IT Vendor Relationships
Terdapat 2Kriteria saat memilih Vendor
Pengalaman dengan sistem yang sangat miripdengan ukuran yang sama, ruang lingkup,
danpersyaratan
Pengalaman dengan sistem yang sangat miripdengan ukuran yang sama, ruang lingkup,
danpersyaratan
2. COSO
COSO adalah singkatan dari Comitte of Sponsoring Organization of treadway
Commision, yaitu suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan
utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan
keuangan dan membuat rekomendai untuk pengendalian, standar, dan kriteria internal yang dapat
digunakan perusahaan untuk menilai sistem pengendalian mereka.
COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional, antara
lain : American Institute of Certified Public Accountant (AICPA), American Accounting
Association (AAA),Financial Excecutives Institute (FEI), The Institute of Internal Auditor (IIA)
dan The Institute of Management Accountant (IMA)
Meskipun disponsori oleh 5 profesional association, pada dasarnya komisi ini bersifat
independen dan orang-orang yang berada didalamnya berasal dari berbagai kalangan: industri,
akuntan publik, bursa efek, dan investor
Model COSO adalah salah satu model pengendalian internal yan banyak digunakan oleh
para auditor sebagai dasar untuk mengevaluasi, dan mengembangkan pengendalian internal.
Menurut model COSO, internal control adalah suatu proses, melibatkan seluruh anggota
organisasi, dan memiliki tiga tujuan utama, yaitu efektifitas dan efisiensi operasi, mendorong
kehandalan laporan keuangan, dan dipatuhinya hukum dan peraturan yang ada.
Menurut COSO framework, internal control terdiri dari lima komponen yang saling
terkait, yaitu:
a. Control enviroment
b. Risk assessment
c. Control activities
d. Information and communication
e. Monitoring
Pada tahun 2004,COSO mengeluarkan report enterprise risk management integrated
framework sebagai penembangan COSO framework diatas. Dijelaskan ada 8 komponen dalam
enetrprise risk management, yaitu :
Internal enviroment
Objective setting
Event identification
Risk assessment
Risk response
Control activities
Information and communication
Monitoring
3 . COBIT
COBIT adalah a set of best practices (framework) bagi pengelolaan teknologi
informasi.COBIT adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat
membantu auditor, pengguna, dan manajemen untuk menjembatani gap antara risiko bisnis,
kbutuhan control dan masalah-masalah teknis IT.
COBIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk
manajemen TI yang mencakup 4 domain:
a. Perencanaan dan organisasi
Mencakup pembahasan tentang identifikasi dan strategi investasi TI yang dapat memberikan
yang terbaik untuk mencapai tujuan bisnis. Kemudian direncanakan, dikomunikasikan, dan
diatur pelaksanaannya dari berbagai perspektif.
b. Perolehan dan implementasi
Yaitu untuk merealisasikan strategi TI perlu diatur kebutuhan TI. Diidentifikasi, dikembangkan,
atau diimplementasikan secara terpadu dalam proses bisnis organisasi.
c. Penyerahan dan pendukung
Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap kegiatan
operasional bisnis
d. Monitoring
Yaitu semua proses TI yang perlu dinilai secara berkala agar kualitas dan tujuan dukungan TI
tercapai, dan kelengkapannya berdasarkan pada syarat kontrol internal yang baik.
Coso framework
Kepanjangan dari COSO adalah Committee of Sponsoring Organizations of the Treadway
Commission. COSO ini dibuat oleh sektor swasta untuk menghindari tindak korupsi yang sering
terjadi di Amerika pada tahun 1970-an. COSO terdiri atas 5 komponen:
1. Control environment
Tindakan atau kebijakan manajemen yang mencerminkan sikap manajemen puncak secara
keseluruhan dalam pengendalian manajemen. Yang termasuk dalam control environment:
- Integrity and ethical values (integritas dan nilai etika)
- Commitment to competence (komitmen terhadap kompetensi)
- Board of Directors and audit committee (dewan komisaris dan komite audit)
- Managements philosophy and operating style (filosofi manajemen dan gaya mengelola
operasi)
- Organizational structure (struktur organisasi)
- Human resource policies and procedures (kebijakan sumber daya manusia dan prosedurnya)
2. Risk assessment
Tindakan manajemen untuk mengidentifikasi, menganalisis risiko-risiko yang relevan dalam
penyusunan laporan keuangan dan perusahaan secara umum. Yang termasuk dalam risk
assessment:
- Company-wide objectives (tujuan perusahaan secara keseluruhan)
- Process-level objectives (tujuan di setiap tingkat proses)
- Risk identification and analysis (indentifikasi risiko dan analisisnya)
- Managing change (mengelola perubahan)
3. Control activities
Tindakan-tindakan yang diambil manajemen dalam rangka pengendalian intern. Yang termasuk
control activities:
- Policies and procedures (kebijakan dan prosedur)
- Security (application and network) > (keamanan dalam hal aplikasi dan jaringan)
- Application change management (manajemen perubahan aplikasi)
- Business continuity or backups (kelangsungan bisnis)
- Outsourcing (memakai tenaga outsourcing)
4. Information and communication
Tindakan untuk mencatat, memproses dan melaporkan transaksi yang sesuai untuk menjaga
akuntablitas. Yang termasuk komponen ini adalah sebagai berikut.
- Quality of information (kualitas informasi)
- Effectiveness of communication (efektivitas komunikasi)
5. Monitoring
Peniilaian terhadap mutu pengendalian internal secara berkelanjutan maupun periodik untuk
memastikan pengendalian internal telah berjalan dan telah dilakukan penyesuian yang diperlukan
sesuai kondisi yang ada. Yang termasuk di dalam komponen ini, yakni:
- On-going monitoring (pengawasan yang terus berlangsung)
- Separate evaluations (evaluasi yang terpisah)
- Reporting deficiencies (melaporkan kekurangan-kekurangan yang terjadi)
PENDAHULUAN
Pengendalian (controlling) merupakan salah satu fungsi manajemen dalam mencapai tujuan organisasi, yang
merupakan manifestasi dari usaha manajemen untuk mengurangi resiko kerugian dan penyimpangan dalam suatu
organisasi. Pengendalian Internal yang efektif merupakan salah satu faktor kunci dalam kesuksesan sebuah
organisasi. Dalam pengendalian intern yang efektif, manajemen dan segenap anggota organisasi yang lain akan
memiliki tingkat keyakinan yang memadai dalam mencapai tujuan dan sasaran suatu organisasi. Dimana dengan
adanya sistem pengendalian intern yang efektif, dapat membantu dalam mencapai tujuan organisasi yang antara
lain dalam hal efisiensi, mengurangi resiko kerugian, dan menghasilkan suatu laporan keuangan yang andal dan
sesuai dengan hukum dan peraturan yang berlaku.
Dengan semakin dominannya penggunaan komputer dalam membantu kegiatan operasional diberbagai
perusahaan, maka diperlukan standar-standar yang tepat sebagai alat pengendali internal untuk menjamin bahwa
data elektronik yang diproses adalah benar. Sehingga data elektronik tersebut menghasilkan pelaporan keuangan
perusahaan yang dapat dipertanggungjawabkan.
Dalam perkembangannya terdapat banyak standar-standar control yang muncul akibat berbagai latar belakang yang
berbeda. Oleh karena itu, dalam paper ini akan diuraikan beberapa jenis standar kontrol EDP yaitu Committee of the
Sponsoring Organizations (COSO), COBIT, SARBOX, ISO 17799, dan BASEL II. Selanjutnya akan dibahas beberapa
perbedaan diantara kelima standar tersebut mencakup tujuan pembentukan standar dimaksud, stakeholders siapa
yang diuntungkan dan siapa yang terbebani atas penerapan standar, pengaturan yang diterapkan dalam masing-
masing standar, konsep pengendalian yang diatur dalam standard dan aspek-aspek dari standar yang paling cocok
untuk diterapkan pada pengendalian EDP di Indonesia, khususnya untuk diimplementasikan oleh Badan Usaha Milik
Negara.
