I. COSO
The Committee of Sponsoring
Organizations of the Treadway Commission’s (COSO) didirikan pada tahun 1985,
yang merupakan aliansi dari lima organisasi profesi diantaranya :
Ø Financial Executives International (FEI)
Ø The American Accounting Association (AAA)
Ø The American Institute of Certified
Public Accountants (AICPA)
Ø The Institute of Internal Auditors (IIA)
Ø The Institute of Management Accountants (IMA) (formerly the
National Association of Accountants).
Misi utama dari COSO adalah “Memperbaiki/meningkatkan kualitas
laporan keuangan entitas melalui etika bisnis, pengendalian internal yang
efektif, dan corporate governance.”
Untuk menindaklanjuti rekomendasi
dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk
mengevaluasi pengendalian internal. Pada tehun 1992, telah diselesaikan studi
tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal”
yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi,
regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka
kerja yang komprehensif untuk mengukur efektifitas pengendalian internal
mereka.
Kerangka Kerja Pengendalian Internal
(Internal Control-Integrated Framework)
Dua tujuan utama dari laporan COSO
adalah (1) untuk menetapkan definisi umum pengendalian internal yang melayani
berbagai pihak, dan (2) menyediakan standar terhadap organisasi yang dapat
menilai sistem pengendalian dan menentukan cara untuk meningkatkan/memperbaiki
sistem tersebut.
Definisi Pengendalian Internal COSO
“suatu proses, yang
dipengaruhi oleh dewan komisaris, manajemen, dan personil lainnya dari
sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang wajar
berkaitan dengan pencapaian tujuan dalam beberapa kategori”.
Kategori-kategori dalam pencapaian
tujuan Pengendalian Internal
Ø Efektivitas dan efisiensi operasi
Ø Keandalan laporan keuangan
Ø Kepatuhan terhadap hukum dan peraturan yang berlaku
Laporan ini menekankan bahwa sistem
pengendalian internal merupakan alat/perangkat dari manajemen dan bukan
pengganti manajemen. Jadi manajemen dan sistem pengendalian seharusnya dibentuk
didalam kegiatan operasi.
Definisi COSO
Suatu proses yang dijalankan oleh
dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance
mengenai:
Ø Efektifitas dan efisiensi operasional
Ø Reliabilitas pelaporan keuangan
Ø Kepatuhan atas hukum dan peraturan yang berlaku
COSO menekankan Pengendalian Internal
sebagai suatu “proses” yang merupakan bagian tidak terpisahkan dari aktivitas
bisnis entitas yang berkelanjutan (on going business activities). Untuk tujuan
pelaporan manajemen kepada publik.
Pengendalian Internal terkait penjagaan
asset dari pengambilan, penggunaan, atau penghilangan yang tidak terotorisasi
adalah suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan
personil lainnya dari sebuah entitas, yang dirancang untuk memberikan
keyakinan/jaminan yang wajar berkaitan dengan pencegahan atau deteksi dini
terhadap pengambilan, penggunaan, atau penghilangan yang tidak terotorisasi
terhadap asset entitas sehingga dapat memberikan pengaruh/efek yang material
terhadap laporan keuangan.
Pihak yang terlibat
Didalam dokumen COSO dikatakan bahwa
pihak-pihak yang terlibat dalam Pengendalian Internal adalah dewan komisaris,
manajemen, dan pihak-pihak lainnya yang mendukung pencapaian tujuan organisasi.
Serta menyatakan bahwa tanggung jawab atas penetapan, penjagaan, dan pengawasan
sistem Pengendalian Internal adalah tanggung jawab manajemen.
