PENGENDALIAN INTERNAL (COSO)

PENGENDALIAN INTERNAL (COSO)

Didirikan pada tahun 1985, yang merupakan aliansi dari lima organisasi profesi diantaranya :

• Financial  Executives International (FEI)
• The American Accounting Association (AAA)
• The American Institute  of  Certified  Public  Accountants (AICPA)
• The  Institute  of  Internal Auditors (IIA)
• The Institute of Management Accountants (IMA) (formerly the National Association of Accountants).

Misi utama dari COSO adalah  “Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance.”

Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tahun 1992, telah diselesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal mereka.

A.    Pengendalian Internal Menurut COSO

Pengendalian internal merupakan bagian yang sangat penting agar tujuan perusahaan dapat tercapai. Tanpa adanya pengendalian internal, tujuan tujuan perusahaan tidak dapat dicapai secara efektif dan efisien. Semakin besar perusahaan semakin penting pula arti dari pengendalian internal dalam perusahaan tersebut.

Secara umum, pengendalian internal merupakan bagian dari masing-masing sistem yang dipergunakan sebagai prosedur dan pedoman operasional perusahaan atau organisasi tertentu. Perusahaan umumnya menggunakan Sistem Pengendalian Internal untuk mengarahkan operasi perusahaan dan mencegah terjadinya penyalahgunaan sistem. Definisi pengendalian internal yang dikemukan oleh banyak penulis pada umumnya bersumber dari definisi yang dibuat oleh COSO (The Committee Of Sponsoring Organizations Of Treadway Commission).

Pada edisi yang baru, COSO (2013) mendefinisikan pengendalian internal sebagai berikut: "Internal control is a process, affected by an entity's board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance"

Pengertian pengendalian internal control menurut COSO tersebut, dapat dipahami bahwa pengendalian internal adalah proses,  karena hal tersebut menembus kegiatan operasional organisasi dan merupakan bagian integral dari kegiatan manajemen dasar. Pengendalian internal hanya dapat menyediakan keyakinan memadai, bukan keinginan mutlak. Hal ini menegaskan bahwa sebaik apapun pengendalian internal itu dirancang dan dioperasikan,hanya dapat menyediakan keyakinan yang memadai, tidak dapat sepenuhnya efektif dalam mencapai tujuan pengendalian internal meskipun telah dirancang dan disusun sedemikian rupa dengan sebaik baiknya. Bahkan bagaimanapun baiknya pengendalian internal yang ideal di rancang, namun keberhasilannya bergantung pada kompetisi dan kendala dari pada pelaksanaannya dan tidak terlepas dari berbagai keterbatasan.

1.      Tujuan pengendalian internal

Dari beberapa pendapat para ahli dapat dijelaskan bahwa tujuan pengendalian internal yaitu mencakup tiga hal pokok yang dapat diuraikan sebagai berikut:

Ø  Tujuan tujuan operasi yang berkaitan dengan efektivitas dan efisiensi operasi.

Bahwa pengendalian internal dimaksudkan untuk meningkatkan efektifitas dan efisiensi dari semua operasi perusahaan sehingga dapat mengendalikan biaya yang bertujuan untuk mencapai tujuan organisasi.

Ø  Tujuan-tujuan pelaporan

Bahwa pengendalian internal dimaksudkan untuk meningkatkan keandalan data serta catatan catatan akuntansi dalam bentuk laporan keuangan dan laporan manajemen sehingga tidak menyesatkan pemakai laporan tersebut dan dapat diuji kebenarannya.

Ø  Tujuan-tujuan ketaatan terhadap hukum dan peraturan yang berlaku.

Bahwa pengendalian internal dimaksudkan untuk meningkatkan ketaatan entitas terhadap hukum hukum dan peraturan yang telah ditetapkan pemerintah, pembuat aturan terkait, maupun kebijakan kebijakan entitas itu sendiri.

Ketiga tujuan pengendalian internal tersebut merupakan hasil (output) dari suatu pengendalian internal yang baik, yang dapat dicapai dengan memperhatikan unsur unsur pengendalian internal yang merupakan proses untuk menghasilkan pengendalian internal yang baik. Oleh karena itu, agar tujuan pengendalian internal tercapai, maka perusahaan harus mempertimbangkan unsur unsur pengendalian internal.

v  Unsur unsur pengendalian internal

COSO menyatakan mengenai unsur unsur pengendalian internal sebagai berikut: "Internal control consists of five integrated components:

1.      Control Environment

2.      Risk Assessment

3.      Control Activities

4.      Information And Communication

5.      Monitoring Activities"

Adapun hubungan diantara kelima tujuan dan komponen komponen pengendalian internal tersebut digambarkan oleh COSO dalam bentuk kubus sebagai berikut:

Berdasarkan gambar tersebut menjelaskan bahwa ada suatu hubungan langsung antara tujuan tujuan sebagai apa yang hendak dicapai entitas dengan komponen komponen pengendalian internal yang mewakili apa yang diperlukan untuk mencapai tujuan tujuan itu, serta struktur organisasi entitas pada setiap tingkatan (divisi, unit, operasi, fungsi, dan lainnya). Ketiga kategori tujuan tersebut (operasi, pelaporan, dan ketaatan) diwakili oleh kolom, kemudian kelima komponen pengendalian internal diwakili oleh baris, sedangkan struktur organisasi entitas direpresentasikan oleh ketiga dimensinya.

