TUGAS AUDIT INTERNAL

KOMPETENSI KUNCI INTENAL AUDIT

OLEH :
KELOMPOK II
ANGELICA DWIWAHYU

12/343884/EE/06350

INTAN SARI S.R.

13/MPAXXVIIA/12

PRADHITA D.N.

13/MPAXXVIIA/20

RIDZKA KURNIA SARI

12/343916/EE/06382

YASINTA E.K.

13/MPAXXVIIA/28

PENDIDIKAN PROFESI AKUNTANSI

FAKULTAS EKONOMIKA DAN BISNIS
UNIVERSITAS GADJAH MADA
2013

Kerangka Pengendalian Internal : Standar COSO

Memahami dan menerapkan pengendalian internal yang efektif adalah prinsip dasar
dari audit internal. Sebuah sistem pengendalian internal terus menjadi dasar untuk proses
operasional dan akuntansi bisnis yang efektif, dan kegiatan audit internal yang utama
melibatkan pengevaluasian dan penilaian diberbagai tingkat pengendalian. Konsep ini
menjadi kegiatan utama dan menjadi perhatian bagi auditor internal dan manajer bisnis.
Namun itu adalah salah satu kabar baik sebelum tahun 1970-an, ketika serangkaian peristiwa
di Amerika Serikat menyebabkan perkembangan dan meluncurkan Committee of
Sponsoring Organizations (COSO) kerangka pengendalian internal. Pertama diakui untuk
menilai pengendalian internal oleh auditor eksternal AS dan kemudian sebagai standar untuk
membangun dan mengukur pengendalian internal di bawah Sarbanes-Oxley Act (SOX),
kerangka pengendalian internal COSO telah menjadi standar di seluruh dunia untuk
membangun dan menilai pengendalian internal. Sebuah pemahaman umum mengenai
kerangka kerja pengendalian internal COSO dan unsur-unsurnya adalah seperangkat
persyaratan kunci pengetahuan (CBOK) untuk semua auditor internal.
3.1

Pentingnya Pengendalian Internal yang Efektif

Pengendalian internal adalah salah satu konsep yang paling penting dan mendasar di

semua tingkatan bisnis profesional dan baik auditor eksternal maupun internal harus
memahami. Profesional bisnis membangun dan menggunakan pengendalian internal, auditor
meninjau bidang operasional dan keuangan di perusahaan dengan tujuan mengevaluasi
pengendalian internal mereka. Meskipun ada banyak definisi yang sedikit berbeda dari
pengendalian internal di masa lalu, definisi pengendalian internal adalah:
Pengendalian internal adalah proses yang dilaksanakan oleh manajemen, yang
dirancang untuk memberikan keyakinan memadai untuk:
1.
2.
3.
4.
5.
6.

Informasi keuangan dan operasional yang handal

Kepatuhan terhadap kebijakan dan prosedur rencana, hukum, aturan, dan peraturan
Pengamanan aset
Efisiensi operasional
Pencapaian dari misi, tujuan dan sasaran untuk operasi perusahaan dan program
Integritas dan nilai etika
Sebuah unit usaha memiliki pengendalian internal yang baik jika (1) menyelesaikan

misi tersebut dengan cara yang etis, (2) menghasilkan data yang akurat dan dapat diandalkan,
(3) mematuhi hukum yang berlaku dan kebijakan perusahaan, (4) menyediakan penggunaan
sumber daya yang ekonomis dan efisien, dan (5) memberikan pengamanan aset yang tepat.

Ada banyak sistem perusahaan dan proses di tempat kerja, seperti operasi akuntansi, proses
penjualan, dan sistem teknologi informasi (TI). Jika manajemen tidak beroperasi atau
mengarahkan proses ini dengan benar, perusahaan dapat beroperasi di luar kendali. Semua
anggota perusahaan harus mengembangkan pemahaman tentang sistem pengendalian yang
tepat di daerah atau tanggung jawab mereka dan kemudian menentukan apakah mereka
beroperasi dengan benar. Ini disebut sebagai sistem pengendalian internal perusahaan. IIA
mendefinisikan pengendalian sebagai:
Tindakan yang diambil oleh manajemen, direktur dan pihak-pihak lain untuk
mengatur risiko dan meningkatkan kemungkinan yang dapat membangun tujuan yang
akan dicapai. Manajemen berencana, mengatur, dan mengarahkan kinerja adalah
tindakan yang cukup untuk memberikan keyakinan yang memadai bahwa tujuan dan
sasaran akan dicapai.
Manajemen bertanggung jawab membangun dan mengelola pengendalian tersebut,
dan auditor internal menilai efektivitas mereka dan membuat rekomendasi yang sesuai.
3.2

Standar Pengendalian Internal: Latar Belakang

Secara khusus, tidak ada perjanjian yang konsisten tentang apa yang dimaksud dengan

pengendalian internal yang baik. Definisi awal yang pertama datang dari American Institute
Akuntan Publik (AICPA) dan peraturan digunakan oleh Securities and Exchange
Commission AS (SEC) untuk Securities Exchange Act of 1934 memberikan titik awal yang
baik. Meskipun telah ada perubahan selama bertahun-tahun, standar pertama AICPA, yang
disebut Pernyataan Standar Auditing (SAS No 1), menjelaskan praktek pada laporan
keuangan audit eksternal di Amerika Serikat selama bertahun-tahun. SAS mendefinisikan
pengendalian intern sebagai :
Pengendalian internal terdiri dari rencana perusahaan dan semua metode koordinat dan
tindakan yang diambil dengan bisnis untuk melindungi aset-asetnya, memeriksa akurasi dan
keandalan data akuntansi, meningkatkan efisiensi operasional, dan mendorong ketaatan
terhadap kebijakan manajerial yang ditentukan.
AICPA SAS No 1 telah dimodifikasi untuk menambahkan pengendalian administrasi
dan akuntansi ke dalam definisi pengendalian internal dasar. Pengendalian administratif tidak
terbatas pada rencana perusahaan, prosedur dan catatan yang berkaitan dengan keputusan
menuju proses otorisasi manajemen transaksi. Otoritas tersebut adalah fungsi manajemen
langsung yang berhubungan dengan tanggung jawab untuk mencapai tujuan perusahaan dan
merupakan titik awal untuk membangun pengendalian akuntansi dari transaksi.

Pengendalian akuntansi terdiri dari rencana perusahaan dan prosedur dan catatan yang
berkaitan dengan pengamanan aset dan keandalan catatan keuangan dan akibatnya dirancang
untuk memberikan keyakinan memadai bahwa:
1. Transaksi dilaksanakan sesuai dengan otorisasi manajemen umum atau khusus.
2. Transaksi dicatat seperlunya (1) untuk memungkinkan penyusunan laporan keuangan
sesuai dengan prinsip akuntansi yang berlaku umum atau kriteria lain yang berlaku
untuk pernyataan tersebut dan (2) untuk menjaga akuntabilitas untuk aktiva.
3. Akses ke aktiva hanya diperbolehkan sesuai dengan otorisasi manajemen.
4. Mencatat akuntabilitas untuk aktiva dibandingkan dengan aset yang ada pada interval
yang wajar dan tindakan yang tepat diambil sehubungan dengan perbedaan.
(a)

Definisi Pengendalian Internal : Foreign Corrupt Practices Act (FCPA) 1977

Sama seperti skandal akuntansi Enron dan lain-lain yang terjadi pada tahun-tahun

awal pada abad kedua puluh satu, Amerika Serikat mengalami situasi yang sama sekitar 30
tahun yang lalu. Periode 1974-1977 adalah masa gejolak sosial dan politik yang ekstrim di
Amerika Serikat. Serangkaian tindakan ilegal ditemukan pada saat pemilihan presiden AS
tahun 1972, termasuk pembobolan markas Partai Demokrat di kompleks bangunan yang
dikenal sebagai Watergate. Peristiwa tersebut menyebabkan pengunduran diri Presiden
Richard Nixon. Serupa dengan kegagalan Enron, hasil di sini adalah bagian dari FCPA 1977.
Dengan ketentuan yang berlaku bagi hampir semua perusahaan-perusahaan AS
dengan sekuritas SEC-terdaftar, aturan pengendalian internal FCPA itu sangat berdampak
baik auditor internal dan eksternal. FCPA yang dibutuhkan perusahaan-perusahaan ini
menyimpan catatan yang akurat yang mencerminkan transaksi mereka "secara rinci wajar".
FCPA mensyaratkan bahwa perusahaan menerapkan sistem pengendalian internal akuntansi,
cukup untuk memberikan jaminan bahwa setiap transaksi diotorisasi dan dibukukan untuk
memungkinkan penyusunan laporan keuangan sesuai dengan GAAP. Aturan FCPA
menyatakan bahwa akuntabilitas yang harus dipertahankan untuk aset perusahaan, dan akses
kepada mereka hanya diperbolehkan disahkan dengan persediaan fisik secara berkala. Lebih
dari 30 tahun yang lalu, FCPA adalah perangkat aturan yang kuat bagi tata kelola perusahaan.
Karena FCPA, banyak dewan direksi dan komite audit yang kemudian mulai aktif meninjau
pengendalian internal di perusahaan-perusahaan mereka.
(b)

Akibat FCPA : Apa Yang Terjadi?

