COSO dan COBIT

COSO kepanjangannya Committee of Sponsoring Organizations of the Treadway Commission.

Sejarahnya, COSO ini ada kaitannya sama FCPA yang dikeluarkan sama SEC dan US Congress di tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA adalah inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih merupakan inisiatif dari sektor swasta.
Sektor swasta ini membentuk ‘National Commission on Fraudulent Financial Reporting’ atau dikenal juga dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini disponsori oleh 5 professional association yaitu: AICPA, AAA, FEI, IIA, IMA. Tujuan komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi2 yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan.
Walaupun disponsori sama 5 professional association, tapi pada dasarnya komisi ini bersifat independen dan orang2 yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik, Bursa Efek, dan investor. Nama ‘Treadway’ sendiri berasal dari nama ketua pertamanya yaitu James C. Treadway, Jr.
Komisi ini mengeluarkan report pertamanya pada 1987. Isi reportnya di antaranya adalah merekomendasikan dibuatnya report komprehensif tentang pengendalian internal (integrated guidance on internal control). Makanya terus dibentuk COSO, yang kemudian bekerjasama dengan Coopers dan Lybrand untuk membuat report itu.
Coopers & Lybrand mengeluarkan report itu pada 1992, dengan perubahan minor pada 1994, dengan judul ‘Internal Control – Integrated Framework’. Report ini berisi definisi umum internal control dan membuat framework untuk melakukan penilaian (assessment) dan perbaikan (improvement) atas internal control. Gunanya report ini salah satunya adalah untuk mengevaluasi FCPA compliance di suatu perusahaan.
Poin penting dalam report COSO ‘Internal Control – Integrated Framework’ (1992):
Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:

• Efektifitas dan efisiensi operasional
• Reliabilitas pelaporan keuangan
• Kepatuhan atas hukum dan peraturan yang berlaku

Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:

• Control Environment
• Risk Assessment
• Control Activities
• Information and communication
• Monitoring

Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:

• Internal Environment
• Objective Setting
• Event Identification
• Risk Assessment
• Risk Response
• Control Activities
• Information and Communication
• Monitoring

 















 

COBIT

I. Sekilas Tentang COBIT

COBIT (Control Objectives for Information and Related Technology) adalah sebuah proses model yang dikembangkan untuk membantu perusahaan dalam pengelolaan sumber daya teknologi informasi (IT). Proses model ini difokuskan pada pengendalian terhadap masing-masing dari 34 proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT.

COBIT menciptakan sebuah jembatan antara manajemen TI dan para eksekutif bisnis. COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap corporate governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit.

Fokus utama dari COBIT ini adalah harapan bahwa melaui adopsi COBIT ini, perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.

COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). Saat ini pengembangan terbaru dari standar ini adalah COBIT Edisi 4.1.

II. Komponen-Komponen COBIT

COBIT memiliki komponen-komponen sebagai berikut :

a. Executive Summary
b. Framework
c. Control Objective
d. Audit Guidelines
e. Management Guidelines
f. Control Practices

III. Definisi Pengendalian Internal menurut COBIT

COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”.

Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control objective) dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.

Komponen tujuan pengendalian (control objectives) COBIT ini terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu : planning & organization , acquisition & implementation , delivery & support , dan monitoring.

IV. Ringkasan Konsep Pengendalian Internal COBIT dilihat dari berbagai sudut pandang

Pengguna Utama

COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :

• Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
• User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT  yang disediakan oleh pihak internal atau pihak ketiga.
• Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.

Tujuan Pengendalian Internal bagi Organisasi

Operasi yang efektif dan efisien

Keefektifan berkenaan dengan informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten, dan bermanfaat. Sedangkan keefisienan berkaitan dengan penyediaan informasi melalui sumber daya (yang paling produktif dan ekonomis) yang optimal.

Kerahasiaan

Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak berwenang.

Integritas

Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai nilai-nilai dan harapan bisnis.

Ketersedian Informasi

Berkaitan dengan informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik sekarang maupun di masa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang perlu dan kemampuan yang terkait.

Pelaporan keuangan yang handal

Berkaitan dengan pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan juga pemenuhan kewajiban mereka untuk membuat pelaporan keuangan.

Ketaatan terhadap ketentuan hukum dan peraturan

Terkait dengan pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian kontrak, dimana dalam hal ini proses bisnis dipandang sebagai suatu subjek.

Domain

a. Planning and organization

Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya.

b. Acquisition dan implementation

Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sisteem ini.

c. Delivery and Support

Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.

d. Monitoring

Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber anternatif lainnya.

Perbandingan Fokus Internal Control antara CoBIT dan COSO

Konsep serta framework yang terkait dengan internal control yang populer saat ini yaitu CoBIT dan COSO terdapat perbedaan dan persamaan di dalamnya.

Hal tersebut ditinjau dari setidaknya 7 (tujuh) elemen yaitu fokus pengguna utama, sudut pandang atas internal control, tujuan yang ingin dicapai dari sebuah internal control, komponen/domain, fokus pengendalian, evaluasi atas internal control, pertanggungjawaban atas sistem pengendalian.

Berikut ini tinjauan perbedaan maupun persamaan dari masing-masing framework:

CoBIT

1. Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem informasi.
2. Sudut pandang atas internal control adalah kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang berlaku.
4. Komponen/domain yang dituju adalah perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian.
5. Fokus pengendalian dari CoBIT adalah sisi teknologi informasi.
6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan.
7. Pertanggungjawaban atas sistem pengendalian dari CoBIT ditujukan kepada manajemen.

COSO

1. Fokus Pengguna Utama adalah manajemen.
2. Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku.
4. Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.
5. Fokus pengendalian dari eSAC adalah keseluruhan entitas.
6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu.
7. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada manajemen.

Jika melihat dari hal-hal tersebut maka dapat dilihat adanya persamaan sebagai berikut:

• Seluruh tujuan dari framework CoBIT dan COSO adalah pengendalian serta pengawasan atas proses dan lingkungan.
• Pertanggungjawaban ditujukan kepada manajemen.
• Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku.