SIstem Informasi dan Pengendalian Internal Desain COSO ILC TLC dan ICOFR Disusun Oleh Hariz Abdul Najib (55517110006) Dosen Pengampu Prof Dr. Ir. Hapzi Ali, MM, CMA Universitas Mercu Buana Jakarta 2017

1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
DESAIN COSO, ILC, TLC DAN ICOFR
Disusun Oleh :
Hariz Abdul Najib (55517110006)
Dosen Pengampu :
Prof. Dr. Ir. Hapzi Ali, MM, CMA
UNIVERSITAS MERCU BUANA
JAKARTA
2017

2. Pengendalian Internal atas Pelaporan Keuangan (Internal Control over Financial Reporting — ICOFR)
merupakan suatu proses yang dirancang dan dilaksanakan oleh manajemen perusahaan dalam rangka
mencapai keandalan laporan keuangan, efisiensi, dan efektivitas operasi, serta kepatuhan terhadap
peraturan yang berlaku untuk memberikan keyakinan yang memadai. Pelaksanaan ICOFR ini diatur di
dalam SOX Section 404 yang berjudul “Management Assessment of Internal Control”. Section ini
mengatur bahwasannya manajemen dari perusahaan yang terdaftar di pasar modal Amerika Serikat
(NYSE) wajib melakukan pelaporan atas efektivitas ICOFR serta wajib menyertakan atestasi auditor
pula atas efektivitas ICOFR-nya.
ICOFR bertujuan untuk memastikan pencatatan yang terperinci, akurat, dan wajar atas transaksi dan
pengelolaan transaksi perusahaan. Tujuan ini selanjutnya akan memberikan keyakinan yang memadai
bahwa transaksi telah dicatat dengan benar dengan prinsip akuntansi yang berlaku umum serta
keyakinan yang memadai akan upaya pencegahan atau identifikasi perolehan, penggunaan, atau
pengelolaan aset perusahaan tanpa otorisasi yang berdampak material atas pelaporan keuangan.
Di Indonesia, hal lain yang menyebabkan mengapa perlu ICoFR adalah sebagai berikut:
1. Peraturan BPK RI no 1 tahun 2007, PSP 03 telah mengatur standar pelaporan pemeriksaan
keuangan, yang berkaitan pelaporan terhadap pengendalian internal, sehinga efektivitas atas internal
control pelaporan keuangan menjadi suatu keharusan bagi perusahaan
2. Untuk dapat mencegah kemungkinan adanya fraud
3. Adanya konvergensi IFRS, menyebabkan perlunya pengembangan internal control ini, karena
kebijakan akuntansi dan control, pengungkapan prosedur menjadi dasar pembuatan rancangan risiko
dan kontrol yang menyeluruh yang menggambarkan bagaimana setiap hambatan dimitigasi,
diotorisasi, dicatat, diproses, dan dilaporkan dalam laporan keuangan.
Sudah terdapat beberapa perusahaan yang melaksanakan ICOFR di Indonesia, yaitu PT Telkom yang
telah terdaftar di NYSE. Sebagai perusahaan yang tercatat di NYSE, PT Telkom mematuhi ketentuan
SOA (Sarbanes Oxley Act) Bab 302 dan Bab 404 mengenai pengendalian internal atas pelaporan
keuangan atau Internal Control Over Financial Reporting (ICOFR) dan pengendalian dan prosedur
pengungkapan.
UU Sarbanes Oxley Section 302 (Disclosures Controls and Procedures)
Bostelman (2005:12–14) dan TELKOM presentation to HCGA (2007:5) menyatakan bahwa Sarbanes
Oxley Act Section 302 berisi kewajiban:
a. Sertifikasi terhadap laporan keuangan triwulanan oleh CEO dan CFO.
b. CEO dan CFO melakukan sertifikasi kelengkapan dan keakuratan laporan yang diserahkan kepada
US SEC.
c. CEO dan CFO melakukan sertifikasi terhadap efektivitas internal control.
Menurut Bostelman (2005:14), “Disclosure Controls and Procedures is defined under SEC rules as
controls and other procedures of public company that are designed to ensure that both non-financial
and financial information required to be disclosed by the company in its periodic reports is recorded,
processed, summarized, and reported in a timely fashion.”

