Perusahaan menghadapi berbagai risiko dalam mencapai tujuan dan sasaran yang telah
ditetapkan. Oleh karena itu perusahaan harus melakukan pengendalian untuk menghadapi
dan mengelola risiko tersebut. pengendalian hama akan mengakibatkan kerugian, skandal
kegagalan, dan merusak reputasi organisasi dalam berbagai hal. jika dibiarkan saja tanpa
adanya media pengendalian risiko, hal tersebut akan menjadi permasalahan perusahaan
dalam mencapai tujuannya.
Pengendalian yang efektif merupakan ukuran untuk menjamin bahwa operasi dapat berjalan
sukses dan dapat mengamankan sumber daya perusahaan. Pengendalian internal adalah
konsep dinamis yang berjalan di dalam organisasi yang merupakan kebalikan dari
serangkaian prosedur dasar.
"A process, effected by an entity's board of director, management and other personnel,
designed to provide reasonable assurance regarding the achievement of objectives in (1)
the effectiveness and efficiency of operations, (2) the reliability of financial reporting and (3)
the compliance of applicable laws and regulations."
"The attitude and actions of management and the board regarding the significance of control
within the organization. The control environment provides the discipline and structure for the
achievement of the primary objectives of the system of internal control. The control
environment includes the following elements: integrity and ethical values, management's
philosophy and operating style, organizational structure, assignment of authority and
responsibility, human resource policies and practices, and competence of personnel."
Dari kedua definisi tersebut dapat disimpulkan bahwa pengendalian internal dirancang oleh
manajemen dan dilakukan oleh personil di semua tingkatan organisasi untuk mencapai
tujuan dan sasaran organisasi dengan menjamin efisiensi dan efektivitas proses operasi,
kendala catatan keuangan, dan kepatuhan terhadap peraturan yang berlaku. Pengendalian
internal tidak hanya terbatas pada seperangkat prosedur dan infrastruktur pengamanan
tetapi juga integritas dan etika semua persoalan organisasi. Ada beberapa hal yang
mendasari konsep pengendalian, yaitu sebagai berikut:
1. Pengendalian adalah alat untuk meningkatkan pencapaian tujuan yang telah
direncanakan.
2. Pengendalian membutuhkan biaya, tetapi pelaksanaan pengendalian harus
memberikan manfaat ekonomi yang lebih besar dari biaya yang digunakan untuk
menjalankannya.
3. Pengendalian tergantung pada orang yang menjalankannya dan tidak boleh dinilai
sebagai bagian yang terpisah pisah.
4. Pengendalian internal sangat bergantung pada pelaksanaan dan penggunaannya,
pengendalian hanya akan berjalan dengan baik jika dapat memenuhi kebutuhan
pengguna yaitu dapat dipraktikkan dan bermanfaat.
5. Pengendalian yang berlebihan sama jeleknya dengan pengendalian yang kurang
karena hal tersebut mengakibatkan seseorang merasa terlalu dipantau dimanapun ia
berada, meskipun sebenarnya tidak.
6. Entropy adalah mekanisme untuk mengukur kekurangan dalam sistem dan sistem
pengendalian tidak dapat bekerja sesuai keinginan apabila sistem tidak ditinjau dan
di-update secara rutin.
7. Budaya organisasi mempengaruhi jenis pengendalian yang dilakukan, mungkin
bersifat kaku/birokratis atau fleksibel.
International Standard for The professional Practice of Internal Auditing (IPPF) yang
diterbitkan oleh IIA pada 2012 mengatur peran auditor internal dalam pengendalian internal.
COSO menyarankan sebuah model yang telah menjadi standar internasional. Suatu
organisasi besar membutuhkan kerangka kerja pengendalian non formal sebagai dasar
sistem pengendalian internal mereka. Kriteria yang tepat digunakan untuk mengevaluasi
pengendalian. Auditor internal harus memastikan apakah manajemen telah memiliki ciri-ciri
yang tepat untuk mempertimbangkan apakah tujuan telah tercapai. Jika ya, auditor internal
harus bekerjasama dengan manajemen untuk menentukan kriteria evaluasi yang tepat.
Penaksiran risiko dan perancangan pengendalian akan dipisah jika tidak ada kerangka kerja
pengendalian yang jelas. Pemisahan penilaian resiko dan perancangan pengendalian tidak
akan memberikan manfaat dan nilai yang tinggi bagi pengendalian internal organisasi.
Kerangka kerja ini menyediakan tiga kategori tujuan yang memungkinkan organisasi
berfokus pada beragam aspek pengendalian internal berikut:
1. Tujuan operasi (operations objectives). tujuan ini berkenaan dengan efektivitas dan
efisiensi kegiatan entitas, termasuk tujuan kinerja operasional dan keuangan serta
pemeliharaan hasil dari kerugian.
2. Tujuan pelaporan (reporting objectives). tujuan ini berkaitan dengan pelaporan
keuangan dan non keuangan internal dan eksternal serta mencakup aspek
reliabilitas, ketepatwaktuan, transparansi, atau aspek lain sebagaimana ditetapkan
oleh pemerintah, dilakukan oleh pembuat standar, atau entitas pembuatan kebijakan.
3. Tujuan kepatuhan (compliance objectives). Tujuan ini berkaitan dengan ketaatan
atas hukum dan aturan di mana entitas menjadi subjek.
a. Lingkungan pengendalian.
Lingkungan pengendalian menjadi fondasi bagi unsur-unsur lainnya dalam kerangka kerja
pengendalian internal COSO. Lingkungan pengendalian memiliki pengaruh yang sangat
signifikan terhadap efektivitas pelaksanaan pengendalian. Lingkungan pengendalian
merupakan kondisi yang dibangun dan diciptakan dalam organisasi yang mempengaruhi
efektivitas pengendalian internal. Oleh karena itu, organisasi harus membangun lingkungan
kondusif yang mendorong implementasinya sistem pengendalian secara efektif.
Lingkungan pengendalian dan kondusif dibentuk oleh manajemen dan karyawan. Untuk
membangun lingkungan tersebut, manajemen dan karyawan seharusnya mempunyai
komitmen dan sikap yang positif dan konstruktif terhadap pengendalian internal. Kunci
lingkungan pengendalian adalah sebagai berikut:
1. Integritas dan etika.
2. Komitmen terhadap kompetensi.
3. Struktur organisasi.
4. Pendelegasian wewenang dan tanggung jawab.
5. Praktik dan kebijakan sumber daya manusia yang baik.
b. Penilaian Risiko.
c. Aktivitas Pengendalian
Informasi seharusnya dicopot dan dikomunikasikan kepada manajemen dan pihak-pihak lain
yang berkepentingan di dalam organisasi dan dalam bentuk dan jangka waktu yang
memungkinkan diselenggarakannya Pengendalian internal dan tanggung jawab lain
terhadap informasi tersebut. di dalam menjalankan dan mengendalikan operasinya,
manajemen harus mengkomunikasikan kejadian yang relevan, andal, dan tepat waktu.
Semua personell harus menerima pesan yang jelas dari manajemen puncak yang
melakukan pengendalian terhadap tanggung jawab, apakah tanggung jawab tersebut
dilaksanakan secara serius. mereka harus memahami peran mereka terhadap sistem
Pengendalian internal dan juga bagaimana aktivitas individu berhubungan dengan pekerjaan
personel lain. Mereka harus memiliki media komunikasi dengan atasan mengenai informasi
informasi yang penting. Diperlukan juga komunikasi efektif dengan pihak luar seperti
pelanggan, pemasok, penyusun peraturan, dan pemegang saham.
e. Pemantauan
Pemantauan seharusnya menilai kualitas kinerja sepanjang waktu dan meyakinkan bahwa
tumbuhan-tumbuhan audit dan tinjauan lainnya diselesaikan dengan tepat. Hal ini meliputi:
1. Mengevaluasi temuan dan rekomendasi audit atau tinjauan secara tepat.
2. Menentukan tindakan yang tepat untuk menanggapi temuan dan rekomendasi dari
audit atau tinjauan.
3. Menyelesaikan dalam waktu yang telah ditentukan tentang tindakan yang digunakan
untuk menindaklanjuti rekomendasi yang menjadi perhatian manajemen.
Model COSO sangat dinamis karena mencari sebagian besar aspek struktur dan proses
yang dibutuhkan untuk menjalankan pengendalian. Tanpa adanya referensi mengenai
model ataupun kriteria yang komprehensif untuk mengevaluasi tingkat perusahaan, sangat
sulit mengetahui bagaimana direksi meninjau sistem pengendalian internal.
CoCo dikembangkan oleh the Canadian Institute of Chartered Accountants (CICA) dan
sekarang menjadi salah satu standar internasional dalam pengendalian internal organisasi.
Menurut CoCo, konteks pengendalian secara keseluruhan harus dapat dipahami.
Pengendalian mencakup elemen di dalam organisasi (termasuk sumber daya, sistem,
proses, budaya, struktur, dan tugas) yang secara bersama-sama membantu dalam
pencapaian tujuan organisasi.
Pengendalian mencakup identifikasi dan pengurangan resiko. Risiko tersebut tidak hanya
yang berhubungan dengan pencapaian tujuan khusus tetapi juga dua resiko yang lebih
penting bagi kelangsungan hidup dan keberhasilan organisasi:
1. Kegagalan untuk mempertahankan kapasitas organisasi dalam mengidentifikasi dan
memanfaatkan peluang.
2. kegagalan untuk mempertahankan kapasitas organisasi dalam merespon dan
beradaptasi terhadap risiko maupun peluang yang tidak diperkirakan sebelumnya,
serta dalam mengambil keputusan, dengan indikasi tidak adanya reformasi yang
jelas.
Komponen-komponen Pokok
a. Tujuan
Komponen utama dalam model CoCo adalah petunjuk dan arah tujuan yang jelas meliputi
tujuan, misi, visi, dan strategi, risiko dan peluang, kebijakan, perencanaan, target kinerja,
dan indikator. sangat penting bagi organisasi untuk memiliki tujuan sebagai petunjuk yang
jelas mengenai kriteria pengendalian. Tujuan akan mengarahkan organisasi pada aktivitas
yang harus dilakukannya dan pengendalian yang dibutuhkannya untuk mencapai tujuan
tersebut.
Banyak pekerjaan yang dapat dilakukan untuk merancang tujuan dan menghadapi risk
exposure bagi orang-orang dalam menjalankan petunjuk untuk masa yang akan datang
dalam organisasi.
b. Komitmen
Ketika orang menghabiskan waktu untuk menjalankan sistem, biasanya mereka kehilangan
komitmen terhadap kinerja pengendalian. Bagian terberat untuk memperoleh pengendalian
yang bagus adalah bagaimana agar orang merasa menjadi bagian dari rangkaian sistem
tersebut.
c. Kemampuan
Orang harus dilengkapi dengan sumber daya dan kompetensi untuk memahami dan
memenuhi syarat-syarat model pengendalian. Persyaratan tersebut meliputi pengetahuan
kemampuan dan keterampilan, proses komunikasi informasi kerjasama, dan aktivitas
pengendalian. Meskipun sudah ada tujuan yang jelas, dan setiap orang setiap berpartisipasi
untuk merancang dan menerapkan pengendalian yang bagus tapi masih tetap dibutuhkan
peningkatan keahlian dalam setiap aspek kehidupan organisasi.
Kemampuan merupakan sumber daya bagi usaha pengendalian yang berupa keahlian,
pengalaman dan tingkah laku yang memadai oleh karyawan. Karyawan tidak hanya bekerja
dengan baik tetapi juga mampu menilai risiko. Pengendalian yang ada mempermudah
penyelesaian risiko tersebut. Kemampuan dapat dipenuhi melalui pelatihan dan seminar
penyuluhan, baik pada saat awal program maupun saat program sedang berlangsung.
d. Tindakan
Tahap ini menjelaskan pelaksanaan aktivitas yang sedang dikendalikan. sebelum karyawan
bertindak, mereka harus mempunyai tujuan yang jelas, komitmen untuk mencapai target dan
kemampuan untuk menghadapi masalah maupun peluang yang ada. Tindakan-tindakan
yang dilakukan setelah persiapan tersebut akan lebih berpengaruh untuk sukses dalam
mencapai outcome.
Orang-orang harus turut serta dan menjadi bagian dari evolusi sebuah perusahaan. Evolusi
ini meliputi pemantauan lingkungan internal dan eksternal, pemantauan kinerja, tawaran-
tawaran promosi dan pekerjaan yang menantang, penilaian kembali terhadap sistem
informasi yang ada maupun sistem informasi yang masih dibutuhkan, prosedur tindakan
lanjutan dan penaksiran efektivitas pengendalian. memonitor merupakan aktivitas
pengendalian yang berat karena berupa inspeksi, pemeriksaan, supervisi, dan pengujian.
Tawaran promosi dan pekerjaan yang menonton merupakan jenis pengendalian yang
penting sehingga orang dapat mengembangkan diri untuk mencapainya. Setiap aktivitas
merupakan bagian dari proses pembelajaran yang akan membawa organisasi ke dalam
dimensi yang lebih tinggi. Organisasi mempekerjakan orang yang pernah mencoba tetapi
gagal untuk memulai perusahaan yang beresiko tinggi. Berdasarkan pengalaman mereka
yang tidak ternilai, jika mereka belajar dari pengalaman tersebut akan membuat mereka
lebih bagus dan mempunyai pengaruh besar terhadap pengembangan bisnis yang baru.
Organisasi yang bertahan pada budaya yang kaku tidak akan mendorong pengalaman
pembelajaran yang positif, dan pengendalian akan interpretasikan dengan menghukum
mereka yang kinerjanya menurun. Kriteria CoCo mendorong respon yang positif dalam
menghadapi suatu aktivitas.
Control Objectives for Information and Related Technology (COBIT) adalah suatu kerangka
kerja (framework) kesatuan internasional yang menghimpun seluruh standar teknologi
informasi (TI) global utama, termasuk ITIL, CMMI, dan ISO 17799. COBIT 5 menjadikan TI
mampu dikelola dan ditata dalam lingkup menyeluruh untuk semua perusahaan,
mengarahkan keseluruhan proses bisnis dan area tanggung jawab fungsional TI
berdasarkan pertimbangan kepentingan pihak internal dan eksternal terkait TI. COBIT 5
memakai istilah enabler terhadap segala sesuatu yang dapat membantu tercapainya tujuan
perusahaan.
Kerangka kerja COBIT 5 memberikan dasar kuat untuk mulai membangun, meningkatkan
dan menilai penyusunan GEIT (Governance of Enterprise Information Technology)
berdasarkan lima prinsip utama yaitu:
Untuk membentuk suatu kerangka kerja pengendalian efektif, suatu entitas harus mampu
mengidentifikasi tujuan utama keberadaan entitas tersebut. rumusan tujuan utama yang
tidak biasanya digerakkan oleh pemangku kepentingan (stakeholder) yang terlibat di dalam
entitas tersebut. Pada umumnya, tujuan utama suatu entitas adalah penciptaan nilai yang
nantinya dijabarkan secara detail sesuai dengan bidang dan lingkungan utama yang di atas,
baik berupa peningkatan kualitas pelayanan bagian atas yang bergerak di sektor publik
maupun maksimalisasi keuntungan bagi entitas yang bergerak di sektor privat (bisnis).
penciptaan nilai ini pula yang menjadi tujuan tata kelola suatu entitas karena bentuk tata
kelola harus mampu merealisasikan manfaat, optimisasi risiko, dan optimisasi sumber daya
yang dimiliki titik pada aspek inilah titik kritis yang harus dipahami dan ditetapkan oleh suatu
entitas.
Peran COBIT 5 sangat penting dalam mengelola informasi dan teknologi sebagai suatu aset
yang perlu dimanfaatkan secara optimal sebagaimana sumber daya di tas yang lain. Oleh
karena itu, COBIT 5 harus mampu melingkupi proses pengelolaan dari awal hingga akhir
suatu entitas, dan tidak hanya berfokus pada pemanfaatan TI semata. Fungsi tersebut dapat
tercapai dengan mengintegrasikan tata kelola TI ke dalam tata kelola entitas secara
menyeluruh.
Komponen kunci sistem tata kelola mencakup aspek pemicu tata kelola, cakupan tata
kelola, dan peran aktivitas, dan keterkaitan antar bagian. Tujuan tata kelola adalah
penciptaan nilai. Sistem akan berbentuk dengan mempertimbangkan pemicu dan cakupan
tata kelola. Pemicu tata kelola adalah sumber daya organisasi atau tata kelola, seperti
kerangka kerja prinsip, struktur, proses dan praktik. Kekurangan sumber daya atau pemicu
dapat mempengaruhi kemampuan suatu entitas dalam menciptakan sebuah nilai.
Aspek kedua yang dipertimbangkan dalam penentuan tujuan tata kelola adalah cakupan
tata kelola. Tata kelola dapat diterapkan pada seluruh entitas, suatu aset yang tampak
(tangible) maupun tak tampak (intangible), dan sebagainya.
Setelah ditentukan tujuan tata kelola beserta prinsip yang melingkupinya, maka semua
peran, aktivitas, dan keterkaitan aspek tata kelola juga dikembalikan ke pemicu dan cakupan
tata kelola.
Untuk dapat melaksanakan tata kelola TI secara efektif dan efisien, suatu entitas
memerlukan suatu pendekatan menyeluruh yang mampu melibatkan seluruh komponen
terkait yang berinteraksi secara strategis dan mencapai tujuan entitas. Segala hal yang
dapat membantu ketercapaian tujuan perusahaan didefinisikan COBIT sebagai pemicu
(enabler).
Tujuan terkait pada titik lebih tinggi harus mampu menetapkan capaian dari setiap pemicuan
berbeda yang mengacu pada penjenjangan tujuan entitas. COBIT 5 menjelaskan tujuan
kategori pemicu yaitu:
1. Proses, menjelaskan serangkaian aktivitas dan praktik yang teratur untuk mencapai
tujuan tertentu dan menghasilkan output dalam mendukung pencapaian tujuan TI
secara menyeluruh.
2. Struktur Organisasi, merupakan kunci untuk pengambilan keputusan dalam suatu
perusahaan.
3. Budaya, etika, dan kebiasaan, baik dari individu maupun organisasi, sering
ditambahkan sebagai salah satu kunci sukses dalam aktivitas tata kelola dan
manajemen.
4. Prinsip, kebijakan, dan kerangka kerja, merupakan sarana untuk menerjemahkan
kebiasaan-kebiasaan yang diinginkan menjadi suatu panduan praktik untuk
manajemen sehari-hari.
5. Informasi, mengikuti seluruh jenis organisasi dan termasuk semua informasi yang
dihasilkan dan digunakan oleh perusahaan. Informasi dibutuhkan untuk menjaga
agar perusahaan dapat berjalan dan dikelola dengan baik.
6. Layanan, infrastruktur, dan aplikasi, termasuk infrastruktur, teknologi, dan aplikasi
yang menyediakan layanan dan pengolahan teknologi informasi bagi perusahaan.
7. Manusia, kemampuan, dan kompetensi, berhubungan dengan manusia dan
diperlukan untuk keberhasilan semua aktivitas dan untuk menentukan keputusan
yang tepat serta untuk mengambil tindakan korektif.
Kerangka kerja COBIT 5 membuat perbedaan secara tegas antara tata kelola dengan
manajemen. Perbedaan tersebut dan pertimbangan tiga hal, yaitu bahwa (1) dua aspek
tersebut memberikan jenis pengarahan kegiatan yang berbeda, (2) masing-masing
membutuhkan struktur organisasi yang berbeda, dan (3) melayani tujuan yang berbeda.
Perbedaan utama dalam memahami konsep pemisahan tata kelola dan manajemen dalam
model kunci COBIT 5 adalah bahwa tata kelola menggambarkan bagaimana yang tidak
menyusun struktur dan tugas (fungsi) masing-masing bagian dalam mengupayakan
pencapaian tujuan yang telah ditetapkan pemangku kepentingan. Tata kelola harusnya
menjadi dasar bagaimana aktivitas merumuskan format manajemen untuk mencapai tujuan.
Begitu pula sebaliknya manajemen dapat memanfaatkan tata kelola yang ada untuk
mendukung manajemen.