COSO
The Comitte of Sponsoring Organizations of the treadway commissions (COSO) dibentuk pada tahun 1985
sebagai alinasi dari 5 (lima) organisasi professional. Organisasi tersebut terdiri dari American Accounting Association,
American Instititue of Certified Public Accountants, Financial Executives International, Instititute of Management
Accountants, dan The Institute of Internal Auditors. Koalisi ini didirikan untuk menyatukan pandangan dalam
komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud.
Pada tahun 1992, COSO menyusun dan menerbitkan internal control integrated framework yang berisi
rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern.
Kerangka ini diterima sebagai acuan umum pengendalian intern, yang penggunaannya mencakup penentuan tujuan
pengendalian pelaporan keuangan dan proses operasional dalam konteks organisasional, sehingga perbaikan dan
kontrol dapat dilakukan secara menyeluruh. Struktur pengendalian intern menurut COSO mencakup aktivitas
pengendalian terkait pengendalian dengan pemrosesan informasi yaitu pengendalian umum dan pengendalian
aplikasi.
Pada tahun 2004, COSO mengembangkan internal control integrated framework dengan menambahkan
cakupan tentang manajemen dan strategi risiko yang selanjutnya dikenal dengan pendekatan enterprise risk
management (ERM). Menurut kerangka tersebut, pengendalian intern merupakan bagian integral dari manajemen
risiko.
Tujuan Pembentukan
COSO mendefinisikan pengendalian intern sebagai, sebuah proses yang dipengaruhi oleh dewan komisaris,
manajemen dan pegawai perusahaan lainnya yang dibentuk untuk menyediakan keyakinan yang memadai/wajar
berkaitan dengan pencapaian tujuan dalam kategori berikut:
Efektifitas dan efisiensi aktivitas operasi
Kendali ini dimaksudkan untuk mendorong penggunaan yang efektif dan efisien atas sumber daya organisasi,
hal ini mencakup personil untuk mengotimalkan sasaran perusahaan. Bagian penting dari kendali ini adalah
informasi yang akurat untuk pengambilan keputusan internal.
Kehandalan pelaporan keuangan
Secara legal dan profesional manajemen bertanggungjawab untuk menyiapkan laporan keuangan bagi investor,
kreditur, dan para pemakai lainnya. Dalam rangka memenuhi tanggung jawab tersebut maka diperlukan adanya
kendali untuk memastikan bahwa informasi tersebut disiapkan secara wajar menurut prinsip akuntansi yang
berlaku secara umum (PAYBU).
Ketaatan terhadap hukum dan peraturan yang berlaku
Konsekuensi logis dari pendirian suatu organisasi yang berorientasi publik adalah kewajiban legal, organisasi
diwajibkan untuk mematuhi aturan hukum dan berbagai peraturan yang berlaku (misal, UU Pajak dan peraturan
Bursa Efek). Kendali ini memiliki nilai penting dalam rangka memastikan bahwa oraganisasi dalam kelangsungan
telah mematuhi dan taat terhadap hukum dan peraturan tersebut.
Pengamanan aset entitas
Terkait dengan tujuan pelaporan publik manajemen, ditambahkan kategori baru yaitu pengamanan aset entitas.
Nilai penting dari kendali ini adalah mencegah terjadinya akuisisi, penggunaan atau pemindahan aset yang tidak
terotorisasi yang dapat memiliki efek material terhadap laporan keuangan.
Stakeholder
Setiap personel berperan dalam implementasi pengendalian internal perusahaan, tetapi tanggung jawab
penyedia dan pelaksana pengendalian internal adalah manajemen senior, dalam hal ini CEO dan CFO. CEO berperan
sebagai pemberi warna dan juga memberikan contoh kepada anggota lain. Sedangkan CFO dan manajemen senior
lainnya berperan dalam proses desain, implementasi dan monitoring sistem pelaporan keuangan perusahaan.
Dewan komisaris dan komite audit menyediakan, panduan dan pengawasan. Anggota dewan komisaris dan
komite audit harus objektif, mampu, dan kritis. Mereka juga harus menitikberatkan pada peran pengawasan, selain
itu mereka juga harus mengetahui lingkungan bisnis perusahaan, aktifitas pelaporan dan sistem pengendalian
internal.
Secara garis besar stakeholder atas COSO yaitu Entitas; regulator; penyusun standar; organisasi profesi;
intitusi pendidikan. Namun, pihak yang bertanggung jawab dan terbebani yaitu Dewan Komisaris, manajemen dan
pegawai lainnya, sedangkan pihak yang diuntungkan adalah entitas dan pengguna informasi.
Overview COSO
Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi
pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi.
Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut
memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang
diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:
1. Lingkungan pengendalian
2. Penilaian resiko
3. Aktifitas pengendalian
4. Informasi dan komunikasi
5. Pemantauan
I. Lingkungan Pengendalian
Lingkungan pengendalian menempatkan kualitas dalam organisasi, mempengaruhi kesadaran pengendalian
terhadap pegawainya. Hal ini juga merupakan dasar bagi komponen pengendalian internal yang lain, menyiapkan
disiplin dan struktur. Faktor lingkungan pengendalian meliputi integritas, nilai etis, gaya operasi manajemen, sistem
pelimpahan wewenang, serta proses untuk mengatur dan mengembangkan sumber daya manusia dalam organisasi.
1. Integritas dan Nilai etika
a) Ada dan diterapkannya kode etik
b) Bekerjasama dengan karyawan, pemasok dan lain-lain dengan integritas yang tinggi
c) Tekanan mencapai target yang tidak realistis dan target ini dipakai sebagai ukuran kinerja
2. Komitmen atas kompetensi
a) Deskripsi pekerjaan formal atau informal
b) Analisis mengenai kompetensi dalam mengisi formasi pegawai
3. Dewan Komisaris/Komite Audit
a) Independen dari manajemen
b) Frekuensi dan ketepatan pertemuan dengan CFO, internal auditor maupun eksternal auditor
c) Penyediaan informasi yang penting dan tepat waktu untuk memungkinkan pemantauan atas tujuan dan
strategi manajemen, performa keuangan perusahaan dan syarat-syarat atas perjanjian penting
4. Filosofi Manajemen dan Gaya Operasi
a) Resiko bisnis yang diterima, ini bisa berbentuk risk adverse atau risk taker
b) Frekuensi pertemuan manajemen puncak dan manajemen operasi, terutama ketika beroperasi dalam
wilayah geografis yang berbeda
c) Sikap dan tindakan berkaitan dengan pelaporan keuangan termasuk juga mengenai perbedaan pendapat
atas perlakuan akuntansi yang diterima.
