An Overview Of COSOs 2013

Internal Control-Integrated Framework

Pengenalan Framework 2013

Pada tahun 1992, COSO (COSO) menerbitkan internal Control-Integrated Framework (1992
Framework), yang telah dikenal sebagai COSO Framework. Pada bulan Mei 2013, COSO
mengeluarkan updated Internal Control-Integrated Framework (2013 Framework) untuk
mencerminkan perubahan dalam dunia bisnis selama 20 tahun sejak dirilisnya Framework
asli. Sementara terus merangkul pendekatan berbasis prinsip, pembaruan Framework
menggabungkan dan menjelaskan konsep-konsep dalam Framework dimaksudkan untuk
membantu organisasi dalam upaya beradaptasi dengan meningkatnya kompleksitas saat ini
dan kecepatan perubahan.
Framework 2013 mempertahankan lima komponen pengendalian internal (yaitu; lingkungan
pengendalian, penilaian risiko, informasi dan komunikasi, aktivitas pengendalian, dan
pemantauan). Namun dalam Framework 2013 ditambahkan 17 prinsip yang terkait dengan 5
komponen yang diperlukan untuk kontrol internal yang efektif. Setelah adopsi dari
Framework 2013, suatu entitas harus mengevaluasi sejauh mana 17 prinsip tersebut yang
relevan dengan yang organisasi dan apakah kontrol entitas beroperasi secara efektif untuk
mencapai prinsip. Pembaruan ini juga memperkenalkan 81 poin fokus yang biasanya adalah
karakteristik penting dari 17 prinsip.
Selain 17 prinsip, Framework yang telah diperbarui berisi lebih banyak panduan tentang
bagaimana teknologi berkaitan struktur pengendalian intern entitas. Framework 1992
termasuk dalam banyak konsep yang langsung relevan untuk teknologi waktu. Sejak itu
teknologi dengan cepat berkembang dari hanya sesuatu yang dianut oleh perusahaan yang
terbesar dan paling maju menjadi ke blok dasar dari hampir semua perusahaan. Framework
2013 lebih fokus pada teknologi seluruh komponen pengendalian internal serta memiliki
fokus yang lebih luas tentang dampak teknologi pada struktur pengendalian intern bukan
pada tipe teknologi tertentu.
Karena banyak perusahaan melakukan outsourcing bagian kunci dari kegiatan bisnis mereka
atau sistem kontrol ke pihak ketiga, Framework yang telah diperbarui juga termasuk di

dalamnya panduan yang diperluas dan pertimbangan terkait dengan sumber daya luar, seperti
prosesor pihak ketiga. Framework yang diperbarui juga memperluas aspek pelaporan
pengendalian internal untuk mempertimbangkan lebih hanya pada pelaporan keuangan,
termasuk pelaporan eksternal non-keuangan informasi dan pelaporan internal.
Akhirnya, kemajuan teknologi dan komunikasi telah meningkatkan banyak jangkauan
perusahaan baik dari pasokan dan pengembangan sisi dan penjualan atau layanan pengiriman.
Bagi banyak entitas, lokal atau nasional tidak lagi mengalami hambatan yang signifikan.
Sebaliknya, bisnis semakin dilakukan di multilokasi atau secara global. Framework 2013
meliputi pemanduan tambahan dan pertimbangan untuk bisnis yang beroperasi di lingkungan
ini.
Perlu dicatat bahwa penerbitan Framework 2013 mencakup volume Ilustrasi Alat untuk
Menilai Efektivitas Sistem Pengendalian Internal (Illustrative Tools for Assessing
Effectiveness of a System of Internal Control), meliputi template untuk menggambarkan
ringkasan kemungkinan hasil penilaian kontrol internal di bawah Framework yang
diperbarui. COSO juga secara bersamaan mengeluarkan Pengendalian Internal pada
Pelaporan Eksternal Keuangan: Sebuah Ikhtisar Pendekatan dan Contoh, yang menyediakan
ilustrasi bagaimana berbagai karakteristik prinsip dapat hadir dan berfungsi dalam sistem
pengendalian intern berkaitan dengan tujuan pelaporan keuangan eksternal.

