AGENDA
1. Overview of 2013 COSO Framework
2. 17 Principles
3. Implementing of 17 Principles
4. Ilustrasi Tools - Scenario of
Implementation
2
SEJARAH LAHIRNYA COSO
5
1970an, Isu korupsi persh AS
di LN
SEC & Congress kampanye
reformasi UU Keuangan
1977 Terbit FCPA: Suap adalah
pidana, harus dilawan dg IC
Treadway Commission
(1985)
COSO
(1985)
• Dibentuk 1985
• Mendukung National Commission on Fraudulent Financial
Reporting (the Treadway Commission ) - James C. Treadway
• Terdiri dari 5 organisasi:
COSO
6
COSO BOARD - SEKARANG
7
Chairman Robert B. Hirth, Jr
AAA: Douglas F. Prawitt, Ph.D., CPA
AICPA: Charles Landes, CPA
FEI: Marie N. Hollein CTP(CD)
IMA: Sandra Richtermeyer, PhD., CMA, CPA
IIA: Richard F. Chambers, CIA, CGAP, CCSA, CRMA
RELEASE LENGKAP COSO (SBG CATATAN):
1. Governance and Operational Performance: Improving Organizational Performance and
Governance:How the COSO Frameworks Can Help. (2014)
Enhancing Board Oversight:Avoiding Judgment Traps and Biases (2012)
2. Internal Controls (Pengendalian Internal): Enhanced Internal Control — Integrated Framework (2013)
(COSO-III)
Internal Control — Integrated Framework (1992) (COSO-I)
The 2013 COSO Framework & SOX Compliance: One Approach to an Effective Transition" (2013)
Guidance on Monitoring Internal Control Systems (2009)
Internal Control over Financial Reporting — Guidance for Smaller Public Companies (2006)
Internal Control Issues in Derivatives Usage (1996) 9
3. Enterprise Risk Management (Manajemen Risiko): Enterprise Risk Management — Integrated Framework (2004) (COSO II)
Demystifying Sustainability Risk: Integrating the triple bottom line into an enterprise risk management program.(2013)
ERM Risk Assessment in Practice (2012)
Enterprise Risk Management for Cloud Computing. (2012)
Enterprise Risk Management - Understanding and Communicating Risk Appetite (2012)
Embracing Enterprise Risk Management: Practical Approaches
Developing Key Risk Indicators to Strengthen Enterprise Risk Management. (2011)
Board Risk Oversight – A Progress Report: Where Boards of Directors Currently Stand in Executing their Risk Oversight Responsibilities. (2010)
COSO's 2010 Report on ERM: Current State of Enterprise Risk Oversight and Market Perceptions of COSO's ERM Framework (2010)
Strengthening Enterprise Risk Management for Strategic Advantage. (2009)
Effective Enterprise Risk Oversight: The Role of the Board of Directors. (2009)
10
RELEASE LENGKAP COSO (SBG CATATAN):
4. Fraud Deterrence (Pencegahan Fraud): Fraudulent Financial Reporting: 1998-2007 — An Analysis
of U.S. Public Companies (2010)
Fraudulent Financial Reporting: 1987-1997 — An Analysis
of U.S. Public Companies (1999)
Report of the National Commission on Fraudulent
Financial Reporting (1987)
11
RELEASE LENGKAP COSO (SBG CATATAN):
SARBANES-OXLEY ACT (2002)
Terbit sebagai reaksi atas krisis di AS th 2001-02.
Mengatur GCG perusahaan
Sangat mempengaruhi COSO I
Mendorong COSO menerbitkan COSO II (2004)
Pasal terkait IC: 302 dan 404.
13
DAFTAR ISI SOX
I : Public Company Accounting Oversight Board
II : Auditor Independence
III : Corporate Responsibility
IV : Enhanced Financial Disclosures
V : Analyst Conflicts Of Interest
VI : Commission Resources And Authority
VII : Studies And Reports
VIII : Corporate And Criminal Fraud Accountability
IX : White-collar Crime Penalty Enhancements
X : Corporate Tax Returns
XI : Corporate Fraud And Accountability
14
PASAL KHUSUS TTG IC:
302: Tanggung Jawab Pelaporan Keuangan:
• Manajemen bertanggung jawab thd Lap Keu
• Lap Keu tidak ‘misleading’ & ‘fairly present’
kondisi keuangan persh
• Manajemen bertanggung jawab memelihara
Internal Control
404: Penilaian atas Internal Control:
• Manajemen bertanggung jawab memelihara
Internal Control
• Manajemen harus menilai efektivitas IC
• KAP harus menilai efektivitas IC
15
SOX DI INDONESIA
17
SOX 404,
dll • Pembentukan satuan audit internal
• Pembentukan komite audit
• Audit KAP tidak boleh lebih dari 5
kali berturut-turut.
