Latar Belakang
COSO kepanjangannya Committee of Sponsoring Organizations of the Treadway Commission.
“Sejarahnya, COSO ini ada kaitannya dengan Foreign and Corrupt Practice Act (FCPA) yang dikeluarkan oleh Securities and Exchange Commission (SEC) dan US Congress di tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA adalah inisiatif dari eksekutif-legislatif, kalau COSO ini lebih merupakan inisiatif dari sektor swasta”.
Sektor swasta ini membentuk ‘National Commission on Fraudulent Financial Reporting’ atau dikenal juga dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini disponsori oleh 5 professional association yaitu: American Accounting Association (AAA), American Instititue of Certified Public Accountants (AICPA), Financial Executives International (FEI), Instititute of Management Accountants (IMA), dan The Institute of Internal Auditors (IIA). Tujuan komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi-rekomendasi yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan.
Walaupun disponsori sama 5 professional association, tapi pada dasarnya komisi ini bersifat independen dan orang-orang yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik, Bursa Efek, dan investor. Nama ‘Treadway’ sendiri berasal dari nama ketua pertamanya yaitu James C. Treadway, Jr.
Komisi ini mengeluarkan report pertamanya pada 1987. Isi reportnya di antaranya adalah merekomendasikan dibuatnya report komprehensif tentang pengendalian internal (integrated guidance on internal control). Makanya terus dibentuk COSO, yang kemudian bekerjasama dengan Coopers & Lybrand untuk membuat report itu.
Coopers & Lybrand mengeluarkan report itu pada 1992, dengan perubahan minor pada 1994, dengan judul ‘Internal Control – Integrated Framework’. Report ini berisi definisi umum internal control dan membuat framework untuk melakukan penilaian (assessment) dan perbaikan (improvement) atas internal control. Gunanya report ini salah satunya adalah untuk mengevaluasi FCPA compliance di suatu perusahaan.
Poin penting dalam report COSO ‘Internal Control – Integrated Framework’ (1992):
Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
- Efektifitas dan efisiensi operasional
- Reliabilitas pelaporan keuangan
- Kepatuhan atas hukum dan peraturan yang berlaku
Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:
- Control Environment
- Risk Assessment
- Control Activities
- Information and communication
- Monitoring
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
- Internal Environment
- Objective Setting
- Event Identification
- Risk Assessment
- Risk Response
- Control Activities
- Information and Communication
- Monitoring
Pengembangan COSO Framework, dari Internal Control-Integrated Framework menjadi Enterprise Risk Management-Integrated Framework pada tahun 2004, tak lepas dari skandal dan kegagalan bisnis kelas atas (seperti Enron dan Worldcom). COSO menilai perlu adanya kerangka kerja yang mendorong kearah perbaikan pengelolaan dan manajemen resiko perusahaan. Enterprise Risk Management-Integrated Framework ini selanjutnya akan menitikberatkan pada 4 komponen dalam pencapaian tujuan perusahaan, yaitu : Strategi, Operasional, Laporan Keuangan, dan Kepatuhan Hukum.
COSO SAJA BELUM CUKUP
Ada beberapa keterbatasan dalam COSO sehingga ada beberapa alibi yang mendukung perlunya standard dan framework audit yang lainnya untuk mencegah fraud seiring dengan perkembangan zaman dan kompleksitas hubungan suatu entitas, yaitu:
1. COSO masih sangat bersifat umum sehingga untuk pengendalian yang lebih spesifik perlu standard yang lebih comprehensif.
2. Untuk audit yang berhubungan dengan IT maka perlu mengacu kepada COBIT.
3. Untuk menghindari window dressing seperti kasus Enron maka diperketatlah pengendalian internal dengan dikeluarkannya Sarbanes Oxley’s Act.
4. Untuk lebih memastikan keamanan data, bagaimana data atau informasi dikelola, dipelihara dan diekspose maka disusunlah ISO 17799.
5. Kemudian lebih spesifik untuk pengendalian risiko perbankan maka disusunlah BASEL I dan BASEL II sebagai penyempurnanya.
6. Information Systems and Control Association (ISACA) dibentuk demi untuk mewadahi bagaimana tata kelola IT dibentuk, meyakinkan pengendalian yang lebih bagus.
7. Certified Information System Auditor (CISA) memiliki kemampuan untuk mengevaluasi logika organisasi, lingkungan dan infrastruktur keamanan IT.
8. Kemudian diberikanlah Certified Information Security Manager (CISM) dengan syarat:
• Lulus tes ujian.
• Menyampaikan bukti telah berpengalaman dalam mengelola keamanan (security) dalam 5 tahun.
• Tunduk pada ISACA Code of Professional Ethics
• Mematuhi kebijakan melanjutkan pendidikan.
“Secara umum COSO akan selalu dipakai untuk membangun suatu pengendalian internal, namun disempurnakan dengan berbagai standard dan pedoman sesuai dengan situasi dan kondisi demi untuk mencapai tujuan pengendalian internal itu sendiri. Bisa dikatakan COSO adalah roh dari pengendalian internal, pondasi dan rangka dalam membangun pengendalian internal. Dan keberhasilan mencegah fraud itu ditentukan oleh banyak faktor selain sistem pengendalian internal kembali ke moral manusia yang ada di dalam suatu sistem”.
Dapatkah Pengendalian Intern mencegah “Fraud”?
Ada ungkapan yang secara mudah menjelaskan penyebab atau akar permasalahan dari Fraud. Ungkapan itu adalah: fraud by need, by greed and by opportunity. Kalau kita ingin mencegah fraud, maka harus menghilangkan atau menekan need dan greed yang mengawali terjadinya fraud dilakukan, sejak menerima seseorang melalui rekruitmen. Contoh yang diberikan atasan telah terbukti dapat merupakan unsur pencegah yang penting. Kasus-kasus fraud menunjukkan bahwa contoh negatif yang diberikan pimpinan, cepat ditiru oleh bawahannya. Unsur by opportunity dalam ungkapan di atas biasanya ditekan melalui Pengendalian Intern.
Pengendalian intern atau internal control mengalami perkembangan dalam pemikiran dan prakteknya. Karena itu, David et al, mengingatkan untuk meyakini apa yang dimaksud dengan Pengendalian Intern, ketika orang melakukan dalam percakapan sehari-hari.
Pengendalian intern harus dirancang agar sesuai dengan kebutuhan perusahaan yang bersangkutan. Perusahaan besar mempunyai kebutuhan yang berbeda dari yang kecil, perusahaan public juga berbeda dengan perusahaan tertutup. Perusahaan manufaktur berbeda dari perusahaan Jasa, diantara kelompok masing-maisng juga ada perbedaan, antara perusahaan jasa penerbangan, jasa keuangan dll.
Secara umum, dasar utama semua pengendalian, dapat digolongkan dalam pengendalian intern aktif dan pengendalian intern pasif.
Pengendalian intern aktif
Pengendalian intern aktif biasanya merupakan bentuk pengendalian intern yang paling banyak diterapkan. Sarana pengendalian intern aktif yang sering dipakai dan umumnya dikenal dalam sistem akuntansi, meliputi:
· Tandatangan
· Tandatangan kaunter (countersigning)
· Password dan PIN (Personnel Identification Numbers)
· Pemisahan tugas
· Pengendalian aset secara fisik
· Pengendalian persedaan secara real time (Real time inventory control)
· Pagar, gembok, dan semua banguan dan penghalang fisik
· Pencocokan dokumen
· Formulir yang sudah dicetak nomornya (Pre numbered accountable forms)
Pengendalian Intern pasif
Tujuan Pengendalian Intern Aktif dan Pengendalian Intern Pasif sama, yaitu mencegah terjadinya fraud. Dalam pengendalian intern aktif, dilakukan dengan membuat barikade-barikade, bermacam-macam lapisan pengamanan, sebelum pelaku fraud bisa menembus pertahanan. Dalam pengendalian intern pasif, dari permukaan kelihatan tidak ada pengamanan, namun ada peredam yang membuat pelanggar atau pelaku fraud akan jera. Peredam ini diumumkan secara luas, dan sistemnya memastikan hal ini.
Dapatkah Pengendalian Intern mencegah Fraud?
Jawaban nya bisa Ya dan atau Tidak. Jika pengendalian intern dirancang dan dilaksanakan dengan baik, jika pegawai dilatih dengan baik, jika pegawai melakukan tugasnya dengan baik, maka pengendalian intern dapat diandalkan untuk melindungi diri dari fraud. Namun yang lebih penting lagi, adalah menumbuhkan tanggung jawab dan ”budaya risiko”. Dengan membuat setiap jajaran di perusahaan sadar atas risiko yang dapat mendiskreditkan perusahaan, yang berakibat pada risiko finansial, maka setiap orang pada perusahaan akan melakukan tugas dan tanggung jawabnya dengan penuh kesadaran. Budaya perusahaan yang sehat, akan membuat orang yang beritikad tidak baik, atau berperilaku diluar kebiasaan secara tak langsung akan mendapat sorotan, sehingga membuat perasaan tak nyaman. Budaya kerja, kebijakan serta sistem pengamanan risiko yang terintegrasi diharapkan dapat mencegah timbulnya keinginan untuk melakukan hal-hal di luar aturan perusahaan.
No comments:
Post a Comment