COSO ERM – Integrated Framework 2004
Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse
Coopers memulai proyek untuk mengembangkan sebuah kerangka kerja
manajemen risiko yang dapat digunakan untuk mengevaluasi dan meningkatkan
efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan
dirilisnya COSO ERM – Integrated Framework, yang mendefinisikan
manajemen risiko sebagai:
“Proses yang dipengaruhi oleh Board of
Directors, manajemen, dan personil lain dalam entitas, diaplikasikan pada
pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk
mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan
mengelola risiko selaras dengan risk appetite entitas, untuk
menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas.”
Dalam kerangka manajemen risikonya, COSO ERM menuntut
perusahaan untuk dapat menentukan terlebih dahulu sasaran perusahaannya, yang
terdiri dari empat kategori yaitu:
1.
Strategis: sasaran yang mendukung dan selaras dengan
misi perusahaan.
2.
Operasi: efektivitas dan efisiensi dari penggunaan
sumber daya perusahaan.
3.
Pelaporan: keterpercayaan dari pelaporan.
4.
Pemenuhan: pemenuhan terhadap hukum dan regulasi yang
berlaku.
1.
Lingkungan
internal
Mengidentifikasi
kondisi internal perusahaan, meliputi kekuatan dan kelemahannya, serta
pandangan entitas terhadap risiko dan manajemen risiko.
2.
Penetapan sasaran
Sasaran
kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan, serta
konsisten dengan risk appetite perusahaan.
3.
Identifikasi kejadian
Kejadian
internal dan eksternal yang dapat mempengaruhi pencapaian sasaran perusahaan
harus diidentifikasi, meliputi risiko dengan kesempatan yang dapat muncul.
4.
Penilaian risiko
Risiko
dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan
dijadikan dasar untuk menentukan perlakuan risiko.
5.
Perlakuan risiko
Terdapat
empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance),
menerima (acceptance), mengurangi (reduction), dan membagi risiko (sharing).
Pemilihan perlakuan risiko dilakukan dengan membandingkan hasil analisis risiko
dengan risk appetite dan risk tolerance.
6.
Aktivitas pengendalian
Membangun
dan mengimplementasikan kebijakan dan prosedur untuk memastikan perlakuan
risiko diterapkan dengan efektif.
7.
Informasi dan komunikasi
Informasi
yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan
waktu yang tepat agar personil dapat melakukan tanggung jawabnya dengan baik.
8.
Pemantauan
Seluruh kegiatan
ERM harus dipantau, dievaluasi dan dikembangkan.
Gambar 1. Ilustrasi keterkaitan
sasaran, komponen ERM, dan unit kerja perusahaan
COSO ERM – Integrated Framework juga mendeskripsikan
peran dan tanggung jawab dari unit-unit kerja perusahaan dalam penerapan
manajemen risiko. Satu prinsip dasar yang ditanamkan COSO ERM adalah bahwa
“semua bagian di dalam perusahaan memiliki tanggung jawab terhadap ERM”, yang
artinya implementasi manajemen risiko harus mencakup entity-level, division,
business unit, hingga subsidiary, dan mencakup seluruh seluruh
sumber daya manusia di dalamnya. Walau begitu, terdapat pembagian peran dan
tanggung jawab dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung
jawab yang dijelaskan COSO ERM:
·
Board of Directors (BoD) memiliki tanggung jawab
penting dalam melakukan pemantauan terhadap penerapan manajemen risiko, dengan
turut memperhitungkan risk appetite dari entitas;
·
Chief Executive Officer (CEO)
memiliki tanggung jawab untuk memastikan berjalannya ERM yang efektif pada
keseluruhan perusahaan;
·
Manajer memiliki tanggung jawab dalam mendukung
penerapan prinsip ERM perusahaan, memastikan pemenuhan ERM dengan risk
appetite, dan mengelola risiko di ranah kewenangannya agar konsisten
dengan risk tolerance yang dimilikinya;
·
Risk officer, financial officer, dan
internal audit memiliki peran kunci dalam mendukung efektivitas penerapan
manajemen risiko perusahaan;
·
Petugas operasional (atau biasa disebut risk
coordinator) bertanggung jawab dalam menerapkan manajemen risiko perusahaan
sejalan dengan prosedur dan kebijakan manajemen risiko perusahaan;
·
Pihak eksternal (seperti pelanggan, kompetitor,
otoritas, dan pihak yang berperan dalam value chain perusahaan)
tidak memiliki tanggung jawab dalam memastikan efektivitas ERM dari entitas,
tetapi pihak-pihak tersebut berperan penting dalam menyediakan informasi yang
dapat mendukung efektivitas manajemen risiko.
