SEJARAH COSO

Sehubungan dengan maraknya kecurangan (fraud) keuangan dan praktik penyuapan perusahaan
Amerika Serikat kepada pejabat/pegawai asing pada tahun 1970-an, SEC dan Kongres Amerika Serikat
menerbitkan undang-undang yang dikenal dengan nama Foreign Corrupt Practices Act (FCPA) pada
tahun 1977. Tujuan undang-undang tersebut adalah untuk memastikan (1) perilaku bisnis yang wajar;
(2) akuntabilitas dan integritas di pemerintahan; (3) distribusi sumber daya ekonomi berbasis efisiensi
dan kesetaraan. Perusahaan/warga negara Amerika Serikat yang melakukan penyuapan kepada
pejabat/pegawai asing dapat dikenakan sanksi berdasarkan FCPA tersebut. Sampai dengan pertengahan
tahun 1980-an, FCPA tersebut dirasakan belum berpengaruh signifikan karena praktik kecurangan masih
saja terjadi. Sebagai respon hal tersebut, pada tahun 1985 dibentuk komisi nasional yang disebut
National Commission on Fraudulent Financial Reporting oleh lima asosiasi profesi yang berpusat di
Amerika Serikat (yaitu AICPA, AAA, FEI, IMA dan IIA). Komisi tersebut selanjutnya lebih dikenal dengan
nama The Treadway Comission. Treadway sebenarnya adalah nama ketua pertama dari komisi tersebut,
lengkapnya James C. Treadway. Tujuan pembentukan komisi adalah untuk melakukan penelitian
mengenai kecurangan dalam pelaporan keuangan (fraudulent on financial reporting) dan merumuskan
rekomendasinya. Komisi tersebut mempelajari pelaporan informasi keuangan dari tahun 1985 dan
menghasilkan laporan pertama pada bulan Oktober 1987 dengan judul Report of the National
Commission on Fraudulent Financial Reporting. Dalam laporan tersebut terdapat rekomendasi berupa
perlunya pengembangan pedoman pengendalian intern yang terintegrasi (integrated guidance on
internal control). Sebagai tindak lanjut atas rekomendasi itu, dibentuklah Committee of Sponsoring
Organizations of the Treadway Commission (COSO). COSO selanjutnya menggandeng kantor akuntan
besar Coopers & Lybrand untuk melakukan studi dan menerbitkan kerangka kerja pengendalian intern.
Pada tahun 1992 COSO mempublikasikan sebuah kerangka kerja pengendalian intern yang akhirnya
banyak menjadi acuan bagi para dewan direksi, eksekutif, regulator, penyusun standar, organisasi
profesi untuk mengukur efektivitas pengendalian intern. Kerangka kerja itu dikenal dengan sebutan
Internal Control-Integrated Framework. Pada tahun 1994 kerangka kerja tersebut mengalami perubahan
minor dengan tambahan ruang lingkup terkait management report on internal control. Kerangka kerja
pengendalian intern COSO 1992 memberikan definisi umum tentang pengendalian intern dan
memberikan kerangka kerja untuk menilai dan memperbaiki sistem pengendalian intern. Kerangka
tersebut menyatakan bahwa pengendalian intern dirancang untuk memberi keyakinan memadai
terhadap pencapaian tiga tujuan organisasi yaitu: (1) efektivitas dan efisiensi operasi; (2) keandalan
pelaporan keuangan; dan (3) kepatuhan terhadap hukum dan peraturan. Komponennya terdiri dari lima
unsur yaitu: (1) control environment; (2) risk assessment; (3) control activities; (4) information and
communication; dan (5) monitoring. Studi COSO terkait kecurangan pasca laporan tahun 1987 masih
terus berlanjut. COSO merilis hasil penelitian pada tahun 1999 berjudul Fraudulent Financial Reporting:
1987-1997 - An Analysis of U.S. Public Companies. Studi tersebut diikuti dengan studi lanjutan yang
hasilnya dirilis pada tahun 2010 dengan judul Fraudulent Financial Reporting: 1998-2007 — An Analysis
of U.S. Public Companies. Terjadinya kegagalan dan skandal bisnis besar seperti Enron, Tyco
International, Adelphia, Peregrine Systems dan WorldCom telah menyadarkan perlunya penguatan tata
kelola dan manajemen risiko organisasi. Merespon hal itu, pada tahun 2001 COSO menggandeng kantor
akuntan PricewaterhouseCoopers (PwC) untuk mengembangkan kerangka kerja yang dapat dipakai
untuk menilai dan memperbaiki manajemen risiko organisasi. Hasilnya, pada tahun 2004 COSO
mempublikasikan Enterprise Risk Management-Integrated Framework. Kerangka tersebut pada
dasarnya merupakan kerangka pengendalian intern yang diperluas dengan perhatian yang lebih kuat
pada aspek manajemen risiko. Tujuan organisasi yang hendak dicapai melalui kerangka kerja
manajemen risiko meliputi empat hal yaitu: (1) tujuan strategis yang sejalan dengan misi organisasi; (2)
efektivitas dan efisiensi operasi; (3) keandalan pelaporan; dan (4) kepatuhan terhadap hukum dan
peraturan. Komponen kerangka kerja manajemen risiko lebih banyak dibanding pengendalian intern,
yaitu dari delapan unsur: (1) internal environment; (2) objective setting; (3) event identification; (4) risk
assessment; (5) risk response; (6) control activities; (7) information and communication; dan (8)
monitoring. Meskipun kerangka kerja tersebut merupakan perluasan dari kerangka kerja pengendalian
intern namun COSO menyatakan bahwa kerangka itu tidak dimaksudkan untuk menggantikan kerangka
kerja pengendalian intern. Untuk mendukung penerapan manajemen risiko, COSO juga mengeluarkan
beberapa pedoman di antaranya: Developing Key Risk Indicators to Strengthen Enterprise Risk
Management (2011); Embracing Enterprise Risk Management: Practical Approaches for Getting Started
(2011); Enterprise Risk Management-Understanding and Communicating Risk Appetite (2012);
Enterprise Risk Management for Cloud Computing (2012); ERM Risk Assessment in Practice (2012);
Demystifying Sustainability Risk (2013). Di sisi lain, proyek penelitian COSO terkait pengendalian intern
masih terus berjalan. Pada tahun 2006 COSO menerbitkan Internal Control over Financial Reporting –
Guidance for Smaller Public Companies. Pedoman ini dikeluarkan sebagai acuan terutama bagi
perusahaan publik yang berukuran kecil untuk memenuhi ketentuan Sarbanes Oxley Act Section 404
yang mengatur perusahaan publik untuk menilai dan melaporkan efektivitas pengendalian intern dalam
pelaporan keuangan setiap tahun. Rupanya ketentuan tersebut mengakibatkan timbulnya biaya yang
memberatkan bagi perusahaan kecil.

