PENDAHULUAN
Konsep pengendalian internal sudah ada
lebih dari 100 tahun, dan pertama kali dikenal dalam literatur formal tentang
audit pada tahun 1892 (Arwinge, 2013 dalam Sari,dkk, 2020). Tata kelola dan
pengendalian yang efektif terkait erat dengan penjagaan dan perlindungan aset.
Oleh karena itu, pengetahuan tentang pengendalian internal merupakan elemen
penting yang mempengaruhi kesejahteraan manajemen, direktur perusahaan,
pemegang saham, mitra dagang suatu entitas, auditor, dan masyarakat pada
umumnya (Sari,dkk, 2020).
Suatu sistem pengendalian internal bertujuan
untuk memberikan keyakinan memadai atas tercapainya tujuan organisasi melalui
kegiatan yang efektif dan efisien, keandalan pelaporan keuangan, pengamanan
aset negara, dan ketaatan terhadap peraturan. Bagian selanjutnya dari tulisan
ini menguraikan beberapa tonggak Sejarah perkembangan pengendalian internal
serta berbagai jenis kerangka kerja pengendalian internal.
BEBERAPA TONGGAK SEJARAH MUNCULNYA PENGENDALIAN INTERNAL
Pengendalian
internal muncul dari kebutuhan akan akuntabilitas yang diikuti dengan
perkembangan teknologi dan bisnis yang semakin kompleks. Berikut beberapa peristiwa
yang menjadi tonggak sejarah perkembangan pengendalian internal:
· Pada tahun 1939, Komisi Treadway (Treadway Commission)
dibentuk di Amerika Serikat untuk menyelidiki penipuan laporan keuangan
perusahaan. Komisi ini menyusun Laporan Treadway yang menyoroti kebutuhan untuk
pengendalian internal guna mencegah penipuan.
· Pada tahun 1977, Foreign Corrupt Practice Act (FCPA)
diberlakukan di Amerika Serikat untuk mengatasi praktik suap dan korupsi. Pada
saat yang sama, Statement on Auditing Standards (SAS) nomor 55 memberikan
panduan mengenai pengendalian internal kepada auditor.
· Pada tahun 1985, Committee of Sponsoring Organizations
(COSO) didirikan untuk meningkatkan kerangka kerja pengendalian internal. COSO
Internal Control - Integrated Framework pertama kali diterbitkan pada tahun
1992 dan menjadi acuan utama untuk sistem pengendalian internal.
· Pada pertengahan 1990-an, Information Systems Audit and
Control Association (ISACA) dan IT Governance Institute memperkenalkan Control
Objective for Information Technologies (COBIT) untuk membantu organisasi
mengelola dan mengendalikan risiko terkait teknologi informasi.
· Skandal
Enron pada tahun 2001 dan kebangkrutan perusahaan World.Com menyebabkan
kerugian besar bagi investor dan memunculkan kebutuhan untuk peningkatan pengendalian
internal. Sarbanes-Oxley Act (SOX) tahun 2002 diresmikan sebagai
tanggapan terhadap skandal tersebut dan menetapkan persyaratan ketat untuk
pengendalian internal dan pelaporan keuangan.
· Standar ISO 31000 tentang manajemen risiko diterbitkan pada
tahun 2009 dan memberikan panduan internasional untuk manajemen risiko.
· Pada tahun 2013, COSO merilis revisi terhadap kerangka kerja
pengendalian internalnya, yang dikenal sebagai COSO Framework 2013.
COSO
Kerangka kerja COSO tahun 1992 adalah
yang pertama menerapkan penggunaan “Piramida COSO” yang menjabarkan 5 prinsip
komponen pengendalian COSO, yaitu: (1) lingkungan pengendalian; (2) penilaian
risiko; (3) aktivitas pengendalian, (4) informasi dan komunikasi, dan (5) aktivitas
pemantauan. Dimulai dari bawah ke atas, di mana penyelesaian satu tingkat
secara alami mengarah ke penyelesaian tingkat berikutnya. Komponen-komponen ini
bekerja sama untuk mendukung misi manajemen risiko, strategi, dan seluruh
tujuan bisnis terkait perusahaan.
