Sejarahnya, COSO ini ada kaitannya sama FCPA yang dikeluarkan sama SEC dan US
Congress di tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an.
Bedanya, kalau FCPA adalah inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih
merupakan inisiatif dari sektor swasta.
Komisi ini disponsori oleh 5 professional association yaitu: AICPA, AAA, FEI, IIA,
IMA. Tujuan komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan
(fraudulent on financial reporting) dan membuat rekomendasi yang terkait dengannya untuk
perusahaan publik, auditor independen, SEC, dan institusi pendidikan. Walaupun disponsori
sama 5 professional association, tapi pada dasarnya komisi ini bersifat independen dan orang2
yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik, Bursa Efek,
dan investor.
Poin penting dalam report COSO Internal Control Integrated Framework (1992), yaitu:
Definisi internal control menurut COSO merupakan suatu proses yang dijalankan oleh
dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai, efektifitas
dan efisiensi operasional; reliabilitas pelaporan keuangan; kepatuhan atas hukum dan peraturan
yang berlaku.
Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait,
yaitu:
1
1. Control environment / lingkungan pengendalian
Lingkungan pengendalian merupakan pondasi dari semua komponen
pengendalian intern lainnya yang menyediakan disiplin dan struktur. Lingkungan
pengendalian menetapkan suasana dari suatu organisasi yang mempengaruhi kesadaran
akan pengendalian dari orang-orangnya. Komponen dari lingkungan pengendalian dapat
berupa, yaitu:
Jenis godaan yang mendorong stakeholder untuk terlibat dalam tindakan akuntansi
atau serupa yang tidak benar termasuk :
1) Tidak adanya atau tidak efektif nya pengendalian
2) desentralisasi yang tinggi
3) sebuah fungsi audit internal yang lemah tidak memiliki kemampuan untuk
mendeteksi dan melaporkan perilaku yang tidak benar
4) hukuman untuk perilaku yang tidak tepat yang tidak signifikan atau tidak
dipublikasikan
b. Commitment to competence (komitmen terhadap kompetensi)
Komitmen terhadap kompetensi mencakup pertimbangan manajemen mengenai
pengetahuan dan keahlian yang diperlukan dan bauran dari intelegensi, pelatihan, dan
pengalaman yang diperlukan untuk mengembangkan kompetensi tersebut.
c. Board of Directors and audit committee (dewan komisaris dan komite audit)
2
Seberapa jauh komunikasi dewan direksi dengan komite audit yang merupakan wakil
pemegang saham minoritas. Lingkungan pengendalian sangat dipengaruhi oleh tindakan
dewan direksi dan komite audit. Di tahun sebelum Sox, dewan dan komite audit sering
didominasi oleh manajemen senior di dalam direksi. Ini menciptakan situasi dimana
dewan tidak benar-benar independen dari manajemen. Namun sekarang setelah muncul
Sox, sangat dibutuhkan komite audit yang benar-benar independen. Dewan yang aktif dan
mandiri merupakan komponen penting dari lingkungan pengendalian COSO.
3
terhadap pencapaian tujuan entitas, dan (2) setiap individu akan bertanggung jawab atas
hal apa .
Bagian kerangka laporan pengendalian internal COSO menggambarkan area yang sangat
penting dari lingkungan pengendalian:
5
selain dilihat pada tingkat perusahaan , risiko juga harus dipertimbangkan untuk setiap
unit bisnis yang signifikan dan aktivitas utama seperti pemasaran, TI, dan keuangan
6
a. Hubungan informasi dan pengendalian internal
Perusahaan membutuhkan informasi dari semua tingkatan dalam perusahaan untuk
mencapai tujuan operasional, keuangan, dan kepatuhan. Contoh: perusahaan
membutuhkan informasi untuk mempersiapkan laporan keuangan yang akan
dikomunikasikankepada investor luar sebagaimana biaya internal dan informasi
preferensi pasar eksternal untuk membuat keputusan pemasaran yang tepat.
