Kerangka Pengendalian Internal COSO 2013
Pada tahun 1992
COSO (Committee of Sponsoring Organizations of the Treadway) menerbitkan
Kerangka
Pengendalian Internal yang dikenal dengan COSO Framework. Dan pada tahun
2013 mengeluarkan update dari Kerangka
Pengendalian Internal Terintegrasi untuk menggambarkan perubahan proses
bisnis setelah 20 tahun kemunculan kerangka yang asli. Adapun update terbaru
ini memuat lebih banyak petunjuk yang mengilustrasikan dan menjelaskan konsep
kerangka ditengah-tengah perubahan yang sangat kompleks.
Kerangka ini memuat
komponen pengendalian internal, yang terdiri dari:
1.
Lingkungan Pengendalian
2.
Penilaian Risiko
3.
Informasi dan Komunikasi
4.
Kegiatan Pengendalian
5.
Kegiatan Pemantauan
Kelima komponen
ini memuat 17 prinsip pengendalian, dan prinsip tersebut memuat 81 poin yang
difokuskan sesuai dengan karakteristik organisasi dalam pencapaian efektivitas
dan efisiensi. Update ini juga telah mempertimbangkan tidak hanya laporan
keuangan, tetapi juga laporan non keuangan eksternal dan internal.
Perbandingan
Kerangka Pengendalian Internal 1992 dengan 2013:
Hal-hal yang
tidak mengalami perubahan adalah: definisi, struktur, lima komponen dasar, hanya
saja komponen pemantauan terdapat penambahan menjadi kegiatan pemantauan. Hal
ini karena pemantauan merupakan rangkaian dari keseluruhan proses pengendalian.
Perbedaan juga terlihat pada atas kubus yang awalnya laporan keuangan menjadi
laporan karena tidak hanya mencakup laporan keuang tetapi juga laporan non
keuangan eksternal dan internal. Kemudian pada sisi kanan kubus perubahan lebih
mencerminkan lapisan pengendalian internal yang diubah menjadi entitas, divisi,
unit operasi dan fungsi.
Memperkenalkan 17 Prinsip Pengendalian:
Lingkungan pengendalian
- Organisasi menunjukkan komitmen terhadap
integritas dan nilai-nilai etika.
- Dewan komisaris (atau dewan pengawas) menunjukkan
independensi dari manajemen dan melaksanakan pengawasan atas pengembangan
dan pelaksanaan pengendalian internal.
- Di bawah pengawasan dewan komisaris (atau dewan
pengawas), manajemen menetapkan struktur organisasi, garis pelaporan,
serta wewenang dan tanggung jawab yang tepat sesuai dengan tujuan yang
ditetapkan.
- Organisasi menunjukkan komitmen dalam merekrut,
mengembangkan, dan mempertahankan individu-individu yang kompeten sesuai
dengan tujuan yang ditetapkan.
- Organisasi memberikan dukungan bagi
individu-individu yang bertanggung jawab atas pelaksanaan pengendalian
internal sesuai dengan tujuan yang ditetapkan.
Penilaian risiko
- Organisasi menetapkan tujuan-tujuan yang jelas
agar identifikasi dan penilaian risiko terkait tujuan-tujuan itu bisa
dilakukan.
- Organisasi melakukan identifikasi risiko atas
pencapaian tujuan entitas secara menyeluruh dan dan melaksanakan analisis
risiko sebagai landasan untuk menetapkan manajemen risiko.
- Organisasi mempertimbangkan potensi kecurangan (fraud)
dalam melakukan penilaian risiko atas pencapaian tujuan.
- Organisasi melakukan identifikasi dan penilaian
atas perubahan-perubahan yang mungkin berdampak signifikan terhadap sistem
pengendalian internal.
Aktivitas pengendalian
- Organisasi memilih dan mengembangkan
aktivitas-aktivitas pengendalian yang yang akan memberikan kontribusi
dalam meminimalkan risiko atas pencapaian tujuan hingga mencapai tingkat
toleransi risiko yang bisa diterima.
- Organisasi memilih dan mengembangkan
aktivitas-aktivitas pengendalian umum atas teknologi pendukung pencapaian
tujuan.
- Organisasi memberlakukan aktivitas-aktivitas
pengendalian melalui kebijakan yang menetapkan apa yang diharapkan dan
melalui prosedur yang menjabarkan kebijkan menjadi tindakan.