Oleh karena itu COSO membuat pedoman agar masalah tersebut dapat diatasi. Pedoman terdiri dari
empat paket yaitu (1) Executive Summary; (2) Guidance; (3) Evaluation Tools; dan (4) Working Tools.
Pada tahun 2009 COSO menerbitkan pedoman baru berjudul Guidance on Monitoring Internal Control
Systems. COSO menyadari bahwa organisasi dapat meningkatkan efisiensi dan efektivitasnya dengan
mengoptimalkan salah satu komponen pengendalian intern yaitu pemantauan. Namun kenyataannya
banyak organisasi belum mengoptimalkannya. Atas pertimbangan tersebut COSO mempublikasikan
pedoman yang terdiri dari tiga paket yaitu: (1) Guidance; (2) Application; dan (3) Sample. Dalam
Guidance disebutkan bahwa pemantuan pengendalian intern yang efektif akan menghasilkan perbaikan
organisasi dengan cara: (1) meminimalkan kegagalan pengendalian intern dan kesalahan/kerusakan
yang memerlukan koreksi, dan (2) meningkatkan kualitas dan keandalan informasi yang dipakai dalam
pengambilan keputusan. Pada akhir tahun 2010, COSO mengumumkan sebuah proyek untuk
memperbarui Internal Control-Integrated Framework yang diterbitkan tahun 1992. Sama dengan proyek
manajemen risiko, proyek ini juga dilaksanakan oleh PwC. Proyek ini membuahkan hasil nyata dengan
terbitnya kerangka kerja pengendalian intern yang baru pada tahun 2013 dengan judul yang sama
dengan kerangka kerja tahun 1992 yaitu Internal Control - Integrated Framework. Pada kerangka kerja
yang baru ini tidak terjadi perubahan definisi dan komponen sistem pengendalian intern dari kerangka
kerja yang lama. Hal yang baru dari kerangka kerja pengendalian intern 2013 di antaranya: Membuat
kodifikasi prinsip yang merepresentasikan konsep fundamental terkait dengan lima komponen
pengendalian intern. Hal ini dilakukan untuk meningkatkan pemahaman manajemen atas pelaksanaan
pengendalian intern secara efektif. Komponen dan prinsip yang telah ditetapkan akan menciptakan
suatu kriteria dan titik fokus yang akan membantu manajemen dalam menilai apakah komponen
pengendalian intern ada, berfungsi dan beroperasi secara bersamaan dalam organisasi. Memperjelas
peran penetapan tujuan dalam pengendalian intern. Pada kerangka yang lama disebut bahwa
penetapan tujuan merupakan proses manajemen yang dilakukan di pra-kondisi pengendalian intern.
Konsep tersebut dipertegas pada kerangka yang baru dengan menunjukkan bahwa penetapan tujuan
bukan merupakan bagian dari pengendalian intern. Mencerminkan relevansi peningkatan teknologi
dalam mempengaruhi penerapan komponen pengendalian intern. Hal ini penting karena jumlah
organisasi yang menggunakan atau bergantung pada teknologi telah berkembang secara pesat.
Memperkuat konsep governance terutama yang terkait dengan dewan direksi, anggota dewan,
termasuk komite audit, kompensasi, nominasi, dan governance. Dewan direksi memiliki peran yang
penting dalam pengawasan untuk menciptakan pengendalian yang efektif. Memuat lebih banyak
pembahasan mengenai kecurangan. Memperluas kategori tujuan pelaporan keuangan dengan
mempertimbangkan pelaporan eksternal di luar pelaporan keuangan serta pelaporan internal baik
keuangan maupun non-keuangan. Meningkatkan fokus pada tujuan selain pelaporan keuangan.
Perluasan fokus tersebut memberikan panduan yang lebih jelas terkait tujuan operasi, kepatuhan dan
tujuan non-pelaporan keuangan. Dengan itu diharapkan akan lebih banyak pengguna yang menerapkan
kerangka yang baru untuk keperluan selain pelaporan keuangan. Setelah berhasil menyelesaikan revisi
kerangka kerja pengendalian intern, pada Oktober 2014 COSO mengumumkan proyek baru untuk
memperbaiki kerangka kerja manajemen risiko. Tujuan proyek tersebut adalah untuk menyesuaikan
kerangka kerja dengan kondisi lingkungan bisnis yang semakin kompleks saat ini. Diharapkan
pemutakhiran kerangka kerja akan mencerminkan evolusi pemikiran dan praktik manajemen risiko, dan
juga memenuhi perubahan harapan stakeholders. Proyek tersebut juga diharapkan dapat
mengembangkan suatu perangkat yang dapat membantu manajemen untuk melaporkan informasi risiko
serta untuk mereviu dan menilai penerapan enterprise risk management. Sampai dengan tahun 2016
ini, proyek perbaikan kerangka kerja manajemen risiko masih dalam proses pengerjaan.

