The Committee of Sponsoring
Organizations of the Treadway Commission’s (COSO) didirikan pada tahun 1985,
yang merupakan aliansi dari lima organisasi profesi diantaranya
·
Financial
Executives International (FEI)
·
The
American Accounting Association (AAA)
·
The
American Institute of Certified Public Accountants
(AICPA)
·
The
Institute of Internal Auditors (IIA)
·
The
Institute of Management Accountants (IMA) (formerly the National Association of
Accountants).
Misi utama dari COSO adalah “Memperbaiki/meningkatkan
kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal
yang efektif, dan corporate governance.”
Untuk menindaklanjuti rekomendasi
dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk
mengevaluasi pengendalian internal. Pada tehun 1992, telah diselesaikan studi
tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal”
yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi,
regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka
kerja yang komprehensif untuk mengukur efektifitas pengendalian internal mereka.
Kerangka Kerja Pengendalian Internal (Internal
Control-Integrated Framework)
Dua tujuan utama dari laporan COSO
adalah (1) untuk menetapkan definisi umum pengendalian internal yang melayani
berbagai pihak, dan (2) menyediakan standar terhadap organisasi yang dapat
menilai sistem pengendalian dan menentukan cara untuk meningkatkan/memperbaiki
sistem tersebut.
Definisi Pengendalian Internal COSO
Suatu proses, yang dipengaruhi
oleh dewan komisaris, manajemen, dan personil lainnya dari sebuah entitas, yang
dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan
pencapaian tujuan dalam beberapa kategori”.
Kategori-kategori dalam pencapaian
tujuan Pengendalian Internal
·
Efektivitas
dan efisiensi operasi
·
Keandalan
laporan keuangan
·
Kepatuhan
terhadap hukum dan peraturan yang berlaku
COSO menekankan Pengendalian
Internal sebagai suatu “proses” yang merupakan bagian tidak terpisahkan dari
aktivitas bisnis entitas yang berkelanjutan (on going business activities).
Untuk tujuan pelaporan manajemen kepada publik.
Pengendalian Internal terkait
penjagaan asset dari pengambilan, penggunaan, atau penghilangan yang tidak
terotorisasi adalah suatu proses yang dipengaruhi oleh dewan komisaris,
manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk
memberikan keyakinan/jaminan yang wajar berkaitan dengan pencegahan atau
deteksi dini terhadap pengambilan, penggunaan, atau penghilangan yang tidak
terotorisasi terhadap asset entitas sehingga dapat memberikan pengaruh/efek
yang material terhadap laporan keuangan.
Pihak yang terlibat
Didalam
dokumen COSO dikatakan bahwa pihak-pihak yang terlibat dalam Pengendalian
Internal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yang
mendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawab
atas penetapan, penjagaan, dan pengawasan sistem Pengendalian Internal adalah
tanggung jawab manajemen.
Tujuan Pengendalian Internal bagi Organisasi
Asumsi
COSO, bahwa entitas telah menetapkan sendiri tujuan dari aktivitas operasinya.
Namun COSO mengidentifikasikan tiga tujuan utama dari entitas,
antara lain :
·
Efektivitas
dan efisiensi operasi
·
Keandalan
laporan keuangan
·
Kepatuhan
terhadap hukum dan peraturan yang berlaku
Komponen yang saling terkait dalam internal control menurut COSO
framework, yaitu:
COSO
mengidentifikasi Sistem Pengendalian Internal yang efektif meliputi lima
komponen yang saling berhubungan untuk mendukung pencapaian tujuan
entitas, yaitu:
a.
Lingkungan Pengendalian (Control Environment)
Pondasi dari
komponen lainnya dan meliputi beberapa faktor diantaranya :
Integritas
dan Etika
·
Komitmen
untuk meningkatkan kompetensi
·
Dewan
komisaris dan komite audit
·
Filosofi
manajemen dan jenis operasi
·
Kebijakan
dan praktek sumber daya manusia
COSO
menyediakan pedoman untuk mengevaluasi tiap faktor yang ada. Misal, filosofi
manajemen dan jenis operasi dapat dinilai dengan cara menguji sifat dari
penerimaan risiko bisnis, frekuensi interaksi dari tiap subordinat, dan
pengaruhnya terhadap laporan keuangan.
b.
