Pengertian COSO

 Tentang COSO

okay , kali ini saya akan membahas dan mengulas tentang COSO. Sebelum saya mengulasnya saya
akan memberitahu apa sih kepanjangan dari COSO? kepanjangan dari COSO adalah Committee of
Sponsoring Organizations of the Treadway Commission.Sebenernya COSO itu ada kaitannya
dengan FCPA tujuannya sama aja untuk melawan Fraud dan korupsi yang marak di Amerika tahun
70-an dulu sih.COSO adalah sebuah komisi yang bertujuan untuk melakukan melakukan riset
mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat
rekomendasi2 yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan
institusi pendidikan.

 Kerangka kerja pengendalian internal

Definisi Pengendalian Internal COSO

“suatu proses, yang dipengaruhi oleh dewan komisaris, manajemen, dan personil lainnya dari
sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan
pencapaian tujuan dalam beberapa kategori”.
Kategori-kategori dalam pencapaian tujuan Pengendalian Internal

1. Efektivitas dan efisiensi operasi

2. Keandalan laporan keuangan

3. Kepatuhan terhadap hukum dan peraturan yang berlaku

Laporan ini menekankan bahwa sistem pengendalian internal merupakan alat/perangkat dari
manajemen dan bukan pengganti manajemen. Jadi manajemen dan sistem pengendalian seharusnya
dibentuk didalam kegiatan operasi.
COSO menekankan Pengendalian Internal sebagai suatu “proses” yang merupakan bagian tidak
terpisahkan dari aktivitas bisnis entitas yang berkelanjutan (on going business activities). Untuk tujuan
pelaporan manajemen kepada publik.
Pengendalian Internal terkait penjagaan asset dari pengambilan, penggunaan, atau penghilangan
yang tidak terotorisasi adalah suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan
personil lainnya dari sebuah entitas, yang dirancang untuk memberikan keyakinan/jaminan yang
wajar berkaitan dengan pencegahan atau deteksi dini terhadap pengambilan, penggunaan, atau
penghilangan yang tidak terotorisasi terhadap asset entitas sehingga dapat memberikan
pengaruh/efek yang material terhadap laporan keuangan.
Pihak yang terlibat
Didalam dokumen COSO dikatakan bahwa pihak-pihak yang terlibat dalam Pengendalian Internal
adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yang mendukung pencapaian tujuan
organisasi. Serta menyatakan bahwa tanggung jawab atas penetapan, penjagaan, dan pengawasan
sistem Pengendalian Internal adalah tanggung jawab manajemen.
Tujuan Pengendalian Internal bagi Organisasi
Asumsi COSO, bahwa entitas telah menetapkan sendiri tujuan dari aktivitas operasinya. Namun
COSO mengidentifikasikan tiga tujuan utama dari entitas, antara lain :
§ Efektivitas dan efisiensi operasi
§ Keandalan laporan keuangan
§ Kepatuhan terhadap hukum dan peraturan yang berlaku
Komponen yang saling terkait dalam internal control menurut COSO framework, yaitu:
COSO mengidentifikasi Sistem Pengendalian Internal yang efektif meliputi lima komponen yang
saling berhubungan untuk mendukung pencapaian tujuan entitas, yaitu:
(a) Lingkungan Pengendalian (Control Environment)
Pondasi dari komponen lainnya dan meliputi beberapa faktor diantaranya :
Integritas dan Etika
§ Komitmen untuk meningkatkan kompetensi
§ Dewan komisaris dan komite audit
§ Filosofi manajemen dan jenis operasi
§ Kebijakan dan praktek sumber daya manusia
COSO menyediakan pedoman untuk mengevaluasi tiap faktor yang ada. Misal, filosofi manajemen
dan jenis operasi dapat dinilai dengan cara menguji sifat dari penerimaan risiko bisnis, frekuensi
interaksi dari tiap subordinat, dan pengaruhnya terhadap laporan keuangan.
(b) Penilaian Risiko (Risk Assessment)
Terdiri dari identifikasi risiko dan analisis risiko. Identifikasi risiko merupakan pengujian terhadap
faktor-faktor eksternal seperti perkembangan teknologi, persaingan, dan perubahan ekonomi. Factor
internal diantaranya kompetensi karyawan, sifat dari aktivitas bisnis, dan karakteristik pengelolaan
sistim informasi. Sedangkan Analisis Risiko dilakukan dengan mengestimasi signifikansi risiko,
menilai kemungkinan terjadinya risik, dan bagaimana mengelola risiko tersebut.
(c) Aktivitas Pengendalian (Control Activities)
Terdiri dari kebijakan dan prosedur yang menjamin karyawan melaksanakan arahan manajemen.
Aktivitas Pengendalian meliputi review terhadap sistim pengendalian, pemisahan tugas, dan
pengendalian terhadap sistim informasi.
Pengendalian terhadap sistim informasi meliputi dua cara :
General controls, mencakup kontrol terhadap akses, perangkat lunak, dan system development.
Application controls, mencakup pencegahan dan deteksi transaksi yang tidak terotorisasi. Berfungsi
untuk menjamin completeness, accuracy, authorization and validity dari proses transaksi yang terjadi.
(d) Informasi dan komunikasi
Sistem yang memungkinkan orang atau entitas, memperoleh dan menukar informasi yang diperlukan
untuk melaksanakan, mengelola, dan mengendalikan operasinya dan adanya jalan untuk dapat
mengakses informasi dari dalam dan luar, dengan mengembangkan strategi yang potensial dan
sistem terintegrasi, serta perlunya data yang berkualitas. Sedangkan diskusi
mengenai komunikasi berfokus kepada menyampaikan permasalahan Pengendalian Internal, dan
mengumpulkan informasi pesaing.
(e) Pengawasan (Monitoring)
Sistem pengendalian internal perlu dipantau sepanjang waktu, proses ini bertujuan untuk menilai
mutu kinerja sistem sepanjang waktu. Ini dijalankan melalui aktivitas pemantauan yang terus-
menerus, evaluasi yang terpisah atau kombinasi dari keduanya, melalui aktivitas yang berkelanjutan
dan melalui evaluasi yang ditujukan terhadap aktivitas atau area yang khusus.
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’,
sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk
Management, yaitu:
1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi
dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut.
Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika
dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih dahulusebelum
manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi dalam
pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk
menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi perusahaan dan konsisten
dengan risk appetite-nya.
3. Identifikasi Kejadian (Event Identification), Kejadian internal dan eksternal yang mempengaruhi
pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang yang
dapat terjadi. Peluang dikembalikan kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian Risiko (Risiko Assessment), Risiko dianalisis dengan memperhitungkan kemungkinan
terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi penentuan pengelolaan risiko.
5. Respons Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima,
mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang terjadi masih sesuai
dengan toleransi dan risk appetite.
6. Kegiatan Pengendalian (Control Activities), kebijakan serta prosedur yang ditetapkan dan
diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.
7. Informasi dan Komunikasi (Information and Communication), Informasi yang relevan
diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap
orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila
perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-
menerus, melalui evaluasi secara khusus, atau dengan keduanya.