• Dll aturan GCG
CO
SO
2013
ISI BUKU:
1. Summary
2. Framework &
Appendices
3. Illustrative Tools
for Assessing
Effectiveness of
IC
19
CO
SO
2013
Materi Pokok :
Definition
Categories of
objectives
Components
Principles
Attribute / point of
focus + Elemen
Requirements for
effectiveness
20
21
Harapan peningkatan
tata kelola
Globalisasi pasar &
operasi
Kompleksitas bisnis
Kompleksitas aturan
Ekspektasi
kompetensi &
akuntabilitas
Penggunaan teknologi
Upaya pencegahan
fraud
Perubahan lingkungan
bisnis…..
..mendorong penyesuaian
framework COSO
Framework COSO 2013
22
Definisi IC
3 kategori tujuan
5 komponen IC
Ke-lima komponen
Pentingnya
judgment dalam IC
Yang TIDAK Berubah
(timeless) Yang Berubah
Mempertimbangkan
perubahan bisnis dan
lingkungan operasi
Perluasan tujuan
operasi dan pelaporan
Konsep fundamental
yg mendasari
komponen 17
principles
SUMMARY OF CHANGES
Menerapkan pendekatan berbasis prinsip
Menjelaskan persyaratan internal kontrol yang efektif
Memperluas kategori tujuan pelaporan
Menjelaskan peran penetapan tujuan
Mempertimbangkan globalisasi pasar dan operasi
Meningkatkan konsep Governance
Mempertimbangkan model bisnis dan organisasi yang berbeda
Mempertimbangkan kompleksitas dan keharusan taat thd undang-undang, peraturan dan standar
Mempertimbangkan harapan thd kompetensi dan akuntabilitas
Mencerminkan peningkatan relevansi teknologi
Meningkatkan pertimbangan harapan-anti-fraud 23
DEFINISI IC
Proses yang dipengaruhi oleh dewan komisaris,
manajemen, dan semua insan entitas, dirancang
untuk memberikan keyakinan memadai untuk
mencapai tujuan entitas:
efektivitas dan efisiensi operasi,
keandalan pelaporan keuangan, serta
ketaatan terhadap peraturan perundang-
undangan.
24
DEFINISI IC
25
Suatu proses dipengaruhi semua insan
entitas
untuk memberi jaminan
pencapaian tujuan entitas
YANG DITEKANKAN DLM DEFINISI:
1. Diarahkan untuk mendukung pencapaian tujuan entitas: operasi, pelaporan, dan kepatuhan.
2. Sebuah proses:
Kegiatan & sarana untuk mencapai tujuan, bukan tujuan itu sendiri .
3. Dijalankan oleh orang:
Bukan hanya tentang kebijakan dan prosedur manual, sistem, dan struktur, tetapi tentang orang dan tindakan mereka
4. Mampu memberi jaminan masuk akal kepada manajemen senior dan dewan pengawas
5. Dapat diterapkan ke seluruh entitas maupun divisi, unit operasi, atau proses bisnis.
26
TUJUAN ENTITAS ORC
1. Operation:
Efektivitas dan efisiensi operasi,
Mencakup pengamanan aset
2. Reporting:
Keandalan pelaporan keuangan
3. Compliance:
Ketaatan/kepatuhan thd peraturan UU 28
TUJUAN NO 1: OPERASI
Meningkatkan kinerja keuangan
Produktivitas (e.g., avoiding waste and rework)
Kualitas
Pelestarian lingkungan
Inovasi
Kepuasan konsumen dan karyawan
Entitas laba: revenue, profitability, return on assets, and liquidity
Entitas Nir-laba: revenues or levels of spending, increasing donor participation.
Instansi Pemerintah: effectively and efficiently managing programs, spending in line with the purposes, ensure objectives are supported.
Jika tujuan operasi tidak secara jelas ditentukan, sumber daya entitas dapat mungkin salah arah.
29
TUJUAN NO 1: OPERASI
Pengamanan Aset:
Efisiensi penggunaan aset
Pencegahan kerugian karena limbah, inefisiensi, atau
keputusan bisnis yang buruk:
Menjual produk dengan harga terlalu rendah,
Memberikan kredit berrisiko buruk,
Gagal mempertahankan karyawan kunci,
Pelanggaran paten,
Timbulnya kewajiban tak terduga 30
TUJUAN NO 2: PELAPORAN
31
Financial
External
Internal
Non-Financial
External
Internal
Jenis Pelaporan –
Ruang lingkup bahasan
32
Financial Non-financial Karakteristik E
xte
rn
al
• Laporan
Keuangan • Laporan IC
• Laporan sustainability
• Supply chain
• Aset custody
• Untuk
memenuhi
aturan
• Sesuai standar
ekstern
• Diatur oleh
kontrak dll
Inte
rn
al
• Lap Keu
Divisi
• Analisis
profitabilitas
• Analisis
kredit
• Penggunaan aset
• Pemberdayaan staf
• Kepuasan konsumen
• K3
• Untuk
mengelola
bisnis &
pengambilan
keputusan
• Ditetapkan
manajemen
TUJUAN NO 3: KEPATUHAN
Entitas harus melakukan kegiatannya sesuai dengan
peraturan perundang-undangan yang berlaku.
