COSO

COSO merupakan singkatan Committee of Sponsoring Organizations of the Treadway Commision adalah suatu inisiatif dari sector swasta yang dibentuk pada tahun 1985. COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi professional yaitu, American Institute of Certified Public Accountants (AICPA), Finansial Executives Institute (FEI), The Institute of Management Accountanta (IMA), The Institute of Internal Auditors (IIA) dan The American Accounting Association (AAA). Yang bertujuan utama untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. 

 

Misi utama dari COSO adalah “Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance”.

 

Menurut COSO pengendalian internal sebagai suatu proses yang merupakan bagian tidak terpisahkan dari aktivitas bisnis entitas yang berkelanjutan (on going business activities). COSO juga menyatakan konsep keyakinan yang wajar (reasonable assurance) terkait pengendalian internal bahwa adanya pengendalian internal yang baik tidak serta merta memberikan jaminan penuh kepada entitas bisa mencapai tujuannya namun sebatas keyakinan yang wajar. Selain itu terdapat keterbatasan yang melekat terhadap pengendalian internal bahwa tidak semua jenis pengendalian dapat diimplementasikan karena pertimbangan biaya dan manfaat (cost and benefit) sehingga dapat mengakibatkan pengendalian internal kurang efektif.

 

COSO menyatakan pula bahwa pihak-pihak yang terlibat terkait pengendalian internal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yang mendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawab atas penempatan, penjagaan dan pengawasan system pengendalian internal adlah tanggung jawab manajemen. 

 

COSO mengidentifikasi 3 tujuan utama pengendalian internal dari entitas, adalah :

1.      Efektivitas dan efisiensi operasi

2.      Kaendalan laporan keuangan

3.      Kepatuhan terhadap hukum dan peraturan yang berlaku.

 

Menurut COSO framework, internal control terdiri dari 5 komponen yang saling terkait, yaitu:

 

1.      Control environment

Merupakan pondasi dari komponen lainnya yang meliputi diantaranya:

• Integritas dan etika

• Komitmen untuk meningkatkan kompetensi

• Dewan komisaris dan komite audit

• Filosofi manajemen dan jenis operasi

• Kebijakan dari praktek sumber daya manusia

2.      Risk assessment

Terdiri dari identifikasi resiko dan analisis resiko. Identifikasi resiko meliputi pengujian terhadap faktor-faktor eksternal seperti perkembangan teknologi, persaingan dan perubahan ekonomi. Faktor intgernal diantaranya kompetensi karyawan, sifat dari aktivitas bisnis, dan karakteristik pengelolaan system informasi. Sedangan analisis resiko meliputi mngestimasi signifikansi resiko, menilai kemungkinannya terjadi risk, dan bagaomana mengelola resiko.

3.      Contol activities

Terdiri dari kebijakan prosedur yang menjamin karyawan melaksanakan arahan manajemen. Aktivitas pengendalian meliputi review terhadap system pengendalian, pemisahan tugas, dan pengendalian terhadap system informasi.

4.      Information and communication

Perlu untuk mengakses informasi dari dalam dam luar, mengembangkan strategi yang potensial dari system terintegrasi, serta perlunya data yang berkualitas. Sedangkan komunikasi berfokus kepada penyampaian permasalahan pengendalian internal dan mengumpulkan informasi dari pesaing.

5.      Monitoring

manajemen perlu melakukan pengawasan terhadap keseluruhan system pengendalian internal melalui aktivitas atau area yang khusus.

 

 

Di tahun 2004, COSO mengeluarkan Report Enterprise Risk Management – Integrated Framework, sebagai pengembangan COSO framework sebelumnya. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:

1.      Internal environment

       Komponen ini berkaitan dengan lingkungan dimana instansi Pemerintah berada dan beroperasi. Cakupannya adalah risk-management philosophy (kultur manajemen tentang risiko), integrity (integritas), risk-perspective (perspektif terhadap risiko), risk-appetite (selera atau penerimaan terhadap risiko), ethical values (nilai moral), struktur organisasi, dan pendelegasian wewenang.

2.      Objective setting

      Manajemen harus menetapkan objectives (tujuan-tujuan) dari organisasi agar dapat mengidentifikasi, mengakses, dan mengelola risiko. Objective dapat diklasifikasikan menjadi strategic objective dan activity objective. Strategic objective di instansi Pemerintah berhubungan dengan pencapaian dan peningkatan kinerja instansi dalam jangka menengah dan panjang, dan merupakan implementasi dari visi dan misi instansi tersebut. Sementara itu, activity objective dapat dipilah menjadi 3 kategori, yaitu (1) operations objectives; (2) reporting objectives; dan (3) compliance objectives.

