Apakah Anda pernah mendengar tentang COSO framework? Sebelum mengetahui ini, penting bagi Anda mengetahui apa itu COSO
Committee of Sponsoring Organizations of the Treadway Commission, atau COSO, adalah inisiatif sektor swasta yang dipimpin oleh American Institute of Certified Public Accountants (AICPA), Institute of Management Accountants (IMA), American Accounting Association (AAA), Institute of Internal Auditor (IIA), dan Eksekutif Keuangan Internasional (FEI).
COSO dibentuk untuk menyelidiki skandal fraud pada tahun 1970an dan 1980an, merilis kerangka pengendalian internal pada tahun 1992.
COSO Internal Control – Integrated Framework (ICIF) – juga dikenal sebagai COSO framework– memberikan panduan tentang bagaimana organisasi dapat menerapkan pengendalian untuk mencegah, mendeteksi, dan mengelola risiko fraud terkait dengan pelaporan keuangan eksternal.
Artikel ini akan menguraikan lima pilar dan tujuh belas prinsip COSO framework serta bagaimana menerapkan dan menggunakannya sebagai landasan pengendalian internal modern dan pencegahan fraud.
Pengertian Sejarah COSO Framework
Meskipun tujuan awal COSO (organisasi) adalah untuk menyelidiki dan mengatasi penipuan pada tahun 1970an dan 1980an, COSO framework (kerangka kerja) menjadi semakin penting karena kasus penipuan pada tahun 1990an dan 2000an (Enron, WorldCom, Sunbeam, Tyco ) dan pengesahan Sarbanes-Oxley Act (SOX).
SOX mewajibkan perusahaan publik untuk menerapkan dan memelihara pengendalian internal yang efektif di seluruh organisasi terkait laporan keuangan.
Perusahaan yang tunduk pada peraturan SOX mengadopsi COSO framework sebagai salah satu kerangka kerja utama untuk memenuhi persyaratan ini.
Pengendalian Internal – Kerangka Terintegrasi COSO (ICIF), direvisi dan diterbitkan kembali pada tahun 2013 dengan panduan yang diperbarui, dan pembaruan berkala dikeluarkan oleh Komite.
COSO juga memberikan panduan untuk membangun program Enterprise Risk Management (ERM), yang seringkali berjalan seiring dengan lingkungan pengendalian Perusahaan.
Pada bulan Maret 2023, COSO merilis studi dan panduan mengenai pengendalian internal atas pelaporan keberlanjutan (ICSR) dengan memanfaatkan pengendalian internal COSO framework.
Seiring meningkatnya pengawasan terhadap keberlanjutan perusahaan, semakin banyak peraturan yang mewajibkan pelaporan yang andal dan tepercaya seputar masalah lingkungan, sosial, dan tata kelola (ESG).
COSO dan organisasi profesional lainnya sedang beradaptasi, dan panduan baru seputar ICSR ini memberikan jalan bagi perusahaan untuk melaporkan isu keberlanjutan. Meskipun permasalahan keberlanjutan dianggap “non-finansial”, COSO telah mendukung permintaan pemangku kepentingan untuk mengadaptasi ICIF COSO untuk pelaporan ESG.
Visual “kubus” COSO di bawah ini merangkum pilar dan komponen kerangka COSO. Pada sisi pertama kubus terdapat lima fondasi pengendalian internal.
Di bagian atas kubus terdapat kategori tujuan pengendalian — yaitu tujuan operasional, kepatuhan, dan pelaporan organisasi yang berkaitan dengan pengendalian internal. Di sisi terakhir kubus terdapat level di mana kontrol perlu diterapkan, mulai dari level Entitas hingga level fungsional.
Baca juga: Pelaporan Segmen dalam Laporan Keuangan: Contoh, Jenis, Dan Cara Analisis
Megetahui Lima Pilar COSO Framework
Lima pilar COSO Framework, yang diilustrasikan di bagian depan kubus, mendukung tujuan pengendalian internal seputar operasi, pelaporan, dan kepatuhan dengan memberikan beberapa panduan tentang cara menerapkan pengendalian yang efektif.
