COSO Framework

          Definisi Internal Control jika dilihat dari Internal Control-Integrated Framework COSO
(1992) adalah suatu sistem pengendalian yang terbentuk dari aktivitas-aktivitas yang
dijalankan oleh unit-unit atau satuan-satuan pekerja dalam suatu perusahaan yang bertujuan
untuk mencapai efektifitas dan efisiensi operasi, keandalan laporan keuangan, dan kepatuhan
atas hukum dan peraturan yang berlaku. Menurut COSO Framework yang dibuat pada tahun
1992, Internal Control terdiri dari 5 komponen yaitu:
1.      Control Environment (Lingkungan Pengendalian)
Lingkungan pengendalian merupakan pondasi awal sistem Internal Control yang meliputi
lingkungan, suasana, dan sikap/perilaku orang-orang di dalam suatu organisasi atau
perusahaan yang secara langsung maupun tidak langsung dapat menentukan dan
mempengaruhi kesadaran pengendalian orang-orang di dalam maupun di sekitar organisasi
atau perusahaan tersebut. Factor lingkungan pengendalian meliputi integritas, nilai etika dan
kompensasi, filosofi manajeen dan gaya operasi, cara manajemen memberikan wewenang
dan tanggungjawab serta mengatur dan mengembangkan orang-ornagnya, dan perhatian serta
arah yang diberikan dewan direksi.
2.      Risk Assessment (Penilaian Resiko)
Setiap organisasi tidak pernah bisa lepas dari risiko yang dapat muncul karena berbagai
alasan, misalnya perubahan situasi, perubahan peraturan, dan lain sebagainya. Oleh karena
itu, sebuah organisasi perlu menilai risiko atau dengan kata lain harus mengidentifikasi dan
menganalisis risiko untuk kemudian risiko itu bisa ditangani dan dikelola dengan baik tanpa
mengganggu aktivitas operasi dan tujuan organisasi.
3.      Control Activities (Aktivitas Pengendalian)
Aktivitas pengendalian merupakan aktivitas yang dilakukan berdasarkan kebijakan, prosedur,
aturan organisasi untuk pengendalian agar aktivitas organisasi  tidak melenceng dari
tujuannya
4.      Information & Communication (Informasi dan Komunikasi)
Informasi sangat dibutuhkan oleh semua orang di berbagai tingkatan manajemen agar dapat
melaksanakan tugas dan tanggungjawabnya dalam suatu organisasi dengan baik. Agar
pelaksanaannya baik dan sesuai dengan yang diharapakan, maka sangat penting untuk dapat
 mengkomunikasikan informasi tersebut dengan cara yang baik pula agar tujuan organisasi
dapat tercapai.
5.      Monitoring (Pemantauan)
Pemantauan dalam sistem pengendalian internal perlu dilakukan untuk mangawasi apakah
aktivitas dan proses yang berjalan sesuai dengan peraturan yang ada. Pemantauan berfungsi
juga untuk menilai kinerja para pekerja, kemudian dievaluasi untuk kinerja yang lebih baik
dalam mencapai tujuan organisasi.
          
Pada tahun 2004 kemudian dibuat pengembangan dari framework COSO tahun 1992 yaitu
Enterprise Risk Management-Integrated Framework. Dari gambar COSO ERM Framework
diatas, kita dapat mendefinisikan bahwa yang disebut Enterprise Risk Management
(Manajemen Risiko Perusahaan) adalah suatu proses pengelolaan yang dijalankan oleh suatu
badan mulai dari dewan direksi, divisi-divisi, satuan bisnis, dan personil lainnya yang
bertujuan untuk membuat strategi yang mendukung misi organisasi, mencapai efektifitas dan
efisiensi operasi, keandalan laporan keuangan, dan kepatuhan atau sesuai dengan hokum dan
peraturan yang berlaku. COSO ERM Framework terdiri dari delapan komponen yaitu:
1. Internal Environment (Lingkungan Internal)
Lingkungan internal organisasi sangat mempengaruhi perilaku orang-orang di dalam maupun
di sekitar organisasi, proses operasi organisasi serta menentukan bagaimana gambaran umum
organisasi di mata ekstern. Lingkungan internal juga mempengaruhi cara pandang orang
dalam organisasi terhadap suatu risiko
2. Objective Setting (Menetapkan Tujuan)
Memastikan bahwa suatu organisasi memiliki tujuan yang jelas agar dapat menentukan
kejadian atau risiko apa yang mungkin timbul dalam proses pencapaian tujuan, kemudian
menentukan kebijakan seperti apa yang harus diambil untuk menanggulangi risiko dan
mencapai tujuan tersebut. Tujuan organisasi secara umum menurut COSO ERM Framework
adalah strategic, operational, reporting, dan compliance.
3. Event Identification (Identifikasi event)
Kejadian-kejadian pada saat proses pencapaian tujuan suatu organisasi, yang mungkin dapat
mempengaruhi proses tersebut harus diidentifikasi. Putuskan manakah yang berpengaruh
negative, dan manakah yang positif bagi proses pencapaian tujuan organisasi.
4. Risk Assessment (Penilaian Risiko)
Risiko yang ada dan mungkin ada harus diidentifikasi dan dianalisis untuk menentukan
bagaimana risiko itu dikelola.
5. Risk Response (Respon Risiko)
Menentukan bagaimana suatu organisasi akan merespon atau menanggapi risiko yang ada
dan yang mungkin ada. Apakah akan menghindar, mengurangi, mengalihkan atau menerima
risiko itu. 
6. Control Activities (Aktivitas Pengendalian)
Aktivitas yang merupakan pelaksanaan dari kebijakan dan prosedur yang telah ditetapkan
agar respon risiko yang direncanakan dapat berjalan efektif.
7. Information and Communication (Informasi dan Komunikasi)
 Setiap orang dalam organisasi memerlukan informasi yang relevan dan dapat dipercaya untuk
menjalankan tugasnya. Informasi yang ada juga harus dikomunikasikan dengan baik agar bisa
ditangkap dan diidentifikasi untuk kemudian penerima informasi tersebut dapat menjalankan
tugas dan tanggungjawabnya dengan baik.
8. Monitoring (Pemantauan)
Proses Manajemen Risiko Perusahaan dipantau dan diawasi pelaksanaannya agar tidak
melenceng dari tujuannya. Evaluasi dan modifikasi dapat dilakukan jika perlu.