COSO
COSO adalah singkatan dari Committee of Sponsoring Organizations of the Treadway Commission. COSO memiliki kaitan dengan FCPA yang dikeluarkan oleh SEC dan US Congress pada tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Perbedaannya, FCPA adalah inisiatif dari eksekutif-legislatif, sedangkan COSO ini lebih merupakan inisiatif dari sektor swasta.
Sektor swasta ini membentuk ‘National Commission on Fraudulent Financial Reporting’ atau dikenal juga dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini disponsori oleh 5 professional association yaitu: AICPA, AAA, FEI, IIA, IMA. Tujuan komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi2 yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan.
Walaupun disponsori oleh 5 professional association, tapi pada dasarnya komisi ini bersifat independen dan orang-orang yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik, Bursa Efek, dan investor. Nama ‘Treadway’ sendiri berasal dari nama ketua pertamanya yaitu James C. Treadway, Jr.
Komisi ini mengeluarkan report pertamanya pada 1987. Isi reportnya di antaranya adalah merekomendasikan dibuatnya report komprehensif tentang pengendalian internal (integrated guidance on internal control). Oleh karena itu dibentuk COSO, yang kemudian bekerjasama dengan Coopers & Lybrand untuk membuat report itu.
Coopers & Lybrand mengeluarkan report itu pada 1992, dengan perubahan minor pada 1994, dengan judul ‘Internal Control – Integrated Framework’. Report ini berisi definisi umum internal control dan membuat framework untuk melakukan penilaian (assessment) dan perbaikan (improvement) atas internal control. Fungsi report ini salah satunya adalah untuk mengevaluasi FCPA compliance di suatu perusahaan.
Poin penting dalam report COSO ‘Internal Control – Integrated Framework’ (1992): Definisi internal control menurut COSO, yaitu suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
Efektifitas dan efisiensi operasional
Reliabilitas pelaporan keuangan
Kepatuhan atas hukum dan peraturan yang berlaku
Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:
1. Control Environment
2. Risk Assessment
3. Control Activities
4. Information and communication
5. Monitoring
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
1. Internal Environment
2. Objective Setting
3. Event Identification
4. Risk Assessment
5. Risk Response
6. Control Activities
7. Information and Communication
8. Monitoring
COBIT
COBIT (Control Objectives for Information and Related Technology) adalah sebuah proses model yang dikembangkan untuk membantu perusahaan dalam pengelolaan sumber daya teknologi informasi (IT). Proses model ini difokuskan pada pengendalian terhadap masing-masing dari 34 proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT.
COBIT adalah perantara antara manajemen TI dan para eksekutif bisnis. COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap corporate governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit.
Fokus utama dari COBIT ini adalah harapan bahwa melaui adopsi COBIT ini, perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.
COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). Saat ini pengembangan terbaru dari standar ini adalah COBIT Edisi 4.1.
COBIT memiliki komponen-komponen sebagai berikut :
a. Executive Summary
b. Framework
c. Control Objective
d. Audit Guidelines
e. Management Guidelines
f. Control Practices
COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”.
Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control objective) dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.
Komponen tujuan pengendalian (control objectives) COBIT ini terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu : planning & organization , acquisition & implementation ,delivery & support , dan monitoring.
COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :
· Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
· User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
· Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.
