COSO

COSO merupakan singkatan Committee of Sponsoring Organizations of the Treadway Commision adalah suatu inisiatif dari sector swasta yang dibentuk pada tahun 1985. COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi professional yaitu, American Institute of Certified Public Accountants (AICPA), Finansial Executives Institute (FEI), The Institute of Management Accountanta (IMA), The Institute of Internal Auditors (IIA) dan The American Accounting Association (AAA). Yang bertujuan utama untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. 

 

Misi utama dari COSO adalah “Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance”.

 

Menurut COSO pengendalian internal sebagai suatu proses yang merupakan bagian tidak terpisahkan dari aktivitas bisnis entitas yang berkelanjutan (on going business activities). COSO juga menyatakan konsep keyakinan yang wajar (reasonable assurance) terkait pengendalian internal bahwa adanya pengendalian internal yang baik tidak serta merta memberikan jaminan penuh kepada entitas bisa mencapai tujuannya namun sebatas keyakinan yang wajar. Selain itu terdapat keterbatasan yang melekat terhadap pengendalian internal bahwa tidak semua jenis pengendalian dapat diimplementasikan karena pertimbangan biaya dan manfaat (cost and benefit) sehingga dapat mengakibatkan pengendalian internal kurang efektif.

 

COSO menyatakan pula bahwa pihak-pihak yang terlibat terkait pengendalian internal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yang mendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawab atas penempatan, penjagaan dan pengawasan system pengendalian internal adlah tanggung jawab manajemen. 

 

COSO mengidentifikasi 3 tujuan utama pengendalian internal dari entitas, adalah :

1.      Efektivitas dan efisiensi operasi

2.      Kaendalan laporan keuangan

3.      Kepatuhan terhadap hukum dan peraturan yang berlaku.

 

Menurut COSO framework, internal control terdiri dari 5 komponen yang saling terkait, yaitu:

 

1.      Control environment

Merupakan pondasi dari komponen lainnya yang meliputi diantaranya:

• Integritas dan etika

• Komitmen untuk meningkatkan kompetensi

• Dewan komisaris dan komite audit

• Filosofi manajemen dan jenis operasi

• Kebijakan dari praktek sumber daya manusia

2.      Risk assessment

Terdiri dari identifikasi resiko dan analisis resiko. Identifikasi resiko meliputi pengujian terhadap faktor-faktor eksternal seperti perkembangan teknologi, persaingan dan perubahan ekonomi. Faktor intgernal diantaranya kompetensi karyawan, sifat dari aktivitas bisnis, dan karakteristik pengelolaan system informasi. Sedangan analisis resiko meliputi mngestimasi signifikansi resiko, menilai kemungkinannya terjadi risk, dan bagaomana mengelola resiko.

3.      Contol activities

Terdiri dari kebijakan prosedur yang menjamin karyawan melaksanakan arahan manajemen. Aktivitas pengendalian meliputi review terhadap system pengendalian, pemisahan tugas, dan pengendalian terhadap system informasi.

4.      Information and communication

Perlu untuk mengakses informasi dari dalam dam luar, mengembangkan strategi yang potensial dari system terintegrasi, serta perlunya data yang berkualitas. Sedangkan komunikasi berfokus kepada penyampaian permasalahan pengendalian internal dan mengumpulkan informasi dari pesaing.

5.      Monitoring

manajemen perlu melakukan pengawasan terhadap keseluruhan system pengendalian internal melalui aktivitas atau area yang khusus.

 

 

Di tahun 2004, COSO mengeluarkan Report Enterprise Risk Management – Integrated Framework, sebagai pengembangan COSO framework sebelumnya. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:

1.      Internal environment

       Komponen ini berkaitan dengan lingkungan dimana instansi Pemerintah berada dan beroperasi. Cakupannya adalah risk-management philosophy (kultur manajemen tentang risiko), integrity (integritas), risk-perspective (perspektif terhadap risiko), risk-appetite (selera atau penerimaan terhadap risiko), ethical values (nilai moral), struktur organisasi, dan pendelegasian wewenang.