ISO 31000: 2009 Risk Management – Principles and
Guidelines
ISO 31000: 2009 Risk Management – Principles
and Guidelines merupakan sebuah standar internasional yang disusun
dengan tujuan memberikan prinsip dan panduan generik untuk penerapan manajemen
risiko. Standar internasional yang diterbitkan pada 13 November 2009 ini dapat
digunakan oleh segala jenis organisasi dalam menghadapi berbagai risiko yang
melekat pada aktivitas mereka. Walau ISO 31000: 2009 menyediakan panduan
generik, standar ini tidak ditujukan untuk menyeragamkan manajemen risiko
lintas organisasi, tetapi ditujukan untuk memberikan standar pendukung
penerapan manajemen risiko dalam usaha memberikan jaminan terhadap pencapaian
sasaran organisasi. ISO 31000: 2009 menyediakan prinsip, kerangka kerja, dan
proses manajemen risiko yang dapat digunakan sebagai arsitektur manajemen
risiko dalam usaha menjamin penerapan manajemen risiko yang efektif.
Gambar 2. Hubungan Antara Prinsip,
Kerangka Kerja, dan Proses Manajemen Risiko
Sumber: ISO 31000: 2009 Risk
Management – Principles and Guidelines
Prinsip manajemen risiko merupakan fondasi dari
kerangka kerja dan proses manajemen risiko. Terdapat sebelas prinsip manajemen
risiko yang harus dipegang teguh dan diterapkan saat membangun kerangka kerja
dan melakukan implementasi proses manajemen risiko. Kesebelas prinsip tersebut
adalah
1. Memberikan
nilai tambah dan melindungi nilai organsasi;
2. Bagian
terpadu dari seluruh proses organisasi;
3. Bagian dari
pengambilan keputusan;
4. Secara
khusus menangani ketidakpastian;
5. Sistematis, terstruktur,
dan tepat waktu;
6. Berdasarkan
informasi terbaik yang tersedia;
7. Disesuaikan
dengan kebutuhan organisasi;
8. Mempertimbangkan
faktor budaya dan manusia;
9. Transparan
dan inklusif;
10. Dinamis,
berulang, dan responsif terhadap perubahan;
11. Memfasilitasi
perbaikan sinambung dan peningkatan organisasi.
Kerangka kerja manajemen risiko merupakan struktur
pembangun proses manajemen risiko. Kerangka kerja dimulai dengan pemberian
mandat dan komitmen, lalu dilanjutkan dengan kerangka implementasi “Plan,
Do, Check, Act”, yang terdiri dari:
1. Perencanaan
kerangka kerja manajemen risiko;
2. Penerapan
manajemen risiko;
3. Monitoring
dan review terhadap kerangka kerja manajemen risiko;
4. Perbaikan
kerangka kerja manajemen risiko secara berkelanjutan.
Proses manajemen risiko merupakan kegiatan kritikal
dalam manajemen risiko, karena merupakan penerapan daripada prinsip dan
kerangka kerja yang telah dibangun. Proses manajemen risiko terdiri dari 5
proses besar yaitu:
1. Komunikasi
dan konsultasi;
2. Penetapan
konteks;
3. Penilaian
risiko (terdiri dari identifikasi, analisis, dan evaluasi risiko);
4. Perlakuan
risiko;
5. Monitoring
dan review.
