Desi Nur Fauziah - C1C010039
Apa itu COSO?
Menurut salah satu sumber yang saya baca Committee of
Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif
dari sektor swasta yang dibentuk pada tahun 1985.
Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan
penggelapan laporan keuangan dan membuat rekomendasi untuk
mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk
pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan
untuk menilai sistem
pengendalian mereka.
COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional; American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) dan The Institute of Management Accountants (IMA).
Walaupun disponsori sama 5 professional
association, tapi pada dasarnya komisi ini bersifat independen dan orang2 yang
duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik,
Bursa Efek, dan investor. Nama ‘Treadway’ sendiri berasal dari nama ketua
pertamanya yaitu James C. Treadway, Jr.
COSO mendefinisikan pengendalian internal sebagai
suatu proses yang melibatkan dewan komisaris, manajemen, dan personil lain,
yang dirancang untuk memberikan keyakinan memadai tentang pencapaian tiga
tujuan berikut ini:
Ø Efektivitas dan efisiensi operasi
Ø Keandalan pelaporan keuangan
Ø Kepetuhan kerhadap hukum dan peraturan yang
berlaku)
COSO memandang pengendalian internal
merupakan rangkaian tindakan yang mencakup keseluruhan proses dalam organisasi.
Pengendalian internal berada dalam proses manajemen dasar, yaitu perencanaan,
pelaksanaan, dan pemantauan.
Menurut COSO
komponen Pengendalian Intern ada 5 yaitu:
1. Lingkungan pengendalian (control environment). Faktor-faktor lingkungan pengendalian
mencakup integritas, nilai etis, dan kompetensi dari orang dan entitas,
filosofi manajemen dan gaya operasi, cara manajemen memberikan otoritas dan
tanggung jawab serta mengorganisasikan dan mengembangkan orangnya, perhatian dan
pengarahan yang diberikan oleh board.
2. Penaksiran risiko (risk assessment). Mekanisme yang ditetapkan untuk
mengindentifikasi, menganalisis, dan mengelola risiko-risiko yang berkaitan
dengan berbagai aktivitas di mana organisasi beroperasi.
3. Aktivitas pengendalian (control activities). Pelaksanaan dari kebijakan-kebijakan dan
prosedur-prosedur yang ditetapkan oleh manajemen untuk membantu memastikan
bahwa tujuan dapat tercapai.
4. Informasi dan komunikasi (informasi and communication). Sistem yang memungkinkan orang atau entitas,
memperoleh dan menukar informasi yang diperlukan untuk melaksanakan, mengelola,
dan mengendalikan operasinya.
5. Pemantauan (monitoring). Sistem pengendalian internal perlu dipantau,
proses ini bertujuan untuk menilai mutu kinerja sistem sepanjang waktu. Ini
dijalankan melalui aktivitas pemantauan yang terus-menerus, evaluasi yang
terpisah atau kombinasi dari keduanya.
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk
Management – Integrated Framework’, sebagai pengembangan COSO framework di
atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
Ø Internal Environment
Ø Objective Setting
Ø Event Identification
Ø Risk Assessment
Ø Risk Response
Ø Control Activities
Ø Information and Communication
Ø Monitoring
1. Lingkungan Internal (Internal Environment) – Lingkungan internal sangat
menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang
terhadap risiko dari setiap orang dalam organisasi tersebut. Di dalam
lingkungan internal ini termasuk, filosofi manajemen risiko dan risk
appetite, nilai-nilai etika dan integritas, dan lingkungan di mana
kesemuanya tersebut berjalan.
2. Penentuan Tujuan (Objective Setting) – Tujuan perusahaan harus ada
terlebih dahulu sebelum manajemen dapat menidentifikasi kejadian-kejadian yang
berpotensi mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa
manajemen memiliki sebuah proses untuk menetapkan tujuan ddan bahwa tujuan yang
dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten
dengan risk appetite-nya.
3. Identifikasi Kejadian (Event Identification) – Kejadian internal dan
eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi,
dan dibedakan antara risiko dan peluang. Peluang dikembalikan (channeled back)
kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian Risiko (Risk Assessment) – Risiko dianalisis dengan
memperhitungkan kemungkinan terjadi (likelihood)
dan dampaknya (impact), sebagai
dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola.
5. Respons Risiko (Risk Response) – Manajemen memilih respons
risiko –menghindar (avoiding), menerima (accepting), mengurangi (reducing), atau mengalihkan (sharing risk) – dan
mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi (risk tolerance) dan risk
appetite.
6. Kegiatan Pengendalian (Control Activities) – Kebijakan dan prosedur yang
ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko
berjalan dengan efektif.
7. Informasi dan komunikasi (Information and Communication) – Informasi yang relevan
diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang
memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan (Monitoring) – Keseluruhan proses ERM
dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan
secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui
eveluasi secara khusus, atau dengan keduanya.
Sumber:
