Sebelum masuk ke dalam topik mengenai Internal Control (IC), terlebih dahulu kita harus

mengenal apa itu COSO. The Committee of Sponsoring Organization of Treadway Commission
adalah joint initiative dari lima organisasi sukarela dari sektor privat yang bertujuan untuk
mengembangkan kerangka dan panduan mengenai Manajemen Risiko, Pengendalian Internal, dan
Pencegahan Fraud. Kelima organisasi tersebut terdiri dari American Accounting Associaton
(AAA), American Institute of Certified Public Accountant (AICPA), Financial Executive
International (FEI), The Association of Accountant and Financial Professionals in Business (IMA),
dan The Institute of Internal Auditor (IIA).

Produk yang telah dihasilkan oleh COSO antara lain Internal Control – Integrated Framework
(1992) dan Enterprise Risk Management – Integrated Framework (1994). Indonesia mengadopsi
Internal Control – Integrated Framework (1992) dalam Peraturan Pemerintah Nomor 60 Tahun
2008 mengenai Sistem Pengendalian Intern Pemerintah. Dalam perkembangannya COSO telah
mengeluarkan kerangka IC terbaru yaitu Internal Control – Integrated Framework (2013) untuk
menggantikan kerangka IC yang lama.

COSO mendefinisikan IC adalah process, effected by an entity’s board of directors, management,

and other personnel, designed to provide reasonable assurance regarding the achievement of
objectives relating to operations, reporting, and compliance. Definisi ini sengaja dibuat secara
luas agar dapat menangkap konsep yang penting mengenai bagaimana suatu organisasi merancang,
mengimplementasikan, melaksanakan IC, dan menilai efektivitas dari sistem pengendalian
internal, serta memberikan dasar dalam pengaplikasiannya di berbagai tipe organisasi. Selain itu
definisi ini juga mengakomodasi bagian-bagian dari IC.

Tujuan dari IC terdiri dari operations, reporting, dan compliance dapat dijelaskan sebagai berikut:

1. Operations Objectives.

Tujuan operasional terkait dengan pencapaian visi, misi, dan tujuan didirikannya entitas.
Tujuan ini terkait dengan peningkatan financial performance, produktivitas, kualitas,
enviromental practices, return of assets, dan likuiditas. Salah satu tujuan yang terkait
dengan tujuan operasional adalah Pengamanan Aset. Entitas dapat menentukan tujuan yang
terkait dengan pencegahan kehilangan aset serta secara periodik mendeteksi dan
melaporkan kehilangan aset.

2. Reporting Objectives.

Tujuan pelaporan berkaitan dengan penyusunan laporan untuk digunakan oleh organisasi
dan stakeholders dalam hubungannya dengan pelaporan finansial/non-finansial serta
pelaporan eksternal/internal. Karakteristik dari pelaporan finansial/non-finansial eksternal
adalah disesuaikan dengan aturan dan kebutuhan eksternal, dipersiapkan sesuai dengan
standar eksternal, dan mungkin diharuskan menurut regulator, kontrak, dan perjanjian.
Sedangkan karakteristik pelaporan finansial/non-finansial internal adalah digunakan dalam
pengambilan keputusan dan pengelolaan bisnis serta ditetapkan oleh manajemen dan
board.
 3. Compliance Objectives.

Aturan dan hukum merupakan standar minimal dari perilaku organisasi. Organisasi
diharapkan akan menggabungkan standar tersebut ke dalam tujuan dari entitas, bahkan
organisasi dapat menetapkan standar yang lebih tinggi daripada yang ditetapkan oleh
hukum dan peraturan.

Satu tujuan dan tujuan lainnya dapat saling tumpang tindih atau saling membantu.
Misalnya dalam hal pelaporan keuangan, dapat menjadi dasar bagi manajemen dalam
melakukan review dalam kinerja operasionalnya serta kepatuhannya terhadap aturan.
Selain itu, pengamanan aset yang merupakan salah satu contoh tujuan operasional juga
berpengaruh terhadap ketepatan jumlah aset dalam pelaporan. Sehingga dapat disimpulkan
bahwa penetapan tujuan-tujuan ini tetap saling berkesinambungkan, tapi tetap bergantung
dengan situasi yang ada.

Selain tujuan, IC juga memiliki lima komponen serta 17 prinsip. Komponen dalam IC adalah
sebagai berikut:

Control Environment.