Agar lebih jelas berikut ini akan dijelaskan kelima komponen pengendalian internal tersebut :

1.      Lingkungan Pengendalian (Control Invironment)

Lingkungan pengendalian menciptakan suasana pengendalian dalam suatu organisasi dan mempengaruhi kesadaran personal organisasi tentang pengendalian. Lingkungan pengendalian merupakan landasan untuk semua komponen pengendalian internal yang membentuk disiplin dan struktur.

Berdasarkan rumusan COSO, bahwa lingkungan pengendalian didefinisikan sebagai seperangkat standar, proses, dan struktur yang memberikan dasar untuk melaksanakan pengendalian internal di seluruh organisasi.

Selanjutnya, COSO menyatakan, bahwa terdapat lima prinsip yang harus ditegakkan atau dijalankan dalam organisasi untuk mendukung lingkungan pengendalian agar dapat terwujud dengan baik, yaitu:

ü  Organisasi yang terdiri dari dewan direksi, manajemen, dan personil lainnya menunjukkan komitmen terhadap integritas dan nilai-nilai etika.

ü  Dewan direksi menunjukkan indenpendensi dari manajemen dan dalam mengawasi pengembangan dan kinerja pengendalian internal.

ü  Manajemen dengan pengawasan dewan direksi menetapkan struktur, jalur pelaporan, wewenang-wewenang dan tanggung jawab dalam mengejar tujuan.

ü  Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompetensi sejalan dengan tujuan.

ü  Organisasi meyakinkan individu bertanggung jawab atas tugas dan tanggung jawab pengendalian internal mereka dalam mengejar tujuan.

2.      Penilaian Risiko (Risk Assessment)

Menurut COSO, penilaian risiko melibatkan proses yang dinamis dan interaktif untuk mengidentifikasi dan menilai risiko terhadap pencapaian tujuan. Risiko itu sendiri dipahami sebagai suatu kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan entitas, dan risiko terhadap pencapaian seluruh tujuan dari entitas ini dianggap relatif terhadap toleransi risiko yang ditetapkan. Oleh karena itu, penilaian risiko membentuk dasar untuk menentukan bagaimana risiko harus dikelola oleh organisasi

Prinsip-prinsip yang mendukung penilaian risiko menurut COSO sebagai berikut:

ü   Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan.

ü   Organisasi mengidentifikasi risiko terhadap pencapaian tujuan di seluruh entitas dan analis risiko sebagai dasar untuk menentukan bagaimana risiko harus dikelola.

ü   Organisasi mempertimbangkan potensi kecurangan dalam menilai risiko terhadap pencapaian tujuan.

ü   Organisasi mengidentifikasi dan menilai perubahan yang signifikan dapat mempengaruhi sistem pengendalian internal.

3.      Aktivitas Pengendalian (Control Activities)

Menurut COSO, aktivitas pengendalian adalah tindakan-tindakan yang ditetapkan melalui kebijakan-kebijakan dan prosedur-prosedur yang membantu memastikan bahwa arahan manajemen untuk mengurangi risiko terhadap pencapaian tujuan dilakukan. Aktivitas pengendalian dilakukan pada semua tingkat entitas, pada berbagai tahap dalam proses bisnis, dan atas lingkungan teknologi.

Aktivitas pengendalian memiliki berbagai macam tujuan dan diterapkan dalam berbagai tindakan dan fungsi organisasi. Aktivitas pengendalian meliputi kegiatan yang berbeda,seperti: otorisasi, verifikasi, rekonsiliasi, analisis, prestasi kerja, menjaga keamanan harta perusahaan dan pemisahan fungsi.

COSO menegaskan mengenai prinsip prinsip dalam organisasi yang mendukung aktivitas pengendalian yaitu sebagai berikut:

ü  Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi terhadap mitigasi risiko pencapaian sasaran pada tahap yang dapat diterima.

ü  Organisasi memilih dan mengembangkan aktivitas pengendalian umum atas teknologi untuk mendukung tercapainya tujuan.

ü  Organisasi menyebarkan aktivitas pengendalian melalui kebijakan kebijakan yang menetapkan apa yang diharapkan, dan prosedur-prosedur yang menempatkan kebijakan kebijakan ke dalam tindakan.

4.      Informasi Dan Komunikasi (Information And Communication)

COSO menjelaskan bahwa informasi sangat penting bagi setiap entitas untuk melaksanakan tanggung jawab pengendalian internal guna mendukung pencapaian tujuan-tujuannya. Informasi yang diperlukan manajemen adalah informasi yang relevan dan berkualitas baik yang berasal dari sumber internal maupun eksternal dan informasi yang digunakan untuk mendukung fungsi komponen-komponen lain pengendalian internal. Informasi diperoleh ataupun dihasilkan melalui proses komunikasi antar pihak internal maupun eksternal yang dilakukan secara terus- menerus, berulang, dan berbagi. Kebanyakan organisasi membangun suatu sistem informasi untuk memenuhi kebutuhan informasi yang andal, releva,n dan tepat waktu.