5. Struktur organisasi
a) Kelayakan struktur organisasi dan tersedianya jalur informasi yang layak
b) Kecukupan pembagian tanggung jawab diantara manajer
c) Kemampuan dan pengalaman manajer dalam memenuhi tanggung jawabnya
6. Kewenangan dan Tanggung Jawab
a) Pendelegasian wewenang dan tanggung jawab disesuaikan dengan keperluan pencapaian tujuan
perusahaan, peraturan yang berlaku, atau tujuan operasional
b) Kecukupan standar dan prosedur yang berkaitan dengan pengendalian, termasuk juga deskripsi pekerjaan
c) Kecukupan kuantitas dan kualitas pegawai dalam bidang akuntansi dan pemrosesan data disesuaikan
dengan kompleksitas, sifat dan ukuran entitas
7. Kebijakan dan praktek berkaitan dengan manajemen SDM
a) Adanya kebijakan dan prosedur berkaitan dengan penerimaan, pelatihan dan promosi pegawai
b) Untuk kasus yang tidak sesuai dengan kebijakan yang berlaku, maka prosedurnya harus diulang
c) Kecukupan pengecekan mengenai latar belakang pegawai
d) Kecukupan kriteria promosi dan teknik-teknik pengumpulan informasi berkaitan dengan kode etik pegawai
II. Penilaian Risiko
Setiap organisasi dalam mencapai tujuannya menghadapi berbagai macam risiko baik eksternal maupun internal.
Resiko ini bermacam-macam dilihat dari dampak ataupun tingkat keseringan terjadinya, misalkan resiko kebakaran
tentu berbeda dengan resiko pencurian dana kas di cash register tentu berbeda dampak dan frekuensi terjadinya.
Penilaian risiko merupakan tindakan yang penting untuk menentukan pengelolaan risiko.
Aspek-aspek penilaian resiko adalah sebagai beikut:
1. Tujuan
Tujuan entitas dapat bersifat eksplisit atau implisit, biasanya tercermin dalam misi atau nilai entitas. Lebih
spesifik lagi, tujuan terdapat dalam rencana strategis perusahaan yang merupakan tujuan tingkat entitas. Tujuan ini
kemudian dikaitkan dengan tujuan tingkat aktifitas. Kategori tujuan terdiri dari :
a) Tujuan operasi, memasukkan unsur efektif dan efisien termasuk juga tujuan kinerja dan tujuan laba dan
pengamanan terhadap sumber daya
b) Tujuan pelaporan keuangan, yang menitikberatkan pada penyusunan laporan keuangan yang andal sesuai
dengan standar
c) Tujuan Kepatuhan, yang menitikberatkan pada ketaatan kepada hukum dan peraturan yang berlaku
2. Identifikasi dan analisa resiko
Identifikasi dan analisa resiko harus bisa mencakup semua resiko yang signifikan dalam pencapaian tujuan.
Proses identifikasi dan analisa resiko biasanya berulang-ulang dan terintegrasi dalam proses perencanaan.
a. Resiko tingkat entitas
Resiko ini bersumber dari internal dan eksternal perusahaan, entitas harus bisa mendeteksi resiko semacam ini,
berikut resiko-resiko entitas baik internal maupun eksternal :
b. Resiko tingkat aktifitas
Semua aktifitas yang signifikan harus diidentifikasikan resiko yang mungkin timbul. Resiko aktifitas sendiri
mungkin signifikan atau tidak, relevan atau tidak. Dalam identifikasi dan analisis resiko penting untuk
memperhatikan dampak yang ditimbulkan resiko dan frekuensi resiko terjadi.
3. Manajemen perubahan
Setiap entitas harus mempunyai sebuah prosedur, baik formal atau informal, untuk mengidentifikasikan kondisi-
kondisi yang menghalangi kemampuan perusahaan dalam mencapai tujuannya. Mekanisme ini harus mampu
mengantisipasi perubahan yang signifikan untuk dapat menghindari masalah atau memanfaatkan peluang yang
muncul dari perubahan itu.
III. Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang memastikan arahan manajemen dilaksanakan. Aktivitas
pengendalian terjadi di seluruh bagian organisasi, baik pada berbagai tingkatan maupun berbagai fungsi yang
meliputi otorisasi, verifikasi, rekonsiliasi, review kinerja operasi, keamanan aset, pemisahan wewenang dan
tanggung jawab. Aktifitas pengendalian dapat bersifat preventif atau detektif, manual atau otomatis, atau review
manajemen.
Aspek-aspek aktifitas pengendalian:
A. Prosedur dan Kebijakan
Kebijakan berfungsi menetapkan apa yang harus dilakukan sedangkan prosedur adalah tindakan personel untuk
menjalankan kebijakan. Keduanya membantu memastikan bahwa arahan manajemen mengenai resiko dijalankan.
Kebijakan dan prosedur dapat dibagi menjadi 3 kategori yaitu operasi, pelaporan keuangan dan ketaatan.
Berbagai jenis pengendalian dapat diterapkan untuk memastikan bahwa tujuan akan terpenuhi. Aktifitas
pengendalian dapat diklasifikasikan menjadi :
1. Pengendalian preventif
2. Pengendalian detektif
3. Pengendalian manual
4. Pengendalian otomatis
5. Pengendalian manajemen
B. Sistem pengendalian Informasi
Terdiri dari 2 macam pengendalian yaitu : pengendalian umum dan pengendalian khusus. Pengendalian ini
berlaku baik bagi mainframe ataupun komputer pengguna.
1. Pengendalian umum
a. Operasi pusat data, meliputi tindakan backup, pengesetan dan pengecekan komputer, dan tindakan-
tindakan kontijensi ketika terjadi bencana atas pusat data
b. Software sistem, pengendalian atas perolehan, penggunaan dan perawatan software baik sistem operasi
maupun software pendukung lainnya termasuk software keamanan, basis data dan yang lain.
c. Keamanan akses, semua akses ke sistem harus diotorisasi yang dapat berupa id khusus dengan password
atau nomor-nomor tertentu
d. Metodologi pengembangan sistem, mencakup desain sistem dan implementasi sistem, fase-fase
pengembangan, dokumentasi yang diharuskan, pengesahan dan pengujian untuk menekan biaya
pengembangan sistem
2. Pengendalian aplikasi
Pengendalian aplikasi didesain untuk memastikan kelengkapan dan akurasi pemrosesan transaksi, otorisasi dan
validasi. Dalam banyak kasus, pengecekan komputer dapat mencegah terjadinya kesalahan dan mendeteksi
serta mengkoreksi kesalahan.
Pengendalian umum diperlukan untuk mendukung pelaksanaan pengendalian aplikasi, sedangkan pengendalian
aplikasi diperlukan untuk memastikan pemrosesan transaksi yang akurat dan lengkap.
C. Pengendalian entitas khusus
Karena masing-masing entitas memiliki tujuan dan strategi masing-masing, maka aktifitas pengendalian
mungkin akan berbeda satu sama lain. Faktor-faktor yang mempengaruhi desain pengendalian internal adalah :
kemampuan dan penilaian manajemen, lingkungan dan industri beroperasinya, kompleksitas dan sifat organisasi,
penyebaran asset dan karyawan serta tingkat kerumitan operasi dan pemrosesan informasi.
IV. Informasi dan Komunikasi
Sistem informasi berperan dalam sistem pengendalian internal sebagai penghasil laporan, termasuk operasional,
finansial, dan ketaatan, sehingga memungkinkan karyawan untuk melakukan aktifitas pengendalian dan juga untuk
memperoleh informasi serta mengkomunikasikannya secara tepat waktu maupun tepat bentuknya. Ini akan
memudahkan manajemen untuk melakukan dan mengendalikan bisnis dengan efektif.
V. Pemantauan
Pemantauan (monitoring) merupakan suatu proses yang menilai kualitas dari kinerja suatu sistem dalam suatu
waktu. Sistem pengendalian internal harus dimonitor untuk mengetahui kualitas sistem pengendalian internal dari
waktu ke waktu. Ketika monitoring diatur dengan baik perusahaan cenderung diuntungkan karena perusahaan akan
dapat :
a) Mengidentifikasikan dan memperbaiki pengendalian internal pada waktu yang tepat
b) Menyediakan informasi yang lebih akurat dan dapat diandalkan untuk pengambilan keputusan
c) Menyediakan laporan keuangan yang akurat dan tepat waktu
d) Berada dalam posisi kesiapan menyatakan pendapat mengenai kemampuan pengendalian internal
Konsep Pengendalian
Beberapa konsep utama/dasar terkait dengan pengendalian intern adalah:
Tanggung jawab manajemen Manajemen yang bertanggung jawab dalam rangka mempersiapkan dan menyajikan
laporan keuangan. Oleh karena itu manajemen yang bertanggung jawab dalam menentukan dan memelihara adanya
pengendalian intern yang efektif dan handal.