3. Berdasarkan definisi dari SEC, cakupan disclosure controls and procedures tidak terbatas pada
pengendalian internal atas pelaporan keuangan, tetapi juga pengendalian untuk memberikan
keyakinan atas kepatuhan (compliance) terhadap persyaratan SEC. Definisi dengan maksud yang sama
juga dinyatakan oleh PT Telkom secara terperinci.
Menurut definisi yang dinyatakan oleh PT Telkom pada Keputusan Direksi No: KD76/PW000/PRO-
IIC/2006 tanggal 22 Desember 2006, “Disclosure Controls and Procedures (pengendalian dan prosedur
pengungkapan) adalah pengendalian dan prosedur yang dirancang dan dijalankan untuk memberikan
keyakinan yang memadai bahwa semua informasi keuangan dan non-keuangan yang wajib
diungkapkan dalam laporan perusahaan yang disampaikan atau diserahkan ke Otoritas Pasar Modal
(stock exchange) telah dikumpulkan, diperiksa, dicatat, diproses, diikhtisarkan dan disampaikan secara
tepat waktu, akurat dan dapat diandalkan sesuai dengan tenggang waktu yang telah ditetapkan di
dalam peraturan Otoritas Pasar Modal.”
UU Sarbanes Oxley Section 404 (Internal Control Attest)
Bostelman (2005:15–16) dan TELKOM presentation to HCGA (2007:5) menyatakan bahwa Sarbanes
Oxley Act Section 404 berisi:
a. Tanggung jawab manajemen terhadap internal controls over financial reporting (ICOFR).
b. Atestasi manajemen terhadap efektifitas internal control over financial reporting (ICOFR)
berdasarkan pengujian yang dilakukan.
c. Auditor harus melakukan atestasi dan melaporkan evaluasi atas laporan manajemen.
Menurut Bostelman (2005:31), “Internal control over financial reporting is a process designed to
provide reasonable assurance regarding the reliability of financial reporting and the preparation of
financial statements for external purposes in accordance with generally accepted accounting
principles.”
Bostelman (2005:15) menyatakan bahwa proses pengendalian internal atas pelaporan keuangan
(internal controls over financial reporting) harus mencakup tiga elemen, yaitu:
a. Pemeliharaan dokumentasi yang akurat, wajar, dan dalam rincian yang memadai yang
mencerminkan transaksi dan disposisi asset.
b. Keyakinan yang memadai atas pencatatan transaksi sesuai dengan prinsip akuntansi secara umum.
c. Keyakinan yang memadai terhadap tindakan prevention atau detection pada hak akuisisi,
penggunaan, atau disposisi asset perusahaan.
TELKOM presentation to HCGA (2007:16) menyebutkan bahwa internal control perusahaan
dilaksanakan pada beberapa level kontrol, yaitu:
a) Entity level control
Soft control, pengendalian yang dilakukan oleh top manajemen, seperti: komitmen dari pimpinan
puncak, etika bisnis, dan corporate governance.
b) Transactional level control
Hard control/physical control, pengendalian di dalam proses dan sistem untuk mengawali, mencatat,
melaksanakan, dan melaporkan transaksi yang telah dilakukan. Dengan kata lain, pengendalian
internal level transaksional melibatkan serangkaian aktivitas yang secara umum bertujuan untuk

4. memastikan bahwa seluruh akun signifikanbeserta risiko dan pengendalian terkait telah diidentifikasi,
dilaksanakan, dan diuji secara memadai sehingga efektivitasnya dapat terukur.
c) IT General control
Pengendalian atas aplikasi dan sistem pemeliharaan software dan keamanan akses dalam program
aplikasi dan data perusahaan, yang disesuaikan dengan peran dan tanggung jawab karyawan.
Apa yang saudara ketahui tentang 3 point di bawah ini dan kaitannya dengan Internal control over
financial reporting: implementasi dan desain ICoFR :
1. COSO Integrated Framework.
2. Entity level control (ELC) and transactional level control (TLC).
3. Siklus dalam desain dan implementasi ICoFR
3 point di bawah ini dan kaitannya dengan Internal control over financial reporting: implementasi dan
desain ICoFR:
1.COSO Integrated Framework
Sistem pengendalian intern yang dianut pemerintah Indonesia salah satunya diadopsi dari COSO
(Commitee of Sponsoring Organization of Treadway Commision) yaitu komisi yang bergerak di bidang
manajemen organisasi. Tujuan dari Sistem Pengendalian Intern secara umum akan membantu suatu
organisasi mencapai tujuan operasional yaitu efektifitas dan efisiensi kegiatan, keterandalan laporan
keuangan, dan kepatuhan pada peraturan yang berlaku. Sistem Pengendaian Intern perlu diketahui
oleh seluruh komponen organisasi karena sistem ini merupakan sistem yang terintegrasi dan
merupakan tanggung jawab bersama untuk mewujudkan tujuan organisasi.
Kerangka Pengendalian Internal-Terpadu COSO 2013 diterbitkan pada tahun 1992 oleh COSO.
Kemudian pada tanggal 14 Mei 2013, COSO merilis versi terbaru dari Kerangka Pengendalian Internal-
Terpadu. Kerangka baru COSO adalah hasil dari proyek multitahunan yang signifikan, termasuk dua
putaran paparan publik untuk meninjau, menyegarkan, dan memodernisasi kerangka asli dengan
memastikannya tetap relevan.
Para regulator dan stakeholder mempunyai ekspektasi tinggi mengenai pengawasan tata kelola,
manajemen risiko, dan pendeteksian serta pencegahan penyelewengan (fraud). Sementara kemajuan
telah dibuat dalam menghubungkan manajemen risiko dan praktik pengendalian internal dalam
mengejar tujuan strategis organisasi. Banyak perubahan sejak tahun 1992, peningkatan risiko bisnis
secara signifikan, sehingga kebutuhan akan kompetensi dan akuntabilitas jauh lebih besar dari
sebelumnya. Perbedaan dari kerangka tahun 1992 :
· Kerangka asli termasuk diskusi panjang konsep pengendalian internal, yang sekarang pengetahuan
institusional.
· Meskipun konsep prinsip-prinsip pengendalian internal telah tertanam dalam kerangka asli, prinsip
tersebut belum terinci.
· Praktisi telah menggunakan kerangka pengendalian internal atas pelaporan keuangan eksternal,
namun kerangka ini meliputi tiga kategori utama, yaitu : tujuan termasuk operasi, pelaporan secara
keseluruhan, dan tujuan kepatuhan.
Dengan demikian, prinsip-prinsip yang mendasari perampingan kerangka asli yaitu:

5. 1. meningkatkan fokus pada operasi,
2. pelaporan keuangan noneksternal, dan
3. tujuan kepatuhan.
Menurut COSO, “Pengendalian internal adalah suatu proses yang dilakukan oleh dewan entitas direksi,
manajemen, dan personil lainnya; dirancang untuk memberikan keyakinan memadai tentang
pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan.”
Kerangka pengendalian internal tahun 2013 masih menggunakan tiga kategori tujuan tersebut, dan
terdiri dari lima komponen terpadu : lingkungan pengendalian, penilaian risiko, aktivitas
pengendalian, informasi dan komunikasi, serta pemantauan. Kerangka tersebut terus beradaptasi,
dan memungkinkan kita untuk mempertimbangkan pengendalian internal dari entitas, divisi, unit
operasi, dan/atau tingkat fungsional, misalnya pusat layanan bersama.
Komponen Pengendalian Internal dalam Kerangka COSO 2013
Ada 17 prinsip-prinsip pengendalian internal dalam komponen pengendalian internal, yaitu:
Lingkungan Pengendalian
Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan dalam suatu organisasi yang
akan mempengaruhi efektivitas pengendalian. Kondisi lingkungan kerja dipengaruhi oleh beberapa
hal, yaitu adanya penegakan integritas dan etika seluruh anggota organisasi, omitmen pimpinan
manajemen atas kometensi, kepemimpinan manajemen yang kondusif, pembentukan struktur
organisasi yang sesuai dengan kebutuhan, pendelegasian wewenang dan tanggung jawab yang tepat,
penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya manusia,
perwujudan peran aparat pengawasan yang efektif, dan hubungan kerja yang baik dengan pihak
ekstern.
1. Menunjukkan komitmen terhadap integritas dan etika nilai-nilai.
2. Tanggung jawab pengawasan pelatihan.
3. Menetapkan struktur, wewenang, dan tanggung jawab.
4. Menunjukkan komitmen untuk berkompetensi
5. Meningkatkan akuntabilitas
Penilaian Risiko
Risiko merupakan hal-hal yang berpotensi menghambat tercapainya tujuan. Identifikasi terhadap
risiko (risk identification) diperlukan untuk mengetahui potensi-potensi kejadian yang dapat
menghambat dan menghalangi terwujudnya tujuan organisasi. Setelah dilakukan identifikasi maka
dilakukan analisis terhadap risiko meliputi analisis secara kuantitatif (quantitative risk analysis) dan
kualitatif (qualitative risk analysis). Analisis risiko akan menentukan dampak kejadian, serta
merupakan input untuk mendapatkan cara mengelola risiko tersebut.
· Menentukan tujuan yang sesuai.
· Mengidentifikasi dan menganalisis risiko.
· Menilai risiko penyelewengan (fraud)

6. · Mengidentifikasi dan menganalisis perubahan yang signifikan.
Aktivitas Pengendalian
Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko, menetapkan dan
melaksanakan kebijakan serta prosedur, serta memastikan bahwa tindakan tersebut telah
dilaksanakan secara efektif. Tindakan-tindakan yang dilakukan untuk mengatasi risiko dapat dibagi
menjadi 2 jenis tindakan yaitu tindakan preventif dan tindakan mitigasi. Tindakan preventif adalah
tindakan yang dilakukan sebelum kejadian yang berisiko berlangsung, sedangkan tindakan mitigasi
adalah tindakan yang dilakukan setelah kejadian berisiko berlangsung, dalam hal ini tindakan mitigasi
berfungsi untuk mengurangi dampak yang terjadi. Tindakan-tindakan tersebut juga harus dilakukan
evaluasi sehingga dapat dinilai keefektifan serta keefisienan tindakan tersebut.
· Memilih dan mengembangkan kegiatan pengendalian
· Memilih dan mengembangkan kontrol umum atas teknologi.
· Menyebarkan melalui kebijakan dan prosedur.
Informasi dan Komunikasi
Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan keputusan dalam rangka
penyelenggaraan tugas dan fungsi organisasi. Informasi yang berkualitas tentunya harus
dikomunikasikan kepada pihak-pihak yang terkait. Penyampaian informasi yang tidak baik dapat
mengakibatkan kesalahan interpretasi penerima informasi.
· Menggunakan informasi yang relevan.
· Berkomunikasi secara internal
· Berkomunikasi eksternal
Monitoring
Pemantauan (monitoring) adalah tindakan pengawasan yang dilakukan oleh pimpinan manajemen
dan pegawai lain yang ditunjuk dan bertanggung jawab dalam pelaksanaan tugas sebagai penilai
terhadap kualitas dan efektivitas sistem pengendalian intern. Pemantauan dapat dilakukan dengan 3
cara yaitu pemantauan berkelanjutan (on going monitoring), evaluasi yang terpisah (separate
evaluation), dan tindak lanjut atas temuan audit.
· Melakukan evaluasi berkelanjutan dan/atau terpisah.
· Mengevaluasi dan mengkomunikasikan kelemahan.
Lima Langkah Transisi Dari Kerangka COSO 1992 Ke Kerangka COSO 2013
1. Mengembangkan Kesadaran, Keahlian, dan Keselarasan
Langkah pertama dalam transisi ke Kerangka COSO 2013 adalah dengan membangun kesadaran
internal, keahlian pengguna COSO, dan keselarasan kepemimpinan di perusahaan. Untuk itu kita harus
memahami Kerangka COSO 2013.
2. Penilaian Dampak Awal

7. Setelah memahami kerangka COSO 2013, kita perlu melakukan penilaian bagaimana dampak transisi
itu. Mungkin faktor paling signifikan yang mempengaruhi transisi dari versi 1992 sampai versi 2013
adalah bagaimana manajemen yang sesungguhnya diterapkan dengan baik.
