SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

Model Rerangka Pengendalian: COBIT, COSO, dan ERM

NAMA : Adharul Akbar

NIM : 55518110008

DOSEN PENGAMPU: Prof. Dr. Ir. Hapzi Ali, MM, CMA

PROGRAM MEGISTER AKUNTANSI

UNIVERSITAS MERCUBUANA

JAKARTA 2018
COBIT (Control Objectives for Information and Related Technology) adalah sekumpulan dokumentasi
dan panduan yang mengarahkan kepada tata kelola IT yang dapat membantu auditor, manajemen,
dan pengguna (user) untuk menjembatani antara resiko bisnis, kebutuhan kontrol, dan
permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT governance Institute (ITGI) yang
merupakan bagian dari Information Systems Audit and Control Association (ISACA) (Irwan, 2011).

COBIT sangat bermanfaat bagi manajemen untuk membantu dalam menyeimbangkan antara resiko
dan investasi pengendalian dalam sebuah lingkungan Teknologi yang sering tidak dapat diprediksi.
Bagi user, hal ini menjadi sangat berguna untuk memperoleh keyakinan atas layanan keamanan dan
pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga. Sedangkan bagi Auditor untuk
mendukung atau memperkuat opini yang dihasilkan dan untuk memberikan saran kepada
manajemen atas pengendalian internal yang ada (Hapzi Ali, 2018).

Kriteria COBIT

Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria
informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:

Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses
bisnis, konsisten dapat dipercaya, dan tepat waktu.

Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif
dan ekonomis) yang optimal.

Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak
yang tidak memiliki hak otorisasi/tidak berwenang.

Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat
validitas yang sesuai dengan ekspetasi dan nilai bisnis.

Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam

proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan
atas sumber daya yang diperlukan dan terkait.

Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum,

peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.

Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk
mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.

Komponen Control Objektif

Berdasarkan IT Governance Institute (2012), Framework COBIT disusun dengan karakteristik yang
berfokus pada bisnis. Dalam edisi keempatnya ini, COBIT Framework terdiri dari 34 high level control
objectives dan kemudian proses tersebut dikelompokan menjadi 4 domain, keempat domain
tersebut antara lain: Plannig and Organization, Acquisition and Implementation, Delivery and
Support, dan Monitoring and Evaluation.
2. COSO (Committee of Sponsoring Organizations of the Treadway Commission) merupakan sebuah
komisi yang bertujuan untuk melakukan melakukan riset mengenai fraud dalam pelaporan keuangan
(fraudulent on financial reporting) dan membuat rekomendasi2 yang terkait dengannya untuk
perusahaan publik, auditor independen, SEC, dan institusi pendidikan (Ghina, 2014)

Definisi Pengendalian Internal COSO

“internal kontrol merupakan suatu proses, yang dipengaruhi oleh dewan komisaris, manajemen,
dan personil lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang
memadai berkaitan dengan pencapaian tujuan dalam beberapa kategori”.

Kategori-kategori dalam pencapaian tujuan Pengendalian Internal

1. Efektivitas dan efisiensi operasi

2. Keandalan laporan keuangan
3. Kepatuhan terhadap hukum dan peraturan yang berlaku

Laporan ini menekankan bahwa sistem pengendalian internal merupakan alat/perangkat dari
manajemen dan bukan pengganti manajemen. Jadi manajemen dan sistem pengendalian seharusnya
dibentuk didalam kegiatan operasi.

COSO menekankan Pengendalian Internal sebagai suatu “proses” yang merupakan bagian tidak
terpisahkan dari aktivitas bisnis entitas yang berkelanjutan (on going business activities). Untuk
tujuan pelaporan manajemen kepada publik.

Pengendalian Internal terkait penjagaan asset dari pengambilan, penggunaan, atau penghilangan
yang tidak terotorisasi adalah suatu proses yang dipengaruhi oleh dewan komisaris, manajemen,
dan personil lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang
wajar berkaitan dengan pencegahan atau deteksi dini terhadap pengambilan, penggunaan, atau
penghilangan yang tidak terotorisasi terhadap asset entitas sehingga dapat memberikan
pengaruh/efek yang material terhadap laporan keuangan

Menurut kerangka kerja COSO, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:

 Control Environment (pengendalian lingkungan)