Misalnya, aturan mengenai:
• Sumber daya manusia
• Perpajakan
• Lingkungan
• Standar Industri
• K3
• Praktek operasi (penerbangan, transportasi, dll)
33
KETERBATASAN IC
Kesesuaian tujuan (sebagai prasyarat IC).
Judgment dapat salah dan bias.
Kerugian krn kesalahan (aspek manusiawi).
Kemampuan manajemen mengesampingkan IC.
Kolusi
Peristiwa eksternal di luar kendali organisasi 35
PERSYARATAN AGAR IC EFEKTIF
Seluruh komponen dan prinsip
hadir/eksis dan berfungsi
Kelima komponen beroperasi bersama
& terintegrasi
Penilaian efektivitas IC didasarkan atas
judgment manajemen. 37
PERSYARATAN AGAR IC EFEKTIF
38
Komponen 1
Prinsip 1…
Prinsip 5
Komponen 2 sd 5
Prinsip 6 …
Prinsip 17
Komponen
beroperasi
bersama
Komponen dan Prinsip ada
dan berfungsi
PRESENT AND FUNCTIONING
“Ada/eksis“ ada dalam desain
dan implementasi sistem
pengendalian intern.
"Berfungsi" tetap ada dalam
pelaksanaan sistem pengendalian
internal.
39
OPERATING TOGETHER IN INTEGRATED
MANNER
“Beroperasi bersama-terintegrasi“
kelima komponen bekerja secara
kolektif mengurangi risiko.
IC beroperasi bersama ketika:
5 Komponen eksis dan berfungsi
Defisiensi IC yg timbul dari
seluruh komponen tidak
menimbulkan satu atau lebih
defisiensi mayor. 40
Organisasi menetapkan standar perilaku,
ukuran kinerja dan insentif dalam Lingkungan
Pengendalian untuk mengurangi tingkat risiko
fraud dalam Risk Assessment.
41
• Aturan perilaku
• Ukuran kinerja
• Insentif
Lingkungan Pengendalian
• Menurunkan risiko fraud
Penilaian risiko
OPERATING TOGETHER IN INTEGRATED
MANNER
Kebijakan dan prosedur (Kegiatan Pengendalian)
berkontribusi memitigasi risiko yang
teridentifikasi dan dianalisis (Risk Assessment).
42
• Kebijakan
• Prosedur
Kegiatan Pengendalian
• Berkontribusi memitigasi risiko
Penilaian risiko
OPERATING TOGETHER IN INTEGRATED
MANNER
Pengolahan informasi yg relevan & berkualitas
(Informasi dan Komunikasi) mendukung kontrol
proses bisnis dan transaksi (Kegiatan
Pengendalian) dan evaluasi berkelanjutan/
terpisah atas kontrol tersebut (Pemantauan).
43
• Pengolahan informasi yg relevan & berkualitas
Informasi dan Komunikasi
• Mendukung kontrol proses bisnis dan transaksi
Kegiatan Pengendalian
• Mendukung evaluasi berkelanjutan/ terpisah
Pemantauan
OPERATING TOGETHER IN INTEGRATED
MANNER
DEFICIENCIES IN INTERNAL CONTROL
“Defisiensi” adalah kelemahan komponen atau prinsip
yang mengurangi kemungkinan entitas mencapai
tujuan.
Defisiensi yang sangat mengurangi kemungkinan
entitas mencapai tujuan disebut “defisiensi mayor."
Defisiensi mayor merupakan bagian dari defisiensi.
(Beberapa) defisiensi mayor yang mengakibatkan
kelemahan signifikan terhadap sistem IC disebut
‘material weakness’
44
JUDGMENT / PENDAPAT
Judgment diperlukan dalam merancang,
melaksanakan dan dan menilai efektivitas
pengendalian internal.
Penggunaan judgment meningkatkan
kemampuan manajemen membuat
keputusan lebih baik, tetapi tidak dapat
menjamin hasil yang sempurna.
46
CONTOH JUDGMENT
Penerapan komponen pengendalian internal relatif terhadap kategori tujuan.
Penerapan komponen pengendalian internal dan prinsip-prinsip dalam struktur entitas.
Menentukan tujuan yang sesuai dan sub-tujuan dan menilai risiko untuk mencapai tujuan tersebut
Memilih, mengembangkan, dan menerapkan kontrol yang diperlukan.
Menilai apakah komponen telah hadir, berfungsi, dan beroperasi bersama-sama.
Menilai apakah prinsip-prinsip relevan dengan entitas dan telah berfungsi baik.
Menilai tingkat keparahan defisiensi pengendalian internal.
47
CONTROLS TO EFFECT PRINCIPLES
COSO tidak meresepkan pengendalian tertentu.
Hal ini merupakan judgment manajemen
berdasarkan faktor-faktor unik entitas, seperti:
Hukum, peraturan, dan standar yang berlaku
Sifat bisnis dan pasar
Cakupan dan sifat operasi manajemen
Kompetensi personil intern
Penggunaan dan ketergantungan pada
teknologi
Tanggapan manajemen thd risiko 48
TECHNOLOGY
Teknologi, sering disebut dengan "sistem
informasi manajemen" atau "teknologi
informasi.“
Prinsip COSO tidak berubah dengan penerapan
teknologi.
Hal ini tidak untuk mengatakan teknologi itu
tidak mengubah lanskap pengendalian internal.
Teknologi mempengaruhi desain dan alat
pengendalian internal, mengingat ketersediaan
informasi yang lebih besar dan penggunaan
prosedur otomatis. 49
COSO 2013
FRAMEWORK STRUCTURES
51
COSO 2013
KOMPONEN 1
Prinsip 1
Point of Focus 1
Elemen
Point of Focus
Elemen
Prinsip 2…5
Point of Focus
Elemen
Point of Focus
Elemen
KOMPONEN 2 …5
Prinsip 1
Point of Focus
Elemen
Point of Focus
Elemen
Prinsip 2…dst s/d 17
Point of Focus
Elemen
Point of Focus 87
Elemen
wajib Tidak wajib
COSO I
INTERNAL CONTROL –
INTEGRATED FRAMEWORK
Copyright © 1992, 1994 by the committee of
Sponsoring Organizatins of the Treadway
Commission
53
54
1. Control
Environment 2. Integrity and Ethical Values
3. Commitment to
Competence
4. Board of Directors or Audit
Committee
5. Management’s Philosophy
and Operating Style
6. Assignment of Authority
and Responsibility
7. Human Resource Policies
and Practices
2. Risk Assessment 1. Objectives
2. Risks
3. Managing Change
3. Control Activities 1. Types of Control
Activities
2. Integration with Risk Assessment
3. Controls over Information Systems
4. Entity Specific
4. Information and Communication
1. Information
2. Communication
5. Monitoring 1. Ongoing Monitoring
Activities
2. Separate Evaluations
3. Reporting Deficiencies
55
SPIP
Sarana Komunikasi
Sistem Informasi
Pemantauan Berkelanjutan
Evaluasi Terpisah
Tindak Lanjut
Lingkungan
Pengendalian
Ps. 4
Penilaian
Risiko
Ps. 13
Kegiatan
Pengendalian
Ps. 18
Informasi &
Komunikasi
Ps. 41
Pemantauan
Pengendalian
Intern Ps. 43
8 Lingkungan Pengendalian
11 Kegiatan Pengendalian
Identifikasi Risiko
Analisis Risiko
LINGKUNGAN PENGENDALIAN
1. Penegakan Integritas dan Etika
2. Komitmen terhadap Kompetensi
3. Kepemimpinan yang Kondusif
4. Struktur Organisasi yang Sesuai
Kebutuhan
5. Pendelegasian Wewenang dan
Tanggung Jawab
6. Kebijakan yang Sehat tentang
Pembinaan SDM
7. Peran APIP yang Efektif
8. Hubungan Kerja yang Baik
KEGIATAN PENGENDALIAN
1. Reviu atas Kinerja Instansi Pemerintah
2. Pembinaan Sumber Daya Manusia
3. Pengendalian Pengelolaan Sistem Informasi
4. Pengendalian Fisik atas Aset
5. Penetapan & Reviu Indikator & Ukuran Kinerja
6. Pemisahan Fungsi
7. Otorisasi Transaksi dan Kejadian Penting
8. Pencatatan yang Akurat dan Tepat Waktu
9. Pembatasan Akses atas Sumber Daya
10. Akuntabilitas terhadap Sumber Daya
11. Dokumentasi atas Sistem Pengendalian Intern
COSO 2013
FRAMEWORK STRUCTURES
59
COSO 2013
KOMPONEN 1
Prinsip 1
Point of Focus 1
Elemen
Point of Focus
Elemen
Prinsip 2…5
Point of Focus
Elemen
Point of Focus
Elemen
KOMPONEN 2 …5
Prinsip 1
Point of Focus
Elemen
Point of Focus
Elemen
Prinsip 2…dst s/d 17
Point of Focus
Elemen
Point of Focus 87
Elemen
wajib Tidak wajib
PRINSIP,
POINTS OF FOCUS/ATTRIBUTE,
ELEMEN
3 Ukuran utk membantu merancang, melaksanakan, dan menilai pengendalian internal.
Prinsip adalah konsep fundamental yang mendasari komponen.
Point of focus adalah karakteristik penting prinsip.
Elemen adalah unsur yang membentuk Point of focus.
