LECTURE NOTES

Audit and Internal Control

Week 6

Introduction to Enterprise Risk

Management

Audit and Internal Control

 LEARNING OUTCOMES

1. Peserta diharapkan mampu menjelaskan konsep dasar Risiko, Tata Kelola, dan Pengendalian
Internal

OUTLINE MATERI :

1. Pengenalan COSO ERM

2. Pengenalan COSO Internal Control

3. Governance Risk and Compliance

4. Kerangka COSO Internal Control

 ISI MATERI

A. Pengenalan COSO ERM

Kerangka COSO ERM adalah salah satu dari dua standar manajemen resiko yang
diterima secara luas yang digunakan organisasi untuk membantu mengelola resiko dalam
lanskap bisnis yang semakin fluktuatif dan tidak dapat diprediksi. COSO, yang
merupakan kependekan dari Committee of Sponsoring Organizations of the Treadway
Commission, pada awalnya didirikan oleh lima asosiasi dan institut akuntansi utama di
AS pada pertengahan 1980-an sebagai bagian dari National Commission on Fraudulent
Financial Reporting. Komite ini kemudian dikenal sebagai Komisi Treadway untuk
menghormati ketua pertama atau pendirinya, James C. Treadway, Jr. Misi awal COSO
adalah mempelajari pelaporan keuangan dan mengembangkan rekomendasi untuk
pencegahan kecurangan.

“Standar” utama COSO, Pengendalian Internal - Kerangka Kerja Terpadu, dirilis pada
tahun 1992 dan menyediakan kerangka kerja yang komprehensif untuk membantu
organisasi menilai dan meningkatkan sistem pengendalian internal mereka. Hal tersebut
kemudian menjadi sangat populer; dalam jajak pendapat tahun 2006, disebutkan 82%
responden menyatakan bahwa mereka menggunakan standar tersebut untuk panduan
aktivitas pengendalian internal dan kepatuhan di organisasi mereka.

Pada tahun-tahun berikutnya setelah diluncurkan, organisasi segera mulai menyadari

adanya kesenjangan dalam kerangka pengendalian internal. Meskipun sangat membantu
dalam mengurangi resiko seputar perilaku kecurangan dan kepatuhan terhadap peraturan,
tidak ada cara untuk mengidentifikasi dan menilai resiko mana yang perlu dikendalikan
oleh organisasi. Pengakuan ini, ditambah tuntutan untuk tata kelola perusahaan yang
lebih baik dan standar manajemen resiko setelah Enron dan skandal serupa, mendorong
COSO untuk membuat Enterprise Risk Management/Manajemen Resiko Perusahaan -
Kerangka Terintegrasi pada tahun 2004.

Audit and Internal Control

Meskipun kerangka COSO 2004 mencakup pengaturan strategi dalam definisi ERM,
kenyataannya adalah bahwa Sarbanes-Oxley Act (sering disebut sebagai SOX) dan
persyaratannya bagi perusahaan publik untuk menguji dan mensertifikasi pengendalian
pelaporan keuangan merupakan faktor motivasi yang kuat dalam mengembangkan
standar.

Dalam standar awal, ERM terdiri dari empat kategori - Strategis, Operasi, Pelaporan, dan
Kepatuhan - dua diantaranya terkait langsung dengan tata kelola perusahaan.

Seperti yang dijelaskan dalam ringkasan standar 2004 dari NC State ini, standar ERM
hampir seperti versi standar pengendalian internal yang diperluas yang melampaui
laporan keuangan untuk menyertakan laporan di seluruh perusahaan.

Meskipun standar asli memasukkan tujuan strategis sebagai kategori, alasan untuk
memasukkannya adalah untuk memastikan strategi organisasi "selaras dengan operasi,
pelaporan, dan aktivitas kepatuhan".

Pada akhirnya, kerangka COSO ERM tahun 2004 lebih berfokus pada apa yang dapat
diaudit daripada mengidentifikasi ancaman dan peluang, di situlah letak nilai riil dalam
ERM. Standar tersebut cocok untuk organisasi di mana resiko didorong oleh audit.

Dalam umpan baliknya, banyak praktisi menjelaskan bahwa kerangka COSO ERM yang
asli semata-mata berkaitan dengan pengendalian internal.

Untuk mengatasi hal ini dan masalah lainnya, COSO, dalam kemitraan dengan PwC,
merilis standar yang diperbarui pada tahun 2017 dengan judul Manajemen Resiko
Perusahaan - Berintegrasi dengan Strategi dan Kinerja.

Dalam ringkasannya, PwC membahas perbedaan yang signifikan antara standar 2004 dan
2017. Misalnya, strukturnya jauh berbeda. Apabila sebelumnya menggunakan kubus
untuk menggambarkan hubungan antara empat kategori dan delapan komponen dari
proses manajemen resiko, standar baru menggunakan diagram tipe pita yang sekarang
menjalin lima kategori di seluruh siklus hidup organisasi (lihat di bawah). Standar
tersebut menjelaskan bahwa tiga pita dalam diagram ada untuk mewakili proses umum

Audit and Internal Control

 yang "mengalir melalui entitas" (Penetapan Strategi / Tujuan, Kinerja, dan Tinjauan /
Revisi) sedangkan dua pita lainnya mewakili mekanisme pendukung ERM (Tata Kelola /
Kebudayaan, Informasi dan Komunikasi, dan Pelaporan).

B. Pengenalan COSO Internal Control

Committee of Sponsoring Organization of the Treadway Commission (COSO) pada
tahun 1992 mengeluarkan definisi tentang pengendalian internal. Definisi COSO tentang
pengendalian intern sebagai berikut: Pengendalian internal adalah proses, yang
dipengaruhi oleh dewan direksi, manajemen dan personel lainnya, yang dirancang untuk
memberikan jaminan yang wajar mengenai pencapaian tujuan dalam kategori berikut:

1. Efektivitas dan efisiensi operasi

Dalam menjalankan usaha atau bisnisnya, perusahaan efektif dalam menggunakan
sumber daya untuk mencapai tujuan. Selain itu juga secara efisien atau tepat guna
dalam penggunaannya

2. Reliabilitas Pelaporan Keuangan

Pelaporan keuangan yang handal, sesuai dengan kenyataan tanpa manipulasi dan
dapat dipercaya sebagai dasar bagi pengambilan keputusan bagi para pengguna
laporan keuangan

3. Kepatuhan terhadap hukum dan peraturan yang berlaku

Dalam menjalankan strategi dna kebijakan bisnisnya, perusahaan tidak hanya
semata – mata mencari keuntungan yang maksimal tetapi juga tetap
memperhatikan aturan hukum dan perundang-undangan, sehingga dalam
pengoperasian bisnisnya tetap taat pada peraturan yang berlaku

Komponen-komponen pengendalian internal menurut COSO secara garis besar antara

lain:

1. Lingkungan pengendalian (control environment).

Merupakan tanggung jawab manajemen puncak untuk menyatakan dengan jelas
nilai-nilai integritas dan kegiatan tidak etis yang tidak dapat ditoleransi.

Audit and Internal Control

 2. Penilaian resiko (risk assessment).
Perusahaan harus mengidentifikasi dan menganalisis faktor-faktor yang
menciptakan resiko bisnis dan harus menentukan bagaimana mengelola resiko
tersebut.

3. Aktivitas pengendalian (control activities).

Untuk mengurangi kesalahan, manajemen harus menerapkan kebijakan dan
sistem yang memastikan meminimalkan kesalahan tertentu yang perusahaan.

4. Informasi dan komunikasi (information and communication).

Sistem pengendalian internal harus dikomunikasikan dan diinfokan kepada
seluruh karyawan perusahaan dari atas hingga bawah.

5. Pemantauan (monitoring).
Sistem pengendalian internal harus dipantau secara berkala. Apabila terjadi
kekurangan yang signifikan, harus segera dilaporkan kepada manajemen puncak
dan ke dewan komisaris.

C. Governance Risk and Compliance

Perusahaan pada umumnya menghadapi masalah tata kelola. Biasanya seseorang di
perusahaan bertanggung jawab untuk membuat peraturan dan kebijakan bagi karyawan
dan pemangku kepentingan. Perusahaan kecil dan besar membutuhkan unit atau fungsi
yang berbasis luas dalam membuat aturan dan kebijakan. Oleh karena itu semua
perusahaan membutuhkan proses tata kelola yang efektif dan efisien.

Seiring dengan perkembangan jaman, perusahaan dengan berbagai ukuran di berbagai

lokasi dihadapkan pada peraturan dan prosedur yang semakin banyak, baik dari tingkat
lokal hingga internasional. Di sisi lain, perusahaan diwajibkan untuk mematuhi semua
regulasi (hukum dan regulasi) dan prosedur yang berlaku.

Dalam menjalankan usahanya, perusahaan selalu menghadapi resiko. Contoh resiko yang
dihadapi perusahaan seperti perusahaan dapat melanggar salah satu peraturan yang
berlaku, tata kelola yang ditetapkan oleh perusahaan tidak mencapai hasil yang

Audit and Internal Control

diinginkan, dan perusahaan menghadapi kejadian di luar kendali perusahaan (seperti
faktor cuaca / kebakaran)

Dengan adanya resiko tersebut maka diperlukan manajemen resiko dalam menjalankan
usahanya; dalam akronim GRC, G adalah singkatan dari Governance. Tata kelola berarti
mengelola bisnis, memastikan bahwa kinerja perusahaan sesuai dengan peraturan
perusahaan dan keputusan Direksi. Governance juga berarti apa yang harus dilakukan
perusahaan (sesuai dengan ekspektasi stakeholder) agar setiap karyawan mengetahui arah
operasional perusahaan.

Sedangkan R adalah singkatan dari Risk. Semua yang dilakukan perusahaan beresiko.
Resiko adalah cara perusahaan melindungi nilai aset yang ada dan menciptakan nilai
dengan mengembangkan perusahaan secara strategis atau menambahkan produk /
layanan baru. C adalah singkatan dari Compliance. Kepatuhan didefinisikan sebagai
kepatuhan terhadap hukum dan peraturan yang berkaitan dengan bisnis dan masyarakat.
Seringkali, C didefinisikan sebagai kontrol kepatuhan. Pengendalian kepatuhan berarti
pengendalian kegiatan untuk memastikan bahwa perusahaan mematuhi hukum dan
peraturan yang berlaku. Contoh: memantau emisi pabrik atau memastikan kertas impor
dan ekspor terstruktur dengan baik, menciptakan kontrol akuntansi internal yang efektif
dan menerapkan peraturan seperti Sarbanes-Oxley secara efektif. GRC tidak hanya
berarti apa yang harus dilakukan untuk menjaga bisnis, tetapi sebuah paradigma untuk
membantu perusahaan berkembang ke arah yang lebih baik.

Banyak perusahaan tidak menganggap GRC sebagai prinsip tunggal. Perusahaan sering
mengatur tata kelola, resiko dan kepatuhan sebagai area terpisah, bukan sebagai prinsip
tunggal. Misalnya, perusahaan diwajibkan untuk mematuhi regulasi yang berlaku, namun
perusahaan tidak terbiasa memadukannya dengan prinsip GRC. Faktanya, GRC
merupakan cara baru bagi perusahaan untuk mengintegrasikan aspek Tata Kelola, Resiko
dan Kepatuhan dalam bisnis

Ketiga prinsip GRC tersebut memiliki hubungan yang berkelanjutan dan saling terkait,
yang kesemuanya memiliki kedudukan penting yang sama. Tata kelola perusahaan /

Audit and Internal Control

 perusahaan adalah aturan, proses, atau hukum yang dengannya bisnis dijalankan, diatur,
dan dikendalikan. Istilah tersebut juga mengacu pada faktor internal yang ditentukan oleh
pejabat, pemegang saham, atau dokumen dan peraturan tertulis serta tujuan dasar
perusahaan, serta pihak eksternal seperti konsumen, klien, dan peraturan pemerintah.

Gambar 1.1. Konsep Governance Risk dan Compliance

Gambar di atas adalah Konsep GRC. Aspek konsep GRC sangat terikat satu sama lain.
Pada gambar di atas terlihat bahwa: kebijakan internal merupakan faktor pendukung
utama tata kelola, regulasi eksternal merupakan faktor utama pendukung kepatuhan, risk
appetite perusahaan merupakan faktor utama pendukung pengelolaan resiko.

Di dalam segitiga tersebut terdapat 4 komponen GRC yaitu: strategi, proses efektif,
teknologi, manusia. Bagian kanan segitiga menunjukkan bahwa perusahaan
membutuhkan perhatian dan dukungan manajemen, perilaku etis yang benar, efisiensi
organisasi, dan peningkatan efektivitas untuk mendukung operasi bisnis mereka.

