Pengertian COSO
Apa itu COSO ?
COSO kepanjangannya Committee of Sponsoring Organizations of the Treadway Commission.
Sejarahnya, COSO ini ada kaitannya sama FCPA yang dikeluarkan sama SEC danUS Congress di tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA adalah inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih merupakan inisiatif dari sektor swasta.
Sektor swasta ini membentuk ‘National Commission on Fraudulent Financial Reporting’ atau dikenal juga dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini disponsori oleh 5 professional association yaitu: AICPA, AAA, FEI,IIA, IMA. Tujuan komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi2 yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan.
Walaupun disponsori sama 5 professional association, tapi pada dasarnya komisi ini bersifat independen dan orang2 yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik, Bursa Efek, dan investor. Nama ‘Treadway’ sendiri berasal dari nama ketua pertamanya yaitu James C. Treadway, Jr.
Komisi ini mengeluarkan report pertamanya pada 1987. Isi reportnya di antaranya adalah merekomendasikan dibuatnya report komprehensif tentang pengendalian internal (integrated guidance on internal control). Makanya terus dibentuk COSO, yang kemudian bekerjasama dengan Coopers & Lybrand (Ehm, kira2 bisa dibilang mbahnya PwC gitu) untuk membuat report itu.
Coopers & Lybrand mengeluarkan report itu pada 1992, dengan perubahan minor pada 1994, dengan judul ‘Internal Control – Integrated Framework’. Report ini berisi definisi umum internal control dan membuat framework untuk melakukan penilaian (assessment) dan perbaikan (improvement) atas internal control. Gunanya report ini salah satunya adalah untuk mengevaluasi FCPA compliance di suatu perusahaan.
Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:- Efektifitas dan efisiensi operasional
- Reliabilitas pelaporan keuangan
- Kepatuhan atas hukum dan peraturan yang berlaku
Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:
- Control Environment
- Risk Assessment
- Control Activities
- Information and communication
- Monitoring
Control Environment (Lingkungan Pengendalian)
Control Environment adalah elemen pertama dari struktur pengendalian intern versi COSO. Lingkungan pengendalian perusahaan mencakup sikap para manajemen dan karyawan terhadap pentingnya pengendalian yang ada di organisasi tersebut. Salah satu faktor yang berpengaruh terhadap lingkungan pengendalian adalah filosofi manajemen (manajemen tunggal dalam persekutuan atau manajemen bersama dalam perseroan) dan gaya operasi manajemen (manajemen yang progresif atau yang konservatif), struktur organisasi (terpusat atau ter desentralisasi) serta praktik kepersonaliaan. Lingkungan pengendalian ini amat penting karena menjadi dasar keefektifan unsur-unsur pengendalian intern yang lain. Lingkungan pengendalian ini memiliki tujuh unsur antara lain :
- Integritas dan nilai-nilai etika; beragam cara yang ditempuh oleh manajemen tingkat atas untuk menekankan tentang pentingnya integritas dan inlai etika di antara para personilnya dalam perusahaan, misalnya dengan memberikan contoh yang baik, berkomunikasi dengan baik kepada para karyawan, memberikan pedoman moral, dan mengeliminasi insentif dan rangsangan lainnya.
- Komitmen dan kompetensi; merupakan kesadaran manajemen akan campuran intelegensi, palatihan ,dan pengalaman setiap karyawan yang diperlukan dalam mengembangkan potensi mereka.
- Dewan direktur dan dewan audit; dewan direktur bertanggungjawab untuk memastikan bahwa manajemen memenuhi tanggungjawabnya untuk menetapkan dan mempertahankan internal control, sedangkan komite audit bertanggungjawab untuk mengenali penolakan manajemen atas pengendalian atau kecurangan dalam laporan keuangan dan menindaklanjuti hal tersebut secara tepat.
- Falsafah dan gaya operasi manajemen; manajemen mempunyai peran yang besar dalam memberikan lingkunag pengendalian yang baik dalam suatu organisasi.
- Struktur organisasi; menggambarkan garis hubungan wewenang dan pertanggungjawaban sehingga dapat memberikan kontribusi bagi lingkungan pengendalian baik dalam hal memberikan kerangka (framework) secara menyeluruh bagi perencanaan, pelaksanaan, dan pengendalian operasi.
- Pendelegasian wewenang dan tanggungjawab; berupa memorandum tertulis mengenai kebijakan-kebijakan, aturan main, deskripsi pekerjaan, dan sebagainya.
- Kebijakan dan praktek pegawai; berupa kemampuan menyediakan karyawan yang dapat dipercaya dan memiliki kemampuan pada bidangnya masing-masing
Risk Assessment (Penilaian Resiko)
ekanisme yang ditetapkan untuk mengindentifikasi, menganalisis, dan mengelola risiko-risiko yang berkaitan dengan berbagai aktivitas di mana organisasi beroperasi.Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola.
Control Activities (Aktivitas pengendalian)
pelaksanaan dari kebijakan-kebijakan dan prosedur-prosedur yang ditetapkan oleh manajemen untuk membantu memastikan bahwa tujuan dapat tercapai.
