WHAT IS COSO ?
COSO
The Committee of Sponsoring Organizations of the Treadway
Commission’s (COSO) didirikan pada tahun 1985, yang merupakan aliansi dari lima
organisasi profesi diantaranya :
Ø Financial Executives International (FEI)
Ø The American Accounting Association (AAA)
Ø The American Institute of Certified
Public Accountants (AICPA)
Ø The Institute of Internal Auditors (IIA)
Ø The Institute of Management Accountants (IMA) (formerly the
National Association of Accountants).
Misi utama dari
COSO adalah “Memperbaiki/meningkatkan kualitas laporan keuangan entitas
melalui etika bisnis, pengendalian internal yang efektif, dan corporate
governance.”
Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO
mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian
internal. Pada tehun 1992, telah diselesaikan studi tersebut dengan memperkenalkan
sebuah “kerangka kerja pengendalian internal” yang akhirnya menjadi sebuah
pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar,
organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk
mengukur efektifitas pengendalian internal mereka.
Kerangka
Kerja Pengendalian Internal (Internal Control-Integrated Framework)
Dua tujuan utama dari laporan COSO adalah
(1) untuk menetapkan definisi umum pengendalian internal yang
melayani berbagai pihak,
(2) menyediakan standar terhadap organisasi yang dapat
menilai sistem pengendalian dan menentukan cara untuk meningkatkan/memperbaiki
sistem tersebut.
Definisi
Pengendalian Internal COSO
“suatu proses, yang dipengaruhi oleh dewan komisaris,
manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk
memberikan keyakinan/jaminan yang wajar berkaitan dengan pencapaian tujuan
dalam beberapa kategori”.
Kategori-kategori dalam pencapaian tujuan Pengendalian
Internal
Ø Efektivitas dan efisiensi operasi
Ø Keandalan laporan keuangan
Ø Kepatuhan terhadap hukum dan peraturan yang berlaku
Laporan ini menekankan bahwa sistem pengendalian internal
merupakan alat/perangkat dari manajemen dan bukan pengganti manajemen. Jadi
manajemen dan sistem pengendalian seharusnya dibentuk didalam kegiatan operasi.
Definisi
COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen,
dan staff, untuk membuat reasonable assurance mengenai:
Ø Efektifitas dan efisiensi operasional
Ø Reliabilitas pelaporan keuangan
Ø Kepatuhan atas hukum dan peraturan yang berlaku
COSO menekankan Pengendalian Internal sebagai suatu “proses”
yang merupakan bagian tidak terpisahkan dari aktivitas bisnis entitas yang
berkelanjutan (on going business activities). Untuk tujuan pelaporan manajemen
kepada publik.
Pengendalian Internal terkait penjagaan asset dari
pengambilan, penggunaan, atau penghilangan yang tidak terotorisasi adalah suatu
proses yang dipengaruhi oleh dewan komisaris, manajemen, dan personil
lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan
yang wajar berkaitan dengan pencegahan atau deteksi dini terhadap pengambilan,
penggunaan, atau penghilangan yang tidak terotorisasi terhadap asset entitas
sehingga dapat memberikan pengaruh/efek yang material terhadap laporan
keuangan.
Pihak
yang terlibat
Didalam dokumen COSO dikatakan bahwa pihak-pihak yang
terlibat dalam Pengendalian Internal adalah dewan komisaris, manajemen, dan
pihak-pihak lainnya yang mendukung pencapaian tujuan organisasi. Serta
menyatakan bahwa tanggung jawab atas penetapan, penjagaan, dan pengawasan
sistem Pengendalian Internal adalah tanggung jawab manajemen.
Tujuan
Pengendalian Internal bagi Organisasi
Asumsi COSO, bahwa entitas telah menetapkan sendiri tujuan
dari aktivitas operasinya. Namun COSO mengidentifikasikan tiga tujuan
utama dari entitas, antara lain :
Ø Efektivitas dan efisiensi operasi
Ø Keandalan laporan keuangan
Ø Kepatuhan terhadap hukum dan peraturan yang berlaku
Komponen
yang saling terkait dalam internal control menurut COSO framework, yaitu:
COSO mengidentifikasi Sistem Pengendalian Internal yang
efektif meliputi lima komponen yang saling berhubungan untuk
mendukung pencapaian tujuan entitas, yaitu:
(a)
Lingkungan Pengendalian (Control Environment)
Pondasi dari
komponen lainnya dan meliputi beberapa faktor diantaranya :
Integritas dan Etika
Ø Komitmen untuk meningkatkan kompetensi
Ø Dewan komisaris dan komite audit
Ø Filosofi manajemen dan jenis operasi
Ø Kebijakan dan praktek sumber daya manusia
COSO menyediakan pedoman untuk mengevaluasi tiap faktor yang
ada. Misal, filosofi manajemen dan jenis operasi dapat dinilai dengan cara
menguji sifat dari penerimaan risiko bisnis, frekuensi interaksi dari tiap
subordinat, dan pengaruhnya terhadap laporan keuangan.