Informasi dan
komunikasi
- Organisasi memperoleh atau menghasilkan dan
menggunakan informasi yang relevan dan berkualitas untuk mendukung
komponen-komponen pengendalian internal lain berfungsi sebagaimana
mestinya.
- Organisasi melakukan komunikasi informasi secara
internal, termasuk tujuan dan tanggung jawab pengendalian internal, yang
diperlukan untuk mendukung the pengendalian internal berfungsi sebagaimana
mestinya.
- Organisasi menjalin komunikasi dengan pihak-pihak
eksternal terkait hal-hal yang mempengaruhi berfungsinya komponen-komponen
pengendalian internal lainnya.
Monitoring
Activities
- Organisasi memilih, mengembangkan, dan
melaksanakan evaluasi, baik yang dilakukan secara terus-menerus
(berkelanjuatan) maupun yang dilakukan secara terpisah untuk memastikan
apakah komponen-komponen pengendalian internal ada dan berfungsi.
- Organisasi mengevaluasi dan mengkomunikasikan kelemahan-kelemahan pengendalian internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan koretif, termasuk manajemen puncak dan dewan komisaris (atau dewan pengawas serupa), sebagaimana mestinya.
Prinsip-prinsip
pengendalian internal di atas bisa digunakan oleh auditor atau peneliti sebagai
indikator-indikator untuk menilai efektivitas pengendalian internal klien atau
organisasi yang menjadi obyek penelitian.
Kerangka Pengendalian Internal COSO 2013
secara Mendalam:
Menerapkan Pedoman yang Disempurnakan
untuk Pengendalian Internal atas
Pelaporan Keuangan Eksternal
Ringkasan Eksekutif
Kerangka Pengendalian Internal COSO telah diperbarui dan
ditingkatkan. Sejak dirilis pada tahun 1992, Komite Organisasi Sponsor Kontrol
Internal Komisi Treadway (COSO) – Kerangka Kerja Terpadu (the framework) telah diterima secara luas dan
diadopsi di seluruh dunia. Kerangka kerja yang diperbarui, dikeluarkan pada 14
Mei, 2013,
mempertahankan elemen dasar yang asli: lima komponen sistem pengendalian
internal: lingkungan
pengendalian, penilaian risiko, aktivitas pengendalian, informasi dan
komunikasi dan
pemantauan kegiatan
yang mendukung tiga kategori tujuan: efektivitas dan efisiensi operasi,
keandalan pelaporan
dan kepatuhan terhadap hukum dan peraturan yang berlaku, yang disusun melalui
pertimbangan manajemen.
Kelima komponen tersebut dievaluasi melalui prinsip dan
titik fokus yang direkomendasikan. Signifikan peningkatan, bagaimanapun,
adalah perluasan dari tujuan pelaporan untuk memasukkan pelaporan nonkeuangan
dan internal tujuan.
Prinsip-prinsip wajib telah diperbarui untuk mencerminkan lingkungan bisnis
saat ini dan lingkungan tata kelola yang
meningkat, tuntutan peraturan dan kepatuhan serta peningkatan penggunaan
teknologi dan model
bisnis yang kompleks. Kerangka asli masih dapat digunakan hingga 15 Desember
2014; lebih dari itu tanggal,
COSO akan menganggap kerangka asli sudah usang.
Latar belakang
Diterima oleh Securities and Exchange Commission (SEC),
kerangka kerja ini telah diadopsi secara luas sejak penerbitan asli pada tahun 1992
untuk mendukung persyaratan pengendalian internal pelaporan keuangan eksternal.
Bagian 404 dari Sarbanes-Oxley
Act (SOX)
mewajibkan manajemen perusahaan publik dan auditor eksternalnya untuk
membuktikan rancangannya dan
efektivitas operasi pengendalian internal perusahaan atas pelaporan keuangan
eksternal (ICEFR).
