COSO 2013:Menerjemahkan Prinsip-Prinsip
Menjadi Tindakan
Hari Setianto, Ak, MSocSc, QIA, CIA,CFE, CCSA, CFSA, CRMP, CGAP, CISA, CRMA
Direktur Akademis YPIA
“The sponsoring organizations should cooperate in developing
additional, integrated guidance on internal control” (The Treadway
Commission Report p. 48)
2010: Fraud Study IIFraudulent FinancialReporting: 1998-2007
-
Timeline1987: Treadway
2004: Enterprise RiskManagement Framework
V//.;~///.:-
Commission Report2009: Guidance onMonitoring InternalControl Systems
1996:Issues
Internal Controlin Derivatives
201020001990 20051995
1999: Fraud Study 1-FraudulentReporting:
Financial1987-1997 2006: Guidance
for SmallerBusinesses on Internal Control over Financial Reporting
1992: Internal Control Integrated Frarnework
2010-2013:RecentERM thought papers oncurrent issues
COSO Overview – Internal Control Publications
1992
2006 2009 2013
4
5
Who is responsible for Internal Controls?Premise COSO
• Risk Management dan InternalControl yang baik diperlukan untuk
mencapai sukses organisasi jangka panjang
• Orang memiliki tanggungjawabuntuk mencapai objectives, juga bertanggungjawab atas kualitas internal control
YOU – semua pegawai adalah risk managers5
COSO Applicability“All public companies should maintain internal controls thatprovide reasonable assurance that fraudulent financial reportingwill be prevented or subject to early detection - this is a broader concept than internal accounting controls” (Treadway Commission report, 1987)
SEC “Management is required to base its assessment of theeffectiveness of the company's internal control over financialreporting on a suitable, recognized control framework establishedby a body of experts that followed due-process procedures,including comment”
the broad distribution of the framework for public
Project timetable
Assess & SurveyStakeholders
Public Exposure,Assess & RefineDesign & Build Finalize
2010 2011 2012 2013
7
Kenapa meng-update Framework yang sudah baik dan diadopsi diseluruh dunia?
OriginalFramew
ork
RefreshObjectiv
es
Enhancements
UpdatedFramew
ork8
COSO’s Internal Control–Integrated Framework (2013 Edition)
Memutakhirkan Konteks Memperluas Aplikasi Memperjelas Persyaratan
Mengartikulasi principles untuk memudahkan
pengembangan internal control yang effective
Memperluas Objectives:
operation dan reporting
Mencerminkan perubahan
dalam lingkungan bisnis
dan operasional
COSO’s Internal Control–Integrated Framework (1992 Edition)
Framework
Update considers changes in business and operating environments
Lingkungan berubah ...… telah mendorong pemutakhiran
Ekspektasi terhadap governance oversight
COSO Cube (2013 Edition)
Globalisasi pasar dan operasi
Perubahan dan kompleksitas dalam business
Demands dan Kompleksitas hukum, peraturan, regulasi, dan standards
Ekspektasi atas kompetensi dan akuntabilitas
Penggunaan, dan ketergantungan pada, teknologiyang terus berkembang
Ekspektasi terhadap pencegahan dan deteksi fraud
sebagai principles
Untuk memudahkan penggunaan dan memperluas penerapan
Apa yang tidak berubah... Apa yang berubah...
• Core definition of internal control • Mempertimbangkan perubahan dalam
• Tiga katagori objectives dan lima lingkungan business dan operating
komponen internal control • Memperluas objectives - operations
• Semua lima komponen diperlukan dan reporting
untuk internal control yang effective • Konsep fundamental yang mendasari
• Pentingnya peran judgment dalam lima komponen diartikulasikan
design, implementasi, dan
menjalankan internal control, dalam • Tambahan pendekatan dan contoh-mengassess efektivitasnya contoh yang relevan dengan tujuan
operations, compliance, dan non- financial reporting
Project deliverable #1 – Internal Control-Integrated Framework
(2013 Edition) Terdiri 3 volume:
Executive Summary Framework and Appendices Illustrative Tools
Menetapkan: Definition of internal control Categories of objectives Components and principles of
internal control
Requirements for effectiveness
Project deliverable #2 – Internal Control over External Financial
Reporting: A Compendium....
• Mengilustrasikan pendekatan
dan contoh-contoh bagaimana
principles diterapkan dalam penyiapan
laporan keuangan
• Mempertimbangkan perubahan dalambusiness dan operating environmentsselama dua decade terakhir
• Memberikan contoh dari berbagai
entitas – public, private, not-for-profit,and government
• Menyelaraskan dengan the updatedFramework
ICEFR - Compendium
2. Melaksanakan tanggungjawab oversight responsibilityControl Environment
Mengartikulasikan principles untuk mencapai internal control yang
efektif
1. Menujukkan komitmen terhadap integritas dan nilai etika
3. Menetapkan struktur, wewenang dan tanggungjawab4. Menujukkan komitmen terhadap kompetensi5. Menekankan akuntabilitas
6. Menetapkan objectives yang tepat
Risk Assessment 7. Identifiikasi dan analisis risk
8. Assess risiko fraud risk9. Identifiikasi dan analisis perubahan yang signifikan
10. Pilih dan kembangkan control activities
Control Activities 11. Pilih dan kembangkan general
controls over technology
12. Terapkan melalui kebijakan dan prosedur
13. Gunakan informasi yang relevantInformation & Communication 14. Komunikasi secara internal
15. Komunikasi secara eksternal
16. Melakukan evaluasi ongoing dan/atau terpisah
Monitoring Activities 17. Mengevaluasi dan mengomunikasikan
defisiensi
Prinsip-prinsip untuk mencapai internal control yang efektif
Control Environment 1. Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika
2. Dewan Pengawas menunjukkan independensi dari
manajemen dan menjalankan „oversight‟ dalampengembangan dan pelaksanaan internal control
3. Manajemen - dengan oversight dari Dewan Pengawas –mengembangkan struktur, garis pelaporan, danwewenang dan tanggungjawab yang sesuai dalam
mencapai tujuan organisasi
4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu-individu yang kompeten selaras dengan pencapaian tujuan
5. Orgnanisasi menetapkan akuntabilitas masing-masing individu terhadap tanggungjawab internal control dalam rangka mencapai tujuan organisasi
sehinggga memungkinan dilakukannya identifikasi dan
Prinsip-prinsip untuk mencapai internal control yang efektif
Risk Assessment 6. Organisasi menetapkan objectives dengan cukup jelas
asesmen risiko terkait dengan objective tersebut.7. Organisasi melakukan identifikasi risiko-risiko dalam
mencapai objectives pada seluruh organisasi dan menganalisisnya untuk menentukan bagaimana risiko- risiko tersebut harus dikelola
8. Organisasi mempertimbangkan kemungkinan terjadinya fraud dalam melakukan asesmen risiko terhadap pencapaian tujuan.
9. Organisasi mengidentifikasi dan mengases perubahan- perubahan yang dapat secara signifikan
mempengaruhi system internal control
Prinsip-prinsip untuk mencapai internal control yang efektif
Control Activities 10. Organisasi memilih dan mengembangkan control activities yang mendukung mitigasi risiko (terhadap pencapaian tujuan) sampai pada
tingkat yang dapat diterima
11. Organisasi memilih dan mengembangkan general control activities pada TI untuk mendukung pencapaian tujuan
12. Organisasi menerapkan control activities melalui kebijakan yang menunjukkan apa yang diharapkan dan melalui prosedur yang menerapkan kebijakan kedalam tindakan.
13. Organisasi mendapatkan (atau memproduksi) danCommunication
Prinsip-prinsip untuk mencapai internal control yang efektif
Information &
menggunakan informasi yang relevan dan berkualitas untuk mendukung jalannya internal control
14. Organisasi mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggungjawab internal control, yang diperlukan untuk mendukung jalannya internal control
15. Organisasi berkomunikasi dengan fihak eksternal mengenai hal-hal yang berkaitan dengan jalannya internal control
Prinsip-prinsip untuk mencapai internal control yang efektif
Monitoring Activities 16. Organisasi memilih, mengembangkan dan melaksanakan evaluasi, yang on-going dan/atau terpisah, untuk memastikan apakah komponen internal control ada dan berjalan.
17. Organisasi mengevaluasi dan mengomunikasikan
defisiensi internal control secara tepat waktu kepada fihak-fihak yang bertanggungjawab
untuk melakukan tindakan koreksi, termasuk Direksi
dan Komisaris.
