ICOFR: Integrasi COSO & COBIT untuk ITGC

ICOFR: Integrasi COSO & COBIT untuk ITGC
RB 16 September 2025
Rate this post

RWI Consulting – Menjaga keandalan laporan keuangan bukan cuma soal ketepatan pencatatan. Ini menuntut lebih dari sekadar akuntansi mulai dari sistem pengendalian internal yang disiplin, budaya kepatuhan yang sungguh-sungguh dijalankan, hingga tata kelola TI yang benar-benar bisa diandalkan.

Gambar di atas menggambarkan benang merah yang sering terlupakan: kerangka COSO memberi struktur dan prinsip dasar bagi pengendalian internal, COBIT melengkapi dengan kontrol TI yang kuat yang bernama ITGC (IT General Controls), dan keduanya bersama-sama menopang ICOFR/ICFR (Internal Control Over Financial Reporting), fondasi keandalan laporan keuangan di mata regulator dan investor.

Tulisan ini akan menyajikan pesan inti dari ilustrasi tersebut, lalu memperdalamnya dengan referensi langsung dari sumber resmi seperti COSO, ISACA, PCAOB, dan SEC. Fokusnya membantu organisasi memahami bagaimana ketiga kerangka ini saling melengkapi dalam membangun pelaporan keuangan yang tepercaya dan patuh regulasi.

Apa Itu ICOFR?

ICOFR atau ICFR adalah pengendalian internal atas pelaporan keuangan. Standar audit menjelaskannya sebagai proses yang menjalankan manajemen dan karyawan untuk memberi keyakinan memadai atas keandalan pelaporan keuangan dan penyusunan laporan sesuai prinsip akuntansi yang berlaku.

Baca: ICOFR

ICOFR SK-5/DKU.MBU/11/2024 sebagai label internal. Intinya, ICOFR menjadi payung kontrol yang memandu desain, implementasi, dan monitoring pengendalian yang memengaruhi pelaporan keuangan, termasuk kontrol TI yang terkait.

Peran COSO dalam ICOFR: Fondasi Sistemik Pengendalian Internal

COSO bukan sekadar kerangka kerja di atas kertas. Ia adalah fondasi sistemik yang membantu organisasi merancang, menerapkan, dan menjaga pengendalian internal yang solid. Terutama dalam konteks ICOFR (Internal Control Over Financial Reporting), COSO berperan sebagai pedoman utama yang mengarahkan bagaimana kontrol dibangun bukan hanya untuk memenuhi kewajiban regulasi, tapi juga untuk menjaga keandalan laporan keuangan itu sendiri.

COSO Sebagai Struktur dan Prinsip Pengendalian Internal

COSO Internal Control – Integrated Framework telah lama menjadi rujukan global untuk menyusun sistem pengendalian internal. Kerangka ini membantu organisasi menetapkan tujuan, menyelaraskan strategi, dan memastikan bahwa informasi penting terutama yang menyangkut pelaporan keuangan dapat dipercaya.

Pembaruan besar pada tahun 2013 memperkuat posisinya sebagai standar evaluasi. COSO kini terdiri dari lima komponen utama dan 17 prinsip yang membentuk dasar penilaian efektivitas sistem pengendalian internal. Sebuah sistem dianggap berfungsi secara efektif apabila setiap komponen dan prinsip yang relevan tidak hanya ada, tetapi juga berjalan sebagaimana mestinya.

Baca: Mengenal Komponen Enterprise Risk Management COSO

Prinsip COSO: Landasan Desain untuk ICOFR

Dalam konteks ICOFR, kerangka COSO berfungsi sebagai general framework—kerangka acuan utama dalam membangun kontrol atas pelaporan keuangan. Organisasi menggunakan prinsip-prinsip COSO untuk mendesain:

  • Lingkungan pengendalian: nilai dan budaya organisasi, integritas, dan tanggung jawab manajemen.
  • Penilaian risiko: bagaimana organisasi mengenali dan merespons risiko yang bisa memengaruhi pelaporan keuangan.
  • Aktivitas pengendalian: kebijakan, prosedur, dan kontrol spesifik untuk mencegah atau mendeteksi kesalahan.
  • Informasi dan komunikasi: sistem pelaporan dan aliran informasi yang mendukung kontrol internal.
  • Monitoring: mekanisme pemantauan dan evaluasi berkelanjutan atas efektivitas sistem kontrol.