Proses yang berkesinambungan Internal control bukanlah suatu kejadian tunggal, tetapi merupakan serangkaian
tindakan dan kegiatan yang meliputi operasi organisasi. Tindakan-tindakan ini melekat dalam metode yang
digunakan manajemen untuk melaksanakan operasi sehari-hari. Internal control jangan dipandang sebagai sesuatu
yang terpisah atau suatu sistem tersendiri dalam suatu bagian, tetapi lebih merupakan suatu bagian yang terpadu
dari proses bisnis yang dikelola oleh manajemen untuk mencapai tujuan organisasi. Suatu sistem internal control
yang efektif ditandai dengan pengendalian melekat pada infrastruktur suatu bagian dan bukan pengendalian yang
ditambahkan di atas infrastruktur.
Bergantung pada faktor manusia Manusia yang membuat internal control berjalan. Pimpinan pada akhirnya
bertanggung jawab untuk memelihara struktur internal control yang efektif, meskipun manajemen mencapainya
melalui pendelegasian dan kinerja dari pertanggungjawaban oleh semua pegawai dalam organisasi. Dengan
demikian para pegawai dengan jelas harus memahami tanggung jawab dan batas wewenangnya serta pengaruhnya
terhadap pencapaian efektifitas dari struktur internal control. Faktor manusialah yang mendefinisikan tujuan-tujuan
bisnis yang terukur, mengawali mekanisme internal control dan kegiatan, dan memantau seberapa bagus
pengendalian membantu dalam pencapaian tujuan-tujuan yang telah ditetapkan.
Keyakinan Yang Memadai bukan mutlak Walaupun internal control dibuat dan dilaksanakan dengan sebaik-
baiknya, internal control tidak dapat memberikan keyakian mutlak. Manajemen harus merancang dan
mengimplementasikan internal control berdasarkan perkiraan manfaat dan biaya. Pada dasarnya, internal control
hanya memberikan keyakinan yang memadai dalam mencapai tujuan. Kesalahan dalam memberikan penilaian,
kapasitas manajemen untuk menolak pengendalian, dan tindakan kolusi untuk mengelak dari pengendalian dapat
menghambat pencapaian tujuan. Namun, struktur internal control yang efektif dapat memberikan keyakinan terbaik
bahwa kejadian yang tidak diharapkan dapat diminimalkan serta tercapainya tujuan organisasi.
Pengendalian intern beroperasi pada level efektivitas yang berbeda-beda. Pengendalian Internal dapat
dinilai apakah efektif atau tidak berdasarkan 3 kriteria dimana baik dewan komisaris maupun manajemen
mempunyai jaminan yang wajar bahwa tujuan organisasi diupayakan dalam bentuk:
a. Laporan keuangan yang dipublikasikan bersifat handal
b. Hukum dan peraturan yang berlaku ditaati
Ketika pengendalian internal adalah sebuah proses, maka tingkat keefektifannya adalah keadaan pada satu saat
tertentu (bervariasi dari waktu ke waktu).
Implementasi pada BUMN
Dalam rangka meningkatkan keberhasilan usaha dan akuntabilitas perusahaan/BUMN (corporate
governance) guna mewujudkan nilai pemegang saham dalam jangka panjang dengan tetap memperhatikan
kepentingan stakeholder lainnya, berlandaskan peraturan perundangan dan nilai-nilai etika maka pemerintah
Republik Indonesia telah menerbitkan Keputusan Menteri Negara BUMN Nomor Kep-117/M-MBU/2002 tentang
Penerapan Praktek Good Corporate Governance pada Badan Usaha Milik Negara (BUMN).
Salah satu bagian penting yang diatur dalam keputusan tersebut adalah sistem pengendalian internal dari
BUMN. Pada pasal 22 KEP-117/M-MBU/2002 tersebut dinyatakan hal-hal sebagai berikut:
Ayat (1)
Direksi harus menetapkan suatu Sistem Pengendalian Internal yang efektif untuk mengamankan investasi dan aset
BUMN.
Ayat (2)
Sistem Pengendalian Internal sebagaimana dimaksud dalam ayat (1), antara lain mencakup hal-hal sebagai berikut:
a. Lingkungan pengendalian internal dalam perusahaan yang disiplin dan terstruktur, yang terdiri dari :
1. integritas, nilai etika dan kompetensi karyawan;
2. filosofi dan gaya manajemen;
3. cara yang ditempuh manajemen dalam melaksanakan kewenangan dan tanggung jawabnya;
4. pengorganisasian dan pengembangan sumber daya manusia; dan
5. perhatian dan arahan yang dilakukan oleh Direksi.
b. pengkajian dan pengelolaan resiko usaha yaitu suatu proses untuk mengidentifikasi, menganalisis, menilai dan
mengelola resiko usaha relevan.
c. aktivitas pengendalian yaitu tindakan-tindakan yang dilakukan dalam suatu proses pengendalian terhadap
kegiatan perusahaan pada setiap tingkat dan unit dalam struktur organisasi BUMN, antara lain mengenai
kewenangan, otorisasi, verifikasi, rekonsiliasi, penilaian atas prestasi kerja, pembagian tugas dan keamanan
terhadap aset perusahaan.
d. sistem informasi dan komunikasi yaitu suatu proses penyajian laporan mengenai kegiatan operasional, financial,
dan ketaatan atas ketentuan dan peraturan yang berlaku pada BUMN.
e. monitoring yaitu proses penilaian terhadap kualitas sistem pengendalian internal termasuk fungsi internal audit
pada setiap tingkat dan unit struktur organisasi BUMN, sehingga dapat dilaksanakan secara optimal, dengan
ketentuan bahwa penyimpangan yang terjadi dilaporkan kepada Direksi dan tembusannya disampaikan kepada
Komite Audit.
Berdasarkan ketentuan tersebut maka penyaji dapat memastikan bahwa kerangka kerja pengendalian
intern COSO tidak hanya aplikatif pada BUMN Indonesia, namun juga telah memiliki basis legal yang memastikan
bahwa BUMN Indonesia memiliki kewajiban baik secara professional maupun legal untuk mengadopsi dan
mengaplikasikan pengendalian intern COSO.
COBIT
Control Objectives for Information and Related Technology (COBIT) dapat definisikan sebagai alat
pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap
teknologi informasi yang dikembangkan oleh Information System Audit and Control Association (ISACA) melalui
lembaga yang dibentuknya yaitu Information and Technology Governance Institute (ITGI) pada tahun 1992.
COBIT yang pertama kali diluncurkan pada tahun 1996, mengalami perubahan berupa perhatian lebih
kepada dokumen sumber, revisi pada tingkat lebih lanjut serta tujuan pengendalian rinci dan tambahan seperangkat
alat implementasi (implementation tool set) pada edisi keduanya yang dipublikasikan pada tahun 1998. COBIT pada
edisi ketiga ditandai dengan masuknya penerbit utama baru COBIT yaitu ITGI. COBIT edisi keempat merupakan versi
terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait.
Tujuan Pembentukan
Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan mempublikasikan suatu
standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis
sehari-hari.
