manajerial, akan tetapi penerapan Teknologi Informasi membutuhkan biaya yang cukup besar
dengan resiko kegagalan yang tidak kecil. Untuk membuat penerapan Teknologi Informasi di dalam
perusahaan dapat digunakan secara maksimal, maka dibutuhkan pemahaman yang tepat mengenai
konsep dasar dari sistem yang berlaku, teknologi yang dimanfaatkan, aplikasi yang digunakan dan
pengelolaan serta pengembangan sistem yang dilakukan pada perusahaan tersebut.
COBIT 5 adalah a set of best practice (framework) bagi pengelolaan teknologi informasi (IT
management) yang secara lengkap terdiri dari: executive summary, framework, control objectives,
audit guidelines, implementation tool set serta management guidelines yang sangat berguna untuk
proses sistem informasi strategis.
Control Objectives for Information and related Technology (COBIT) berguna bagi IT users dalam
memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para
manajer memperoleh manfaat dalam keputusan saat menyusun strategic IT plan, menentukan
information architecture, dan keputusan atas procurement (pengadaan/pembelian) inventaris
organisasi.
COBIT dirancang terdiri dari 34 control objective yang tercermin di dalam 4 domain (IT Governance
Institute, 2007)
1. Plan and Organise (PO), Secara umum domain ini meliputi strategi dan taktik, serta identifikasi
bagaimana TI dapat berkontribusi terhadap pencapaian sasaran bisnis. Domain ini dibagi ke dalam
10 fase dalam prosesnya, yaitu:
2. Acquire and Implement (AI), Domain ini menggambarkan bagaimana perubahan dan
pemeliharaan dari sistem yang ada selaras dengan sasaran bisnis. Domain AI terbagi menjadi tujuh
proses TI yang dapat dilihat pada tabel berikut:
3. Deliver and Support (DS), Domain ini mencakup penyampaian hasil aktual dari layanan yang
diminta, termasuk pengelolaan kelancaran dan keamanan, dukungan layanan terhadap pengguna
serta pengelolaan data dan operasional fasilitas, yang meliputi:
4. Monitor and Evaluate (ME), Domain ini terkait dengan kinerja manajemen, kontrol internal,
pemenuhan terhadap aturan serta menyediakan tata kelola. Fungsi doman ini sendiri adalah untuk
memastikan seluruh proses TI dapat dikontrol secara periodik yang bermaksud untuk menjaga
kualitas dan pemenuhan kebutuhan pasar. Berbeda dari domain yang lain, ME hanya terdiri dari 4
proses TI, yaitu:
Referensi: samuellasmana.wordpress.com
Coso
Sistem pengendalian intern yang dianut pemerintah Indonesia salah satunya diadopsi dari COSO
(Commitee of Sponsoring Organization of Treadway Commision) yaitu komisi yang bergerak di
bidang manajemen organisasi. Tujuan dari Sistem Pengendalian Intern secara umum akan
membantu suatu organisasi mencapai tujuan operasional yaitu efektifitas dan efisiensi kegiatan,
keterandalan laporan keuangan, dan kepatuhan pada peraturan yang berlaku. Sistem Pengendaian
Intern perlu diketahui oleh seluruh komponen organisasi karena sistem ini merupakan sistem yang
terintegrasi dan merupakan tanggung jawab bersama untuk mewujudkan tujuan organisasi.
Kerangka Pengendalian Internal-Terpadu COSO 2013 diterbitkan pada tahun 1992 oleh COSO.
Kemudian pada tanggal 14 Mei 2013, COSO merilis versi terbaru dari Kerangka Pengendalian
Internal-Terpadu. Kerangka baru COSO adalah hasil dari proyek multitahunan yang signifikan,
termasuk dua putaran paparan publik untuk meninjau, menyegarkan, dan memodernisasi kerangka
asli dengan memastikannya tetap relevan.
Para regulator dan stakeholder mempunyai ekspektasi tinggi mengenai pengawasan tata kelola,
manajemen risiko, dan pendeteksian serta pencegahan penyelewengan (fraud). Sementara
kemajuan telah dibuat dalam menghubungkan manajemen risiko dan praktik pengendalian internal
dalam mengejar tujuan strategis organisasi. Banyak perubahan sejak tahun 1992, peningkatan risiko
bisnis secara signifikan, sehingga kebutuhan akan kompetensi dan akuntabilitas jauh lebih besar dari
sebelumnya.
Ø Kerangka asli termasuk diskusi panjang konsep pengendalian internal, yang sekarang
pengetahuan institusional.
Ø Meskipun konsep prinsip-prinsip pengendalian internal telah tertanam dalam kerangka asli,
prinsip tersebut belum terinci.