Piramida
COSO
Sumber:
collide.com, diolah
Pada tahun 2013, COSO melembagakan
pedoman baru, yang sekarang disebut sebagai COSO Framework 2013, yang
mengeluarkan tools baru untuk membantu perusahaan dalam merancang dan
menerapkan kerangka manajemen risiko. Pada tahap ini, piramida COSO sebelumnya diperbaharui
menjadi “Kubus COSO”.
Kerangka kerja yang diperbarui berkisar
pada 17 prinsip pengendalian internal berbeda yang termasuk dalam 5 kategori
asli piramida COSO. Dari 17 prinsip baru tersebut, terdapat 77 titik fokus;
karakteristik penting yang terkait dalam setiap prinsip dimaksudkan untuk
memberikan panduan yang berguna dalam merancang, menerapkan dan melaksanakan
pengendalian internal untuk memeriksa apakah prinsip-prinsip yang relevan ada
dan berfungsi.
COBIT
COBIT adalah suatu panduan
standar praktik manajemen teknologi informasi. COBIT memiliki 4 cakupan domain,
yaitu:
·
Perencanaan
dan organisasi (plan and organise)
·
Pengadaan
dan implementasi (acquire and implement)
·
Pengantaran
dan dukungan (deliver and support)
·
Pengawasan
dan evaluasi (monitor and evaluate)
Maksud
utama COBIT ialah menyediakan kebijakan yang jelas dan good practice
untuk tata kelola teknologi dan informasi (TI), membantu manajemen senior dalam
memahami dan mengelola risiko-risiko yang berhubungan dengan TI. COBIT
memberikan pedoman dan langkah-langkah untuk memanfaatkan sumber daya dan
proses TI secara efektif. COBIT juga menyediakan indikator kinerja kunci (Key
Performance Indicators - KPIs) yang membantu organisasi dalam mengukur dan
memantau kinerja TI mereka, serta memastikan bahwa pengendalian internal efektif.
COBIT
2019, yang terkini, diklaim sebagai kerangka kerja yang lebih umum,
komprehensif, dan fleksibel yang dapat digunakan oleh semua organisasi terlepas
dari ukuran atau tujuan utama dari penerapan COBIT dalam tata kelola TI organisasi.
ISO 31000
Standar ISO 31000 memberikan panduan umum bagi berbagai organisasi
untuk mengelola risiko dengan cara yang sistematis, terstruktur, dan terpadu. Kerangka
kerja ISO 31000 terdiri dari 3 (tiga) komponen utama:
·
Proses. Pendekatan siklus
terus-menerus yang meliputi identifikasi, analisis, evaluasi, perlakuan, dan
pemantauan risiko.
·
Struktur: Menetapkan
tanggung jawab, peran, dan akuntabilitas dalam manajemen risiko.
·
Kriteria dan Konteks:
Menentukan parameter dan kriteria yang akan digunakan untuk menilai risiko,
serta konteks organisasi yang harus dipertimbangkan.
ISO 31000 menekankan perlunya pemantauan dan
tinjauan terus-menerus terhadap efektivitas manajemen risiko, serta penyesuaian
yang diperlukan terhadap perubahan lingkungan.
NIST Cyber Security
Kerangka kerja pengendalian internal
NIST Cybersecurity (NIST CSF) adalah panduan yang diterbitkan oleh National
Institute of Standards and Technology (NIST) di Amerika Serikat. Tujuannya
adalah membantu organisasi untuk meningkatkan keamanan siber mereka dengan
memberikan struktur yang dapat diikuti untuk mengidentifikasi, melindungi,
mendeteksi, merespons, dan memulihkan diri dari ancaman keamanan. NIST CSF
didasarkan pada pendekatan berbasis risiko untuk mengelola keamanan siber.