3.      Event identification

      Komponen ini mengidentifikasi kejadian-kejadian potensial baik yang terjadi di lingkungan internal maupun eksternal organisasi yang mempengaruhi strategi atau pencapaian tujuan dari organisasi. Kejadian tersebut bisa berdampak positif (opportunities), namun dapat pula sebaliknya atau negative (risks). Terdapat 4 model dalam identifikasi risiko, yaitu (1) Exposure analysis; (2) Environmental analysis; (3) Threat scenario; (4) Brainstorming questions.

4.      Risk assessment

      Komponen ini menilai sejauhmana dampak dari events (kejadian atau keadaan) dapat mengganggu pencapaian dari objectives. Besarnya dampak dapat diketahui dari inherent dan residual risk, dan dapat dianalisis dalam dua perspektif, yaitu: likelihood (kecenderungan atau peluang) dan impact/consequence (besaran dari terealisirnya risiko). Dengan demikian, besarnya risiko atas setiap kegiatan organisasi merupakan perkalian antara likelihood dan consequence. 

       Penilaian risiko dapat menggunakan dua teknik, yaitu: (1) qualitative techniques; dan (2) quantitative techniques. Qualitative techniques menggunakan beberapa tools seperti self-assessment (low, medium, high), questionnaires, dan internal audit reviews. Sementara itu, quantitative techniques data berbentuk angka yang diperoleh dari tools seperti probability based, non-probabilistic models (optimalkan hanya asumsi consequence), dan benchmarking.

5.      Risk response

      Organisasi harus menentukan sikap atas hasil penilaian risiko. Risk response dari organisasi dapat berupa: (1) avoidance, yaitu dihentikannya aktivitas atau pelayanan yang menyebabkan risiko; (2) reduction, yaitu mengambil langkah-langkah mengurangi likelihood atau impact dari risiko; (3) sharing, yaitu mengalihkan atau menanggung bersama risiko atau sebagian dari risiko dengan pihak lain; (4) acceptance, yaitu menerima risiko yang terjadi (biasanya risiko yang kecil), dan tidak ada upaya khusus yang dilakukan.

6.      Control activities

      Komponen ini berperanan dalam penyusunan kebijakan-kebijakan (policies) dan prosedur-prosedur untuk menjamin risk response terlaksana dengan efektif. Aktifitas pengendalian memerlukan lingkungan pengendalian yang meliputi: (1) integritas dan nilai etika; (2) kompetensi; (3) kebijakan dan praktik-praktik SDM; (4) budaya organisasi; (5) filosofi dan gaya kepemimpinan manajemen; (6) struktur organisasi; dan (7) wewenang dan tanggung jawab.

7.      Information and communication

      Fokus dari komponen ini adalah menyampaikan informasi yang relevan kepada pihak terkait melalui media komunikasi yang sesuai. Faktor-faktor yang perlu diperhatikan dalam penyampaiaan informasi dan komunikasi adalah kualitas informasi, arah komunikasi, dan alat komunikasi. 

      Informasi yang disajikan tergantung dari kualitas informasi yang ingin disampaikan, dan kualitas informasi dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current; (4) accurate; dan (5) accessible. Arah komunikasi dapat bersifat internal dan eksternal. Sedangkan alat komunikasi berupa diantaranya manual, memo, buletin, dan pesan-pesan melalui media elektronis.

8.      Monitoring

      Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun terpisah (separate evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas supervisi, rekonsiliasi, dan aktivitas rutin lainnya . 

      Monitoring terpisah biasanya dilakukan untuk penugasan tertentu (kasuistis). Pada monitoring ini ditentukan scope tugas, frekuensi, proses evaluasi metodologi, dokumentasi, dan action plan. 

      Pada proses monitoring, perlu dicermati adanya kendala seperti reporting deficiencies, yaitu pelaporan yang tidak lengkap atau bahkan berlebihan (tidak relevan). Kendala ini timbul dari berbagai faktor seperti sumber informasi, materi pelaporan, pihak yang disampaikan laporan, dan arahan bagi pelaporan.

COBIT

COBIT singkatan dari Control Objective for information and related Technology adalah sebuah proses model yang dikembangkan untuk membantu perusahaan dalam pengelolaan sumber daya teknologi informasi (IT), atau yang merupakan suatu panduan standar praktik manajemen teknologi informasi dan sebagai tujuan pengendalian untuk informasi dan teknologi terkait. Dikeluarkan oleh IT Governance Institute (ITGI) yang merupakan bagian ISACA pada tahun 1996.

Visi dari COBIT adalah COBIT dijadikan satu-satunya model pengurusan dan pengendalian teknologi informasi (Information Technology Governance). Sedangkan misi COBIT yaitu melakukan riset, mengembangkan, memplublikasikan dan mempromosikan makalah-makalah, serta meng-update tatanan atau ketentuan TI Control Objective yang dapat diterima umum (generally accepted objective) berikut paduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control objective dapat bejalan mudah.

COBIT menciptakan sebuah jembatan antara manajemen TI dan para eksekutif bisnis. Focus utama dari COBIT adalah harapan bahwa adopsi COBIT ini, perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya. 

Secara keseluruhan COBIT mempunyai empat komponen (volume) yakni  :

1.    Executive Overview, merupakan ringkasan dari kerangka kerja COBIT.

2.    Framework, sebagaimana disebutkan sebelumnya, kerangka kerja COBIT terdiri dari empat lingkup    (domain), 34 proses, tujuh criteria informasi, dan empat sumber daya teknologi informasi.

3.    Core Content, bagian ini berisi sasaran pengendalian (control objectives), pedoman bagi manajemen (management guidelines) dan model-model pengembangan secara utuh atau penih (maturity models). 

COBIT maturity models, menyediakan saranan bagi manajemen untuk mem-benchmarkdan menargetkan tingkatan proses pengembangan yang dikehendaki.

4.    Lampiran-lampiran, bagian ini berisi mappings, cross-references, dan glossary

Komponen tujuan pengendalian(control objectives) COBIT terdiri atas 4 tujuan pengendalian tingkat tinggi (high-level control objectives). Yang tercermin dalam empat cakupan domain COBIT, yaitu:

1.    Perencanaan dan organisasi (plan and organize.

Mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya.

2.    Pengadaan dan implementasi (acquire and implement.

Untuk merealisasikan strategi IT . solusi TI perlu diidentifikasi, dikembangkan, atau diperoleh, serta diimplementasikan dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan system yang ada harus dimasukan dalam hal ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk system ini.

3.    Pengantaran dan dukungan (deliver and support)

Memberikan focus utama pada aspek penyampaian/pengiriman dari IT. Juga mencakup area-area seperti pengoperasian aplikasi dalam system IT dan hasilnya, dan selain itu, proses dukungan yang memungkinkan pengoperasian system IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.

4.    Pengawasan dan evaluasi (monitor and evaluate)

Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Menunjuk perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber alternative lainnya.

Kerangka kerja pengendalian COBIT terdiri dari empat hal, yakni  :

• Mengaitkannya dengan tujuan organisasi,
• Mengorganisasikan aktivitas TI ke dalam model proses,
• Mengidentifikasi sumber daya utama TI untuk melakukan percepatan,
• Mendefinisikan tujuan pengendalian manajemen untuk dipertimbangkan.

COBIT mentabulasikan empat lingkup pekerjaan atau domain, proses, kriteria informasi dan sumber daya teknologi informasi menjadi 318 sasaran pengendalian (control objectives) dengan aplikasi pada tingkatan seperti apa (primer atau sekunder) serta dapat diterapkan pada sumber daya teknologi informasi yang mana.

1.    Lingkup pekerjaan (domain) yang meliputi empat hal sebagai berikut  :

·         Merencanakan dan mengorganisasikan,

·         Memperoleh dan mengimplementasikan,

·         Melaksanakan dan mendukung,

·         Memonitor dan mengevaluasi.

2.    Proses yang berjumlah 34, terdiri dari PO1 sampai PO10

(indikator Plan dan Organize), AI1 sampai AI7 (indikator Acquire dan Implement), DS1 sampai DS13 (indikator Direct danSupport), serta ME1 sampai ME4 (indikator Monitor dan Evaluate).

3. Kriteria informasi, yang meliputi tujuh hal berikut ini :

a.    Efektivitas,
b.    Efisiensi,
c.    Kerahasiaan,
d.    Integritas, e.    Ketersediaan, f.     Ketaatan, g.    Keandalan.

4. Sumber daya teknologi informasi, yang meliputi  :

·         Sistem aplikasi,

·         Informasi,

·         Infrastruktur, dan

·         Personil.

Tujuan utama Cobit adalah menyediakan kebijakan yang jelas dan praktik baik, membantu manajemen senior dalam memahami dan mengelola resiko-resiko yang berhubungan dengan IT. COBIT menyediakan petunjuk control objective dan kerangka IT yang detail untuk manajemen, pemilik proses bisnis, user dan auditor. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan Information Technology (IT) secara efektif dan dapat diterapkan pada seluruh organisasi. 

* Tabel perbedaan antara COSO dan COBIT

Tinjauan perbedaaan	COSO	COBIT
Fokus Pengguna Utama	Manajemen	manajemen, operator dan auditor sistem informasi
Sudut pandang atas internal control	kesatuan beberapa proses secara umum.	kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi
Tujuan yang ingin dicapai dari sebuah internal control	pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku	pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang berlaku
Komponen/domain yang dituju	pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi	perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian.
Fokus pengendalian	Keseluruhan entitas	sisi teknologi informasi
Evaluasi atas internal control	ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu	ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan.
Evaluasi atas internal control	ditujukan kepada manajemen	ditujukan kepada manajemen