COSO 2013:Menerjemahkan Prinsip-Prinsip

Menjadi Tindakan

Hari Setianto, Ak, MSocSc, QIA, CIA,CFE, CCSA, CFSA, CRMP, CGAP, CISA, CRMA

Direktur Akademis YPIA

“The sponsoring organizations should cooperate in developing

additional, integrated guidance on internal control” (The Treadway

Commission Report p. 48)

2010: Fraud Study IIFraudulent FinancialReporting: 1998-2007

-

Timeline1987: Treadway

2004: Enterprise RiskManagement Framework

V//.;~///.:-

Commission Report2009: Guidance onMonitoring InternalControl Systems

1996:Issues

Internal Controlin Derivatives

201020001990 20051995

1999: Fraud Study 1-FraudulentReporting:

Financial1987-1997 2006: Guidance

for SmallerBusinesses on Internal Control over Financial Reporting

1992: Internal Control Integrated Frarnework

2010-2013:RecentERM thought papers oncurrent issues

COSO Overview – Internal Control Publications

1992

2006 2009 2013

4

5

Who is responsible for Internal Controls?Premise COSO

• Risk Management dan InternalControl yang baik diperlukan untuk

mencapai sukses organisasi jangka panjang

• Orang memiliki tanggungjawabuntuk mencapai objectives, juga bertanggungjawab atas kualitas internal control

YOU – semua pegawai adalah risk managers5

COSO Applicability“All public companies should maintain internal controls thatprovide reasonable assurance that fraudulent financial reportingwill be prevented or subject to early detection - this is a broader concept than internal accounting controls” (Treadway Commission report, 1987)

SEC “Management is required to base its assessment of theeffectiveness of the company's internal control over financialreporting on a suitable, recognized control framework establishedby a body of experts that followed due-process procedures,including comment”

the broad distribution of the framework for public

Project timetable

Assess & SurveyStakeholders

Public Exposure,Assess & RefineDesign & Build Finalize

2010 2011 2012 2013

7

Kenapa meng-update Framework yang sudah baik dan diadopsi diseluruh dunia?

OriginalFramew

ork

RefreshObjectiv

es

Enhancements

UpdatedFramew

ork8

COSO’s Internal Control–Integrated Framework (2013 Edition)

Memutakhirkan Konteks Memperluas Aplikasi Memperjelas Persyaratan

Mengartikulasi principles untuk memudahkan

pengembangan internal control yang effective

Memperluas Objectives:

operation dan reporting

Mencerminkan perubahan

dalam lingkungan bisnis

dan operasional

COSO’s Internal Control–Integrated Framework (1992 Edition)

Framework

Update considers changes in business and operating environments

Lingkungan berubah ...… telah mendorong pemutakhiran

Ekspektasi terhadap governance oversight

COSO Cube (2013 Edition)

Globalisasi pasar dan operasi

Perubahan dan kompleksitas dalam business

Demands dan Kompleksitas hukum, peraturan, regulasi, dan standards

Ekspektasi atas kompetensi dan akuntabilitas

Penggunaan, dan ketergantungan pada, teknologiyang terus berkembang

Ekspektasi terhadap pencegahan dan deteksi fraud

sebagai principles

Untuk memudahkan penggunaan dan memperluas penerapan

Apa yang tidak berubah... Apa yang berubah...

• Core definition of internal control • Mempertimbangkan perubahan dalam

• Tiga katagori objectives dan lima lingkungan business dan operating

komponen internal control • Memperluas objectives - operations

• Semua lima komponen diperlukan dan reporting

untuk internal control yang effective • Konsep fundamental yang mendasari

• Pentingnya peran judgment dalam lima komponen diartikulasikan

design, implementasi, dan

menjalankan internal control, dalam • Tambahan pendekatan dan contoh-mengassess efektivitasnya contoh yang relevan dengan tujuan

operations, compliance, dan non- financial reporting

Project deliverable #1 – Internal Control-Integrated Framework

(2013 Edition) Terdiri 3 volume:

Executive Summary Framework and Appendices Illustrative Tools

Menetapkan: Definition of internal control Categories of objectives Components and principles of

internal control

Requirements for effectiveness

Project deliverable #2 – Internal Control over External Financial

Reporting: A Compendium....

• Mengilustrasikan pendekatan

dan contoh-contoh bagaimana

principles diterapkan dalam penyiapan

laporan keuangan

• Mempertimbangkan perubahan dalambusiness dan operating environmentsselama dua decade terakhir

• Memberikan contoh dari berbagai

entitas – public, private, not-for-profit,and government

• Menyelaraskan dengan the updatedFramework

ICEFR - Compendium

2. Melaksanakan tanggungjawab oversight responsibilityControl Environment

Mengartikulasikan principles untuk mencapai internal control yang

efektif

1. Menujukkan komitmen terhadap integritas dan nilai etika

3. Menetapkan struktur, wewenang dan tanggungjawab4. Menujukkan komitmen terhadap kompetensi5. Menekankan akuntabilitas

6. Menetapkan objectives yang tepat

Risk Assessment 7. Identifiikasi dan analisis risk

8. Assess risiko fraud risk9. Identifiikasi dan analisis perubahan yang signifikan

10. Pilih dan kembangkan control activities

Control Activities 11. Pilih dan kembangkan general

controls over technology

12. Terapkan melalui kebijakan dan prosedur

13. Gunakan informasi yang relevantInformation & Communication 14. Komunikasi secara internal

15. Komunikasi secara eksternal

16. Melakukan evaluasi ongoing dan/atau terpisah

Monitoring Activities 17. Mengevaluasi dan mengomunikasikan

defisiensi

Prinsip-prinsip untuk mencapai internal control yang efektif

Control Environment 1. Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika

2. Dewan Pengawas menunjukkan independensi dari

manajemen dan menjalankan „oversight‟ dalampengembangan dan pelaksanaan internal control

3. Manajemen - dengan oversight dari Dewan Pengawas –mengembangkan struktur, garis pelaporan, danwewenang dan tanggungjawab yang sesuai dalam

mencapai tujuan organisasi

4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu-individu yang kompeten selaras dengan pencapaian tujuan

5. Orgnanisasi menetapkan akuntabilitas masing-masing individu terhadap tanggungjawab internal control dalam rangka mencapai tujuan organisasi

sehinggga memungkinan dilakukannya identifikasi dan

Prinsip-prinsip untuk mencapai internal control yang efektif

Risk Assessment 6. Organisasi menetapkan objectives dengan cukup jelas

asesmen risiko terkait dengan objective tersebut.7. Organisasi melakukan identifikasi risiko-risiko dalam

mencapai objectives pada seluruh organisasi dan menganalisisnya untuk menentukan bagaimana risiko- risiko tersebut harus dikelola

8. Organisasi mempertimbangkan kemungkinan terjadinya fraud dalam melakukan asesmen risiko terhadap pencapaian tujuan.

9. Organisasi mengidentifikasi dan mengases perubahan- perubahan yang dapat secara signifikan

mempengaruhi system internal control

Prinsip-prinsip untuk mencapai internal control yang efektif

Control Activities 10. Organisasi memilih dan mengembangkan control activities yang mendukung mitigasi risiko (terhadap pencapaian tujuan) sampai pada

tingkat yang dapat diterima

11. Organisasi memilih dan mengembangkan general control activities pada TI untuk mendukung pencapaian tujuan

12. Organisasi menerapkan control activities melalui kebijakan yang menunjukkan apa yang diharapkan dan melalui prosedur yang menerapkan kebijakan kedalam tindakan.

13. Organisasi mendapatkan (atau memproduksi) danCommunication

Prinsip-prinsip untuk mencapai internal control yang efektif

Information &

menggunakan informasi yang relevan dan berkualitas untuk mendukung jalannya internal control

14. Organisasi mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggungjawab internal control, yang diperlukan untuk mendukung jalannya internal control

15. Organisasi berkomunikasi dengan fihak eksternal mengenai hal-hal yang berkaitan dengan jalannya internal control

Prinsip-prinsip untuk mencapai internal control yang efektif

Monitoring Activities 16. Organisasi memilih, mengembangkan dan melaksanakan evaluasi, yang on-going dan/atau terpisah, untuk memastikan apakah komponen internal control ada dan berjalan.

17. Organisasi mengevaluasi dan mengomunikasikan

defisiensi internal control secara tepat waktu kepada fihak-fihak yang bertanggungjawab

untuk melakukan tindakan koreksi, termasuk Direksi

dan Komisaris.

Menegaskan persyaratan untuk mencapai internal control yang efektif

Effective internal control memberikan reasonable assurance terhadap

tercapainya objectives Effective internal control mensyaratkan bahwa:

Setiap Komponen dan Prinsip-prinsip ada (‘present’) dan berfungsi (‘functioning’)

Kelima komponen bekerja bersama secara terintegrasi (operating together in an integrated

manner)

Setiap principle dapat diterapkan pada semua entitas Komponen dianggap ‘operate together’ jika:

semua komponen ‘present’ dan ‘functioning’, dan

defisiensi internal control yang ada, setelah diagregasikan pada semua komponen, tidak menghasilkan satu atau lebih ‘defisiensi major’

Defisiensi major merupakan satu atau kombinasi defisiensi yang secara serius

mengurangi kemungkinan organisasi dapat mencapai tujuannya

Points of Focus: • Mengevaluasi Ketaatan terhadap Kode Etik

Prinsip dan Point of Focus

Control Environment 1. Organisasi menunjukkan komitmen terhadapintegritas dan nilai-nilai etika

• Menetapkan Tone at the Top• Menetapkan Standards Kode Etik

• Menindaklanjuti pelanggaran

etik secara tepat waktu

• Points of focus bisa saja tidak cocok atau relevan pada organisasi tertentu• Mungkin saja terdapat point of focus diluar yang diberikan• Points of focus akan membantu dalam mendisain, menerapkan, dan

menjalankan internal control• Tidak ada ketentuan untuk membuat asesmen tersendiri apakah points of

focus ada atau tidak

Prinsip #5 - Menetapkan akuntabilitas

Perusahaan Keluarga – Furniture

Prinsip #1 – Menujukkan komitmen terhadap integritas dan etika

• Tidak ada program training yang formal untuk membuat pegawai sadar terhadap pentingnya mematuhi standar perilaku• Tidak memiliki proses untuk mengevaluasi kepatuhan karyawan terhadap kebijakan integritas dan etik• Proses untuk mengidentifikasi dan menyelesaikan penyimpangan sifatnya masih ad hock• Disimpulkan sebagai Major Deficiency sehingga prinsip #1 tidak ‘present’ and ‘functioning’

Prinsip #2 - Melaksanakan tanggungjawab oversight

• Manajemen melakukan risk assessments, tetapi review terhadap assessment oleh Dewan Komisaris tidak didokumentasi secara formal dicatat sebagai internal control deficiency

• Dewan tidak mendokumentasikan secara formal atas review yang dilakukan terhadap rencana remediasi dan kegiatan monitoring dicatat sebagai internal control deficiency

• Dalam analisis awal manajemen menetapkan bahwa internal control deficiency tersebut di atas tidak signifkan dan terkompensasi oleh control lainnya

• Manajemen menyimpulkan prinsip #2 ‘present’ dan ‘functioning’, karena dampak defisiensi tidak besar dan ada compensating control-nya

Prinsip #3 – Menetapkan struktur, kewenangan, dan tanggungjawab

• Struktur oversight dan control tidak dimutakhirkan mengikuti perkembangan perkembangan lingkungan bisnis defisiensi• Manajemen menetapkan bahwa defisiensi tersebut, meskipun penting, bukan merupakan Major Deficiency.

Perubahan lingkungan bisnis hanya mempengaruhi sebagian kecil dari organisasi tersebut• Manajemen menyimpulkan pinsip #3 ‘present’ dan ‘functioning’

Prinsip #4 - Menunjukkan komitmen terhadap kompetensi

• Tidak ada defisiensi present dan functioning

• Bonus untuk direksi dan pimpinan divisi/unit operasi dikaitkan dengan kinerja penjualan. Bonus merupakan bagian besar dari

kompensasi, dan tidak ada analisis mengenai ‘tekanan’ terhadap perilaku manajemen sebagai dampak dari kebijakan ini, dan tidak ada mitigating control

• Manajemen memandang bahwa defisiensi tersebut ‘Major’, sehingga prinsip #5 tidak ‘present’ dan ‘functioning’21

Roll-up:

22• Prinsip #1 – Major Deficiency – not present and functioning

• Prisnip #2 – Deficiency (compensating controls noted) – present and functioning

• Prisnip #3 – Deficiency (compensating controls noted) – present and functioning

• Prisnip #4 – No deficiency – present and functioning

• Prisnip #5 – major deficiency – not present and functioning

• Manajemen menyimpulkan bahwa Komponen #1 – Lingkungan Pengendalian tidak present dan

functioning, karena dua prinsip yang tidak presen dan functioning,

• (Manajemen menyimpulkan bahwa ‘sistem internal control’ tidak efektif)

Point penting:

• Hasil asesmen atas prinsip-prinsip mendukung asesmen terhadap komponen

• Manajemen menggunakan judgment waktu menetapkan sebuah prinsip present dan functioning

meskipun ada defisiensi

• Defisiensi dianalisis signifikansinya pada level prinsip maupun level komponen

• Point of focus dapat ditambah atau disesuaikan untuk menyesuaikan dengan kondisi danlingkungan organisasi

WHAT ABOUT US ?

CONTROL IS BUSINESS, NOT BUREAUCRACY

(Mario Andreotti, Formula 1 champion)

“If everything seems under

control,you just not going fast enough”

0 300 600 900

Before Cardiac Death

He

art

Ra

te (

be

ats

per

min

ute

)

0 300 600 900 0 300 600

A Healthy System?

140 140

130 130

120 120

110 110

100 100

90 90

80 80

70 70

60 60

Time (seconds) Time (seconds)

Heart Eight Days Healthy Heart

Skala Penilaian

tindakan

Nilai 1.00 – 1.99 2.00 – 2.49 2.50 – 2.99 3.00 – 4 .00

Legend warna

AtributTidak dapat diterima

Tidak Memadai Kurang memadai Dapat diterima

ResponPerlu projekkhusus

Perlu perbaikansegera

Perlu perbaikan Tidak perlu

Integritas dan(Voting)

Etika

350

3,@0

250

2,00

1,50

1,@1'J

0..50 ·Pe~kanbaru

r'V1e d an St;af

·r'!,i'led~n rV.l a.n..~Je" :F'

Kode Etik XXX

untuk beberapa prinsip, namun juga ada beberapa prinsip yang tidak diatur

• Menekankan pada prinsip-prinsip utama

Kesi

mpu

lan

Rekomendasi• Menyatukan kode etik dalam dokumen yang terintegrasi,

• Melengkapi dengan prinsip-prinsip penting yang belum termuat• Melakukan update kode etik secara berkala

Hasil Interview• Karyawan menilai Kode Etik perusahaan belum di-update secara teratur• Sebagian karyawan bahkan tidak menyadari adanya kode etik• Kode etik yang ada terbagi-bagi dalam banyak dokumen. Terjadi duplikasi

dalam kode etik.

Survei dan voting• ‘Batam’ dan ‘Medan Staf’ menilai

kurang atribut ini (sekitar 2,5)

• Unsur yang terutama dinilai rendahadalah ‘update kode etik’ (Medanmanajer dan Batam menilai dibawah2,5; Medan staf menilai dibawah 2,0)

• ‘Kelengkapan Materi Kode Etik’ dan‘Pemahaman Pegawai atas Kode Etik’juga merupakan unsur yangmendapat penilaian dibawah 2,5(oleh Medan Staf)

• XXX sudah memiliki kode etik• Perlu dilakukan penyempurnaan terhadap isi dan struktur kode etik• Perlu dilakukan pemutakhiran kode etik secara berkala

29

Control environment

Risk assessment

Control activities

Information and communication

Monitoring

• Preliminary judgement present and functioning karena prinsip lainnya kuat

Perusahaan Publik - Manufacturing

• Prinsip 4 – Menunjukkan komitmen terhadap kompetensi• Terdapat defisiensi terkait tidak adanya program pembelajaran dan pengembangan yang efektif (tidak major)• Manajemen menetapkan (preliminary) bahwa Control Environment present dan functioning

• Prinsip 9 – Mengidentifikasi dan menganalisi perubahan• Terdapat defisiensi personel operation tidak memiliki skill dan kompetensi untuk mengidentifikasi risiko

terkait dengan teknologi baru• Mempertimbangkan bahwa prinsip lain dalam komponen ini cukup kuat, manajemen menetapkan

