KUPAS TUNTAS COSO

Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.

MISI COSO :

·         Memberikan pemikiran kepemimpinan melalui pengembangan kerangka kerja dan pedoman yang komprehensif tentang manajemen risiko perusahaan , pengendalian internal dan pencegahan kecurangan yang dirancang untuk meningkatkan kinerja organisasi dan tata pemerintahan dan untuk mengurangi tingkat kecurangan dalam organisasi .

VISI COSO :

·         Menjadi pemikiran pemimpin yang diakui di pasar global pada pengembangan di bidang risiko dan pengendalian yang memungkinkan tata kelola organisasi yang baik dan pengurangan kecurangan .

SEJARAH COSO :

• COSO diselenggarakan pada tahun 1985 untuk mensponsori Komisi Nasional pada Kecurangan Pelaporan Keuangan, sebuah sektor swasta independen yang mempelajari faktor-faktor penyebab yang dapat menyebabkan kecurangan pelaporan keuangan . Hal ini juga mengembangkan rekomendasi untuk perusahaan publik dan auditor independen mereka , untuk SEC dan regulator lainnya , dan lembaga pendidikan .
• Komisi Nasional disponsori bersama oleh lima asosiasi profesional utama yang berkantor pusat di Amerika Serikat : American Accounting Association ( AAA ) , American Institute Akuntan Publik ( AICPA ) , Eksekutif Keuangan Internasional ( FEI ) , The Institute of Internal Auditors ( IIA ) , dan Asosiasi Nasional Akuntan ( sekarang Institut Akuntan Manajemen [ IMA ] ) . Sepenuhnya independen dari masing-masing organisasi yang mensponsori , Komisi termasuk perwakilan dari industri , akuntan publik , perusahaan investasi , dan Bursa Efek New York.
• Tujuan COSO adalah untuk memberikan pemikiran kepemimpinan yang berkaitan dengan tiga mata pelajaran yang saling terkait : enterprise risk management ( ERM ) , pengendalian internal , dan pencegahan kecurangan .
• Mengenai ERM , pada tahun 2004 COSO mengeluarkan Kerangka Terpadu - Enterprise Risk Management . COSO juga telah menerbitkan beberapa makalah pemikiran dimulai tahun 2009 yang berkaitan dengan ERM.
•  Mengenai pengendalian internal , pada tahun 1992 COSO menerbitkan Kerangka Terpadu-Internal Control . Kemudian , pada tahun 1996 COSO mengeluarkan Isu Pengendalian Internal Penggunaan Derivatif . Pada tahun 2006 COSO menerbitkan Pengendalian Internal atas Pelaporan Keuangan - Pedoman untuk Perusahaan Publik yang lebih kecil , diikuti oleh Pedoman Pemantauan Sistem Pengendalian Intern yang diterbitkan pada tahun 2009 . Pada akhir tahun 2010 , COSO mengumumkan sebuah proyek untuk memperbarui nya Kerangka Terpadu - Pengendalian Internal  tahun 1992
• Akhirnya , di bidang pencegahan kecurangan , COSO telah menerbitkan dua studi penelitian . Penelitian pertama dirilis pada tahun 1999 berjudul Kecurangan Pelaporan Keuangan : 1987-1997 . Sebuah studi lanjutan yang disebut Kecurangan Pelaporan Keuangan : 1998-2007 dirilis pada 2010

·   

KERANGKA KERJA PENGENDALIAN INTERNAL (INTERNAL  CONTROL-INTEGRATED  FRAMEWORK)

COSO menetapkan definisi pengendalian internal, menjelaskan komponen-komponennya, dan menyediakan kriteria  terhadap sistem pengendalian yang dapat dievaluasi. Termasuk juga disebutkan didalamnya adalah memberikan pedoman penyusunan pengendalian internal untuk tujuan pelporan kepada publik dan menyediakan bahan-bahan kepada manajemen, auditor, dan pengguna lainnya untuk mengevaluasi sistem pengendalian internal. Jadi, dua tujuan utama dari laporan tersebut  adalah (1) untuk menetapkan definisi umum pengendalian internal yang melayani berbagai pihak, dan (2) menyediakan standar terhadap organisasi yang dapat menilai sistem pengendalian dan menentukan cara untuk meningkatkan/memperbaiki sistem tersebut.

