Pengendalian Intern Ala COSO Terbaru

 Suharso  7/17/2016

Membahas tema pengendalian intern rasanya tidak lengkap jika tidak mengulas konsep
pengendalian intern menurut COSO. Artikel ini melengkapi penjelasan artikel
tentang Sejarah Lengkap COSO dan penjelasan konsep manajemen risiko menurut
COSO yang dipaparkan dalam artikel Manajemen Risiko Ala COSO - Dulu dan Nanti.
Dengan demikian, lengkap sudah gambaran mengenai sejarah COSO beserta dua
kerangka kerja (framework) penting yang dihasilkannya.

Dari judul artikel ini terkesan seolah-olah ada kerangka kerja pengendalian intern yang
baru saja terbit padahal tidak demikian. Sebenarnya kerangka kerja tersebut terbitnya
sudah lama, yaitu pada tahun 2013. Kerangka itu menggantikan kerangka kerja
pendahulunya yang terbit tahun 1992. Tapi memang itu yang terbaru kan? Karena
belum ada yang lebih baru lagi.

Kerangka kerja pengendalian intern yang diterbitkan oleh COSO dikenal luas dengan
sebutan COSO Internal Control Integrated Framework. Nama tersebut tetap dipertahankan
pada kerangka kerja yang baru. Untuk membedakan penyebutan yang lama dengan
yang baru, saya pakai singkatan COSO IC 1992 (untuk yang lama) dan COSO IC 2013
(untuk yang baru).

COSO IC 2013 terdiri dari tiga volume yaitu:

 Executive Summary: memberikan gambaran umum kerangka pengendalian intern

bagi para dewan pengawas (board of directors), CEO, dan manajemen senior
lainnya.
 Framework and Appendices: menetapkan kerangka, mendefinisikan pengendalian
intern, menjelaskan persyaratan pengendalian intern yang efektif termasuk
komponen dan prinsip-prinsipnya, dan memberikan petunjuk bagi semua tingkatan
manajemen dalam merancang, melaksanakan, dan mengarahkan pengendalian intern
serta menilai efektivitasnya.
 Illustrative Tools: menyediakan template dan skenario yang dapat digunakan untuk
menilai efektivitas sistem pengendalian intern.
 Sumber: COSO

Visualisasi konsep pengendalian intern COSO yang sangat terkenal adalah berbentuk
kubus. Lihatlah ilustrasi kubus di atas! Gambar kubus sebelah kiri diambil dari COSO IC
1992. Gambar tersebut menunjukkan keterkaitan erat antara tujuan, komponen, dan
struktur organisasi tempat diterapkannya pengendalian intern. Dari dimensi sisi kubus
yang terlihat, sisi atas mencerminkan tujuan, sisi muka mencerminkan komponen, dan
sisi samping mencerminkan ruang lingkup penerapan pengendalian intern. Konsep
visualisasi ini masih tetap digunakan pada COSO IC 2013. Tentunya dengan
menyesuaikan nama istilah di setiap sisi sesuai dengan konsep kerangka yang baru.
Lihat gambar sebelah kanan yang berwarna-warni!