Sumber: https://www.klikharso.com/2016/04/sejarah-lengkap-coso.html?m=1

PENGENDALIAN INTERNAL COSO TERBARU

Pengendalian Intern Ala COSO Terbaru Suharso 7/17/2016 Membahas tema pengendalian intern
rasanya tidak lengkap jika tidak mengulas konsep pengendalian intern menurut COSO. Artikel ini
melengkapi penjelasan artikel tentang Sejarah Lengkap COSO dan penjelasan konsep manajemen risiko
menurut COSO yang dipaparkan dalam artikel Manajemen Risiko Ala COSO - Dulu dan Nanti. Dengan
demikian, lengkap sudah gambaran mengenai sejarah COSO beserta dua kerangka kerja (framework)
penting yang dihasilkannya. Dari judul artikel ini terkesan seolah-olah ada kerangka kerja pengendalian
intern yang baru saja terbit padahal tidak demikian. Sebenarnya kerangka kerja tersebut terbitnya sudah
lama, yaitu pada tahun 2013. Kerangka itu menggantikan kerangka kerja pendahulunya yang terbit
tahun 1992. Tapi memang itu yang terbaru kan? Karena belum ada yang lebih baru lagi. Kerangka kerja
pengendalian intern yang diterbitkan oleh COSO dikenal luas dengan sebutan COSO Internal Control
Integrated Framework. Nama tersebut tetap dipertahankan pada kerangka kerja yang baru. Untuk
membedakan penyebutan yang lama dengan yang baru, saya pakai singkatan COSO IC 1992 (untuk yang
lama) dan COSO IC 2013 (untuk yang baru). COSO IC 2013 terdiri dari tiga volume yaitu: Executive
Summary: memberikan gambaran umum kerangka pengendalian intern bagi para dewan pengawas
(board of directors), CEO, dan manajemen senior lainnya. Framework and Appendices: menetapkan
kerangka, mendefinisikan pengendalian intern, menjelaskan persyaratan pengendalian intern yang
efektif termasuk komponen dan prinsip-prinsipnya, dan memberikan petunjuk bagi semua tingkatan
manajemen dalam merancang, melaksanakan, dan mengarahkan pengendalian intern serta menilai
efektivitasnya. Illustrative Tools: menyediakan template dan skenario yang dapat digunakan untuk
menilai efektivitas sistem pengendalian intern. Sumber: COSO Visualisasi konsep pengendalian intern
COSO yang sangat terkenal adalah berbentuk kubus. Lihatlah ilustrasi kubus di atas! Gambar kubus
sebelah kiri diambil dari COSO IC 1992. Gambar tersebut menunjukkan keterkaitan erat antara tujuan,
komponen, dan struktur organisasi tempat diterapkannya pengendalian intern. Dari dimensi sisi kubus
yang terlihat, sisi atas mencerminkan tujuan, sisi muka mencerminkan komponen, dan sisi samping
mencerminkan ruang lingkup penerapan pengendalian intern. Konsep visualisasi ini masih tetap
digunakan pada COSO IC 2013. Tentunya dengan menyesuaikan nama istilah di setiap sisi sesuai dengan
konsep kerangka yang baru. Lihat gambar sebelah kanan yang berwarna-warni! Definisi dan Tujuan
Berbeda dengan COSO ERM yang melakukan perubahan definisi, COSO IC 2013 secara prinsip masih
mempertahankan definisi pengendalian intern tahun 1992. Pengendalian intern didefinisikan sebagai
suatu proses di dalam organisasi (entitas) yang dipengaruhi oleh dewan pengawas (board), manajemen,
dan personel lainnya, dirancang untuk memberikan keyakinan memadai bagi pencapaian tujuan
organisasi. Pada sisi tujuan inilah terjadi sedikit perubahan. Tujuan yang hendak dicapai organisasi
menurut COSO IC 2013 terdiri dari tiga kategori yaitu tujuan terkait operasi (operations), pelaporan
(reporting), dan kepatuhan (compliance). Tujuan yang mengalami perubahan atau tepatnya perluasan
lingkup dari COSO IC 1992 adalah tujuan operasi dan pelaporan. Tujuan operasi tidak semata-mata
terkait dengan efisiensi dan efektivitas penggunaan sumber daya tetapi mencakup seluruh efisiensi dan
efektivitas operasi termasuk sasaran/tujuan kinerja operasi dan keuangan serta pengamanan aset dari
kerugian. Tujuan pelaporan diperluas cakupannya meliputi semua pelaporan organisasi, tidak dibatasi
hanya pada lingkup pelaporan keuangan saja seperti kerangka 1992. Adapun tujuan kepatuhan masih
sama dengan konsep COSO IC 1992. Kutipan definisi pengendalian intern asli dari COSO IC 2013 adalah
sebagai berikut: Internal control is a process, effected by an entity’s board of directors, management,
