Kepanjangan dari COSO adalah Committee of Sponsoring Organizations of the
Treadway Commission. COSO ini dibuat oleh sektor swasta untuk
menghindari tindak korupsi yang sering terjadi di Amerika pada tahun 1970-an.
COSO terdiri atas 5 komponen:
1. Control
environment
Tindakan atau kebijakan
manajemen yang mencerminkan sikap manajemen puncak secara keseluruhan dalam
pengendalian manajemen. Yang termasuk dalam control environment:
– Integrity and ethical values (integritas dan nilai etika)
– Commitment to competence (komitmen terhadap kompetensi)
– Board of Directors and audit
committee (dewan
komisaris dan komite audit)
– Management’s philosophy and
operating style (filosofi
manajemen dan gaya mengelola operasi)
– Organizational structure (struktur organisasi)
– Human resource policies and
procedures (kebijakan
sumber daya manusia dan prosedurnya)
2. Risk
assessment
Tindakan manajemen untuk
mengidentifikasi, menganalisis risiko-risiko yang relevan dalam penyusunan
laporan keuangan dan perusahaan secara umum. Yang termasuk dalam risk
assessment:
– Company-wide objectives (tujuan
perusahaan secara keseluruhan)
– Process-level objectives (tujuan
di setiap tingkat proses)
– Risk identification and
analysis (indentifikasi risiko dan analisisnya)
– Managing change (mengelola
perubahan)
3. Control
activities
Tindakan-tindakan yang diambil
manajemen dalam rangka pengendalian intern. Yang termasuk control
activities:
– Policies and procedures (kebijakan
dan prosedur)
– Security application and
network (keamanan dalam hal aplikasi dan jaringan)
– Application change
management (manajemen perubahan aplikasi)
– Business continuity or
backups (kelangsungan bisnis)
– Outsourcing (memakai
tenaga outsourcing)
4. Information
and communication
Tindakan untuk mencatat, memproses
dan melaporkan transaksi yang sesuai untuk menjaga akuntablitas. Yang termasuk
komponen ini adalah sebagai berikut.
– Quality of information (kualitas
informasi)
– Effectiveness of
communication (efektivitas komunikasi)
5. Monitoring
Peniilaian terhadap mutu
pengendalian internal secara berkelanjutan maupun periodik untuk memastikan
pengendalian internal telah berjalan dan telah dilakukan penyesuian yang
diperlukan sesuai kondisi yang ada. Yang termasuk di dalam komponen ini, yakni:
– On-going monitoring (pengawasan
yang terus berlangsung)
– Separate evaluations (evaluasi
yang terpisah)
– Reporting
deficiencies (melaporkan kekurangan-kekurangan yang terjadi)
Kerangka kerja pengendalian intern yang diterbitkan oleh COSO dikenal luas dengan sebutan COSO Internal Control Integrated Framework. Nama tersebut tetap dipertahankan pada kerangka kerja yang baru. Untuk membedakan penyebutan yang lama dengan yang baru, saya pakai singkatan COSO IC 1992 (untuk yang lama) dan COSO IC 2013 (untuk yang baru).
COSO IC 2013 terdiri dari tiga volume yaitu:
Executive Summary: memberikan
gambaran umum kerangka pengendalian intern bagi para dewan pengawas (board
of directors), CEO, dan manajemen senior lainnya.
Framework and Appendices: menetapkan
kerangka, mendefinisikan pengendalian intern, menjelaskan persyaratan
pengendalian intern yang efektif termasuk komponen dan prinsip-prinsipnya, dan
memberikan petunjuk bagi semua tingkatan manajemen dalam merancang,
melaksanakan, dan mengarahkan pengendalian intern serta menilai efektivitasnya.
Illustrative Tools: menyediakan template
dan skenario yang dapat digunakan untuk menilai efektivitas sistem pengendalian
intern.
Sumber: COSO
Visualisasi konsep
pengendalian intern COSO yang sangat terkenal adalah berbentuk kubus. Lihatlah
ilustrasi kubus di atas! Gambar kubus sebelah kiri diambil dari COSO IC 1992.
Gambar tersebut menunjukkan keterkaitan erat antara tujuan, komponen, dan
struktur organisasi tempat diterapkannya pengendalian intern. Dari dimensi
sisi kubus yang terlihat, sisi atas mencerminkan tujuan, sisi muka mencerminkan
komponen, dan sisi samping mencerminkan ruang lingkup penerapan pengendalian
intern. Konsep visualisasi ini masih tetap digunakan pada COSO IC 2013.