Gambaran Dari Framework 2013

Persamaan Dan Perbedaan Mendasar
Sebelum membahas perubahan Framework 2013, penting untuk memahami apa yang tidak
berubah. Banyak dasar Framework 1992 yang dipertahankan atau hanya sedikit yang
dimodifikasi di Framework 2013. Definisi pengendalian internal tidak berubah. Struktur
pengendalian intern entitas masih berdasarkan identifikasi tujuan dan perlu struktur sistem
suara untuk mencapai tujuan tersebut.
Seperti yang digambarkan di bawah ini, COSO cube dikenal tetap namun dengan beberapa
perubahan tertentu.

Lima komponen pengendalian internal tidak berubah, seperti yang digambarkan oleh wajah
depan kubus (yang tersisa sebagian besar sama). Satu perubahan ke komponen yaitu
"Monitoring" telah diubah menjadi "Monitoring Activities". Perubahan ini dimaksudkan
untuk memperluas persepsi pemantauan (Monitoring) sebagai serangkaian kegiatan yang
dilakukan secara individu dan sebagai bagian dari masing-masing empat komponen lainnya,
bukan sebagai satu proses yang unik.
Di bagian atas kubus, "Financial Reporting" telah berubah menjadi "Reporting". Perubahan
ini dimaksudkan untuk memperluas penerapan Framework tidak hanya untuk pelaporan
keuangan eksternal seperti yang sering diterapkan, tetapi juga untuk memasukkan pelaporan
internal serta pelaporan eksternal dari tindakan-tindakan non-keuangan.
Sepanjang sisi kanan kubus, struktur organisasi
telah diubah untuk menyesuaikan dengan
Framework Management Integrated Perusahaan
Risk COSO (ERM Framework) dan juga
menggambarkan lebih baik bahwa struktur
pengendalian internal yang efektif menembus
seluruh organisasi di semua tingkat fungsional baik
secara independen dan interdependently. Hal ini
juga penting untuk dicatat bahwa sementara ada
pertimbangan menggabungkan Internal Control-Terpadu Framework dengan Framework
ERM, dua terpisah, tetapi saling berhubungan. Pengendalian internal merupakan bagian
integral dari risiko perusahaan pengelolaan; Namun, manajemen risiko perusahaan meliputi

peran yang lebih luas daripada pengendalian internal dalam mendukung entitas struktur tata
kelola.
Pengenalan 17 Prinsip
Framework 2013 memperkenalkan 17 prinsip-prinsip yang diperlukan untuk kontrol internal
yang efektif, kecuali yang tidak relevan dengan entitas. Meskipun Framework menganggap
bahwa semua 17 prinsip relevan untuk setiap entitas, manajemen dapat menentukan prinsip
yang tidak relevan berdasarkan keadaan yang unik. Jika prinsip relevan tidak hadir dan
berfungsi, kekurangan utama ada pada sistem pengendalian internal. Tujuh belas prinsip
selaras dengan masing-masing dari lima komponen dan dibahas dalam bagian komponen di
bawah ini:
A. Lingkungan Pengendalian
Lima prinsip yang terkait dengan lingkungan pengendalian diperkenalkan di Framework
2013:
1. Organisasi menunjukkan komitmen untuk integritas dan nilai-nilai etika.
2. Dewan direksi menunjukkan kemerdekaan dari manajemen dan menjalankan fungsi
pengawasan terhadap pengembangan dan kinerja pengendalian internal.
3. Manajemen menetapkan, dengan pengawasan dewan, struktur, pelaporan garis, dan
pihak yang berwenang dan tanggung jawab dalam mengejar tujuan.
4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten di keselarasan dengan tujuan.
5. Organisasi memegang individu bertanggung jawab untuk tanggung jawab
pengendalian internal mereka dalam pengejaran tujuan.
Kelima prinsip menunjukkan bagaimana prinsip di atas diresapi seluruh lini bisnis dan
kegiatan. Framework 2013 menyediakan diskusi tambahan mengenai peran pemerintahan
dalam organisasi dan gagasan pengawasan risiko. Termasuk dalam panduan diperluas pada
lingkungan pengendalian yang lebih spesifik pertimbangan terkait dengan penyedia layanan
outsourcing, mitra bisnis, dan mitra eksternal.
Menariknya, untuk usaha kecil, prinsip 2 dan 3 yang didasarkan pada entitas memiliki
independen jajaran direktur. Seperti disebutkan di atas, prinsip-prinsip dapat dievaluasi untuk
menentukan apakah mereka relevan untuk entitas. Setelah adopsi dari Framework 2013, ini
adalah area untuk banyak entitas yang lebih kecil menemukan evaluasi relevansi diri mereka.
Meskipun manajemen dapat menentukan, (berdasarkan struktur kepemilikan atau pengguna