and other personnel, designed to provide reasonable assurance regarding the achievement of objectives
relating to operations, reporting, and compliance. Komponen COSO IC 2013 tidak mengubah lima
komponen pengendalian intern yang telah dipakai sejak COSO IC 1992. Tentu saja uraian penjelasannya
tetap mengalami penyempurnaan. Penjelasan singkat dari komponen-komponen tersebut adalah
sebagai berikut. 1. Lingkungan Pengendalian (Control Environment) Lingkungan pengendalian adalah
rangkaian standar, proses dan struktur yang menjadi dasar dalam penyelenggaraan pengendalian intern
di seluruh organisasi. Dewan pengawas dan manajemen puncak menciptakan irama pada level tertinggi
organisasi mengenai pentingnya pengendalian intern dan standar perilaku yang diharapkan. Sub-
komponen lingkungan pengendalian mencakup integritas dan nilai etika yang dianut organisasi;
parameter-parameter yang menjadikan dewan pengawas mampu melaksanakan tanggung jawab tata
kelola; struktur organisasi serta pembagian wewenang dan tanggung jawab; proses untuk merekrut,
mengembangkan, dan mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja,
insentif, dan imbalan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian yang dihasilkan
akan berdampak luas terhadap sistem pengendalian intern secara keseluruhan. 2. Penilaian Risiko (Risk
Assessment) Penilaian risiko melibatkan proses yang dinamis dan berulang (iterative) untuk
mengidentifikasi dan menganalisis risiko terkait pencapaian tujuan. COSO IC 2013 merumuskan definisi
risiko sebagai kemungkinan suatu peristiwa akan terjadi dan berdampak merugikan bagi pencapaian
tujuan. Risiko yang dihadapi organisasi bisa bersifat internal (berasal dari dalam) ataupun eksternal
(bersumber dari luar). Risiko yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang
telah ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola. Salah satu
prakondisi bagi penilaian risiko adalah penetapan tujuan yang saling terkait pada berbagai tingkatan
organisasi. Manajemen harus menetapkan tujuan dalam kategori operasi, pelaporan, dan kepatuhan
dengan jelas sehingga risko-risiko terkait bisa diidentifikasi dan dianalisis. Manajemen juga harus
mempertimbangkan kesesuaian tujuan dengan organisasi. Penilaian risiko mengharuskan manajemen
untuk memperhatikan dampak perubahan lingkungan eksternal serta perubahan model bisnis organisasi
itu sendiri yang berpotensi mengakibatkan ketidakefektifan pengendalian intern yang ada. 3. Kegiatan
Pengendalian (Control Activities) Kegiatan pengendalian mencakup tindakan-tindakan yang ditetapkan
melalui kebijakan dan prosedur untuk membantu memastikan dilaksanakannya arahan manajemen
dalam rangka meminimalkan risiko atas pencapaian tujuan. Kegiatan pengendalian dilaksanakan pada
semua tingkatan organisasi, pada berbagai tahap proses bisnis, dan pada konteks lingkungan teknologi.
Kegiatan pengendalian ada yang bersifat preventif atau detektif dan ada yang bersifat manual atau
otomatis. Contoh kegiatan pengendalian adalah otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan
reviu kinerja. Dalam memilih dan mengembangkan kegiatan pengendalian, biasanya melekat konsep
pemisahan fungsi (segregation of duties). Jika pemisahan fungsi tersebut dianggap tidak praktis,
manajemen harus memilih dan mengembangkan alternatif kegiatan pengendalian sebagai
kompensasinya. 4. Informasi dan Komunikasi (Information and Communication) Organisasi memerlukan
informasi demi terselenggaranya fungsi pengendalian intern dalam mendukung pencapaian tujuan.
Manajemen harus memperoleh, menghasilkan, dan menggunakan informasi yang relevan dan
berkualitas, baik dari sumber internal maupun eksternal. Hal tersebut diperlukan agar komponen
pengendalian intern yang lain berfungsi dengan baik sebagaimana mestinya. Sementara itu, komunikasi
merupakan proses berulang (iterative) dan berkelanjutan untuk memperoleh, membagikan dan
menyediakan informasi. Komunikasi internal harus menjadi sarana diseminasi informasi di dalam
organisasi, baik dari atas ke bawah, dari bawah ke atas, maupun lintas fungsi. 5. Kegiatan Pemantauan
(Monitoring Activities) Komponen ini merupakan satu-satunya komponen yang berubah nama.