Dengan bahasa lain, COBIT dapat pula dikatakan sebagai sekumpulan dokumentasi best practices untuk IT
governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko
bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis melalui pengendalian terhadap masing-masing
dari 34 proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT.
COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari
COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap corporate
governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun
ketika terjadi kondisi ekonomi yang sulit.
Fokus utama COBIT adalah harapan bahwa melalui adopsi COBIT ini perusahaan akan mampu meningkatkan
nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.
Stakeholder
COBIT dirancang untuk digunakan oleh tiga pengguna berbeda yaitu :
Manajemen
Dengan penerapan COBIT, manajemen dapat terbantu dalam proses penyeimbangan resiko dan pengendalian
investasi dalam lingkungan IT yang tidak dapat diprediksi.
User
Pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan keamanan dan pengendalian
IT yang disediakan oleh pihak internal atau pihak ketiga.
Auditor
Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang dihasilkan dan/atau untuk
memberikan saran kepada manajemen atas pengendalian internal yang ada.
Overview COBIT
Secara singkat dapat COBIT memiliki kerangka kerja yang terdiri atas beberapa arahan (guidelines), yakni :
I. Control Objectives
COBIT terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives), yaitu :
1. Planning and Organization
Mencakup strategi, taktik dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi
dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan
dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur
teknologi harus di tempatkan di tempat yang semestinya. Proses dalam domain ini adalah :
Menetapkan rencana stratejik TI
Menetapkan susunan informasi
Menetapkan kebijakan teknologi
Menetapkan hubungan dan organisasi TI
Mengelola investasi IT
Mengkomunikasikan arah dan tujuan manajemen
Mengelola sumberdaya manusia
Memastikan pemenuhan keperluan pihak eksternal
Menaksir risiko
Mengelola proyek
Mengelola kualitas
2. Acquisition and Implementation
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta
diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang
ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-
sistem ini. Langkah-langkah domain ini adalah :
Mengidentifikasi solusi terotomatisasi
Mendapatkan dan memelihara software aplikasi
Mendapatkan dan memelihara infrastruktur teknologi
Mengembangkan dan memelihara prosedur
Memasang dan mengakui sistem
Mengelola perubahan
3. Delivery and Support
Domain ini berfokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area
seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan
pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan
dan juga pelatihan.
Proses dalam domain ini adalah :
Menetapkan dan mengelola tingkat pelayanan
Mengelola pelayanan kepada pihak lain
Mengelola kinerja dan kapasitas
Memastikan pelayanan yang kontinyu
Memastikan keamanan sistem
Melakukan identifikasi terhadap atribut biaya
Memberi pelatihan kepada user
Melayani konsumen IT
Mengelola konfigurasi/susunan
Mengelola masalah dan kecelakaan
Mengelola data
Mengelola fasilitas
Mengelola operasi
4. Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas
syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam
organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari
sumber-sumber anternatif lainnya. Proses dalam domai ini sebagai berikut :
Memonitor proses.
Menaksir kecukupan pengendalian internal.
Mendapatkan kepastian yang independen.
II. Audit Guidelines COBIT
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.
III. Management Guidelines COBIT
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar
dapat menjawab pertanyaan-pertanyaan berikut :
Sejauh mana TI harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang
dihasilkannya?
Apa saja indikator untuk suatu kinerja yang bagus?
Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses?
Apa saja risiko-risiko yang timbul apabila kita tidak mencapai sasaran yang ditentukan?
Apa yang dilakukan perusahaan lain?
Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya?
Kerangka kerja COBIT juga memasukkan juga hal-hal berikut ini :
1. Maturity Models Untuk memetakan status maturity proses-proses TI (dalam skala 0 - 5) dibandingkan
dengan the best in the class in the Industry dan juga International best practices.
2. Critical Success Factors (CSFs) Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas
proses TI.
3. Key Goal Indicators (KGIs) Kinerja proses-proses TI sehubungan dengan business requirements.
4. Key Performance Indicators (KPIs) Kinerja proses-proses TI sehubungan dengan process goal.
Konsep Pengendalian
COBIT mengadopsi definisi pengendalian dari COSO yaitu : Kebijakan, prosedur, dan praktik, dan struktur
organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-
hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki.
Sedangkan dalam tujuan pengendalian, COBIT mendefinisikannya sebagai : Suatu pernyataan atas hasil
yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam
aktivitas IT tertentu.
COBIT melihat pengendalian dalam tiga dimensi berbeda yaitu Sumber IT, Proses IT, dan Kriteria Informasi
IT. Dimensi pertama mencakup semua asset IT suatu perusahaan, yang dapat diidentifikasikan sebagai berikut:
a. Data
b. Sistem aplikasi
c. Teknologi
d. Fasilitas
e. Manusia
Proses IT sebagai dimensi kedua dari COBIT terdiri dari tiga segmen, yaitu : domains, proses, dan aktivitas.
Sedangkan dalam dimensi ketiganya COBIT menetapkan kriteria informasi yang berguna dalam mendukung
tercapainya tujuan organisasi dengan merujuk pada kebutuhan informasi di organisasi atau perusahaan. COBIT
mengkombinasikan beberapa prinsip penyusunan informasi berdasarkan model-model yang sudah ada, dan
merumuskannya kedalam tiga kategori utama, yaitu : quality, fiduciary responsibility dan security. Tiga kategori ini
kemudian diuraikan lebih lanjut dalam kriteria-kriteria sebagai berikut :
Efektifitas
Efisiensi
Kerahasiaan
Integritas
Ketersediaan
Kepatuhan
Keandalan
The Balanced Scorecard (BSC) telah mengubah kinerja banyak perusahaan di seluruh penjuru dunia. Sejak 1992,
sistem manajemen kinerja ini telah membantu banyak manajemen puncak menentukan tujuan dan strategi
perusahaan dan menerjemahkannya secara konkret ke dalam suatu set cara pengukuran. Apa yang telah
membuatnya begitu sukses adalah bahwa BSC mampu menerjemahkan strategi ke dalam sebuah proses yang
bukan hanya menjadi milik manajemen puncak, namun juga setiap individu pada setiap level di dalam perusahaan.
Setiap pegawai megetahui bukan hanya apa yang harus dilakukannya, namun juga mengapa dia melakukan itu.
Namun yang lebih penting lagi adalah bahwa BSC tidak melulu memandang strategi dalam kaitan aspek finansial
semata, namun juga aspek tiga tambahan lain yaitu: 1) hubungan dengan pelanggan, 2) proses internal, serta 3)
pembelajaran dan pertumbuhan.
Banyak pihak percaya, bahwa ketiga aspek tambahan tersebut bukanlah hal yang benar-benar baru. Namun sebagai
sebuah kerangka pemikiran, dunia harus mengakui bahwa Robert S. Kaplan, seorang profesor akunting pada
Harvard Business Shool, beserta David P. Norton, seorang konsultan teknologi informasi, yang telah berjasa
merumuskan konsep pemikiran tersebut sehingga menjadi sebuah sistem yang dapat menjadi acuan bagi
perusahaan-perusahaan yang ingin menerapkan sistem ini secara sistematis.
Konsep itu sendiri merupakan pemikiran yang tidak statis dan tidak pula bersifat sekali-jadi. Sejak pertama kali
muncul dalam artikel di Harvard Business Review pada edisi Januari-Februari 1992, Kaplan dan Norton secara
evolutif berdasarkan bukti-butkri empirik dari pengalaman-pengalaman perusahaan-perusahaan yang disurvey dalam
penerapan konsep ini, telah memoles dan mempertajam konsep ini dari tahun ke tahun hingga yang mutakhir konsep
ini semakin lengkap dengan konsep Strategy-focused Organisation (SFO). Tulisan ini berusaha memotret dan
mengintegrasikan evolusi pemikiran Kaplan dan Norton tersebut dari sumbernya yang asli, yaitu artikel-artikel dan
buku-buku yang ditulis oleh mereka berdua terkait dengan BSC.