3. Memfasilitasi Kesadaran, Pelatihan, dan Penilaian Komprehensif
Langkah 1 dan 2 terbatas hanya pada perusahaan. Langkah ketiga ini mensyaratkan terlibat organisasi
yang lebih luas untuk membangun kesadaran dan melakukan pressure test penilaian dampak awal
yang dilakukan pada langkah ke dua. Kita harus memfasilitasi kesadaran untuk memperbarui Kerangka
Kerja COSO. Kita juga harus mendiskusikan dampak kerangka kerja COSO 2013 dengan auditor
eksternal perusahaan, selain itu pelatihan mendalam mungkin diperlukan.
4. Mengembangkan dan Menjalankan Rencana Transisi COSO
Setelah kita membangun kesadaran yang luas mengenai pembaharuan kerangka COSO, memperoleh
keselarasan kepemimpinan dan dukungan pada waktu transisi, serta menyelesaikan penilaian dampak
komprehensif, maka kemudian kita mengembangkan dan melaksanakan rencana transisi perusahaan
kita. Harus realistis antara harapan dan rencana. Ketika kita mengeksekusi rencana transisi, kita akan
melewati tiga tahap, yaitu:
a. Dokumentasi dan Evaluasi
Kita perlu memperbarui format dari dokumen yang mendasari perusahaan, menyelaraskan ke
pemetaan baru yang diciptakan dalam langkah dua. Dokumentasi yang mendasari harus mendukung
manajemen dalam membuat suatu keputusan. Kita juga harus mengevaluasi desain kontrol yang
mendasari dan meningkatkan desain sesuai kebutuhan.
b. Validasi Pengujian dan Gap (Kesenjangan) Remidiasi
Setelah kontrol perusahaan mengenai pelaporan keuangan eksternal dan pengungkapan efektif, kita
perlu melakukan pengujian validasi untuk memastikan kontrol ini telah diimplementasikan dan
beroperasi seperti yang diharapkan.
c. Review Eksternal dan Pengujian
Di beberapa titik, auditor eksternal perlu menilai dan mendapatkan kenyamanan dengan program
COSO 2013 dan dokumentasi pendukung.
5. Memacu Peningkatan Berkelanjutan
Setelah transisi untuk Kerangka COSO 2013 selesai, kita harus terus-menerus mendorong perbaikan
setelah transisi tersebut. Mereka yang saat ini masih menggunakan COSO versi 1992 harus
menyelesaikan transisi mereka ke versi 2013 paling lambat 15 Desember 2014, di mana kerangka asli
akan dianggap digantikan.
2.Entity Level Control (ELC) and Transactional Level Control (TLC)
Ruang lingkup pengendalian terbagi dalam dua level, yaitu entity level control (pengendalian tingkat
entitas) dan activity/transactional level control (pengendalian tingkat aktivitas/transaksi).
Perbandingan antara kedua level tersebut ialah sebagai berikut :
· Entity level control (ELC)
Kegiatan pengendalian ini umumnya beroperasi pada tingkat perusahaan atau manajemen puncak
pengambil keputusan strategis. Level ini memiliki jangkauan atau kewenangan pengendalian yang

8. lebih tinggi dari activity level, dan bisa mempengaruhi kegiatan pada activity level, misalnya kebijakan
perusahaan.
Proses identifikasi yang relevan entitas-tingkat kontrol dapat dimulai dengan pemantauan, dan
informasi dan komunikasi).diskusi antara auditor dan karyawan yang sesuai untuk atas pelaporan
keuangan (yaitu, lingkungan pengendalian, penilaian risiko, aktivitas pengendalian,pemantauan, dan
informasi dan komunikasi). Sementara mengevaluasi entitas tingkat kontrol, auditor mungkin
mengidentifikasi kontrol yang mampu mencegah atau mendeteksi salah saji dalam laporan keuangan.
Itu periode-end proses pelaporan keuangan dan pemantauan manajemen terhadap hasil operasi
merupakan sumber potensial dari kontrol tersebut.
Contoh dalam DJP:
Kegiatan pengendalian atas pelaksanaan salah satu program DJP, yaitu “Knowing Your Tax Payer”
dimana ini merupakan kebijakan DJP dalam mengintensifkan penerimaan pajak, sehingga munculnya
satu fungsi baru yaitu account representative.
