuran-pengukuran BSC direview kembali setiap
tahun sebagai bagian dari perencanaan strategik, penentuan sasaran, dan alokasi sumber daya.
KELEBIHAN BSC
Yang menjadikan BSC memiliki nilai lebih dibandingkan dengan pengukuran kinerja tradisional adalah karena dia
memiliki karakteristik sebagai berikut:
1. BSC merupakan suatu turunan dari strategi dan misi perusahaan secara top-down. Sebaliknya, ukuran
kebanyakan perusahaan adalah secara bottom-up: yaitu diperoleh dari aktivitas di bawah datau bersifat ad-
hoc, sehingga seringkali tidak relevan dengan strategi secara keseluruhan.
2. BSC bersifat memandang ke depan (forward looking). Hal tersebut memperhitungkan keberhasilan bukan
hanya saat ini namun juga bagaimana perkiraannya di masa depan. Ini berbeda dengan pengukuran kinerja
keuangan tradisional yang hanya menunjukkan kinerja periode yang telah lewat.
3. BSC mengintegrasikan pengukuran internal dan eksternal. BSC tidak hanya mengukur net operating income,
misalnya (eksternal) namun juga mengukur mengenai produk baru (internal). Ini membantu para manajer
melihat di mana mereka telah melakukan trade-off di antara aspek pengukuran kinerja di masa lalu, dan
membantu mereka memastikan bahwa keberhasilan masa mendatang untuk satu aspek bukan dengan
merugikan aspek lainnya.
4. BSC membantu perusahaan lebih fokus karena membuat para manajer mencapai kesepakatan hanya pada
aspek pengukuran yang benar-benar kritikal terhadap trategi perusahaan.
5. BSC memberikan pengukuran yang lebih komprehensif dan seimbang dengan memasukkan perspektif non
keuangan, yang selama ini tidak diperhitungkan dalam pengukuran kinerja tradisional. Padahal
sesungguhnya justru ketiga perspektif itulah yang menghasilkan apa yang diukur dalam perspektif keuangan.
6. BSC memiliki perspektif yang koheren, dimana perspektif pembelajaran dan pertumbuhan akan
mempengaruhi proses internal yang akan memperbaiki nilai kepada pelanggan dan pada akhirnya
memperbaiki pula nilai pemegang saham.
7. BSC memberikan perspektif yang semuanya terukur. Ini akan memenuhi keyakinan if we can measure it, we
can manage it, if we can manage it, we can achieve it.
YANG PERLU DIPERHATIKAN
Apa yang telah diuraikan di atas adalah sejauh bagaimana perusahaan menetapkan visi dan strategi serta
penerjemahannya hingga ke level yang paling bawah di organisasi. Sebagaimana dikritisi oleh para pengamat, di
antaranya Kirby dan Schmiesing (2003) dan diakui oleh Kaplan dan Norton dalam websitenya (www.bscol.com) , hal
tersebut di atas adalah sebuah langkah membuat strategi menjadi lebih berkualitas. Masalahnya tidak cukup strategi
hanya berkualitas, apabila strategi tersebut tidak atau gagal dilaksanakan. Jadi lebih penting lagi adalah langkah lain
yaitu mengeksekusi strategi.
Sebagaimana presentasi dalam websitenya ), Norton memberikan lima prinsip yang mentransformasi BSC dari
sebuah alat untuk pengukuran kinerja menjadi alat untuk menjadikan organisasi fokus pada strategi (Strategy-
focused organization). Kelima prinsip tersebut digambarkan oleh Norton sebagai berikut:
1. Terjemahkan (translate) strategi menjadi istilah operasional, sehingga bisa dipahami oleh setiap individu di dalam
perusahaan
2. Hubungkan (align) setiap bagian organisasi yang berbeda-beda dengan strategi
3. Motivasi (motivate) setiap individu di dalam organisasi dengan membuat strategi urusan setiap orang
4. Adaptasi (adapt) dan pembelajaran dengan membuat strategi sebagai sebuah proses yang berkelanjutan
5. Mobilisasikan (mobilize) perubahan melalui kepemimpinan yang kuat