Ada 3 prinsip yang mendukung komponen informasi dan komunikasi dalam pengendalian internal menurut COSO, yaitu:

ü  Organisasi memperoleh atau menghasilkan dan menggunakan informasi yang berkualitas dan yang relevan untuk mendukung fungsi pengendalian internal.

ü  Organisasi secara internal mengkomunikasikan informasi, termasuk tujuan dan tanggung jawab untuk pengendalian internal dalam rangka mendukung fungsi pengendalian internal.

ü  Organisasi berkomunikasi dengan pihak internal mengenai hal-hal yang mempengaruhi fungsi pengendalian internal.

5.      Aktivitas Pemantauan (Monitoring Activities)

Aktivitas pemantauan menurut COSO merupakan kegiatan evaluasi dengan beberapa bentuk apakah yang sifatnya berkelanjutan, terpisah maupun kombinasi keduanya yang digunakan untuk memastikan apakah masing-masing dari kelima komponen pengendalian internal mempengaruhi fungsi fungsi dalam setiap komponen, ada dan berfunsi. Evaluasi berkesinambungan ,(terus menerus) dibangun ke dalam proses bisnis pada tingkat yang berbeda dari entitamenyajikanyajikan informasi yang tepat waktu. Evaluasi terpisah dilakukan secara periodik, akan bervariasi dalam lingkup dan frekuensi tergantung pada penilaian risiko, efektifitas evaluasi yang sedang berlangsung, bahan pertimbangan manajemen lainnya. Temuan-temuan dievaluasi terhadap kriteria yang ditetapkan oleh pembuat kebijakan, lembaga-lembaga pembuat standar yang diakui atau manajemen dan dewan direksi, dan kekurangan kekurangan yang ditemukan dikomunikasikan kepada manajemen dan dewan direksi.

Kegiatan pemantauan meliputi proses penilaian kualitas kinerja pengendalian internal sepanjang waktu, dan memastikan apakah semuanya dijalankan seperti yang diinginkan serta apakah telah disesuaikan dengan perubahan keadaan. Pemantauan seharusnya dilakukan oleh personal yang semestinya melakukan pekerjaan tersebut, baik pada tahap desain maupun pengoperasian pengendalian pada waktu yang tepat, guna menentukan apakah pengendalian internal beroperasi sebagaimana yang diharapkan dan untuk menentukan apakah pengendalian internal tersebut telah disesuaikan dengan perubahan keadaan yang selalu dinamis.

Secara singkat dapat dikatakan bahwa pemantauan dilakukan untuk memberikan keyakinan apakah pengendalian internal telah dilakukan secara memadai atau tidak. Dari hasil pemantauan tersebut dapat ditemukan kelemahan dan kekurangan pengendalian sehingga dapat diusulkan pengendalian yang lebih baik.

v  Keterbatasan pengendalian internal

Pelaksanaan struktur pengendalian internal yang efisien dan efektif haruslah mencerminkan keadaan yang ideal. Namun dalam kenyataannya hal ini sulit untuk dicapai, karena dalam pelaksanaannya struktur pengendalian internal mempunyai keterbatasan-keterbatasan. COSO menjelaskan bahwa pengendalian internal tidak bisa mencegah penilaian buruk atau keputusan, atau kejadian eksternal yang dapat menyebabkan sebuah organisasi gagal untuk mencapai tujuan operasionalnya. Dengan kata lain bahwa sistem pengendalian internal yang efektif dapat mengalami kegagalan.

Lebih lanjut dikemukakan bahwa keterbatasan-keterbatasan yang ada nungkin terjadi sebagai hasil dari penetapan tujuan-tujuan yang menjadi prasyarat untuk pengendalian internal tidak tepat, penilaian manusia dalam pengendalian keputusan yang dapat salah dan bias, faktor kegagalan/kesalahananusia sebagai pelaksana, kemampuan manajemen untuk mengesampingkan pengendalian internal, kemampuan manajemen, personel lainnya, ataupun pihak ketiga untuk menghindari kolusi, dan juga peristiwa-peristiwa eksternal yang berada di luar kendali organisasi.

Keterbatasan bawaan yang melekat dalam setiap pengendalian internal sebagaimana dikekukakan oleh mulyadi (2003) yaitu:

1. Kesalahan dalam pertimbangan

2. Gangguan

3. Kolusi

4. Pengabaian oleh manajemen

5. Biaya lawan manfaat

KELEMAHAN dan KELEBIHAN

COSO ERM –Integrated Framework memiliki keunggulan esensial dalam memberikan panduan yang lebih mendetail dan komprehensif. Keberadaan prinsip manajemen risiko, penetapan konteks eksternal, dan pemisahan antara kerangka kerja dengan proses manajemen risiko menjadi keunggulan kompetitif yang dimiliki. Namun pada akhirnya, dalam memilih standar terbaik untuk diimplementasikan, keunikan pada kedua standar tersebut perlu dipertimbangkan dan disesuaikan dengan sasaran, karakteristik, dan regulasi yang berlaku pada organisasi. Dalam penerapannya, organisasi juga dapat mengadaptasi dan mengkombinasikan komponen-komponen tertentu pada kedua rujukan tersebut untuk membangun sistem manajemen risiko tersendiri yang efektif bagi organisasinya.