Pengendalian lingkungan menetapkan pola suatu organisasi, mempengaruhi kesadaran
pengendalian orang-orangnya. Pengendalian lingkungan adalah dasar untuk semua
komponen pengendalian intern, menyediakan disiplin dan struktur. Pengendalian lingkungan
menyediakan petunjuk bagi organisasi dan mempengaruhi kesadaran pengendalian dari
orang-orang yang ada di dalam organisasi tersebut. Beberapa faktor yang berpengaruh di
dalam lingkungan pengendalian antara lain integritas dan nilai etik, komitmen terhadap
kompetensi, dewan direksi dan komite audit, gaya manajemen dan gaya operasi, struktur
organisasi, pemberian wewenang dan tanggung jawab, praktik dan kebijkan SDM. Auditor
harus memperoleh pengetahuan memadai tentang lingkungan pengendalian untuk
memahami sikap, kesadaran, dan tindakan manajemen, dan dewan komisaris terhadap
lingkungan pengendalian intern, dengan mempertimbangkan baik substansi pengendalian
maupun dampaknya secarakolektif.
 Risk Assessment (Penaksiran Resiko)
Penaksiran risiko adalah identifikasi entitas dan analisis terhadap risiko yang relevan untuk
mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana risiko harus
dikelola. Penentuan risiko tujuan laporan keuangan adalah identifkasi organisasi, analisis,
dan manajemen risiko yang berkaitan dengan pembuatan laporan keuangan yang disajikan
sesuai dengan PABU. Manajemen risiko menganalisis hubungan risiko asersi spesifik laporan
keuangan dengan aktivitas seperti pencatatan, pemrosesan, pengikhtisaran, dan pelaporan
data-data keuangan. Risiko yang relevan dengan pelaporan keuangan mencakup peristiwa
dan keadaan intern maupun ekstern yang dapat terjadi dan secara negatif mempengaruhi
kemampuan entitas untuk mencatat, mengolah, meringkas, dan melaporkan data keuangan
konsisten dengan asersi manajemen dalam laporan keuangan. Risiko dapat timbul atau
berubah karena berbagai keadaan, antara lain perubahan dalam lingkungan operasi,
personel baru, sistem informasi yang baru atau yang diperbaiki, teknologi baru, lini produk,
produk, atau aktivitas baru, restrukturisasi korporasi, operasi luar negeri, dan standar
akuntansi baru.
 Control Activities (aktivitas pengendalian)
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin
bahwaarahan manajemen dilaksanakan. Aktivitas tersebut membantu memastikan bahwa
tindakan yang diperlukan untuk menanggulangi risiko dalam pencapaian tujuan entitas.
Aktivitas pengendalian memiliki berbagai tujuan dan diterapkan di berbagai tingkat
organisasi dan fungsi. Umumnya aktivitas pengendalian yang mungkin relevan dengan audit
dapat digolongkan sebagai kebijakan dan prosedur yang berkaitan dengan review terhadap
kinerja, pengolahan informasi, pengendalian fisik, dan pemisahan tugas
 Information and communication
Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran
informasi dalam sebuah bentuk dan waktu yang memungkinkan orang untuk melaksanakan
tanggung jawab mereka. Sistem informasi yang relevan dalam pelaporan keuangan yang
meliputi sistem akuntansi yang berisi metode untuk mengidentifikasikan, menggabungkan,
menganalisa, mengklasikasi, mencatat, dan melaporkan transaksi serta menjaga
akuntabilitas asset dan kewajiban. Komunikasi mencakup penyediaan deskripsi tugas
individu dan tanggung jawab yang berkaitan dengan suatu struktur pengendalian intern
dalam pelaporan keuangan.
 Monitoring
Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian intern sepanjang
waktu. Pemantauan mencakup penentuan desain dan operasi pengendalian tepat waktu dan
pengambilan tindakan koreksi. Proses ini dilaksanakan melalui kegiatan yang berlangsung
secara terus menerus, evaluasi secara terpisah, atau dengan berbagai kombinasi dari
keduanya. Di berbagai entitas, auditor intern atau personel yang melakukan pekerjaan
serupa memberikan kontribusi dalam memantau aktivitas entitas. Aktivitas pemantauan
dapat mencakup penggunaan informasi dan komunikasi dengan pihak luar seperti keluhan
pelanggan dan respon dari badan pengatur yang dapat memberikan petunjuk tentang
masalah atau bidang yang memerlukan perbaikan. Komponen pengendalian intern tersebut
berlaku dalam audit setiap entitas. Komponen tersebut harus dipertimbangkan dalam
hubungannya dengan ukuran entitas, karakteristik kepemilikan dan organisasi entitas, sifat
bisnis entitas, keberagaman dan kompleksitas operasi entitas, metode yang digunakan oleh
 entitas untuk mengirimkan, mengolah, memelihara, dan mengakses informasi, serta
penerapan persyaratan hukum dan peraturan.

3. ERM

Menurut COSO (Commitee of Sponsoring Organization of the Treadway Commission), dalam

executive summary yang dikeluarkan pada bulan September 2004 menyatakan Enterprise Risk
Management (ERM) merupakam sebuah proses yang melibatkan keseluruhan entitas mulai dari
dewan direksi, manajemen serta pejabat lainnya, yang diaplikasikan ke dalam penyusunan strategi
dan mencakup keseluruhan perusahaan, yang didesain untuk mengidentifikasi kejadian yang
berpotensi yang dapat berpengaruh pada entitas , dan mengelola risiko pada tingkat risiko yang
dikehendaki untuk menyediakan penjaminan yang wajar dalam rangka mencapai tujuan dari entitas.

Enterprise Risk Management (ERM) meliputi dari hal-hal di bawah ini, yaitu :

 Aligning risk appetite and strategy

Manajemen mempertimbangkan batas risiko dari entitas dalam mengevaluasi alternatif strategi,
menetapkan tujuan yang berhubungan dengan hal itu, dan mengembangkan mekanisme untuk
mengelola risiko yang berhubungan yang ditimbulkannya

 Enhancing risk response decisions

ERM menyediakan kekuatan untuk mengidentifikasi dan menyeleksi antara alternatif respon dari
risiko – menghindari, mengurangi, membgi dan menerima risiko

 Reducing operational surprises and losses

Entitas mengambil keuntungan dari meningkatkan kemampuan untuk mengidentifikasi peristiwa

yang berpotensi dan respon yang ada, mengurangi adanya kejutan-kejutan dan menghubungkannya
dengan biaya atau kerugian

 Identifying and managing multiple and cross-enterprise risks

Setiap perusahaan menghadapi banyak sekali risiko yang berdampak kepada bagian yang berbeda
dari organisasi dan ERM memfasilitasi respon yang effektif kepada semua bagian yang terkena
dampaknya dan menggabungkan respon- respon tersebut kepada bermacam-macam risiko

 Seizing opportunities

Dengan mempertimbangkan hal terbesar dari potensi kejadian, manajemen dalam hal ini berada
pada posisi untuk mengidentifikasi dan melakukan tindakan proaktif terhadap menyadari
kesempatan yang ada

 Improving deployment of capital

Penyediaan informasi risiko yang baik membuat manajemen dapat menilai secara effektif
keseluruhan modal yang dibutuhkan dan meningkatkan pengalokasian modal.
Oleh karena itu, Enterprise Risk Management dapat dijelaskan sebagai suatu proses untuk
membuka, mengindentifikasi dan mengevaluasi risiko-risiko tersebut, baik risiko individual maupun
konteks yang lebih luas atas risiko-risiko berbeda yang saling berhubungan yang mempengaruhi
perusahaan (Aurora, 2018)

COSO ERM Framework seperti yang terdapat dalam executive summary pada September 2004,
membagi objectives atau tujuannya menjadi 4 kategori besar, yaitu:

Strategic – tujuan yang ditetapkan pada tingkat manajemen atas, disatukan dan dibuat untuk
mendukung misi dari perusahaan.

Operations – penggunaan sumber daya secara efektif dan efisien

Reporting – pelaporan yang dapat dipercaya

Compliance –patuh dengan hukum dan peraturan yang berlaku.

Daftar Pustaka:

Hapzi Ali, 2018 (Sistem Informasi & Pengendalian Internal, Model rerangka pengendalian: COBIT,
COSO dan ERM, Universitas Mercu Buana, 2018)

Aurora, 2018. https://www.dictio.id/t/apa-yang-dimaksud-dengan-enterprise-risk-

management/18858 diakses 09 Okt 2018, 20.35

Irwan, 2011. http://irwan-manullang.blogspot.com/2011/04/cobit-control-objectives-for.html

diakses 09 okt 2018, 19.55

Ghina, 2014. http://ghinaaulias.blogspot.com/2014/11/pengertian-coso.html diakses 09 Okt 2018,

20.18