Implementasi secara mendetail dan menyeluruh pada
prinsip, kerangka kerja dan proses manajemen risiko berdasarkan ISO 31000: 2009
tersebut diharapkan dapat meningkatkan efektivitas manajemen risiko
organisasi.
Keunggulan dan Kelemahan dari COSO ERM – Integrated
Framework dan ISO 31000: 2009 Risk Management – Principles and
Guidelines
Menyadari perbedaan yang ada pada COSO ERM – Integrated
Framework dan ISO 31000: 2009 Risk Management – Principles and
Guidelines, tentunya terdapat keunggulan dan kelemahan tersendiri dari
kedua standar ini. Berikut adalah tabel yang menggambarkan perbedaan serta
keunggulan dan kelemahan dari kedua standar tersebut.
Perbedaan
|
COSO ERM – Integrated Framework
|
ISO 31000: 2009 Risk Management– Principles
and Guidelines
|
Definisi risiko
|
"Kemungkinan
terjadinya sebuah event yang dapat mempengaruhi pencapaian sasaran
entitas."
Menurut Grant Purdy, seorang praktisi manajemen risiko veteran di Melbourne, definisi ini gagal menangkap potensi risiko yang dapat muncul akibat perubahan kondisi yang terjadi secara perlahan. |
"Efek
dari ketidakpastian terhadap pencapaian sasaran organisasi."
|
Definisimanajemen risiko
|
“Proses
yang dipengaruhi oleh Board of Directors, manajemen, dan personil
lain dalam entitas, diaplikasikan pada pembentukan strategi dan pada seluruh
bagian perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang
dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk
appetite entitas, untuk menyediakan jaminan yang wajar terhadap
pencapaian sasaran dari entitas.”
|
"Aktivitas-aktivitas
terkoordinasi yang dilakukan dalam rangka mengelola dan mengontrol sebuah
organisasi terkait dengan risiko yang dihadapinya."
|
Komponen manajemen risiko
|
Proses
dan kerangka kerja manajemen risiko tidak dipaparkan secara terpisah. Menurut
Grant Purdy hal ini dapat menimbulkan kebingungan dan inefektivitas terhadap
manajemen risiko, dimana kerangka kerja seharusnya dirancang pada top
level management, sedangkan proses manajemen risiko seharusnya diterapkan
pada proses-proses organisasi. Standar ini menekankan pada pengembangan
pengendalian internal sebagai upaya perusahaan dalam mengelola risiko.
|
Memaparkan
kerangka kerja dan proses manajemen risiko secara terpisah. ISO 31000: 2009
juga menyediakan prinsip manajemen risiko yang harus diterapkan dalam
kerangka kerja dan proses untuk mendukung efektivitas manajemen risiko.
Standar ini menekankan penerapan manajemen risiko sebagai alat penciptaan dan
pelindung nilai organisasi.
|
Awal proses manajemen risiko
|
Dimulai
dengan menetapkan sasaran perusahaan yang terdiri dari empat kategori yaitu
strategis, operasi, pelaporan, dan pemenuhan.
|
Dimulai
dengan membangun konteks untuk mengidentifikasi kondisi internal, kondisi
eksternal, konteks manajemen risiko, dan kriteria risiko.
|
Identifikasi konteks eksternal
|
Sedikit
dilakukan.
|
Dilakukan
secara menyeluruh.
|
Komponen proses manajemen risiko
|
Terdiri
dari 8 komponen, yaitu:
(1) identifikasi lingkungan internal; (2) penetapan sasaran manajemen risiko; (3) identifikasi kejadian; (4) penilaian risiko, perlakuan risiko; (5) aktivitas pengendalian; (6) informasi dan komunikasi; (7) dan pemantauan. |
Terdiri
dari lima komponen besar, yaitu:
(1) komunikasi dan konsultasi; (2) membangun konteks; (3) penilaian risiko; (4) perlakuan risiko; dan (5)monitoring dan review. |
Pengertian inherent risk
|
Inherent
risk diartikan sebagai eksposur perusahaan terhadap
risiko secara utuh. (dampak dari existing control tidak
diperhitungkan)
|
Inherent
risk diartikan sebagai eksposur perusahaan terhadap
risiko setelah dilakukan pengendalian internal.
