COSO (the Committee on Sponsoring Organizations of the Treadway Commisions)
didirikan pada tahun1985, merupakan inisiatif bersama dari lima organisasi
sektor swasta dan didedikasikan untuk menyediakan pemikiran mengenai kerangka
kerja, bimbingan dan kepemimpinan ERM, pengendalian internal, dan pencegahan
penipuan. COSO terdiri dari The Institute Auditor Internal (IIA), Institut
Akuntan Manajemen (IMA), American Accounting Association (AAA), American
Institute of Certified Public Akuntan (AICPA), dan Eksekutif Keuangan
Internasional (FEI). Pada tahun 1992 COSO menerbitkan Internal Control - Kerangka
Terpadu, kemudian pada tahun 1996 COSO mengeluarkan Isu Pengendalian Internal
Penggunaan Derivatif. Pada tahun 2006 diterbitkan COSO Pengendalian Internal
atas Pelaporan Keuangan - Pedoman untuk Perusahaan Publik yang lebih kecil,
diikuti dengan Pedoman Pemantauan Sistem Pengendalian Internal yang diterbitkan
pada tahun 2009. Pada akhir tahun 2010, COSO mengumumkan sebuah proyek untuk
memperbarui Pengendalian Internal - Kerangka Terpadu. Berikut ini sedikit pembahasan
mengenai internal kontrol yang dterbitkan oleh COSO.
Pengendalian intern adalah suatu proses yang dipengaruhi oleh dewan
entitas direksi, pengelolaan pemerintah, dan personil lainnya, yang dirancang
untuk memberikan keyakinan tentang pencapaian tujuan yang berkaitan dengan
operasional, pelaporan, dan pelaksanaan. Tujuan pengendalian intern-integrated framework (kerangka) adalah
untuk membantu manajemen untuk lebih baik dalam mengontrol organisasi dan untuk
memberikan kemampuan tambahan dewan directors
untuk mengawasi pengendalian internal.Pengendalianinternal memungkinkan
organisasi untuk lebih efektif menangani segala perubahan lingkungan ekonomi
dan kompetitif, kepemimpinan, prioritas, dan perkembangan model bisnis. Adapun
lima komponen pengendalian internal:
1.
Pengendalian lingkungan
2.
Penilaian resiko
3.
Kegiatan pengendalian
4.
Informasi dan komunikasi
5.
Pemantauan
Hubungan tujuan, komponen, dan entitas. Merupakan sebuah hubungan
langsung antara tujuan, entitas apa yang berusaha dicapai, komponen yang
diperlukan untuk mencapai tujuan, dan struktur entitas (unit operasi, badan
hukum, dan struktur lainnya).
Hubungan
diantara ketiganya dapat digambarkan dalam bentuk kubus seperti berikut ini.
·
Ketiga kategori tujuan diwakili oleh kolom
·
Kelima komponen diwakili oleh baris
·
Struktur entitas, yang merupakan entitas
keseluruhan, divisi, anak perusahaan, unit operasi, atau fungsi, termasuk
proses bisnis seperti penjualan, pembelian, produksi, dan pemasaran serta yang
berkaitan dengan pengendalian internal, digambarkan oleh ketiga dimensi kubus.
Masing-masing
komponen berhubungan dengan ketiga kategori tujuan tersebut. Misalnya, tujuan
operasi berhubungan dengan efisiensi dan efektifitas operasional, tidak
spesifik unit operasi atau fungsi seperti penjualan, pemasaran, pengadaan, atau
sumber daya manusia. Dengan demikian, ketika mempertimbangkan kategori tujuan
yang berkaitan dengan pelaporan, misalnya pengetahuan tentang beragam informasi
tentang entitas operasi ini sangat dibutuhkan. Dalam hal ini, fokusnya adalah
pada kolom tengah laporan model objektifikasi dari kategori tujuan operasi
tersebut. Masing-masing komponen melintasi dan berlaku untuk semua tiga
kategori tujuan.
Pengendalian internal merupakan proses dinamis, berulang, dan terpadu.
Sebagai contoh, resiko penilaian tidak hanya mempertimbangkan lingkungan
pengendalian dan aktivitas pengendalian, tetapi juga mungkin mempertimbangkan
kembali persyaratan entitas informasi dan komunikasi, atau untuk kegiatan
pemantauan. Dengan demikian, pengendalian internal bukanlah proses linear
dimana hanya salah satu komponen yang mempengaruhi berikutnya. Ini adalah
proses yang terintegrasi dimana komponen motivasional dapat dan akan berdampak
lain. Tugas manajemen, dengan pengawasan dewan menetapkan entitas tingkat
tujuan yang sejajar dengan entitas misi, visi, dan strategi. Ini merupakan
tujuan yang mencerminkan pilihan yang dibuat oleh manajemen dan dewan direksi
tentang bagaimana organisasi berusaha untuk menciptakan, melayani, dan
menyadari nilai bagi stakeholder. Menetapkan tujuan merupakan prasyarat bagi
pengendalian internal dan bagian penting dari manajemen memproses berkaitan
dengan perencanaan strategis. Individu yang merupakan bagian dari sistem
pengendalian intern perlu memahami keseluruhan strategi dan tujuan yang
ditetapkan oleh organisasi. Sebagai bagian dari pengendalian internal,
pengelolaan pemerintah dengan menetapkan tujuan yang sesuai sehingga resiko
pencapaian tujuan tersebut dapat diidentifikasi dan dinilai. Menentukan tujuan
berkaitan dengan artikulasi spesifik, terukur atau diamati, dapat dicapai, relevan,
dan terikat waktu tujuan. Kelompok kerangka tujuan entitas dibagi dalam tiga
ketegori yaitu:
1. Operations Objectives
Tujuan operasi berhubungan dengan visi dan misi
dasar entitas, tujuan bervariasi berdasarkan pengelolaan pemerintah yang berkaitan
dengan pilihan model operasi manajemen, pertimbangan industri, dan kinerja.
Dengan demikian, tujuan operasi mungkin berhubungan dengan peningkatan kinerja
keuangan, produksi, kualitas, praktik lingkungan, inovasi, dan kepuasan
pelanggan dan karyawan. Ini berkaitan dengan semua jenis tujuan entitas.
Pengamanan aset merupakan kategori operations
objectives meliputi pengamanan aset yang mengacu untuk melindungi dan
melestarikan entitas aset. Entitas menetapkan tujuan pencegahan hilangnya aset
dan mendeteksi ketepatan waktu serta pelaporan dari setiap kerugian.
2. Reporting Objectives
Berkaitan dengan penyusunan laporan yang digunakan
oleh organisasi dan stakeholder. Pelaporan tujuan berhubungan dengan pelaporan
keuangan atau non keuangan serta
pelaporan internal atau eksternal. Tujuan pelaporan berbeda dari komponen
informasi & komunikasi pengendalian internal. Manajemen menetapkan dengan
pengawasn dewan pelaporan tujuan ketika organisasi membutuhkan keyakinan
memadai untuk mencapai laporan yang objektif. Dalam hal ini lima komponen
pengendalian internal sangat diperlukan. Untuk menyiapkan laporan yang handal,
relevan, dan berguna, memberikan individu yang kompeten, menilai resiko yang
berkaitan dengan tujuan tertentu, memilih & mengembangkan kontrol dalam
lima komponen diperlukan untuk mengurangi resiko tersebut, dan komponen monitor
pengendalian internal mendukung tujuan pelaporan non-keuangan tertentu.
Sebaliknya, komponen informasi & komunikasi mendukung fungsi dari semua
komponen tujuan, serta operasi dan tujuan pelaksanaan.
3. Compliance Objectives
Entitas harus melaksanakan kegiatan,dan sering mengambil
tindakan spesifik sesuai dengan hukum dan peraturan yang berlaku. Sebagai
bagian dari tujan pelaksanaan, organization
perlu memahami hukum dan peraturan yang berlaku diseluruh entitas. Banyak
hukum dan peraturan yang umumnya diketahui, seperti yang berkaitan dengan
perpajakan dan operations di wilayah
asing atau terpencil. Hukum dan peraturan menetapkan standar minimum perilaku
yang diharapkan dari entitas. Organisasi diharapkan memasukkan standar-standar
ini kedalam tujuan yang ditetapkan entitas. Dalam menetapkan tujuan-tujuan
tersebut, manajemen dapat menerapkan kebijaksanaan relatif terhadap kinerja
entitas.
Komponen dan prinsip pengendalian intern
Kerangka ini
menetapkan lima komponen pengendalian internal dan tujuh belas prinsip yang
mewakili konsep dasar terkait dengan komponen. Berikut ini adalah ringkasan
masing-masing dari lima komponen pengendalian internal dan prinsip-prinsip
keuangan yang berkaitan dengan komponen. Setiap prinsip tercakup dalam
masing-masing komponen.
1.
Pengendalian Lingkungan
Pengendalian lingkungan adalah seperangkat standar,
proses, dan struktur yang menyediakan dasar untuk melaksanakan pengendalian
internal diseluruh organisasi. Dewan director dan manajemen senior menetapkan
mengenai pentingnya pengendalian internal dan standar yang diharapkan dari
perilaku. Terdapat lima prinsip yang berkaitan dengan pengendalian lingkungan:
1.
Organisasi menunjukkan komitmen integritas dan
nilai-nila etika.
2.
Dewan direksi menunjukkan kemerdekaan dari
manajemen dan exer-cises pengawasan pembangunan dan kinerja pengendalian
internal.
3.
Manajemen menetapkan, pengawasan dewan, standar,
jalur pelaporan, dan kesesuaian wewenang dan tanggung jawab dalam mencapai
tujuan.
4.
Organisasi menunjukkan komitmen untuk menarik,
mengembangkan, dan mempertahankan kompoten indivudu sejalan dengan tujuan.
5.
Organisasi memegang individu untuk bertangggung
jawab dalam kontrol internal yang mereka tanggung, hubungannya dalam mencapai
tujuan.
2.
Penilaian Resiko
Penilaian resiko melibatkan proses dinamis dan
berulang-ulang untuk mengidentifikasi dan analisis resiko dalam mencapai tujuan
entitas, membentuk dasar untuk menentukan bagaimana resiko harus dikelola.
Manajemen menganggap kemungkinan perubahan dalam lingkungan eksternal dan dalam
model bisnis sendiri yang dapat menghambat kemampuannya untuk mencapai tujuan.
Ada empat prinsip yang berkaitan dengan resiko penilaian yaitu sebagai berikut:
1.
Organisasi menetapkan tujuan dengan kejelasan
yang memadai untuk memungkinkan identifikasi dan penilaian resiko yang
berkaitan dengan tujuan.
2.
Organisasi mengidentifikasi resiko terhadap
pencapaian tujuan diseluruh entitas dan analisis resiko sebagai dasar untuk
menentukan bagaimana resiko harus dikelola.
3.
Organisasi mempertimbangkan potensi penipuan
dalam menilai resiko untuk mencapai tujuan.
4.
Organisasi mengidentifikasi dan menilai
perubahan signifikan yang dapat mempengaruhi sistem pengendalian internal.
3.
Pengendalian Kegiatan, adalah tndakan yang
ditetapkan oleh kebijakan prosedur untuk membantu memastikan manajemen untuk
mengurangi resiko terhadap pencapaian tujuan yang dilakukan. Kegiatan
pengendalian yang dilakukan pada semua entitas dan berbagai tahapan dalam
proses bisnis, dan atas lingkungan teknologi. Ada tiga prinsip yang berkaitan
dengan kontrol aktivitas yaitu sebagai berikut:
1.
Organisasi memilih & mengembangkan kegiatan
pengendalian yang berkontribusi terhadap MITI-gation resiko terhadap pencapaian
tujuan ketingkat yang dapat diterima.
2.
Organisasi memilih & mengembangkan kegiatan
pengendalian umum atas teknologi untuk mendukung pencapaian tujuan.
3.
Organisasi menyebarkan kegiatan pengendalian
melalui kebijakan menetapkan apa yang diharapkan dan prosedur yang menempatkan
kebijakan kedalam tindakan.
4.
Informasi & Komunikasi, diperlukan sebagai
entitas untuk melaksanakan tanggung jawab pengendalian internal, mendukung
pencapaian tujuan-tujuannya. Komunikasi terjadi baik secara internal maupun
eksternal dan menyediakan informasi yang diperlukan organisasi untuk
melaksanakan kegiatan pengendalian internal. Ada tiga prinsip yang berkaitan
dengan informasi & komunikasi yaitu sebagai berikut:
1.
Organisasi memperoleh atau menghasilkan dan
menggunakan informasi yang relevan, berkualitas untuk mendukung fungsi komponen
lain dari pengendalian internal.
2.
Organisasi internal mengkomunikasikan informasi,
termasuk tujuan dan tanggung jawab pengendalian internal diperlukan untuk
mendukung fungsi komponen pengendalian internal lainnya.
3.
Organisasi berkomunikasi dengan pihak luar
mengenai hal-hal yang mempengaruhi fungsi komponen lain dari pengendalian
internal.
5. Pemantuan Kegiatan
Evaluasi berkelanjutan, evaluasi
terpisah, atau beberapa kombinasi dari keduanya digunakan untuk memastikan
apakah masing-masing dari lima komponen pengendalian internal, termasuk kontrol
mempengaruhi prinsip-prinsip dalam setiap komponen, ada & berfungsi. Hal
ini dievaluasi & kekurangan dikomunikasikan secara tepat waktu, dengan
hal-hal yang serius dilaporkan kepada manajemen senior dan tingkat atas. Ada
dua prinsip yang berkaitan dengan kegiatan pemantauan:
1.
Organisasi memilih, mengembangkan, dan melakukan
secara langsung atau terpisah evaluasi-negoisasi untuk memastikan apakah
komponen pengendalian intern ada & berfungsi.
2.
Organisasi mengevaluasi & mengkomunikasikan
kekurangan pengendalian internal dengan tepat waktu kepada pihak-pihak yang
bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior
dan dewan direksi yang sesuai.
Pengendalian
Internal & Manajemen Proses, karena pengendalian internal merupakan bagian
dari tanggung jawab keseluruhan manajemen, kelima komponen dibahas dalam
konteks pengelolaan entitas. Tidak setiap tindakan dari menajemen adalah bagian
dari penegndalian internal:
·
Memiliki sebuah struktur yang terdiri dari
direksi dengan kemandirian dari manajemen & dapat melaksanakan fungsi
pengawasannya merupakan bagian dari pengendalian internal. Dewan juga memenuhi
berbagai tanggung jawab pemerintahan disamping tanggung jawab terhadap
pengawasan pengendalian internal.
·
Membuat keputusan strategis yang berdampak
terhadap tujuan entitas bukan bagian dari pengendalian internal. Suatu
organisasi dapat menerapkan pendekatan manajemen resiko perusahaan atau dengan
pendekatan lain dalam menetapkan tujuan.
·
Mengatur keseluruhan tingkat resiko yang dapat
diterima dan resiko yang terkait dengan perencanaan strategis serta manajemen
resiko perusahaan, bukan bagian dari internal kontrol. Demikian pula, dalam
menetapkan tingkat toleransi resiko kaitannya dengan spesifik tujuan juga bukan
bagian dari pengendalian internal.
·
Memilih dan mengembangkan kegiatan pengendalian
yang dirancang untuk mengurangi resiko berdasarkan pada proses penilaian
organisasi yang bagian dari pengendalian internal. Namun, memilih resiko mana
yang lebih disukai untuk mengatasi resiko spesifik bukan bagian dari
pengendalian internal.
Efektivitas Pengendalian Internal
Sebuah
sistem pengendalian yang efektif adalah dapat berhubungan dengan bagian
tertentu dari struktur organisasi, dapat mengurangi, tingkat yang dapat
diterima, resiko untuk mencapai tujuan yang berkaitan dengan satu, dua, atau
semua kategori. Hal ini mensyaratkan bahwa:
·
Masing-masing komponen pengendalian internal
& prinsip relevan, ada & berfungsi.
·
Kelima komponen beroperasi bersama-sama secara
terpadu.
Jika pengendalian
internal ingin menjadi efektif maka manajemen senior & direksi harus
menjamin bahwa organisasi:
·
Mencapai tujuan operasi pada saat standar &
kriteria yang ditetapkan oleh legislator, regulator, dan pembuat standar.
·
Memahami sejauh mana operasi dikelola secara
efektif dan efesien, menciptakan kerjasama ketika standar tidak ada.
·
Menyiapkan laporan sesuai dengan aturan, peraturan, & standar yang
diterbitkan oleh legislator, regulator, & pembuat standar atau dengan tujuan
entitas ditentukan & kebijakan terkait.
·
Sesuai dengan undang-undang & peraturan yang
berlaku
Keterbatasan/kekurangan Pengendalian
Internal
Kerangka
mengakui bahwa sementara ini pengendalian internal memberikan jaminan yang
wajar dalam mencapai tujuan entitas, keterbatasan memang ada dan dapat terjadi
karena:
·
Kesesuaian tujuan didirikan sebagai prasyarat
untuk pengendalian internal.
·
Realitas panilaian manusia dalam pengambilan
keputusan dapat tidak sesuai.
·
Kurusakan yang dapat terjadi karena kegagalan
atau kesalahan manusia.
·
Kemampuan manajemen untuk mengesampingkan
pengendalian internal.
·
Kemampuan manajemen, personil lainnya, dan atau
pihak ketiga untuk menghindari kontrol melalui kolusi.