1. COBIT

COBIT (Control Objectives for Information and Related Technology) adalah sebuah

proses model yang dikembangkan untuk membantu perusahaan dalam pengelolaan

sumber daya teknologi informasi (IT). COBIT menciptakan sebuah jembatan antara

manajemen TI dan para eksekutif bisnis. COBIT mampu menyediakan bahasa yang

umum sehingga dapat dipahami oleh semua pihak.

Domain

a. Planning and organization

Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana

IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu,

realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk

berbagai perspektif yang berbeda.

b. Acquisition dan implementation

Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau

diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis.

c. Delivery and Support

Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT.

Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem

IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian

sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk

isu/masalah keamanan dan juga pelatihan.

d. Monitoring

Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas

dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya

pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian

independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh

dari sumber-sumber anternatif lainnya.

Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem informasi.

Sudut pandang atas internal control adalah kesatuan beberapa proses yang terdiri

atas kebijakan, prosedur, penerapan serta struktur organisasi.

Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem

yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang

dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan

peraturan yang berlaku.

Komponen/domain yang dituju adalah perencanaan dan pengorganisasian,

pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian.

Fokus pengendalian dari COBIT adalah sisi teknologi informasi.

Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut

diterapkan dalam periode waktu yang sudah ditetapkan.

Pertanggungjawaban atas sistem pengendalian dari COBIT ditujukan kepada

manajemen

2. COSO

Menurut COSO framework, internal control terdiri dari 5 komponen yang saling terkait,

yaitu:

a. Control environment, merupakan pondasi dari komponen lainnya yang meliputi

diantaranya:

Integritas dan etika

Komitmen untuk meningkatkan kompetensi

Dewan komisaris dan komite audit

Filosofi manajemen dan jenis operasi

Kebijakan dari praktek sumber daya manusia

b. Risk assessment

Terdiri dari identifikasi resiko dan analisis resiko. Identifikasi resiko meliputi

pengujian terhadap faktor-faktor eksternal seperti perkembangan teknologi,

persaingan dan perubahan ekonomi. Faktor intgernal diantaranya kompetensi

karyawan, sifat dari aktivitas bisnis, dan karakteristik pengelolaan system informasi.

Sedangan analisis resiko meliputi mngestimasi signifikansi resiko, menilai

kemungkinannya terjadi risk, dan bagaimana mengelola resiko.

c. Contol activities

Terdiri dari kebijakan prosedur yang menjamin karyawan melaksanakan arahan

manajemen. Aktivitas pengendalian meliputi review terhadap system pengendalian,

pemisahan tugas, dan pengendalian terhadap system informasi.

d. Information and communication

Perlu untuk mengakses informasi dari dalam dam luar, mengembangkan strategi

yang potensial dari system terintegrasi, serta perlunya data yang berkualitas.

Sedangkan komunikasi berfokus kepada penyampaian permasalahan pengendalian

internal dan mengumpulkan informasi dari pesaing.

e. Monitoring

Manajemen perlu melakukan pengawasan terhadap keseluruhan system

pengendalian internal melalui aktivitas atau area yang khus

Fokus Pengguna Utama adalah manajemen.

Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.

Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem

yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian

dengan peraturan yang berlaku.

Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen

resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.

Fokus pengendalian dari eSAC adalah keseluruhan entitas.

Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut

diterapkan dalam poin waktu tertentu.

Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada

manajemen.

3. ERM

Di tahun 2004, COSO mengeluarkan Report Enterprise Risk Management – Integrated

Framework, sebagai pengembangan COSO framework sebelumnya. Dijelaskan ada 8

komponen dalam Enterprise Risk Management, yaitu:

a. Internal environment

Komponen ini berkaitan dengan lingkungan dimana instansi Pemerintah berada dan

beroperasi. Cakupannya adalah risk-management philosophy (kultur manajemen

tentang risiko), integrity (integritas), risk-perspective (perspektif terhadap risiko),

risk-appetite (selera atau penerimaan terhadap risiko), ethical values (nilai moral),

struktur organisasi, dan pendelegasian wewenang

b. Objective setting

Manajemen harus menetapkan objectives (tujuan-tujuan) dari organisasi agar dapat

mengidentifikasi, mengakses, dan mengelola risiko. Objective dapat diklasifikasikan

menjadi strategic objective dan activity objective. Strategic objective di instansi

Pemerintah berhubungan dengan pencapaian dan peningkatan kinerja instansi

dalam jangka menengah dan panjang, dan merupakan implementasi dari visi dan

misi instansi tersebut. Sementara itu, activity objective dapat dipilah menjadi 3

kategori, yaitu (1) operations objectives; (2) reporting objectives; dan (3) compliance

objectives.

c. Event identification

Komponen ini mengidentifikasi kejadian-kejadian potensial baik yang terjadi di

lingkungan internal maupun eksternal organisasi yang mempengaruhi strategi atau

pencapaian tujuan dari organisasi. Kejadian tersebut bisa berdampak positif

(opportunities), namun dapat pula sebaliknya atau negative (risks). Terdapat 4 model

dalam identifikasi risiko, yaitu (1) Exposure analysis; (2) Environmental analysis; (3)

Threat scenario; (4) Brainstorming questions.

d. Risk assessment

Komponen ini menilai sejauhmana dampak dari events (kejadian atau keadaan)

dapat mengganggu pencapaian dari objectives. Besarnya dampak dapat diketahui

dari inherent dan residual risk, dan dapat dianalisis dalam dua perspektif, yaitu:

likelihood (kecenderungan atau peluang) dan impact/consequence (besaran dari

terealisirnya risiko). Dengan demikian, besarnya risiko atas setiap kegiatan organisasi

merupakan perkalian antara likelihood dan consequence.

Penilaian risiko dapat menggunakan dua teknik, yaitu: (1) qualitative techniques;

dan (2) quantitative techniques. Qualitative techniques menggunakan beberapa

tools seperti self-assessment (low, medium, high), questionnaires, dan internal audit

reviews. Sementara itu, quantitative techniques data berbentuk angka yang

diperoleh dari tools seperti probability based, non-probabilistic models (optimalkan

hanya asumsi consequence), dan benchmarking.

e. Risk response

Organisasi harus menentukan sikap atas hasil penilaian risiko. Risk response dari

organisasi dapat berupa: (1) avoidance, yaitu dihentikannya aktivitas atau pelayanan

yang menyebabkan risiko; (2) reduction, yaitu mengambil langkah-langkah

mengurangi likelihood atau impact dari risiko; (3) sharing, yaitu mengalihkan atau

menanggung bersama risiko atau sebagian dari risiko dengan pihak lain; (4)

acceptance, yaitu menerima risiko yang terjadi (biasanya risiko yang kecil), dan tidak

ada upaya khusus yang dilakukan.

f. Control activities

Komponen ini berperanan dalam penyusunan kebijakan-kebijakan (policies) dan

prosedur-prosedur untuk menjamin risk response terlaksana dengan efektif. Aktifitas

pengendalian memerlukan lingkungan pengendalian yang meliputi: (1) integritas dan

nilai etika; (2) kompetensi; (3) kebijakan dan praktik-praktik SDM; (4) budaya

organisasi; (5) filosofi dan gaya kepemimpinan manajemen; (6) struktur organisasi;

dan (7) wewenang dan tanggung jawab.

g. Information and communication

Fokus dari komponen ini adalah menyampaikan informasi yang relevan kepada pihak

terkait melalui media komunikasi yang sesuai. Faktor-faktor yang perlu diperhatikan

dalam penyampaiaan informasi dan komunikasi adalah kualitas informasi, arah

komunikasi, dan alat komunikasi.

Informasi yang disajikan tergantung dari kualitas informasi yang ingin disampaikan,

dan kualitas informasi dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current;

(4) accurate; dan (5) accessible. Arah komunikasi dapat bersifat internal dan

eksternal. Sedangkan alat komunikasi berupa diantaranya manual, memo, buletin,

dan pesan-pesan melalui media elektronis.

h. Monitoring

Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun

terpisah (separate evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas

supervisi, rekonsiliasi, dan aktivitas rutin lainnya. Monitoring terpisah biasanya

dilakukan untuk penugasan tertentu (kasuistis). Pada monitoring ini ditentukan

scope tugas, frekuensi, proses evaluasi metodologi, dokumentasi, dan action plan.

Standar ini menekankan pada pengembangan pengendalian internal sebagai upaya

perusahaan dalam mengelola risiko.

Proses awal pengendalian risiko dimulai dengan menetapkan sasaran perusahaan

yang terdiri dari empat kategori yaitu strategis, operasi, pelaporan, dan pemenuhan.

Identifikasi konteks eksternal sedikit dilakukan

Komponen proses manajemen risiko Terdiri dari 8 komponen, yaitu: identifikasi

lingkungan internal;penetapan sasaran manajemen risiko, identifikasi kejadian;

penilaian risiko, perlakuan risiko; aktivitas pengendalian; informasi dan komunikasi;

dan pemantauan.

Inherent risk diartikan sebagai eksposur perusahaan terhadap risiko secara utuh.

(dampak dari existing control tidak diperhitungkan)

Penyaluran informasi Informasi hanya dikomunikasikan kepada pelaku manajemen

risiko untuk mendukung pencapaian sasaran unit-unit tersebut. Keterlibatan

stakeholders eksternal tidak diungkapkan pada standar ini.