|
Prinsip manajemen risiko
|
Tidak ada.
|
Tersedia
dan menjadi hal yang harus diterapkan pada kerangka kerja dan proses
manajemen risiko untuk mendukung efektivitas penerapan manajemen risiko.
|
Perbaikan berkelanjutan
|
Perbaikan
hanya dilakukan apabila diperlukan, berdasarkan hasil pemantauan.
|
Memfasilitasi
perbaikan berkelanjutan pada keseluruhan kerangka kerja dan proses manajemen
risiko, sesuai dengan kebutuhan organisasi dan perkembangan konteks.
|
Penyaluran Informasi
|
Informasi
hanya dikomunikasikan kepada pelaku manajemen risiko untuk mendukung
pencapaian sasaran unit-unit tersebut. Keterlibatan stakeholders eksternal
tidak diungkapkan pada standar ini.
|
Informasi
mengenai risiko dan manajemen risiko dikomunikasikan dan dikonsultasikan
dengan seluruh stakeholders perusahaan, baik internal maupun
eksternal (sesuai prinsip “transparan dan inklusif”). Keterlibatan
stakeholders diperlukan untuk mengidentifikasi kepentingan seluruh pihak agar
menjadi bahan pertimbangan pengambilan keputusan.
|
Aspek manusia dan budaya
|
Aspek
manusia disebutkan sebagai batasan dari manajemen risiko dalam memberikan
jaminan terhadap pencapaian sasaran organisasi.
|
Memperhitungkan
aspek manusia dan budaya ke dalam manajemen risiko (prinsip “mempertimbangkan
faktor budaya dan manusia”). Penerapan manajemen risiko turut mempertimbangkan
kultur, persepsi, dan kapabilitas manusia, termasuk memperhitungkan
perselisihan kepentingan antara organisasi dengan individu di dalamnya.
|
Perbedaan yang melekat pada kedua rujukan ini membawa
keunggulan dan kelemahan tersendiri pada COSO ERM – Integrated
Framework dan ISO 31000: 2009 Risk Management – Principles and
Guidelines dari hasil pengamatan penulis, standar ISO 31000: 2009 memiliki
keunggulan esensial dalam memberikan panduan yang lebih mendetail dan
komprehensif. Keberadaan prinsip manajemen risiko, penetapan konteks eksternal,
dan pemisahan antara kerangka kerja dengan proses manajemen risiko menjadi
keunggulan kompetitif yang dimiliki oleh ISO 31000: 2009. Fakta bahwa standar
ISO 31000: 2009 telah diakui dan diadaptasi sebagai standar manajemen risiko di
hingga 40 negara juga menunjukkan bahwa ISO 31000: 2009 telah bertahan dari uji
kelayakan oleh berbagai negara. Namun pada akhirnya, dalam memilih standar
terbaik untuk diimplementasikan, keunikan pada kedua standar tersebut perlu
dipertimbangkan dan disesuaikan dengan sasaran, karakteristik, dan regulasi
yang berlaku pada organisasi. Dalam penerapannya, organisasi juga dapat
mengadaptasi dan mengkombinasikan komponen-komponen tertentu pada kedua rujukan
tersebut untuk membangun sistem manajemen risiko tersendiri yang efektif bagi
organisasinya.
Daftar Pustaka
·
International Standard for Organization (ISO)
31000:2009 Risk Management – Principles and Guidelines.
·
COSO Enterprise Risk Management (ERM) – Integrated
Framework (Executive Summary). Diunduh dari http://www.coso.org/publications/erm/coso_erm_executivesummary.pdf
·
10 Reasons not to Like the COSO ERM Framework. Norman
Marks on Governance, Risk Management, and Audit. http://normanmarks.wordpress.com/2011/02/21/10-reasons-not-to-like-the-c...
