Definisi Internal Control jika dilihat
dari Internal Control-Integrated Framework COSO (1992) adalah suatu sistem pengendalian
yang terbentuk dari aktivitas-aktivitas yang dijalankan oleh unit-unit atau
satuan-satuan pekerja dalam suatu perusahaan yang bertujuan untuk mencapai
efektifitas dan efisiensi operasi, keandalan laporan keuangan, dan kepatuhan
atas hukum dan peraturan yang berlaku. Menurut COSO Framework yang dibuat pada
tahun 1992, Internal Control terdiri dari 5 komponen yaitu:
1. Control
Environment (Lingkungan Pengendalian)
Lingkungan pengendalian merupakan pondasi awal
sistem Internal Control yang meliputi lingkungan, suasana, dan sikap/perilaku
orang-orang di dalam suatu organisasi atau perusahaan yang secara langsung
maupun tidak langsung dapat menentukan dan mempengaruhi kesadaran pengendalian
orang-orang di dalam maupun di sekitar organisasi atau perusahaan tersebut.
Factor lingkungan pengendalian meliputi integritas, nilai etika dan kompensasi,
filosofi manajeen dan gaya operasi, cara manajemen memberikan wewenang dan
tanggungjawab serta mengatur dan mengembangkan orang-ornagnya, dan perhatian
serta arah yang diberikan dewan direksi.
2. Risk
Assessment (Penilaian Resiko)
Setiap organisasi tidak pernah bisa lepas dari
risiko yang dapat muncul karena berbagai alasan, misalnya perubahan situasi,
perubahan peraturan, dan lain sebagainya. Oleh karena itu, sebuah organisasi
perlu menilai risiko atau dengan kata lain harus mengidentifikasi dan
menganalisis risiko untuk kemudian risiko itu bisa ditangani dan dikelola
dengan baik tanpa mengganggu aktivitas operasi dan tujuan organisasi.
3. Control
Activities (Aktivitas Pengendalian)
Aktivitas pengendalian merupakan aktivitas yang
dilakukan berdasarkan kebijakan, prosedur, aturan organisasi untuk pengendalian
agar aktivitas organisasi tidak
melenceng dari tujuannya
4. Information
& Communication (Informasi dan Komunikasi)
Informasi sangat dibutuhkan oleh semua orang di
berbagai tingkatan manajemen agar dapat melaksanakan tugas dan tanggungjawabnya
dalam suatu organisasi dengan baik. Agar pelaksanaannya baik dan sesuai dengan
yang diharapakan, maka sangat penting untuk dapat mengkomunikasikan informasi
tersebut dengan cara yang baik pula agar tujuan organisasi dapat tercapai.
5. Monitoring
(Pemantauan)
Pemantauan dalam sistem pengendalian internal perlu
dilakukan untuk mangawasi apakah aktivitas dan proses yang berjalan sesuai
dengan peraturan yang ada. Pemantauan berfungsi juga untuk menilai kinerja para
pekerja, kemudian dievaluasi untuk kinerja yang lebih baik dalam mencapai
tujuan organisasi.
Pada tahun 2004 kemudian dibuat
pengembangan dari framework COSO tahun 1992 yaitu Enterprise Risk
Management-Integrated Framework. Dari gambar COSO ERM Framework diatas, kita
dapat mendefinisikan bahwa yang disebut Enterprise Risk Management (Manajemen
Risiko Perusahaan) adalah suatu proses pengelolaan yang dijalankan oleh suatu
badan mulai dari dewan direksi, divisi-divisi, satuan bisnis, dan personil
lainnya yang bertujuan untuk membuat strategi yang mendukung misi organisasi,
mencapai efektifitas dan efisiensi operasi, keandalan laporan keuangan, dan
kepatuhan atau sesuai dengan hokum dan peraturan yang berlaku. COSO ERM
Framework terdiri dari delapan komponen yaitu:
1. Internal
Environment (Lingkungan Internal)
Lingkungan
internal organisasi sangat mempengaruhi perilaku orang-orang di dalam maupun di
sekitar organisasi, proses operasi organisasi serta menentukan bagaimana
gambaran umum organisasi di mata ekstern. Lingkungan internal juga mempengaruhi
cara pandang orang dalam organisasi terhadap suatu risiko
2. Objective
Setting (Menetapkan Tujuan)
Memastikan
bahwa suatu organisasi memiliki tujuan yang jelas agar dapat menentukan kejadian
atau risiko apa yang mungkin timbul dalam proses pencapaian tujuan, kemudian
menentukan kebijakan seperti apa yang harus diambil untuk menanggulangi risiko
dan mencapai tujuan tersebut. Tujuan organisasi secara umum menurut COSO ERM
Framework adalah strategic, operational, reporting, dan compliance.
3. Event
Identification (Identifikasi event)
Kejadian-kejadian
pada saat proses pencapaian tujuan suatu organisasi, yang mungkin dapat
mempengaruhi proses tersebut harus diidentifikasi. Putuskan manakah yang
berpengaruh negative, dan manakah yang positif bagi proses pencapaian tujuan
organisasi.
4. Risk
Assessment (Penilaian Risiko)
Risiko
yang ada dan mungkin ada harus diidentifikasi dan dianalisis untuk menentukan
bagaimana risiko itu dikelola.
5. Risk
Response (Respon Risiko)
Menentukan
bagaimana suatu organisasi akan merespon atau menanggapi risiko yang ada dan
yang mungkin ada. Apakah akan menghindar, mengurangi, mengalihkan atau menerima
risiko itu.
6. Control
Activities (Aktivitas Pengendalian)
Aktivitas
yang merupakan pelaksanaan dari kebijakan dan prosedur yang telah ditetapkan
agar respon risiko yang direncanakan dapat berjalan efektif.
7. Information
and Communication (Informasi dan Komunikasi)
Setiap
orang dalam organisasi memerlukan informasi yang relevan dan dapat dipercaya
untuk menjalankan tugasnya. Informasi yang ada juga harus dikomunikasikan dengan
baik agar bisa ditangkap dan diidentifikasi untuk kemudian penerima informasi
tersebut dapat menjalankan tugas dan tanggungjawabnya dengan baik.
8. Monitoring
(Pemantauan)
Proses Manajemen
Risiko Perusahaan dipantau dan diawasi pelaksanaannya agar tidak melenceng dari
tujuannya. Evaluasi dan modifikasi dapat dilakukan jika perlu.