Definisi dan Tujuan

Berbeda dengan COSO ERM yang melakukan perubahan definisi, COSO IC 2013
secara prinsip masih mempertahankan definisi pengendalian intern tahun 1992.
Pengendalian intern didefinisikan sebagai suatu proses di dalam organisasi (entitas)
yang dipengaruhi oleh dewan pengawas (board), manajemen, dan personel lainnya,
dirancang untuk memberikan keyakinan memadai bagi pencapaian tujuan organisasi.
Pada sisi tujuan inilah terjadi sedikit perubahan. Tujuan yang hendak dicapai organisasi
menurut COSO IC 2013 terdiri dari tiga kategori yaitu tujuan terkait operasi (operations),
pelaporan (reporting), dan kepatuhan (compliance). Tujuan yang mengalami perubahan
atau tepatnya perluasan lingkup dari COSO IC 1992 adalah tujuan operasi dan
pelaporan. Tujuan operasi tidak semata-mata terkait dengan efisiensi dan efektivitas
penggunaan sumber daya tetapi mencakup seluruh efisiensi dan efektivitas operasi
termasuk sasaran/tujuan kinerja operasi dan keuangan serta pengamanan aset dari
kerugian. Tujuan pelaporan diperluas cakupannya meliputi semua pelaporan organisasi,
tidak dibatasi hanya pada lingkup pelaporan keuangan saja seperti kerangka 1992.
Adapun tujuan kepatuhan masih sama dengan konsep COSO IC 1992. Kutipan definisi
pengendalian intern asli dari COSO IC 2013 adalah sebagai berikut:
Internal control is a process, effected by an entity’s board of directors, management, and other
personnel, designed to provide reasonable assurance regarding the achievement of objectives
relating to operations, reporting, and compliance. 
Komponen
COSO IC 2013 tidak mengubah lima komponen pengendalian intern yang telah dipakai
sejak COSO IC 1992. Tentu saja uraian penjelasannya tetap mengalami
penyempurnaan. Penjelasan singkat dari komponen-komponen tersebut adalah sebagai
berikut.
1. Lingkungan Pengendalian (Control Environment)
Lingkungan pengendalian adalah rangkaian standar, proses dan struktur yang menjadi
dasar dalam penyelenggaraan pengendalian intern di seluruh organisasi. Dewan
pengawas dan manajemen puncak menciptakan irama pada level tertinggi organisasi
mengenai pentingnya pengendalian intern dan standar perilaku yang diharapkan. Sub-
komponen lingkungan pengendalian mencakup integritas dan nilai etika yang dianut
organisasi; parameter-parameter yang menjadikan dewan pengawas mampu
melaksanakan tanggung jawab tata kelola; struktur organisasi serta pembagian
wewenang dan tanggung jawab; proses untuk merekrut, mengembangkan, dan
mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja, insentif, dan
imbalan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian yang
dihasilkan akan berdampak luas terhadap sistem pengendalian intern secara
keseluruhan.
2. Penilaian Risiko (Risk Assessment)
Penilaian risiko melibatkan proses yang dinamis dan berulang (iterative) untuk
mengidentifikasi dan menganalisis risiko terkait pencapaian tujuan. COSO IC 2013
merumuskan definisi risiko sebagai kemungkinan suatu peristiwa akan terjadi dan
berdampak merugikan bagi pencapaian tujuan. Risiko yang dihadapi organisasi bisa
bersifat internal (berasal dari dalam) ataupun eksternal (bersumber dari luar). Risiko
yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang telah
ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola.
Salah satu prakondisi bagi penilaian risiko adalah penetapan tujuan yang saling terkait
pada berbagai tingkatan organisasi. Manajemen harus menetapkan tujuan dalam
kategori operasi, pelaporan, dan kepatuhan dengan jelas sehingga risko-risiko terkait
bisa diidentifikasi dan dianalisis. Manajemen juga harus mempertimbangkan kesesuaian
tujuan dengan organisasi. Penilaian risiko mengharuskan manajemen untuk
memperhatikan dampak perubahan lingkungan eksternal serta perubahan model bisnis
organisasi itu sendiri yang berpotensi mengakibatkan ketidakefektifan pengendalian
intern yang ada.
3. Kegiatan Pengendalian (Control Activities)
Kegiatan pengendalian mencakup tindakan-tindakan yang ditetapkan melalui kebijakan
dan prosedur untuk membantu memastikan dilaksanakannya arahan manajemen dalam
rangka meminimalkan risiko atas pencapaian tujuan. Kegiatan pengendalian
dilaksanakan pada semua tingkatan organisasi, pada berbagai tahap proses bisnis, dan
pada konteks lingkungan teknologi. Kegiatan pengendalian ada yang bersifat preventif
atau detektif dan ada yang bersifat manual atau otomatis. Contoh kegiatan
pengendalian adalah otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan reviu kinerja.
Dalam memilih dan mengembangkan kegiatan pengendalian, biasanya melekat konsep
pemisahan fungsi (segregation of duties). Jika pemisahan fungsi tersebut dianggap tidak
praktis, manajemen harus memilih dan mengembangkan alternatif kegiatan
pengendalian sebagai kompensasinya.
4. Informasi dan Komunikasi (Information and Communication)
Organisasi memerlukan informasi demi terselenggaranya fungsi pengendalian intern
dalam mendukung pencapaian tujuan. Manajemen harus memperoleh, menghasilkan,
dan menggunakan informasi yang relevan dan berkualitas, baik dari sumber internal
maupun eksternal. Hal tersebut diperlukan agar komponen pengendalian intern yang
lain berfungsi dengan baik sebagaimana mestinya. Sementara itu, komunikasi
merupakan proses berulang (iterative) dan berkelanjutan untuk memperoleh,
membagikan dan menyediakan informasi. Komunikasi internal harus menjadi sarana
diseminasi informasi di dalam organisasi, baik dari atas ke bawah, dari bawah ke atas,
maupun lintas fungsi.
5. Kegiatan Pemantauan (Monitoring Activities)
Komponen ini merupakan satu-satunya komponen yang berubah nama. Sebelumnya
komponen ini hanya disebut pemantauan (monitoring). Perubahan ini dimaksudkan untuk
memperluas persepsi pemantauan sebagai rangkaian aktivitas yang dilakukan sendiri
dan juga sebagai bagian dari masing-masing empat komponen pengendalian intern
lainnya. Kegiatan pemantauan mencakup evaluasi berkelanjutan, evaluasi terpisah, atau
kombinasi dari keduanya yang digunakan untuk memastikan masing-masing komponen
pengendalian intern ada dan berfungsi sebagaimana mestinya. Evaluasi berkelanjutan
dibangun di dalam proses bisnis pada tingkat yang berbeda-beda guna menyajikan
informasi tepat waktu. Evaluasi terpisah dilakukan secara periodik, bervariasi lingkup
dan frekuensinya tergantung pada hasil penilaian risiko, efektivitas evaluasi
berkelanjutan, dan pertimbangan manajemen lainnya.

