Pengertian COSO
COSO (Committee of Sponsoring
Organizations of the Treadway Commission) sebuah framework yang dibuat oleh
sector swasta untuk menghindari tindak korupsi yang sedang marak terjadi di
Amerika pada tahun 1970-an. COSO berkaitan dengan FCPA yang dikeluarkan oleh SEC dan
US Congress pada tahun 1977 yang bertujuan untuk
melawan fraud dan korupsi yang sedang maraknya terjadi di Amerika tahun 70-an. Yang
membedakannya adalah FCPA merupakan inisiatif dari eksekutif-legislatif, sedangkan
COSO merupakan inisiatif dari sektor swasta.
Sektor swasta ini membentuk
‘National Commission on Fraudulent Financial Reporting’ atau dikenal juga
dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini disponsori oleh 5
professional association yaitu: AICPA (The American Institute of Certified Public
Accountants), AAA
(The American Accounting Association), FEI
(Financial Executives International) ,IIA (The Institute of Internal Auditors), IMA (The Institute of Management Accountants). Tujuan
komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan
(fraudulent on financial reporting) dan membuat rekomendasi2 yang terkait
dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi
pendidikan.v v
Misi utama dari COSO
adalah “Memperbaiki/meningkatkan
kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal
yang efektif, dan corporate governance. COSO mengembangkan studi mengenai
sebuah model untuk mengevaluasi pengendalian internal. Pada tehun 1992, telah
diselesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja
pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para
eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan
lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas
pengendalian internal.
Framework lain yang sejenis
COBIT
Control Objective for
Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best
practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan
manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah
teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI
dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis.
Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis,
memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI
digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang
dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena
dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang
tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter
yang dapat mengelola para profesional tersebut.
Perbedaan COSO dan COBIT
CoBIT (Control
Objectives for Information and Related Technology)
1. Fokus
Pengguna Utama adalah manajemen, operator dan auditor sistem informasi.
2. Sudut
pandang atas internal control adalah kesatuan beberapa proses yang terdiri atas
kebijakan, prosedur, penerapan serta struktur organisasi.
3. Tujuan
yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem
yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang
dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan
peraturan yang berlaku.
4. Komponen/domain
yang dituju adalah perencanaan dan pengorganisasian, pemaduan dan penerapan,
pengawasan atas dukungan serta pendistribusian.
5. Fokus
pengendalian dari CoBIT adalah sisi teknologi informasi.
6. Evaluasi
atas internal control ditujukan atas seberapa efektif pengendalian tersebut
diterapkan dalam periode waktu yang sudah ditetapkan.
7. Pertanggungjawaban
atas sistem pengendalian dari CoBIT ditujukan kepada manajemen.
COSO (Committee of Sponsoring Organizations)
1. Fokus Pengguna Utama adalah manajemen.
2. Sudut pandang atas internal control adalah kesatuan beberapa
proses secara umum.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah
pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang
handal serta kesesuaian dengan peraturan yang berlaku.
4. Komponen/domain yang dituju adalah pengendalian atas lingkungan,
manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan
komunikasi.
5. Fokus pengendalian dari eSAC adalah keseluruhan entitas.
6. Evaluasi atas internal control ditujukan atas seberapa efektif
pengendalian tersebut diterapkan dalam poin waktu tertentu.
7. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan
kepada manajemen.
Konten dari COSO
Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
1. Lingkungan Internal (Internal Environment), Sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
Risk Management Philosophy – Risk Appetite – Board of Directors – Integrity and Ethical Values– Commitment to Competence –Organizational Structure – Assignment of Authority andResponsibility – Human Resource Standards
2. Penentuan
Tujuan (Objective Setting), tujuan perusahaan harus ada terlebih dahulusebelum
manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi
dalam pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki
sebuah proses untuk menetapkan tujuan dan tujuan tersebut terkait serta
mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
Strategic Objectives – Related Objectives – Selected Objectives – Risk
Appetite – Risk Tolerances
3. Identifikasi
Kejadian (Event Identification), Kejadian internal dan eksternal yang
mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan
antara risiko dan peluang yang dapat terjadi. Peluang dikembalikan kepada
proses penetapan strategi atau tujuan manajemen.vents – Influencing Event Interdependencies – Event Categories – Distinguishing Risks and
Opportunities
4. Penilaian
Risiko (Risiko Assessment), Risiko dianalisis dengan memperhitungkan
kemungkinan terjadi (likelihood) dan dampaknya (impact), sebagai dasar bagi
penentuan pengelolaan risiko
Inherent and Residual Risk – Establishing
Likelihood and Impact – Data Sources – Assessment Techniques – Event
5. Respons
Risiko (Risk Response), manajemen memilih respons risiko, menghindar, menerima,
mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang
terjadi masih sesuai dengan toleransi dan risk appetite.
Evaluating Possible Responses – Selected
Responses – Portfolio View
6. Kegiatan
Pengendalian (Control Activities), kebijakan serta prosedur yang ditetapkan dan
diimplementasikan untuk membantu memastikan respons risiko berjalan dengan
efektif.Integration with Risk Response – Types of
Control Activities – Policies and Procedures – Controls over Information Systems – Entity
Specific
7. Informasi
dan Komunikasi (Information and Communication), Informasi yang relevan
diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang
memungkinkan setiap orang menjalankan tanggung jawabnya
Information – Communication
8. Pengawasan
(Monitoring), Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila
perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang
berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.
Ongoing Monitoring Activities – Separate Evaluations – Reporting
Deficiencies
Ruang lingkup penggunaan COSO
Ruang lingkup COSO adalah
organisasi atau perusahaan. Didalam dokumen COSO dikatakan bahwa pihak-pihak yang
terlibat dalam pengendalian internal adalah dewan komisaris, manajemen, dan
pihak-pihak lainnya yang mendukung pencapaian tujuan organisasi. COSO
menyatakan Pengendalian Internal merupakan partisipasi dari semua stakeholder
(pemangku kepentingan) entitas yang meliputi seluruh/semua area atau fungsi
dari bisnis entitas.
Referensi
Pengertian dan Komponen
COSO Framework. Diambil Oktober 20, 2013 dari http://sciencebooth.com/2013/05/21/pengertian-dan-komponen-coso-framework/.
Enterprise Risk Management –
Integrated Framework, Application Techniques (2004, September)
Makalah dengan Judul Audit Kinerje TI Fasilkom dengan COBIT (Adi Guna
Darmadi, Jurusan Sistem Informasi, Fasilkom Unsri, 2009)