Sebelumnya komponen ini hanya disebut pemantauan (monitoring). Perubahan ini dimaksudkan untuk
memperluas persepsi pemantauan sebagai rangkaian aktivitas yang dilakukan sendiri dan juga sebagai
bagian dari masing-masing empat komponen pengendalian intern lainnya. Kegiatan pemantauan
mencakup evaluasi berkelanjutan, evaluasi terpisah, atau kombinasi dari keduanya yang digunakan
untuk memastikan masing-masing komponen pengendalian intern ada dan berfungsi sebagaimana
mestinya. Evaluasi berkelanjutan dibangun di dalam proses bisnis pada tingkat yang berbeda-beda guna
menyajikan informasi tepat waktu. Evaluasi terpisah dilakukan secara periodik, bervariasi lingkup dan
frekuensinya tergantung pada hasil penilaian risiko, efektivitas evaluasi berkelanjutan, dan
pertimbangan manajemen lainnya. Prinsip-Prinsip COSO IC 2013 mengenalkan kodifikasi 17 prinsip
pengendalian intern. Kodifikasi tersebut belum ada di dalam kerangka sebelumnya. Prinsip-prinsip
pengendalian intern merepresentasikan konsep fundamental dari tiap-tiap komponen pengendalian
intern. Karena prinsip-prinsip tersebut dirumuskan langsung dari komponen pengendalian intern maka
diharapkan pengendalian intern organisasi akan efektif bila menerapkan semua prinsip tersebut. Semua
prinsip pengendalian intern berhubungan dengan tujuan-tujuan organisasi, baik itu berupa tujuan
operasi, pelaporan, maupun kepatuhan. Rincian dari ketujuh belas prinsip tersebut adalah sebagai
berikut. Prinsip dalam Lingkungan Pengendalian Organisasi menunjukkan komitmen terhadap integritas
dan nilai-nilai etika. Dewan pengawas menunjukkan independensinya dari manajemen dan
melaksanakan pengawasan atas pengembangan dan kinerja pengendalian intern. Manajemen dengan
pengawasan dari dewan pengawas menetapkan struktur organisasi, garis pelaporan, serta wewenang
dan tanggung jawab yang tepat dalam rangka pencapaian tujuan. Organisasi menunjukkan komitmen
dalam merekrut, mengembangkan, dan mempertahankan individu-individu yang kompeten sesuai
dengan tujuan yang ditetapkan. Organisasi memegang akuntabilitas individu-individu atas pelaksanaan
pengendalian intern dalam rangka pencapaian tujuan. Prinsip dalam Penilaian Risiko Organisasi
menetapkan tujuan-tujuan yang jelas agar dapat dilakukan identifikasi dan penilaian risiko terkait tujuan
tersebut. Organisasi mengidentifikasi risiko atas pencapaian tujuan secara menyeluruh dan menganalisis
risiko sebagai landasan pengelolaan risiko. Organisasi mempertimbangkan potensi kecurangan (fraud)
dalam melakukan penilaian risiko atas pencapaian tujuan. Organisasi mengidentifikasi dan menilai
perubahan-perubahan yang dapat berdampak signifikan terhadap sistem pengendalian intern. Prinsip
dalam Kegiatan Pengendalian Organisasi memilih dan mengembangkan kegiatan pengendalian yang
berkontribusi meminimalkan risiko atas pencapaian tujuan sampai pada level yang dapat diterima.
Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas teknologi untuk
mendukung pencapaian tujuan. Organisasi memberlakukan kegiatan pengendalian melalui kebijakan
yang menetapkan apa yang diharapkan dan melalui prosedur yang menjabarkan kebijakan menjadi
tindakan. Prinsip dalam Informasi dan Komunikasi Organisasi memperoleh, menghasilkan dan
menggunakan informasi yang relevan dan berkualitas untuk mendukung berfungsinya komponen
pengendalian intern lainnya. Organisasi melakukan komunikasi informasi secara intern, termasuk tujuan
dan tanggung jawab pengendalian intern, yang diperlukan untuk mendukung berfungsinya pengendalian
intern. Organisasi menjalin komunikasi dengan pihak-pihak eksternal terkait hal-hal yang mempengaruhi
berfungsinya komponen pengendalian intern lainnya. Prinsip dalam Kegiatan Pemantauan Organisasi
memilih, mengembangkan, dan melaksanakan evaluasi secara terus-menerus (berkelanjutan) dan/atau
secara terpisah untuk memastikan bahwa komponen-komponen pengendalian intern benar-benar ada
dan berfungsi. Organisasi mengevaluasi dan mengkomunikasikan kelemahan pengendalian intern secara
tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk
manajemen puncak dan dewan pengawas, sebagaimana mestinya. Titik Fokus Selain mengenalkan
prinsip-prinsip sebagai hal baru, COSO IC 2013 juga mengenalkan 81 titik fokus (points of focus). Titik
fokus tersebut mencerminkan ciri khas penting dari masing-masing prinsip dan dapat digunakan untuk
memfasilitasi proses merancang, menerapkan, dan mengarahkan pengendalian intern. Titik fokus
menjadi sarana manajemen untuk memastikan bahwa prinsip-prinsip telah ada dan berfungsi dengan
baik. Mirip dengan hubungan antara prinsip dengan komponen, titik fokus ini memiliki hubungan yang
sifatnya mendukung tiap prinsip yang ada. Artinya, di dalam masing-masing prinsip terdapat beberapa
titik fokus yang mendukungnya. Mengingat jumlahnya yang banyak, saya tidak akan menguraikan satu
per satu titik fokus tersebut. Sebagai contoh saja, prinsip "Organisasi menunjukkan komitmen terhadap
integritas dan nilai-nilai etika" pada komponen "Lingkungan Pengendalian" didukung oleh empat titik
fokus yaitu: set the tone at the top; penetapan standar perilaku; evaluasi kepatuhan terhadap standar
perilaku; penanganan deviasi/penyimpangan tepat waktu. Keterbatasan Pengendalian Intern
Sebagaimana termaktub di dalam definisi, keberadaan pengendalian intern dirancang untuk
memberikan keyakinan memadai, bukan keyakinan mutlak. COSO IC 2013 mengungkapkan keterbatasan
pengendalian intern yang mungkin terjadi karena: penetapan tujuan sebagai prasyarat pengendalian
intern tidak tepat; pengambilan keputusan oleh manusia yang salah atau bias; kegagalan/kesalahan
faktor manusia sebagai pelaksana pengendalian; kemampuan manajemen mengesampingkan
pengendalian; kemampuan manajemen, personil lain, atau pihak ketiga untuk berkolusi; atau peristiwa
eksternal di luar kendali organisasi. Masih banyak hal tentang COSO IC 2013 yang dapat dieksplorasi. Jika
Anda berkesempatan membaca sendiri kerangka kerja tersebut, mungkin Anda akan menemukan hal-
hal lain yang lebih menarik. (harso) Referensi: COSO Internal Control Integrated Framework 2013. Sara
Lord (2013). An Overview of COSO's 2013 Internal Control Integrated Framework. McGladrey LLP.

Sumber: https://www.klikharso.com/2016/07/pengendalian-intern-coso-terbaru.html

SEJARAH COSO

Pengendalian Intern Ala COSO Terbaru Suharso 7/17/2016 Membahas tema pengendalian intern
rasanya tidak lengkap jika tidak mengulas konsep pengendalian intern menurut COSO. Artikel ini
melengkapi penjelasan artikel tentang Sejarah Lengkap COSO dan penjelasan konsep manajemen risiko
menurut COSO yang dipaparkan dalam artikel Manajemen Risiko Ala COSO - Dulu dan Nanti. Dengan
demikian, lengkap sudah gambaran mengenai sejarah COSO beserta dua kerangka kerja (framework)
penting yang dihasilkannya. Dari judul artikel ini terkesan seolah-olah ada kerangka kerja pengendalian
intern yang baru saja terbit padahal tidak demikian. Sebenarnya kerangka kerja tersebut terbitnya sudah
lama, yaitu pada tahun 2013. Kerangka itu menggantikan kerangka kerja pendahulunya yang terbit
tahun 1992. Tapi memang itu yang terbaru kan? Karena belum ada yang lebih baru lagi. Kerangka kerja
pengendalian intern yang diterbitkan oleh COSO dikenal luas dengan sebutan COSO Internal Control
Integrated Framework. Nama tersebut tetap dipertahankan pada kerangka kerja yang baru. Untuk
membedakan penyebutan yang lama dengan yang baru, saya pakai singkatan COSO IC 1992 (untuk yang
lama) dan COSO IC 2013 (untuk yang baru). COSO IC 2013 terdiri dari tiga volume yaitu: Executive
Summary: memberikan gambaran umum kerangka pengendalian intern bagi para dewan pengawas
(board of directors), CEO, dan manajemen senior lainnya. Framework and Appendices: menetapkan
kerangka, mendefinisikan pengendalian intern, menjelaskan persyaratan pengendalian intern yang
efektif termasuk komponen dan prinsip-prinsipnya, dan memberikan petunjuk bagi semua tingkatan
manajemen dalam merancang, melaksanakan, dan mengarahkan pengendalian intern serta menilai
efektivitasnya. Illustrative Tools: menyediakan template dan skenario yang dapat digunakan untuk
menilai efektivitas sistem pengendalian intern. Sumber: COSO Visualisasi konsep pengendalian intern
COSO yang sangat terkenal adalah berbentuk kubus. Lihatlah ilustrasi kubus di atas! Gambar kubus
sebelah kiri diambil dari COSO IC 1992. Gambar tersebut menunjukkan keterkaitan erat antara tujuan,
komponen, dan struktur organisasi tempat diterapkannya pengendalian intern. Dari dimensi sisi kubus
yang terlihat, sisi atas mencerminkan tujuan, sisi muka mencerminkan komponen, dan sisi samping
mencerminkan ruang lingkup penerapan pengendalian intern. Konsep visualisasi ini masih tetap
digunakan pada COSO IC 2013. Tentunya dengan menyesuaikan nama istilah di setiap sisi sesuai dengan
konsep kerangka yang baru. Lihat gambar sebelah kanan yang berwarna-warni! Definisi dan Tujuan
Berbeda dengan COSO ERM yang melakukan perubahan definisi, COSO IC 2013 secara prinsip masih
mempertahankan definisi pengendalian intern tahun 1992. Pengendalian intern didefinisikan sebagai
suatu proses di dalam organisasi (entitas) yang dipengaruhi oleh dewan pengawas (board), manajemen,
dan personel lainnya, dirancang untuk memberikan keyakinan memadai bagi pencapaian tujuan
organisasi. Pada sisi tujuan inilah terjadi sedikit perubahan. Tujuan yang hendak dicapai organisasi
menurut COSO IC 2013 terdiri dari tiga kategori yaitu tujuan terkait operasi (operations), pelaporan
(reporting), dan kepatuhan (compliance). Tujuan yang mengalami perubahan atau tepatnya perluasan
lingkup dari COSO IC 1992 adalah tujuan operasi dan pelaporan. Tujuan operasi tidak semata-mata
terkait dengan efisiensi dan efektivitas penggunaan sumber daya tetapi mencakup seluruh efisiensi dan
efektivitas operasi termasuk sasaran/tujuan kinerja operasi dan keuangan serta pengamanan aset dari
kerugian. Tujuan pelaporan diperluas cakupannya meliputi semua pelaporan organisasi, tidak dibatasi
hanya pada lingkup pelaporan keuangan saja seperti kerangka 1992. Adapun tujuan kepatuhan masih
sama dengan konsep COSO IC 1992. Kutipan definisi pengendalian intern asli dari COSO IC 2013 adalah
sebagai berikut: Internal control is a process, effected by an entity’s board of directors, management,
and other personnel, designed to provide reasonable assurance regarding the achievement of objectives