Prinsip-Prinsip
COSO IC 2013 mengenalkan kodifikasi 17 prinsip pengendalian intern. Kodifikasi
tersebut belum ada di dalam kerangka sebelumnya. Prinsip-prinsip pengendalian
intern merepresentasikan konsep fundamental dari tiap-tiap komponen pengendalian
intern. Karena prinsip-prinsip tersebut dirumuskan langsung dari komponen
pengendalian intern maka diharapkan pengendalian intern organisasi akan efektif bila
menerapkan semua prinsip tersebut. Semua prinsip pengendalian intern berhubungan
dengan tujuan-tujuan organisasi, baik itu berupa tujuan operasi, pelaporan, maupun
kepatuhan. Rincian dari ketujuh belas prinsip tersebut adalah sebagai berikut.
Prinsip dalam Lingkungan Pengendalian
 Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
 Dewan pengawas menunjukkan independensinya dari manajemen dan melaksanakan
pengawasan atas pengembangan dan kinerja pengendalian intern.
 Manajemen dengan pengawasan dari dewan pengawas menetapkan struktur
organisasi, garis pelaporan, serta wewenang dan tanggung jawab yang tepat dalam
rangka pencapaian tujuan.
 Organisasi menunjukkan komitmen dalam merekrut, mengembangkan, dan
mempertahankan individu-individu yang kompeten sesuai dengan tujuan yang
ditetapkan.
 Organisasi memegang akuntabilitas individu-individu atas pelaksanaan pengendalian
intern dalam rangka pencapaian tujuan.
Prinsip dalam Penilaian Risiko
 Organisasi menetapkan tujuan-tujuan yang jelas agar dapat dilakukan identifikasi
dan penilaian risiko terkait tujuan tersebut.
 Organisasi mengidentifikasi risiko atas pencapaian tujuan secara menyeluruh dan
menganalisis risiko sebagai landasan pengelolaan risiko.
 Organisasi mempertimbangkan potensi kecurangan (fraud) dalam melakukan
penilaian risiko atas pencapaian tujuan.
 Organisasi mengidentifikasi dan menilai perubahan-perubahan yang dapat
berdampak signifikan terhadap sistem pengendalian intern.
Prinsip dalam Kegiatan Pengendalian
  Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi
meminimalkan risiko atas pencapaian tujuan sampai pada level yang dapat diterima.
 Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas
teknologi untuk mendukung pencapaian tujuan.
 Organisasi memberlakukan kegiatan pengendalian melalui kebijakan yang
menetapkan apa yang diharapkan dan melalui prosedur yang menjabarkan kebijakan
menjadi tindakan.
Prinsip dalam Informasi dan Komunikasi
 Organisasi memperoleh, menghasilkan dan menggunakan informasi yang relevan
dan berkualitas untuk mendukung berfungsinya komponen pengendalian intern
lainnya.
 Organisasi melakukan komunikasi informasi secara intern, termasuk tujuan dan
tanggung jawab pengendalian intern, yang diperlukan untuk mendukung
berfungsinya pengendalian intern.
 Organisasi menjalin komunikasi dengan pihak-pihak eksternal terkait hal-hal yang
mempengaruhi berfungsinya komponen pengendalian intern lainnya.
Prinsip dalam Kegiatan Pemantauan
 Organisasi memilih, mengembangkan, dan melaksanakan evaluasi secara terus-
menerus (berkelanjutan) dan/atau secara terpisah untuk memastikan bahwa
komponen-komponen pengendalian intern benar-benar ada dan berfungsi.
 Organisasi mengevaluasi dan mengkomunikasikan kelemahan pengendalian intern
secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil
tindakan korektif, termasuk manajemen puncak dan dewan pengawas, sebagaimana
mestinya.

Titik Fokus
Selain mengenalkan prinsip-prinsip sebagai hal baru, COSO IC 2013 juga mengenalkan
81 titik fokus (points of focus). Titik fokus tersebut mencerminkan ciri khas penting dari
masing-masing prinsip dan dapat digunakan untuk memfasilitasi proses merancang,
menerapkan, dan mengarahkan pengendalian intern. Titik fokus menjadi sarana
manajemen untuk memastikan bahwa prinsip-prinsip telah ada dan berfungsi dengan
baik. Mirip dengan hubungan antara prinsip dengan komponen, titik fokus ini memiliki
hubungan yang sifatnya mendukung tiap prinsip yang ada. Artinya, di dalam masing-
masing prinsip terdapat beberapa titik fokus yang mendukungnya. Mengingat jumlahnya
yang banyak, saya tidak akan menguraikan satu per satu titik fokus tersebut. Sebagai
contoh saja, prinsip "Organisasi menunjukkan komitmen terhadap integritas dan nilai-
nilai etika" pada komponen "Lingkungan Pengendalian" didukung oleh empat titik fokus
yaitu:
 set the tone at the top;
 penetapan standar perilaku;
 evaluasi kepatuhan terhadap standar perilaku;
 penanganan deviasi/penyimpangan tepat waktu.