Melalui sistem strategi, pengendalian internal COSO melaporkan bahwa manajemen
seharusnya mempertimbangkan perencanaan, desain dan implementasi dari sistem
informasinya sebagai bagian dari strategi perusahaan secara keseluruhan. Untuk
menentukan kualitas dari informasi maka harus dipastikan apakah :
1) isi dari informasi yang dilaporkan sesuai
2) informasi tersebut tepat waktu dan tersedia bila diperlukan
3) informasi yang tersedia merupakan informasi terbaru / terkini
4) data dan informasi sudah benar
5) informasi tersebut dapat diakses oleh pihak yang tepat / seluruh unit dalam
organisasi
b. Aspek komunikasi dari pengendalian internal
1) Komunikasi: komponen internal
Komponen yang paling penting dari komponen komunikasi adalah bahwa
para stakeholder harus menerima pesan dari manajemen senior mengingatkan mereka
akan tanggung jawab pengendalian internal mereka
2) Komunikasi eksternal
Perusahaan perlu untuk membangun saluran komunikasi dengan pihak luar,
termasuk pelanggan, pemasok, pemegang saham, bankir, regulator, dan lainnya
3) Cara dan metode komunikasi
Tidak ada satu cara yang benar untuk mengkomunikasikan informasi
pengendalian internal dalam perusahaan. Perusahaan modern dapat
mengkomunikasikan pesannya melalui papan pengumuman buletin, webcast,
videotape, atau pidato oleh anggota manajemen
5. Monitoring / Pemantauan
a. Aktivitas pemantauan terus menerus
1) Operating management normal functions. Tinjauan manajemen secara normal
selama operasi dan laporan keuangan merupakan suatu kegiatan pemantauan
penting
2) Communication from external parties. Unsur pemantauan terkait erat dengan
komponen komunikasi dari pihak eksternal. Komunikasi eksternal mengukur
pemantauan seperti nomor telepon keluhan pelanggan.
7
3) Enterprise structure and supervisory activities. Sementara manajemen senior
harus selalu meninjau laporan ringkasan dan mengambil langkah perbaikan, level
pertama dari pengawasan dan struktur perusahaan terkait sering memainkan peran
yang lebih signifikan dalam pemantauan.
4) Physical inventories and asset reconciliation. Apakah senantiasa dilakukan
pemantauan secara periodik terhadap persediaan dan rekonsiliasi aset dalam
perusahaan ?
b. Evaluasi pengendalian internal terpisah
1) Proses evaluasi pengendalian internal. Apakah dilakukan evaluasi secara berkala
terhadap proses pengendalian internal?
2) Rencana kegiatan evaluasi. Apabila terjadi penyimpangan atau kesalahan, apakah
ada rencana evaluasi untuk memperbaiki sehingga menjadi lebih baik ?
c. Melaporkan kekurangan pengendalian internal
Temuan tentang adanya kekurangan pengendalian internal biasanya harus dilaporkan.
Tidak hanya untuk individu yang bertanggung jawab atas fungsi atau kegiatan yang
terlibat tetapi juga untuk setidaknya satu tingkat manajemen.
Di tahun 2004, COSO mengeluarkan report Enterprise Risk Management Integrated
Framework, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen
dalam Enterprise Risk Management, yaitu:
a. Internal Environment
b. Objective Setting
c. Event Identification
d. Risk Assessment
e. Risk Response
f. Control Activities
h. Monitoring
Contoh perusahaan yang menggunakan Sistem Pengendalian Internal COSO, yaitu BCA.
Sistem pengendalian interen BCA mengacu pada Surat Edaran Bank Indonesia No.5/22/DPNP
Tentang Pedoman Standar Sistem Pengendalian Interen bagi Bank Umum tertanggal 29
September 2003 yang mencakup 5 (lima) komponen antara lain: 1. Pengawasan oleh manajemen
8
dan kultur pengendalian. 2. Identifikasi dan penilaian risiko. 3. Kegiatan pengendalian dan
pemisahan fungsi. 4. Sistem akuntansi, informasi, dan komunikasi. 5. Kegiatan pemantauan dan
tindakan koreksi penyimpangan. Kelima komponen tersebut sejalan dengan Internal Control-
Integrated Framework yang dikembangkan oleh The Committee of Sponsoring Organization of
the Treadway Commission (COSO). Di samping itu, BCA juga memiliki business continuity plan
dan disaster recovery plan untuk mempercepat proses pemulihan pada saat terjadi bencana
(disaster) dan memiliki sistem back up untuk mencegah kegagalan usaha yang berisiko tinggi.
Seluruh manajemen dan karyawan BCA memiliki peran dan tanggung jawab dalam
meningkatkan kualitas dan pelaksanaan sistem pengendalian internal BCA. Pihak-pihak yang
terlibat dan bertanggung jawab dalam terlaksananya sistem pengendalian internal BCA antara
lain Dewan Komisaris, Komite Audit, Direksi, Divisi Audit Internal, pejabat dan pegawai BCA,
Pengawasan Internal Cabang, Pengawasan Internal Kantor Wilayah dan Pengawasan Internal
Unit Kerja Tertentu di Kantor Pusat.
DAFTAR PUSTAKA