Pengendalian Intern Ala COSO Terbaru

Membahas tema pengendalian intern rasanya tidak lengkap jika tidak mengulas konsep pengendalian intern menurut COSO. Artikel ini melengkapi penjelasan artikel tentang Sejarah Lengkap COSO dan penjelasan konsep manajemen risiko menurut COSO yang dipaparkan dalam artikel Manajemen Risiko Ala COSO - Dulu dan Nanti. Dengan demikian, lengkap sudah gambaran mengenai sejarah COSO beserta dua kerangka kerja (framework) penting yang dihasilkannya.

Dari judul artikel ini terkesan seolah-olah ada kerangka kerja pengendalian intern yang baru saja terbit padahal tidak demikian. Sebenarnya kerangka kerja tersebut terbitnya sudah lama, yaitu pada tahun 2013. Kerangka itu menggantikan kerangka kerja pendahulunya yang terbit tahun 1992. Tapi memang itu yang terbaru kan? Karena belum ada yang lebih baru lagi.

Kerangka kerja pengendalian intern yang diterbitkan oleh COSO dikenal luas dengan sebutan COSO Internal Control Integrated Framework. Nama tersebut tetap dipertahankan pada kerangka kerja yang baru. Untuk membedakan penyebutan yang lama dengan yang baru, saya pakai singkatan COSO IC 1992 (untuk yang lama) dan COSO IC 2013 (untuk yang baru).

COSO IC 2013 terdiri dari tiga volume yaitu:
  • Executive Summary: memberikan gambaran umum kerangka pengendalian intern bagi para dewan pengawas (board of directors), CEO, dan manajemen senior lainnya.
  • Framework and Appendices: menetapkan kerangka, mendefinisikan pengendalian intern, menjelaskan persyaratan pengendalian intern yang efektif termasuk komponen dan prinsip-prinsipnya, dan memberikan petunjuk bagi semua tingkatan manajemen dalam merancang, melaksanakan, dan mengarahkan pengendalian intern serta menilai efektivitasnya.
  • Illustrative Tools: menyediakan template dan skenario yang dapat digunakan untuk menilai efektivitas sistem pengendalian intern.

coso internal control
Sumber: COSO

Visualisasi konsep pengendalian intern COSO yang sangat terkenal adalah berbentuk kubus. Lihatlah ilustrasi kubus di atas! Gambar kubus sebelah kiri diambil dari COSO IC 1992. Gambar tersebut menunjukkan keterkaitan erat antara tujuan, komponen, dan struktur organisasi tempat diterapkannya pengendalian intern. Dari dimensi sisi kubus yang terlihat, sisi atas mencerminkan tujuan, sisi muka mencerminkan komponen, dan sisi samping mencerminkan ruang lingkup penerapan pengendalian intern. Konsep visualisasi ini masih tetap digunakan pada COSO IC 2013. Tentunya dengan menyesuaikan nama istilah di setiap sisi sesuai dengan konsep kerangka yang baru. Lihat gambar sebelah kanan yang berwarna-warni!

Definisi dan Tujuan

Berbeda dengan COSO ERM yang melakukan perubahan definisi, COSO IC 2013 secara prinsip masih mempertahankan definisi pengendalian intern tahun 1992. Pengendalian intern didefinisikan sebagai suatu proses di dalam organisasi (entitas) yang dipengaruhi oleh dewan pengawas (board), manajemen, dan personel lainnya, dirancang untuk memberikan keyakinan memadai bagi pencapaian tujuan organisasi. Pada sisi tujuan inilah terjadi sedikit perubahan. Tujuan yang hendak dicapai organisasi menurut COSO IC 2013 terdiri dari tiga kategori yaitu tujuan terkait operasi (operations), pelaporan (reporting), dan kepatuhan (compliance). Tujuan yang mengalami perubahan atau tepatnya perluasan lingkup dari COSO IC 1992 adalah tujuan operasi dan pelaporan. Tujuan operasi tidak semata-mata terkait dengan efisiensi dan efektivitas penggunaan sumber daya tetapi mencakup seluruh efisiensi dan efektivitas operasi termasuk sasaran/tujuan kinerja operasi dan keuangan serta pengamanan aset dari kerugian. Tujuan pelaporan diperluas cakupannya meliputi semua pelaporan organisasi, tidak dibatasi hanya pada lingkup pelaporan keuangan saja seperti kerangka 1992. Adapun tujuan kepatuhan masih sama dengan konsep COSO IC 1992. Kutipan definisi pengendalian intern asli dari COSO IC 2013 adalah sebagai berikut:
Internal control is a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance

Komponen

COSO IC 2013 tidak mengubah lima komponen pengendalian intern yang telah dipakai sejak COSO IC 1992. Tentu saja uraian penjelasannya tetap mengalami penyempurnaan. Penjelasan singkat dari komponen-komponen tersebut adalah sebagai berikut.

1. Lingkungan Pengendalian (Control Environment)

Lingkungan pengendalian adalah rangkaian standar, proses dan struktur yang menjadi dasar dalam penyelenggaraan pengendalian intern di seluruh organisasi. Dewan pengawas dan manajemen puncak menciptakan irama pada level tertinggi organisasi mengenai pentingnya pengendalian intern dan standar perilaku yang diharapkan. Sub-komponen lingkungan pengendalian mencakup integritas dan nilai etika yang dianut organisasi; parameter-parameter yang menjadikan dewan pengawas mampu melaksanakan tanggung jawab tata kelola; struktur organisasi serta pembagian wewenang dan tanggung jawab; proses untuk merekrut, mengembangkan, dan mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja, insentif, dan imbalan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian yang dihasilkan akan berdampak luas terhadap sistem pengendalian intern secara keseluruhan.

2. Penilaian Risiko (Risk Assessment)

Penilaian risiko melibatkan proses yang dinamis dan berulang (iterative) untuk mengidentifikasi dan menganalisis risiko terkait pencapaian tujuan. COSO IC 2013 merumuskan definisi risiko sebagai kemungkinan suatu peristiwa akan terjadi dan berdampak merugikan bagi pencapaian tujuan. Risiko yang dihadapi organisasi bisa bersifat internal (berasal dari dalam) ataupun eksternal (bersumber dari luar). Risiko yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang telah ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola. Salah satu prakondisi bagi penilaian risiko adalah penetapan tujuan yang saling terkait pada berbagai tingkatan organisasi. Manajemen harus menetapkan tujuan dalam kategori operasi, pelaporan, dan kepatuhan dengan jelas sehingga risko-risiko terkait bisa diidentifikasi dan dianalisis. Manajemen juga harus mempertimbangkan kesesuaian tujuan dengan organisasi. Penilaian risiko mengharuskan manajemen untuk memperhatikan dampak perubahan lingkungan eksternal serta perubahan model bisnis organisasi itu sendiri yang berpotensi mengakibatkan ketidakefektifan pengendalian intern yang ada.

3. Kegiatan Pengendalian (Control Activities)

Kegiatan pengendalian mencakup tindakan-tindakan yang ditetapkan melalui kebijakan dan prosedur untuk membantu memastikan dilaksanakannya arahan manajemen dalam rangka meminimalkan risiko atas pencapaian tujuan. Kegiatan pengendalian dilaksanakan pada semua tingkatan organisasi, pada berbagai tahap proses bisnis, dan pada konteks lingkungan teknologi. Kegiatan pengendalian ada yang bersifat preventif atau detektif dan ada yang bersifat manual atau otomatis. Contoh kegiatan pengendalian adalah otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan reviu kinerja. Dalam memilih dan mengembangkan kegiatan pengendalian, biasanya melekat konsep pemisahan fungsi (segregation of duties). Jika pemisahan fungsi tersebut dianggap tidak praktis, manajemen harus memilih dan mengembangkan alternatif kegiatan pengendalian sebagai kompensasinya.

4. Informasi dan Komunikasi (Information and Communication)

Organisasi memerlukan informasi demi terselenggaranya fungsi pengendalian intern dalam mendukung pencapaian tujuan. Manajemen harus memperoleh, menghasilkan, dan menggunakan informasi yang relevan dan berkualitas, baik dari sumber internal maupun eksternal. Hal tersebut diperlukan agar komponen pengendalian intern yang lain berfungsi dengan baik sebagaimana mestinya. Sementara itu, komunikasi merupakan proses berulang (iterative) dan berkelanjutan untuk memperoleh, membagikan dan menyediakan informasi. Komunikasi internal harus menjadi sarana diseminasi informasi di dalam organisasi, baik dari atas ke bawah, dari bawah ke atas, maupun lintas fungsi.

    5. Kegiatan Pemantauan (Monitoring Activities)

    Komponen ini merupakan satu-satunya komponen yang berubah nama. Sebelumnya komponen ini hanya disebut pemantauan (monitoring). Perubahan ini dimaksudkan untuk memperluas persepsi pemantauan sebagai rangkaian aktivitas yang dilakukan sendiri dan juga sebagai bagian dari masing-masing empat komponen pengendalian intern lainnya. Kegiatan pemantauan mencakup evaluasi berkelanjutan, evaluasi terpisah, atau kombinasi dari keduanya yang digunakan untuk memastikan masing-masing komponen pengendalian intern ada dan berfungsi sebagaimana mestinya. Evaluasi berkelanjutan dibangun di dalam proses bisnis pada tingkat yang berbeda-beda guna menyajikan informasi tepat waktu. Evaluasi terpisah dilakukan secara periodik, bervariasi lingkup dan frekuensinya tergantung pada hasil penilaian risiko, efektivitas evaluasi berkelanjutan, dan pertimbangan manajemen lainnya.

    Prinsip-Prinsip

    COSO IC 2013 mengenalkan kodifikasi 17 prinsip pengendalian intern. Kodifikasi tersebut belum ada di dalam kerangka sebelumnya. Prinsip-prinsip pengendalian intern merepresentasikan konsep fundamental dari tiap-tiap komponen pengendalian intern. Karena prinsip-prinsip tersebut dirumuskan langsung dari komponen pengendalian intern maka diharapkan pengendalian intern organisasi akan efektif bila menerapkan semua prinsip tersebut. Semua prinsip pengendalian intern berhubungan dengan tujuan-tujuan organisasi, baik itu berupa tujuan operasi, pelaporan, maupun kepatuhan. Rincian dari ketujuh belas prinsip tersebut adalah sebagai berikut.

    Prinsip dalam Lingkungan Pengendalian

    • Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
    • Dewan pengawas menunjukkan independensinya dari manajemen dan melaksanakan pengawasan atas pengembangan dan kinerja pengendalian intern.
    • Manajemen dengan pengawasan dari dewan pengawas menetapkan struktur organisasi, garis pelaporan, serta wewenang dan tanggung jawab yang tepat dalam rangka pencapaian tujuan.
    • Organisasi menunjukkan komitmen dalam merekrut, mengembangkan, dan mempertahankan individu-individu yang kompeten sesuai dengan tujuan yang ditetapkan.
    • Organisasi memegang akuntabilitas individu-individu atas pelaksanaan pengendalian intern dalam rangka pencapaian tujuan.

    Prinsip dalam Penilaian Risiko

    • Organisasi menetapkan tujuan-tujuan yang jelas agar dapat dilakukan identifikasi dan penilaian risiko terkait tujuan tersebut.
    • Organisasi mengidentifikasi risiko atas pencapaian tujuan secara menyeluruh dan menganalisis risiko sebagai landasan pengelolaan risiko.
    • Organisasi mempertimbangkan potensi kecurangan (fraud) dalam melakukan penilaian risiko atas pencapaian tujuan.
    • Organisasi mengidentifikasi dan menilai perubahan-perubahan yang dapat berdampak signifikan terhadap sistem pengendalian intern.