·
Comparing the COSO ERM Framework with ISO31000.
Linkedin Discussion (dimulai oleh Alex Dali, President at Global Institute for
Risk Management Standards - G31000). Diunduh dari http://www.linkedin.com/groups/Comparing-COSO-ERM-Framework-ISO-1834592....
COBIT (Control Objectives for Information and Related
Technology)
COBIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna
(user), dan manajemen, untuk menjembatani gap antara risiko bisnis,
kebutuhan control dan masalah-masalah teknis IT (Sasongko, 2009). COBIT
mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur
keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa
TI memungkinkan bisnis, memaksimalkan keuntungan, resiko IT dikelola secara
tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan
Sarno, 2010).
Frame Work COBIT
COBIT membagi tahapan pengelolaan
IT ke dalam 4 domain yaitu Planning
and Organisation, Acquisition
& Implementation, Delivery
& Support, dan Monitoring
and Evaluation (Bowen, Paul
L, dkk, 2007; Naser Eslami, dkk, 2008; Sarno dan Anisah, 2010; Musa, Ahmad,
2009, Suryani, 2009).
COBIT digunakan untuk membantu manajemen senior,
pemilik proses bisnis, user, dan auditor dalam memahami dan mengelola resiko
yang berhubungan dengan teknologi informasi dalam suatu kebijakan yang jelas.
COBIT juga mendukung pengelolaan dalam penataan
teknologi informasi dengan menyediakan kerangka kerja untuk mengatur
keselarasan teknologi informasi dengan bisnis.
Kerangka kerja tersebut juga berguna untuk
menghasilkan keuntungan yang maksimal, resiko dikelola secara tepat, dan sumber
daya digunakan secara bertanggungjawab.
COBIT mengelompokkan semua
aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi
ke dalam empat buah domain proses tersebut, meliputi:
- Planning & Organisation.
Domain ini menitikberatkan pada proses perencanaan dan
penyelarasan strategi TI dengan strategi perusahaan, mencakup
masalah strategi, taktik dan identifikasi cara terbaik IT untuk memberikan
kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi. Domain ini
mencakup:
1) PO1–Menentukan Rencana
Strategis
2) PO2–Menentukan Arsitektur
Informasi
3) PO3–Menentukan arah
teknologi
4) PO4–Menentukan proses IT,
organisasi dan hubungannya
5) PO5–Mengelola Investasi IT
6) PO6–Mengkomunikasikan
Tujuan dan Arahan Managemen
7) PO7–Mengelola Sumberdaya
Manusia
8) PO8–Mengelola Kualitas
9) PO –Menilai dan Mengelola
Resiko IT
10) PO10–Mengelola Proyek
- Acquisition & Implementation.
Domain ini berkaitan dengan implementasi solusi IT dan
integrasinya dalam proses bisnis organisasi, juga meliputi perubahan dan
perawatan yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur
hidup sistem tersebut tetap terjaga. Domain ini meliputi:
11)
AI1–Mengidentifikasi solusi yang dapat diotomatisasi.
12) AI2–Mendapatkan dan Memelihara
Software Aplikasi.
13) AI3–Mendapatkan dan Memelihara
infrastuktur teknologi
14) AI4–Mengaktifkan operasi dan
penggunaan
15) AI5–Menyediakan sumber daya IT.
16) AI6–Mengelola perubahan
17) AI7–Instalasi dan akreditasi solusi
dan perubahan.
- Delivery & Support.
Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem,
kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan
proses data yang sedang berjalan. Domain ini meliputi:
18) DS1 – Menentukan dan mengelola tingkat layanan.
19) DS2 – Mengelola layanan dari pihak
ketiga
20) DS3 – Mengelola performa dan
kapasitas.
21) DS4 – Menjamin layanan yang
berkelanjutan
22) DS5 – Menjamin keamanan sistem.
23) DS6 – Mengidentifikasi dan
mengalokasikan dana.