D. Kerangka COSO Internal Control

Kerangka Konseptual Pengendalian Internal (COSO) sekarang telah menjadi standar di
seluruh dunia untuk membangun internal. The Committee of Sponsoring Organizations
of the Treadway Commission didirikan pada tahun 1985, yang merupakan aliansi dari
lima organisasi profesi diantaranya:

Audit and Internal Control

 1. Eksekutif Keuangan Internasional (FEI)
2. American Accounting Association (AAA)
3. Institut Akuntan Publik Bersertifikat Amerika (AICPA)
4. Institut Auditor Internal (IIA)
5. Institute of Management Accountants (IMA) (sebelumnya National Association
of Accountants)

Misi utama dari COSO adalah “Memperbaiki / meningkatkan kualitas laporan keuangan
entitas melalui etika bisnis, pengendalian internal yang efektif, dan tata kelola
perusahaan.”

Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi

mengenai sebuah model untuk pengendalian internal. Pada tahun 1992, menyelesaikan
studi tersebut dengan memperkenalkan sebuah kerangka kerja pengendalian internal yang
akhirnya menjadi sebuah baru bagi para eksekutif, dewan direksi, regulator, penyusun
standar, organisasi profesi, dan lainnya sebagai kerangka kerja yang mengatur untuk
mengukur efektifitas pengendalian internal mereka.

COSO tidak mengubah lima komponen pengendalian yang telah dipakai sejak COSO
1992. Tentu saja penjelasannya tetap mengalami penyempurnaan. Penjelasan singkat dari
komponen-komponen tersebut adalah sebagai berikut.

1. Lingkungan Pengendalian (Control Environment)

Merupakan susunan dari standar, proses dan struktur yang menyediakan dasar untuk
terlaksananya pengendalian internal dalam organisasi. Lingkungan pengendalian,
struktur dan struktur yang menjadi landasan terselenggaranya pengendalian internal
organisasi secara menyeluruh. Lingkungan pengendalian suasana dan kesan yang
dibangun dewan komisaris dan manajemen puncak pentingnya pengendalian internal
dan perilaku yang diharapkan. Manajemen mempertegas harapan atau ekspektasi itu
pada berbagai tingkatan organisasi. Sub-komponen lingkungan organisasi integritas
dan nilai etika organisasi; parameter-parameter yang menjadikan dewan komisaris
mampu melaksanakan tanggung jawab tata kelola; struktur organisasi serta pembagian

Audit and Internal Control

 wewenang dan tanggung jawab; proses untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja, insentif, dan
ketidakseimbangan untuk mendorong akuntabilitas kinerja. Pengendalian lingkungan.

2. Penilaian Resiko (Risk Assessment)

Penilaian resiko melibatkan proses yang dinamis dan berulang (berulang) untuk
menganalisis dan menganalisis resiko yang spesifik. COSO 2013 merumuskan definisi
resiko sebagai kemungkinan suatu peristiwa akan berdampak dan merugikan bagi
kehancuran tujuan. Resiko yang berasal dari organisasi dapat bersifat internal (berasal
dari dalam) maupun eksternal (bersumber dari luar). Resiko yang diidentifikasi akan
dibandingkan dengan tingkat toleransi resiko yang telah ditetapkan. Penilaian resiko
menjadi dasar bagaimana organisasi akan dikelola. Salah satu prakondisi bagi produksi
resiko adalah penetapan tujuan yang saling terkait pada berbagai tingkat organisasi.
Manajemen harus menetapkan tujuan dalam katagori operasi, pelaporan, dan
berdasarkan yang jelas sehingga resiko-resiko yang ditentukan dan dianalisa.
Manajemen juga harus mempertimbangkan kesesuaian tujuan dengan organisasi.
Penilaian resiko mengharuskan manajemen untuk memperhatikan dampak perubahan
lingkungan eksternal dan model bisnis yang berubah itu sendiri yang mengakibatkan
ketidakefektifan pengendalian intern yang ada.

3. Kegiatan Pengendalian (Kegiatan Pengendalian)

Kegiatan pengendalian tindakan-tindakan yang ditetapkan melalui kebijakan dan
prosedur untuk membantu memastikan pelaksanaan arahan manajemen dalam rangka
resiko atas wilayah. Kegiatan pengendalian yang dilaksanakan pada semua tingkat
organisasi, pada berbagai tahap proses bisnis, dan konteks lingkungan teknologi.
Kegiatan pengendalian yang bersifat preventif dan bersifat manual atau otomatis.
Pengendalian adalah otorisasi dan persetujuan, verivikasi, rekonsiliasi, dan revie
kenerja. Dalam memilih dan mengembangkan kegiatan, biasanya melekat konsep
pemisahan tugas. Jika pemisah fungsi tersebut tidak praktis, manajemen harus memilih
dan mengembangka altenatif kegiatan pengendalian sebagai kompensasinya.

Audit and Internal Control

4. Informasi dan komunikasi (information and communication)
Organisasi memerlukan informasi demi terselenggaranya pengendalian intern dalam
mendukung tujuan. Manajemen harus memperoleh, menghasilkan, dan menggunakan
informasi yang relevan dan berkualitas, baik yang berasal dari sumber internal maupun
eksternal, untuk mendukung komponen-komponen pengendalian internal lainnya yang
berfungsi baik yang mestinya. Komunikasi yang dimaksud dalam kerangka internal
pengendalian COSO adalah proses iteratif dan berkelanjutan untuk memperoleh,
membagikan, dan menyediakan informasi. Komunikasi internal harus menjadi sarana
diseminasi informasi di dalam organisasi, baik dari atas ke bawah, dari bawah ke atas,
maupun lintas fungsi.

5. Kegiatan Pemantauan (Monitoring Activities)

Komponen ini merupakan satu-satunya komponen yang berubah nama. Sebelumnya
komponen ini hanya disebut pemantau (pemantauan). Perubahan ini untuk
memeprluas persepsi yang diambil alih sebagai rangkaian aktivitas yang dilakukan
sendiri dan juga sebagai bagian dari masing-masing komponen pengendalian internal.
Kegiatan evakuasi evaluasi, evaluasi individu, atau kombinasi dari masing-masing
komponen yang digunakan untuk memastikan masing-masing komponen yang ada dan
berfungsi masing-masing komponen. Evaluasi berkelanjutan dibagun di dalam proses
bisnis pada tingkat yang berbeda-beda guna menyajikan informasi tepat waktu.
Evaluasi secara terpisah dilakukan secara periodik, bervariasi lingkup dan
frekuensinya tergantung pada hasil penilaian resiko, evaluasi evaluasi berkelanjutan,
dan pertimbangan manajemen lainnya.

Audit and Internal Control

 SIMPULAN

Proses GRC dan pengendalian internal yang efektif dapat membantu perusahaan mengubah
operasi bisnisnya dan memiliki wawasan serta kemampuan untuk membuat prediksi yang lebih
dalam tentang proses bisnisnya ketika perusahaan dapat memenuhi tuntutan peraturan hukum
yang berlaku. Penggerak utama bisnis yang dimaksud adalah kemampuan untuk mengelola
informasi aset, menunjukkan kepatuhan terhadap kewajiban dan peraturan hukum yang berlaku,
mengurangi resiko proses pengadilan, mengurangi biaya penyimpanan dan penemuan, dan
menunjukkan akuntabilitas perusahaan.

Jadi untuk mewujudkan manajemen resiko dan proses COSO ERM yang efektif, perusahaan
perlu memiliki proses tata kelola dan kepatuhan yang kuat dengan tujuan membangun program
GRC yang efektif.

Manajemen resiko harus menciptakan nilai dan menjadi bagian integral dari proses organisasi.
Manajemen resiko juga harus menjadi bagian dari proses pengambilan keputusan dan harus
disesuaikan dengan masing-masing perusahaan secara sistematis dan terstruktur sehingga secara
eksplisit dapat menunjukkan ketidakpastian yang dihadapi perusahaan. Proses manajemen resiko
harus dinamis, iteratif, responsif terhadap perubahan, dan dapat terus ditingkatkan, yaitu
perbaikan dan penyempurnaan yang berkelanjutan.

Audit and Internal Control

 DAFTAR PUSTAKA

Hunziker, S. (2019). Enterprise Risk Management Modern Approach to Balancing

Risk and Reward. Springer Gabler. Wiesbaden, Germany

Manurung, A.H. (2020). Enterprise Risk Management. PT Adler Manurung Press.

Jakarta. ISBN 9789793439211

Moeller, R.R. (2011). COSO Enterprise Risk Management: Establishing Effective

Governance, Risk, and Compliance (GRC) Processes. 2nd edition. John Wiley & Sons
Inc. New Jersey. ISBN: 9780470912881.

Audit and Internal Control