    Prinsip dalam Kegiatan Pengendalian

    • Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi meminimalkan risiko atas pencapaian tujuan sampai pada level yang dapat diterima.
    • Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas teknologi untuk mendukung pencapaian tujuan.
    • Organisasi memberlakukan kegiatan pengendalian melalui kebijakan yang menetapkan apa yang diharapkan dan melalui prosedur yang menjabarkan kebijakan menjadi tindakan.

    Prinsip dalam Informasi dan Komunikasi

    • Organisasi memperoleh, menghasilkan dan menggunakan informasi yang relevan dan berkualitas untuk mendukung berfungsinya komponen pengendalian intern lainnya.
    • Organisasi melakukan komunikasi informasi secara intern, termasuk tujuan dan tanggung jawab pengendalian intern, yang diperlukan untuk mendukung berfungsinya pengendalian intern.
    • Organisasi menjalin komunikasi dengan pihak-pihak eksternal terkait hal-hal yang mempengaruhi berfungsinya komponen pengendalian intern lainnya.

    Prinsip dalam Kegiatan Pemantauan

    • Organisasi memilih, mengembangkan, dan melaksanakan evaluasi secara terus-menerus (berkelanjutan) dan/atau secara terpisah untuk memastikan bahwa komponen-komponen pengendalian intern benar-benar ada dan berfungsi.
    • Organisasi mengevaluasi dan mengkomunikasikan kelemahan pengendalian intern secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen puncak dan dewan pengawas, sebagaimana mestinya.

    Titik Fokus

    Selain mengenalkan prinsip-prinsip sebagai hal baru, COSO IC 2013 juga mengenalkan 81 titik fokus (points of focus). Titik fokus tersebut mencerminkan ciri khas penting dari masing-masing prinsip dan dapat digunakan untuk memfasilitasi proses merancang, menerapkan, dan mengarahkan pengendalian intern. Titik fokus menjadi sarana manajemen untuk memastikan bahwa prinsip-prinsip telah ada dan berfungsi dengan baik. Mirip dengan hubungan antara prinsip dengan komponen, titik fokus ini memiliki hubungan yang sifatnya mendukung tiap prinsip yang ada. Artinya, di dalam masing-masing prinsip terdapat beberapa titik fokus yang mendukungnya. Mengingat jumlahnya yang banyak, saya tidak akan menguraikan satu per satu titik fokus tersebut. Sebagai contoh saja, prinsip "Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika" pada komponen "Lingkungan Pengendalian" didukung oleh empat titik fokus yaitu:
    • set the tone at the top;
    • penetapan standar perilaku;
    • evaluasi kepatuhan terhadap standar perilaku;
    • penanganan deviasi/penyimpangan tepat waktu.

    Keterbatasan Pengendalian Intern

    Sebagaimana termaktub di dalam definisi, keberadaan pengendalian intern dirancang untuk memberikan keyakinan memadai, bukan keyakinan mutlak. COSO IC 2013 mengungkapkan keterbatasan pengendalian intern yang mungkin terjadi karena:
    • penetapan tujuan sebagai prasyarat pengendalian intern tidak tepat; 
    • pengambilan keputusan oleh manusia yang salah atau bias; 
    • kegagalan/kesalahan faktor manusia sebagai pelaksana pengendalian; 
    • kemampuan manajemen mengesampingkan pengendalian; 
    • kemampuan manajemen, personil lain, atau pihak ketiga untuk berkolusi; atau 
    • peristiwa eksternal di luar kendali organisasi.

    Masih banyak hal tentang COSO IC 2013 yang dapat dieksplorasi. Jika Anda berkesempatan membaca sendiri kerangka kerja tersebut, mungkin Anda akan menemukan hal-hal lain yang lebih menarik. (harso)

    Referensi:
    • COSO Internal Control Integrated Framework 2013. 
    • Sara Lord (2013). An Overview of COSO's 2013 Internal Control Integrated Framework. McGladrey LLP.
    Load comments

    Comments