2.      Objective setting

      Manajemen harus menetapkan objectives (tujuan-tujuan) dari organisasi agar dapat mengidentifikasi, mengakses, dan mengelola risiko. Objective dapat diklasifikasikan menjadi strategic objective dan activity objective. Strategic objective di instansi Pemerintah berhubungan dengan pencapaian dan peningkatan kinerja instansi dalam jangka menengah dan panjang, dan merupakan implementasi dari visi dan misi instansi tersebut. Sementara itu, activity objective dapat dipilah menjadi 3 kategori, yaitu (1) operations objectives; (2) reporting objectives; dan (3) compliance objectives.

3.      Event identification

      Komponen ini mengidentifikasi kejadian-kejadian potensial baik yang terjadi di lingkungan internal maupun eksternal organisasi yang mempengaruhi strategi atau pencapaian tujuan dari organisasi. Kejadian tersebut bisa berdampak positif (opportunities), namun dapat pula sebaliknya atau negative (risks). Terdapat 4 model dalam identifikasi risiko, yaitu (1) Exposure analysis; (2) Environmental analysis; (3) Threat scenario; (4) Brainstorming questions.

4.      Risk assessment

      Komponen ini menilai sejauhmana dampak dari events (kejadian atau keadaan) dapat mengganggu pencapaian dari objectives. Besarnya dampak dapat diketahui dari inherent dan residual risk, dan dapat dianalisis dalam dua perspektif, yaitu: likelihood (kecenderungan atau peluang) dan impact/consequence (besaran dari terealisirnya risiko). Dengan demikian, besarnya risiko atas setiap kegiatan organisasi merupakan perkalian antara likelihood dan consequence. 

       Penilaian risiko dapat menggunakan dua teknik, yaitu: (1) qualitative techniques; dan (2) quantitative techniques. Qualitative techniques menggunakan beberapa tools seperti self-assessment (low, medium, high), questionnaires, dan internal audit reviews. Sementara itu, quantitative techniques data berbentuk angka yang diperoleh dari tools seperti probability based, non-probabilistic models (optimalkan hanya asumsi consequence), dan benchmarking.

5.      Risk response

      Organisasi harus menentukan sikap atas hasil penilaian risiko. Risk response dari organisasi dapat berupa: (1) avoidance, yaitu dihentikannya aktivitas atau pelayanan yang menyebabkan risiko; (2) reduction, yaitu mengambil langkah-langkah mengurangi likelihood atau impact dari risiko; (3) sharing, yaitu mengalihkan atau menanggung bersama risiko atau sebagian dari risiko dengan pihak lain; (4) acceptance, yaitu menerima risiko yang terjadi (biasanya risiko yang kecil), dan tidak ada upaya khusus yang dilakukan.

6.      Control activities

      Komponen ini berperanan dalam penyusunan kebijakan-kebijakan (policies) dan prosedur-prosedur untuk menjamin risk response terlaksana dengan efektif. Aktifitas pengendalian memerlukan lingkungan pengendalian yang meliputi: (1) integritas dan nilai etika; (2) kompetensi; (3) kebijakan dan praktik-praktik SDM; (4) budaya organisasi; (5) filosofi dan gaya kepemimpinan manajemen; (6) struktur organisasi; dan (7) wewenang dan tanggung jawab.

7.      Information and communication

      Fokus dari komponen ini adalah menyampaikan informasi yang relevan kepada pihak terkait melalui media komunikasi yang sesuai. Faktor-faktor yang perlu diperhatikan dalam penyampaiaan informasi dan komunikasi adalah kualitas informasi, arah komunikasi, dan alat komunikasi. 

      Informasi yang disajikan tergantung dari kualitas informasi yang ingin disampaikan, dan kualitas informasi dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current; (4) accurate; dan (5) accessible. Arah komunikasi dapat bersifat internal dan eksternal. Sedangkan alat komunikasi berupa diantaranya manual, memo, buletin, dan pesan-pesan melalui media elektronis.

8.      Monitoring

      Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun terpisah (separate evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas supervisi, rekonsiliasi, dan aktivitas rutin lainnya . 

      Monitoring terpisah biasanya dilakukan untuk penugasan tertentu (kasuistis). Pada monitoring ini ditentukan scope tugas, frekuensi, proses evaluasi metodologi, dokumentasi, dan action plan. 

      Pada proses monitoring, perlu dicermati adanya kendala seperti reporting deficiencies, yaitu pelaporan yang tidak lengkap atau bahkan berlebihan (tidak relevan). Kendala ini timbul dari berbagai faktor seperti sumber informasi, materi pelaporan, pihak yang disampaikan laporan, dan arahan bagi pelaporan.