Tujuan Pengendalian Internal bagi
Organisasi
Asumsi COSO, bahwa entitas telah
menetapkan sendiri tujuan dari aktivitas operasinya. Namun COSO
mengidentifikasikan tiga tujuan utama dari entitas, antara lain :
Ø Efektivitas dan efisiensi operasi
Ø Keandalan laporan keuangan
Ø Kepatuhan terhadap hukum dan peraturan yang berlaku
Komponen yang saling terkait dalam
internal control menurut COSO framework, yaitu:
COSO mengidentifikasi Sistem
Pengendalian Internal yang efektif meliputi lima komponen yang saling
berhubungan untuk mendukung pencapaian tujuan entitas, yaitu:
(a) Lingkungan Pengendalian (Control
Environment)
Pondasi dari komponen lainnya dan meliputi beberapa faktor
diantaranya :
Integritas dan Etika
Ø Komitmen untuk meningkatkan kompetensi
Ø Dewan komisaris dan komite audit
Ø Filosofi manajemen dan jenis operasi
Ø Kebijakan dan praktek sumber daya manusia
COSO menyediakan pedoman untuk
mengevaluasi tiap faktor yang ada. Misal, filosofi manajemen dan jenis operasi
dapat dinilai dengan cara menguji sifat dari penerimaan risiko bisnis,
frekuensi interaksi dari tiap subordinat, dan pengaruhnya terhadap laporan
keuangan.
(b) Penilaian Risiko (Risk
Assessment)
Terdiri dari identifikasi risiko dan
analisis risiko. Identifikasi risiko merupakan pengujian terhadap
faktor-faktor eksternal seperti perkembangan teknologi, persaingan, dan
perubahan ekonomi. Factor internal diantaranya kompetensi karyawan, sifat
dari aktivitas bisnis, dan karakteristik pengelolaan sistim informasi.
Sedangkan Analisis Risiko dilakukan dengan mengestimasi signifikansi
risiko, menilai kemungkinan terjadinya risik, dan bagaimana mengelola risiko
tersebut.
(c) Aktivitas Pengendalian (Control
Activities)
Terdiri dari kebijakan dan
prosedur yang menjamin karyawan melaksanakan arahan manajemen. Aktivitas
Pengendalian meliputi review terhadap sistim pengendalian, pemisahan tugas, dan
pengendalian terhadap sistim informasi.
Pengendalian terhadap sistim
informasi meliputi dua cara :
General controls, mencakup kontrol terhadap akses, perangkat lunak,
dan system development.
Application controls, mencakup pencegahan dan deteksi transaksi yang tidak
terotorisasi. Berfungsi untuk menjamin completeness, accuracy,
authorization and validity dari proses transaksi yang terjadi.
(d) Informasi dan komunikasi
Sistem yang memungkinkan orang atau
entitas, memperoleh dan menukar informasi yang diperlukan untuk melaksanakan,
mengelola, dan mengendalikan operasinya dan adanya jalan untuk dapat mengakses informasi
dari dalam dan luar, dengan mengembangkan strategi yang potensial dan sistem
terintegrasi, serta perlunya data yang berkualitas. Sedangkan diskusi mengenai komunikasi
berfokus kepada menyampaikan permasalahan Pengendalian Internal, dan
mengumpulkan informasi pesaing.
(e) Pengawasan (Monitoring)
Sistem pengendalian internal perlu
dipantau sepanjang waktu, proses ini bertujuan untuk menilai mutu kinerja
sistem sepanjang waktu. Ini dijalankan melalui aktivitas pemantauan yang
terus-menerus, evaluasi yang terpisah atau kombinasi dari keduanya, melalui
aktivitas yang berkelanjutan dan melalui evaluasi yang ditujukan terhadap
aktivitas atau area yang khusus.
Di tahun 2004, COSO mengeluarkan
report ‘Enterprise Risk Management – Integrated Framework’, sebagai
pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise
Risk Management, yaitu:
1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective
Setting), tujuan perusahaan harus ada
terlebih dahulusebelum manajemen dapat mengidentifikasi kejadian-kejadian yang
berpotensi mempengaruhi dalam pencapaian tujuan tersebut. ERM memastikan bahwa
manajemen memiliki sebuah proses untuk menetapkan tujuan dan tujuan tersebut
terkait serta mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
3. Identifikasi Kejadian (Event
Identification), Kejadian internal dan eksternal
yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan
dibedakan antara risiko dan peluang yang dapat terjadi. Peluang dikembalikan
kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian Risiko (Risiko
Assessment), Risiko dianalisis dengan
memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact),
sebagai dasar bagi penentuan pengelolaan risiko.