KONSEP BSC
BSC sebagai Sistem Pengukuran yang Mengarahkan Kinerja
Kaplan dan Norton (1992) mengatakan kepada para eksekutif senior: What you measure is what you get. Secara
singkat ungkapan tersebut ingin mengatakan bahwa sistem pengukuran kinerja betul-betul akan mempengaruhi
kinerja dan perilaku individu-individu di dalam perusahaan. Masalahnya, perspektif apa saja yang perlu diperhatikan
dalam pengukuran kinerja? Ketika awal era industrialisasi, secara tradisional orang merasa cukup dengan ukuran-
ukuran akuntansi keuangan seperti return on investment (ROI) atau earnings per share (EPS). Namun pengukuran
perspektif keuangan saja ternyata tidak memuaskan. Orang juga mulai memerlukan informasi yang berkaitan dengan
kinerja operasional. Bahkan ada sebagian orang yang mengatakan Lupakan saja pengukuran perspektif keuangan.
Fokuskan upaya pada perbaikan operasional seperti siklus waktu dan tingkat kerusakan produk. Pada akhirnya ini
akan berdampak juga pada perspektif finansial.
Jelas bahwa pengukuran tunggal tidak lagi mencukupi. Ibarat seorang sopir yang tengah mengendarai mobil, tidak
cukup dengan dashboard yang hanya menunjukkan pengukuran bahan bakar. Dia juga memerlukan petunjuk
pengukuran kecepatan, temperatur mesin, putaran mesin, dan sebagainya. Inilah yang kemudian melatarbelakangi
Kaplan dan Norton merumuskan konsep pengukuran kinerja yang dinamakan The Balanced Scorecard (BSC).
Keseimbangan (balanced) di sini menunjuk pada adanya kesetimbangan pada perspektif-perspektif yang akan
diukur, yaitu antara perspektif keuangan dan perspektif nonkeuangan sebagai berikut:
1. Perspektif pelanggan, yaitu untuk menjawab pertanyaan bagaimana customer memandang perusahaan.
2. Perspektif internal, untuk menjawab pertanyaan pada bidang apa perusahaan memiliki keahlian.
3. Perspektif inovasi dan pembelajaran, untuk menjawab pertanyaan apakah perusahaan mampu berkelanjutan
dan menciptakan value.
4. Perspektif keuangan, untuk menjawab pertanyaan bagaimana perusahaan memandang pemegang saham.
Kaplan dan Norton menggambarkan keseimbangan hubungan-hubungan perspektif pengukuran-pengukuran
tersebut sebagai berikut:
Selanjutnya Kaplan dan Norton memberikan contoh tujuan-tujuan dan pengukuran kinerjanya untuk keempat
perspektif tersebut pada sebuah perusahaan manufaktur sebagai berikut:
Terlihat dalam contoh tersebut, bagaimana pengukuran secara spesifik dihubungkan pada tujuan-tujuan perusahaan.
Pada umumnya misi perusahaan berbicara secara umum mengenai pelanggan. Namun dengan BSC, tujuan dan
pengukurannya dibuat dengan lebih rinci dengan memperhitungkan ekspekstasi pelanggan terkait dengan waktu,
kualitas, kinerja produk, dan biaya. Demikian pula dengan proses internal, secara rinci memusatkan pada
kompetensi inti, proses, keputusan, serta tindakan-tindakan yang berpengaruh pada kepuasan pelanggan.
Sedangkan inovasi dan pembelajaran menunjukkan keberhasilan masa depan. Perspektif ini mengukur perbaikan
terus-menerus terhadap produk dan proses yang sedang berjalan yang memunculkan produk-produk baru serta
meningkatkan kemampuan perusahaan.
Dengan kombinasi berbagai perspektif tersebut, menjadikan pengukuran kinerja bukan lagi semata domain dari
direktur keuangan atau controller, namun juga orang-orang di lini bisnis yang mengetahui secara persis operasional
yang berlangsung dalam perusahaan. Juga, pengukuran bukan lagi bersifat satu arah dan bertujuan sebagai
pengendalian, namun bersifat multi arah dimana setiap bagian dan individu dalam perusahaan mengetahui visi
perusahaan dan tujuan pada setiap level serta menetapkan sistem yang membantunya mengukur kinerja yang harus
dilakukan dalam mencapai visi dan tujuan tersebut. Inilah mengapa BSC menjadi sistem pengukuran yang
mendorong kinerja.
BSC sebagai Sistem Manajemen Strategik
Penerapan BSC dari tahun ke tahun mengalami pengayaan manajerial. Banyak perusahaan yang menerapkan
konsep ini mendapatkan manfaat bahwa adanya gap antara strategi jangka panjang dengan tindakan jangka pendek
yang selama ini ada dapat diatasi dengan BSC. Selama ini sebagian besar sistem pengendalian manajemen
didasarkan pada pengukruan dan target finansial, yang jarang sekali terkait dengan jangka panjang. Sementara,
menurut Kaplan dan Norton (1996a), BSC membantu manajemen melakukan empat proses manajemen baru yang
menghubungkan antara startegi jangka panjang dengan tindakan jangka pendek. Keempat proses tersebut adalah
sebagai berikut:
Proses pertama menerjemahkan visi membantu para manajer membangun suatu konsensus di sekitar strategi
dan visi organisasi. Meskipun maksud para manajemen puncak itu baik, namun banyak pernyataan visi seperti
menjadi terbaik di kelasnya, menjadi penyalur nomor satu, atau suatu organisasi yang diberdayakan tidak
dengan mudah dapat diterjemahkan dengan terminologi operasional yang oleh karenanya juga tidak mudah
dilaksanakan oleh individu di dalam perusahaan. Dengan BSC, visi dan strategi diterjemahkan dengan suatu set
tujuan dan pengukuran yang integratif, disetujui oleh para eksekutif senior dan menggambarkan arah jangka panjang
menuju sukses.
Proses yang kedua- berkomunikasi dan menghubungkan- membantu para manajer mengomunikasikan strategi
mereka ke seluruh organisasi dan menghubungkannya ke sasaran hasil individu dan per departemen. BSC
memberikan cara bagi para manajer untuk memastikan bahwa semua tingkatan di dalam organisasi memahami
strategi jangka panjang dan bahwa sasaran individu serta departemen tidak lari dari strategi tersebut.
Proses yang yang ketiga perencanaan bisnis- memungkinkan perusahaan untuk mengintegrasikan bisnis mereka
dengan rencana keuangan. Hampir semua organisasi menerapkan berbagai program perubahan, bersama para ahli,
guru, dan konsultan masing-masing, bersaing untuk mendapatkan perhatian, energi, dan sumber daya dari eksekutif
senior. Para manajer mengalami kesulitan untuk mengintegrasikan prakarsa yang berbeda itu untuk mencapai tujuan
strategik mereka. Situasi seperti ini akan mengantarkan perusahaan pada kekecewaan atas hasil program-program
tersebut. Dengan BSC, para manajer dapat melihat program mana yang dapat menjadi prioritas sumber daya, yaitu
hanya program yang mengarah pada tujuan strategik perusahaan.
Proses yang keempat umpan balik dan pembelajaran- memberi perusahaan kapasitas untuk apa yang disebut
dengan pembelajaran strategik. Secara tradisional, umpan balik yang ada dan proses review memusatkan pada
apakah perusahaan, departemen, atau individu karyawannya sudah memenuhi target atu tujuan finansialnya.