Tidak ada keharusan menilai apakah point of focus dan elemen telah terpenuhi. 60
KOMPONEN-PRINSIP-ATRIBUT/POINT OF FOCUS -ELEMEN
61
KOMPONEN PRINSIP PoF Elemen1 4 vary
2 4 vary
3 3 vary
4 4 vary
5 5 vary
6 15 vary
7 5 vary
8 4 vary
9 3 vary
10 6 vary
11 4 vary
12 6 vary
13 5 vary
14 4 vary
15 5 vary
16 7 vary
17 3 vary
87Jumlah
I
II
III
IV
V
Control Environment
Risk Assessment
Control Activities
Information &
Communication
Monitoring Activities
17 PRINCIPLES
UNTUK INTERNAL CONTROL YG EFEKTIF
1. Komitmen terhadap integritas dan nilai etika
2. Melaksanakan tanggung jawab pengawasan
3. Menetapkan struktur, wewenang dan tanggung jawab
4. Komitmen terhadap kompetensi
5. Mendorong akuntabilitas atas sistem IC
6. Menentukan tujuan
7. Mengidentifikasi dan menganalisis risiko
8. Menilai risiko fraud
9. Mengidentifikasi dan menganalisis perubahan signifikan
10. Mengembangkan kegiatan pengendalian
11. Mengembangkan kontrol umum atas teknologi
12. Merinci ke dalam kebijakan dan prosedur
13. Menggunakan informasi yang relevan
14. Komunikasi internal yang efektif
15. Komunikasi eksternal yang efektif
16. Evaluasi berkelanjutan dan/atau terpisah
17. Mengevaluasi dan melaporkan setiap kekurangan
62
1. Organisasi menunjukkan komitmen terhadap
integritas dan nilai-nilai etika.
2. Dewan pengawas independen thd manajemen
dan melaksanakan pengawasan terhadap
pengembangan dan kinerja pengendalian
internal.
3. Manajemen menetapkan, dengan pengawasan
dewan, struktur, jalur pelaporan, kewenangan dan
tanggung jawab dalam mencapai tujuan.
4. Organisasi menunjukkan komitmen untuk
menarik, mengembangkan, dan mempertahankan
individu yang kompeten.
5. Organisasi mendorong individu mengemban
akuntabilitas atas tanggung jawabnya thd
pengendalian internal
Control Environment
CONTROL ENVIRONMENT
63
6. Organisasi menetapkan tujuan dengan kejelasan
yang cukup untuk memungkinkan identifikasi dan
penilaian risiko
7. Organisasi mengidentifikasi risiko pencapaian
tujuan di seluruh entitas dan menganalisa resiko
sebagai dasar untuk menentukan bagaimana
risiko harus dikelola.
8. Organisasi mempertimbangkan potensi terjadinya
fraud dalam menilai risiko terhadap pencapaian
tujuan.
9. Organisasi mengidentifikasi dan mengevaluasi
perubahan yang dapat mempengaruhi sistem
pengendalian internal secara signifikan .
Risk Assessment
RISK ASSESSMENT
64
10. Organisasi memilih dan
mengembangkan kegiatan pengendalian
yang berkontribusi memitigasi risiko
sampai tingkat yang dapat diterima.
11. Organisasi memilih dan
mengembangkan kegiatan pengendalian
umum atas teknologi informasi untuk
mendukung tercapainya tujuan.
12. Organisasi menerapkan kegiatan
pengendalian melalui kebijakan yang
menetapkan apa yang diharapkan dan
prosedur untuk menerapkan kebijakan.
Control Activities
CONTROL ACTIVITIES
65
13. Organisasi memperoleh atau
menghasilkan dan menggunakan,
informasi yang ber kualitas dan relevan
untuk mendukung berfungsinya seluruh
komponen pengendalian internal.
14. Organisasi mengkomunikasikan
informasi secara internal, termasuk
tujuan dan tanggung jawab
pengendalian internal, yang diperlukan
untuk mendukung fungsi pengendalian
internal.
15. Organisasi berkomunikasi dengan pihak
luar mengenai hal terkait dengan
berbagai hal yang dapat mempengaruhi
berfungsinya seluruh komponen internal
control..
Information &
Communication
INFOKOM
66
16. Organisasi memilih,
mengembangkan, dan melakukan
evaluasi berkelanjutan dan / atau
terpisah untuk memastikan
apakah komponen pengendalian
internal eksis dan berfungsi baik.
17. Organisasi mengevaluasi dan
mengkomunikasikan kekurangan
pengendalian internal secara
tepat waktu kepada pihak-pihak
yang bertanggung jawab untuk
mengambil tindakan korektif,
termasuk manajemen senior dan
dewan direksi.
Monitoring Activities
MONITORING
67
1 ORGANISASI MENUNJUKKAN KOMITMEN
TERHADAP INTEGRITAS DAN NILAI ETIKA
1 Adanya "tone at the top"
2 Menetapkan standar perilaku
3 Mengevaluasi kepatuhan terhadap standar perilaku
4 Menindaklanjuti penyimpangan secara tepat waktu
71
2 DEWAN KOMISARIS MENUNJUKKAN INDEPENDENSINYA
TERHADAP MANAJEMEN DAN MELAKSANAKAN PENGAWASAN
TERHADAP PENGEMBANGAN DAN KINERJA INTERNAL CONTROL.
5 Menetapkan tanggungjawab pengawasan oleh
Dewan Komisaris
6 Kepemilikan keahlian Dewan Komisaris
7 Independensi Dewan Komisaris
8 Pelaksanaan fungsi pengawasan oleh Dewan
Komisaris
72
3 MANAJEMEN MEMBENTUK, DENGAN
PENGAWASAN DARI KOMISARIS, STRUKTUR,
JALUR PELAPORAN, DAN KEWENANGAN SERTA
TANGGUNG JAWAB YANG SESUAI DALAM UPAYA
PENCAPAIAN TUJUAN ORGANISASI.
9 Membentuk struktur organisasi
10 Menetapkan jalur pelaporan yang
dilaksanakan melalui pembentukan struktur
organisasi yang memperhatikan aspek-aspek
tertentu:
11 Penetapan, Pemberian, dan Pembatasan
kewenangan dan tanggung jawab 73
4 ORGANISASI MENUNJUKKAN ADANYA
KOMITMEN UNTUK MEMPEROLEH,
MENGEMBANGKAN, DAN MEMPERTAHANKAN
INDIDIVU YANG KOMPETEN DALAM UPAYA
PENCAPAIAN TUJUAN ORGANISASI.
12 Kebijakan dan praktik SDM
13 Komitmen terhadap kompetensi
14 Memperoleh, membangun, dan
mempertahankan pegawai
15 Merencanakan dan mempersiapkan suksesi
74
5 ORGANISASI MEWAJIBKAN SETIAP
INDIVIDU UNTUK MENGEMBAN AKUNTABILITAS
ATAS TANGGUNG JAWABNYA DALAM HAL
INTERNAL CONTROL DALAM KAITANNYA
DENGAN PENCAPAIAN TUJUAN ORGANISASI.
16 Menjunjung tinggi akuntabilitas melalui
struktur, kewenangan dan tanggung jawab
17 Menetapkan pengukuran kinerja, insentif, dan
penghargaan
18 Evaluasi pengukuran kinerja, insentif dan
penghargaan untuk menjaga relevansinya
19 Mempertimbangkan adanya 'tekanan' yang
berlebihan
20 Mengevaluasi Kinerja, memberi penghargaan dan
mengenakan hukuman 75
6 ORGANISASI MENETAPKAN TUJUAN
SECARA JELAS SEHINGGA MEMUNGKINKAN
DILAKUKANNYA PROSES IDENTIFIKASI DAN
PENILAIAN RISIKO TERKAIT DENGAN TUJUAN.
Atribut terkait dengan tujuan operasi
21 Tujuan operasi tercermin dalam struktur, industri dan
kinerja organisasi
22 Mempertimbangkan toleransi risiko
23 Mencakup tujuan operasi dan kinerja keuangan
24 Membentuk dasar untuk mengalokasikan sumber daya
Atribut terkait dengan tujuan pelaporan keuangan eksternal:
25 Patuh terhadap standar akuntansi
26 Mempertimbangkan materialitas
27 Mencerminkan aktivitas entitas organisasi
77
6 ORGANISASI MENETAPKAN TUJUAN
SECARA JELAS SEHINGGA MEMUNGKINKAN
DILAKUKANNYA PROSES IDENTIFIKASI DAN
PENILAIAN RISIKO TERKAIT DENGAN TUJUAN.
Atribut terkait dengan tujuan pelaporan non-keuangan eksternal:
28 Patuh terhadap standar dan frameworks yang ditetapkan pihak
eksternal
29 Mempertimbangkan tingkat persisi yang diharapkan
30 Menyajikan aktivitas entitas organisasi
Tujuan pelaporan internal (keuangan dan non keuangan)
31 Mencerminkan pilihan manajemen
32 Mempertimbangkan tingkat persisi yang diharapkan
33 Menyajikan aktivitas entitas organisasi
Atribut terkait dengan tujuan kepatuhan
34 Mematuhi ketentuan hukum dan perundangan yang berlaku
35 Mempertimbangkan toleransi terhadap risiko 78
7 ORGANISASI MENGIDENTIFIKASI RISIKO
TERKAIT DENGAN PENCAPAIAN TUJUAN
ORGANISASI PADA SELURUH LINGKUP ENTITAS,
DAN MENGANALISIS RISIKO SEBAGAI DASAR
UNTUK MENENTUKAN BAGAIMANA RISIKO-
RISIKO TERSEBUT HARUS DIKELOLA.
36 Mencakup entitas, anak perusahaan, divisi, unit
operasi, dan tingkat fungsional
37 Menganalisis faktor internal dan ekstern
38 Mengikutsertakan peran serta setiap level
manajemen yang sesuai
39 Mengestimasi signifikansi risiko yang
teridentifikasi
40 Menetapkan bagaimana risiko akan direspon
79
8 ORGANISASI TELAH MEMPERTIMBANGKAN
POTENSI TERJADINYA FRAUD DALAM MENILAI
RISIKO
41 Mempertimbangkan berbagai kemungkinan
terjadinya kecurangan
42 Menilai dorongan dan tekanan yang
menyebabkan terjadinya fraud
43 Menilai kemungkinan terjadinya frau
44 Menilai perilaku dan rasionalitas terjadinya
fraud 80
9 ORGANISASI MENGIDENTIFIKASI DAN
MENILAI PERUBAHAN-PERUBAHAN YANG
DAPAT MEMPENGARUHI SISTEM INTERNAL
CONTROL SECARA SIGNIFIKAN.