laporan keuangan, dewan direktur independen tidak relevan dengan entitas) selama evaluasi
ini mereka masih mungkin menentukan bahwa pengawasan strategis atau proses serupa
dengan yang dilakukan oleh dewan direksi mungkin bermanfaat dan relevan untuk struktur
pengendalian internal mereka.
B. Perkiraan risiko
Empat prinsip diperkenalkan terkait dengan penilaian risiko:
6. Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan
identifikasi dan penilaian risiko yang berkaitan dengan tujuan.
7. Organisasi mengidentifikasi risiko terhadap pencapaian tujuan di seluruh entitas dan
analisis risiko sebagai dasar untuk menentukan bagaimana risiko harus dikelola.
8. Organisasi menganggap potensi untuk penipuan dalam menilai risiko terhadap
pencapaian tujuan.
9. Organisasi mengidentifikasi dan menilai perubahan yang signifikan dapat
mempengaruhi sistem internal kontrol.
Sebuah penambahan yang signifikan pada Framework 2013 adalah pertimbangan langsung
pada 8 prinsip dari risiko penipuan untuk organisasi. Meskipun pengendalian internal yang
efektif diharapkan menjadi sarana untuk mengatasi risiko penipuan, Framework sekarang
secara eksplisit membahas kebutuhan organisasi untuk mempertimbangkan risiko penipuan
ketika merancang internal yang proses kontrol untuk memenuhi tujuannya. Kegagalan untuk
menilai risiko karena cukup untuk penipuan untuk setiap tujuan akan merupakan kekurangan
utama dalam struktur pengendalian intern entitas.
Akhirnya, 9 prinsip secara khusus membahas kebutuhan organisasi untuk memahami dan
mengevaluasi bagaimana perubahan faktor internal dan eksternal mempengaruhi sistem
pengendalian internal. Hal ini akan memandu perusahaan untuk mengevaluasi kembali
pengendalian internal secara tepat waktu untuk menanggapi perubahan diidentifikasi.
C. Kegiatan pengendalian
Tiga prinsip diperkenalkan terkait untuk mengontrol kegiatan:
10. Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi
terhadap mitigasi risiko terhadap pencapaian tujuan ke tingkat yang dapat diterima.
11. Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas
teknologi untuk mendukung pencapaian tujuan.