Namun dengan BSC, suatu perusahaan dapat memonitor akibat jangka pendek dari ketiga perspektif lainnya -
pelanggan, proses bisnis internal, serta pembelajaran dan pertumbuhan- dan mengevaluasi strategi dipandang dari
sudut kinerja terakhir. BSC dengan demikian dapat memungkinkan perusahaan memodifikasi strateginya secara real
time.
BSC Menerjemahkan Visi dan Strategi Menjadi Aksi
Di atas telah disebutkan adanya gap antara pernyataan visi dan misi dengan kebutuhan aktual setiap individu di
dalam perusahaan untuk bertindak sesuai dengan visi dan misi tersebut. Boleh jadi seluruh manajemen dan
karyawan perusahaan menyepakati salah satu pernyataan misi bahwa perusahaan memberikan layanan yang prima
kepada pelanggan yang setia. Namun bukan tidak mungkin, dalam operasional sehari-hari terjadi perbedaan
persepsi antara individu yang satu dengan yang lain ketika harus menerjemahkan layanan yang prima. Atau bisa
jadi, akan terjadi perbedaan image antara individu satu dengan yang lain mengenai pelanggan yang setia. Artinya,
pada umumnya pernyataan visi dan misi/strategi terlalu umum sehingga tidak memungkinkan setiap individu di dalam
perusahaan untuk bertindak secara terukur dan standar.
Dengan BSC, manajemen senior di dalam perusahaan akan memiliki konsensus yang sama dalam penerjemahan
visi dan strategi perusahaan serta setiap individu memahami ukuran-ukuran tindakan apa yang sesuai dengan visi
dan strategi tersebut. Kaplan dan Norton (1996a) menggambarkan penerjemahan visi dan strategi tersebut dalam
gambar berikut. Dalam gambar tersebut terlihat bagaimana visi dan strategi akan diterjemahkan dalam keempat
perspektif, masing-masing dalam bentuk tujuan, ukuran, target, dan inistiatif untuk level perusahaan.
Selanjutnya, tujuan, ukuran, target, dan inisitiatif pada level perusahaan tersebut akan diturunkan lagi ke level
departemen dan personal, dengan contoh sebagai berikut:
Personal scorecard ini menjadi alat bagi perusahaan dalam mengkomunikasikan tujuannya kepada individu atau tim
yang melakukan pekerjaan di lapangan.
BSC sebagai Alat Memetakan Strategi
Pada uraian di atas telah dijelaskan bagaimana BSC menerjemahkan dan membuat keterhubungan antara visi dan
strategi perusahaan pada level yang paling atas hingga level individu dalam bentuk tujuan-tujuan, ukuran-ukuran,
target, dan inisiatif. Sampai pada titik ini, strategi belum dieksekusi. Ibarat satu kompi pasukan yang siap bertempur
maka setiap individu dalam pasukan, dari komandan hingga anggota, telah menyepakati dan memahami strategi apa
yang digunakan dalam peperangan.
Namun untuk mengeksekusi strategi, akan lebih baik lagi apabila strategi dimaksud dapat divisualisasi dalam bentuk
peta strategi. Sama halnya dengan yang dihadapi pasukan tersebut, perusahaan juga memerlukan peta strategi
untuk menunjukkan pola hubungan sebab akibat di antara aspek-aspek dalam BSC secara visual. Kaplan dan Norton
(2000) menunjukkan contoh bagaimana perusahaan dapat memetakan strategi sebagai berikut:
Peta stratetgi di atas menunjukkan bagaimana perusahaan akan mengkonversi aset-aset yang dimilikinya ke
outcome yang diharapkan. Pada gambar tampak bagaimana pegawai memerlukan pengetahuan, ketrampilan, dan
sistem (perspektif pembelajaran dan pertumbuhan) untuk membuat inovasi dan membangun strategi yang efisien
(perspektif proses internal) sehingga mereka dapat memberikan nilai lebih kepada pasar (perspektif pelanggan),
yang pada akhirnya akan meningkatkan return dan nilai pemegang saham (perspektif keuangan).
BSC sebagai Alat Penghubung Aset Tak Berwujud dengan Nilai Pemegang Saham
Peta strategi yang dibahas di atas bukan hanya menunjukkan pola hubungan sebab akibat antarperspektif, namun
lebih jauh lagi dapat menunjukkan hubungan antara aset tak berwujud (intangible asset) dengan penciptaan nilai
pemegang saham. Kaplan dan Norton (2004) menunjukkan keterhubungan tersebut dalam peta strategi berikut:
Sebagaimana terlihat pada perspektif pertumbuhan dan pembelajaran pada peta strategi di atas, Kaplan dan Norton
mengidentifikasi tiga aset tak berwujud utama suatu perusahaan yaitu: 1) Human Capital, 2) Information Capital, dan
3) Organization Capital. Ketiga aset ini tidak ternilai dengan sistem akuntansi yang tradisional. Padahal sudah tentu
ketiga aset inilah justru yang secara kompetitif bisa menjadi keunggulan karena sifatnya yang sulit untuk diimitasi.
Ketiga aset tak beruwujud ini harus terintegrasi dengan proses internal dan perlu dinilai seberapa kuat kapabilitasnya
dalam menciptakan nilai pelanggan yang pada akhirnya menciptakan nilai pemegang saham.
MEMBANGUN BSC
Menghubungkan pengukuran dengan strategi merupakan inti dari keberhasilan proses pengembangan scorecard.
Untuk itu menurut Kaplan dan Norton (1993) terdapat tiga pertanyaan kunci, yaitu:
1. Bila perusahaan berhasil mencapai visi dan strateginya, maka bagaimana perusahaan bisa terlihat berbeda:
di mata pemegang saham dan pelanggan?
dalam kaitan dengan proses internal?
dalam kaitan dengan kemapuan perusahaan untuk menciptakan inovasi dan bertumbuh?
2. Apa faktor sukses kritikal (critical success factors) untuk setiap perspektif dari keempat perspektif tersebut?
3. Apa pengukuran kunci yang akan memberitahu perusahaan bahwa dia telah mencapai faktor sukses tersebut
sesuai dengan yang direncanakan?
Setiap organisasi bersifat unik sehingga cukup sulit untuk menyamaratakan tahap-tahap pengembangan BSC antara
satu perusahaan dengan perusahaan yang lain. Namun Kaplan dan Norton (1993) memberikan gambaran umum
mengenai bagaimana projek pengembangan BSC dapat dilakukan, sebagai berikut:
1. Persiapan
Organisasi harus mendefinisikan terlebih dahulu unit bisnis di mana suatu scorecard level atas akan diterapkan. Unit
bisnis ini secara umum ditandai dengan adanya pelanggan, saluran distribusi, fasilitas produksi, dan pelaporan
keuangan tersendiri.
2. Interview: Putaran yang pertama
Masing-masing manajer senior di bisnis unit -biasanya antara 6 sampai 12 eksekutif- menerima materi yang
berkaitan dengan penyusunan BSC seperti dokumen internal yang menguraikan visi perusahaan, misi, dan strategi.
Facilitator BSC (baik konsultan dari luar maupun dari dalam perusahaan yang mengorganisir projek) melakukan
wawancara sekitar 90 menit terhadap masing-masing eksekutif senior untuk memperoleh masukan dari mereka
mengenai tujuan strategis perusahaan dan atas proposal pengukuran BSC yang masih tentatif. Facilitator boleh juga
mewawancarai beberapa pemegang saham untuk mendapatkan pemahaman mengenai harapan mereka terhadap
kinerja keuangan perusahaan. Demikian juga terhadap beberapa pelanggan dan pemasok utama perusahaan.