Fokus utama
COSO menyatakan Pengendalian Internal merupakan partisipasi dari semua stakeholder (pemangku
kepentingan) entitas yang meliputi seluruh/semua area atau fungsi dari bisnis entitas.
Evaluasi keefektifan Pengendalian Internal
Meskipun COSO menekankan Pengendalian Internal sebagai suatu “proses” namun keefektifan dari
pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu tertentu. Jika defisiensi
Pengendalian Internal telah dikoreksi/dibetulkan pada saat pelaporan, COSO menyetujui apabila
laporan manajemen pada pihak luar menyatakan bahwa Pengendalian Internal telah berjalan efektif.
Bagaimana pelaporan masalah Pengendalian Internal
COSO menjelaskan bagaimana manajemen memperoleh dan mengolah informasi jika terjadi
defisiensi Pengendalian Internal. COSO merekomendasikan kepada personil yang mengidentifikasi
terjadinya defisiensi untuk segera melaporkannya kepada atasan langsungnya, namun jika
informasinya sensitif maka perlu adanya jalur khusus penyampaian informasi.
Committee of Sponsoring Organizations of the Treadway Commission, atau
disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan
utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan
keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah
menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat
digunakan perusahaan untuk menilai sistem pengendalianmereka.
COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional; American
Institute of Certified Public Accountants (AICPA), American Accounting
Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA)
dan The Institute of Management Accountants (IMA).[1]
COSO adalah singkatan dari Committee of Sponsoring Organizations of the Treadway
Commission, dimana merupakan suatu inisiatif dari sektor swasta yang dibentuk pada tahun
1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan
penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut.
COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal
yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.