Tentunya dengan menyesuaikan nama istilah di setiap sisi sesuai dengan konsep
kerangka yang baru. Lihat gambar sebelah kanan yang berwarna-warni!
Definisi dan Tujuan
Berbeda dengan COSO ERM
yang melakukan perubahan definisi, COSO IC 2013 secara prinsip masih
mempertahankan definisi pengendalian intern tahun 1992. Pengendalian intern
didefinisikan sebagai suatu proses di dalam organisasi (entitas) yang
dipengaruhi oleh dewan pengawas (board), manajemen, dan personel
lainnya, dirancang untuk memberikan keyakinan memadai bagi pencapaian tujuan
organisasi. Pada sisi tujuan inilah terjadi sedikit perubahan. Tujuan yang
hendak dicapai organisasi menurut COSO IC 2013 terdiri dari tiga kategori yaitu
tujuan terkait operasi (operations), pelaporan (reporting), dan
kepatuhan (compliance). Tujuan yang mengalami perubahan atau tepatnya
perluasan lingkup dari COSO IC 1992 adalah tujuan operasi dan pelaporan. Tujuan
operasi tidak semata-mata terkait dengan efisiensi dan efektivitas penggunaan
sumber daya tetapi mencakup seluruh efisiensi dan efektivitas operasi termasuk
sasaran/tujuan kinerja operasi dan keuangan serta pengamanan aset dari
kerugian. Tujuan pelaporan diperluas cakupannya meliputi semua pelaporan
organisasi, tidak dibatasi hanya pada lingkup pelaporan keuangan saja seperti
kerangka 1992. Adapun tujuan kepatuhan masih sama dengan konsep COSO IC 1992.
Kutipan definisi pengendalian intern asli dari COSO IC 2013 adalah sebagai berikut:
Internal control is a
process, effected by an entity’s board of directors, management, and other
personnel, designed to provide reasonable assurance regarding the achievement
of objectives relating to operations, reporting, and compliance.
Komponen
COSO IC 2013 tidak
mengubah lima komponen pengendalian intern yang telah dipakai sejak COSO IC
1992. Tentu saja uraian penjelasannya tetap mengalami penyempurnaan. Penjelasan
singkat dari komponen-komponen tersebut adalah sebagai berikut.
1. Lingkungan Pengendalian (Control Environment)
Lingkungan pengendalian
adalah rangkaian standar, proses dan struktur yang menjadi dasar dalam
penyelenggaraan pengendalian intern di seluruh organisasi. Dewan pengawas dan
manajemen puncak menciptakan irama pada level tertinggi organisasi mengenai
pentingnya pengendalian intern dan standar perilaku yang diharapkan.
Sub-komponen lingkungan pengendalian mencakup integritas dan nilai etika yang
dianut organisasi; parameter-parameter yang menjadikan dewan pengawas mampu
melaksanakan tanggung jawab tata kelola; struktur organisasi serta pembagian
wewenang dan tanggung jawab; proses untuk merekrut, mengembangkan, dan
mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja,
insentif, dan imbalan untuk mendorong akuntabilitas kinerja. Lingkungan
pengendalian yang dihasilkan akan berdampak luas terhadap sistem pengendalian
intern secara keseluruhan.
2. Penilaian Risiko (Risk Assessment)
Penilaian risiko
melibatkan proses yang dinamis dan berulang (iterative) untuk mengidentifikasi
dan menganalisis risiko terkait pencapaian tujuan. COSO IC 2013 merumuskan
definisi risiko sebagai kemungkinan suatu peristiwa akan terjadi dan berdampak
merugikan bagi pencapaian tujuan. Risiko yang dihadapi organisasi bisa bersifat
internal (berasal dari dalam) ataupun eksternal (bersumber dari luar). Risiko
yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang
telah ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi
akan dikelola. Salah satu prakondisi bagi penilaian risiko adalah penetapan
tujuan yang saling terkait pada berbagai tingkatan organisasi. Manajemen harus
menetapkan tujuan dalam kategori operasi, pelaporan, dan kepatuhan dengan jelas
sehingga risko-risiko terkait bisa diidentifikasi dan dianalisis. Manajemen
juga harus mempertimbangkan kesesuaian tujuan dengan organisasi. Penilaian
risiko mengharuskan manajemen untuk memperhatikan dampak perubahan lingkungan
eksternal serta perubahan model bisnis organisasi itu sendiri yang berpotensi
mengakibatkan ketidakefektifan pengendalian intern yang ada.
3. Kegiatan Pengendalian (Control Activities)
Kegiatan pengendalian
mencakup tindakan-tindakan yang ditetapkan melalui kebijakan dan prosedur untuk
membantu memastikan dilaksanakannya arahan manajemen dalam rangka meminimalkan
risiko atas pencapaian tujuan. Kegiatan pengendalian dilaksanakan pada semua
tingkatan organisasi, pada berbagai tahap proses bisnis, dan pada konteks
lingkungan teknologi. Kegiatan pengendalian ada yang bersifat preventif atau detektif
dan ada yang bersifat manual atau otomatis. Contoh kegiatan pengendalian adalah
otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan reviu kinerja. Dalam
memilih dan mengembangkan kegiatan pengendalian, biasanya melekat konsep
pemisahan fungsi (segregation of duties). Jika pemisahan fungsi tersebut
dianggap tidak praktis, manajemen harus memilih dan mengembangkan alternatif
kegiatan pengendalian sebagai kompensasinya.
4. Informasi dan Komunikasi (Information and Communication)
Organisasi memerlukan
informasi demi terselenggaranya fungsi pengendalian intern dalam mendukung
pencapaian tujuan. Manajemen harus memperoleh, menghasilkan, dan menggunakan
informasi yang relevan dan berkualitas, baik dari sumber internal maupun
eksternal. Hal tersebut diperlukan agar komponen pengendalian intern yang lain
berfungsi dengan baik sebagaimana mestinya. Sementara itu, komunikasi merupakan
proses berulang (iterative) dan berkelanjutan untuk memperoleh,
membagikan dan menyediakan informasi. Komunikasi internal harus menjadi sarana
diseminasi informasi di dalam organisasi, baik dari atas ke bawah, dari bawah
ke atas, maupun lintas fungsi.
5. Kegiatan Pemantauan (Monitoring Activities)
Komponen ini merupakan
satu-satunya komponen yang berubah nama. Sebelumnya komponen ini hanya disebut pemantauan (monitoring).
Perubahan ini dimaksudkan untuk memperluas persepsi pemantauan sebagai
rangkaian aktivitas yang dilakukan sendiri dan juga sebagai bagian dari
masing-masing empat komponen pengendalian intern lainnya. Kegiatan pemantauan
mencakup evaluasi berkelanjutan, evaluasi terpisah, atau kombinasi dari
keduanya yang digunakan untuk memastikan masing-masing komponen pengendalian
intern ada dan berfungsi sebagaimana mestinya. Evaluasi berkelanjutan dibangun
di dalam proses bisnis pada tingkat yang berbeda-beda guna menyajikan informasi
tepat waktu. Evaluasi terpisah dilakukan secara periodik, bervariasi lingkup
dan frekuensinya tergantung pada hasil penilaian risiko, efektivitas evaluasi
berkelanjutan, dan pertimbangan manajemen lainnya.
Prinsip-Prinsip
COSO IC 2013 mengenalkan
kodifikasi 17 prinsip pengendalian intern. Kodifikasi tersebut belum ada di
dalam kerangka sebelumnya. Prinsip-prinsip pengendalian
intern merepresentasikan konsep fundamental dari tiap-tiap komponen pengendalian
intern. Karena prinsip-prinsip tersebut dirumuskan langsung dari komponen
pengendalian intern maka diharapkan pengendalian intern organisasi akan efektif
bila menerapkan semua prinsip tersebut. Semua prinsip pengendalian intern
berhubungan dengan tujuan-tujuan organisasi, baik itu berupa tujuan operasi,
pelaporan, maupun kepatuhan. Rincian dari ketujuh belas prinsip tersebut adalah
sebagai berikut.
Prinsip dalam Lingkungan Pengendalian
Organisasi menunjukkan
komitmen terhadap integritas dan nilai-nilai etika.
Dewan pengawas menunjukkan
independensinya dari manajemen dan melaksanakan pengawasan atas pengembangan
dan kinerja pengendalian intern.
Manajemen dengan
pengawasan dari dewan pengawas menetapkan struktur organisasi, garis pelaporan,
serta wewenang dan tanggung jawab yang tepat dalam rangka pencapaian
tujuan.
Organisasi menunjukkan
komitmen dalam merekrut, mengembangkan, dan mempertahankan individu-individu
yang kompeten sesuai dengan tujuan yang ditetapkan.