(preliminary) bahwa prinsip ini present dan functioning

• Prinsip 12 – Menerapkan melalui Kebijakan dan Prosedur• Terdapat defisiensi beberapa pegawai tidak mendapat training yang memadai• Karena prinsip lain cukup kuat, manajemen membuat penilaian preliminary manajemen present and

functioning

• No control deficiency present and functioning

• Prinsip 16 – Melaksanakan evaluasi on going dan tersendiri• Defisiensi pegawai mungkin tidak memahami teknologi baru dan proses bisnis

30

seluruh komponen secara

menyimpulkan bahwa

dan sistem Internal Control

mempengaruhi tujuan

menghasilkan produk yang

toleransinya

menyebabkan pegawai tidak

terhadap perubahan atas

yang baru

Overall assessment

Manajemen melakukan Training yang baik dan

analisis untuk menentukan Manajemen melihat bahwa kompetensi framework tidak

apakah komponen operating beberapa defisiensi terkait ada padahal perusahaan

together in an integrated erat dengan ‘kompetensi’ dituntut menjaga standar

manner kualitas produk yang tinggi

Tidak adanya budaya training Situasi ini berpotensi Dengan

mempertimbangkan

dapat segera menyesuaikan perusahaan untuk bersama-sama,

manajemen

requirement manufacturing berkualitas sesuai batas terdapat Major

Deficiency

tidak efektif.

Menjelaskan Peran dari Control dalam Mewujudkan Principles

• Framework tidak mengharuskan controls yang harus dipilih, dikembangkan,

dan diterapkan untuk mendapatkan internal control yang efektif

• Pemilihan controls untuk mewujudkan principles dan komponen yang

terkait merupakan hasil dari judgment manajemen berdasarkan faktor yang

unique pada organisasi

• Sebuah defisiensi major dalam sebuah komponen atau princples tidak dapatdimitigasi dengan ‘ada’ dan ‘berfungsi’-nya komponen dan

principles lainnya

• Controls dapat mempengaruhi lebih dari satu principles

ada dalam

dapat

principle ini

mempertimbangkan

hasil whistleblower

laporan

kemungkinan yang

diperoleh dari

untuk mengases

untuk mengassess

dimengerti dan

dalam seluruh

Menjelaskan bagaimana berbagai controls mempengaruhi principles

Component Control Environment

Principle 1. Organisasi menunjukkan komitmen terhadap integritas dan nilai- nilai etika

HR mereview Manajemen menerima Internal Audit konfirmasi pegawai dan mereview data dan mengevaluasi Control

Controls yang (aknowledgement) informasi mengenai Environment,

komponen lain apakah Kode Etik telah pelanggaran kode etik perilaku pegawai dan

mewujudkan dijalankan oleh staf whistleblower program program dan membuat

organisasi qualitas informasi

Control Environment Information & Communication Monitoring Activities

Transisi dan Impact

Organisasi didorong untuk sesegera mungkin melakukan penyesuaian aplikasi

dan dokumentasi internal control mengikuti the updated Framework Masa transisi penyesuaian framework adalah May 2013 – 15 Desember 2014

Updated Framework akan menggantikan original Framework pada akhir

masa transisi (15 Desember 2014). Original framework akan ditarik dari

peredaran sejak tanggal tersebut. Selama masa transisi, dalam pelaporan eketernal harus

menyatakan framework mana yang digunakan (versi original atau

updated)

34

Perubahan Penting

Memutakhirkan Konteks:

• Make explicit the need to address fraud risk• Update guidance in emerging areas

Memperluas aplikasi:

• Broader reporting objective• Reiterate that good internal control are appropriate for operations and

compliance objectives

Memperjelas persyaratan:

• Introduces principles approach to evaluating each component of internal control

• Emphasize the relationship between objectives-risks-internal controls• Emphasize the integrated nature of internal control

Recommended Actions

Baca COSO’s updated Framework dan illustrativedocuments

Edukasi Komite Audit, C-suite, operating unit dan

manajemen Kembangkan proses untuk identifikasi, assess,

dan implementasi perubahan yang diperlukan dalam

controls dan dokumentasinya Kembangkan dan terapkan transition plan

sesegera mungkin (target 15 Desember 2014 untuk

external reporting)

36

Peluang bagi Internal Auditor

Leadership – value proposition Komunikasi Active training

Expands aplikasi untuk operation, compliance, dan non-financial Rasionalisasi controls Fraud dan IT Defisiensi Pilot test

Identifikasi perubahan Transition plan

COSO Can Hel ALL Organizations!

28

37

38