Pelaporan keuangan eksternal juga diwajibkan oleh entitas
swasta, nirlaba, dan pemerintah. Entitas swasta memberikan pelaporan eksternal
kepada bank dan pihak ketiga lainnya untuk meningkatkan modal atau memenuhi kewajiban
kontraktual. Entitas
nirlaba menyiapkan laporan keuangan untuk donor, lembaga pemerintah, atau pihak
ketiga lainnya. Ini laporan
eksternal dapat disiapkan sesuai dengan prinsip akuntansi yang berlaku umum
(GAAP) tetapi mungkin: juga
disiapkan sesuai dengan kontrak dan perjanjian, preferensi atau kerangka kerja
pihak ketiga yang ditetapkan oleh
otoritas perpajakan atau badan pengatur. Demikian juga, penilaian manajemen
atas sistem pengendalian internalnya dapat dibuat terhadap kriteria selain
kerangka COSO, seperti yang ditetapkan oleh regulator, badan penetapan standar
atau pihak ketiga lainnya.
Kerangka kerja tahun 1992 membatasi tujuan pelaporan pada
sistem pengendalian internal yang berkaitan dengan persiapan: laporan keuangan publikasi yang andal.
Kerangka kerja 2013 terus memenuhi kebutuhan publikasi eksternal pelaporan tetapi juga mencakup
persyaratan pengendalian internal pelaporan internal dan nonkeuangan yang
andal. Makalah ini
berfokus pada penilaian manajemen ICEFR menggunakan kerangka kerja 2013 COSO
yang diperbarui.
Perubahan
Signifikan yang Mempengaruhi Pengendalian Internal atas Pelaporan Keuangan
Kerangka kerja
terus membahas tiga tujuan umum untuk hampir semua entitas: tujuan operasi
(berkaitan dengan efisiensi dan efektivitas operasi), tujuan pelaporan
(berkaitan dengan keandalan) pelaporan eksternal dan internal) dan tujuan
kepatuhan (berkaitan dengan kepatuhan terhadap hukum yang berlaku dan
peraturan). Menyadari bahwa kerangka kerja digunakan secara luas untuk mematuhi
SOX, yang dikeluarkan setelah kerangka kerja COSO 1992, COSO secara signifikan
memperluas diskusinya tentang pengendalian internal kekurangan dalam edisi
2013, termasuk alat untuk membantu evaluasi kekurangan. Ruang lingkup panduan
yang berlaku untuk perusahaan yang lebih besar, khususnya, telah diperluas.
Diskusi mengenai teknologi, infrastrukturnya, pengembangan, penggunaan, dan
hubungan dengan proses lain telah ditingkatkan secara signifikan untuk
mempertimbangkan perkembangan dalam daerah ini sejak tahun 1992. Juga
dipertimbangkan dengan edisi 2013 peningkatan peraturan global, seperti:
standar lingkungan, dan pertumbuhan struktur dan manajemen bisnis yang kompleks
dan saling berhubungan model, termasuk operasi outsourcing.
Pengendalian
Internal atas Pelaporan Keuangan Eksternal (ICEFR) – 2013
Ringkasan
Manajemen
menetapkan tujuan pelaporan eksternal untuk memperoleh keyakinan memadai
mengenai keandalan laporan keuangan yang dipublikasikan. Dari sana, manajemen
mengembangkan sub-tujuan ke tingkat detail di mana: risiko spesifik salah saji
dan penghilangan material dapat diidentifikasi. Sub-tujuan harus spesifik,
terukur atau dapat diamati, dapat dicapai, relevan, dan terikat waktu. Ini
termasuk tujuan atas semua proses relevan dengan pemrosesan transaksi keuangan yang
signifikan, termasuk, misalnya, penutupan buku besar dan informasi teknologi,
berdasarkan penilaian manajemen atas materialitas. Seringkali, sub-tujuan
dikembangkan di divisi, anak perusahaan, unit operasi dan tingkat fungsional
atau aktivitas. Saat menentukan pelaporan eksternal yang sesuai tujuan yang
terkait dengan penyusunan laporan keuangan eksternal, manajemen
mempertimbangkan akuntansi standar, asersi laporan keuangan, dan persyaratan
pengungkapan.
Alat COSO tidak
lagi menyertakan tujuan contoh untuk aktivitas entitas yang signifikan, risiko
terhadap pencapaiannya dan aktivitas pengendalian untuk mengatasi risiko.
Sebaliknya, khusus untuk ICEFR, COSO telah memperluas pendekatan dan contoh
untuk memenuhi prinsip; namun, pendekatan dan contoh ini dalam bentuk umum yang
tidak ditujukan proses tingkat aktivitas tertentu. Bisa dikatakan bahwa
meskipun bimbingan yang diberikan oleh COSO telah meningkat, begitu juga
persyaratan untuk menggunakan pertimbangan manajemen ketika memilih
pengendalian pada tingkat aktivitas.