Organisasi memegang
akuntabilitas individu-individu atas pelaksanaan pengendalian intern dalam
rangka pencapaian tujuan.
Prinsip dalam Penilaian Risiko
Organisasi menetapkan
tujuan-tujuan yang jelas agar dapat dilakukan identifikasi dan penilaian risiko
terkait tujuan tersebut.
Organisasi mengidentifikasi
risiko atas pencapaian tujuan secara menyeluruh dan menganalisis risiko sebagai
landasan pengelolaan risiko.
Organisasi
mempertimbangkan potensi kecurangan (fraud) dalam melakukan penilaian
risiko atas pencapaian tujuan.
Organisasi mengidentifikasi
dan menilai perubahan-perubahan yang dapat berdampak signifikan terhadap sistem
pengendalian intern.
Prinsip dalam Kegiatan Pengendalian
Organisasi memilih dan
mengembangkan kegiatan pengendalian yang berkontribusi meminimalkan risiko atas
pencapaian tujuan sampai pada level yang dapat diterima.
Organisasi memilih dan
mengembangkan kegiatan pengendalian umum atas teknologi untuk mendukung
pencapaian tujuan.
Organisasi memberlakukan
kegiatan pengendalian melalui kebijakan yang menetapkan apa yang diharapkan dan
melalui prosedur yang menjabarkan kebijakan menjadi tindakan.
Prinsip dalam Informasi dan Komunikasi
Organisasi memperoleh,
menghasilkan dan menggunakan informasi yang relevan dan berkualitas untuk
mendukung berfungsinya komponen pengendalian intern lainnya.
Organisasi melakukan
komunikasi informasi secara intern, termasuk tujuan dan tanggung jawab
pengendalian intern, yang diperlukan untuk mendukung berfungsinya pengendalian
intern.
Organisasi menjalin
komunikasi dengan pihak-pihak eksternal terkait hal-hal yang mempengaruhi
berfungsinya komponen pengendalian intern lainnya.
Prinsip dalam Kegiatan Pemantauan
Organisasi memilih,
mengembangkan, dan melaksanakan evaluasi secara terus-menerus (berkelanjutan)
dan/atau secara terpisah untuk memastikan bahwa komponen-komponen pengendalian
intern benar-benar ada dan berfungsi.
Organisasi mengevaluasi
dan mengkomunikasikan kelemahan pengendalian intern secara tepat waktu kepada
pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk
manajemen puncak dan dewan pengawas, sebagaimana mestinya.
Titik Fokus
Selain mengenalkan
prinsip-prinsip sebagai hal baru, COSO IC 2013 juga mengenalkan 81 titik fokus
(points of focus). Titik fokus tersebut mencerminkan ciri khas penting
dari masing-masing prinsip dan dapat digunakan untuk memfasilitasi proses
merancang, menerapkan, dan mengarahkan pengendalian intern. Titik fokus menjadi
sarana manajemen untuk memastikan bahwa prinsip-prinsip telah ada dan berfungsi
dengan baik. Mirip dengan hubungan antara prinsip dengan komponen, titik fokus
ini memiliki hubungan yang sifatnya mendukung tiap prinsip yang ada. Artinya,
di dalam masing-masing prinsip terdapat beberapa titik fokus yang mendukungnya.
Mengingat jumlahnya yang banyak, saya tidak akan menguraikan satu per satu
titik fokus tersebut. Sebagai contoh saja, prinsip "Organisasi menunjukkan
komitmen terhadap integritas dan nilai-nilai etika" pada komponen
"Lingkungan Pengendalian" didukung oleh empat titik fokus yaitu:
set the tone at the top;
penetapan standar
perilaku;
evaluasi kepatuhan
terhadap standar perilaku;
penanganan
deviasi/penyimpangan tepat waktu.
Keterbatasan Pengendalian Intern
Sebagaimana termaktub di
dalam definisi, keberadaan pengendalian intern dirancang untuk memberikan
keyakinan memadai, bukan keyakinan mutlak. COSO IC 2013 mengungkapkan
keterbatasan pengendalian intern yang mungkin terjadi karena:
penetapan tujuan sebagai
prasyarat pengendalian intern tidak tepat;
pengambilan keputusan
oleh manusia yang salah atau bias;
kegagalan/kesalahan
faktor manusia sebagai pelaksana pengendalian;
kemampuan manajemen
mengesampingkan pengendalian;
kemampuan manajemen,
personil lain, atau pihak ketiga untuk berkolusi; atau
peristiwa eksternal di
luar kendali organisasi.