 

Pengendalian Internal Menurut COBIT

Definisi Pengendalian Internal menurut COBIT

Control Objectives for Information and Related Technology atau COBIT adalah proses yang sedang dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari Information System Audit and Control Association (ISACA) untuk membantu perusahaan dalam mengelola sumber daya teknologi informasi.

COBIT juga merupakan jembatan antara manajemen teknologi informasi dengan para eksekutif bisnis atau dewan direksi. Dikatakan seperti itu karena CoBIT mampu menjelaskan laporan dengan bahasa yang umum sehingga dapat mudah dipahami oleh semua pihak. Salah satu alasan mengapa COBIT dapat merajalela di seluruh dunia karena semakin besarnya perhatian dari corporate governance dan kebutuhan perusahaan dalam menghasilkan sesuatu yang lebih dengan kondisi sumber daya yang sedikit dan ekonomi yang sulit.

Tujuan utama yang diharapkan dari adanya COBIT yaitu agar perusahaan mampu meningkatkan nilai tambah dalam bidang IT dan dapat mengurangi risiko-risiko inheren yang ada didalamnya.

COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”. Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control objective)dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.

Komponen tujuan pengendalian (control objectives) COBIT ini terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu : planning & organization , acquisition & implementation ,delivery & support , dan monitoring.

Komponen-komponen COBIT

COBIT mempunyai komponen-komponen sebagai berikut:

a.    Executive Summary

b.    Framework

c.    Control Objective

d.    Audit Guidelines

e.    Management Guidelines

f.    Control Practices

Definisi Pengendalian Internal menurut COBIT

Untuk pengertian Pengendalian Internal COBIT mengadopsinya dari COSO, yaitu:

“Kebijakan, prosedur, praktik, struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah, dideteksi atau diperbaiki”.

Selain itu untuk tujuan pengendalian sendiri COBIT mengadopsinya dari SAC, yaitu:

“Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.

Ringkasan Konsep Pengendalian Internal COBIT dilihat dari berbagai sudut pandang

Pengguna UtamaCOBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :

ü  Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.

ü  User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT  yang disediakan oleh pihak internal atau pihak ketiga.

ü  Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.

Tujuan Pengendalian Internal bagi Organisasi

a.       Operasi yang efektif dan efisien

Keefektifan berkenaan dengan informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten, dan bermanfaat. Sedangkan keefisienan berkaitan dengan penyediaan informasi melalui sumber daya (yang paling produktif dan ekonomis) yang optimal.

b.      Kerahasiaan

Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak berwenang.

c.       Integritas

Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai nilai-nilai dan harapan bisnis.

d.      Ketersedian Informasi

Berkaitan dengan informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik sekarang maupun di masa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang perlu dan kemampuan yang terkait.

e.       Pelaporan keuangan yang handal

Berkaitan dengan pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan juga pemenuhan kewajiban mereka untuk membuat pelaporan keuangan.

f.       Ketaatan terhadap ketentuan hukum dan peraturan

Terkait dengan pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian kontrak, dimana dalam hal ini proses bisnis dipandang sebagai suatu subjek.

v  Domain

1. Planning and organization

Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya.

2. Acquisition dan implementation

Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sisteem ini.

3.      Delivery and Support

Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.

4. Monitoring

Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber anternatif lainnya.

Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:

Control Objectives : Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition & implementation , delivery & support , dan monitoring .

Audit Guidelines : Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives ) untuk membantu para auditor dalam memberikanmanagement assurance dan/atau saran perbaikan.

Management Guidelines : Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :

ü  Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.

ü  Apa saja indikator untuk suatu kinerja yang bagus?

ü  Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors )?

ü  Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?

ü  Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?

ü  Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.

ü  The COBIT Framework memasukkan juga hal-hal berikut ini:

ü  Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices

ü  Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.

ü  Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements

ü  Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan denganprocess goals.

Satu dari prinsip dalam COBIT 5 ini adalah pembedaan yang dibuat antara tata kelola (governance) dan pengelolaan (management). Selaras dengan prinsip ini, setiap organisasi diharapkan untuk melaksanakan sejumlah proses tata kelola dan sejumlah proses pengelolaan untuk menyediakan tata kelola dan pengelolaan enterprise IT yang komprehensif.

Ketika mempertimbangkan proses untuk tata kelola dan pengelolaan dalam konteks enterprise, perbedaan antara jenis-jenis proses tergantung kepada tujuan dari proses tersebut, antara lain :

1. Proses tata kelola berhubungan dengan tujuan tata kelola, yaitu value delivery; manajemen resiko dan penyeimbangan sumber daya; serta termasuk praktik dan aktivitas yang dituju sesuai evaluasi pilihan strategis yang menyediakan arahan kepada IT dan memantau outcome (hal ini sesuai dengan konsep standar ISO 38500).
2. Selaras dengan definisi pengelolaan, praktik dan aktivitas dari proses pengelolaan (management process) melingkupi tanggung jawab area perencanaan, pembangunan, pelaksanaan, dan pemantauan dari enterprise IT. Proses pengelolaan juga menyediakan cakupan end-to-end dari IT.

Walau outcome kedua jenis proses berbeda dan dimaksudkan untuk audience yang berbeda, secara internal, contohnya dari konteks prosesnya sendiri, semua proses membutuhkan aktivitas perencanaan, pembangunan (atau implementasi), eksekusi, dan pemantauan.

COBIT 5 tidaklah menentukan tetapi dari penjelasan di atas jelas bahwa COBIT 5 mendukung organisasi mengimplementasi proses tata kelola dan pengelolaan pada area yang dicakupi seperti yang dijelaskan pada gambar di bawah.

Dalam teorinya, perusahaan dapat mengorganisasi prosesnya apabila memungkinkan selama tujuan dasar tata kelola dan pengelolaan tercakupi. Perusahaan kecil memiliki proses yang lebih sedikit sedangkan perusahaan yang lebih besar atau rumit memiliki proses yang banyak. Semuanya mencakupi tujuan yang sama. Meskipun begitu, COBIT 5 juga menyertakan sebuah model referensi proses yang mendefinisikan dan menjelaskan secara rinci sejumlah proses tata kelola dan pengelolaan. Model referensi proses merepresentasikan semua proses yang secara normal ditemukan dalam sebuah perusahaan yang berhubungan dengan kegiatan IT dengan demikian menyediakan sebuah model referensi umum yang dapat dimengerti untuk manajer bisnis dan It yang beroperasi dan juga auditor maupun penasehat.

Menggabungkan model operasional dan membuat sebuah bahasa umum untuk semua bagian bisnis yang terlibat dalam kegiatan IT merupakan salah satu hal yang paling penting dan langkah kritis menuju tata kelola yang baik (good governance). Selain itu, model referensi proses menyediakan kerangka kerja untuk mengukur dan memantau kinerja IT, mengomunikasikan dengan penyedia layanan, serta menyatukan praktik-praktik pengelolaan terbaik.

Model referensi proses COBIT 5 membagi proses tata kelola dan pengelolaan perusahaan IT ke dalam dua domain, yaitu domain tata kelola dan domain pengelolaan.

1. Domain tata kelola mengandung lima proses tata kelola yang di dalam setiap prosesnya praktik evaluasi, pengarahan, dan pemantauan didefinisikan.
2. Domain pengelolaan ada empat yang selaras dengan wilayah tanggung jawab perencanaan, pembangunan, pelaksanaan, dan pemantauan.
3. Dalam COBIT 5, proses-proses juga mencakupi lingkup penuh dari kegiatan bisnis dan IT yang berhubungan dengan tata kelola dan pengelolaaan enterprise IT. Dengan demikian membuat model proses benar-benar enterprise-wide.

Model referensi proses COBIT 5 adalah penerus proses model COBIT 4.1 dengan mengintegrasikan proses model Risk IT dan Val IT. Gambar di bawah menggambarkan himpunan lengkap dari proses tata kelola dan pengelolaan dalam COBIT 5.

PENGENDALIAN DAN AUDIT SISTEM INFORMASI AKUNTANSI

CASE 7.1.

a.       Anda bertemu dengan Komite Audit Go-Go, yang terdiri dari controller, bendahara, wakil presiden keuangan, dan direktur anggaran.

MASALAH:
Bagian 301 dari Sarbanes-Oxley Act of 2002 (SOX) mensyaratkan perusahaan publik untuk memiliki sebuah komite audit yang independen. Di Indonesia,berdasarkan POJK No. 33 tentang Direksi dan Dewan Komisaris Emiten atau Perusahaan Publik serta merujuk ke Peraturan Bapepam IX.I.5 tentang Pembentukan dan Pedoman Pelaksanaan Kerja Komite Audit dimana Komite Audit adalah komite yang dibentuk oleh Dewan Komisaris dan terdiri dari sekurang-kurangnya satu orang Komisaris Independen dan sekurang-kurangnya 2 (dua) orang lainnya berasal dari luar Emiten atau Perusahaan Publik.Hal ini tidak terjadi di Go-Go Corporation.

SOLUSI:
Komite Audit harus dibentuk sesuai dengan ketentuan atau paraturan-peraturan yang telah ditetapkan bagi Emiten atau Perusahaan Publik. Komite Audit harus independen dan bertanggung jawab untuk:

·         Melakukan penelaahan atas informasi keuangan seperti laporan keuangan, proyeksi dan informasi keuangan lainnya,

·         Melakukan penelaahan atas ketaatan perusahaan terhadap peraturan perundang-undangan di bidang Pasar Modal dan peraturan perundang-undangan lainnya yang berhubungan dengan kegiatan perusahaan,

·         Mengawasi struktur pengendalian internal korporasi,

·         Komite Audit harus menjaga kerahasiaan dokumen, data dan informasi perusahaan.

b.      Anda mengenali bendahara sebagai mantan ajudan Ernie Eggers, yang didakwa atas penipuan beberapa tahun yang lalu.

MASALAH:
Posisi bendahara sebuah perusahaan melibatkan pengelolaan kas dan aset keuangan lainnya, sangat penting bahwa posisi tersebut diisi oleh seseorang yang integritas dan nilai-nilai etikanya tidak diragukan lagi. Kondisi yang ada di Go-Go Corporation menjadi dilemma dimana di satu sisi, hanya karena bendahara pernah bekerja untuk seseorang yang ternyata tidak jujur ​​tidak berarti bendahara tidak jujur ​​juga. Setiap orang harus dinilai pada kemampuannya sendiri, bukan kepentingan orang lain. Oleh karena itu, Anda perlu berhati-hati untuk tidak berasumsi bahwa secara otomatis bendahara tidak jujur. Di sisi lain, fakta mengatakan bahwa bendahara tersebut pernah menjadi pembantu seseorang yang didakwa karena penipuan sehingga harus menimbulkan pertanyaan dalam dirikita sebagai auditor.

SOLUSI:
Meskipun kita mungkin tidak memiliki informasi yang spesifik untuk mengkaitkan bendahara perusahaan dengan kasus penipuan sebelumnya, informasi ini harus menunjukkan kebutuhan untuk memeriksa dengan seksama standar sumber daya manusia yang dimiliki oleh perusahaan serta kebijakan dan prosedur SDM perusahaan dalam hal perekrutan.

c.       Manajemen menjelaskan rencananya untuk mengubah metode akuntansi atas penyusutan dari metode akselerasi menjadi lurus. Manajemen menyiratkan bahwa jika Kantor Akuntan tidak sependapat dengan perubahan ini, Go-Go akan mempekerjakan auditor lainnya.

MASALAH:
Mengapa sebuah perusahaan ingin merubah metode penyusutan dari akselerasi menjadi garislurus? Salah satu alasannya adalah untuk mengurangi beban penyusutan, sehingga dapat meningkatkan laba bersih dan berpotensi meningkatkan harga saham perusahaan. Atau, mereka mungkin akan mencari cara untuk menutupi, atau menyembunyikan, masalahperusahaan yang lainnya yang akan mempengaruhi laba bersih.

SOLUSI:
Di Indonesia, perubahan kebijakan akuntansi telah diatur di dalam PSAK 25.Perusahaan harus memiliki alasan logis dalam mengubah kebijakan akuntansinya, selain hanya untuk meningkatkan laba bersih dan harga saham. Jika manajemen tidakmemiliki alasan yang baik dan jelas atas perubahan kebijakan akuntansi yang diinginkan, maka komitmen terhadap integritas, nilai-nilai etika serta kompetensi perusahaan harus dievaluasi secara cermat. Hal ini juga mungkin ada hubungannya dengan filosofi manajemen, gaya pengoperasian, dan selera resiko yang mana perusahaan juga memiliki selera resiko yaitu jumlah resiko yang bersedia diterima oleh perusahaan untuk mencapai tujuan dan sasarannya.

d.      Anda mempelajari bahwa wakil presiden keuangan mengelola staf yang terdiri atas lima auditor internal.

MASALAH:
Fungsi audit internal itu harusnya bersifat independen dan tidak terorganisasi dari fungsi akuntansi dan keuangan.

SOLUSI:
Aspek-aspek penting dari struktur organisasi adalah dengan menyertakan hal-hal sebagai berikut:

·         Sentralisasi atau desentralisasi wewenang

·         Hubungan pengarahan atau matriks pelaporan

·         Organisasi berdasarkan industry, lini produk, lokasi atau jaringan pemasaran

·         Bagaimana alokasi tanggungjawab mempengaruhi ketentuan informasi

·         Organisasi dan garis wewenang untuk akutansi, pengauditan, dan fungsi system informasi

·         Ukuran dan jenis aktivitas perusahaan

Untuk itu berdasarkan aspek-aspek penting dalam struktur organisasi, harusnya staff internal audit bertanggungjawab langsung kepada komite audit bukan ke wakil presiden keuangan.

e.       Anda mencatat bahwa seluruh otoritas manajemen tampaknya berada pada tiga bersaudara, yang bertindak sebagai CEO, presiden, dan wakil presiden keuangan.

MASALAH:
Dominasi organisasi manajemen oleh satu atau beberapa individu merupakan aspek filosofi dan gaya pengoperasian manajemen dandapat mengindikasikan masalah pada lingkungan internal.Mungkin akan ada potensi dari kelompok kecil ini untuk menimpa sistem pengendalian internal.

SOLUSI:
Dalamkondisiotoritasmanajemen yang dijalankan oleh keluarga, sangat penting mengevaluasi situasi seperti ini dengan hati-hati untuk menentukan apakah terdapat kelemahan dalam pengendalian internal.

f.       Anda diberitahu bahwa kinerja divisi dan manager departemen dievaluasi secara subjektif, karena manajemen Go Go percaya bahwaprosedur evaluasi kinerjaformal kontraproduktif.

MASALAH:
Hal ini mungkinmenunjukkan adanyamasalah dalam standar sumber daya manusia manajemen dan pemantauan kinerja mereka. Metode evaluasi subjektif sering tidak efektif dalam mendeteksi masalah atau dalam mengidentifikasi kinerja yang baik.

SOLUSI:
Sangat penting mengevaluasi situasi seperti ini dengan hati-hati untuk menentukan apakah terdapat kelemahan dalam pengendalian internal. Harusnya evaluasi dilakukan secara objektif dan dilakukan secara periodic untuk mengetahui kekuatan dan kelemahan mereka.

g.      Anda mempelajari bahwa perusahaan telah melaporkan peningkatan dalam pendapatan per saham dalam kurun waktu 25 kuartal; Namun, pendapatan selama kuartal terakhir telah mendatar dan bisa menurun.

MASALAH:
Filosofi dan gaya operasi manajemen, serta komitmen mereka terhadap integritas dan nilai-nilai etika, dapat diuji ketika sebuah perusahaan menghadapi penurunan laba. Ketika laba per saham menurun atau ketika mereka tidak memenuhi harapan, sahamperusahaan dapat terjun bebas bahkan terkadang turun dengan sangat signifikan. Akibatnya, perusahaan berusaha untuk menghin dari penurunan laba bila memungkinkan. Masalahnya akan muncul dan akan dipertanyakan ketika manajemen berusaha untuk menopang pendapatan mereka.

SOLUSI:
Karena banyaknya kasus penipuan yang telah dilakukan oleh beberapa perusahan dengan cara penggelembungan pendapatan, jika nantinya perusahaan berusaha menopang pendapatan mereka, hal ini nantinya harus diselidiki dan harus bersikap lebih skeptic serta dapat ditandai dengan “red flags”.

h.      Anda meninjau kebijakan dan prosedur manual perusahaan, yang terdaftar kebijakan
untuk berurusan dengan pelanggan, vendor, dan karyawan.

MASALAH:
Salah satu metode untuk menempatkan wewenang dan tanggung jawab adalah kebijakan dan prosedur manual tertulis dan komprehensif. Go-Go memiliki kebijakan dan prosedur manual tertulis, tetapi tidak lengkap. Hal ini terbatas hanya tiga bidang: kebijakan untuk menangani pelanggan, vendor, dan karyawan.

SOLUSI:
Sebuah kebijakan dan prosedur manual harus berisi lebih dari apa yang ditunjukkan. Kebijakan dan prosedur manual harus menjelaskan praktek-praktek bisnis yang tepat, menggambarkan pengetahuan dan pengalaman yang diperlukan oleh personil kunci, menjelaskan proedur dokumen, menjelaskan cara menangani transaksi, dan mendata sumber daya yang disediakan untuk melaksanakan tugas-tugas tertentu. PedomanIni dapat menyertakan bagan, salinan formulir serta dokumen.Hal ini sangat penting untuk mengidentifikasisi apa yang bertanggung jawab untuk kebijakan keamanan informasi perusahaan.

i.        Penilaian awal Anda adalah bahwa sistem akuntansi dirancang dengan baik dan mereka menerapkan prosedur pengendalian internal yang efektif

MASALAH:
Meskipun kita percaya bahwa sistem akuntansi yang dirancang dengan baik, dan mereka telah menerapkan prosedur pengendalian internal yang efektif, namun kita tidak dapat bergantung pada keyakinan itu.

SOLUSI:
Kita tidak dapat mengandalkan prosedur pengendalian internal yang efektif, untuk itu kita harus melakukan pengujian atas prosedur pengendalian internal perusahaan. Adapun hal-hal yang dapat dilakukan dalam pengujian prosedur pengendalian internal terhadap system akuntansi antara lain:

1.    Pengelolaan Akses

•     Akses fisik ke perangkat keras teknologi sistem informasi dilindungi secara memadai.

•     Keamanan sistem telah dikonfigurasikan secara memadai.

•     Hak akses yang besar hanya diberikan kepada pengguna yang berwenang.

•     Keamanan password telah dikonfigurasikan secara memadai.

•     Pengawasan dilakukan terhadap hak akses yang telah diberikan kepada pengguna.

•     Permintaan hak akses pengguna telah disetujui oleh pihak-pihak yang berwenang.

•     Pemisahan tugas-tugas yang menimbulkan konflik kepentingan diterapkan dalam pengelolaan akses (pemohon hak akses merupakan individu yang terpisah dari tugas pembuatan hak akses di dalam sistem).

2.    Operasi Komputer

•     Backup terhadap data finansial dan pengujian terhadap kemampuan restore data dari medium backup telah dilakukan.

j.        Beberapa karyawan mengeluh bahwa beberapa manajer terkadang bertentangan dengan instruksi dari manajer lain terkait prosedur keamanan data yang tepat.

MASALAH:
Tidak ada batasan yang jelas ataswewenang dan tanggung jawab untuk kebijakan dan prosedur keamanan data.

SOLUSI:
Memiliki keamanan serta kontrol yang memadai atas data organisasi harus menjadi prioritas bagi manajemen puncak. Sebuah struktur organisasi perusahaan harusnya memberikan sebuah kerangka untuk operasi perencanaan, pelaksanaan, pengendalian, dan pengawasan. Manajemen harus memastikan para pegawai untuk dapat memahami sasaran dan tujuan entitas, menetapkan wewenang dan tanggung jawab baik untuk departemen maupun individu untuk mencapai tujuan bisnis, seperti halnya keamanan data. Wewenang dan tanggung jawab ditetapkan dan dikomunikasikan dengan menggunakan deskripsi pekerjaan formal, pelatihan karyawan, jadwal pengoperasian, anggaran, kode etik, serta kebijakan dan prosedur tertulis.

k.      Setelah tinjauan yang teliti terhadap anggaran untuk proyek-proyek peningkatan keamanan data, Anda merasa anggaran tampaknya memadai.

MASALAH:
Tidak ada masalah mengenai anggaran untuk proyek-proyek dalam rangka peningkatan keamanan data karena dinilai telah memadai. Hal ini menunjukkan bahwa perusahaan telah mengalokasikan anggaran dengan baik.

l.        Proyek firewall jaringan yang meningkat menunjukkan jadwal implementasi yang sangat agresif. Manajer TI menyebutkan bahwa meskipun ia mengerahkan semua personil dalam proyek ini selama lima minggu ke depan, ia masih belum dapat menyelesaikan proyek dengan tepat waktu. Manajer telah mengatakan hal ini kepada manajemen perusahaan, yang tampaknya tidak ingin memodifikasi jadwal.

MASALAH:
Jadwal pelaksanaan firewall tidak layak.

SOLUSI:
Filosofi manajemen dan gaya pengoperasian harus dievaluasi secara cermat. Apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk mencapai tujuannya? Apakah manajemen menekan para pegawainya untuk mencapai hasil yang diinginkan terlepas dari metode yang digunakan untuk mencapai tujuan tersebut?

m.    Beberapa karyawan baru memiliki kesulitan dalam menyelesaikan tugas mereka, dan sepertinya mereka tidak tahu siapa yang dapat dimintai pertolongan.

MASALAH:
Pelatihan karyawan dan dukungan tampaknya agak lemah. Perusahaan yang meremehkan pelatihan cenderung memiliki lebih banyak penipuan dan pelanggaran. Jika karyawan tidak tahu siapa yang dapat dimintai pertolongan, berarti struktur organisasi perusahaan dan metode dalam menetapkan wewenang dan tanggung jawab tampaknya kurang atau tidak dapat dijelaskan.

SOLUSI:
Standar sumberdaya manusia yang baik itu harus dapat mengembangkan sumberdaya yang ada. Program pelatihan seharusnya diberikan kepada karyawan baru. Program pelatihan dapat mengajarkan karyawan baru akan tanggung jawab mereka, tingkat kinerja dan perilaku yang diharapkan, serta kebijakan dan prosedur, budaya, dan gaya pengoperasian perusahaan. Program pelatihan dapat dilakukan melalui diskusi, training, sharing knowledge. Pelatihan yang berkelanjutandapatmembantu para karyawandalammenghadapitantangan-tantanganbaru, tetap berada dalam persaingan, serta dapat beradaptasi dalam perubahan baik lingkungan maupun teknologi.

n.      Strategi Go-Go adalah untuk mencapai pertumbuhan yang konsisten bagi pemegang sahamnya. Namun, kebijakannya adalah tidak untuk berinvestasi dalam proyek apapun kecuali payback periode pengembaliannya tidak lebih dari 48 bulan dan menghasilkan tingkat pengembalian internal yang melebihi biaya modal sebesar 3%.

MASALAH:
Risk appetite atau selera resiko Go-Go Corp terlihat cukup agresif, tetapi tampaknya didasarkan pada prinsip-prinsip penganggaran biaya modal yang solid. Oleh karena itu, strategi ini tampaknya tidak menjadi masalah.

o.      Anda mengamati bahwa agen pembelian perusahaan mengenakan pakaian dan perlengkapan lainnya yang menunjukkan itu dari vendor besar. Manajer departemen pembelian dengan bangga memajang foto dirinya yang memegang seekorikan besar di atas dek kapal pemancingan mewah yang memiliki logo sebuah vendor Go-Go yang besar tergambarkan di ruang kemudi nya.

MASALAH:
Hadiah dari vendor dapat terlalu mempengaruhi pembelian agen untuk membeli lebih banyak barang dari vendor-vendor yang memberikan hadiah. Keputusan pembelian harus terbebas dari hal semacam ini.

SOLUSI:
Bagian dari filosofi dan gaya operasi manajemenharus menciptakan budaya organisasi yang menekankan integritas dan komitmen terhadap nilai-nilai etika dan kompetensi. Dengan demikian, manajemen harus jelas menyatakan standar sumber daya manusia serta kebijakan yang secara eksplisit menggambarkan perilaku jujur ​​dan tidak jujur. Salah satu dari kekuatan pengendalian terbesar adalah kejujuran. Kebijakan SDM dan praktik-praktik yang mengatur kondisi kerja, insentif pekerjaan, dan kemajuan karir dapat menjadi kekuatan dalam mendorong kejujuran, efisiensi, serta loyalitas.

Daftar Pustaka

http://evilyanitribuana.blogspot.co.id/2014/11/internal-control-menurut-coso-dan-cobit.html

Source : http://davisrockers89.blogspot.com/2013/01/cobit-control-ojective-for-information.html

sumber: http://bismodhanu.blogspot.com/2013/01/apa-itu-coso-dan-cobid.html