Dengan kata lain, sebelum memilih alat, sistem, atau teknologi pengendalian tertentu, organisasi harus terlebih dulu merancang pondasi kontrolnya berdasarkan prinsip-prinsip COSO. Inilah yang membedakan kontrol yang kuat dan menyatu dengan bisnis—bukan sekadar kontrol administratif atau formalitas audit.

Peran COBIT dalam ICOFR: Menjembatani TI dan Pengendalian Keuangan

Jika COSO memberi arah dan prinsip pengendalian internal secara menyeluruh, maka COBIT—yang dikembangkan oleh ISACA—memberikan alat, kontrol, dan bahasa operasional yang spesifik untuk ranah teknologi informasi.

COBIT Melengkapi COSO dengan Mekanisme dan Kontrol TI

COBIT hadir untuk menjawab kebutuhan organisasi dalam mengelola dan menata kelola TI di seluruh proses bisnis. Kerangka ini memastikan tiga hal utama: nilai dari TI tercipta, risiko TI dikendalikan, dan sumber daya informasi dan teknologi dioptimalkan.

Dalam konteks ICOFR, peran COBIT menjadi sangat penting karena ia memberi lapisan praktis yang menerjemahkan prinsip-prinsip COSO ke dalam aktivitas TI sehari-hari. Misalnya, bagaimana pengendalian akses, manajemen perubahan sistem, dan pengelolaan layanan TI dijalankan secara terstandar.

ISACA sendiri telah menerbitkan white paper resmi yang menjelaskan secara detail bagaimana struktur COBIT disejajarkan dengan komponen-komponen COSO. Ini bukan sekadar teori: pemetaan ini menunjukkan bahwa keduanya saling memperkuat—COSO menyediakan kerangka konseptual, sementara COBIT mengisi ruang teknis dan operasional, terutama di lingkungan yang sangat bergantung pada sistem TI. ([Sumber: ISACA])

Fokus pada ITGC yang Mendukung Keandalan Pelaporan Keuangan

Dalam sistem pelaporan keuangan modern, kontrol tidak hanya bergantung pada kebijakan dan prosedur manual, tapi juga pada IT General Controls (ITGC) yang mendasari sistem aplikasi keuangan.

Menurut standar dari PCAOB, keandalan kontrol aplikasi—seperti validasi input/output, rekonsiliasi sistem, atau perhitungan otomatis—sangat ditentukan oleh efektivitas kontrol umum TI. ITGC mencakup area seperti:

  • Manajemen perubahan program: apakah setiap perubahan di sistem keuangan disetujui dan diuji dengan benar?
  • Kontrol akses: siapa saja yang bisa masuk ke aplikasi keuangan dan database penting?
  • Operasi sistem komputer: apakah backup, monitoring, dan pemulihan berjalan sesuai prosedur?

Jika ITGC berjalan efektif, maka auditor baik internal maupun eksternal bisa menempatkan keyakinan yang tinggi pada kontrol aplikasi yang mendukung laporan keuangan. Sebaliknya, jika ITGC lemah, maka kontrol aplikasi pun dianggap tidak andal.

Di sinilah COBIT menunjukkan nilainya: ia tidak hanya memberi panduan bagaimana membangun ITGC yang kuat, tapi juga bagaimana kontrol itu terus dipantau, dievaluasi, dan disesuaikan dengan risiko serta tuntutan bisnis yang berubah.

Cara Kerja Integrasi COSO, COBIT, dan ICOFR

Mengintegrasikan COSO, COBIT, dan ICOFR bukan sekadar menyusun tiga kerangka berdampingan. Kuncinya ada pada bagaimana ketiganya saling melengkapi—dimulai dari desain pengendalian internal, berlanjut ke implementasi teknologi, dan ditutup dengan siklus monitoring yang hidup. Berikut cara kerjanya secara menyeluruh:

1. Desain: Berbasis Prinsip COSO

Segalanya bermula dari tujuan pelaporan keuangan. Organisasi harus menegaskan apa yang ingin dijaga—keandalan angka, kepatuhan terhadap standar akuntansi, hingga integritas data keuangan.

