Tentang COSO
The
Committee of Sponsoring Organizations of the Treadway Commission’s (COSO)
didirikan pada tahun 1985, yang merupakan aliansi dari lima organisasi profesi
diantaranya
1. Financial
Executives International (FEI)
2. The
American Accounting Association (AAA)
3. The
American Institute of Certified Public Accountants
(AICPA)
4. The
Institute of Internal Auditors (IIA)
5. The
Institute of Management Accountants (IMA) (formerly the National Association of
Accountants).
Misi utama dari COSO adalah
“Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika
bisnis, pengendalian internal yang efektif, dan corporate governance.” Untuk
menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi
mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tehun
1992, telah diselesaikan studi tersebut dengan memperkenalkan sebuah “kerangka
kerja pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para
eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan
lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas
pengendalian internal mereka.
Definisi
Pengendalian Internal COSO
“suatu proses,
yang dipengaruhi oleh dewan komisaris, manajemen, dan personil lainnya
dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang
wajar berkaitan dengan pencapaian tujuan dalam beberapa kategori”.
Tujuan
Pengendalian Internal bagi Organisasi
Asumsi COSO, bahwa
entitas telah menetapkan sendiri tujuan dari aktivitas operasinya. Namun COSO
mengidentifikasikan tiga tujuan utama dari entitas, antara lain :
1. Efektivitas dan efisiensi
operasi
2. Keandalan laporan keuangan
3. Kepatuhan terhadap hukum dan
peraturan yang berlaku
Menurut COSO framework, Internal control terdiri dari
5 komponen yang saling terkait, yaitu:
1. Lingkungan Pengendalian (control environment)
Lingkungan pengendalian menetapkan corak
suatu organisasi dan mempengaruhi kesadaran pengendalian pihak yang
terdapat dalam organisasi tersebut. Lingkungan pengendalian merupakan
dasar untuk semua komponen pengendalian interen yang lain, menyediakan
disiplin dan struktur. Lingkungan pengendalian meliputi integritas
nilai-nilai etika dan orang-orang yang kompeten, filosofi manajemen,
cara manajemen memberikan wewenang dan tanggung jawab dan meningkatkan
potensi organisasi dan pegawai, dan perhatian serta petunjuk dari dewan
direksi.
Penaksiran risiko entitas untuk tujuan
pelaporan keuangan merupakan identifikasi dan analisis terhadap risiko
yang relevan dengan penyusunan laporan keuangan yang wajar sesuai dengan
prinsip akuntansi yang berlaku umum. Penaksiran risiko dapat ditujukan
pada bagaimana entitas mempertimbangkan kemungkinan transaksi tidak
dicatat atau mengidentifikasi dan menganalisis estimasi yang dicatat
dalam laporan keuangan.2. Penaksiran Risiko Penaksiran risiko entitas
untuk tujuan pelaporan keuangan merupakan identifikasi dan analisis
terhadap risiko yang relevan dengan penyusunan laporan keuangan yang
wajar sesuai dengan prinsip akuntansi yang berlaku umum. Penaksiran
risiko dapat ditujukan pada bagaimana entitas mempertimbangkan
kemungkinan transaksi tidak dicatat atau mengidentifikasi dan
menganalisis estimasi yang dicatat dalam laporan keuangan.
Aktivitas pengendalian merupakan
kebijakan dan prosedur yang membantu manajemen mencapai tujuan, seperti
pengambilan langkah menghadapi risiko untuk mencapai tujuan perusahaan.
Aktivitas pengendalian meliputi persetujuan dari atasan, pemberian
wewenang, verifikasi, rekonsiliasi, penelaahan kinerja usaha, pengamanan
aktiva perusahaan dan pemisahan tugas.
Informasi yang berhubungan perlu
diidentifikasi, ditangkap dan dikomunikasikan dalam bentuk dan kerangka
waktu yang memungkinkan para pihak memahami tanggung jawab. Sistem
informasi menghasilkan laporan, kegiatan usaha, keuangan dan informasi
yang cukup untuk memungkinkan pelaksanaan dan pengawasan usaha
perusahaan. Informasi yang dibutuhkan tidak hanya interen namun juga
eksternal. Komunikasi yang efektif harus meluas di seluruh jajaran
organisasi dimana seluruh pihak harus menerima pesan yang jelas dari
manajemen puncak yang bertanggung jawab pada pengawasan. Semua pegawai
harus paham peran mereka dalam system pengendalian interen seperti juga
hubungan kerja antar individu. Mereka harus memiliki alat yang
menyebarluaskan informasi penting. Selain komunikasi interen, komunikasi
yang efektif perlu diciptakan pula dengan pihak eksternal seperti
konsumen, supplier, badan pengatur dan pemegang saham.
Sistem pengendalian interen harus
dimonitor yang memungkinkan proses untuk menilai kualitas kinerja
perusahaan sepanjang waktu. Hal ini dapat diselesaikan melalui aktivitas
monitoring, evaluasi terpisah, atau kombinasi keduanya. Monitoring
muncul dari kegiatan pokok perusahaan meliputi aktivitas manajemen dan
supervisi serta aktivitas pihak-pihak dalam menjalankan tugas
masing-masing. Ruang lingkup dan frekuensi evaluasi tergantung pada
penilaian risiko dan efektifitas prosedur monitoring. Kekurangan yang
fatal dalam sistem pengendalian interen harus dilaporkan kepada
manajemen puncak dan dewan direksi. Pengendalian interen secara relatif
dapat membantu pencapaian target baik peningkatan kenerja perusahaan dan
target keuntungan serta kepatuhan terhadap undang-undang dan peraturan
pelaksanaannya, maupun terhindar dari kerusakan dan konsekuensi buruk
lainnya. Namun pengendalian interen tidak dapat secara pasti menciptakan
kesuksesan suatu perusahaan, laporan keuangan yang dapat diandalkan
secara mutlak dan kepatuhan terhadap undang-undang dan peraturan
pelaksanaannya.
Di tahun 2004, COSO
mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’,
sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam
Enterprise Risk Management, yaitu:
1. Lingkungan
Internal (Internal Environment), Sangat
menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang
terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan
internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai
etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
2. Penentuan
Tujuan (Objective Setting),
tujuan perusahaan harus ada terlebih dahulusebelum manajemen dapat
mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi dalam
pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah
proses untuk menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi
perusahaan dan konsisten dengan risk appetite-nya.
3. Identifikasi
Kejadian (Event Identification),
Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan
harus diidentifikasi, dan dibedakan antara risiko dan peluang yang dapat
terjadi. Peluang dikembalikan kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian
Risiko (Risiko Assessment),
Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan
dampaknya (impact), sebagai dasar bagi penentuan pengelolaan risiko.
5. Respons
Risiko (Risk Response),
manajemen memilih respons risiko, menghindar, menerima, mengurangi,
mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang terjadi masih
sesuai dengan toleransi dan risk appetite.
6. Kegiatan
Pengendalian (Control Activities),
kebijakan serta prosedur yang ditetapkan dan diimplementasikan untuk membantu
memastikan respons risiko berjalan dengan efektif.
7. Informasi
dan Komunikasi (Information and Communication), Informasi yang relevan diidentifikasi,
ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap
orang menjalankan tanggung jawabnya.
8. Pengawasan
(Monitoring), Keseluruhan
proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan
dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus,
melalui evaluasi secara khusus, atau dengan keduanya.