Keterkaitan
Antara Tujuan, Komponen & Prinsip
Di bawah
kerangka kerja, kontrol dipilih dan digunakan untuk mempengaruhi satu atau
lebih prinsip dalam masing-masing dari lima prinsip tersebut, komponen:
Lingkungan Pengendalian, Penilaian Risiko, Aktivitas Pengendalian, Informasi
& Komunikasi dan Kegiatan Pemantauan. kelima komponen meresap, mempengaruhi
empat komponen lainnya, dan diperlukan untuk sistem pengendalian internal yang
dirancang secara efektif. Tabel di bawah ini memberikan gambaran umum tentang
komponen pengendalian internal kerangka kerja dan jumlah komponen wajib prinsip
untuk masing-masing.
Prinsip adalah
konsep dasar yang terkait dengan lima komponen COSO yang saling terkait. Sebuah
prinsip tidak terpenuhi di bawah satu komponen dapat secara langsung
mempengaruhi fungsi prinsip dalam komponen lain. Karena hubungan timbal balik
antara komponen, prinsip yang tidak ada atau tidak berfungsi di bawah satu
komponen memiliki efek yang luas pada komponen lainnya. Dengan kata lain,
ketika satu komponen tidak ada dan berfungsi, semua komponen tidak dapat hadir
dan berfungsi secara terintegrasi, artinya desain dan pengoperasian efektivitas
sistem pengendalian internal secara keseluruhan terpengaruh.
Keterkaitan
Antara Prinsip, Pendekatan & Titik Fokus
Manajemen
memilih dan mengembangkan pengendalian di dalam setiap komponen untuk
mempengaruhi prinsip-prinsip yang relevan, untuk mengurangi risiko terdapat prinsip
yang tidak memiliki fungsi. Pendekatan COSO adalah contoh cara untuk mempengaruhi
prinsip. Demikian juga, poin fokus COSO adalah pedoman bagi entitas untuk
mengungkapkan risiko dengan menyoroti karakteristik penting yang berkaitan
dengan setiap prinsip.
ICEFR
membutuhkan kelima komponen COSO. Komponen mendukung berfungsinya komponen lain
dan harus bekerja sama secara terpadu. Definisi pengendalian internal, tidak
berubah dari kerangka kerja 1992, adalah suatu proses, yang dipengaruhi oleh
dewan direksi, manajemen, dan personel lain entitas, yang dirancang untuk
memberikan keyakinan memadai mengenai pencapaian tujuan yang berkaitan dengan
operasi, pelaporan, dan kepatuhan.
Komponen COSO
secara Mendalam
Lingkungan Pengendalian
Lingkungan
pengendalian yang dirancang dan dioperasikan dengan benar dianggap oleh banyak komponen
terpenting dari sistem pengendalian internal yang efektif, terutama karena
dampak yang meluas pada semua komponen lain yang merupakan pengendalian
defisiensi dalam komponen ini dapat terjadi (dampak sebagian ditunjukkan dalam
Tampilan 1). Resiko manajemen penggantian atau kesalahan penyajian laporan
keuangan yang material (termasuk penghilangan dan kesalahan penyajian yang
jatuh tempo) penipuan, tindakan ilegal dan korupsi) adalah risiko lingkungan
pengendalian. Lingkungan pengendalian mencakup proses pengelolaan risiko
melalui tanggung jawab pengawasan, penugasan tanggung jawab yang tepat dan
akuntabilitas kinerja.
Penilaian Risiko
Pengaturan
Tujuan – Ikhtisar
Penilaian risiko
dimulai dengan manajemen mendefinisikan tujuan strategis dan operasional.
Penetapan tujuan merupakan prasyarat untuk mengembangkan sistem pengendalian
internal yang efektif. Manajemen menetapkan entitas tujuan dan sub-tujuan
tingkat tinggi untuk mendukung misi, visi, dan strategi entitas. Tujuan entitas
dan sub-tujuan ditetapkan sebagai tujuan kepatuhan, operasi atau pelaporan dan
mungkin berhubungan dengan satu, dua atau semua tiga kategori tersebut.