Dari situ, dilakukan penilaian risiko terhadap proses dan sistem yang mendukung pelaporan. Selanjutnya, respons risiko ditetapkan, dan aktivitas pengendalian dirancang mengacu pada lima komponen dan 17 prinsip COSO.

Di tahap ini, COSO berperan sebagai fondasi desain: menentukan struktur peran dan tanggung jawab, kebijakan internal, dokumentasi prosedur, serta mekanisme komunikasi dan pemantauan. Semua elemen itu disusun untuk memastikan bahwa pengendalian atas pelaporan keuangan tidak hanya ada, tapi juga relevan dan terukur.
(Sumber: COSO)

2. Implementasi & Operasi: Gunakan COBIT untuk ITGC dan Kontrol Aplikasi

Begitu kontrol dirancang, tahap berikutnya adalah eksekusi di lapangan—dan di sinilah COBIT mengambil peran penting. Melalui COBIT, organisasi memilih proses, praktik, dan metrik TI yang paling sesuai dengan kebutuhan pelaporan keuangan.

Fokus utamanya adalah IT General Controls (ITGC), seperti:

  • Pengendalian akses pengguna ke sistem keuangan,
  • Proses manajemen perubahan aplikasi,
  • Operasi layanan TI (backup, pemulihan, pemantauan sistem).

COBIT membantu memastikan bahwa semua kontrol ini tidak berdiri sendiri, melainkan terkoordinasi lintas fungsi dan terintegrasi ke dalam sistem tata kelola TI secara menyeluruh. Ini penting agar tidak terjadi fragmentasi—misalnya, bagian keuangan punya kontrol, tapi TI tidak memahami atau mendukungnya.
(Sumber: ISACA)

3. Monitoring & Perbaikan: Umpan Balik ke ICOFR

Siklus ini tidak berhenti di implementasi. Monitoring dan evaluasi terus-menerus adalah bagian penting dari sistem pengendalian yang hidup. SEC, dalam pedoman untuk perusahaan publik, mendorong pendekatan top-down dan berbasis risiko dalam menilai efektivitas ICOFR.

Organisasi perlu:

  • Menguji desain dan operasi setiap kontrol,
  • Mencatat dan menindaklanjuti setiap kelemahan atau ketidakefisienan,
  • Memperbarui dokumentasi dan proses sesuai perubahan sistem, risiko, atau struktur bisnis.

Dengan pemantauan seperti ini, integrasi COSO dan COBIT dalam ICOFR tetap relevan, adaptif, dan bisa menjawab tantangan baru—mulai dari digitalisasi proses keuangan hingga ancaman siber yang makin kompleks.

ERM-Implementation

ITGC yang Paling Relevan untuk ICOFR

Dalam dunia pelaporan keuangan yang semakin bergantung pada sistem digital, IT General Controls (ITGC) memainkan peran vital. Standar audit—termasuk dari PCAOB secara eksplisit menyoroti area-area kunci ITGC yang menjadi penopang keandalan laporan keuangan.

Intinya sederhana: sistem yang memproses data keuangan harus hanya diakses oleh pihak yang berwenang, berubah secara terkendali, dan beroperasi secara andal dari hari ke hari.

1. Manajemen Akses Pengguna

Salah satu pilar utama. Organisasi harus memastikan bahwa hanya individu yang berhak yang dapat mengakses sistem keuangan dan data sensitif. Elemen pentingnya mencakup:

  • Prosedur pemberian dan pencabutan akses (terutama saat karyawan masuk/keluar),
  • Segregation of duties (SOD) untuk mencegah konflik kepentingan atau potensi penyalahgunaan,
  • Pemantauan aktivitas pengguna berisiko tinggi, terutama yang memiliki hak untuk mengubah data atau konfigurasi sistem.

2. Manajemen Perubahan

Perubahan sistem, jika tidak dikendalikan, bisa menjadi sumber kesalahan besar dalam pelaporan. Karena itu, perubahan apa pun—baik sistem, konfigurasi, maupun kode program harus melalui proses yang jelas:

  • Persetujuan oleh pihak yang berwenang,
  • Pengujian untuk memastikan perubahan tidak mengganggu fungsi yang ada,
  • Penempatan ke lingkungan produksi secara terkendali, termasuk dokumentasi atas perubahan darurat.