(b)
Penilaian Risiko (Risk Assessment)
Terdiri dari identifikasi risiko dan analisis risiko. Identifikasi
risiko merupakan pengujian terhadap faktor-faktor eksternal seperti
perkembangan teknologi, persaingan, dan perubahan ekonomi. Factor internal
diantaranya kompetensi karyawan, sifat dari aktivitas bisnis, dan karakteristik
pengelolaan sistim informasi. Sedangkan Analisis Risiko dilakukan
dengan mengestimasi signifikansi risiko, menilai kemungkinan terjadinya risik,
dan bagaimana mengelola risiko tersebut.
(c)
Aktivitas Pengendalian (Control Activities)
Terdiri dari kebijakan dan prosedur yang
menjamin karyawan melaksanakan arahan manajemen. Aktivitas Pengendalian
meliputi review terhadap sistim pengendalian, pemisahan tugas, dan pengendalian
terhadap sistim informasi.
Pengendalian terhadap sistim informasi meliputi dua cara :
General controls,
mencakup kontrol terhadap akses, perangkat lunak, dan system development.
Application controls,
mencakup pencegahan dan deteksi transaksi yang tidak terotorisasi. Berfungsi
untuk menjamin completeness, accuracy, authorization and validity dari
proses transaksi yang terjadi.
(d)
Informasi dan komunikasi
Sistem yang memungkinkan orang atau entitas, memperoleh dan
menukar informasi yang diperlukan untuk melaksanakan, mengelola, dan
mengendalikan operasinya dan adanya jalan untuk dapat mengakses informasi dari
dalam dan luar, dengan mengembangkan strategi yang potensial dan sistem
terintegrasi, serta perlunya data yang berkualitas. Sedangkan diskusi mengenai komunikasi berfokus
kepada menyampaikan permasalahan Pengendalian Internal, dan mengumpulkan
informasi pesaing.
(e)
Pengawasan (Monitoring)
Sistem pengendalian internal perlu dipantau sepanjang waktu,
proses ini bertujuan untuk menilai mutu kinerja sistem sepanjang waktu. Ini
dijalankan melalui aktivitas pemantauan yang terus-menerus, evaluasi yang
terpisah atau kombinasi dari keduanya, melalui aktivitas yang berkelanjutan dan
melalui evaluasi yang ditujukan terhadap aktivitas atau area yang khusus.
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk
Management – Integrated Framework’, sebagai pengembangan COSO framework di
atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih dahulusebelum
manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi
dalam pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki
sebuah proses untuk menetapkan tujuan dan tujuan tersebut terkait serta
mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
3. Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal yang mempengaruhi
pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko
dan peluang yang dapat terjadi. Peluang dikembalikan kepada proses penetapan
strategi atau tujuan manajemen.
4. Penilaian Risiko (Risiko Assessment), Risiko dianalisis dengan memperhitungkan kemungkinan
terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan
pengelolaan risiko.
5. Respons Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima,
mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang
terjadi masih sesuai dengan toleransi dan risk appetite.
6. Kegiatan Pengendalian (Control Activities), kebijakan serta prosedur yang ditetapkan dan
diimplementasikan untuk membantu memastikan respons risiko berjalan dengan
efektif.
7. Informasi dan Komunikasi (Information and Communication), Informasi yang relevan diidentifikasi, ditangkap, dan
dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang
menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring),
Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu.
Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan
terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.
Fokus utama
COSO menyatakan Pengendalian Internal merupakan partisipasi
dari semua stakeholder (pemangku kepentingan) entitas yang meliputi
seluruh/semua area atau fungsi dari bisnis entitas.
Evaluasi keefektifan Pengendalian Internal
Meskipun COSO menekankan Pengendalian Internal sebagai suatu
“proses” namun keefektifan dari pelaksanaannya dinyatakan sebagai sebuah
kondisi dalam suatu titik waktu tertentu. Jika defisiensi Pengendalian Internal
telah dikoreksi/dibetulkan pada saat pelaporan, COSO menyetujui apabila laporan
manajemen pada pihak luar menyatakan bahwa Pengendalian Internal telah berjalan
efektif.
Bagaimana pelaporan masalah Pengendalian Internal
COSO menjelaskan bagaimana manajemen memperoleh dan mengolah
informasi jika terjadi defisiensi Pengendalian Internal. COSO merekomendasikan
kepada personil yang mengidentifikasi terjadinya defisiensi untuk segera
melaporkannya kepada atasan langsungnya, namun jika informasinya sensitif maka
perlu adanya jalur khusus penyampaian informasi.