Sub-tujuan dalam satu kategori, seperti pelaporan kepatuhan yang tepat waktu,
dapat mendukung lebih dari satu tujuan. Tujuan harus ditentukan dengan cukup
jelas untuk mengidentifikasi dan menilai risiko yang terkait dengan tujuan.
Analisis Risiko
– Gambaran Umum
Setelah tujuan
ditetapkan, entitas mengidentifikasi dan menilai risiko terhadap pencapaian
tujuan tersebut. Manajemen menggunakan prinsip-prinsip COSO untuk
mengidentifikasi risiko untuk memenuhi tujuan dengan bertanya, "konsekuensi
apa yang terjadi terhadap tujuan dan sub-tujuan operasi, kepatuhan, dan
pelaporan jika prinsip ini tidak berpadu?” Setelah risiko untuk mencapai tujuan
(dan sub-tujuan) diidentifikasi (termasuk risiko penipuan), manajemen
menganalisis dan mengevaluasi dampak dan kemungkinan terjadinya terhadap
toleransi risiko yang ditetapkan entitas. Risiko kemudian diterima, dialihkan
atau dikelola dengan pengendalian internal sesuai dengan toleransi risiko
tersebut. Karena faktor lingkungan internal dan eksternal yang selalu berubah,
proses penilaian risiko menjadi komprehensif, dari proses yang sedang
berlangsung dan perubahannya. Proses pengesahan yang mendasari di bawah SOX
tidak diharapkan berubah.
Pengaturan
Tujuan – ICEFR
Sistem ICEFR
diterapkan untuk mengurangi risiko dalam mencapai tujuan entitas yang spesifik
untuk pelaporan keuangan eksternal. Tujuan ini berhubungan dengan standar akuntansi
yang sesuai untuk entitas dan asersi terkandung di dalamnya, seperti keberadaan
dan kelengkapan transaksi. Manajemen kemudian harus lebih lanjut memperjelas
tujuan pelaporan keuangan eksternal, misalnya, “Laporan keuangan yang andal
mencerminkan laporan keuangan lengkap dan akurat sesuai dengan prinsip
akuntansi yang berlaku umum,” menjadi sub tujuan yang lebih rinci yang berisi
asersi yang relevan, misalnya, “Transaksi penjualan dicatat pada periode yang
benar pada tanggal jumlah yang akurat untuk semua layanan yang diberikan.”
Analisis Risiko
– ICEFR
Melakukan
penilaian risiko tingkat tinggi untuk ICEFR adalah proses mengidentifikasi
risiko tidak mencegah atau mendeteksi, pada waktu yang tepat, penghilangan
material dalam atau salah saji laporan keuangan entitas. Ketika
mengidentifikasi risiko penghilangan atau salah saji material, entitas harus
mempertimbangkan potensi kecurangan, termasuk penyalahgunaan aset, penipuan
pelaporan keuangan yang disebabkan oleh tindakan yang disengaja, termasuk: manajemen
mengesampingkan kontrol internal, dan tindakan ilegal dan korupsi. Sub-tujuan
harus mencakup perincian yang cukup untuk mengidentifikasi di mana risiko
spesifik untuk memenuhi tujuan tersebut dianalisis.
Untuk tujuan
pelaporan keuangan eksternal, penerimaan risiko harus terjadi hanya ketika
risiko yang diidentifikasi tidak dapat, secara individual atau agregat,
melebihi ambang batas risiko dan mengakibatkan penghilangan atau salah saji
material dari: laporan keuangan.
Kegiatan Pengendalian
Manajemen
menggunakan aktivitas pengendalian untuk mengelola risiko yang tidak diterima
atau dialihkan. Sebuah kontrol tunggal dapat mempengaruhi beberapa prinsip dan
mendukung pencapaian beberapa komponen, yang pada gilirannya dapat mendukung
mengendalikan tujuan atau sub-tujuan. Menyadari hal ini, COSO tidak mengikat
pendekatan dalam pembaruan kerangka kerja untuk setiap satu aktivitas. Ini
berbeda dengan kerangka kerja tahun 1992, di mana aktivitas pengendalian
terkait dengan risiko tertentu, yang kemudian terkait dengan tujuan
pengendalian tingkat aktivitas tertentu.
Meskipun
prinsip-prinsip kerangka kerja adalah wajib, COSO sengaja tidak meresepkan
persyaratan khusus dari kegiatan pengendalian yang harus dilakukan. Sebaliknya,
manajemen didorong untuk memilih, mengembangkan dan menyebarkan pengendalian
untuk sistem pengendalian internal yang efektif berdasarkan faktor-faktor unik
untuk entitas dan menggunakan pendekatan COSO untuk menerapkan prinsip
tersebut.
Kegiatan
Pengendalian – ICEFR
Aktivitas
pengendalian atas ICEFR adalah tindakan yang diarahkan oleh manajemen, termasuk
dewan direksi, untuk mengurangi risiko salah saji atau penghilangan material
untuk tujuan dan sub-tujuan pelaporan eksternal. Kegiatan kontrol umumnya
disebarkan melalui kebijakan yang menetapkan apa yang diharapkan dan prosedur
yang menempatkan kebijakan ke dalam tindakan. Kegiatan pengendalian merupakan
tanggung jawab semua tingkatan entitas, dapat bersifat preventif atau detektif,
otomatis melalui penggunaan teknologi atau manual dan termasuk mengidentifikasi
dan memisahkan yang tidak kompatibel berfungsi untuk mengurangi ke tingkat yang
dapat diterima risiko kesalahan atau kelalaian material, termasuk penipuan.
Proses manajemen
dalam memilih dan mengembangkan aktivitas pengendalian yang relevan dimulai
dengan menetapkan materialitas keuangan. Materialitas menetapkan ambang batas
untuk menentukan apakah jumlah laporan keuangan atau pengungkapan penting untuk
penilaian ICEFR. Manajemen kemudian mengidentifikasi proses yang mendasari
signifikan jumlah dan pengungkapan laporan keuangan. Proses transaksi yang
signifikan dapat berupa manual atau memerlukan penggunaan sistem aplikasi
komputer (termasuk aplikasi komputer pengguna akhir seperti spreadsheet)
atau kombinasi keduanya.
Kontrol
teknologi otomatis sering diidentifikasi ketika aplikasi komputer digunakan
untuk memproses transaksi signifikan dan jumlah pengungkapan. Information technology general
controls (ITGCs) adalah kontrol TI atas yang diandalkan oleh
aktivitas kontrol teknologi otomatis untuk memastikan kelengkapan, akurasi, dan
ketersediaan pengolahan. Mempertimbangkan faktor spesifik entitas dan
kompleksitas infrastruktur TI, ITGCs dapat mencakup item seperti: kontrol akses
dan kontrol atas akuisisi, pengembangan dan pemeliharaan teknologi dan
infrastruktur, termasuk versi perangkat lunak dan manajemen patch.
Manajemen
bertanggung jawab atas input, pemrosesan, dan kontrol output yang berlaku untuk
perangkat lunak dalam lingkup aplikasi, baik aplikasi dan infrastruktur TI-nya
ditangani sendiri atau dialihdayakan ke pihak ketiga. Kontrol aplikasi
perangkat lunak internal mencakup kontrol atas pengembangan dan pemeliharaan
aplikasi komputasi pengguna akhir, seperti spreadsheet.
Selain kontrol
atas pemrosesan transaksi yang signifikan, termasuk kontrol otomatis dan ITGC,
ICEFR aktivitas pengendalian umumnya juga mencakup pengendalian atas proses
penutupan buku besar, pengungkapan dan estimasi akuntansi. Singkatnya,
penilaian manajemen atas pengendalian harus berhubungan dengan keefektifannya
dalam menangkap dan memproses data tentang transaksi keuangan mulai dari
inisiasi transaksi melalui otorisasi, pencatatan, pemrosesan dan pelaporan.
Pertimbangan
manajemen adalah elemen kunci dalam memilih kontrol terbaik dan memastikan
beroperasi seperti yang telah direncanakan. Kontrol dipilih dengan
mempertimbangkan banyak faktor, termasuk risiko material yang dinilai kelalaian
dan salah saji, evaluasi manfaat dan biaya merancang dan melakukan pengendalian
yang efektif (termasuk pemisahan tugas dan mempertimbangkan kontrol pencegahan
atau detektif alternatif), teknologi versus pengendalian manual dan kompetensi
personel yang melakukan pengendalian.