Komisi ini disponsori oleh 5 professional association yaitu: AICPA, AAA, FEI, IIA, IMA. Tujuan
komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on
financial reporting) dan membuat rekomendasi yang terkait dengannya untuk perusahaan publik,
auditor independen, SEC, dan institusi pendidikan.

Walaupun disponsori sama 5 professional association, tapi pada dasarnya komisi ini bersifat
independen dan orang2 yang duduk di dalamnya berasal dari beragam kalangan: industri,
akuntan publik, Bursa Efek, dan investor.

Poin penting dalam report COSO ‘Internal Control – Integrated Framework (1992):
Definisi internal control menurut COSO yaitu suatu proses yang dijalankan oleh dewan
direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:

* Efektifitas dan efisiensi operasional

 * Reliabilitas pelaporan keuangan

 Kepatuhan atas hukum dan peraturan yang berlaku

Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait,
yaitu:
 Control Environment
 Risk Assessment
 Control Activities
 Information and communication
 Monitoring

Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated

Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen
dalam Enterprise Risk Management, yaitu:

 Internal Environment
 Objective Setting
 Event Identification
 Risk Assessment
 Risk Response
 Control Activities
 Information and Communication
 Monitoring
Apa itu Pengendalian Internal ?

Sistem Pengendalian Internal terdiri dari kebijakan dan prosedur yang dirancang
manajemen dengan keyakinan memadai agar entitas mencapai tujuan dan sasarannya.
Kebijakan-kebijakan dan prosedur-prosedur ini sering disebut pengandalian dan secara
kolektif memebentuk pengendalian internal entitas.

Standar Audit 315 mendefinisikan pengendalian internal yaitu proses yang dirancang,
diimplementasikan, dan dipelihara oleh pihak yang bertanggungjawab atas kelola,
manajemen dan personel lain untuk menyediakan keyakinan memadai tentang pencapaian
tujuab entitas yang berkaitan dengan keandalan pelaporan keuangan, efisiensi dan efektivitas
operasi, dan kepatuhan terhadap peraturan perundang-undangan.

Lalu apa tujuannya ? secara umum manajemen memiliki tiga tujuan dalam merancang suatu
pengendalian internal yang efektif, yaitu:

1. Keandalan Pelaporan Keuangan. Manajemen memiliki tanggungjawab hukum dan

profesional untuk memastikan bahwa informasi telah disajikan secara wajar sesuai dengan
persyaratan pelaporan yang ditetapkan oleh IAI dan IFRS. Tujuan pengendalian internal yang
efektif adalah untuk memenuhi tanggungjawab pelaporan keuangan ini.

2. Efektivitas dan efisiensi operasi entitas. Pengendalian dalam suatu entitas akan
mendorong efektivitas dan efisiensi penggunaan sumber-sumber secara optimal untuk
mencapai tujuan entitas. Tujuan utama pengendalian ini adalah untuk memberi informasi
keuangan dan non-keuangan yang akurat tentang operasi entitas untuk pengambilan
keputusan.

3. Kesesuaian dengan undang-undang dan peraturan-peraturan. Entitas-entitas publik,

non-publik, dan organisasi nirlaba berkewajiban untuk menaati banyak undang-undang dan
peraturan-peraturan. Sebagian diantaranya hanya menyangkut akuntansi secara tak langsung,
namun ada juga yang langsung berkaitan dengan akuntansi, seperti undang-undan perpajakan.

Manajemen merancang sistem pengendalian internal untuk mencapai ketiga tujuan di atas.
Dalam pengauditan atas laporan keuangan dab audit atas pengendalian internal, auditor fokus
pada reliabilitas laporan keuangan dan pengendalian atas operasi, serta kesesuaian dengan
undang-undang dan peraturan-peraturan yang dapat secara material mempengaruhi laporan
keuangan.

Suatu pengendalian internal bisa dikatakan efektif apabila ketiga kategori tujuan perusahaan
tersebut dapat dicapai, yaitu dengan kondisi:

a. Direksi dan manajemen mendapat pemahan akan arah pencapain tujuan perusahaan,
dengan, meliputi pencapaian tujuan atau target perusahaan, termasuk juga kinerja, tingkat
profitabilitas, dan keamanan sumberdaya (asset) perusahaan.
 b. Laporan Kuangan yang dipublikasikan adalah handal dan dapat dipercaya, yang meliputi
laporan segmen maupun interim.

c. Prosedur dan peraturan yang telah ditetapkan oleh perusahaan sudah ditaati dan dipatuhi
dengan semestinya.