24) DS7 – Mendidikan melatih pengguna
25) DS8–Mengelola service desk dan
insiden.
26) DS9–Mengelola konfigurasi.
27) DS10–Mengelola Permasalahan.
28) DS11–Mengelola data
29) DS1 –Mengelola lingkungan fisik
30) DS13–Mengelola operasi.
- Monitoring and Evaluation
Domain ini berfokus pada masalah kendali-kendali yang diterapkan
dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari
proses pemeriksaan yang dilakukan. Domain ini meliputi:
31) ME1 – Mengawasi dan mengevaluasi
performansi IT.
32) ME2 – Mengevaluasi dan mengawasi
kontrol internal
33) ME3–Menjamin kesesuaian dengan
kebutuhan eksternal.
34) ME4–Menyediakan IT Governance.
Seluruh tahapan COBIT yang terbagi
dalam 4 domain dan 34 proses (Cobit Framework)
tersebut, ditunjukkan
pada Gambar 1, sebagai berikut:
Gambar 1. Cobit Framework
(Sumber: IT Governance Institute,
2007)
COBIT Maturity Model
COBIT menyediakan parameter untuk
penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan
menggunakan maturity models yang bisa digunakan untuk penilaian
kesadaran pengelolaan (management
awareness) dan
tingkat kematangan (maturity level). COBIT mempunyai model kematangan
(maturity models) untuk mengontrol proses-proses IT dengan menggunakan
metode penilaian (scoring) sehingga suatu organisasi dapat menilai
proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial, 2:
Repetable, 3: Defined, 4: Managed dan 5: Optimized (Purwanto dan Saufiah, 2010;
Setiawan, 2008; Nurlina dan Cory, 2008).
Model kematangan (maturity models)
tersebut seperti terlihat dalam Gambar 2 berikut:
Gambar 2: Maturity Model
(Sumber: IT Governance Institute,
2007)
COBIT Quickstart
COBIT Quickstart didasarkan pada pilihan tujuan proses
dan kontrol COBIT 4.1. Hasilnya adalah versi sederhana yang mencakup
seperangkat proses-proses dan praktek manajemen yang terbatas. Quickstart juga menyediakan versi sederhana dari Responsible, Accountable, Consulted dan Informed (RACI). Perusahaan dapat
menggunakannya sebagai baseline tanpa modifikasi, atau menggunakannya sebagai
titik awal untuk membangun praktik manajemen dan teknik pengukuran yang lebih
rinci (IT Goverment Institute, 2007).
COBIT Quickstart baseline terdiri dari 32 proses,
tujuan pengendalian, grafik RACI dan metrik kunci, disajikan dalam tampilan
yang mudah dibaca, bahasa tabular dan non-teknis, untuk mendorong adopsi yang
cepat dan mengurangi perdebatan dan diskusi. Karena dasar, Quickstart pada umumnya dianggap rasional untuk
mengelola dan mengendalikan secara minimum.
Referensi
:
1. Hapzi Ali, 2017, Modul Perkuliahan Sistem
Informasi dan Pengendalian Internal, Membandingkan Kerangka Pengendalian
Internal : 1. Coso Internal Control Integrated Framework, 2. COSO Enterprise
Risk Management, 3. COBIT, Universitas Mercu Buana.
2. Charvin Kusuma (2014) http://crmsindonesia.org/knowledge/crms-articles/perbandingan-coso-erm-integrated-framework-dengan-iso31000-2009-risk-managem
( diakses 15 Mei 2017)
3. Edy
Haryanto, S. Pd., M.T. (2012) http://edyhr.guru-indonesia.net/artikel_detail-18622.html
(diakses tanggal 18 Mei 2017)
4. Ririh Sayekti (2017), http://ririhsayekti.blogspot.co.id/2017/05/si-pi-ririh-sayekti-hapzi-ali.html.
(diakses 18 Mei 2017)
bagus sekali buat belajar kak
BalasHapusjual selongsong sosis