Menu
- Enterprise Risk Management Implementation
- Business Continuity Management System
- Risk Maturity Index Assessment
- Risk Dashboard
- Risk Assessment and Profiling
- Risk Early Warning System
- ESG (Environmental, Social, and Governance)
- Business Continuity Plan
- Contingency Plan
- Stress Testing
- Rencana Jangka Panjang Perusahaan (RJPP)
- ICOFR
- IT Master Plan
- Good Corporate Governance
- Penilaian Penyelenggaraan TI (IT Maturity Assessment)
- Risk Awareness & Competency Building
- View All Services
ICOFR vs COSO vs COBIT: Tahapan Proses
RWI Consulting – Organisasi yang tumbuh sehat tidak hanya unggul dalam menyusun strategi, tapi juga disiplin dalam menjalankan kontrol. Mereka sadar bahwa keandalan laporan keuangan bukan datang dari sistem akuntansi semata, melainkan dari pengendalian internal yang kokoh, data yang dapat dipercaya, dan teknologi informasi yang berjalan searah dengan tujuan bisnis.
Di titik inilah tiga kerangka penting saling bertaut dan saling menguatkan:
- ICOFR (Internal Control Over Financial Reporting) berfungsi sebagai sistem pengendalian atas pelaporan keuangan. Ini bukan sekadar kewajiban regulasi, tapi juga pondasi kepercayaan pemangku kepentingan. Regulator seperti SEC mendefinisikannya sebagai sistem yang memberikan keyakinan memadai terhadap keandalan laporan dan kesesuaian dengan GAAP, yang dievaluasi melalui pendekatan top-down dan berbasis risiko.
(Sumber: SEC) - COSO menyediakan struktur prinsip dan komponen pengendalian internal. Sejak diperbarui tahun 2013, COSO telah menjadi kerangka global yang terus dikembangkan—termasuk untuk area yang lebih luas seperti pengendalian atas pelaporan keberlanjutan. COSO menjelaskan bagaimana organisasi seharusnya merancang kontrol, memantau efektivitasnya, dan mengintegrasikannya dengan budaya kerja sehari-hari.
(Sumber: COSO) - COBIT 2019, di sisi lain, menawarkan kerangka tata kelola informasi dan teknologi yang dirancang agar mudah diintegrasikan dengan standar lain seperti COSO atau ISO 27001. Ia memberikan model tujuan tata kelola dan manajemen yang jelas, serta panduan implementasi yang rinci untuk memastikan TI tidak berdiri sendiri, melainkan mendukung proses kontrol dan pelaporan organisasi secara menyeluruh.
(Sumber: ISACA)
Baca: ICOFR: Integrasi COSO & COBIT untuk ITGC
ICOFR — Tahapan Proses
Gambar menempatkan ICOFR sebagai alur kerja pengendalian internal atas pelaporan keuangan. Di beberapa organisasi, label internal seperti ICOFR SK 5 DKU MBU 11 2024 dipakai untuk menandai program atau mandat internal. Bagian berikut menyarikan tahapan dalam gambar lalu menautkannya ke panduan resmi regulator.
Baca: Tahapan Implementasi ICOFR: Membangun Pengendalian Internal yang Andal
Perancangan
Pada tahap ini, tim menentukan ruang lingkup, memetakan proses, mengidentifikasi risiko pelaporan, dan merancang pengendalian. SEC menekankan evaluasi yang top down dan berbasis risiko untuk menilai apakah pengendalian yang diterapkan benar benar memadai mengatasi risiko salah saji material.
Implementasi dan Pemantauan
Pengendalian dijalankan dalam aktivitas harian. Manajemen memelihara bukti memadai untuk mendukung penilaian, termasuk dokumentasi desain dan operasi pengendalian. Evaluasi berkelanjutan dapat memanfaatkan interaksi harian, self assessment, atau pemantauan lain, bergantung pada tingkat risiko.
Evaluasi
Uji efektivitas meliputi pengujian desain serta pengujian operasi. Auditor, dan juga manajemen saat melakukan penilaian, menilai bagaimana alur transaksi bekerja, titik rawan kesalahan, serta kontrol yang menanganinya.
Remediasi
Jika ditemukan kelemahan, organisasi menyiapkan dan menjalankan rencana perbaikan, lalu melakukan uji ulang sampai pengendalian terbukti efektif sesuai tujuan. Pendekatan ini sejalan dengan prinsip penilaian berbasis risiko dan fokus pada area yang paling berdampak pada laporan.
Pelaporan
Hasil evaluasi dihimpun ke dalam laporan manajemen tentang efektivitas ICOFR, yang harus menyebut kerangka pengendalian yang dipakai dan status efektivitas. Untuk perusahaan yang tunduk ketentuan tertentu, laporan tahunan juga memuat pernyataan bahwa auditor terdaftar mengeluarkan laporan atestasi atas penilaian manajemen.
Asurans ICOFR oleh Praktisi Eksternal
Regulasi mengharuskan di kondisi tertentu adanya atestasi auditor atas penilaian manajemen terhadap ICOFR dan laporan itu disertakan dalam laporan tahunan. Ketentuan detail mengenai cakupan dan entitas yang terkena kewajiban dijelaskan dalam peraturan final serta panduan topik pelaporan keuangan SEC.
COSO — Komponen Inti
Baca: Mengenal Komponen Enterprise Risk Management COSO
Pada lajur tengah gambar, COSO diposisikan sebagai fondasi konsep dan prinsip. COSO menjelaskan Internal Control Integrated Framework yang secara global dijadikan rujukan organisasi untuk merancang dan mengevaluasi pengendalian, termasuk untuk pelaporan keuangan. COSO
Lingkungan Pengendalian
Nada dari puncak organisasi, komitmen terhadap integritas dan etika, serta struktur dan wewenang terpapar dalam komponen ini. Ia memengaruhi kualitas pengendalian lain di seluruh entitas. COSO menekankan peran nilai dan tata kelola dalam menopang pengendalian. COSO
Penilaian Risiko
Organisasi mengidentifikasi dan menganalisis risiko terhadap tujuan pelaporan, operasional, serta kepatuhan. Kerangka COSO mendukung penilaian yang relevan dengan perubahan lingkungan bisnis.
Kegiatan Pengendalian
Kebijakan serta prosedur dibentuk untuk mengatasi risiko yang teridentifikasi. Pada ranah TI, pengendalian aplikasi sering bergantung pada efektivitas kontrol umum TI, sehingga desainnya perlu mempertimbangkan konsistensi operasi kontrol otomatis.
Informasi dan Komunikasi
Informasi yang tepat dan dapat diandalkan mengalir ke pihak yang memerlukan sehingga keputusan dapat diambil dengan baik. COSO menempatkan kualitas informasi sebagai syarat agar pengendalian berjalan efektif.
Kegiatan Pemantauan
Organisasi memantau efektivitas pengendalian secara berkelanjutan serta melakukan evaluasi terpisah jika diperlukan. COSO juga menyediakan panduan monitoring untuk menjaga kualitas sistem pengendalian.
COBIT — Langkah Bernuansa TI
Lajur ketiga pada gambar merinci langkah kerja TI yang menyelaraskan pengendalian dengan kebutuhan bisnis. COBIT 2019 menempatkan tata kelola informasi dan teknologi sebagai enabler penciptaan nilai, serta mudah diintegrasikan dengan standar dan kerangka lain. Ia juga menguraikan empat puluh tujuan tata kelola dan manajemen sebagai model inti.
Pahami Kebutuhan Bisnis
Tata kelola TI dimulai dari pemahaman tujuan perusahaan dan nilai yang ingin dicapai. COBIT mendorong penyelarasan agar investasi TI benar benar mengantar pada kinerja perusahaan.
Evaluasi Sistem TI
Proses dan kontrol TI ditinjau menggunakan tujuan tata kelola dan manajemen COBIT. Langkah ini memudahkan organisasi melihat kesenjangan kemampuan serta prioritas perbaikan.
Rencana Aksi dan Perbaikan
Hasil evaluasi diterjemahkan ke rencana peningkatan tata kelola serta kontrol teknologi yang paling berdampak pada tujuan bisnis dan kepatuhan. COBIT menyediakan panduan desain dan implementasi untuk menjalankan program peningkatan ini.
Implementasi dan Re Evaluasi
Perbaikan dilaksanakan, hasilnya dipantau, kemudian dievaluasi kembali secara berkala. Siklus ini menjaga agar kontrol TI senantiasa relevan dan efektif.
Cara Membaca Perbandingan pada Gambar
Gambar yang dimaksud menyajikan tiga lajur sejajar yang saling melengkapi—ICOFR, COSO, dan COBIT—masing-masing mewakili kerangka kerja atau sistem yang mendukung keandalan pelaporan keuangan, namun dengan fokus yang berbeda.
ICOFR: Kerangka Utama yang Mengalir Sepanjang Proses
Di lajur pertama, ICOFR ditampilkan sebagai alur kegiatan yang mencakup enam tahap: perancangan, implementasi, evaluasi, remediasi, pelaporan, dan asurans.
Setiap tahap ini mencerminkan pendekatan yang diakui oleh SEC dan selaras dengan standar audit atas pengendalian internal yang terintegrasi dengan audit laporan keuangan.
ICOFR menekankan proses berkelanjutan dan berbasis risiko, dari tahap desain awal sampai laporan akhir yang dipublikasikan.
(Sumber: SEC)
COSO: Prinsip yang Menjiwai Setiap Tahap ICOFR
Di lajur kedua, COSO hadir bukan sebagai langkah, tetapi sebagai kerangka prinsip. Lima komponen dan 17 prinsip COSO menjadi standar yang harus tercermin dalam setiap tahap ICOFR.
Mulai dari lingkungan pengendalian hingga pemantauan, COSO digunakan sebagai dasar untuk:
- Menilai apakah pengendalian yang dirancang memadai,
- Memastikan pelaksanaannya sejalan dengan tujuan pelaporan keuangan,
- Melakukan evaluasi efektivitas secara menyeluruh.
Dengan kata lain, COSO memberi struktur konseptual yang menjiwai ICOFR dari awal sampai akhir.
(Sumber: SEC)
COBIT: Mekanisme TI yang Menopang ICOFR Secara Praktis
Di lajur ketiga, COBIT berperan sebagai pengarah aktivitas teknologi informasi. Fokus utamanya adalah agar pengendalian TI terutama ITGC dan kontrol aplikasi berfungsi efektif, karena keandalan pelaporan keuangan modern sangat bergantung pada sistem TI.
Baca: COBIT 2019: Pengertian, Prinsip, Komponen, dan Cara Implementasi
COBIT tidak berdiri sendiri. Ia dirancang agar dapat diintegrasikan langsung dengan kerangka COSO, dan bahkan ISACA telah merilis white paper resmi yang memetakan keterkaitan keduanya.
Dengan demikian, organisasi bisa menggunakan COBIT untuk memastikan bahwa aspek teknis TI berjalan harmonis dengan prinsip pengendalian internal yang ditetapkan COSO, sekaligus mendukung jalannya ICOFR secara utuh.
ITGC yang Paling Relevan untuk ICOFR
Dalam sistem pelaporan keuangan modern, pengendalian aplikasi yang mendukung akurasi dan kelengkapan pencatatan akuntansi sangat bergantung pada kekuatan IT General Controls (ITGC). SEC secara eksplisit menyatakan bahwa ITGC adalah bagian integral dari evaluasi ICFR, dan harus dinilai dalam konteks top-down berbasis risiko—bukan sebagai elemen terpisah.
Dari panduan resmi dan ilustrasi proses, berikut enam area ITGC yang paling relevan untuk mendukung efektivitas ICOFR:
1. Manajemen Akses Pengguna
Mengatur siapa yang boleh masuk ke sistem keuangan dan sejauh mana akses yang mereka miliki. Kontrol di area ini mencakup:
- Otorisasi saat pemberian akses awal,
- Autentikasi untuk memastikan identitas pengguna,
- Peninjauan hak akses secara berkala agar tetap sesuai tugas,
- Pengawasan atas akses ke program dan data keuangan yang sensitif.
Tujuannya: mencegah akses tidak sah dan menjaga integritas sistem dari penyalahgunaan.
(Sumber: SEC)
2. Manajemen Perubahan
Perubahan di sistem atau aplikasi keuangan harus dijaga agar tidak merusak pelaporan. Kontrol di area ini meliputi:
- Persetujuan atas perubahan konfigurasi atau kode,
- Pengujian perubahan sebelum masuk ke sistem produksi,
- Proses migrasi yang terdokumentasi dan dikendalikan.
Ini membantu memastikan bahwa sistem tetap stabil dan akurat setelah perubahan diterapkan.
(Sumber: SEC)
3. Operasi TI dan Pemrosesan
Area ini mengatur prosedur kerja harian yang memastikan semua proses berjalan sesuai rencana. Termasuk di dalamnya:
- Penanganan insiden dan eskalasi masalah,
- Monitoring pekerjaan batch, transaksi otomatis, dan antarmuka antar sistem,
- Pengelolaan sistem agar transaksi diproses lengkap, akurat, dan tepat waktu.
(Sumber: SEC)
4. Keamanan Data dan Integritas Pencatatan
Fokus pada proteksi data keuangan dan sistem pencatatan dari ancaman eksternal maupun kesalahan internal. Kontrolnya bisa meliputi:
- Rekonsiliasi otomatis dan manual,
- Validasi input dan output aplikasi,
- Pencegahan manipulasi atau kehilangan data penting.
Meskipun tidak disebut eksplisit dalam setiap panduan regulator, area ini merupakan jembatan penting antara keamanan TI dan integritas laporan keuangan.
(Sumber: praktik umum dan default kontrol pelaporan)
5. Backup dan Pemulihan Bencana
Walaupun tidak dibahas secara eksplisit oleh SEC dalam konteks ICOFR, kontrol atas ketersediaan sistem dan kemampuan pemulihan tetap penting. Area ini sering kali diatur dalam praktik operasi TI dan mencakup:
- Jadwal backup reguler,
- Uji pemulihan data dan sistem,
- Rencana pemulihan bencana (disaster recovery) untuk memastikan sistem keuangan tetap dapat diakses setelah insiden.
6. Kontrol Lingkungan Pengembangan (Development Controls)
Dalam beberapa organisasi, pengembangan sistem dan aplikasi internal masuk dalam cakupan evaluasi ICFR. Kontrol mencakup:
- Standar dokumentasi dan pengujian pengembangan,
- Pemisahan lingkungan pengembangan dari produksi,
- Pengawasan terhadap pengembang dan akses mereka ke sistem keuangan.
(Catatan: Area ini kadang digabung dengan manajemen perubahan oleh beberapa auditor, tergantung kompleksitas sistem dan model pengembangan.)
Integrasi ICOFR COSO COBIT
Berikut daftar ringkas sebagai panduan kerja kolaboratif tim keuangan, risiko, audit internal, dan TI.
| Tahap ICOFR | Komponen COSO yang dicerminkan | Aktivitas COBIT yang disarankan | Dokumen kunci |
|---|---|---|---|
| Perancangan | Lingkungan pengendalian, penilaian risiko | Pahami kebutuhan bisnis, pahami proses keuangan dan sistem pendukung | Narasi proses, pemetaan alur transaksi, matriks risiko kontrol |
| Implementasi dan pemantauan | Kegiatan pengendalian, informasi dan komunikasi | Evaluasi sistem TI, penetapan kontrol aplikasi dan ITGC | Kebijakan, SOP, konfigurasi sistem, daftar kontrol, bukti pelaksanaan |
| Evaluasi | Semua komponen yang relevan | Uji kontrol aplikasi serta ITGC, lakukan walkthrough dan penilaian bukti | Rencana pengujian, kertas kerja uji desain dan uji operasi |
| Remediasi | Pemantauan | Rencana aksi perbaikan, prioritas risiko tinggi lebih dahulu | Log isu, rencana remediasi, bukti perbaikan dan uji ulang |
| Pelaporan | Informasi dan komunikasi | Konsolidasi temuan, ringkas status ITGC yang menopang kontrol aplikasi | Laporan efektivitas ICOFR, lampiran bukti utama |
| Asurans eksternal | Pemantauan, tata kelola | Siapkan bahan atestasi sesuai peraturan yang berlaku | Laporan manajemen, laporan atestasi auditor jika disyaratkan |
Kesimpulan
Gambar memvisualkan keterhubungan yang elegan: ICOFR memimpin alur, COSO memberi fondasi komponen, dan COBIT menggerakkan tata kelola serta kontrol TI.
Jika dibaca bersama panduan regulator dan lembaga standar, organisasi mendapatkan jalur yang jelas untuk merancang, menguji, memperbaiki, melaporkan, dan mendapatkan asurans atas pengendalian pelaporan yang dapat dipercaya. Dengan disiplin ini, kepatuhan tidak berhenti pada kewajiban, namun berlanjut menjadi nilai bisnis yang terukur dan berkelanjutan.
