COSO Framework

          Definisi Internal Control jika dilihat dari Internal Control-Integrated Framework COSO (1992) adalah suatu sistem pengendalian yang terbentuk dari aktivitas-aktivitas yang dijalankan oleh unit-unit atau satuan-satuan pekerja dalam suatu perusahaan yang bertujuan untuk mencapai efektifitas dan efisiensi operasi, keandalan laporan keuangan, dan kepatuhan atas hukum dan peraturan yang berlaku. Menurut COSO Framework yang dibuat pada tahun 1992, Internal Control terdiri dari 5 komponen yaitu:

1.      Control Environment (Lingkungan Pengendalian)

Lingkungan pengendalian merupakan pondasi awal sistem Internal Control yang meliputi lingkungan, suasana, dan sikap/perilaku orang-orang di dalam suatu organisasi atau perusahaan yang secara langsung maupun tidak langsung dapat menentukan dan mempengaruhi kesadaran pengendalian orang-orang di dalam maupun di sekitar organisasi atau perusahaan tersebut. Factor lingkungan pengendalian meliputi integritas, nilai etika dan kompensasi, filosofi manajeen dan gaya operasi, cara manajemen memberikan wewenang dan tanggungjawab serta mengatur dan mengembangkan orang-ornagnya, dan perhatian serta arah yang diberikan dewan direksi.

2.      Risk Assessment (Penilaian Resiko)

Setiap organisasi tidak pernah bisa lepas dari risiko yang dapat muncul karena berbagai alasan, misalnya perubahan situasi, perubahan peraturan, dan lain sebagainya. Oleh karena itu, sebuah organisasi perlu menilai risiko atau dengan kata lain harus mengidentifikasi dan menganalisis risiko untuk kemudian risiko itu bisa ditangani dan dikelola dengan baik tanpa mengganggu aktivitas operasi dan tujuan organisasi.

3.      Control Activities (Aktivitas Pengendalian)

Aktivitas pengendalian merupakan aktivitas yang dilakukan berdasarkan kebijakan, prosedur, aturan organisasi untuk pengendalian agar aktivitas organisasi  tidak melenceng dari tujuannya

4.      Information & Communication (Informasi dan Komunikasi)

Informasi sangat dibutuhkan oleh semua orang di berbagai tingkatan manajemen agar dapat melaksanakan tugas dan tanggungjawabnya dalam suatu organisasi dengan baik. Agar pelaksanaannya baik dan sesuai dengan yang diharapakan, maka sangat penting untuk dapat mengkomunikasikan informasi tersebut dengan cara yang baik pula agar tujuan organisasi dapat tercapai.

5.      Monitoring (Pemantauan)

Pemantauan dalam sistem pengendalian internal perlu dilakukan untuk mangawasi apakah aktivitas dan proses yang berjalan sesuai dengan peraturan yang ada. Pemantauan berfungsi juga untuk menilai kinerja para pekerja, kemudian dievaluasi untuk kinerja yang lebih baik dalam mencapai tujuan organisasi.

          Pada tahun 2004 kemudian dibuat pengembangan dari framework COSO tahun 1992 yaitu Enterprise Risk Management-Integrated Framework. Dari gambar COSO ERM Framework diatas, kita dapat mendefinisikan bahwa yang disebut Enterprise Risk Management (Manajemen Risiko Perusahaan) adalah suatu proses pengelolaan yang dijalankan oleh suatu badan mulai dari dewan direksi, divisi-divisi, satuan bisnis, dan personil lainnya yang bertujuan untuk membuat strategi yang mendukung misi organisasi, mencapai efektifitas dan efisiensi operasi, keandalan laporan keuangan, dan kepatuhan atau sesuai dengan hokum dan peraturan yang berlaku. COSO ERM Framework terdiri dari delapan komponen yaitu:

1. Internal Environment (Lingkungan Internal)

Lingkungan internal organisasi sangat mempengaruhi perilaku orang-orang di dalam maupun di sekitar organisasi, proses operasi organisasi serta menentukan bagaimana gambaran umum organisasi di mata ekstern. Lingkungan internal juga mempengaruhi cara pandang orang dalam organisasi terhadap suatu risiko

2. Objective Setting (Menetapkan Tujuan)

Memastikan bahwa suatu organisasi memiliki tujuan yang jelas agar dapat menentukan kejadian atau risiko apa yang mungkin timbul dalam proses pencapaian tujuan, kemudian menentukan kebijakan seperti apa yang harus diambil untuk menanggulangi risiko dan mencapai tujuan tersebut. Tujuan organisasi secara umum menurut COSO ERM Framework adalah strategic, operational, reporting, dan compliance.

3. Event Identification (Identifikasi event)

Kejadian-kejadian pada saat proses pencapaian tujuan suatu organisasi, yang mungkin dapat mempengaruhi proses tersebut harus diidentifikasi. Putuskan manakah yang berpengaruh negative, dan manakah yang positif bagi proses pencapaian tujuan organisasi.

4. Risk Assessment (Penilaian Risiko)

Risiko yang ada dan mungkin ada harus diidentifikasi dan dianalisis untuk menentukan bagaimana risiko itu dikelola.

5. Risk Response (Respon Risiko)

Menentukan bagaimana suatu organisasi akan merespon atau menanggapi risiko yang ada dan yang mungkin ada. Apakah akan menghindar, mengurangi, mengalihkan atau menerima risiko itu.

6. Control Activities (Aktivitas Pengendalian)

Aktivitas yang merupakan pelaksanaan dari kebijakan dan prosedur yang telah ditetapkan agar respon risiko yang direncanakan dapat berjalan efektif.

7. Information and Communication (Informasi dan Komunikasi)

Setiap orang dalam organisasi memerlukan informasi yang relevan dan dapat dipercaya untuk menjalankan tugasnya. Informasi yang ada juga harus dikomunikasikan dengan baik agar bisa ditangkap dan diidentifikasi untuk kemudian penerima informasi tersebut dapat menjalankan tugas dan tanggungjawabnya dengan baik.

8. Monitoring (Pemantauan)

Proses Manajemen Risiko Perusahaan dipantau dan diawasi pelaksanaannya agar tidak melenceng dari tujuannya. Evaluasi dan modifikasi dapat dilakukan jika perlu.