Informasi &
Komunikasi
Komponen
Informasi dan Komunikasi sangat terintegrasi dengan empat komponen COSO
lainnya. Informasi yang dihasilkan secara internal atau yang dikumpulkan secara
eksternal mendukung komponen penilaian risiko. Menetapkan dan mengomunikasikan
program whistle-blower sering kali merupakan bagian penting dari
pengawasan entitas terhadap kegiatan pengendalian internal dan mendukung
komponen lingkungan pengendalian. Komponen lingkungan pengendalian tidak dapat
dilakukan dan dinilai tanpa informasi yang dapat dipercaya yang dikomunikasikan
tepat waktu kepada pihak yang tepat individu, termasuk dewan direksi entitas.
Sejak SOX,
pelaporan keuangan eksternal dan pelaporan pengendalian internal eksternal
berjalan beriringan. Entitas Oleh karena itu, komponen Informasi dan Komunikasi
harus diselaraskan dengan tanggung jawab manajemen untuk pelaporan keuangan
eksternal dan pemantauan sistem pengendalian internal. Individu
mengidentifikasi, mengumpulkan dan mengklasifikasikan informasi terkait (baik
untuk pelaporan keuangan dan pengendalian internal) dan berkomunikasi dengan pihak
yang bertanggung jawab atas pelaporan keuangan eksternal.
Kegiatan
Pemantauan
Desain awal
sistem pengendalian internal menjadi dasar entitas untuk pemantauan sistem di
masa depan. Kontrol dalam komponen kerangka kerja lainnya memerlukan pemantauan
berkelanjutan baik secara berkelanjutan evaluasi, evaluasi terpisah atau
kombinasi keduanya. Penilaian dapat dilakukan oleh individu melakukan kontrol
(penilaian sendiri) atau oleh pihak ketiga internal atau eksternal yang
independen. Meskipun audit laporan keuangan eksternal dapat mengungkapkan item
tertentu tentang sistem pengendalian internal entitas, audit tidak boleh
diandalkan untuk mengevaluasi efektivitas desain atau operasi pengendalian
internal entitas efektivitas atau untuk memberikan umpan balik seperti itu.
Kontrol
digunakan untuk menerapkan prinsip-prinsip dalam setiap komponen kerangka
kerja, termasuk pemantauan komponen. Perubahan dalam lingkungan bisnis internal
dan eksternal, termasuk teknologi, memerlukan evaluasi ulang atas tujuan
pengendalian, risiko untuk memenuhi tujuan tersebut dan relevansi serta
kecukupan pengendalian.
Metriks sering
digunakan sebagai aktivitas pemantauan untuk menentukan apakah pengendalian
internal atas pelaporan keuangan dirancang dengan baik dan beroperasi seperti
yang direncanakan. Misalnya, untuk menentukan apakah transaksi keuangan
tercermin secara lengkap dan akurat dalam laporan keuangan, entitas dapat
membandingkan penggajian dengan periode sebelumnya, atau jumlah rata-rata
karyawan, atau informasi operasi. Entitas tertentu memantau pengendalian
melalui penggunaan aplikasi pemantauan otomatis, yang dapat diprogram untuk
mengidentifikasi anomali atau melacak pola dan tren. Informasi ini sering
mengarah pada perbaikan proses.
Evaluasi Sistem
Pengendalian Internal
COSO telah
mengklarifikasi persyaratan untuk pengendalian internal yang efektif. Dalam
menentukan apakah suatu keseluruhan sistem pengendalian internal efektif,
manajemen senior dan dewan direksi menilai apakah masing-masing dari kelima
komponen dan prinsip-prinsip yang relevan hadir dan berfungsi dan apakah
komponen tersebut beroperasi bersama secara terpadu. Terkait evaluasi ICEFR, kerangka 2013 lebih
bersifat preskriptif. Untuk pengendalian internal yang efektif, kerangka
menganggap seluruh prinsip (17 prinsip)
hadir dan berfungsi.
Kekurangan
Kerangka
tersebut mendefinisikan defisiensi pengendalian internal sebagai kekurangan
dalam satu atau lebih komponen dan prinsip yang relevan mengurangi kemungkinan
bahwa suatu entitas dapat mencapai tujuannya. Kerangka membutuhkan manajemen
untuk menggunakan penilaian untuk menilai tingkat keparahan defisiensi tersebut
dalam menentukan apakah prinsip dan komponen yang ada telah berfungsi. Jika
menurut penilaian manajemen, defisiensi pengendalian yang parah mengurangi
kemungkinan bahwa entitas dapat mencapai tujuannya, maka itu didefinisikan tersebut
menjadi kekurangan utama pada kerangka pengendalian. Jika terdapat kekurangan
utama, manajemen akan menyimpulkan bahwa komponen tersebut tidak ada dan tidak
berfungsi serta sistem pengendalian intern tidak efektif.