Organisasi diminta untuk menilai risiko mereka, memprioritaskan perlindungan,
dan mengambil tindakan yang sesuai.
NIST CSF terdiri dari komponen utama
yang mencakup kegiatan yang harus dilakukan oleh organisasi untuk meningkatkan
keamanan siber:
·
Identify (Identifikasi). Yaitu mengidentifikasi
aset, ancaman, dan kerentanan yang berkaitan dengan keamanan siber.
·
Protect (Perlindungan). Yaitu mengimplementasikan
langkah-langkah perlindungan untuk mencegah atau mengurangi dampak dari ancaman
keamanan.
·
Detect
(Deteksi). Yaitu mendeteksi keberadaan ancaman keamanan secara cepat dan
efektif.
·
Respond
(Respons). Yaitu merespon insiden keamanan dengan cepat dan tepat.
·
Recover
(Pemulihan). Yaitu memulihkan layanan yang terkena dampak dari insiden keamanan
siber.
NIST CSF dirancang untuk dapat
disesuaikan dengan berbagai jenis organisasi, ukuran, dan industri. Ini
memungkinkan organisasi untuk menerapkan kerangka kerja sesuai dengan kebutuhan
dan lingkungan.
ITIL
Information Technology Infrastructure
Library (ITIL), adalah
kerangka kerja yang memberikan panduan tentang praktik manajemen layanan TI
terbaik. Meskipun ITIL tidak secara khusus menggambarkan kerangka kerja
pengendalian internal, tetapi ada beberapa praktik dalam ITIL yang relevan
dengan pengendalian internal, terutama dalam konteks manajemen layanan TI. Kerangka
kerja ITIL yang penting diantaranya:
·
Service
Strategy. Service
Strategy menjelaskan tujuan bisnis dan kebutuhan klien dengan menyelaraskan
tujuan dari dua komponen.
·
Service
Design. Service
Design menjelaskan praktik untuk membuat kebijakan, arsitektur, dan
dokumentasi TI perusahaan.
·
Service
Transition. Service Transition memberikan panduan
kepada manajemen selama perubahan dan memandu administrator TI melalui gangguan
dan perubahan di lingkungan kerja.
·
Service
Operation. Service
Operation menyediakan opsi untuk mengelola layanan IT untuk keperluan
harian, bulanan, dan tahunan.
·
Continual
Service Improvement. Continual
Service Improvement merupakan kerangka kerja yang mencakup cara
memperkenalkan peningkatan dan pembaruan kebijakan sebagai bagian dari proses
ITIL.
Meskipun
ITIL bukanlah kerangka kerja pengendalian internal yang spesifik, penggunaan
praktik-praktik ITIL dapat membantu organisasi dalam mengembangkan dan
menerapkan kontrol internal yang efektif dalam lingkungan TI mereka. Integrasi
ITIL dengan kerangka kerja pengendalian internal lainnya, seperti COSO atau
COBIT, dapat meningkatkan manajemen pengendalian internal secara keseluruhan.
KERANGKA KERJA PENGENDALIAN INTERNAL DI KEMENTERIAN
KEUANGAN
Sebagai bentuk pelaksanaan PP 60 tahun
2008 tentang Sistem Pengendalian Internal Pemerintah, Menteri Keuangan telah
menetapkan KMK nomor 940/KMK/2017 tentang Kerangka Kerja Penerapan Pengendalian
Intern dan Pedoman Pemantauan Pengendalian Intern di Lingkungan Keuangan, yang
selanjutnya diubah melalui KMK nomor 322/KMK.09/2021 tentang Kerangka Kerja
Penerapan Pengendalian Intern dan Pedoman Pemantauan Pengendalian Intern di
Lingkungan Keuangan. KMK terbaru mengkhususkan pengaturan Kerangka Kerja
Penerapan Pengendalian Intern saja agar penerapan sistem pengendalian intern
dapat lebih dipahami dan ditingkatkan oleh pimpinan dan seluruh pegawai.