Pengaruh Entity-Level Controls pada Pengujian Kontrol Lain
Evaluasi auditor entitas tingkat kontrol dapat menghasilkan peningkatan atau mengurangi pengujian
bahwa auditor jika tidak mungkin dilakukan pada lain kontrol. Sebagai contoh, jika auditor telah
merancang pendekatan audit dengan harapan tertentu entitas tingkat kontrol (misalnya, kontrol
dalam lingkungan pengendalian) akan efektif dan mereka kontrol tidak efektif, auditor dapat
mengevaluasi kembali merencanakan pendekatan audit dan memutuskan untuk memperluas
prosedur audit nya.
Di sisi lain, evaluasi auditor dari beberapa entitas tingkat kontrol dapat menghasilkan pengurangan
nya atau pengujian nya kontrol lain, seperti kontrol lebih sesuai pernyataan yang relevan. Tingkat
dimana auditor mungkin dapat mengurangi pengujian kontrol atas pernyataan yang relevan dalam
kasus tersebut tergantung padapresisi dari entitas-tingkat control.
· Activity/transactional level control (TLC)
Kegiatan pengendalian pada level ini lebih berhubungan dengan pelaksanaan proses bisnis atau
transaksi dari bagian dalam suatu organisasi. Level ini memiliki kewenangan yang lebih rendah dari
entity level control, dan dapat dipengaruhi kebijakan dalam entity level control.
Contoh dalam DJP:
Pemantauan atas kinerja account representative dalam mengintensifkan penerimaan perpajakan.
3.Siklus Desain dan Implementasi ICoFR
1. Adjusting financial reporting risk
Tahap pertama dalam siklus IcoFR adalah penyesuaian atau penelaahan terhadap risiko pelaporan
keuangan. Dalam tahap ini, pihak manajemen akan mengidentifikasi risiko-risiko apa saja yang
mungkin akan timbul dalam pelaporan keuangan sebuah perusahaan.
2. Adjust & implementat controls
Tahap kedua dalam siklus IcoFR adalah implementasi dan penyesuaian terhadap pengendalian. Dalam
tahap ini, pihak manajemen akan melakukan penyesuaian antara risiko dan pengendaliannya. Dari
risiko-risiko yang telah diidentifikasi oleh pihak manajemen dalam tahap pertama, maka pihak

9. manajemen akan membuat suatu pengendalian yang sesuai dengan risiko yang telah diidentifikasi.
Selanjutnya, pengendalian tersebut akan diterapkan dalam perusahaan tersebut.
3. Control remediation
Tahap selanjutnya dalam siklus ICoFR adalah pengendalian. Tahap ini juga dapat dikatakan sebagai
tahap monitoring. Pihak manajemen akan melakukan pengawasan dan pengendalian terhadap
pengendalian-pengendalian apa saja yang telah diterapkan di dalam perusahaan tersebut.
4. Identifikasi & manage changes
Tahap terakhir dalam siklus ICoFR adalah identifikasi perubahan. Setelah ICoFR diterapkan dalam
perusahaan tersebut, maka pihak manajemen akan mengidentifikasi perubahan-perubahan apa saja
yang terjadi. Tahap ini juga dapat dikatakan sebagai tahapan review.
Desain, implementasi, dan evaluasi pengendalian harus disesuaikan dengan ukuran dan pelaporan
risiko perusahaan. Merancang dan memelihara ICFR secara efektif menjadi lebih menantang karena
ukuran bisnis dan ruang lingkup kegiatannya meningkat. Pada saat yang sama, perusahaan-
perusahaan yang lebih kecil juga mungkin menghadapi beberapa masalah kesulitan
pengendalian/kontrol. Sebagai contoh, risiko manajemen dapat lebih besar dalam sebuah organisasi
yang lebih kecil di mana pejabat-pejabat perusahaan memiliki keterlibatan langsung dengan operasi
dan dengan pencatatan transaksi. Selain itu, perusahaan kecil mungkin tidak memiliki personel yang
cukup untuk sepenuhnya melaksanakan pemisahan tugas di semua proses. Namun demikian,
perusahaan publik yang lebih kecil masih harus menerapkan system kontrol yang akan menyediakan
keyakinan yang memadai bahwa laporan keuangan yang disusun sesuai dengan GAAP dan bebas dari
salah saji material.