Dewan Standar
Akuntansi Keuangan (FASB) dan regulator lainnya serta pembuat standar akuntansi
menetapkan undang-undang, peraturan dan standar yang berkaitan dengan
penyusunan laporan keuangan untuk tujuan eksternal. Regulator dan pembuat
standar lainnya juga menetapkan kriteria untuk menentukan tingkat keparahan,
evaluasi, dan pelaporan kekurangan pengendalian internal.
Definisi COSO
tentang defisiensi, misalnya, berbeda dari yang ditetapkan oleh SEC. Untuk
entitas yang harus mematuhi peraturan SEC, entitas akan mengklasifikasikan
defisiensi sebagai kelemahan material, signifikan kekurangan atau kekurangan
pengendalian (yang berkaitan dengan pelaporan keuangan) sesuai dengan kriteria
yang ditetapkan oleh SEC. Manajemen pada gilirannya akan menilai setiap
kelemahan material, kekurangan yang signifikan atau kekurangan pengendalian
diidentifikasi di bawah kriteria SEC untuk menentukan dampaknya terhadap
prinsip-prinsip yang relevan dari pengendalian internal yang terkandung dalam
kerangka.
Entitas yang
mengevaluasi defisiensi berdasarkan kriteria yang ditetapkan oleh regulator
atau badan pembuat standar harus menggunakan kriteria itu ketika
mengklasifikasikan tingkat keparahan defisiensi pengendalian internal. Jika
kekurangan ditentukan untuk meningkat menjadi tingkat kelemahan material,
entitas tidak akan dapat menyimpulkan bahwa sistem ICEFR entitas telah memenuhi
persyaratan untuk pengendalian internal yang efektif sebagaimana diatur dalam
Kerangka. Sebaliknya, jika internal defisiensi pengendalian tidak naik ke
tingkat kelemahan material yang dapat dicapai entitas ICEFR yang efektif.
Transisi
Transisi membawa
tantangan baru, kerangka kerja 2013 dan 1992 tersedia hingga 15 Desember 2014,
dan manajemen harus menjelaskan kerangka kerja mana yang digunakan untuk
penilaiannya. Menggunakan standar akuntansi, transisinya prospektif, manajemen
diharapkan memperoleh bukti persuasif untuk mendukung penentuannya bahwa sistem
pengendalian internal ada dan berfungsi. Penilaian manajemen harus mencakup
reviu dari kedua hal berikut:
1. Bukti
desain sistem pengendalian internal dengan mempertimbangkan perubahan dalam
bisnis
2. Bukti
sistem pengendalian internal beroperasi seperti yang dirancang, termasuk
pengujian atas data yang dihasilkan sistem dan laporan dan pengujian kontrol
yang diperbarui dari interim hingga akhir tahun (jika kontrol diuji pada
tingkat tertentu)
Manajemen harus
mulai menilai apakah 17 prinsip relevan dengan organisasi mereka dan ada dan
berfungsi. Entitas harus memetakan kontrol yang ada ke prinsip yang relevan
dalam setiap komponen dan melakukan analisis kesenjangan mengidentifikasi di
mana kontrol tidak ada untuk mengurangi risiko untuk memenuhi prinsip (dan
terkait tujuan dan sub-tujuan) ke tingkat yang dapat diterima. Manajemen
kemudian akan menetapkan proses untuk mengidentifikasi, menilai dan menerapkan
perubahan yang diperlukan dalam pengendalian dan dokumentasi terkait. Manajemen
umumnya perlu melibatkan sumber daya dari lintas fungsi dan wilayah untuk
mengadopsi kerangka kerja 2013 dan membuat perubahan yang diperlukan. Upaya
yang diperlukan untuk transisi akan tergantung pada batas tertentu tentang
seberapa baik entitas memahami dan menerapkan konsep dan prinsip utama yang
terkandung dalam kerangka asli.
0 komentar:
Post a Comment