12. Organisasi menyebarkan aktivitas pengendalian melalui kebijakan yang

menetapkan apa yang diharapkan dan prosedur yang menempatkan kebijakan ke
dalam tindakan.
Diskusi teknologi secara signifikan diperluas dalam "kegiatan pengendalian" bagian. Ini
termasuk kegiatan diskusi kontrol otomatis dan kontrol umum atas teknologi. Konsep-konsep
ini dibahas secara luas, tidak tergantung pada teknologi yang ada, tetapi untuk memberikan
landasan mempertimbangkan dampak teknologi untuk organisasi sebagai perubahan
teknologi dari waktu ke waktu.
Panduan dalam bagian ini menjelaskan bahwa kegiatan pengendalian yang merupakan bagian
dari pengendalian internal adalah tindakan yang ditetapkan oleh kebijakan dan prosedur,
bukan kebijakan dan prosedur sendiri. Hal ini membantu menggambarkan bahwa ada
beberapa faktor yang harus hadir agar kegiatan kontrol tertentu menjadi efektif, yang meliputi
kompetensi dan komitmen untuk kualitas orang-orang yang melakukan kegiatan.
D. Informasi dan komunikasi
Tiga prinsip diperkenalkan berkaitan dengan informasi dan komunikasi:
13. Organisasi memperoleh atau menghasilkan dan menggunakan, kualitas informasi
yang relevan untuk mendukung fungsi pengendalian internal.
14. Organisasi internal mengkomunikasikan informasi, termasuk tujuan dan tanggung
jawab untuk pengendalian internal, yang diperlukan untuk mendukung fungsi
pengendalian internal.
15. Organisasi berkomunikasi dengan pihak luar mengenai hal-hal yang mempengaruhi
fungsi pengendalian internal.
Telah terjadi perubahan signifikan dalam kuantitas dan ketersediaan informasi selama dua
dekade terakhir. Perubahan Framework menekankan pentingnya fokus pada kualitas
informasi dan telah memperluas diskusi tentang keandalan informasi yang dihasilkan dan
digunakan dalam pengendalian sistem internal. Selain itu, Framework 2013 berfokus pada
perlindungan informasi entitas. 15 Prinsip menyoroti pentingnya komunikasi di luar entitas
(penyedia layanan pihak ketiga, Pemilik, atau orang lain).
E. Kegiatan pemantauan
Dua prinsip diperkenalkan berkaitan dengan kegiatan monitoring:

16. Organisasi memilih, mengembangkan, dan melakukan dan / atau evaluasi terpisah
sedang berlangsung untuk memastikan apakah komponen pengendalian internal
yang hadir dan berfungsi.
17. Organisasi mengevaluasi dan berkomunikasi tentang kekurangan pengendalian
internal pada waktu yang tepat untuk mereka pihak yang bertanggung jawab untuk
mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi,
sewajarnya.
Seperti disebutkan di atas, judul komponen ini telah diubah untuk memperluas persepsi
pemantauan sebagai serangkaian kegiatan yang dilakukan secara individu dan sebagai bagian
dari masing-masing empat komponen lain, daripada sebagai salah satu proses yang unik.
Framework 2013 memperluas diskusi tentang bagaimana teknologi dan pihak ketiga
berdampak penyedia layanan kegiatan monitoring suatu entitas. Hal ini juga memperkenalkan
dua kategori utama pemantauan kegiatan: evaluasi berkelanjutan dan evaluasi terpisah.
Pengenalan 81 Poin Fokus
Selain prinsip-prinsip, Framework 2013 memperkenalkan 81 poin fokus. Titik-titik fokus
biasanya karakteristik penting dari prinsip-prinsip yang dapat digunakan untuk memfasilitasi
merancang, melaksanakan, dan melakukan pengendalian internal. Ini adalah item manajemen
agar dapat mempertimbangkan dan menentukan apakah prinsip-prinsip ada dan berfungsi.
Framework 2013 secara eksplisit menunjukkan bahwa manajemen tidak diperlukan secara
terpisah mengevaluasi setiap titik fokus di tempat untuk menentukan apakah prinsip-prinsip
ada dan berfungsi.
Penambahan prinsip-prinsip dan titik fokus mewakili sejumlah besar dan volume perubahan
struktur Framework dan panduan yang menyertainya. Mirip dengan hubungan antara prinsipprinsip dan komponen, titik-titik fokus yang terstruktur untuk mendukung masing-masing
prinsip. Sementara hal ini tidak menyelidiki pertimbangan rinci dari masing-masing titik
fokus.