relating to operations, reporting, and compliance. Komponen COSO IC 2013 tidak mengubah lima
komponen pengendalian intern yang telah dipakai sejak COSO IC 1992. Tentu saja uraian penjelasannya
tetap mengalami penyempurnaan. Penjelasan singkat dari komponen-komponen tersebut adalah
sebagai berikut. 1. Lingkungan Pengendalian (Control Environment) Lingkungan pengendalian adalah
rangkaian standar, proses dan struktur yang menjadi dasar dalam penyelenggaraan pengendalian intern
di seluruh organisasi. Dewan pengawas dan manajemen puncak menciptakan irama pada level tertinggi
organisasi mengenai pentingnya pengendalian intern dan standar perilaku yang diharapkan. Sub-
komponen lingkungan pengendalian mencakup integritas dan nilai etika yang dianut organisasi;
parameter-parameter yang menjadikan dewan pengawas mampu melaksanakan tanggung jawab tata
kelola; struktur organisasi serta pembagian wewenang dan tanggung jawab; proses untuk merekrut,
mengembangkan, dan mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja,
insentif, dan imbalan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian yang dihasilkan
akan berdampak luas terhadap sistem pengendalian intern secara keseluruhan. 2. Penilaian Risiko (Risk
Assessment) Penilaian risiko melibatkan proses yang dinamis dan berulang (iterative) untuk
mengidentifikasi dan menganalisis risiko terkait pencapaian tujuan. COSO IC 2013 merumuskan definisi
risiko sebagai kemungkinan suatu peristiwa akan terjadi dan berdampak merugikan bagi pencapaian
tujuan. Risiko yang dihadapi organisasi bisa bersifat internal (berasal dari dalam) ataupun eksternal
(bersumber dari luar). Risiko yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang
telah ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola. Salah satu
prakondisi bagi penilaian risiko adalah penetapan tujuan yang saling terkait pada berbagai tingkatan
organisasi. Manajemen harus menetapkan tujuan dalam kategori operasi, pelaporan, dan kepatuhan
dengan jelas sehingga risko-risiko terkait bisa diidentifikasi dan dianalisis. Manajemen juga harus
mempertimbangkan kesesuaian tujuan dengan organisasi. Penilaian risiko mengharuskan manajemen
untuk memperhatikan dampak perubahan lingkungan eksternal serta perubahan model bisnis organisasi
itu sendiri yang berpotensi mengakibatkan ketidakefektifan pengendalian intern yang ada. 3. Kegiatan
Pengendalian (Control Activities) Kegiatan pengendalian mencakup tindakan-tindakan yang ditetapkan
melalui kebijakan dan prosedur untuk membantu memastikan dilaksanakannya arahan manajemen
dalam rangka meminimalkan risiko atas pencapaian tujuan. Kegiatan pengendalian dilaksanakan pada
semua tingkatan organisasi, pada berbagai tahap proses bisnis, dan pada konteks lingkungan teknologi.
Kegiatan pengendalian ada yang bersifat preventif atau detektif dan ada yang bersifat manual atau
otomatis. Contoh kegiatan pengendalian adalah otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan
reviu kinerja. Dalam memilih dan mengembangkan kegiatan pengendalian, biasanya melekat konsep
pemisahan fungsi (segregation of duties). Jika pemisahan fungsi tersebut dianggap tidak praktis,
manajemen harus memilih dan mengembangkan alternatif kegiatan pengendalian sebagai
kompensasinya. 4. Informasi dan Komunikasi (Information and Communication) Organisasi memerlukan
informasi demi terselenggaranya fungsi pengendalian intern dalam mendukung pencapaian tujuan.
Manajemen harus memperoleh, menghasilkan, dan menggunakan informasi yang relevan dan
berkualitas, baik dari sumber internal maupun eksternal. Hal tersebut diperlukan agar komponen
pengendalian intern yang lain berfungsi dengan baik sebagaimana mestinya. Sementara itu, komunikasi
merupakan proses berulang (iterative) dan berkelanjutan untuk memperoleh, membagikan dan
menyediakan informasi. Komunikasi internal harus menjadi sarana diseminasi informasi di dalam
organisasi, baik dari atas ke bawah, dari bawah ke atas, maupun lintas fungsi. 5. Kegiatan Pemantauan
(Monitoring Activities) Komponen ini merupakan satu-satunya komponen yang berubah nama.