3. Operasi TI & Pemrosesan Harian

Kegiatan harian di sistem keuangan harus dijalankan dengan disiplin dan akurasi. Area ini mencakup:

  • Prosedur standar untuk menjalankan proses (batch job, transaksi, laporan),
  • Pemantauan terhadap job yang gagal atau tertunda,
  • Penanganan insiden yang cepat dan terdokumentasi,
  • Praktik “housekeeping” sistem, seperti pengelolaan log, arsip, dan kapasitas penyimpanan.

Tujuannya jelas: semua transaksi harus diproses lengkap dan tepat waktu, tanpa tertinggal atau duplikasi.

4. Keamanan Data & Integritas Pencatatan

Kontrol ini memastikan bahwa data tidak hanya aman dari gangguan eksternal, tapi juga terlindungi dari perubahan yang tidak sah. Ini termasuk:

  • Pencegahan kehilangan data (data loss prevention),
  • Proteksi terhadap penghapusan atau manipulasi catatan keuangan,
  • Mekanisme backup dan pemulihan yang diuji secara berkala.

Dengan kontrol ini, organisasi bisa menjaga integritas catatan dan memastikan pelaporan keuangan tetap akurat meskipun terjadi gangguan sistem.

Checklist Prosedur dan Dokumen Kunci

Gunakan daftar berikut untuk memastikan program icofr coso cobit itgc Anda terstruktur dan siap audit.

ElemenTujuanDokumen yang perlu siap
Pernyataan tujuan ICOFRMenetapkan ruang lingkup dan akuntabilitasCharter ICOFR, peran dan struktur komite
Penilaian risiko top downMenentukan area pelaporan keuangan yang paling materialRisk assessment, matriks materialitas, scoping unit dan aplikasi keuangan
Desain kontrol berbasis COSOMenyelaraskan komponen dan prinsip COSO ke proses pelaporanPemetaan prinsip COSO ke kontrol proses, kebijakan dan SOP
Implementasi COBIT dan ITGCMemastikan kontrol TI menyokong akurasi dataDaftar ITGC, RACI per kontrol, bukti operasional, log akses dan perubahan
Pengujian efektivitasMengevaluasi desain dan operasi kontrolRencana uji, sampel bukti, hasil pengujian, temuan dan remediasi
Pelaporan manajemen dan auditMenutup lingkar umpan balik dan perbaikan berkelanjutanLaporan manajemen atas ICOFR, action plan, evaluasi perubahan kuartalan

Kesimpulan

Gambar segitiga ICOFR–COSO–COBIT mengajak kita fokus pada general framework. Mulailah dengan prinsip COSO untuk merancang kontrol, terapkan COBIT guna membumikan tata kelola dan pengendalian TI, dan pastikan ITGC menjadi landasan operasi aplikasi keuangan. Lakukan evaluasi top down berbasis risiko, ujilah efektivitas, dan remediasi kekurangan agar program icofr coso cobit itgc menjadi budaya, bukan proyek sesaat.

About RWI
RWI Consulting adalah perusahaan konsultan manajemen risiko yang berdiri sejak tahun 2005. Selama belasan tahun ini, kami telah berkomitmen untuk memberikan layanan terbaik kepada ratusan klien dari berbagai sektor industri baik BUMN maupun swasta untuk memberikan solusi yang tepat dalam mengidentifikasi, mengelola, dan mengatasi risiko yang dihadapi perusahaan.
Services Client Story

Related posts

Apa itu Risk Appetite dan Risk Tolerance di Perusahaan? Mengapa Manajemen Risiko Penting?Mengapa Manajemen Risiko Penting? manajemen risiko audit internalManajemen Risiko dalam Audit Internal: Peran dan Hubungan dengan Fungsi Kepatuhan
View All

Our Services

Enterprise Risk Management Implementation Business Continuity Management System Risk Maturity Index Assessment Risk Dashboard Risk Assessment & Profiling Risk Early Warning System Risk Awareness & Competency Building

Butuh Bantuan?

Hubungi konsultan profesional kami di:

+62 811 939 118

atau

[email protected]
Call Us
Top