Ø Praktisi telah menggunakan kerangka pengendalian internal atas pelaporan keuangan eksternal,
namun kerangka ini meliputi tiga kategori utama, yaitu : tujuan termasuk operasi, pelaporan secara
keseluruhan, dan tujuan kepatuhan.
3. tujuan kepatuhan.
Menurut COSO, “Pengendalian internal adalah suatu proses yang dilakukan oleh dewan entitas
direksi, manajemen, dan personil lainnya; dirancang untuk memberikan keyakinan memadai tentang
pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan.”
Kerangka pengendalian internal tahun 2013 masih menggunakan tiga kategori tujuan
tersebut, dan terdiri dari lima komponen terpadu : lingkungan pengendalian, penilaian risiko,
aktivitas pengendalian, informasi dan komunikasi, serta pemantauan. Kerangka tersebut terus
beradaptasi, dan memungkinkan kita untuk mempertimbangkan pengendalian internal dari entitas,
divisi, unit operasi, dan/atau tingkat fungsional, misalnya pusat layanan bersama.
I. Lingkungan Pengendalian
5. Meningkatkan akuntabilitas
V. Monitoring
I. Lingkungan Pengendalian
Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan dalam suatu organisasi yang
akan mempengaruhi efektivitas pengendalian. Kondisi lingkungan kerja dipengaruhi oleh beberapa
hal, yaitu adanya penegakan integritas dan etika seluruh anggota organisasi, omitmen pimpinan
manajemen atas kometensi, kepemimpinan manajemen yang kondusif, pembentukan struktur
organisasi yang sesuai dengan kebutuhan, pendelegasian wewenang dan tanggung jawab yang
tepat, penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya manusia,
perwujudan peran aparat pengawasan yang efektif, dan hubungan kerja yang baik dengan pihak
ekstern.
Risiko merupakan hal-hal yang berpotensi menghambat tercapainya tujuan. Identifikasi terhadap
risiko (risk identification) diperlukan untuk mengetahui potensi-potensi kejadian yang dapat
menghambat dan menghalangi terwujudnya tujuan organisasi. Setelah dilakukan identifikasi maka
dilakukan analisis terhadap risiko meliputi analisis secara kuantitatif (quantitative risk analysis) dan
kualitatif (qualitative risk analysis). Analisis risiko akan menentukan dampak kejadian, serta
merupakan input untuk mendapatkan cara mengelola risiko tersebut.
III. Aktivitas Pengendalian
Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko, menetapkan dan
melaksanakan kebijakan serta prosedur, serta memastikan bahwa tindakan tersebut telah
dilaksanakan secara efektif. Tindakan-tindakan yang dilakukan untuk mengatasi risiko dapat dibagi
menjadi 2 jenis tindakan yaitu tindakan preventif dan tindakan mitigasi. Tindakan preventif adalah
tindakan yang dilakukan sebelum kejadian yang berisiko berlangsung, sedangkan tindakan mitigasi
adalah tindakan yang dilakukan setelah kejadian berisiko berlangsung, dalam hal ini tindakan
mitigasi berfungsi untuk mengurangi dampak yang terjadi. Tindakan-tindakan tersebut juga harus
dilakukan evaluasi sehingga dapat dinilai keefektifan serta keefisienan tindakan tersebut.
Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan keputusan dalam
rangka penyelenggaraan tugas dan fungsi organisasi. Informasi yang berkualitas tentunya harus
dikomunikasikan kepada pihak-pihak yang terkait. Penyampaian informasi yang tidak baik dapat
mengakibatkan kesalahan interpretasi penerima informasi.
Pemantauan (monitoring) adalah tindakan pengawasan yang dilakukan oleh pimpinan manajemen
dan pegawai lain yang ditunjuk dan bertanggung jawab dalam pelaksanaan tugas sebagai penilai
terhadap kualitas dan efektivitas sistem pengendalian intern. Pemantauan dapat dilakukan dengan 3
cara yaitu pemantauan berkelanjutan (on going monitoring), evaluasi yang terpisah (separate
evaluation), dan tindak lanjut atas temuan audit.
Ø Lima Langkah Transisi Dari Kerangka COSO 1992 Ke Kerangka COSO 2013
Langkah pertama dalam transisi ke Kerangka COSO 2013 adalah dengan membangun kesadaran
internal, keahlian pengguna COSO, dan keselarasan kepemimpinan di perusahaan. Untuk itu kita
harus memahami Kerangka COSO 2013.
2. Penilaian Dampak Aw al
Setelah memahami kerangka COSO 2013, kita perlu melakukan penilaian bagaimana dampak transisi
itu. Mungkin faktor paling signifikan yang mempengaruhi transisi dari versi 1992 sampai versi 2013
adalah bagaimana manajemen yang sesungguhnya diterapkan dengan baik.