Lingkungan pengendalian adalah rangkaian standar, proses dan struktur yang menjadi dasar dalam
pelaksanaan IC di seluruh organisasi. Terdapat lima prinsip yang terkait dengan komponen ini
yaitu:

• Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika

• Board of directors menunjukkan independensi dari manajemen dan melaksanakan
pengawasan terhadap pengembangan dan pelaksanaan IC.
• Dengan pengawasan Board, manajemen menetapkan struktur, bentuk pelaporan, tanggung
jawab dan otoritas yang diperlukan dalam rangka pencapaian tujuan.
• Organisasi menetapkan komitmen dalam menarik, mengembangkan, dan mempertahankan
individu yang kompeten dalam rangka pencapaian tujuan.
• Organisasi memegang individu yang bertanggungjawab dalam IC dalam rangka
pencapaian tujuan.

Risk Assessment.

Penilaian risiko melibatkan proses yang dinamis dan berulang untuk mengidentifikasi dan
menganalisis risiko untuk mencapai tujuan, serta membentuk dasar mengenai bagaimana risiko
harus dikelola. Terdapat empat prinsip yang berkaitan dengan komponen ini yaitu:

• Organisasi menentukan tujuan yang spesifik sehingga memungkinkan untuk dilakukan

identifikasi dan penilaian risiko yang terkait dengan tujuan.
• Organisasi mengidentifikasi risiko yang terkait dengan pencapaian tujuan di seluruh entitas
dan menganalisis risiko untuk menjadi dasar bagaimana risiko akan diperlakukan.
• Organisasi mempertimbangkan potensi fraud dalam penilaian risiko.
 • Organisasi mengidentifikasi dan menilai perubahan yang akan memengaruhi sistem
pengendalian internal secara signifikan.

Terkait dengan pengelolaan risiko, COSO telah mengeluarkan kerangka tersendiri mengenai
Enterprise Risk Management – Integrated Framework (2004)

Control Activities.

Aktivitas Pengendalian merupakan tindakan yang ditetapkan dengan prosedur dan kebijakan untuk
meyakinkan bahwa manajemen telah mengarah untuk memitigasi risiko dalam rangka pencapaian
tujuan. Terdapat tiga prinsip dalam komponen ini yaitu:

• Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi

terhadap mitigasi risiko sampai pada tingkat yang dapat diterima dalam rangka pencapaian
tujuan.
• Organisasi memilih dan mengembangkan aktivitas pengendalian secara umum terkait
teknologi dalam rangka pencapaian tujuan.
• Organisasi menyebarkan aktivitas pengendalian melalui kebijakan dan prosedur dalam
pengimplementasiannya.

Information and Communication.

Informasi diperlukan dalam rangka pelaksanaan tanggung jawab IC nya dalam rangka pencapaian
tujuan. Sedangkan komunikasi terjadi baik secara internal maupun eksternal dengan menyediakan
informasi yang diperlukan dalam rangka pelaksanaan IC sehari-hari. Terdapat tiga prinsip dalam
komponen ini yaitu:

• Organisasi memperoleh dan menggunakan informasi yang berkualitas dan relevan dalam
rangka mendukung fungsi dari komponen lain dalam IC.
• Organisasi secara internal mengomunikasikan informasi, termasuk tujuan dan tanggung
jawab IC dalam rangka mendukung fungsi dari komponen lain dari IC.
• Organisasi berkomunikasi dengan pihak eksternal terkait hal yang mempengaruhi fungsi
dari komponen lain dalam IC.

Monitoring Activity.

Evaluasi berkelanjutan, terpisah, atau kombinasi keduanya untuk memastikan seluruh komponen
IC ada dan berfungsi. Terdapat dua prinsip dalam komponen ini yaitu:

• Organisasi memilih, mengembangkan, dan melaksanakan evaluasi berkelanjutan dan/atau

terpisah untuk memastikan seluruh komponen IC ada dan berfungsi.
• Organisasi mengevaluasi dan mengomunikasikan defisiensi IC pada pihak yang
bertanggung jawab agar diambil tindakan korektif.

IC memberikan keyakinan yang memadai, bukan mutlak, dalam rangka pencapaian tujuan, akan
tetapi terdapat keterbatasan yang berasal dari:
 1. Preconditions of Internal Control.

Keterbatasan yang pertama adalah kondisi awal sebelum dibangunnya IC. IC tidak bisa
mencakup seluruh kegiatan yang dilakukan oleh organisasi. Salah satu hal yang tidak
dicakup adalah pra-kondisi entitas sebelum IC diterapkan. Kelemahan entitas dalam
memilih, mengembangkan, dan mengevaluasi manajemen dapat membatasi
kemampuannya dalam melakukan pengawasan terhadap IC. Selain itu tidak tepatnya
proses penetapan strategi dan tujuan akan mengakibatkan pemilihan tujuan yang tidak
realistis, tidak tepat, dan tidak spesifik.

2. Judgement.
Keterbatasan kedua adalah fakta bahwa penilaian manusia dalam pengambilan keputusan
bisa keliru. Manusia memiliki kelemahan dalam mengambil keputusan bisnis yang
berdasarkan pada waktu, informasi yang terbatas, serta di bawah tekanan, sehingga bisa
menghasilkan keputusan (penilaian) yang tidak tepat dan perlu diubah.

3. Breakdowns.
Keterbatasan ketiga adalah kerusakan yang dapat terjadi karena kesalahan pegawai. Sistem
IC yang baik bisa mengalami kerusakan. Personel mungkin dapat salah memahami
instruksi, melakukan kesalahan, atau memiliki terlalu banyak tugas

4. Management Override.

Keterbatasan keempat adalah kemampuan manajemen untuk mengabaikan IC. Entitas

dengan sistem pengendalian internal yang efektif masih mungkin untuk memiliki manajer
yang mengesampingkan IC.

5. Collusion
Keterbatasan kelima adalah kemampuan manajemen, personel lain, dan pihak ketiga untuk
melakukan kolusi. Kolusi dapat mengakibatkan defisiensi dalam IC. Individu yang beraksi
secara bersama-sama dapat menyembunyikan tindakan kecurangan dan mengubah
informasi keuangan atau lainnya sehingga tidak dapat dicegah dan dideteksi oleh IC.

Dengan terbitnya Internal Control – Integrated Framework Tahun 2013, terjadi beberapa
perubahan dibandingkan dengan Internal Control – Integrated Framework Tahun 1992.
Perubahan-perubahan yang terjadi secara umum antara lain:

1. Kerangka yang baru memberikan perhatian yang lebih besar pada prinsip. Prinsip-prinsip
ini dimaksudkan untuk profit companies, non-profit companies, badan pemerintah dan
organisasi lainnya. Komponen dan prinsip terdiri dari kriteria yang akan membantu
manajemen untuk menilai apakah entitas telah memiliki IC yang efektif.
2. Memperluas kategori reporting objectives dengan mempertimbangkan pelaporan eksternal
di luar pelaporan keuangan serta pelaporan internal baik keuangan maupun non-keuangan.
 3. Menjelaskam peran penetapan tujuan, tidak hanya merupakan proses manajemen yang
dilakukan di pra-kondisi IC, tetapi diperluas dengan menentukan tujuan dengan
mempertimbangkan kesesuaiannya.
4. Memperluas konsep governance terutama yang terkait dengan board of directors, commitee
of the board, termasuk audit, kompensasi, nominasi, dan komite governance.
5. Mempertimbangkan globalisasi dengan mencakup perubahan dalam model operasi
manajemen, struktur legal entitas dan peran terkait, tanggung jawab dan akuntabilitas
terkait IC dalam unit dan sub-unit serta mempertimbangkan risiko internal terkait merger
dan akuisisi.
6. Mempertimbangkan struktur organisasi dan model bisnis yang berbeda yang telah banyak
mengalami perubahan, tanggung jawab IC dari tiap model, dan pencapaian dalam
efektivitas IC.
7. Mempertimbangkan tuntutan dan kompleksitas dalam undang-undang, peraturan, dan
standar dengan mengakui peran regulator dan standard-setter dalam penetapan tujuan serta
menetapkan kriteria untuk menilai dan melaporkan defisiensi IC.
8. Mempertimbangkan ekspektasi yang lebih besar terhadap kompetensi dan akuntabilitas.
Organisasi bisa menggeser model operasi dengan mendelegasikan kewenangan dan
akuntabilitas yang lebih besar.
9. Mencerminkan peningkatan relevansi teknologi yang berpengaruh terhadap bagaimana
komponen IC dilaksanakan.
10. Memuat lebih banyak pembahasan mengenai fraud serta mempertimbangkan potensi fraud
sebagai prinsip IC.

Selain perubahan-perubahan tersebut, terdapat juga perubahan-perubahan dalam tata letak

kerangka seperti tata letak chapter serta perubahan kunci yang terjadi pada komponen IC.

Bahasan diatas hanya merupakan pemahaman secara umum dan singkat mengenai IC yang disadur
dari Internal Control – Integrated Framework (2013). IC tidak hanya dapat diterapkan baik pada
tingkat entitas,tapi juga bisa diterapkan pada tingkat kegiatan. Untuk lebih memahami dan dapat
menerapkan kerangka ini, diperlukan kajian yang lebih mendalam.

Referensi:
www.coso.org