5. Respons Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima,
mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang
terjadi masih sesuai dengan toleransi dan risk appetite.
6. Kegiatan Pengendalian (Control
Activities), kebijakan serta prosedur yang
ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko
berjalan dengan efektif.
7. Informasi dan Komunikasi
(Information and Communication),
Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam
bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi dilakukan
apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang
berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.
Fokus utama
COSO menyatakan Pengendalian Internal
merupakan partisipasi dari semua stakeholder (pemangku kepentingan) entitas
yang meliputi seluruh/semua area atau fungsi dari bisnis entitas.
Evaluasi keefektifan Pengendalian
Internal
Meskipun COSO menekankan
Pengendalian Internal sebagai suatu “proses” namun keefektifan dari
pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu
tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada
saat pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar
menyatakan bahwa Pengendalian Internal telah berjalan efektif.
Bagaimana pelaporan masalah
Pengendalian Internal
COSO menjelaskan bagaimana manajemen
memperoleh dan mengolah informasi jika terjadi defisiensi Pengendalian
Internal. COSO merekomendasikan kepada personil yang mengidentifikasi
terjadinya defisiensi untuk segera melaporkannya kepada atasan langsungnya,
namun jika informasinya sensitif maka perlu adanya jalur khusus penyampaian
informasi.
II. CoBID
Control Objectives for Information
and Related Technology atau CoBIT adalah proses yang sedang dikembangkan oleh
IT Governance Institute (ITGI) yang merupakan bagian dari Information System
Audit and Control Association (ISACA) untuk membantu perusahaan dalam mengelola
sumber daya teknologi informasi.
CoBIT juga merupakan jembatan
antara manajemen teknologi informasi dengan para eksekutif bisnis atau dewan
direksi. Dikatakan seperti itu karena CoBIT mampu menjelaskan laporan dengan bahasa
yang umum sehingga dapat mudah dipahami oleh semua pihak. Salah satu alasan
mengapa CoBIT dapat merajalela di seluruh dunia karena semakin besarnya
perhatian dari corporate governance dan kebutuhan perusahaan dalam menghasilkan
sesuatu yang lebih dengan kondisi sumber daya yang sedikit dan ekonomi yang
sulit.
Tujuan utama yang diharapkan dari
adanya CoBIT yaitu agar perusahaan mampu meningkatkan nilai tambah dalam bidang
IT dan dapat mengurangi risiko-risiko inheren yang ada didalamnya.
Komponen-komponen CoBIT
CoBIT mempunyai komponen-komponen
sebagai berikut:
a. Executive Summary
b. Framework
c. Control Objective
d. Audit Guidelines
e. Management Guidelines
f. Control Practices
Definisi Pengendalian Internal
menurut CoBIT
Untuk
pengertian Pengendalian Internal CoBIT mengadopsinya dari COSO, yaitu:
“Kebijakan,
prosedur, praktik, struktur organisasi yang dirancang untuk memberikan
keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak
diinginkan dapat dicegah, dideteksi atau diperbaiki”.
Selain
itu untuk tujuan pengendalian sendiri CoBIT mengadopsinya dari SAC,
yaitu:
“Suatu
pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan
mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.
Komponen
tujuan pengendalian CoBIT terdiri dari 4 tujuan
pengendalian tingkat tinggi yang tercermin dalam 4 domain, yaitu:
a.
Planning and Organization
b.
Acquisition & Implementation
c.
Delivery & Support
d.
Monitoring
Sudut
Pandang CoBIT tentang Pengendalian Internal
a. Pengguna Utama
CoBIT dibuat untuk digunakan oleh 3
pengguna, yaitu:
Manajemen, untuk membantu mereka menyeimbangkan antara risiko dan
investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat
diprediksi.
User, untuk memperoleh keyakinan atas layanan keamanan dan
pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
Auditor, untuk mendukung dan memperkuat opini yang dihasilkan dan
atau untuk memberikan saran kepada manajemen atas pengendalian internal yang
ada.
b. Tujuan pengendalian internal bagi organisasi
Ø Operasi yang efektif dan efisien
Operasi dapat dikatakan EFEKTIF jika informasi yang
diperoleh relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat
diperoleh tepat waktu, benar, konsisten serta bermanfaat.