Langkah 1 dan 2 terbatas hanya pada perusahaan. Langkah ketiga ini mensyaratkan terlibat
organisasi yang lebih luas untuk membangun kesadaran dan melakukan pressure test penilaian
dampak awal yang dilakukan pada langkah ke dua.
Kita harus memfasilitasi kesadaran untuk memperbarui Kerangka Kerja COSO. Kita juga harus
mendiskusikan dampak kerangka kerja COSO 2013 dengan auditor eksternal perusahaan, selain itu
pelatihan mendalam mungkin diperlukan.
Kita perlu memperbarui format dari dokumen yang mendasari perusahaan, menyelaraskan ke
pemetaan baru yang diciptakan dalam langkah dua. Dokumentasi yang mendasari harus mendukung
manajemen dalam membuat suatu keputusan. Kita juga harus mengevaluasi desain kontrol yang
mendasari dan meningkatkan desain sesuai kebutuhan.
Setelah kontrol perusahaan mengenai pelaporan keuangan eksternal dan pengungkapan efektif, kita
perlu melakukan pengujian validasi untuk memastikan kontrol ini telah diimplementasikan dan
beroperasi seperti yang diharapkan.
Di beberapa titik, auditor eksternal perlu menilai dan mendapatkan kenyamanan dengan program
COSO 2013 dan dokumentasi pendukung.
Setelah transisi untuk Kerangka COSO 2013 selesai, kita harus terus-menerus mendorong perbaikan
setelah transisi tersebut.
Mereka yang saat ini masih menggunakan COSO versi 1992 harus menyelesaikan transisi
mereka ke versi 2013 paling lambat 15 Desember 2014, di mana kerangka asli akan dianggap
digantikan.
Loncat ke pencarian
COSO Enterprise Risk Management — Integrated Framework (COSO ERM) adalah kerangka kerja
manajemen risiko korporasi (MRK) yang diterbitkan oleh Committee of Sponsoring Organizations of
the Treadway Commission Amerika Serikat pada tahun 2004. COSO ERM merupakan pengembangan
dari kerangka kerja COSO untuk pengendalian internal yang diterbitkan pada tahun 1992. Kerangka
kerja COSO ERM terdiri atas delapan komponen dan empat kategori sasaran yang divisualisasikan
dalam bentuk kubus.
MRK terdiri atas delapan komponen yang saling terkait sebagai berikut.
8. Pemantauan (monitoring)
PERSAMAAN PERBEDAAN
COSO dan ERM sama-sama COSO terdiri atas 5 komponen (Control
merupakan framework untuk Environment, Risk Assessment, Control
mengelola risiko dan Activities, Monitoring, Information &
sekaligus menentukan bagaimana Communication) sedangkan ERM terdiri
opsi perlakuan yang tepat untuk atas 8 komponen yang merupakan
setiap COSO + Internal Control ERM (Internal
risiko, yang notabene merupakan Environment, Objective Setting (OS),
tanggung jawab manajemen. Event Identification (EI), Risk
Assessment (RA), Risk Response (RR),
Esensi penerapan COSO dan ERM Control Activities, Information &
tidak terbatas pada industri tertentu, Communication, Monitoring).
artinya dapat diterapkan pada
berbagai jenis industri seperi industri Stakeholder dari COSO adalah
keuangan, perbankan dan eksekutif, dewan direksi, regulator,
sebagainya. penyusun standar, organisasi profesi
sedangkan stakeholder dari ERM adalah
direksi dan manajemen.
COSO dan ERM dirancang untuk
mencapai objektivitas organisasi
sesuai kebijakan manajemen. Objektivitas COSO terdiri atas 3
(operations, financial reporting, dan
Dalam proses evaluasi kinerja, COSO compliance) sedangkan objektivitas
dan ERM sama-sama membutuhkan ERM terdiri atas 4 (strategic, operations,
reporting, compliance).
auditor internal untuk menilai
implementasinya. COSO menekankan pada efektivitas dan
efisiensi organisasi pada unit aktivitas
sedangkan ERM mempertimbangkan
seluruh aktivitas pada semua level
organisasi.
1. Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem informasi.
2. Sudut pandang atas internal control adalah kesatuan beberapa proses yang terdiri atas
kebijakan, prosedur, penerapan serta struktur organisasi.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang
efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi
dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang
berlaku.
6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut
diterapkan dalam periode waktu yang sudah ditetapkan.
2. Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang
efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan
peraturan yang berlaku.
6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut
diterapkan dalam poin waktu tertentu.
Jika melihat dari hal-hal tersebut maka dapat dilihat adanya persamaan sebagai berikut:
Seluruh tujuan dari framework CoBIT, eSAC dan COSO adalah pengendalian serta
pengawasan atas proses dan lingkungan.
Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku.