COSO

COSO-Framework
A. Apa sih kepanjangan dari COSO itu?  kepanjangan dari COSO itu adalah Committe of sponsoring organizations of the treadway Commission .

B. Sejarah Lahirnya COSO
·         1970an, Isu korupsi perusahaan  Amerika Serikat di Luar Negeri.·         SEC & Congress kampanye reformasi UU Keuangan  1970an.
·         1977 Terbit FCPA: Suap adalah pidana, harus dilawan dengan Internal Control. 
·         Dibentuk 1985
·         Mendukung National Commission on Fraudulent Financial Reporting (the Treadway Commission ) - James C. Treadway
Terdiri dari 5 organisasi : AAA (American Accounting Association), AICPA (American Institute of CPA'S), FEI (Financial Executives International), IMA (The Association of Accountants and Financial Professionals in Business , IIA (Institute Internal Auditors).

C. Perkembangan Framework COSO 

D. Komponen Dari COSO

Ada 3 kategori tujuan yang ingin dicapai oleh suatu entitas, yaitu Operation , Reporting and Compliance

Ada 5 komponen Pengendalian Internal yang mewakili apa yang diperlukan untuk mencapai tujuan, Yaitu Control Environtment, Risk Assestment , Control Activities , Information & Communication, Monitoring Activities

Ada hubungan langsung antara tujuan, komponen dan struktur organisasi.

E. Penjelasan 5 komponen dan 17 Prinsip, Point Of Focus dan Elemen 

5 Komponen dan 17 Prinsip
1.  Control Environment (Lingkungan Pengendalian)

1. Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
2. Dewan pengawas Independen terhadap manajemen dan melaksanakan pengawasan terhadap pengembangan dan kinerja pengendalian internal.
3. Manajemen menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, kewenangan dan tanggung jawab dalam mencapai tujuan.
4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten
5. Organisasi mendorong individu mengembangkan akuntabilitas atas tanggung jawabnya terhadap pengendalian internal 

2. Risk Assessment (Penilaian Risiko)

1. Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan identifikasi dan       penilaian risiko.
2. Organisasi mengidentifikasi risiko pencapaian tujuan di seluruh entitas dan menganalisa resiko sebagai  dasar untuk menentukan bagaimana risiko harus dikelola.
3. Organisasi mempertimbangkan potensi terjadinya fraud dalam menilai risiko terhadap pencapaian tujuan.
4. Organisasi mengidentifikasi dan mengevaluasi perubahan yang dapat mempengaruhi sistem pengendalian internal secara signifikan 

3. Control Activities (Aktivitas Pengendalian) 

1. Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi memitigasi risiko sampai tingkat yang dapat diterima
2. Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas teknologi informasi untuk mendukung tercapainya tujuan.
3. Organisasi menerapkan kegiatan pengendalian melalui kebijakan yang menetapkan apa yang diharapkan dan prosedur untuk menerapkan kebijakan.

4. Informations & Communication (Informasi dan Komunikasi)

1. Organisasi memperoleh atau menghasilkan dan menggunakan, informasi yang ber kualitas dan relevan untuk mendukung berfungsinya seluruh komponen pengendalian internal.
2. Organisasi mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab pengendalian internal, yang diperlukan untuk mendukung fungsi pengendalian internal
3. Organisasi berkomunikasi dengan pihak luar mengenai hal terkait dengan berbagai hal yang dapat mempengaruhi berfungsinya seluruh komponen internal control.

5.   Monitoring  (Pengawasan)

1. Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan dan / atau terpisah untuk memastikan apakah komponen pengendalian internal eksis dan berfungsi baik.
2. Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi.

87 Point Of Focus dan 17 Elemen

   G.  COSO-ERM                                                                                                                     Mengembangan manajemen risiko dapat menggunakan model COSO-ERM (Enterprise Risk Managenet) yang meliputi 8 komponen yang saling berhubungan. COSO mengembangkan komponen-komponen ini berdasarkancara-cara manajemen menjalankan organisasi dan mengintegrasikannya dengan proses manajemen. Beberapa perusahan sudah banyak yang menggunakan iini. Pengembangan manajemen risiko dengan menggunakan COSO-ERM lebih menfokuskan pada komponen-komponen manajemen risiko, meliputi:

  Nah Bedanya COSO-ERM dengan COSO yang ada pada point D? Pada Point D ada 5 komponen Yaitu :
       1.  Control Environment (Lingkungan Pengendalian).
       2. Risk Assessment (Penilaian Risiko).
       3. Control Activities (Aktivitas Pengendalian)
       4. Informations & Communication (Informasi dan Komunikasi)
       5. Monitoring  (Pengawasan )
        
       Tambahan 3 komponen pada COSO - ERM  sebagai berikut :
        1. Objective Setting.
        2. Event Identification
        3. Risk Response


1. Objective Setting (Penetapan Tujuan)

Tujuan pada dasarnya ditetapkan untuk mendukung pencapaian visi dan misi organisasi. Tujuan terbagai menjadi 4 jenis, yaitu tujuan strategis, operasional, pelaporan, dan kepatuhan. Secara prinsip, penetapan tujuan di mulai di tingkatan strategis dan menjadi dasar untuk tujuan-tujuan lainnya. Setiap organisasi pasti menghadapi berbagai risiko baik yang bersumber dari internal maupun eksternal. Pengembangan atau penetapan tujuan merupakan upaya untuk mengantisipasi atau mengkondisikan lebih awal agar organisasi mampu untuk mengidentifikasi kejadian, menilai risiko, dan mengembangkan respon terhadap risiko dengan cara yang efektif. Tujuan yang ditetapkan juga harus selaras dengan risk appetite organisasi yang dapat mendorong atau memicu tingkatan risiko yang dapat ditolerir (risk tolerance) oleh organisasi. Risk tolerance sendiri adalah tingkat ukuran dan variasi yang masih dapat diterima berkaitan dengan pencapaian tujuan, dan harus selaras dengan risk appetite organisasi.

2. Event Identification (Identifikasi Kejadian)

Manajemen mengidentifikasi kejadian-kejadian potensial yang jika benar-benar terjadi akan mempengaruhi organisasi. Kemudian manajemenmenentukan apakah kejadian-kejadian tersebut merupakan peluang atau justru akan mengganggu kemampuan organisasi untuk secara berhasil menerapkan strategi dan mencapai tujuan-tujuan. Kejadian-kejadian yang berdampak negatif menggambarkan risiko-risiko yang membutuhkan penilaian dan respon dari manajemen untuk mitgasinya. Sedangkan kejadian-kejadian yang berdampak positif menggambarkan peluang-peluang bagi organisasi untuk semakin mudah mencapai strategi dan tujuan-tujuannya. Ketika mengidentifikasi kejadian-kejadian, manajemen mempertimbangkan berbagai faktor internal dan eksternal yang mendorong terjadinya risiko-risiko atau peluang-peluang.

3. Risk Response (Respon Terhadap Risiko)

Setelah risiko-risiko yang relevan di-assess, manajemen harus mengembangkan bagaimana risiko-risiko tersebut direspon. Berbagai model untuk merespon risiko, di antaranya yaitu: menghindar (avoidance), mengurangi (reduction), memindahkan (sharing), dan menerima (acceptance). Dalam mempertimbangkan respon mana yang akan diambil, manajemen melakukan assessment terhadap pengaruh kemungkinan dan dampak risiko, dan juga biaya serta manfaatnya, kemudian memilih respon mana yang akan diambil untuk memitigasi risiko sampai ke risiko residualnya dalam batas risiko yang ditolerirnya (risk tolerance). Manajemen juga mengidentifikasi berbagai peluang yang mungkin tersedia, dan mendapatkan risiko-risiko ditingkat korporat atau portofolio risiko, untuk memastikan bahwa keseluruhan risiko-risiko residual memenuhirisk appetite organisasi

   H. Implementasi Framework Coso 2013

I. Kekurangan dan Kelebihan   Internal Control menurut COSO

Kekurangan :

Pengendalian intern dapat memastikan keberhasilan entitas yaitu, ia akan memastikan tercapainya dasar tujuan bisnis atau setidaknya menjamin kelangsungan hidup. Pengendalian yang efektif hanya dapat membantu entitas mencapai tujuan tersebut. Hal ini memberikan manajemen informasi tentang kemajuan entitas, atau kurang dari itu terhadap prestasi mereka. Tapi pengendalian intern tidak dapat mengubah manajer inheren buruk menjadi baik. Dan pergeseran kebijakan atau program pemerintah, tindakan pesaing atau kondisi ekonomi dapat melampaui control manajemen. Control internal tidak menjamin keberhasilan atau bahkan bertahan hidup.

Kelebihan:

1. Pengendalian internal dapat membantu suatu entitas mencapai kinerja dan profitabilitas target dan mencegah hilangnya sumber daya.

2. Dapat membantu memastikan pelaporan keuangan yang dapat diandalkan.

3. Dapat membantu memastikan bahwa perusahaan sesuai dengan peraturan perundang-undangan

4. Menghindari kerusakan reputasi dan lainnya.