Bila diberlakukan, FCPA mengakibatkan upaya besar untuk menilai dan

mendokumentasikan sistem pengendalian internal dalam perusahaan-perusahaan besar di

Amerika Serikat. Seringkali tanggung jawab pendokumentasian FCPA ini diberikan kepada
departemen audit internal, dimana mereka menggunakan usaha terbaik mereka untuk

mematuhi ketentuan pengendalian internal FCPA itu. Mengingat ini adalah di akhir 1970-an
dan awal 1980-an, pada saat itu, sebagian besar sistem otomatis adalah proses sekumpulan
kerangka yang berorientasi, dan alat dokumentasi yang tersedia tidak lebih dari contoh
diagram alir.
Ketika diberlakukan pada tahun 1977, FCPA menekankan pentingnya pengendalian
internal yang efektif meskipun tidak ada definisi yang konsisten dari pengendalian internal
pada saat itu. Namun, FCPA meningkatkan pentingnya pengendalian internal, dan ketentuan
antisuap yang berlanjut menjadi sesuatu yang penting. FCPA adalah langkah pertama yang
penting untuk membantu perusahaan untuk berpikir tentang perlunya pengendalian internal
yang efektif, meskipun tidak ada pedoman atau standar atas persyaratan sistem dokumentasi
FCPA itu. Namun demikian, jika ada lebih banyak upaya pemenuhan dokumentasi
pengendalian internal FCPA, kita mungkin pernah memiliki SOx (Sarbanes-Oxley Act adalah
hukum AS yang disahkan pada tahun 2002 untuk meningkatkan proses pemeriksaan laporan
keuangan dan untuk member hak dewan direktur baru, akuntan publik, dan praktik tata kelola
perusahaan lainnya).
3.3

Events Leading to the Treadway Commission

Pada akhir tahun 1970, auditor eksternal hanya melaporkan bahwa laporan keuangan

suatu perusahaan yang "cukup disajikan", tidak ada lagi kecukupan pengendalian intern yang
mendukung laporan keuangan yang telah diaudit. FCPA diperlukan perusahaan pelapor untuk
mendokumentasikan pengendalian internal mereka tapi tidak meminta auditor eksternal untuk
membuktikan apakah suatu perusahaan telah memenuhi persyaratan pelaporan pengendalian
internal FCPA itu. SEC kemudian mulai studi tentang kecukupan pengendalian internal dan
menerbitkan serangkaian laporan selama periode 10-tahun untuk lebih mendefinisikan kedua
makna pengendalian internal dan tanggung jawab auditor eksternal untuk melaporkan dalam
pengendalian tersebut.
Pada tahun 1974, AICPA membentuk Komisi tingkat tinggi tentang tanggung jawab
auditor.

Kelompok

ini,

kemudian

yang

lebih

dikenal

sebagai

Komisi

Cohen,

direkomendasikan pada tahun 1978 bahwa sebuah pernyataan mengenai kondisi

pengendalian internal suatu perusahaan, harus diperlukan bersamaan dengan laporan
keuangan mereka. Meskipun auditor terbiasa membuktikan kewajaran laporan keuangan,
laporan Komisi Cohen menyebutkan untuk opini audit atas kewajaran dari asersi
pengendalian manajemen dalam surat yang diusulkan laporan keuangan pengendalian
internal.
Perusahaan yang berbeda mungkin menggunakan istilah yang sama mengenai kualitas
pengendalian internal mereka, dengan masing-masing makna yang sedikit berbeda. Jika suatu

perusahaan melaporkan bahwa pengendalian perusahaan adalah memadahi dan jika auditor
menerima pernyataan mereka dalam laporan pengendalian, auditor eksternal bisa dikritisi
bahkan menghadapi litigasi jika beberapa masalah pengendalian yang signifikan muncul
dikemudian.
The Financial Executives International (FEI) sebuah organisasi profesional, yang terlibat
dalam pelaporan kontroversi pengendalian internal. Sama halnya seperti IIA adalah
perusahaan profesional untuk auditor internal dan AICPA merupakan akuntan publik di
Amerika Serikat, FEI merupakan pejabat keuangan senior perusahaan.
(a)

Standar AICPA Sebelumnya : SAS No 55

Sebelum SOx, AICPA bertanggung jawab untuk meluncurkan standar audit eksternal

melalui Statement on Auditing Standards (SASs). Sebagaimana dibahas untuk SAS No 1,

standar ini membentuk dasar review kecukupan dari auditor eksternal dan kewajaran laporan
keuangan yang dipublikasikan. Meskipun mereka mengalami beberapa perubahan selama
bertahun-tahun, pada 1970-an dan 1980-an, AICPA sering dikritik bahwa standar audit tidak
memberikan bimbingan yang memadai untuk baik auditor eksternal atau pengguna laporan
mereka. Masalah ini disebut "kesenjangan harapan," karena standar akuntansi umum yang
ada tidak memenuhi harapan investor.
Untuk menjawab kritik ini, AICPA merilis seri baru SASs pada standar audit
pengendalian internal antara tahun 1980 dan 1985. Ini termasuk SAS No 30, Pelaporan
Pengendalian Intern Akuntansi, yang memberikan panduan untuk istilah yang akan
digunakan dalam laporan pengendalian akuntansi internal. SAS tidak memberikan banyak
bantuan, namun mendefinisikan konsep dasar pengendalian internal dipandang oleh para
kritikus profesi akuntan publik terlalu sedikit dan terlalu lambat. SAS No 55, Pertimbangan
Struktur Pengendalian Intern dalam Laporan Keuangan Audit, adalah standar baru yang
ditetapkan pengendalian internal dalam hal tiga unsur kunci:
1. lingkungan pengendalian
2. sistem akuntansi
3. prosedur pengendalian
SAS No 55 mendefinisikan pengendalian internal dalam cara yang jauh lebih luas
untuk auditor eksternal dan memberikan dasar untuk definisi tentang istilah laporan COSO.
SAS No 55 menjadi efektif pada tahun 1990 dan mewakili langkah besar untuk menyediakan
auditor eksternal sebagai definisi yang tepat tentang pengendalian internal.
(b)

Laporan Komite Treadway

Selama 1970-an dan awal 1980-an, banyak perusahaan utama AS gagal karena

tingginya inflasi dan tingginya suku bunga yang dihasilkan. Banyak perusahaan melaporkan
laba yang cukup dalam laporan keuangan yang telah diaudit mereka, hanya untuk memikul

keruntuhan keuangan tak lama setelah dirilisnya laporan tersebut. Beberapa kegagalan ini
disebabkan oleh kecurangan pelaporan keuangan, meskipun banyak lainnya yang dakibatkan
oleh inflasi yang tinggi atau masalah ketidakstabilan perusahaan lainnya.
The National Commission on Fraudulent Financial Reporting kemudian disebut
Komisi Treadway setelah nama ketuanya. Tujuan utamanya adalah untuk mengidentifikasi
faktor-faktor penyebab yang memungkinkan kecurangan pada pelaporan keuangan dan untuk
membuat rekomendasi untuk mengurangi insiden. Laporan akhir Komisi Treadway
dikeluarkan pada tahun 1987 dan termasuk rekomendasi kepada manajemen, dewan direksi,
profesi akuntan publik, dan lain-lain. Meskipun tidak mengeluarkan standar, laporan
Treadway sangat penting dalam meningkatkan tingkat kepedulian dan perhatian mengenai
pelaporan pengendalian internal.
3.4

Kerangka Pengendalian Internal COSO

Kelima audit profesional dan organisasi akuntansi yang membentuk panitia-COSO-

kemudian merilis laporan pengendalian internal, dengan gelar resmi Pengendalian InternIntegrated Framework. Setelah beberapa penyesuaian, final laporan pengendalian internal
COSO dirilis pada bulan September 1992. Meskipun bukan standar wajib, laporan itu
mengusulkan kerangka kerja umum untuk definisi pengendalian internal serta prosedur untuk
mengevaluasi pengendalian mereka. Dalam hanya beberapa, kerangka pengendalian internal
COSO telah menjadi standar yang diakui di seluruh dunia untuk memahami dan membangun
pengendalian internal yang efektif di hampir semua sistem bisnis.
COSO memberikan deskripsi yang sangat baik dari ini konsep multidimensi
pengendalian internal, mendefinisikan pengendalian internal dengan cara ini:
Pengendalian internal adalah suatu proses, dipengaruhi oleh entitas dewan direksi,
manajemen, dan personil lainnya, yang dirancang untuk memberikan keyakinan
memadai tentang pencapaian tujuan dalam kategori berikut:
Efektivitas dan efisiensi operasi
Keandalan pelaporan keuangan
Kepatuhan terhadap hukum dan peraturan yang berlaku
Berdasarkan definisi pengendalian internal ini, COSO menggunakan model tiga
dimensi untuk menggambarkan sistem pengendalian intern dalam suatu perusahaan. Gambar
3.1 menyajikan kerangka kerja pengendalian internal COSO sebagai model tiga dimensi
dengan lima tingkat di sisi menghadap ke depan dan tiga komponen utama dari pengendalian
internal di atas kontrol diagram internal yang pelaporan keuangan, kepatuhan, dan operasimewakili efektivitas dan efisiensi operasi, keandalan pelaporan keuangan, dan kepatuhan
terhadap hukum dan peraturan yang berlaku.

Gambar 3.1
Semua auditor internal hars meningkatkan pemahaman mengenai kerangka
pengendalian internal coso tersebut. Internal auditor selalu membutuhkan untuk melihat
pengendalian internal dalam sudut pandang dari segala sisi dan 3 dimensi.
(a)

Pengendalian Lingkungan
Dasar dari struktur pengendalian internal adalah apa yang COSO sebut sebagai

lingkungan pengendalian internal. COSO menekankan bahwa dasar lingkungan pengendalian

internal perusahaan meliputi pengaruh pada bagaimana semua aktivitas terstruktur dan risiko
dinilai. Lingkungan pengendalian adalah sebuah dasar untuk semua komponen lainnya dalam
pengendalian internal, yaitu memiliki pengaruh terhadap masing- masing dari ketiga tujuan
dan dalam semua unit dan aktivitas perusahaan. Pengendalian lingkungan mencerminkan
keseluruhan sikap, kesadaran, dan tindakan dari direktur, manajemen, dan lainnya terkait
dengan pentingnya pengendalian internal dalam perusahaan.
Sejarah perusahaan dan kultur sering menjadi peran utama dalam terbentuknya
lingkungan pengendalian internal. Ketika sebuah sejarah perusahaan mempunyai manajemen
yang kuat yang menekankan dalam menghasilkan produk dengan cacat nol, ketika manajer
senior melanjutkan untuk menekankan pentingnya produk berkualitas tinggi dan ketika
sebuah pesan dikomunikasikan kepada semua level, hal tersebut akan menjadifaktor utama
lingkungan pengendalian internal. Ketika melakukan pemeriksaan, auditor internal harus
selalu mencoba untuk mengerti dan mengevaluasi keseluruhan lingkungan pengendalian.

Ketika lingkungan pengendalian lemah, auditor internal tentunya akan menemukan perhatian
tambahan pada pengendalian internal. Brikut adalah komponen lingkungan pengendalian:
-

Integritas dan nilai etika. Integritas dank nilai etika dalam sebuah perusahaan
merupakan dasar dari elemen lingkungan pengendalian. Nilai- nilai ini sering
didefinisikan oleh pesan yang dikomunikasikan oleh manajer senior. Jika perusahaan
membangun kode etik yang kuat yang menekankan pada integritas dan nilai etika, dan
jika stakeholder menunjukkan untuk menaati kode tersebut, maka semua stakeholder
akan memiliki kepastian bahwa perusahaan mempunyai nilai yang baik.
Semua stakeholder, dan tentunya auditor internal, seharusnya mempunyai pemahaman
yang baik mengenai kode etik dalam perusahannya dan bagaimana kode etik tersebut
diaplikasikan. Kode etik mendeskripsikan aturan untuk perilaku. Manajer senior harus
mengirimkan pesan etis yang tepat di seluruh perusahaan. Insentif dan godaan
bagaimanapun juga akan mengikis pengendalian ionternal. Karyawan dalam sebuah
perusahaan mungkin tergoda untuk melakukan tindakan yang tidak jujur, tidak etis,
atau melakukan tindakan illegal jika perusahaan memeri insentif atau godaan yang
sangat kuat yang memerikan alas an kepada karyawan untuk melakukannya. Contoh :
target perusahaan yang tinggi, target penjualan atau produksi yang tidak realistis. Jika
ada penghargaan yang kuat untuk prestasi tersebut, makan karyawan akan terlibat
dalam praktek curang untuk mencapai tujuan tersebut. Godaan yang dapat mendorong
stakeholder dalam akuntansi yang tidak tepat atau tindakan serupa antara lain:
1. Tidak adanya atau tidak efektifnya pengendalian, seperti pemisahan tugas dalam
area yang sensitif, yang mendorong tindakan pencurian .
2. Desentralisai tinggi yang membuat manajeman puncak menjadi tidak waspada
terhadap tindakan yang dilakukan oleh karyawan tingkat bawah sehingga
kecurangan tidak mudah diketahui.
3. Fungsi internal audit yang lemah, yang tidak mempunyai kemampuan dan otoritas
untuk mendeteksi dan melaporkan tingkah laku yang tidak sesuai.
4. Pinalti untuk tingkah laku yang tidak sesuai yang tidak dipublikasikan

menyebabkan hilangnya nilai sebagai pencegahan.

Komitmen untuk bersaing. Lingkungan pengendalian perusahaan dapat
serius terkikis jika sejumlah besar posisi terisi dengan orang-orang yang kurang
memiliki keterampilan kerja. Auditor internal, khususnya, akan menghadapi situasi ini
dari
waktu ke waktu dalam tinjauan mereka, mewawancarai orang yang ditugaskan untuk
pekerjaan tertentu yang tampaknya tidak memiliki keterampilan yang sesuai,
pelatihan, atau bahkan kecerdasan melakukan pekerjaan tersebut. Karena semua
manusia memiliki berbagai tingkat keterampilan dan kemampuan, pengawasan dan

pelatihan yang memadai harus tersedia untuk membantu karyawan tersbu sampai
-

memliki keahlian yang dibutuhkan.

Direktur dan komite audit. Lingkungan pengendalian sangat dipengaruhi oleh

tindakan dari direktur perusahaan atau komite audit.

Filosifi manajemen dan gaya operasi. Filosofi dan gaya operasi dari manajer senior
sangat mempengaruhi lingkungan pengendalian perusahaan. Beberapa manajer
tingkat atas mengambil risiko yang besar untuk sebuah bisnis baru atau produk yang

beresiko, namun manajer tingkat atas lainnya sangat berhati- hati.

Struktur organisasi. Komponen pengendalian internal ini menyediakan sebuah
kerangka untuk merencanakan, melaksanakan,

mengendalikan, dan memantau

aktivitas untuk membantu dalam meraih keseluruhan tujuan.

Tugas dan tanggung jawab.
Kerangka COSO mendefinisikan aspek dari lingkungan pengendalian serupa de4ngan
komponen struktur organisasi. Struktuer organisasi perusahaan mendefinisikan tugas
dan integrasi total dari sebuah pekerjaan. Penugasan kewenangan adalah dasar dari
sebuah tanggung jawab yang didefinisikan dalam jangka waktu dari sebuah pekerjaan
dan tersusun dalam jangka waktu dalam skema perusahaan. Walaupun penugasan
tidak sepenuhnya mencakup beberapa tanggung jawab, yang paling tepat tanggung
jawab dapat dinyatakan.
Kerangka COSO mengenai

laporan

pengendalian

internal

mendeskripsikan

pentingnya area lingkungan pengendalian :

Lingkungan pengendalian sangat dipengaruhi oleh sejauh mana individu
akan bertanggung jawab. Hal ini berlaku bagi chief executive, yang memiliki
tanggung

jawab

utama

untuk

semua

kegiatan

di

dalam

suatu

entitas,

termasuk sistem pengendalian intern.

-

Praktik dan Kebijakan sumber daya manusia

Prakteksumber daya manusiameliputibidang-bidang sepertiperekrutan, orientasi,
pelatihan, evaluasi, konseling, mempromosikan, kompensasi, dan mengambil
tindakanperbaikan yang tepat.
Berikut ini merupakan area dimana praktik dan kebijakan seumber daya manusia yang
secara khusus penting antara lain:
a. Perekrutan dan mempekerjakan. Perusahaan harus mengambil langkah untuk
mempekerjakan karyawan terbaik, yaitu kandidat yang paling memenuhi
kualifikasi.

b. Orientasi karyawan baru. Karyawan baru harus diberikan sinyal yang jelas
mengenai system nilai dari perusahaan dan kosekuensi jika tidak mematuhi nilainilai tersebut.
c. Evaluasi, promosi, dan kompensasi. Harus ada program evaluasi kinerja dalam
perusahaan tersebut.
d. Tindakan disiplin. Konsisten dan mengetahui pasti kebijakan mengenai
-

kedisiplinan.
Perspektif pengendalian Lingkungan COSO
Bagan berikut menampilkan pengendalian internal COSO sebagai sebuah pyramid,
dengan pengendalian lingkungan sebagai landasannya.

Dalam bagan ini, komponen informasi dan komunikasi tidak diperlihatkan sebagai
laposan individual namun komponen lain yang meliputi Penilaian Resiko dan lapisan
Pengendalian Kegiatan. Perusahaan yang membangun struktur pengendalian internal yang
kuat akan memberikan perhatian khusus untuk menempatkan sebagai landasan yang kuat.
Tentu saja, auditor internal juga harus menjaga konsep tersebut dalam pikiran mereka ketika
menilai pengendalian internal. Auditor internal merupakan kunci dari landasan ini, namun
komponen lain juga merupakan hal yang penting.
(b)

Penilaian Risiko
Penilaian risiko pengendalian internal COSO harus menjadi harus menjadi proseske

depanyang dilakukandi semua tingkat danuntuk hampirsemua kegiatandalam perusahaan.

COSOmenjelaskanpenilaian risikosebagaiproses tiga langkah:
1. Perkirakanrisikosignifikan
2. Menilaikemungkinan ataufrekuensirisiko terjadi.
3. Pertimbangkan bagaimanarisikoharus dikeloladan

menilaitindakan

apaharus

diambil.
Proses penilaian risiko COSO menempatkan tanggungjawab manajemen untuk
menilai apakah risikop tersebut signifikan, jika dermikian, ambil tindakan yang sesuai.
Pengendalian internal COSO juga menekankan analisis risiko bukan proses teoritis, yang

sering merupakan hal yang sangta penting bagi perusahaan. Kerangka pengendalian internal
COSO menyarankan bahwa risiko harus benar- benar mempertimbangkan tiga perspektif,
antara lain:
- Risiko bisnis yang disebabkan oleh faktor eksternal. Risiko ini termasuk
perkembangan teknologi yang dapat mempengaruhi sifat dan waktu dari riset produk
-

baru dan pengembangan atau menyebabkan perubahan dalam proses pembelian.

Risiko bisnis yang disebabkan oleh faktor internal. Sebagai auditor internal yang
sering menyoroti analisis yang sedang berlangsung, akan ada banyak jenis risiko
bisnis. Contohnya,gangguan padasuatu Server TIataumanajemen penyimpanan akan

dapat mempengaruhioperasikeseluruhan.
Risiko spesifik tingkat kegiatan. Selain dipertimbangkan dari sisi bisnis secara
keseluruhan, risiko juga harus dipertimbangkan untuk setiap unit bisnis yang
signifikan dan aktivitas kunci, seperti pemasaran, IT, dan keuangan.

(c)

Aktivitas Pengendalian
Aktivitas pengendalian internal merupakan kebijakan dan prosedur yang akan

membantu memastikan bahwa tindakan sudah diidentifikasikan untuk mengatasi risiko yang
dilakukan, mengikuti berbagai kegiatan pengendalian sub proses. Aktivitas pengendalianada
padasemua tingkatan dalamsuatuperusahaan dan, dalam banyak kasus, mungkin tumpang
tindihsatu

sama

lain.

Konsepkegiatan

pengendalian

merupakan

bagian

pentingdaribangunandan kemudianmembentukpengendalian internal yang efektifdalam suatu

perusahaan.
Kerangka
kegiatan

COSOpengendalian

inimenurut

jenisproses.

bersama-samamembantudalam

internal
Dari

COSO

mengidentifikasiserangkaian

perspektifaudit

membangunpengendalian

internal,

internal

mereka

yang

harus

efektifsecara

keseluruhan.
(i)

Tipe Aktivitas Pengendalian Internal

Berikut ini adalah beberapa tipe aktivitas pengendalian internal COSO:
-

Analisis Tingkat Atas. Manajer dan auditor internal, dalam semua tingkatan, harus
menganalisis hasil dari pekerjaan mereka, membandingkan hasil dengan anggaran,
statistic persaingan, dan pengukuran lainnya.

Fungsi lanngsung atau manajemen aktivitas. Manajer pada semua tingkatan harus
menganalisis laporan operasional dari pengendalian sistem mereka dan mengambil
tindakan korektif yang sesuai.

Memproses informasi. Sistem TI mengandung beberapa pengendalian dimana sistem

secara internal mengecek penyesuaian di area tertentu dan kemudian melaporkan
pengecualian pengendalian internal lainnya.

Pengendalian fisik. Perusahaan harus mempunyai kesesuaian pengendalian ke dalam

aset fisik, termasuk perlengkapan, persediaan, dansekuritas.

Indikator kinerja. Manajemenharus mwnghubungkanset data, baikoperasional

dankeuangandan mengambilanalisis yang sesuai, investigasi, atau tindakan perbaikan.

Pemisahan tugas. Tugasharus dipisahkanantarasatu sama lainuntuk mengurangirisiko

kesalahanatau tindakanyang tidak pantas.

(ii)

Integrasi Aktivitas Pengendalian dengan Penilaian Risiko

Kegiatan pengendalian harus terkait erat dengan risiko yang teridentifikasi dari

komponen penilaian risiko pengendalian internal COSO. Pengendalian internal adalah suatu
proses, dan kontrol yang tepat kegiatan harus dipasang untuk mengatasi risiko yang
teridentifikasi.

Semuakegiatan pengendalianinternal harusberkontribusi terhadapstruktur

pengendaliankeseluruhan. Internauditorharus menjagakonsep inidalam pikiranmereka saat

meninjaupengendalian internaldan membuatrekomendasi.
(iii)

KontrolAtasSistem Informasi
Kerangka pengendalian internal COSO menekankan bahwa prosedur pengendalian

diperlukan atas semua TI yang signifikan atau informasi sistem keuangan, operasional, dan
kepatuhan yang terkait. Pengendalian internal COSO memecah pengendalian sistem
informasi ke dalam pengendalian umum dan pengendalian aplikasi. Pengendalian
umumberlaku

untukbanyakfungsisistem

informasiuntukmembantu

memastikanprosedur

pengendalianyang memadai atassemua aplikasi. Kuncikeamanan fisikdi pintukeserver

pusatTIadalah pengendalian umumuntuk semuaaplikasi yang berjalan.

Kontrol aplikasi

merujuk pada proses TI tertentu. Pengendalian dalam, program penggajian TI mingguan yang
mencegah setiap karyawan dibayar selama lebih 80 jam dalam satu minggu adalah contoh
dari pengendalian aplikasi.
Kerangka pengendalian internal coso melihat serangkaian pengendalian daerah untuk
mengevaluasi keseluruhan dari pengendalian internal. Pengendalian umum terpusat
mencakup semua sever pusat atau penyimpanan data manajemen, termasuk pekerjaan
perencanaan, databese manajemen, dan bisnis berkesinambungan yang terencana.
Pengendalian ini biasanya merupakan tanggungjawan komputer server atau pusat

pengelolaan penyimpanan. Namun, yang lebih bari lagi dengan sisitem yang lebih modern,
terhubungn satu sama lain melalui jaringan telekomunikasi dan link, pengendalian ini dapat
didistribusikan

ke

sebuah

web.

Dokumen

kerangka

pengendalian

internal

coso

menyimpulkan, dengan pembahasan mengenai perlunya mempertimbangkan dampak

teknologi yang berkembang ketika mengevaluasi sisitem informasi untuk mengendalikan
kegiatan. Karena pngenalan yanng cepat dari teknologi yang baru akan segera diganti dengan
sesuatu yang lain. Pengendalian internal coso belum memperkenalkan suseatu yanng baru
dengan memperhatikan pengendalian ini tetapi menyoroti keseluruhan pentingnya dalam
pengawasan internal lingkungan.
(d)

Komunikasi dan Informasi

Model 3.1 menunjukan pengendalian internal dari kerangka kerja, menggambarkan

komponan sebagian lapisan, dimulai dengan pengendalian internal lingkungan sebagai dasar.
Model 3.2 Piramida, menggambarkan informasi dan komunikasi sebagai sebuah lapisan
komponen yang tidak horisontal tetapi sisi elemen yang mampu melintasi elemen lain.
Informasi dan komunikasi yang saling terkait, tetapi berbeda komponen pengendalian
internal dengan kerangkanya. Selain sisitem informal dan formal, sistem komunikasi,
perusahaan harus memiliki prosedur efektif untuk berkomunikasi dengan pihak internal dan
eksternal. Informasi dan komunikasi yang mengalir di perusahaan harus dapat dipaami untuk
setiap pengawasan evaluasi internal.
1. Hubungan informasi dan pengendalian internal
Perusahaan membutuhkan informasi pada semua tingkatan untuk mencapai
opersiaonal, keuangan dan kepatuhan di dalam tujuannya. Misalanya, suatu perusahaan
membutuhkan infomasi untuk mempersiapkan laporan keuangan yang disampaikan ke
investor luar, untuk membuat keputusn informasi pasar yang benar harus ada 2 aliran yaitu :
dari tingkat yang tinggi ke tinggat yang rendah dan sebaliknya. pengendalian internal coso
mengambil pendekatan yang luas dengan konsep dari sebuah sisitem informasi dan mengakui
sistem manual, otomatis atau konseptual. Salah satu dari sistem ini dapat menjadi formal
maupun informal. Sistem internal coso itu harus menekankan pentingnya menjaga informasi
dan mendukung sistem yang konsisten secara keseluruhan dengan kebutuhan peusahaan.
Pengendalian internal coso menunjukan bahwa pada perusahaan yang efektif harus mampu
melampaui hali ini untuk melaksanakan sistem yang strategis.
Dengan sebuah sisitem yang strategi, kontrol internal coso menunjukan bahwa
manajemen seharusnya mempertimbangkan perencanaan, desain dan implementasi sistem

informasi sebagai bagian dari strategi usaha secara keseluruhan. Pengendalian internal coso
juga menekankan pentinya mengintegrasikan sisitem informasi secara otomatis dengan
operasi lain. Contoh, dalam sistem manufaktur yang mengendalikan keda prodksi mesun dan
peralatan yang sangat otomatis adalah persediaan atau sistem distribusi yang mampu
mengontrol, melakukan inventasrisasi dan jadwal-jadwal pengiriman. Sistem informasi yang
lemah atau rendag, penuh dengan kesalahan dan kelalaian serta mempengarui kemampuan
manajemen untuk membuat sesuai dengan keputusan. Laporan harus mengandung cukup data
dan informasi untuk mendukung kegiatan pengendalian internal. Untuk menentukan kualitas
informasi, harus memastikan apakah :

Melaporkan informasi yang tepat

Informasi itu tepat waktu dan tersedia saat dibutuhkan
Data dan informasi yang benar
Informasi itu dapat diakses untuk sesuai pihak

2. Komunikasi dari aspek pengendalian internal

Komunikasi didefinisikan sebagai pengendalian internal yang terpisah. Coso
menekankan bahwa berkomunikasi harus mengambil tempat di tingkat yang luas termasuk
dengan individu atau kelompok. Auditor internal selalu berfokus pada aplikasi resmi seperti
prosedur manual, atau menerbitkan dokumentasi. Komunikasi aliran dalam dua arah,
menekankan bahwa stakeholder juga harus memiliki mekanisme utuk melaporkan keseluruh
bagian di dalam perusahaan.
Komponen internal menurut pengendalian internal coso, paling penting adalah
komponen stakeholder harus bisa menerima pesanan dari manajemen snior mengingatkan
pengendalaian kontrol, dan tanggungjawab mereka. Komunikasi dalam dua arah harus dan
pengendalian internal coso menekankan bahwa stake holder juga harus memiliki mekanisme
untuk melaporkan kepada perusahaan. bagian ini pengendalian internal coso menyimpulkan
dan membahas mengenai pentingnya saluran komunikasi antara manajemen teeratas dan
direksi. Perusahaan komunikasi eksternal perlu mendirikan saluran komunikasi dengan pihak
luar, termasuk pelanggan, pemasok, pemegang saham, banker. Komunikasi eksternal juga
menjadi cara yang penting untuk mengidentifikasi potensi maslah pengendalian.
(e)

Monitoring
Exhibit 3.2 menunjukan dan memantau komponen pengendalian intrnal coso.

Sementara sistem pengendalian internal akan bekerja dengan efektif dengan bantuan dari
manajemen, pengendalian prosedur, informasi dan komuniksi hubungan. Suatu perusahaan
perlu membangun kegiatan monitoring untuk mengukur effectiveness of its internal

control. Melalui pemisahan evaluasi dengan kegiatan yang sedang berlangsung untuk
mengawasi kenerja dan mengambil koretisf kertika diperlukan.
1. Control internal coso memberikan contoh dari pemantauan yang berkelanjutan:
- Manajemen operasi fungsi normal. Tinjauan atas kegiatan manajeman normal dan
laporan keuangan merupakan merupakan sebuah aktivitas yang penting.kontrol
internal. Control internal diperkuat jika laporan yang disusun secara teratur dan
-

korektif dimulai untuk setiap pelaporan pengecualian.

Komunikasi pihak eksternal. Unsur pengawasan ini terkait dengan komponen
komunikasi dari eksternal terkait. Komunikasi melaui monitoring eksternal,

seperti adanya nomor keluhan konsumen.

Struktur pengawasan dan kegitan pengawasan. Pengawasan kegiatan langsung
harus secara rutin untuk memperbaiki kesalahan lower level dan menjamin

penigkatan kinerja karyawan.

- Persediaan dan rekonsiliasi aset fisik
2. Evaluasi pengendalian internal coso menunjukan pentingnya pengawasan yang
berkelanjutan untuk menunjukan kegiatan kerangka kerja internal coso. Coso juga
menekankan bahwa evaluasi ini dapat dilakukan dengan berkomunikasi langsung
dengan manajemen. Namun manajemen bertanggungjawan mempertimbangkan
perencanaan dan melakukan sendiri self-assesments dengan lebih teratur.
Proses pengawasan evaluasi internal harus :
Mengembangkan pemahaman tentang system desain
Menguji pengendalian internal
Mengembangkan hasil kesimpulan berdasarkan tes
Pengendalian internal coso juga disebutkan sebagai benchmarking sebagai alternatif
pendekatan. Benchmarking adalah proses membandingkan perusahaan antar proses
dan pengendalian prosedur dengan orang-orang atau rekan-rekan usaha. Tindakan
rencana evaluasi pengendalian internal coso mempunya banyak prosedur yang efektif,
informa dan tercatat. Namun, hal ini dapt diuji dan dievaluasi dengan cara yang sama
seperti dokumentasi, sementara tingkat dari setiap dokumentasi membuat setiap
evaluasi dari pengendalian internal menjadi lebih efisien dan memfasilitasi karyawan
dengan cara memberi pemahaman tentang bagaimana peorse bekerja.
3. Melaporkan kekurangan pengendalian internal
Kekurangan pengendalain diidentifikasi melalui proses pengendalian sendiri, melalui
pemanauan kegiatan, atau melalui berbagai peristiwa, dari eksternal mereka harus
melaporkan sesuai dengan perusahan untuk manajemen mereka. Pertanyaan kunci
utnuk audit nternal adala untuk menentukan apa yang harud dilaporkan, memberikan

sejumlah rincian yang mungkin dihadapi, dan kepada siapa laporan tersebut harus
diarahkan. Pengendalian internal coso menyatakan bahwa semua kekurangan
pengendalian internal dapat mempengaruhi entitas yang mencapai tujuan dan harus
melporkan kepada mereka yang dapat engambil tindakan.
3.5

Dimensi lain dari kerangka kerja pengendalian internal coso

Pengendalaian internal coso merupakan sebua model tiga dimensi, seperti yang di

tujukan pada Exhibir 3.1. dan kerangka tersebut mencakup tida dimensi dari semua kontrol
internal :
Keandalan laporan keuangan
Sesuai dengan peraturan dan ukum yang berlaku
Efektivitas dan efisiensi dari operasi
Dari tiga dimensi di atas, pengendalian internal harus dipasang di semua unti operasi
dan harus termasuk tiga faktor internal kontrol tersebut. Ketiak hal ini dilakukan, auditor
internal memiliki cara pandang yang kuat dari pengendalian internal dan tentu saja sebuah
peraturan yang perspektif. Kerangka pengendalian internal coso harus dipasang di semua
tingkat organisasi unit perusahaan.
3.6

Internal Audit CBOK

Setiap bab menyimpulkan dengan deskripso singkat bagaimana menjadi bagian dari

cbok audit internal. Pengendalian internal coso berbeda dari sebuah cbok audit internal yang
perspektif. Kerangka ini menjadi standar di seluru dunia untuk membangun dan
mengevaluasi semua tingkatan pengendalian internal. Semua internal auditor harus
memahami tiga dimensi utnuk melihat dan mengavaluasi
KERANGKA PENGENDALIANINTERNAL LAINNYA : COBIT
Kerangka pengendalian internal dari komite yang mensposori organisasi (COSO)
seperti dibahas di bab 3, telah menjadi standar untuk mengukur dan mengevaluasi mkanisme
internal akutansi dan di kontrol oleh Sarbanes-Oxley (SOX). Namun SOX tidak
mengamanatkan penggunaan coso tetapi hanya menyebutkan untuk memanfaatkan,
memahami dan mengevaluasi pengadalian internal. Beberapa profesinal telah menyampaikan
keprihatinan tentang pengendalain internal coso dan mengkritik hal tersebut karena itu tidak
memberikan cukup penekanan untuk teknologi informasi. Pengendalian internal yang lebih
berorintasi kepada IT disebut pengendalian tujuan utnuk informasi dan terkait dengan
teknologi (cobit) ini berada sebelum sox dan banyak perusahaan yang menggunakan ni ketika
sox manjadi hukum untuk mematuhi prosedur pengendalian internal seperti itu.

Meskipun awalnya diluncurkan sebagai alat untuk membantu komputer pada audiot
internal dan eksternal. Cobit adalah sebuah alat yang sangat membatu untuk mengevaluasi
Sarbane di semua kontrol internal di perusahaan. Hal ini menkankan dan memberikan
bimbingan pada hubungan dengan bisnis lainnya sebagai sumber daya untuk memberikan
bilai secara keseluruhan untuk suatu perusahaan. Bab ini menggambarkan hubungan antara
tujuan kerangka kerja pengendalian internal cobit dan coso untuk digunakan dalam audit
internal.
Introduction to Control objectives for information and related Technology (CobiT)
COBIT adalah singkatan yang semakin diakui oleh auditor dan banyak profesional TI.
COBIT merupakan kerangka pengendalian internal penting yang dapat berdiri sendiri tetapi
merupakan alat pendukung yang penting untuk mendokumentasikan dan memahami COSO
dan SOx pengendalian internal. Meskipun penekanan asli COBIT adalah pada TI, kerangka
telah diperluas. Auditor di banyak perusahaan setidaknya harus memiliki pemahaman tentang
framework COBIT dan penggunaannya sebagai alat untuk mendokumentasikan, mereview,
dan memahami SOx pengendalian internal.
Standar dan kerangka COBIT dikeluarkan dan secara teratur diperbarui oleh IT
Governance Institute (ITGI) yng merupakan bagian dari Information Systems Audit dan
Control Association (ISACA). ISACA adalah lebih fokus pada IT auditing sementara
perhatian ITGI adalah pada penelitian dan proses tata kelola. ISACA juga mengatur
pemeriksaan Informasi Certified Systems Auditor (CISA) dan Certied Information Systems
Manager (CISM). ISACA awalnya dikenal sebagai Asosiasi Electronic Data Processing
Auditor (EDPAA) kelompok profesional yang berdiri pada tahun 1967 oleh auditor internal
yang merasa organisasi profesional mereka yaitu Institute of Internal Auditor (IIA) tidak
memberikan perhatian yang cukup terhadap pentingnya sistem TI dan pengendalian teknologi
sebagai bagian dari kegiatan audit internal. EDP pernah berdiri untuk pengolahan data
elektronik. Organisasi ini memperluas fokus dan menjadi ISACA.
COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan
pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap kontrol,
COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, dan COBIT versi 4
yang lebih mengarah kepada IT governance. Salah satu metode pengelolaan teknologi
informasi yang digunakan secara luas adalah IT governance yang terdapat pada COBIT
(Control Objectives for Information and Related Technology). COBIT berfungsi
mempertemukan semua bisnis kebutuhan kontrol dan isu-isu teknik. Di samping itu, COBIT

juga dirancang agar dapat menjadi alat bantu yang dapat memecahkan permasalahan pada IT
governance dalam memahami dan mengelola resiko serta keuntungan yang behubungan
dengan sumber daya informasi perusahaan.
Menurut IT Governance Institute (ITGI), COBIT (Control Objectives for Information
and Related Technology) merupakan sekumpulan dokumentasi dan panduan yang
mengarahkan pada IT governance yang dapat membantu auditor, manajemen, dan pengguna
(user) untuk menjembatani pemisah antara resiko bisnis, kebutuhan kontrol, dan
permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT governance Institute
(ITGI) yang merupakan bagian dari Information Systems Audit and Control Association
(ISACA).
Tujuan diluncurkannya COBIT adalah untuk mengembangkan, melakukan riset dan
mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to
date untuk digunakan dalam kegiatan bisnis sehari-hari. Cobit mampu menyediakan bahasa
yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di
seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap
corporate governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber
daya yang sedikit meskipun terjadi kondisi ekonomi yang sulit. Fokus utama COBIT adalah
harapan bahwa melalui adopsi COBIT ini perusahaaan akan mampu meningkatkan nilai
tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi
didalamnya.
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:
1.

Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives)
yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition &

2.

implementation , delivery & support , dan monitoring.

Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed
control objectives) untuk membantu para auditor dalam memberikan management

3.

assurance dan/atau saran perbaikan.

Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti
dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
a. Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan
sesuai dengan manfaat yang dihasilkannya.
b. Apa saja indikator untuk suatu kinerja yang bagus?

c. Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses
(critical success factors) ?
d. Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang
ditentukan?
e. Bagaimana dengan perusahaan lainnya apa yang mereka lakukan?
f. Bagaimana
Anda
mengukur
keberhasilan
dan
bagaimana

pula

membandingkannya.
Fokus Area IT Governance COBIT
Menurut IT Governance Institute, pada tata kelola teknologi informasi terdapat lima
area yang menjadi fokus yaitu keselarasan strategis, penyampaian nilai, manajemen risiko,
manajemen sumber daya, dan pengukuran kinerja.

1. Penyelarasan Strategi (Strategic Alignment)

Fokus pada arah bisnis dan solusi kolaboratif, menjamin hubungan antara operasi
bisnis dan IT plans, yaitu untuk mendefinisikan, memelihara dan mengesahkan nilai
IT dan menyesuaikan operasi-operasi dari IT dengan operasi-operasi yang ada di
dalam perusahaan.
2. Penyampaian Nilai (Value Delivery)
Fokus dari area ini berkaitan dengan masalah nilai, dengan melaksanakan seluruh
siklus pengiriman, serta menjamin bahwa keberadaan IT memberi keuntungan dalam
strategi perusahaan dengan mengoptimalkan biaya dan memberikan nilai intrinsik dari
IT.
3. Manajemen Risiko (Risk Management)

Area ini membutuhkan kesadaran akan resiko oleh manajemen disemua tingkatan, di
dalam pemahaman tentang risiko perusahaan, standar kepatuhan, dampak dari risiko
yang signifikan bagi perusahaan dan menanamkan tanggung jawab manajemen risiko
dalam perusahaan.
4. Manajemen Sumber Daya (Resource Management)
Fokus area ini berkaitan dengan pengoptimalan investasi di dalam perusahaan dan
pengelolaan yang baik dari sumber daya IT yang penting, yaitu applications,
information, infrastucture dan people. Tata kelola TI yang efektif tergantung pada
optimalisasi pengetahuan dan infrastruktur
5. Pengukuran Kinerja (Performance Measurent)
Fokus dari area ini adalah menelusuri dan memantau implementasi dari strategi,
penyelesaian proyek, penggunaan sumber daya, proses kinerja dan layanan
pengiriman. Mekanisme tata kelola TI harus menerjemahkan strategi ke dalam
implementasi dan pengukuran untuk mencapai tujuan tersebut.
Konsep kerangka kerja Cobit dapat dilihat dari tiga sudut pandang, meliputi :
Sumberdaya TI (IT Resources), Proses TI (IT Processes), Kriteria Informasi (Information
Criteria). Ketiga sudut pandang tersebut digambarkan dalam kubus COBIT sebagai berikut :

a. Sumberdaya TI (IT Resources)

Proses TI mengelola sumber daya TI untuk menghasilkan, menyampaikan dan
menyimpan informasi yang diperlukan organisasi untuk mencapai tujuannya.
Sumber daya TI yang diidentifikasikan dalam COBIT didefinisikan sebagai:
Aplikasi adalah sistem pengguna otomatis dan prosedur manual yang memproses
informasi.
Informasi adalah data yang input, diproses menghasilkan output oleh sistem
informasi, dalam bentuk apapun yang digunakan oleh bisnis.

 Infrastruktur termasuk teknologi dan fasilitas, seperti perangkat keras, sistem

operasi dan jaringan, yang memungkinkan pemrosesan aplikasi.
Orang adalah personil yang dibutuhkan untuk merencanakan, mengatur,
memperoleh,

melaksanakan,

menyampaikan,

mendukung,

memantau

dan

mengevaluasi pelayanan sistem informasi. Mereka mungkin auditor internal, staf

ahli, outsourcing atau kontrak yang diperlukan.
b. Proses TI (IT Processes)
Dimensi kedua pada gambar kubus COBIT, Proses TI terdiri dari tiga segmen:
domain, proses, dan aktifitas.

Domain adalah pengelompokan proses TI yang menandingkan daerah-daerah

tanggung jawab organisasi. COBIT mendefinisikan empat domain yang didalamnya
terdapat 34 proses dalam memberikan informasi kepada dunia usaha sesuai dengan
bisnis dan kebutuhan tata kelola teknologi informasi. Sehingga domain tersebut dapat

diidentifikasikan yang terdiri dari 34 proses, yaitu:

Planing and Organizing (PO) / Perencanaan dan Pengorganisasian
meliputi strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI
dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi
sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi
yang baik pula. Domain ini menitikberatkan pada proses perencanaan dan
penyelarasan strategi TI dengan strategi organisasi. Domain PO terdiri dari 10
control objectives, meliputi :
PO1 : Define a strategic IT plan (Menentukan strategi perencanaan TI)
PO2 : Define the information architecture (Mendefinisikan struktur informasi)
PO3 : Determine technological direction (Menentukan arah teknologi)
PO4 : Define the IT processes, organization and relationships (Menentukan

PO5
PO6

proses
TI, organisasi dan relasi)
: Manage the IT investment (Mengatur investasi TI)
: Communicate management aims and direction (Mengkomunikasikan

sasaran
dan arah manajemen)

PO7
PO8

: Manage IT human resources (Mengatur sumber daya manusia TI)

: Manage quality human resource (Mengatur kualitas sumber daya

manusia)
PO9 : Asses and manage IT risks (Menilai dan mengatur resiko)
PO10 : Manage projects (Mengatur proyek)

Acquire and Implement (AI) / Pengumpulan dan Implementasi

Mengindentifikasi, mengembangkan atau mengumpulkan, mengimplementasi dan
mengintegrasikan solusi TI dalam proses bisnisuntuk mewujudkan strategi TI.
Domain ini menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI
yang digunakan. Pelaksanaan strategi yang telah ditetapkan, harus disertai solusisolusi TI yang sesuai solusi TI tersebut diadakan, diimplementasikan dan
diintegrasikan kedalam proses bisnis organisasi. Dimana domain AI terdiri dari 7
control objectives, meliputi :
AI1 : Identify automated solutions (Mengidentifikasi solusi otomatisasi)
AI2 : Acquire and maintain application software (Mengumpulkan dan merawat
aplikasi software)
AI3 : Acquire and maintain technology infrastructure(Mengumpulkan dan merawat
infrastruktur teknologi)
AI4 : Enable operation and use (Memperbolehkan operasi dan penggunaan)
AI5 : Procure IT resources(Mendapatkan sumber daya IT)
AI6 : Manage changes (Mengatur perubahan)
AI7 : Install and accredit solutions and changes (Menginstalasi dan mengakui
solusi dan perubahan)

Deliver and Support (DS) / Pengiriman dan Dukungan

Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya
yang meliputi hal keamanan sistem, kesinambungan layanan,

pelatihan dan

pendidikan untuk pengguna (pengadaan training), dan pengelolaan data yang

sedang berjalan. Dimana domain DS terdiri dari 13 control objectives, meliputi :
DS1 : Define and manage service levels
DS2 : Manage third-party services
DS3 : Manage performance and capacity
DS4 : Ensure continuous service
DS5 : Ensure systems security
DS6 : Identify and allocate costs
DS7 : Educate and train users
DS8 : Manage service desk and incidents
DS9 : Manage the configuration
DS10 : Manage problems

DS11 : Manage data

DS12 : Manage the physical environment
DS13 : Manage operations
Monitor and Evaluate (ME) / Pemantauan dan Evaluasi
Sasaran yang ingin dicapai adalah manajemen performa, memantau pengendalian
internal, mengontrol kepatuhan, dan penguasaan. Domain ini menitikberatkan pada
proses pengawasan pengelolaan TI pada organisasi, seluruh pengendalian yang
diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala.
Domain ini fokus pada masalah pengendalian yang diterapkan dalam organisasi,
pemeriksaan internal dan eksternal. Dimana domain ME terdiri dari 4 control
objectives, meliputi :
ME1 : Monitor and evaluate IT performance
ME2 : Monitor and evaluate internal control
ME3 : Ensure regulatory compliance
ME4 : Provide IT Governance
Maka dengan melakukan kontrol terhadap 34 control objectives tersebut, organisasi

dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk
lingkungan TI. Karena COBIT dirancang beriorientasi bisnis agar bisa digunakan banyak
pihak, tetapi lebih penting lagi adalah sebagai panduan yang komprehensif bagi manajemen
dan pemilik bisnis proses. Kebutuhan bisnis akan tercermin dari adanya kebutuhan informasi.
Dan informasi itu sendiri perlu memenuhi kriteria control tertentu, untuk mencapai tujuan
bisnis.
Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit IT) oleh Internal
Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi,
melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu,
misalnya audit atas proyek IT, dapat dimulai dengan memilih proses yang relevan dari
proses-proses tersebut. Auditor dapat menggunakan Audit Guidelines dengan menerapkan
seluruh domain yang terdapat dalam COBIT, yakni planning-organization (PO), acquisitionimplementation (AI), Delivery-support (DS) dan Monitoring (M) untuk merancang prosedur
audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai
dengan industri, kondisi IT di Perusahaan atau organisasi Anda, atau objek khusus di
lingkungan IT.
c. Kebutuhan bisnis (Business Requirements)
Tujuh persyaratan atau kriteria informasi bisnis, yaitu:

a. Efektivitas (Effectiveness), menguraikan informasi yang relevan dan berhubungan

dengan proses bisnis yang disampaikan tepat pada waktunya dengan cara yang
benar, konsisten dan tepat digunakan.
b. Efisiensi (Efficiency), menyangkut ketentuan informasi melalui penggunaan
sumberdaya yang optimal (lebih produktif dan ekonomis).
c. Kerahasiaan (Confidentiality), menyangkut perlindungan informasi yang sensitif
dari akses yang tidak sah.
d. Integritas (Integrity), berkaitan dengan keakuratan dan kelengkapan informasi
juga keabsahannya yang sesuai dengan harapan (expectation) dan nilai bisnis.
e. Ketersediaan (Availability), berkaitan dengan informasi yang tersedia yang
diperlukan oleh proses bisnis saat ini dan yang akan datang, juga menyangkut
penjagaan sumberdaya yang perlu dan kemampuan yang terkait.
f.

Pemenuhan (Compliance), menguraikan pemenuhan hukum, peraturan dan

persetujuan yang bersifat kontrak dimana proses bisnisnya merupakan subyek,
yakni kriteria bisnis yang ditentukan dari luar.

g.

Keterandalan informasi (Reliability of Information), berkaitan dengan ketentuan

informasi yang memadai bagi manajemen untuk menjalankan dan melaksanakan
keseluruhan finansialnya dan pemenuhan laporan tanggung jawab

Manfaat CoBit:

Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang
dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian

internal yang ada.

COBIT memungkinkan auditor mereview proses khusus TI terhadap tujuan
pengendalian yang direkomendasikan, untuk membantu menjamin menajemen
terhadap pengendalian yang memadai, atau memberi saran kepada manajemen apakah

proses perlu ditingkatkan.

COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu
perusahaan mengoptimalkan investasi IT mereka. COBIT juga dijadikan sebagai
acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan

teknologi.
Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen
sebagai jembatan antara risiko-risiko IT dengan pengendalian yang dibutuhkan (IT
risk management) dan juga referensi utama yang sangat membantu dalam penerapan
IT Governance di perusahaan.

Penggunaan COBIT dalam Lingkungan SOx

K e s a d a r a n I T G o v e r n a n c e d i Am e r i k a m e n i n g k a t s e t e l a h k a s u s
s k a n d a l k e u a n g a n ya n g t e r j a d i d i A m e r i k a s e h i n g g a k e l u a r l a h t h e
Sarbanes-Oxley

Ac t

d i tahun

2002

untuk

mengembal ikan

kenyamanan

stakeholder, ada sedikit panduan tentang bagaimana menerapkan dan mengelola kontrol.
SOx mewajibkan eksekutif perusahaan menyatakan pertanggung-jawaban mereka dalam
membangun, mengevaluasi dan memonitor efektifitas system pengendalian intern COBIT
(control objective for information and related technology) yang dapat digunakan sebagai
tools untuk mengefektifkan implementasi IT.
Pada awalnya akan menetapkan beberapa standar tertentu tetapi melupakan
perusahaan dan auditor eksternal mereka sendiri. Banyak perusahaan mengadopsi COBIT,
dengan penekanan berat pada tingkat tinggi kontrol internal yang berorientasi TI, sebagai
kerangka pilihan internal kontrol, dengan menggunakan kerangka COBIT untuk membantu
mencapai SOx kepatuhan.
COBIT merupakan alternatif yang kuat kerangka penilaian pengendalian internal,
khususnya di lingkungan dengan konsentrasi proses TI dan sumber daya. Kontrol intern baik
COSO dan penggunaan kerangka kerja COBIT kubus tiga dimensi untuk menggambarkan
lingkungan pengendalian internal mereka. COBIT dan COSO memiliki sedikit perbedaan
dalam klasifikasi dan terminologi, Ilustrasi 5.8 menunjukkan bagaimana peta kerangka
COBIT ke COSO sebagai Model pengendalian internal. Tujuan utama COBIT, dari
Perencanaan dan Enterprise.

Ilustrasi 5.8
Monitoring dan Evaluasi, dapat digunakan untuk memahami dan mengevaluasi
pengendalian internal melalui lima komponen pengendalian internal COSO itu. Apakah
mempertimbangkan menggunakan, COSO intern kontrol dalam COBIT umum atau auditor
internal harus bergerak melalui proses seri dari perencanaan sampai melakukan penilaian
risiko dan untuk mengidentifikasi, mendokumentasikan, dan mengevaluasi pengendalian
internal kunci.Dengan SOx, peningkatan penekanan pada tata kelola TI, dan pengakuan dari
kekritisan TI dalam keputusan internal kontrol COBIT telah melalui beberapa revisi. COBIT
yang mensponsori IT Governance Institute telah melakukan pekerjaan yang sangat baik
merilis publikasi yang memetakan kerangka kerja COBIT dan standar-standar lainnya.
Ekstrak yang diterbitkan COBIT menunjukkan bagaimana COBIT kontrol utama
obyektif dengan komponen COSO utama pengendalian internal. Link-up hubungan ini
bahkan lebih baik dengan level yang lebih rendah. Misalnya, COBIT tujuan AI6 Mengelola
perubahan,

Memperoleh dan Melaksanakan domain kontrol yang berdampak pada

komponen COSO dari Kontrol Aktivitas dan Pemantauan. Tujuan pengendalian rinci COBIT
dipublikasikan untuk masing-masing komponen COSO. Ada hubungan yang erat antara
COBIT dan tujuan pengendalian dan komponen COSO. Set lengkap kontrol tujuan bahan
COBIT menyediakan dukungan yang kuat untuk internal auditor melakukan SOx Pasal 404
kontrol tinjauan penilaian internal.Sementara konsep ini dapat digunakan pada setiap bidang
pengendalian internal, yang penekanannya adalah pada aplikasi dan proses IT. Bagi banyak

perusahaan,dari pemahaman dan penilaian kontrol TI internal adalah kunci untuk mencapai
SOx kepatuhan.
Pedoman Kerangka COBIT
Kerangka COBIT memberikan panduan untuk menetapkan internal kontrol yang
efektif dengan penekanan pada sumber daya TI, ITGI pada tahun 2008 dirilis dan Jaminan
Informasi teknologi Framework (ITAF), model-praktek pengaturan yang baik untuk
memberikan bimbingan pada desain, pelaksanaan, dan pelaporan IT audit dan jaminan tugas.
Tujuan dari pedoman COBIT-terkait untuk menetapkan standar untuk Audit dan jaminan TI
peran profesional dan tanggung jawab, pengetahuan dan keterampilan, dan ketekunan,
perilaku dan persyaratan pelaporan. Referensi yang menyatakan:
Internal audit adalah, jaminan independen objektif dan aktivitas konsultasi yang
dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Ini membantu
organisasi mencapai tujuannya dengan membawa pendekatan yang sistematis dan disiplin
untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan tata
kelola processes. Jaminan tersebut mencakup semua bentuk internal audit, risiko manajemen,
dan kepatuhan jasa. Pedoman COBIT mencakup berbagai ulasan yang dilakukan oleh auditor
internal. Suatu tujuan keseluruhan dari ITAF adalah untuk mendefinisikan satu set standar
untuk membantu memastikan kualitas, konsistensi, dan keandalan penilaian TI, berdasarkan
pedoman praktek-pengaturan dan prosedur.
Perspektif COBIT
Apakah semua spesialis operasional, keuangan,IT, dan auditor internal harus memiliki
setidaknya pemahaman CBOK tingkat tinggi atau kerangka COBIT yang berguna untuk
menilai pengendalian internal TI secara lebih berorientasi lingkungan. Keputusan untuk
menggunakan COBIT dalam audit internal yang tidak harus menjadi satu atau keputusan
tingkat audit individu. Sebaliknya, audit internal harus melatih anggota kunci dari tim audit
atas penggunaan COBIT, kemudian mencoba menggunakannya untuk menilai pengendalian
internal pada beberapa audit lainnya yang sedang dikembangkan dan didokumentasikan
menggunakan teknik audit internal. Bagi banyak perusahaan, COBIT akan menawarkan
beberapa proses perbaikan audit berkelanjutan. Penerapan pertama harus dibicarakan dengan
komite audit untuk menjelaskan alasan untuk mengubah pendekatan audit internal. Jika suatu
Perusahaan bergantung pada sistem dan proses TI, langkah menggunakan COBIT tampaknya
baik Namun, audit internal tidak harus memiliki IT spesialis audit internal yang

menggunakan proses penilaian COBIT karena audit internal dapat menggunakan standar
audit internal operasional / keuangan.
COBIT adalah kerangka intern kontrol dan alat evaluasi untuk menilai pengendalian
internal. Halangan terbesar penggunaan audit internal untuk secara keseluruhan adalah bahwa
COBIT awalnya dibangun sebagai alat audit TI. Meskipun pindah dari ISACA ke sponsor
ITGI memperluas daya tariknya dan memiliki fokus yang diterbitkan COBIT. Kekuatan
sebenarnya dari COBIT adalah berfokus pada tata kelola TI, seperti yang dijelaskan dalam
Lampiran 5.1. Bagan yang menggambarkan pentingnya aliansi strategis bisnis dan sumber
daya TI dengan nilai pengiriman, manajemen sumber daya, manajemen risiko, dan kinerja
proses pengukuran. Kelima sumber daya ini memungkinkan perusahaan untuk membangun
tata kelola TI yang efektif, dan COBIT akan membantu dalam mengelola dan memahami
konsep. Diharapkan standar COBIT diterbitkan dalam praktek untuk terus diperluas dan
hanya melampaui konsep khusus "Pengauditan IT". Semua auditor internal harus memiliki
pemahaman CBOK dari COBIT dan belajar untuk menggunakan serta memahami kerangka
penilaian pengendalian internal.

DAFTAR REFERENSI

Moeller, Robert. 2009. Brinks Modern Internal Auditing:A Common Body of

Knowledge,7th Edition.
Kumaat, Valery G. 2011. Internal Audit

http://billymerkava.blogspot.com/2013/01/apa-yang-anda-ketahui-mengenaicobit.html
http://id.scribd.com/doc/19760352/IT-Governance-Dengan-COBIT-Framework