Sebelumnya komponen ini hanya disebut pemantauan (monitoring). Perubahan ini dimaksudkan untuk
memperluas persepsi pemantauan sebagai rangkaian aktivitas yang dilakukan sendiri dan juga sebagai
bagian dari masing-masing empat komponen pengendalian intern lainnya. Kegiatan pemantauan
mencakup evaluasi berkelanjutan, evaluasi terpisah, atau kombinasi dari keduanya yang digunakan
untuk memastikan masing-masing komponen pengendalian intern ada dan berfungsi sebagaimana
mestinya. Evaluasi berkelanjutan dibangun di dalam proses bisnis pada tingkat yang berbeda-beda guna
menyajikan informasi tepat waktu. Evaluasi terpisah dilakukan secara periodik, bervariasi lingkup dan
frekuensinya tergantung pada hasil penilaian risiko, efektivitas evaluasi berkelanjutan, dan
pertimbangan manajemen lainnya. Prinsip-Prinsip COSO IC 2013 mengenalkan kodifikasi 17 prinsip
pengendalian intern. Kodifikasi tersebut belum ada di dalam kerangka sebelumnya. Prinsip-prinsip
pengendalian intern merepresentasikan konsep fundamental dari tiap-tiap komponen pengendalian
intern. Karena prinsip-prinsip tersebut dirumuskan langsung dari komponen pengendalian intern maka
diharapkan pengendalian intern organisasi akan efektif bila menerapkan semua prinsip tersebut. Semua
prinsip pengendalian intern berhubungan dengan tujuan-tujuan organisasi, baik itu berupa tujuan
operasi, pelaporan, maupun kepatuhan. Rincian dari ketujuh belas prinsip tersebut adalah sebagai
berikut. Prinsip dalam Lingkungan Pengendalian Organisasi menunjukkan komitmen terhadap integritas
dan nilai-nilai etika. Dewan pengawas menunjukkan independensinya dari manajemen dan
melaksanakan pengawasan atas pengembangan dan kinerja pengendalian intern. Manajemen dengan
pengawasan dari dewan pengawas menetapkan struktur organisasi, garis pelaporan, serta wewenang
dan tanggung jawab yang tepat dalam rangka pencapaian tujuan. Organisasi menunjukkan komitmen
dalam merekrut, mengembangkan, dan mempertahankan individu-individu yang kompeten sesuai
dengan tujuan yang ditetapkan. Organisasi memegang akuntabilitas individu-individu atas pelaksanaan
pengendalian intern dalam rangka pencapaian tujuan. Prinsip dalam Penilaian Risiko Organisasi
menetapkan tujuan-tujuan yang jelas agar dapat dilakukan identifikasi dan penilaian risiko terkait tujuan
tersebut. Organisasi mengidentifikasi risiko atas pencapaian tujuan secara menyeluruh dan menganalisis
risiko sebagai landasan pengelolaan risiko. Organisasi mempertimbangkan potensi kecurangan (fraud)
dalam melakukan penilaian risiko atas pencapaian tujuan. Organisasi mengidentifikasi dan menilai
perubahan-perubahan yang dapat berdampak signifikan terhadap sistem pengendalian intern. Prinsip
dalam Kegiatan Pengendalian Organisasi memilih dan mengembangkan kegiatan pengendalian yang
berkontribusi meminimalkan risiko atas pencapaian tujuan sampai pada level yang dapat diterima.
Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas teknologi untuk
mendukung pencapaian tujuan. Organisasi memberlakukan kegiatan pengendalian melalui kebijakan
yang menetapkan apa yang diharapkan dan melalui prosedur yang menjabarkan kebijakan menjadi
tindakan. Prinsip dalam Informasi dan Komunikasi Organisasi memperoleh, menghasilkan dan
menggunakan informasi yang relevan dan berkualitas untuk mendukung berfungsinya komponen
pengendalian intern lainnya. Organisasi melakukan komunikasi informasi secara intern, termasuk tujuan
dan tanggung jawab pengendalian intern, yang diperlukan untuk mendukung berfungsinya pengendalian
intern. Organisasi menjalin komunikasi dengan pihak-pihak eksternal terkait hal-hal yang mempengaruhi
berfungsinya komponen pengendalian intern lainnya. Prinsip dalam Kegiatan Pemantauan Organisasi
memilih, mengembangkan, dan melaksanakan evaluasi secara terus-menerus (berkelanjutan) dan/atau
secara terpisah untuk memastikan bahwa komponen-komponen pengendalian intern benar-benar ada
dan berfungsi. Organisasi mengevaluasi dan mengkomunikasikan kelemahan pengendalian intern secara
tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk
manajemen puncak dan dewan pengawas, sebagaimana mestinya. Titik Fokus Selain mengenalkan
prinsip-prinsip sebagai hal baru, COSO IC 2013 juga mengenalkan 81 titik fokus (points of focus). Titik
fokus tersebut mencerminkan ciri khas penting dari masing-masing prinsip dan dapat digunakan untuk
memfasilitasi proses merancang, menerapkan, dan mengarahkan pengendalian intern. Titik fokus
menjadi sarana manajemen untuk memastikan bahwa prinsip-prinsip telah ada dan berfungsi dengan
baik. Mirip dengan hubungan antara prinsip dengan komponen, titik fokus ini memiliki hubungan yang
sifatnya mendukung tiap prinsip yang ada. Artinya, di dalam masing-masing prinsip terdapat beberapa
titik fokus yang mendukungnya. Mengingat jumlahnya yang banyak, saya tidak akan menguraikan satu
per satu titik fokus tersebut. Sebagai contoh saja, prinsip "Organisasi menunjukkan komitmen terhadap
integritas dan nilai-nilai etika" pada komponen "Lingkungan Pengendalian" didukung oleh empat titik
fokus yaitu: set the tone at the top; penetapan standar perilaku; evaluasi kepatuhan terhadap standar
perilaku; penanganan deviasi/penyimpangan tepat waktu. Keterbatasan Pengendalian Intern
Sebagaimana termaktub di dalam definisi, keberadaan pengendalian intern dirancang untuk
memberikan keyakinan memadai, bukan keyakinan mutlak. COSO IC 2013 mengungkapkan keterbatasan
pengendalian intern yang mungkin terjadi karena: penetapan tujuan sebagai prasyarat pengendalian
intern tidak tepat; pengambilan keputusan oleh manusia yang salah atau bias; kegagalan/kesalahan
faktor manusia sebagai pelaksana pengendalian; kemampuan manajemen mengesampingkan
pengendalian; kemampuan manajemen, personil lain, atau pihak ketiga untuk berkolusi; atau peristiwa
eksternal di luar kendali organisasi. Masih banyak hal tentang COSO IC 2013 yang dapat dieksplorasi. Jika
Anda berkesempatan membaca sendiri kerangka kerja tersebut, mungkin Anda akan menemukan hal-
hal lain yang lebih menarik. (harso) Referensi: COSO Internal Control Integrated Framework 2013. Sara
Lord (2013). An Overview of COSO's 2013 Internal Control Integrated Framework. McGladrey LLP.

Sumber: https://www.klikharso.com/2016/07/pengendalian-intern-coso-terbaru.html