45 Menilai perubahan lingkungan di luar
organisasi
46 Menilai perubahan model bisnis
47 Menilai perubahan kepemimpinan
81
10 ORGANISASI TELAH MENSELEKSI DAN
MEMBANGUN AKTIFITAS PENGENDALIAN YANG
MENDUKUNG UPAYA MITIGASI RISIKO
SEHINGGA RISIKO BERADA PADA LEVEL YANG
DAPAT DITERIMA
48 Mengintegrasikan kegiatan pengendalian
dengan penilaian risiko
49 Menetapkan proses bisnis yang relevan
50 Mempertimbangkan faktor spesifik entitas
51 Mengevaluasi tipe pengendalian yang memiliki
sifat berganda
52 Mempertimbangkan pada level mana kegiatan
pengendalian diterapkan
53 Melakukan pembagian kewenangan
83
11 ORGANISASI TELAH MENSELEKSI DAN
MEMBANGUN AKTIFITAS PENGENDALIAN UMUM
DENGAN MENGGUNAKAN TEKNOLOGI UNTUK
MENDUKUNG PENCAPAIAN TUJUAN ORGANISASI
54 Menetapkan ketergantungan antara
penggunaan teknologi dalam proses bisnis dan pengendalian umum teknologi
55 Menerapkan infrastruktur teknologi kegiatan
pengendalian yang relevan
56 Menerapkan kegiatan pengendalian proses
manajemen keamanan yang relevan
57 Menerapkan kegiatan pengendalian proses
perolehan, pengembangan, dan pemeliharaan teknologi yang relevan 84
12 ORGANISASI MENERAPKAN KEGIATAN
PENGENDALIAN SEBAGAIMANA TERCERMIN PADA
KEBIJAKAN, YANG MENETAPKAN APA YANG
DIHARAPKAN, DAN DALAM PROSEDUR YANG RELEVAN
UNTUK MELAKSANAKAN KEBIJAKAN TERSEBUT.
58 Menetapkan kebijakan dan prosedur untuk menjalankan perintah dan arahan Direksi.
59 Menetapkan tanggungjawab dan akuntabilitas dalam rangka pelaksanaan kebijakan dan prosedur.
60 Personil yang kompeten melaksanakan kegiatan pengendalian dengan berhati-hati dan fokus secara terus-menerus.
61 Personil yang bertanggung jawab melaksanakan kegiatan pengendalian sesuai dengan jadwal waktu yang ditetapkan dalam kebijakan dan prosedur.
62 Petugas yang bertanggung jawab menginvestigasi dan bertindak seperlunya dalam hal terjadi kasus tertentu sebagai akibat dari palaksanaan kegiatan pengendalian.
63 Manajemen mereviu kegiatan pengendalian secara periodik, untuk menentukan relevansi, kesesuaian kegiatan pengendalian sesuai dengan kebutuhan. 85
13 ORGANISASI MEMPEROLEH ATAU
MENGHASILKAN DAN MENGGUNAKAN INFORMASI
YANG RELEVAN DAN BERKUALITAS UNTUK
MENDUKUNG BERFUNGSINYA SELURUH KOMPONEN
INTERNAL CONTROL.
64 Mengidentifikasi persayaratan informasi
yang diperlukan.
65 Mendapatkan data dari sumber internal
maupun eksternal.
66 Memproses data menjadi informasi yang
relevan.
67 Memelihara kualitas informasi selama
pemrosesan informasi.
68 Mempertimbangkan analisis biaya-manfaat.
87
14 ORGANISASI MENGKOMUNIKASIKAN
INFORMASI SECARA INTERNAL, TERMASUK TUJUAN
DAN TANGGUNG JAWAB TERHADAP INTERNAL
CONTROL, YANG PENTING UNTUK DAPAT MENDUKUNG
BERFUNGSINYA SELURUH KOMPONEN INTERNAL
CONTROL.
69 Menyelenggarakan komunikasi tentang pengendalian internal kepada personel yang bertanggung jawab
70 Menyelenggarakan jalur komunikasi antara Direksi dan Dewan Pengawas yang efektif.
71 Menyediakan jalur komunikasi khusus yang terpisah (whistle-blower)
72 Menetapkan metode komunikasi yang relevan.
88
15 ORGANISASI BERKOMUNIKASI DENGAN
PHAK EKSTERNAL TERKAIT DENGAN BERBAGAI
HAL YANG DAPAT MEMPENGARUHI
BERFUNGSINYA SELURUH KOMPONEN
INTERNAL CONTROL.
73 Komunikasi kepada pihak eksternal
74 Menyelenggarakan komunikasi internal organisasi
75 Komunikasi dengan Dewan Komisaris.
76 Menyediakan jalur komunikasi khusus yang terpisah (whistle-blower)
77 Menetapkan metode komunikasi yang relevan 89
16 ORGANISASI MENSELEKSI, MEMBANGUN,
DAN MELAKSANAKAN EVALUASI
BERKELANJUTAN DAN TERPISAH UNTUK DAPAT
MEYAKINKAN APAKAH SELURUH KOMPONEN
INTERNAL CONTROL TELAH BERFUNGSI
DENGAN BAIK.
78 Manajemen melakukan evaluasi berkelanjutan dan evaluasi terpisah secara
seimbang.
79 Manajemen mempertimbangkan tingkat perubahan dalam bisnis dan proses
bisnis dalam melakukan evaluasi berkelanjutan dan evaluasi terpisah.
80 Rancangan dan kondisi sistem pengendalian digunakan sebagai bahan
untuk melakukan evaluasi berkelanjutan dan evaluasi terpisah.
81 Evaluator yang melaksakan evaluasi berkelanjutan dan evaluasi terpisah
memiliki pengetahuan yang memadai dan memahami hal yang dievaluasi.
82 Evaluasi berkelanjutan diterapkan secara terintegrasi atau "bulit-in" dengan
proses bisnis dan selalu disesuaikan dalam hal terjadi perubahan.
83 Manajemen mempertimbangkan berbagai alternatif ruang lingkup dan
frekuensi evaluasi terpisah sesuai dengan risiko entitas.
84 Evaluasi terpisah dilaksanakan secara periodik untuk dapat memberikan
umpan balik yang obyektif.
91
17 ORGANISASI MENGEVALUASI DAN
MENGKOMUNIKASIKAN KELEMAHAN INTERNAL
CONTROL DALAM WAKTU YANG TEPAT KEPADA PIHAK-
PIHAK YANG BERTANGGUNG JAWAB UNTUK
MELAKUKAN TINDAKAN KOREKSI
85 Manajemen dan Dewan Komisaris menilai hasil
evaluasi berkelanjutan maupun terpisah
86 Setiap kelemahan disampaikan kepada pihak
yang bertanggung jawab untuk dilakukan tindakan
perbaikan dan paling tidak harus disampaikan
kepada manajemen satu tingkat di atasnya.
87 Manajemen memonitor apakah semua
kelemahan telah diperbaiki dalam jangka waktu
yang ditentukan. 92
ILLUSTRATIVE TOOLS
Untuk membantu manajemen untuk menilai
efektivitas sistem IC.
Untuk menilai apakah sistem IC memenuhi
persyaratan :
Semua komponen dan prinsip ada dan
berfungsi
Kelima komponen beroperasi bersama-
sama secara terpadu/terintegrasi. 94
STRUKTUR RELEASE BUKU COSO 2013
95
COSO 2013
Executive Summary
Framework & Appendices
Illustrative Tools for Assessing
Effectiveness of IC
Templates
Scenarios
Scenario A
Scenario B
Scenario C
Scenario D
Scenario E
File
Excel
ORGANISASI TEMPLATES
1. Penilaian keseluruhan IC
2. Evaluasi komponen
3. Evaluasi prinsip
4. Defisiensi IC
97
MANFAAT TEMPLATES
1. Mendokumentasikan penilaian efektivitas
sistem IC di tingkat entitas dan subunit
2. Menentukan apakah semua komponen
beroperasi bersama-sama secara terpadu
3. Menentukan apakah komponen dan prinsip ada
dan berfungsi
4. Mendokumentasikan defisiensi IC
98
ORGANISASI >< MANFAAT
99
Organisasi Templates
T1: Penilaian keseluruhan IC
T2: Evaluasi komponen
T3: Evaluasi prinsip
T4: Mencatat defisiensi
Manfaat Templates
Mendokumentasikan penilaian efektivitas sistem IC di tingkat
entitas dan subunit
Menentukan apakah semua komponen beroperasi bersama-
sama secara terpadu
Menentukan apakah komponen dan prinsip ada dan berfungsi
Mendokumentasikan defisiensi IC
SCENARIO
Skenario ini berupa beberapa contoh praktis
tentang bagaimana template digunakan untuk
mendukung penilaian efektivitas sistem
pengendalian internal.
Template dan skenario fokus pada evaluasi
komponen dan prinsip-prinsip yang relevan.
103
SCENARIO
A: apakah komponen dan prinsip ada dan berfungsi?
B: apakah semua komponen ada, berfungsi dan bekerja terintegrasi?
C: apakah material weakness mempengaruhi prinsip, komponen dan IC sistem?
D: apakah komponen dan prinsip ada dan berfungsi di unit/divisi/fungsi?
E: bagaimana menilai IC sistem pada berbagai lokasi secara bersamaan?
Penerapan scenario dapat dilihat pada kertas kerja evaluasi dalam format Excel
104