Definisi Pengendalian Internal COSO adalah “suatu proses, yang dipengaruhi  oleh dewan komisaris, manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan pencapaian tujuan dalam kategori berikut : Efektivitas dan efisiensi operasi, Keandalan laporan keuangan, Kepatuhan terhadap hukum dan peraturan yang berlaku.

Laporan ini menekankan bahwa sistem pengendalian internal adalah merupakan alat/perangkat dari manajemen dan bukan pengganti manajemen. Jadi manajemen dan sistem pengendalian seharusnya dibentuk didalam kegiatan operasi.

 PIHAK YANG TERLIBAT

Dokumen COSO menyatakan bahwa pihak-pihak yang terlibat terkait Pengendalian Internal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yang mendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawab atas penetapan, penjagaan, dan pengawasan sistem Pengendalian Internal adalah tanggung jawab manajemen.

KOMPONEN

COSO mengidentifikasi Sistem Pengendalian Internal yang efektif meliputi lima komponen yang saling berhubungan untuk mendukung pencapaian tujuan entitas, yaitu :

a.       Penilaian Risiko (Risk Assessment)

Terdiri dari identifikasi risiko dan analisis risiko. Identifikasi risiko meliputi pengujian terhadap faktor-faktor eksternal seperti perkembangan teknologi, persaingan, dan perubahan ekonomi.  Factor internal diantaranya kompetensi karyawan, sifat dari aktivitas bisnis, dan karakteristik pengelolaan sistim informasi. Sedangkan Analisis Risiko meliputi mengestimasi signifikansi risiko, menilai kemungkinan terjadinya risik, dan bagaimana mengelola risiko.

b.      Lingkungan Pengendalian (Control Environment)

Merupakan pondasi dari komponen lainnya dan meliputi beberapa faktor diantaranya :

o    Integritas dan Etika

o    Komitmen untuk meningkatkan kompetensi

o    Dewan komisaris dan komite audit

o    Filosofi manajemen dan jenis operasi

o    Kebijakan dan praktek sumber daya manusia

COSO menyediakan pedoman untuk mengevaluasi tiap factor tersebut diatas. Misal, Filosofi manajemen dan jenis operasi dapat dinilai dengan cara menguji sifat dari penerimaan risiko bisnis, frekuensi interaksi dari tiap subordinat, dan pengaruhnya terhadap laporan keuangan.

c.       Aktivitas Pengendalian (Control Activities)

Terdiri dari kebijakan dan prosedur yang menjamin karyawan melaksanakan arahan manajemen. Aktivitas Pengendalian meliputi reviu terhadap sistim pengendalian, pemisahan tugas, dan pengendalian terhadap sistim informasi. Pengendalian terhadap sistim informasi meliputi dua cara :

o   General controls, mencakup kontrol terhadap akses, perangkat lunak, dan  system development.

o   Application controls, mencakup pencegahan dan deteksi transaksi yang tidak terotorisasi. Berfungsi untuk menjamin completeness, accuracy,  authorization and validity dari proses transaksi

d.      Informasi dan komunikasi

COSO menyatakan perlunya untuk mengakses informasi dari dalam dan luar, mengembangkan strategi yang potensial dan system terintegrasi, serta perlunya data yang berkualitas. Sedangkan diskusi mengenai komunikasi berfokus kepada menyampaikan permasalahan Pengendalian Internal, dan mengumpulkan informasi pesaing. 

e.       Pengawasan (Monitoring)

               Karena Pengendalian Internal harus dilakukan sepanjang waktu, maka COSO menyatakan perlunya manajemen untuk terus melakukan pengawasan terhadap keseluruhan Sistim Pengendalian Internal melalui aktivitas yang berkelanjutan dan melalui evaluasi yang ditujukan terhadap aktivitas atau area yang khusus.

Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
Penentuan Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih dahulusebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi dalam pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang yang dapat terjadi. Peluang dikembalikan kepada proses penetapan strategi atau tujuan manajemen.
Penilaian Risiko (Risiko Assessment), Risiko dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan pengelolaan risiko.
Respons Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima, mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang terjadi masih sesuai dengan toleransi dan risk appetite.
Kegiatan Pengendalian (Control Activities), kebijakan serta prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.
Informasi dan Komunikasi (Information and Communication), Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.
Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.