Penilaian Risiko (Risk Assessment)
Terdiri
dari identifikasi risiko dan analisis risiko. Identifikasi risiko merupakan
pengujian terhadap faktor-faktor eksternal seperti perkembangan teknologi,
persaingan, dan perubahan ekonomi. Factor internal diantaranya kompetensi
karyawan, sifat dari aktivitas bisnis, dan karakteristik pengelolaan sistim
informasi. Sedangkan Analisis Risiko dilakukan dengan
mengestimasi signifikansi risiko, menilai kemungkinan terjadinya risik, dan
bagaimana mengelola risiko tersebut.
c.
Aktivitas Pengendalian (Control Activities)
Terdiri
dari kebijakan dan prosedur yang menjamin karyawan
melaksanakan arahan manajemen. Aktivitas Pengendalian meliputi review terhadap
sistim pengendalian, pemisahan tugas, dan pengendalian terhadap sistim
informasi.
Pengendalian
terhadap sistim informasi meliputi dua cara :
General controls, mencakup kontrol terhadap akses, perangkat lunak, dan system
development.
Application controls, mencakup pencegahan dan deteksi transaksi yang tidak terotorisasi.
Berfungsi untuk menjamin completeness, accuracy, authorization and
validity dari proses transaksi yang terjadi.
d.
Informasi dan komunikasi
Sistem
yang memungkinkan orang atau entitas, memperoleh dan menukar informasi yang
diperlukan untuk melaksanakan, mengelola, dan mengendalikan operasinya dan
adanya jalan untuk dapat mengakses informasi dari dalam dan
luar, dengan mengembangkan strategi yang potensial dan sistem terintegrasi,
serta perlunya data yang berkualitas. Sedangkan diskusi mengenai komunikasiberfokus
kepada menyampaikan permasalahan Pengendalian Internal, dan mengumpulkan
informasi pesaing.
e.
Pengawasan (Monitoring)
Sistem
pengendalian internal perlu dipantau sepanjang waktu, proses ini bertujuan
untuk menilai mutu kinerja sistem sepanjang waktu. Ini dijalankan melalui
aktivitas pemantauan yang terus-menerus, evaluasi yang terpisah atau kombinasi
dari keduanya, melalui aktivitas yang berkelanjutan dan melalui evaluasi yang
ditujukan terhadap aktivitas atau area yang khusus.
Di tahun
2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated
Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8
komponen dalam Enterprise Risk Management, yaitu:
1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective Setting), tujuan perusahaan harus ada
terlebih dahulusebelum manajemen dapat mengidentifikasi kejadian-kejadian yang
berpotensi mempengaruhi dalam pencapaian tujuan tersebut. ERM memastikan bahwa
manajemen memiliki sebuah proses untuk menetapkan tujuan dan tujuan tersebut
terkait serta mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
3. Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal
yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan
dibedakan antara risiko dan peluang yang dapat terjadi. Peluang dikembalikan
kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian Risiko (Risiko Assessment), Risiko dianalisis dengan
memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact),
sebagai dasar bagi penentuan pengelolaan risiko.
5. Respons Risiko (Risk Response), manajemen memilih respons
risiko, menghindar, menerima, mengurangi, mengalihkan, dan mengembangkan suatu
kegiatan agar risiko yang terjadi masih sesuai dengan toleransi dan risk
appetite.
6. Kegiatan Pengendalian (Control Activities), kebijakan serta prosedur
yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko
berjalan dengan efektif.
7. Informasi dan Komunikasi (Information and Communication), Informasi yang relevan
diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang
memungkinkan setiap orang menjalankan tanggung jawabnya.
8.
Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi
dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan
manajemen yang berjalan terus-menerus, melalui evaluasi secara khusus, atau
dengan keduanya.
Fokus utama
COSO
menyatakan Pengendalian Internal merupakan partisipasi dari semua stakeholder
(pemangku kepentingan) entitas yang meliputi seluruh/semua area atau fungsi
dari bisnis entitas.
Evaluasi keefektifan Pengendalian Internal
Meskipun
COSO menekankan Pengendalian Internal sebagai suatu “proses” namun keefektifan
dari pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu
tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada
saat pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar
menyatakan bahwa Pengendalian Internal telah berjalan efektif.
Bagaimana pelaporan masalah Pengendalian Internal
COSO
menjelaskan bagaimana manajemen memperoleh dan mengolah informasi jika terjadi
defisiensi Pengendalian Internal. COSO merekomendasikan kepada personil yang
mengidentifikasi terjadinya defisiensi untuk segera melaporkannya kepada atasan
langsungnya, namun jika informasinya sensitif maka perlu adanya jalur khusus
penyampaian informasi.
Tidak ada komentar:
Posting Komentar