3. Workshop Eksekutif: Putaran Pertama
Sekelompok manajemen puncak tersebut dibawa bersama-sama dengan facilitator untuk mengikuti proses
pengembangan scorecard dengan mengacu pada diagram berikut ini:
Selama workshop, kelompok tersebut dapat berdebat mengenai statemen strategi dan misi yang diusulkan hingga
dapat dicapai sebuah konsensus. Kelompok kemudian berpindah dari misi dan statemen strategi untuk kemudian
menjawab 3 pertanyaan kunci di atas. Dokumentasi wawancara dengan pemegang saham, pelanggan, dan pemasok
dapat disampaikan kepada kelompok tersebut untuk memberikan gambaran bagaimana ekspektasi para stakeholder.
Setelah mendefinisikan faktor sukses kunci tersebut, kelompok kemudian merumuskan suatu BSC pendahuluan
yang telah mengandung pengukuran untuk tujuan-tujuan strategis tersebut. Seringkali, kelompok mengusulkan jauh
lebih banyak dari empat atau lima ukuran untuk masing-masing perspektif. Pada tahap ini, tidak perlu membatasi
aneka pilihan tersebut, walaupun bisa saja kelompok langsung memutuskan ukuran-ukuran yang dipandang memilik
prioritas rendah.
4. Interviews: Putaran Kedua
Facilitator meninjau ulang, memperkuat, dan mendokumentasikan keluaran dari workshop eksekutif di atas dan
mewawancarai masing-masing eksekutif senior tentang BSC pendahuluan tersebut. Facilitator juga meminta
pendapat tentang isu-isu yang mungkin muncul bila BSC jadi diterapkan.
5. Workshop Eksekutif: Putaran Kedua
Workshop putaran kedua ini tidak hanya melibatkan manajemen senior, namun juga manajemen tingkat menengah.
Kembali lagi mereka berdebat mengenai visi dan strategi perusahaan, serta BSC pendahuluan yang telah dihasilkan
dari tahap sebelumnya. Selanjutnya, para peserta bekerja di dalam kelompok, memberikan komentar dan
merencanakan implementasinya. Pada akhir acara, peserta diminta untuk merumuskan sasaran untuk masing-
masing dari ukuran yang diusulkan, termasuk tingkat keberhasilan yang ditargetkan demi peningkatan kinerja
perusahaan.
6. Workshop Eksekutif: Putaran Ketiga
Kelompok eksekutif senior bertemu kembali untuk mencapai sustu konsensus final mengenai vision, tujuan, dan
pengukuran yang dikembangkan dalam dua kali workshop sebelumnya; untuk kemudian menetapkan taget untuk
masing-masing ukuran; dan untuk mengidentifikasi program tindakan persiapan untuk mencapai target. Kelompok
harus sepakat mengenai program implementasi yang akan dijalankan, termasuk mengomunikasikan scorecard ke
karyawan, mengintegrasikan scorecard ke dalam filosofi manajemen, dan mengembangkan sistem informasi untuk
mendukung scorecard tersebut.
7. Implementasi
Suatu kelompok baru dibentuk untuk menyusun rencana implementasi scorecard, termasuk menghubungkan tiap
ukuran dengan database dan sistem informasi, mengomunikasikan scorecard ke seluruh organisasi, dan mendorong
dan memfasilitasi pengembangan pengukuran hingga ke level unit kerja yang lebih rendah.
8. Review berkala
Setiap triwulan, kuartal, atau setiap bulan, laporan dari BSC disampaikan baik kepada manajemen puncak mapun ke
unit-unit kerja untuk direview, didiskusikan dan ditindaklanjuti. Pengukuran-pengukuran BSC direview kembali setiap
tahun sebagai bagian dari perencanaan strategik, penentuan sasaran, dan alokasi sumber daya.
KELEBIHAN BSC
Yang menjadikan BSC memiliki nilai lebih dibandingkan dengan pengukuran kinerja tradisional adalah karena dia
memiliki karakteristik sebagai berikut:
1. BSC merupakan suatu turunan dari strategi dan misi perusahaan secara top-down. Sebaliknya, ukuran
kebanyakan perusahaan adalah secara bottom-up: yaitu diperoleh dari aktivitas di bawah datau bersifat ad-
hoc, sehingga seringkali tidak relevan dengan strategi secara keseluruhan.
2. BSC bersifat memandang ke depan (forward looking). Hal tersebut memperhitungkan keberhasilan bukan
hanya saat ini namun juga bagaimana perkiraannya di masa depan. Ini berbeda dengan pengukuran kinerja
keuangan tradisional yang hanya menunjukkan kinerja periode yang telah lewat.
3. BSC mengintegrasikan pengukuran internal dan eksternal. BSC tidak hanya mengukur net operating income,
misalnya (eksternal) namun juga mengukur mengenai produk baru (internal). Ini membantu para manajer
melihat di mana mereka telah melakukan trade-off di antara aspek pengukuran kinerja di masa lalu, dan
membantu mereka memastikan bahwa keberhasilan masa mendatang untuk satu aspek bukan dengan
merugikan aspek lainnya.
4. BSC membantu perusahaan lebih fokus karena membuat para manajer mencapai kesepakatan hanya pada
aspek pengukuran yang benar-benar kritikal terhadap trategi perusahaan.
5. BSC memberikan pengukuran yang lebih komprehensif dan seimbang dengan memasukkan perspektif non
keuangan, yang selama ini tidak diperhitungkan dalam pengukuran kinerja tradisional. Padahal
sesungguhnya justru ketiga perspektif itulah yang menghasilkan apa yang diukur dalam perspektif keuangan.
6. BSC memiliki perspektif yang koheren, dimana perspektif pembelajaran dan pertumbuhan akan
mempengaruhi proses internal yang akan memperbaiki nilai kepada pelanggan dan pada akhirnya
memperbaiki pula nilai pemegang saham.
7. BSC memberikan perspektif yang semuanya terukur. Ini akan memenuhi keyakinan if we can measure it, we
can manage it, if we can manage it, we can achieve it.
YANG PERLU DIPERHATIKAN
Apa yang telah diuraikan di atas adalah sejauh bagaimana perusahaan menetapkan visi dan strategi serta
penerjemahannya hingga ke level yang paling bawah di organisasi. Sebagaimana dikritisi oleh para pengamat, di
antaranya Kirby dan Schmiesing (2003) dan diakui oleh Kaplan dan Norton dalam websitenya (www.bscol.com) , hal
tersebut di atas adalah sebuah langkah membuat strategi menjadi lebih berkualitas. Masalahnya tidak cukup strategi
hanya berkualitas, apabila strategi tersebut tidak atau gagal dilaksanakan. Jadi lebih penting lagi adalah langkah lain
yaitu mengeksekusi strategi.
Sebagaimana presentasi dalam websitenya ), Norton memberikan lima prinsip yang mentransformasi BSC dari
sebuah alat untuk pengukuran kinerja menjadi alat untuk menjadikan organisasi fokus pada strategi (Strategy-
focused organization). Kelima prinsip tersebut digambarkan oleh Norton sebagai berikut:
1. Terjemahkan (translate) strategi menjadi istilah operasional, sehingga bisa dipahami oleh setiap individu di dalam
perusahaan
2. Hubungkan (align) setiap bagian organisasi yang berbeda-beda dengan strategi
3. Motivasi (motivate) setiap individu di dalam organisasi dengan membuat strategi urusan setiap orang
4. Adaptasi (adapt) dan pembelajaran dengan membuat strategi sebagai sebuah proses yang berkelanjutan
5. Mobilisasikan (mobilize) perubahan melalui kepemimpinan yang kuat