Dikatakan EFISIEN jika dalam penyediaan informasi melalui
sumber daya (yang paling produktif dan ekonomis) dapat optimal.
Ø Kerahasiaan
Menyangkut
perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak
berwenang.
Ø Integritas
Berkaitan
dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai
dengan nilai-nilai dan harapan bisnis.
Ø Ketersediaan Informasi
Informasi
harus dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik sekarang
maupun dimasa yang akan datang. Hal ini juga terkait dengan pengamanan atas
sumber daya yang perlu dan adanya kemampuan yang terikat.
Ø Pelaporan Keuangan yang handal
Dengan
pemberian informasi keuangan yang tepat bagi manajemen untuk mengoperasikan
perusahaan dan juga untuk memenuhi kewajiban dalam membuat pelaporan keuangan.
Ø Ketaatan pada ketentuan hukum dan peraturan
Berhubungan dengan pemenuhan sesuai dengan ketentuan hukum,
peraturan dan perjanjian kontrak dimana dalam hal ini proses bisnis dianggap
sebagai subjek.
c. Domain
Ø Planning and Organization
Domain ini mencakup strategi serta
taktik atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam
pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu
direncanakan, dikomunikasikan dan dikelola untuk berbagai perspektif yang
berbeda. Ditambah dengan pengorganisasian yang baik dengan menempatkan
infrastruktur teknologi ditempat yang semestinya.
Ø Acquisition & Implementation
Agar tercapainya strategi IT, solusi
IT harus diidentifikasi, dikembangkan, diimplementasikan dan terintegrasi
dengan baik ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan
sistem yang ada harus dicakup dalam domainini untuk memastikan bahwa siklus
hidup akan terus berlangsung untuk sistem-sistem ini.
Ø Delivery & Support
Domain ini memberikan fokus utama
pada aspek penyampaian IT. Dalam delivery and support tercakup area-area
seperti pengaplikasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan
juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan
efektif dan efisien. Proses dukungan ini termasuk isu tentang keamanan dan
pelatihan.
Ø Monitoring
Semua
proses IT perlu dinilai secara teratur sepanjan waktu untuk dapat menjaga
kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada
perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta
penilaian independen yang dilakukan oleh auditor internal maupun
eksternal, atau dapat diperoleh dari sumber-sumber alternatif lainnya.
III.
PERBEDAAN COSO DAN CoBID
Perbedaan
dan Persamaan COSO dan CoBIT... ^^
|
COSO
|
CoBIT
|
|
|
Fokus Pengguna
|
manajemen
|
manajemen,
operator dan auditor sistem informasi.
|
|
Sudut Pandang
|
kesatuan
beberapa proses secara umum
|
kesatuan
beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta
struktur organisasi
|
|
Tujuan yang ingin dicapai
|
pengoperasian
sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta
kesesuaian dengan peraturan yang berlaku
|
pengoperasian
sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan
informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal
disesuaikan dengan peraturan yang berlaku
|
|
Komponen/domain
|
pengendalian
atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas
aktivitas informasi dan komunikasi
|
perencanaan
dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta
pendistribusian
|
|
Fokus Pengendalian
|
Dari eSAC
keseluruhan entitas
|
sisi
teknologi informasi
|
|
Evaluasi Internal Control
|
seberapa
efektif pengendalian tersebut diterapkan dalam poin waktu tertentu
|
seberapa
efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah
ditetapkan
|
|
Pertanggungjawaban internal
control
|
dari eSAC ditujukan kepada manajemen
|
Dari CoBIT
ditujukan kepada manajemen.
|
|
PERSAMAAN COSO & CoBIT
|
|
|
1
|
Seluruh tujuan dari framework
CoBIT, eSAC dan COSO adalah pengendalian serta pengawasan atas proses dan
lingkungan
|
|
2
|
Pertanggungjawaban ditujukan pada
manajemen
|
|
3
|
Seluruh sistem pelaporan dan
prosedur wajib mengikuti aturan yang berlaku
|
Tidak ada komentar:
Posting Komentar