Visualisasi Kerangka Kerja Pengendalian
Internal Kementerian Keuangan
Sumber:
Bahan pemaparan KMK-322/KMK.09/2021, Inspektorat Jenderal Kementerian Keuangan,
diolah
Berdasarkan gambar di atas,
terlihat bahwa Kementerian Keuangan mengadopsi COSO framework 2013 untuk
kerangka kerja pengendalian internalnya. Kementerian keuangan juga mengambil
konsep model tiga lini dalam kerangka kerja pengendalian internalnya, yaitu:
·
Lini
pertama (manajemen operasional), diantaranya bertugas merancang dan menerapkan Sistem
Pengendalian Intern (SPI);
·
Lini
kedua (Unit Kepatuhan Internal – UKI), diantara tugasnya adalah melaksanakan
pemantauan dan evaluasi atas penerapan SPI;
·
Lini
ketiga (Inspektorat Jenderal dan Satuan Pengawasan Intern Badan Layanan Umum –
SPI BLU), diantara tugasnya melakukan kegiatan asurans serta konsultasi atas
kecukupan rancangan dan efektivitas SPI.
PENUTUP
Dengan mengenal beberapa kerangka kerja
pengendalian internal, kita dapat memahami lebih dalam mengenai tujuan dan unsur-unsur
pengendalian internal. Struktur organisasi dan karakteristik bisnis organisasi
sangat mempengaruhi pemilihan kerangka kerja pengendalian internal untuk organisasi.
Seiring waktu, perkembangan teknologi,
kompleksitas bisnis, dan kebutuhan akan akuntabilitas yang lebih besar terus
mendorong evolusi kerangka kerja pengendalian internal. Organisasi dan regulasi
di seluruh dunia terus beradaptasi dengan perubahan lingkungan bisnis untuk
memastikan bahwa sistem pengendalian internal tetap relevan dan efektif
Referensi:
Sari, Laynita, Latersia Br Gurusinga,
dkk. 2020. Pengantar Akuntansi (Implementasi dalam Perusahaan). Media Sains
Indonesia.
Peraturan Pemerintah nomor 60 tahun 2008
tentang Sistem Pengendalian Intern Pemerintah
Keputusan Menteri Keuangan nomor 322/KMK.09/2021
tentang Kerangka Kerja Penerapan Sistem Pengendalian Intern di Lignkungan
Kementerian Keuangan
Keputusan Menteri Keuangan nomor 477/KMK.09/2021
tentang Pedoman Pemantauan Penerapan Sistem Pengendalian Intern di Lingkungan Kementerian
Keuangan
Bahan pemaparan KMK-322/KMK.09/2021 Kerangka
Kerja Penerapan Sistem Pengendalian Intern di Lingkungan Kementerian Keuangan,
Inspektorat Jenderal Kementerian Keuangan
https://muslimahbiru.blogspot.com/2014/06/sejarah-dan-perkembangan-pengendalian.html
diakses 7 Februari 2024
https://www.trintech.com/blog/coso-history-framework-principles-and-the-fault-in-the-implementation- foundation diakses 7 Februari 2024
https://id.wikipedia.org/wiki/COBIT diakses 7
Februari 2024
https://www.altha.co.id/insights/Apa-itu-COBIT-dan-Bagaimana-Perannya-dalam-Tata-Kelola-TI-di-Organisasi
diakses 20 Februari 2024
https://www.collidu.com/presentation-coso-pyramid
diakses 20 Februari 2024
https://lamanit.com/information-technology-infrastructure-library/
diakses 20 Februari 2024
https://www.techtarget.com/searchdatacenter/definition/ITIL
diakses 20 Februari 2024
Penulis: Januardo
S., Kepala Seksi Kepatuhan Internal pada KPKNL Lahat