Information and Communication (Informasi dan komunikasi )
Sistem yang memungkinkan orang atau entitas, memperoleh dan menukar informasi yang diperlukan untuk melaksanakan, mengelola, dan mengendalikan operasinya,
Monitoring (pemantauan)
Sistem pengendalian internal perlu dipantau, proses ini bertujuan untuk menilai mutu kinerja sistem sepanjang waktu. Ini dijalankan melalui aktivitas pemantauan yang terus-menerus, evaluasi yang terpisah atau kombinasi dari keduanya. contoh prosedur monitoring sistem internal kontrol yang dapat dilakukan misalnya:
- Evaluasi dan pengujian kontrol (testing of controls) oleh bagian internal audit secara berkala
- Membuat program continuous monitoring dalam sistem informasi
- Melakukan pengawasan dan review atas kontrol yang ada (misalnyareconciliation review)
- Evaluasi atas efektivitas “the tone at the top”
- Diskusi antara komite audit dengan auditor internal dan eksternal
- Review quality assurance atas departemen internal audit
Berikut Gambar dari Internal Control.
- Evaluasi dan pengujian kontrol (testing of controls) oleh bagian internal audit secara berkala
- Membuat program continuous monitoring dalam sistem informasi
- Melakukan pengawasan dan review atas kontrol yang ada (misalnyareconciliation review)
- Evaluasi atas efektivitas “the tone at the top”
- Diskusi antara komite audit dengan auditor internal dan eksternal
- Review quality assurance atas departemen internal audit
Pengembangan COSO Tahun 2004
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
- Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
- Penentuan Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih dahulusebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi dalam pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
- Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang yang dapat terjadi. Peluang dikembalikan kepada proses penetapan strategi atau tujuan manajemen.
- Penilaian Risiko (Risiko Assessment), Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan pengelolaan risiko.
- Respons Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima, mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang terjadi masih sesuai dengan toleransi dan risk appetite.
- Kegiatan Pengendalian (Control Activities), kebijakan serta prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.
- Informasi dan Komunikasi (Information and Communication), Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.
- Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.
Mengapa pengendalian intern perlu dipahami dan sangat penting bagi auditor?
COSO mengungkapkan konsep dimana semua orang dalam organisasi yaitu Manajemen, Dewan direksi, Komite Audit, dan Personel lainnya bertanggung jawab terhadap pengendalian internal, karena semua orang memiliki peran dalam pengendalian internal. Audit internal yaitu pengauditan yang dilakukan oleh auditor didalam perusahaan. Auditor internal ini bertanggung jawab utk menilai sistem yg dijalankan perusahaan dan memberi laporan kpd manajemen utk usulan perbaikan.
Auditor internal bertugas untuk membantu manajemen perusahaan tempat dimana ia bekerja
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
- Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
- Penentuan Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih dahulusebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi dalam pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
- Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang yang dapat terjadi. Peluang dikembalikan kepada proses penetapan strategi atau tujuan manajemen.
- Penilaian Risiko (Risiko Assessment), Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan pengelolaan risiko.
- Respons Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima, mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang terjadi masih sesuai dengan toleransi dan risk appetite.
- Kegiatan Pengendalian (Control Activities), kebijakan serta prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.
- Informasi dan Komunikasi (Information and Communication), Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.
- Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.
Mengapa pengendalian intern perlu dipahami dan sangat penting bagi auditor?
COSO mengungkapkan konsep dimana semua orang dalam organisasi yaitu Manajemen, Dewan direksi, Komite Audit, dan Personel lainnya bertanggung jawab terhadap pengendalian internal, karena semua orang memiliki peran dalam pengendalian internal. Audit internal yaitu pengauditan yang dilakukan oleh auditor didalam perusahaan. Auditor internal ini bertanggung jawab utk menilai sistem yg dijalankan perusahaan dan memberi laporan kpd manajemen utk usulan perbaikan.
Auditor internal bertugas untuk membantu manajemen perusahaan tempat dimana ia bekerja
Fokus utama COSO dalam Pengendalian Intern
COSO menyatakan Pengendalian Internal merupakan partisipasi dari semua stakeholder (pemangku kepentingan) entitas yang meliputi seluruh/semua area atau fungsi dari bisnis entitas.
COSO menyatakan Pengendalian Internal merupakan partisipasi dari semua stakeholder (pemangku kepentingan) entitas yang meliputi seluruh/semua area atau fungsi dari bisnis entitas.
Evaluasi keefektifan Pengendalian Internal
Meskipun COSO menekankan Pengendalian Internal sebagai suatu “proses” namun keefektifan dari pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada saat pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar menyatakan bahwa Pengendalian Internal telah berjalan efektif.
Meskipun COSO menekankan Pengendalian Internal sebagai suatu “proses” namun keefektifan dari pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada saat pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar menyatakan bahwa Pengendalian Internal telah berjalan efektif.
Bagaimana pelaporan masalah Pengendalian Internal
COSO menjelaskan bagaimana manajemen memperoleh dan mengolah informasi jika terjadi defisiensi Pengendalian Internal. COSO merekomendasikan kepada personil yang mengidentifikasi terjadinya defisiensi untuk segera melaporkannya kepada atasan langsungnya, namun jika informasinya sensitif maka perlu adanya jalur khusus penyampaian informasi.
COSO menjelaskan bagaimana manajemen memperoleh dan mengolah informasi jika terjadi defisiensi Pengendalian Internal. COSO merekomendasikan kepada personil yang mengidentifikasi terjadinya defisiensi untuk segera melaporkannya kepada atasan langsungnya, namun jika informasinya sensitif maka perlu adanya jalur khusus penyampaian informasi.
0 comments: