Pertemuan 3 - RMK SPI

download Pertemuan 3 - RMK SPI

If you can't read please download the document

description

test

Transcript of Pertemuan 3 - RMK SPI

9COSO(Committee of Sponsoring Organizations of the Treadway Commission)Committee of Sponsoring Organizations of the Treadway Commission, atau disingkatCOSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapanlaporan keuangandan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilaisistem pengendalianmereka. Didedikasikan untuk menyediakan kepemimpinan pemikiran kepada manajemen eksekutif dan badan pemerintahan pada aspek penting dari tata kelola organisasi,etika bisnis, pengendalian internal, perusahaanmanajemen risiko,penipuan, danpelaporan keuanganCOSO disponsori dan didanai oleh 5asosiasidanlembagaakuntansiprofessional, Yaitu :American Institute of Certified Public Accountants(AICPA)American Accounting Association(AAA)Financial Executives Institute(FEI)The Institute of Internal Auditors(IIA)The Institute of Management Accountants(IMA)Tujuan COSO adalah menyediakan kepemimpinan pemikiran berurusan dengan tiga mata pelajaran yang saling terkait: manajemen risiko perusahaan (ERM), kontrol internal, dan pencegahan penipuan.Mengenai ERM, pada tahun 2004 diterbitkan COSOEnterprise Risk Management - Kerangka Terpadu.COSO juga telah menerbitkan makalah pemikiran beberapa dimulai tahun 2009 yang berkaitan dengan ERM. Mengenai pengendalian internal, pada tahun 1992 diterbitkan COSOInternal Control - Kerangka Terpadu.Kemudian, pada tahun 1996 COSO mengeluarkan Isu Pengendalian Internal dalam Penggunaan Derivatif.Pada tahun 2006 diterbitkan COSOPengendalian Internal atas Pelaporan Keuangan - Pedoman untuk Perusahaan Publik yang lebih kecil,diikuti denganPedoman Pemantauan Sistem Pengendalian Internalyang diterbitkan tahun 2009.Pada akhir 2010, COSO mengumumkan sebuah proyek untuk memperbarui 1992Pengendalian Internal - Kerangka Terpadu.Akhirnya, di bidang pencegahan penipuan, COSO telah menerbitkan dua studi penelitian.Penelitian pertama dirilis pada tahun 1999 berjudulPelaporan Keuangan Penipuan: 1987-1997.Sebuah studi lanjutan yang disebutPelaporan Keuangan Penipuan: 1998-2007dirilis pada 2010.Internal Control Intergrated FrameworkCOSO mendefinisikan pengendalian internal sebagai proses yang dipengaruhi oleh entitas dewan direksi, manajemen dan personil lainnya yang dirancang untuk memberikan keyakinan yang memadai tentang pencapaian tujuan, mengenai :Efektivitas dan efisiensi operasiKeandalan pelaporan keuanganKepatuhan terhadap hukum dan peraturan yang berlakuKerangka COSO melibatkan beberapa konsep kunci:Pengendalian internaladalah suatuproses.Ini adalah alat untuk mencapai tujuan, bukan tujuan itu sendiri.Pengendalian internal dipengaruhi olehorang.Ini bukan hanya kebijakan, manual, dan bentuk, tetapi orang di setiap tingkat organisasi.Pengendalian internal dapat diharapkan untuk menyediakan hanyakeyakinan memadai, bukan keyakinan absolut, kepada manajemen entitas dan dewan.Pengendalian internal adalah diarahkan untuk pencapaiantujuandalam satu atau lebih kategori terpisah tetapi tumpang tindih.Lima Komponen KerangkaKerangka COSO pengendalian internal terdiri dari lima komponen yang saling terkait yang berasal dari cara manajemen menjalankan bisnis.Menurut COSO, komponen ini menyediakan kerangka kerja yang efektif untuk menggambarkan dan menganalisis sistem pengendalian intern diimplementasikan dalam sebuah organisasiseperti yang dipersyaratkan oleh peraturan keuanganKelima komponen adalah sebagai berikut: Pengendalian LingkunganRisiko PenilaianAktivitas PengendalianInformasi dan Komunikasi PemantauanPengendalian LingkunganLingkungan pengendalian menetapkan nada dari suatu organisasi, mempengaruhi kesadaran pengendalian rakyatnya.Ini adalah dasar untuk semua komponen pengendalian internal yang lain, menyediakan disiplin dan struktur.Kontrol faktor lingkungan meliputi integritas, nilai-nilai etika dan kompetensi orang entitas; filosofi manajemen dan gaya operasi, cara manajemen memberikan wewenang dan tanggung jawab, dan mengatur dan mengembangkan orang-orangnya, dan perhatian dan arah yang diberikan oleh dewan direksi.Penilaian RisikoSetiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal yang harus dinilai.Sebuah prasyarat untuk penilaian risiko adalah pembentukan tujuan, terkait pada tingkat yang berbeda dan internal konsisten.Penilaian risiko adalah identifikasi dan analisis risiko yang relevan dengan pencapaian tujuan, membentuk dasar untuk menentukan bagaimana resiko harus dikelola.Karena ekonomi, industri, kondisi peraturan dan operasi akan terus berubah, mekanisme yang diperlukan untuk mengidentifikasi dan menghadapi risiko khusus yang terkait dengan berubah.Kegiatan PengendalianAktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan arahan manajemen dilakukan.Mereka membantu memastikan bahwa tindakan perlu diambil untuk mengatasi risiko terhadap prestasi tujuan entitas.Kegiatan pengendalian terjadi di seluruh organisasi, pada semua tingkat dan dalam semua fungsi.Mereka termasuk berbagai kegiatan yang beragam seperti persetujuan, otorisasi, verifikasi, rekonsiliasi, review kinerja operasi, keamanan aset dan pemisahan tugas.Informasi dan KomunikasiInformasi terkait harus diidentifikasi, ditangkap dan dikomunikasikan dalam bentuk dan jangka waktu yang memungkinkan orang untuk melaksanakan tanggung jawab mereka.Sistem informasi menghasilkan laporan, mengandung operasional, informasi keuangan dan kepatuhan yang terkait, yang memungkinkan untuk menjalankan dan mengendalikan bisnis.Mereka tidak hanya berurusan dengan data internal, tetapi juga informasi tentang kejadian eksternal, kegiatan dan kondisi yang diperlukan untuk bisnis informasi pengambilan keputusan dan eksternal pelaporan.Komunikasi yang efektif juga harus terjadi dalam arti luas, mengalir bawah, menemukan dan sampai organisasi.Semua personil harus menerima pesan yang jelas dari atas manajemen bahwa tanggung jawab kontrol harus dianggap serius.Mereka harus memahami mereka sendiri peran dalam sistem pengendalian internal, serta bagaimana kegiatan individu berhubungan dengan pekerjaan orang lain.Mereka harus memiliki sarana untuk mengkomunikasikan informasi penting hulu.Ada juga kebutuhan untuk menjadi komunikasi yang efektif dengan pihak luar, seperti pelanggan, pemasok, regulator dan pemegang saham.PemantauanSistem pengendalian internal perlu dipantau - sebuah proses yang menilai kualitas sistem kinerja dari waktu ke waktu.Hal ini dilakukan melalui kegiatan pemantauan, evaluasi terpisah atau kombinasi dari keduanya.Pemantauan terjadi dalam perjalanan dari operasi.Ini mencakup manajemen rutin dan kegiatan pengawasan, dan tindakan lainnya personil mengambil dalam melaksanakan tugasnya.Ruang lingkup dan frekuensi evaluasi terpisah akan sangat tergantung pada penilaian risiko dan efektivitas pemantauan prosedur.Keterbatasan (Limitations)Pengendalian internal melibatkan tindakan manusia, yang memperkenalkan kemungkinan kesalahan dalam pemrosesan atau penilaian.Pengendalian internal juga dapat diganti oleh kolusi antara karyawan (lihatpemisahan tugas) atau paksaan oleh manajemen puncak.CFOmajalah melaporkan bahwa perusahaan sedang berjuang untuk menerapkan model kompleks yang disediakan oleh COSO."Salah satu masalah terbesar: membatasi audit internal untuk salah satu dari tiga tujuan utama dari framework.Dalam model COSO, tujuan tersebut diterapkan pada lima komponen kunci (pemantauan, informasi dan komunikasi, aktivitas pengendalian, penilaian risiko, dan pengawasan).Mengingat jumlah matriks mungkin, tidaklah mengejutkan bahwa jumlah audit bisa keluar dari tangan. majalah CFO melanjutkan dengan menyatakan bahwa banyak organisasi yang menciptakan mereka sendiri risiko-dan-kontrol matriks dengan mengambil model COSO dan mengubah itu untuk fokus pada komponen yang berhubungan langsung dengan Pasal 404 dari Sarbanes-Oxley Act.Enterprise Risk Management Intergrated FrameworkPada tahun 2001, COSO memulai sebuah proyek, dan terlibatPricewaterhouseCoopers, untuk mengembangkan kerangka kerja yang akan mudah digunakan oleh manajemen untuk mengevaluasi dan meningkatkan manajemen risiko perusahaan organisasi mereka.Skandal bisnis profil tinggi dan kegagalan (misalnyaEnron,Tyco International,Adelphia,Peregrine SystemsdanWorldCom) menyebabkan panggilan untuk tata kelola perusahaan ditingkatkan dan manajemen risiko.Akibatnyatindakan Sarbanes-Oxleydiundangkan.Hukum ini meluas persyaratan lama untuk perusahaan publik untuk memelihara sistem pengendalian internal, membutuhkan manajemen untuk mensertifikasi dan auditor independen untuk membuktikan efektivitas sistem tersebut.TheInternal Control - Integrated Framework tetap menjadi standar luas diterima untuk memenuhi persyaratan pelaporan. Namun, pada tahun 2004 diterbitkan COSOEnterprise Risk Management Integrated Framework. COSO percaya kerangka ini memperluas pengendalian intern, menyediakan lebih kuat dan luas fokus pada subjek yang lebih luas dari manajemen risiko perusahaan.Kerangka kerja sekarang termasuk empat kategori:Strategis: tingkat tinggi tujuan, sejalan dengan dan mendukung misinyaOperasi: penggunaan efektif dan efisien dari sumber dayaPelaporan: keandalan pelaporanKepatuhan: kepatuhan terhadap hukum dan peraturan yang berlakuDelapan komponen kerangkaDelapan komponen manajemen risiko perusahaan mencakup lima komponen sebelumnya dari Kerangka Control-Integrated internal sementara memperluas model untuk memenuhi permintaan untuk manajemen risiko:PemantauanInformasi dan KomunikasiPengendalian KegiatanRespon RisikoPenilaian RisikoIdentifikasi PeristiwaPengaturan TujuanLingkungan InternalLingkungan internalLingkungan internal yang meliputi nada organisasi, dan menetapkan dasar untuk bagaimana risiko dipandang dan ditangani oleh orang-orang entitas, termasuk filosofi manajemen risiko, dan resiko, integritas dan nilai etika, dan lingkungan di mana mereka beroperasi.Pengaturan TujuanTujuan harus ada sebelum manajemen dapat mengidentifikasi peristiwa potensial yang mempengaruhi prestasi mereka.Manajemen risiko perusahaan memastikan bahwa manajemen telah di tempat proses untuk menetapkan tujuan dan bahwa tujuan yang dipilih mendukung dan selaras dengan misi entitas dan konsisten dengan selera risikonya.Identifikasi PeristiwaPeristiwa internal dan eksternal yang mempengaruhi pencapaian tujuan entitas harus diidentifikasi, membedakan antara risiko dan peluang.Peluang disalurkan kembali ke strategi manajemen atau tujuan-pengaturan proses.Penilaian resikoResiko dianalisis, mengingat kemungkinan dan dampak, sebagai dasar untuk menentukan bagaimana mereka harus dikelola.Resiko ditaksir pada melekat dan secara sisa.Respon RisikoManajemen memilih respon risiko - menghindari, menerima, mengurangi, atau berbagi risiko - mengembangkan serangkaian tindakan untuk menyelaraskan risiko dengan toleransi risiko entitas dan resiko.Pengendalian kegiatanKebijakan dan prosedur ditetapkan dan dilaksanakan untuk membantu memastikan tanggapan risiko secara efektif dilaksanakan.Informasi dan komunikasiInformasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam kerangka bentuk dan waktu yang memungkinkan orang untuk melaksanakan tanggung jawab mereka.Komunikasi yang efektif juga terjadi dalam arti luas, mengalir ke bawah, di, dan sampai entitas.MonitoringKeseluruhan manajemen risiko perusahaan dimonitor dan modifikasi seperlunya.Pemantauan dilakukan melalui aktivitas manajemen yang berkelanjutan, evaluasi terpisah, atau keduanya.COSO percayaEnterprise Risk Manajemen - Integrated Framework menyediakan keterkaitan yang jelas antara komponen manajemen risiko sebuah organisasi dan tujuan yang akan mengisi kebutuhan untuk memenuhi undang - undang baru, peraturan, dan standar pencatatan dan mengharapkan akan menjadi diterima secara luas oleh perusahaan dan organisasi lain dan pihak yang berkepentingan.Keterbatasan (Limitations)COSO mengakui dalam laporan mereka bahwa sementara manajemen risiko perusahaan memberikan manfaat penting, ada keterbatasannya.Manajemen risiko perusahaan tergantung pada penilaian manusia dan karena itu rentan terhadap pengambilan keputusan.Kegagalan manusia seperti kesalahan sederhana atau kesalahan dapat menyebabkan respon yang tidak memadai untuk risiko.Selain itu, kontrol dapat dielakkan dengan kolusi dari dua atau lebih orang, dan manajemen memiliki kemampuan untuk mengesampingkan keputusan manajemen risiko.Keterbatasan ini menghalangi papan dan manajemen dari memiliki jaminan mutlak untuk pencapaian tujuan entitas.Meskipun COSO mengklaim model yang diperluas mereka lebih menyediakan manajemen risiko, perusahaan tidak diharuskan untuk beralih ke model baru jika mereka menggunakan Internal Control-Integrated Framework.COBIT (control Objective for Information and Related Technology)COBIT (control Objective for Information and Related Technology) menggabungkan standar-standar pengendalian dari banyak sumber berbeda ke dalam sebuah kerangka tunggal yang memungkinkan (1) manajemen untuk membuat tolok ukur praktik-praktik keamanan dan pengendalian lingkungan TI; (2) para pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian yang memadai; dan (3) para auditor memperkuat opini pengendalian internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan. Prinsip-prinsip berikut ini memungkinkan dalam membantu organisasi membangun sebuah tata kelola yang efektif dan kerangka manajemen yang melindungi investasi pemangku kepentingan dan menghasilkan sistem informasi terbaik. Memenuhi keperluan pemangku kepentingan Mencakup perusahaan dari ujung ke ujung Mengajukan sebuah kerangka terintegrasi dan tunggalMemungkinkan pendekatan holisticMemisahkan tata kelola dari manajemen. COBIT 5 adalah sebuah kerangka komprehensif yang membantu perusahaan mencapai tujuan tata kelola dan menajemen TI mereka. Kelengkapan ini adalah salah satu kekuatan COBIT 5 dan menekankan pada penerimaan internasional yang berkembang sebagai sebuah kerangka untuk mengelola serta mengendalikan sistem informasi. Model COBIT 5 tentang referensi proses mengidentifikasi lima proses tata kelola (merujuk pada mengevaluasi, mengarahkan, mengawasi,-evaluate, direct, dan monitor- atau EDM) dan 32 proses manajemen. 32 proses manajemen dibagi ke dalam empat domain sebagai berikut.Menyelaraskan, merencanakan, dan mengatur (align,palan,dan organize APO)Membangun, mengakuisisi,menerapkan (buil, acquire, dan implement BAI)Mengantar, melayani, mendukung (deliver,service, dan support DSS) Mengawasi, mengevaluasi, menilai (monitor, evaluate, dan assess MEA)