Pilar-pilar tersebut selanjutnya dipecah menjadi 17 prinsip.
1.Kontrol lingkungan
Kontrol lingkungan suatu organisasi mengacu pada keseluruhan struktur pengendalian internal dan ditetapkan dari atas ke bawah.
Seperti yang ditunjukkan oleh Enron dan kasus-kasus fraud lainnya, “atasan” yang buruk dapat menyebabkan aktivitas fraud dengan konsekuensi yang menghancurkan.
Menetapkan kontrol lingkungan sesuai dengan COSO framework melibatkan penerapan prinsip-prinsip berikut:
- Perusahaan berkomitmen terhadap integritas dan nilai-nilai etika.
- Direksi menjaga independensi terhadap manajemen dan mengawasi program pengendalian internal.
- Manajemen mendefinisikan struktur organisasi, wewenang, jalur pelaporan, dan tanggung jawab untuk melaksanakan tujuan operasional, pelaporan, kepatuhan, dan bisnis perusahaan.
- Perusahaan memprioritaskan perekrutan, pengembangan, dan retensi individu yang cakap dan kompeten yang selaras dengan tujuan pengendalian internal.
- Perusahaan menetapkan akuntabilitas atas tanggung jawab pengendalian.
Pencapaian prinsip-prinsip tersebut dapat dilakukan melalui dokumentasi kebijakan, pernyataan misi dan visi, dokumen perencanaan strategis, catatan rapat, dan evaluasi berkala terhadap program pengendalian internal perusahaan, baik melalui audit internal maupun audit kepatuhan eksternal.
Baca juga: Melakukan Pengendalian Kas Bisnis dengan COSO Framework
2. Penilaian risiko
Pilar berikutnya dari COSO framework menetapkan perlunya penilaian risiko secara berkala atau berkelanjutan berdasarkan sistem pengendalian internal organisasi.
Penilaian risiko ini dapat dilakukan oleh personel internal, seperti tim audit internal, atau pihak ketiga, seperti perusahaan konsultan atau CPA. COSO menetapkan empat prinsip inti untuk penilaian risiko dan perlakuan risiko, yang tercantum di bawah ini:
- Perusahaan menetapkan tujuan dengan kekhususan yang cukup untuk memungkinkan identifikasi dan penilaian risiko terhadap tujuan tersebut.
- Perusahaan mengidentifikasi risiko terhadap tujuan dan meneliti risiko yang teridentifikasi untuk mengembangkan rencana tindakan untuk penanganan risiko.
- Saat mengevaluasi risiko, kecurangan secara eksplisit dianggap sebagai bagian dari penilaian.
- Organisasi mengantisipasi dan menilai setiap perubahan yang mungkin mempengaruhi pengendalian internal.
Risiko harus dicatat dalam daftar risiko atau inventarisasi risiko yang menggambarkan risiko, kemungkinan terjadinya risiko (Kemungkinan/Probabilitas), dampak jika risiko terjadi (Dampak), rencana mitigasi risiko, jangka waktu. untuk memitigasi risiko, dan orang yang bertanggung jawab atas risiko tersebut.
Penilaian risiko harus dilakukan setidaknya setiap tahun, dan daftar risiko harus diperbarui ketika risiko ditemukan atau dimitigasi.
Pertimbangan terhadap penilaian risiko dan pencatatan risiko ini harus dimasukkan ke dalam proses pengambilan keputusan organisasi, dan selaras dengan toleransi risiko organisasi.
Baca juga: Cara Menghitung Tingkat Realisasi Pendapatan dalam Bisnis
3. Kegiatan pengendalian
Ketika sebuah organisasi telah menetapkan tujuannya, menetapkan lingkungan pengendalian yang etis, dan melakukan atau memulai penilaian risiko, COSO framework menyelami tingkat yang lebih dalam.
Aktivitas pengendalian adalah proses, aktivitas, tindakan, dan komunikasi yang dilakukan untuk memitigasi risiko dan mempertahankan pengendalian internal yang kuat.
Tiga prinsip COSO termasuk dalam pilar ini:
- Aktivitas pengendalian mengatasi dan memitigasi risiko terhadap tujuan perusahaan.
- Perusahaan menetapkan kegiatan pengendalian atas teknologi sejalan dengan tujuan perusahaan.
- Kebijakan dan prosedur menetapkan aktivitas pengendalian yang harus dilakukan di perusahaan sebagai bagian dari program pengendalian internal.
Contoh aktivitas pengendalian adalah perubahan kode perlu 1) ditinjau oleh orang yang tepat, 2) yang bukan pengembang kode, dan 3) disetujui oleh orang tersebut dalam sistem tiket.
Aktivitas pengendalian lainnya mungkin berupa penghentian akun karyawan dalam waktu 24 jam dari hari terakhir mereka.
Dalam proses pengelolaan keuangan misalnya, Anda bisa mencoba menggunakan sistem akuntansi yang mendukung fitur approval sehingga semua transaksi bisa dipantau secara transparan.
Jika Anda mencari sistem seperti ini, Anda bisa mencoba menggunakan software akuntansi Kledo secara gratis selama 14 hari melalui tautan pada gambar di bawah ini:
Baca juga: Komponen Enterprise Risk Management dan Manfaatnya dalam Bisnis
4. Informasi dan Komunikasi
Hal ini mungkin tampak jelas, namun aspek penting lainnya dari keberhasilan program kepatuhan dan pengendalian internal adalah distribusi informasi dan komunikasi yang tepat, konsisten, dan tepat waktu kepada pemangku kepentingan terkait.
Ini adalah hal yang sulit – jika dirinci lebih lanjut, kerangka kerja COSO mengharuskan perusahaan untuk berkomunikasi dan berbagi informasi berdasarkan prinsip-prinsip berikut:
- Perusahaan menggunakan data dan informasi yang berkualitas untuk mendukung tujuan pengendalian.
- Perusahaan mengkomunikasikan informasi, tujuan, penugasan, akuntabilitas, dan tanggung jawab yang relevan untuk aktivitas pengendalian internal.
- Bila diperlukan, perusahaan berkomunikasi dengan entitas eksternal mengenai pengendalian internal.
Semakin banyak perusahaan, terutama organisasi B2B, memasukkan klausul dalam kontrak mereka yang mengharuskan pengungkapan pelanggaran data, insiden, serangan dunia maya, dan masalah pengendalian internal lainnya kepada entitas eksternal.
Arahan HIPAA mengharuskan pelaporan pelanggaran data kepada pihak yang terkena dampak. Rencana komunikasi yang dirancang dengan baik dapat mengurangi kesulitan dalam membangun program COSO.
Baca juga: Demand Planning: Pengertian dan Tips Mengelolanya
5. Kegiatan pemantauan
Pilar kelima dan terakhir dari COSO framework melibatkan pemantauan, pengukuran, dan pelaporan sistem pengendalian internal perusahaan dan mencakup prinsip-prinsip berikut:
- Evaluasi rutin atau berkelanjutan dilakukan untuk menentukan apakah program pengendalian internal beroperasi secara efektif.
- Setiap defisiensi pengendalian internal dilaporkan secara tepat waktu kepada pihak yang bertanggung jawab, termasuk Dewan Direksi dan manajemen tingkat atas bila diperlukan.
Apa Langkah-Langkah Menerapkan dan Menggunakan COSO Framework?
Untuk membangun dan mengintegrasikan program COSO yang efektif, organisasi dapat mengikuti langkah-langkah umum berikut.
Untuk rincian lebih mendalam tentang cara meningkatkan kinerja dan tata kelola organisasi dengan panduan COSO, lihat dokumen dari COSO ini.
Perencanaan
Untuk mendapatkan hasil maksimal dari COSO framework, organisasi perlu melakukan kerja keras terlebih dahulu.
Organisasi harus memahami alasan mereka memanfaatkan kerangka kerja ini, dan bagaimana hal ini sesuai dengan peta jalan strategis mereka secara keseluruhan, serta memiliki pemahaman yang jelas tentang 17 prinsip kerangka kerja itu sendiri.
Karena COSO berlaku untuk seluruh organisasi, penting untuk mengembangkan rencana yang cermat dan menyeluruh untuk menyiapkan dan memelihara sistem pengendalian internal berdasarkan COSO.
Evaluasi dan dokumentasi
Setelah perencanaan, penting untuk memahami kematangan program pengendalian internal organisasi dan dokumentasi apa yang ada untuk mendukung tujuan dan pilar.
Pada fase ini, tim yang bertanggung jawab harus mengumpulkan dokumentasi yang tersedia seputar pengendalian internal organisasi, dan mempertimbangkan apakah terdapat proses umum, Manajemen Risiko Perusahaan (ERM) formal, dan/atau aktivitas pengendalian yang sesuai.
Jika dokumentasi yang tersedia tidak cukup untuk mendukung tujuan organisasi dan persyaratan COSO, maka kesenjangan tersebut harus dilacak untuk diperbaiki.
Baca juga: Business Model Canvas: Cara Mudah Menyusun Business Plan
Remediasi
Ketika penilaian pengendalian internal mengungkapkan kesenjangan dalam program pengendalian internal suatu organisasi, pihak-pihak yang bertanggung jawab atas aktivitas atau area pengendalian tersebut melakukan aktivitas remediasi atau mitigasi risiko.
Jika ditemukan kesenjangan pengendalian internal, tim yang bertanggung jawab merencanakan langkah-langkah remediasi atau mitigasi risiko, jadwal, dan tanggung jawab, kemudian melaksanakan rencana tersebut.
Pengujian dan Pelaporan
Setelah perusahaan menyelesaikan langkah-langkah sebelumnya dan merasa yakin bahwa perusahaan tersebut mematuhi kerangka COSO, pengujian dan pelaporan dilakukan.
Pengujian melibatkan evaluasi efektivitas desain dan pengoperasian pengendalian internal, serta dampak pengendalian terhadap risiko terkait.
Pengujian pengendalian manajemen insiden mungkin melibatkan pemeriksaan log insiden selama periode tertentu dan menentukan apakah dokumentasi yang tepat telah dilengkapi untuk subkumpulan insiden tertentu.
Manajemen harus menerima pelaporan rutin seputar program pengendalian internal dan hasil pengujian.
Baca juga: 7 Tips Dalam Melakukan Manajemen Penagihan Piutang
Pada Intinya…
COSO framework adalah landasan pengendalian internal modern dan pencegahan fraud. Kerangka kerja ini telah digunakan untuk memandu dan membantu mengembangkan kerangka kepatuhan lain yang sudah ada.
Visualisasi kubus COSO menekankan perlunya integrasi kegiatan operasional dan pengendalian. Ada banyak sumber daya yang tersedia bagi organisasi yang ingin membangun program COSO.
Dan, mungkin yang paling penting, menerapkan kerangka COSO sebagai organisasi yang tunduk pada SOX adalah cara terbaik untuk memenuhi persyaratan pengendalian internal.
Namun, kekuatan dan keterbatasan terbesar dari kerangka COSO adalah luasnya cakupannya. Dirancang untuk diterapkan pada berbagai industri dan perusahaan, kerangka COSO tidak memberikan metode khusus untuk menerapkan aktivitas pengendalian yang efektif, namun memberikan prinsip-prinsip menyeluruh tentang bagaimana pengendalian internal harus disusun.
Meskipun memiliki cakupan yang luas, keterbatasan COSO lainnya adalah ketatnya peraturan tersebut. Organisasi yang lebih kecil mungkin merasa kesulitan ketika menerapkan persyaratan COSO karena koordinasi dan, tentu saja, banyaknya pekerjaan yang harus diselesaikan untuk membangun sistem pengendalian internal yang sukses, berbasis COSO, dan efektif.
- 7 Masalah Departemen Keuangan dan Juga Solusi Mengatasinya - 6 September 2024
- Decoy Effect pada Marketing: Definisi, Contoh, Cara Melakukannya - 6 September 2024
- Terminal Growth Rate: Pengertian, Rumus dan Cara Hitungnya - 4 September 2024