Skalabilitas Untuk Entitas Kecil Dan Pemerintah

Bagi banyak entitas yang lebih kecil, ketika melihat sekilas melalui titik fokus jelas bahwa
akan banyak yang tidak relevan untuk operasi mereka. Tujuan pelaporan tertentu, seperti
pelaporan non-keuangan eksternal atau pelaporan kepatuhan, mungkin tidak berlaku.

Memahami fokus yang tepat untuk melihat prinsip-prinsip adalah langkah pertama menuju
skala Framework.

Tanggal Efektif Dan Transisi

Tujuan COSO memperbarui Framework asli adalah untuk mencerminkan perubahan dalam
bisnis dan operasi lingkungan, untuk meresmikan lebih eksplisit prinsip-prinsip yang
tertanam dalam rangka asli untuk memfasilitasi pengembangan kontrol internal yang efektif
dan penilaian efektivitas, serta meningkatkan kemudahan penggunaan ketika diterapkan
untuk tujuan entitas. Dengan demikian, COSO percaya pengguna harus transisi ke
Framework 2013 dalam aplikasi dan dokumentasi mereka. Namun, jelas ada banyak
perubahan sebagai pertimbangan entitas pada saat mengadopsi Framework 2013.
Perusahaan harus memulai proses transisi dengan terlebih dahulu membaca dan memahami
Framework 2013 dan panduan yang akan digunakan dalam implementasi. Entitas akan perlu
mengevaluasi 17 prinsip untuk menentukan apakah mereka relevan dengan organisasi mereka
dan kemudian menentukan bagaimana pelaksanakannya. Dalam proses ini beberapa entitas
dapat menentukan bahwa suatu prinsip yang tidak relevan diatasi, dan bisa mengetahui
material apa yang kurang dalam pengendalian internal mereka. Mereka akan perlu
mengevaluasi apakah kekurangan yang diidentifikasi memiliki implikasi bagi para pengguna
informasi keuangan mereka atau auditor mereka. Selain pertimbangan prinsip-prinsip, adopsi
dari Framework 2013 membutuhkan manajemen dan auditor untuk memperbarui
dokumentasi yang relevan untuk mencerminkan bagaimana tujuan entitas yang terpenuhi
melalui komponen dan prinsip-prinsip terkait.
COSO akan terus menyediakan Framework 1992 selama masa transisi dan memperluasnya
pada 15 Desember 2014. COSO percaya konsep kunci prinsip-prinsip yang tertanam dalam
rangka asli yang fundamental diterima secara luas di pasar, dan diperbolehkan menggunakan
Framework asli selama masa transisi (Mei 14, 2013 sampai 15 Desember 2014) adalah tepat.
Selama periode itu, penerapan COSO Internal Control Integrated Framework yang
melibatkan pelaporan eksternal harus jelas mengungkapkan apakah memanfaatkan versi asli
atau versi 2013.
Karena entitas tidak diharuskan menggunakan Framework oleh badan pengawas, setiap
entitas perlu secara individual menentukan jalur transisi ke Framework yang baru. Ini penting

bagi entitas untuk mempertimbangkan harapan para pengguna laporan keuangan sampai
jangka waktu Framework adopsi. Auditor akan perlu bekerja dengan klien untuk memahami
Framework yang mereka gunakan dan bagaimana transisi akan berdampak pada prosedur
audit mereka.
Proses untuk memperbarui Framework COSO adalah proyek multi-tahun, ada kemungkinan
bahwa implementasi dan transisi ke Framework 2013 akan mengambil waktu dan usaha yang
baik dari bagian dari entitas manajemen dan auditor nya. Panduan diperbarui dan informasi di
Framework 2013 memberikan landasan kuat bagi entitas untuk mengevaluasi kembali sistem
pengendalian internal mereka dan memastikan mereka diperbarui tepat waktu untuk
perubahan faktor risiko internal dan eksternal.
Sumber: Sara Lord, Partner, National Professional Standards Group, McGladrey LLP (May
2013)