Komponen Pengendalian Internal

Komponen Pengendalian Internal adalah butir-butir yang harus dipahami auditor. Untuk
tujuan standar audit, pembagian pengendalian internal ke dalam lima komponen di bawah ini
menyediakan suatu kerangka yang bermanfaat bagi auditor untuk mempertimbangkan
bagaimana berbagai aspek pengendalian internal yang berbeda pada entitas dapat
mempengaruhi audit:

1. Lingkungan pengendalian (contol environment), dalam komponen ini memiliki tujuan

sebagai berikut :

 Integritas dan nilai-nilai etik

 Komitmen pada kompetensi

 Falsafah manajemen dan gaya pengoperasian

 Pelimpahan wewenang dan tanggung jawab

 Kebijakan dan prosedur kepegawaian

2. Penilaian risiko (risk assessment), dalam penilaian risiko adalah identitas, analisis dan
manajemen risiko entitas yang relevan dengan penyusunan laporan keuangan yang disajikan
secara wajar sesuai dengan pronsip akuntansi yang berlaku umum. Analisis risiko meliputi
mengestimasi signifikan risiko, menilai kemungkinan terjadina risiko dan bagaimana
mengelola risiko.

3. Aktifitas pengendalian (control activities), aktivitas pengendalian adalah kebijakan dan

prosedur yang dikembangkan oleh manajemen untuk mengantisipasi risiko yang dapat
menghalangi entitas mencapai tujuan.

4.Informasi dan komunikasi (informasion and communication), dalam komponen ini

berfokus utama dengan berkaitan sistem informasi akuntansi dengan cara pengidentifikasian,
penangkapan, dan pertukaran informasi dalam suatu bentuk dan kerangka waktu yang
membuat orang mampu melaksanakan tanggung jawab mereka.

5. Pemantauan terhadap pengendalian. Maksudnya adalah suatu proses untuk menilai

efektivitas pelaksanaan pengendalian internal. Kegiatan ini melibatkan penilaian efektivitas
pengendalian secara berkala dan tepat waktu , serta melakukan tindakanperbaikan yang
diperlukan.
 Keterbatasan Pengendalian Internal Suatu Entitas

Sebaik apapun suatu pengendalian internal dirancang dan dioperasikan dalam suatu
perusahaan, tetap saja ada berbagai keterbatasan yang melekat pada prakteknya di lapangan.
Berikut di antaranya:

 Kesalahan dalam pertimbangan. Manajemen dan personel lainnya dapat melakukan

pertimbangan yang buruk dalam membuat keputusan bisnis atau dalam melaksanakan tugas rutin
karena informasi yang tidak mencukupi, keterbatasan waktu, atau prosedur lainnya

 Kemacetan. Kemacetan dalam melaksanakan pengendalian dapat terjadi ketika personel

salah memahami instruksi atau membuta kekeliruan akibat kecerobohan, kebingungan, atau
kelelahan. Perubahan sementara atau permanen dalam personel atau dalam sistem atau prosedur
juga dapat berkontribusi pada teradinya kemacetan

 Kolusi. Individu yang bertindak bersama, seperti karyawan yang melaksanakan suatu
pengendalian penting bertindak bersama dengan karyawan lain, konsumen atau pemasok, dapat
melakukan sekaligus menutupi kecurangan sehingga tidak dapat dideteksi oleh pengendalian internal

 Penolakan manajemen. Manajemen dapat mengesampingkan kebijakan atau prosedur

tertulis untuk tujuan tidak sah seperti keuntungan pribadi atau presentasi mengenai kondisi
keuangan suatu entitas yang dinaikkan ( misal, menaikkan laba yang dilaporkan untuk menaikkan
pembayaran bonus atau nilai pasar dari saham entitas ). Praktik penolakan termasuk membuat
penyajian yang salah dengan sengaja kepada auditor dan lainnya seperti menerbitkan dokumen
palsu untuk mendukung pencatatan transaksi penjualan fiktif

 Biaya versus manfaat. Biaya pengendalian internal suatu entitas seharusnya tidak melebihi
manfaat yang diharapkan untuk diperoleh. Karena pengukuran yang tepat baik dari biaya dan
manfaat biasanya tidak memungkinkan, manajemen harus membuat baik estimasi kuantitatif
maupun kualitatif dalam mengevaluasi hubungan antara biaya dan manfaat.

Sumber: Jusup, Al Haryono, 2014. Auditing (Pengauditan Berbasis ISA). Edisi 2, cetakan
pertama. Penerbit: STIE YKPN, Yogyakarta.

HALAMAN :