COSO kepanjangannya Committee of Sponsoring Organizations of the Treadway Commission.
Sejarahnya, COSO ini ada kaitannya sama FCPA yang dikeluarkan sama SEC dan US Congress di tahun
1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA
adalah inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih merupakan inisiatif dari sektor swasta.
Sektor swasta ini membentuk ‘National Commission on Fraudulent Financial Reporting’ atau dikenal
juga dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini disponsori oleh 5 professional
association yaitu: AICPA, AAA, FEI, IIA, IMA. Tujuan komisi ini adalah melakukan riset mengenai fraud
dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi2 yang
terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan.
Walaupun disponsori sama 5 professional association, tapi pada dasarnya komisi ini bersifat
independen dan orang2 yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan
publik, Bursa Efek, dan investor. Nama ‘Treadway’ sendiri berasal dari nama ketua pertamanya yaitu
James C. Treadway, Jr.
Komisi ini mengeluarkan report pertamanya pada 1987. Isi reportnya di antaranya adalah
merekomendasikan dibuatnya report komprehensif tentang pengendalian internal (integrated
guidance on internal control). Makanya terus dibentuk COSO, yang kemudian bekerjasama dengan
Coopers & Lybrand (Ehm, kira2 bisa dibilang mbahnya PwC gitu) untuk membuat report itu.

10. Coopers & Lybrand mengeluarkan report itu pada 1992, dengan perubahan minor pada 1994, dengan
judul ‘Internal Control – Integrated Framework’. Report ini berisi definisi umum internal control dan
membuat framework untuk melakukan penilaian (assessment) dan perbaikan (improvement) atas
internal control. Gunanya report ini salah satunya adalah untuk mengevaluasi FCPA compliance di
suatu perusahaan.
Poin penting dalam report COSO ‘Internal Control – Integrated Framework’ (1992):
Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable
assurance mengenai:
1. Efektifitas dan efisiensi operasional
2. Reliabilitas pelaporan keuangan
3. Kepatuhan atas hukum dan peraturan yang berlaku
Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:
1. Control Environment
2. Risk Assessment
3. Control Activities
4. Information and communication
5. Monitoring
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’,
sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk
Management, yaitu:
1. Internal Environment
2. Objective Setting
3. Event Identification
4. Risk Assessment
5. Risk Response
6. Control Activities
7. Information and Communication
8. Monitoring
Daftar Pustaka
1. Nahampun, Y. (2012). PENGARUH UNDANG-UNDANG SARBANES OXLEY TERHADAP PENGENDALIAN
INTERNAL, PENGENDALIAN APLIKASI DAN LAPORAN KEUANGAN PADA PERUSAHAAN JASA
TELEKOMUNIKASI. (download:
http://publication.gunadarma.ac.id/bitstream/123456789/853/1/27208018.pdf)
2. Internal Control over Financial Reporting — Guidance for Smaller Public Companies — Volume I :
Executive Summary
3. Center For Audit Quality.2004. Guide to Internal Control Over Financial Reporting. Washington DC
4. Ahituv, Niv; Neumann, Seev; Riley, H. Norton. Principles of Information Systems for Management.
Dubuque, IA: Wm C. Brown Communications, Inc; 1994.

11. 5. Auditing Standard №2 — “An Audit of Internal Control Over Financial Reporting Performed in
Conjunction with An Audit of Financial Statements”. Public Company Accounting Oversight Board.
March 9, 2004.
6. Ikatan Akuntan Indonesia (IAI). 2015. Modul Sistem Informasi dan Pengendalian Internal. Jakarta
Pusat: IAI
7. John Champ; Chris Cebula. “Tactics to rebalance your internal audit functions”. Protiviti. 2006.
8. Lynda M. Applegate; F. Warren McFarlan; James L. McKenney. Corporate Information Systems
Management: Text and Cases, fourth edition. Irwin Mcgraw-Hill Companies, Inc.; 1996