Menegaskan persyaratan untuk mencapai internal control yang efektif
Effective internal control memberikan reasonable assurance terhadap
tercapainya objectives Effective internal control mensyaratkan bahwa:
Setiap Komponen dan Prinsip-prinsip ada (‘present’) dan berfungsi (‘functioning’)
Kelima komponen bekerja bersama secara terintegrasi (operating together in an integrated
manner)
Setiap principle dapat diterapkan pada semua entitas Komponen dianggap ‘operate together’ jika:
semua komponen ‘present’ dan ‘functioning’, dan
defisiensi internal control yang ada, setelah diagregasikan pada semua komponen, tidak menghasilkan satu atau lebih ‘defisiensi major’
Defisiensi major merupakan satu atau kombinasi defisiensi yang secara serius
mengurangi kemungkinan organisasi dapat mencapai tujuannya
Points of Focus: • Mengevaluasi Ketaatan terhadap Kode Etik
Prinsip dan Point of Focus
Control Environment 1. Organisasi menunjukkan komitmen terhadapintegritas dan nilai-nilai etika
• Menetapkan Tone at the Top• Menetapkan Standards Kode Etik
• Menindaklanjuti pelanggaran
etik secara tepat waktu
• Points of focus bisa saja tidak cocok atau relevan pada organisasi tertentu• Mungkin saja terdapat point of focus diluar yang diberikan• Points of focus akan membantu dalam mendisain, menerapkan, dan
menjalankan internal control• Tidak ada ketentuan untuk membuat asesmen tersendiri apakah points of
focus ada atau tidak
Prinsip #5 - Menetapkan akuntabilitas
Perusahaan Keluarga – Furniture
Prinsip #1 – Menujukkan komitmen terhadap integritas dan etika
• Tidak ada program training yang formal untuk membuat pegawai sadar terhadap pentingnya mematuhi standar perilaku• Tidak memiliki proses untuk mengevaluasi kepatuhan karyawan terhadap kebijakan integritas dan etik• Proses untuk mengidentifikasi dan menyelesaikan penyimpangan sifatnya masih ad hock• Disimpulkan sebagai Major Deficiency sehingga prinsip #1 tidak ‘present’ and ‘functioning’
Prinsip #2 - Melaksanakan tanggungjawab oversight
• Manajemen melakukan risk assessments, tetapi review terhadap assessment oleh Dewan Komisaris tidak didokumentasi secara formal dicatat sebagai internal control deficiency
• Dewan tidak mendokumentasikan secara formal atas review yang dilakukan terhadap rencana remediasi dan kegiatan monitoring dicatat sebagai internal control deficiency
• Dalam analisis awal manajemen menetapkan bahwa internal control deficiency tersebut di atas tidak signifkan dan terkompensasi oleh control lainnya
• Manajemen menyimpulkan prinsip #2 ‘present’ dan ‘functioning’, karena dampak defisiensi tidak besar dan ada compensating control-nya
Prinsip #3 – Menetapkan struktur, kewenangan, dan tanggungjawab
• Struktur oversight dan control tidak dimutakhirkan mengikuti perkembangan perkembangan lingkungan bisnis defisiensi• Manajemen menetapkan bahwa defisiensi tersebut, meskipun penting, bukan merupakan Major Deficiency.
Perubahan lingkungan bisnis hanya mempengaruhi sebagian kecil dari organisasi tersebut• Manajemen menyimpulkan pinsip #3 ‘present’ dan ‘functioning’
Prinsip #4 - Menunjukkan komitmen terhadap kompetensi
• Tidak ada defisiensi present dan functioning
• Bonus untuk direksi dan pimpinan divisi/unit operasi dikaitkan dengan kinerja penjualan. Bonus merupakan bagian besar dari
kompensasi, dan tidak ada analisis mengenai ‘tekanan’ terhadap perilaku manajemen sebagai dampak dari kebijakan ini, dan tidak ada mitigating control
• Manajemen memandang bahwa defisiensi tersebut ‘Major’, sehingga prinsip #5 tidak ‘present’ dan ‘functioning’21
Roll-up:
22• Prinsip #1 – Major Deficiency – not present and functioning
• Prisnip #2 – Deficiency (compensating controls noted) – present and functioning
• Prisnip #3 – Deficiency (compensating controls noted) – present and functioning
• Prisnip #4 – No deficiency – present and functioning
• Prisnip #5 – major deficiency – not present and functioning
• Manajemen menyimpulkan bahwa Komponen #1 – Lingkungan Pengendalian tidak present dan
functioning, karena dua prinsip yang tidak presen dan functioning,
• (Manajemen menyimpulkan bahwa ‘sistem internal control’ tidak efektif)
Point penting:
• Hasil asesmen atas prinsip-prinsip mendukung asesmen terhadap komponen
• Manajemen menggunakan judgment waktu menetapkan sebuah prinsip present dan functioning
meskipun ada defisiensi
• Defisiensi dianalisis signifikansinya pada level prinsip maupun level komponen
• Point of focus dapat ditambah atau disesuaikan untuk menyesuaikan dengan kondisi danlingkungan organisasi
WHAT ABOUT US ?
CONTROL IS BUSINESS, NOT BUREAUCRACY
(Mario Andreotti, Formula 1 champion)
“If everything seems under
control,you just not going fast enough”
0 300 600 900
Before Cardiac Death
He
art
Ra
te (
be
ats
per
min
ute
)
0 300 600 900 0 300 600
A Healthy System?
140 140
130 130
120 120
110 110
100 100
90 90
80 80
70 70
60 60
Time (seconds) Time (seconds)
Heart Eight Days Healthy Heart
Skala Penilaian
tindakan
Nilai 1.00 – 1.99 2.00 – 2.49 2.50 – 2.99 3.00 – 4 .00
Legend warna
AtributTidak dapat diterima
Tidak Memadai Kurang memadai Dapat diterima
ResponPerlu projekkhusus
Perlu perbaikansegera
Perlu perbaikan Tidak perlu
Integritas dan(Voting)
Etika
350
3,@0
250
2,00
1,50
1,@1'J
0..50 ·Pe~kanbaru
r'V1e d an St;af
·r'!,i'led~n rV.l a.n..~Je" :F'
Kode Etik XXX
untuk beberapa prinsip, namun juga ada beberapa prinsip yang tidak diatur
• Menekankan pada prinsip-prinsip utama
Kesi
mpu
lan
Rekomendasi• Menyatukan kode etik dalam dokumen yang terintegrasi,
• Melengkapi dengan prinsip-prinsip penting yang belum termuat• Melakukan update kode etik secara berkala
Hasil Interview• Karyawan menilai Kode Etik perusahaan belum di-update secara teratur• Sebagian karyawan bahkan tidak menyadari adanya kode etik• Kode etik yang ada terbagi-bagi dalam banyak dokumen. Terjadi duplikasi
dalam kode etik.
Survei dan voting• ‘Batam’ dan ‘Medan Staf’ menilai
kurang atribut ini (sekitar 2,5)
• Unsur yang terutama dinilai rendahadalah ‘update kode etik’ (Medanmanajer dan Batam menilai dibawah2,5; Medan staf menilai dibawah 2,0)
• ‘Kelengkapan Materi Kode Etik’ dan‘Pemahaman Pegawai atas Kode Etik’juga merupakan unsur yangmendapat penilaian dibawah 2,5(oleh Medan Staf)
• XXX sudah memiliki kode etik• Perlu dilakukan penyempurnaan terhadap isi dan struktur kode etik• Perlu dilakukan pemutakhiran kode etik secara berkala
29
Control environment
Risk assessment
Control activities
Information and communication
Monitoring
• Preliminary judgement present and functioning karena prinsip lainnya kuat
Perusahaan Publik - Manufacturing
• Prinsip 4 – Menunjukkan komitmen terhadap kompetensi• Terdapat defisiensi terkait tidak adanya program pembelajaran dan pengembangan yang efektif (tidak major)• Manajemen menetapkan (preliminary) bahwa Control Environment present dan functioning
• Prinsip 9 – Mengidentifikasi dan menganalisi perubahan• Terdapat defisiensi personel operation tidak memiliki skill dan kompetensi untuk mengidentifikasi risiko
terkait dengan teknologi baru• Mempertimbangkan bahwa prinsip lain dalam komponen ini cukup kuat, manajemen menetapkan
(preliminary) bahwa prinsip ini present dan functioning
• Prinsip 12 – Menerapkan melalui Kebijakan dan Prosedur• Terdapat defisiensi beberapa pegawai tidak mendapat training yang memadai• Karena prinsip lain cukup kuat, manajemen membuat penilaian preliminary manajemen present and
functioning
• No control deficiency present and functioning
• Prinsip 16 – Melaksanakan evaluasi on going dan tersendiri• Defisiensi pegawai mungkin tidak memahami teknologi baru dan proses bisnis
30
seluruh komponen secara
menyimpulkan bahwa
dan sistem Internal Control
mempengaruhi tujuan
menghasilkan produk yang
toleransinya
menyebabkan pegawai tidak
terhadap perubahan atas
yang baru
Overall assessment
Manajemen melakukan Training yang baik dan
analisis untuk menentukan Manajemen melihat bahwa kompetensi framework tidak
apakah komponen operating beberapa defisiensi terkait ada padahal perusahaan
together in an integrated erat dengan ‘kompetensi’ dituntut menjaga standar
manner kualitas produk yang tinggi
Tidak adanya budaya training Situasi ini berpotensi Dengan
mempertimbangkan
dapat segera menyesuaikan perusahaan untuk bersama-sama,
manajemen
requirement manufacturing berkualitas sesuai batas terdapat Major
Deficiency
tidak efektif.
Menjelaskan Peran dari Control dalam Mewujudkan Principles
• Framework tidak mengharuskan controls yang harus dipilih, dikembangkan,
dan diterapkan untuk mendapatkan internal control yang efektif
• Pemilihan controls untuk mewujudkan principles dan komponen yang
terkait merupakan hasil dari judgment manajemen berdasarkan faktor yang
unique pada organisasi
• Sebuah defisiensi major dalam sebuah komponen atau princples tidak dapatdimitigasi dengan ‘ada’ dan ‘berfungsi’-nya komponen dan
principles lainnya
• Controls dapat mempengaruhi lebih dari satu principles
ada dalam
dapat
principle ini
mempertimbangkan
hasil whistleblower
laporan
kemungkinan yang
diperoleh dari
untuk mengases
untuk mengassess
dimengerti dan
dalam seluruh
Menjelaskan bagaimana berbagai controls mempengaruhi principles
Component Control Environment
Principle 1. Organisasi menunjukkan komitmen terhadap integritas dan nilai- nilai etika
HR mereview Manajemen menerima Internal Audit konfirmasi pegawai dan mereview data dan mengevaluasi Control
Controls yang (aknowledgement) informasi mengenai Environment,
komponen lain apakah Kode Etik telah pelanggaran kode etik perilaku pegawai dan
mewujudkan dijalankan oleh staf whistleblower program program dan membuat
organisasi qualitas informasi
Control Environment Information & Communication Monitoring Activities
Transisi dan Impact
Organisasi didorong untuk sesegera mungkin melakukan penyesuaian aplikasi
dan dokumentasi internal control mengikuti the updated Framework Masa transisi penyesuaian framework adalah May 2013 – 15 Desember 2014
Updated Framework akan menggantikan original Framework pada akhir
masa transisi (15 Desember 2014). Original framework akan ditarik dari
peredaran sejak tanggal tersebut. Selama masa transisi, dalam pelaporan eketernal harus
menyatakan framework mana yang digunakan (versi original atau
updated)
34
Perubahan Penting
Memutakhirkan Konteks:
• Make explicit the need to address fraud risk• Update guidance in emerging areas
Memperluas aplikasi:
• Broader reporting objective• Reiterate that good internal control are appropriate for operations and
compliance objectives
Memperjelas persyaratan:
• Introduces principles approach to evaluating each component of internal control
• Emphasize the relationship between objectives-risks-internal controls• Emphasize the integrated nature of internal control
Recommended Actions
Baca COSO’s updated Framework dan illustrativedocuments
Edukasi Komite Audit, C-suite, operating unit dan
manajemen Kembangkan proses untuk identifikasi, assess,
dan implementasi perubahan yang diperlukan dalam
controls dan dokumentasinya Kembangkan dan terapkan transition plan
sesegera mungkin (target 15 Desember 2014 untuk
external reporting)
36
Peluang bagi Internal Auditor
Leadership – value proposition Komunikasi Active training
Expands aplikasi untuk operation, compliance, dan non-financial Rasionalisasi controls Fraud dan IT Defisiensi Pilot test
Identifikasi perubahan Transition plan
COSO Can Hel ALL Organizations!
28
37
38