2. “The sponsoring organizations should cooperate in developing
additional, integrated guidance on internal control” (The Treadway
Commission Report p. 48)
3. Timeli
ne
V//.;~
1995
.:-
-
Fraudulent Financial
Reporting: 1998-2007
Management Framework
Commission Report
1987: Treadway
1996: Internal Control
Issues in Derivatives
1990
2010: Fraud Study II
2004: Enterprise Risk
///
2009: Guidance on
Monitoring Internal
Control Systems
2000
2005
2010
1999: Fraud Study 1-
Fraudulent Financial
Reporting: 1987-1997
1992: Internal ControlIntegrated Frarnework
2006: Guidance
for Smaller
Businesses on
Internal Control
over Financial
Reporting
2010-2013:
RecentERM
thought
papers on
current issues
5. 5
Premise COSO
Who is responsible for Internal Controls?
• Risk Management dan Internal
Control yang baik diperlukan untuk
mencapai sukses organisasi
jangka panjang
• Orang memiliki tanggungjawab
untuk mencapai objectives, juga
bertanggungjawab atas kualitas
internal control
YOU – semua pegawai adalah risk managers
5
6. COSO Applicability
“All public companies should maintain internal controls that
provide reasonable assurance that fraudulent financial reporting
will be prevented or subject to early detection - this is a broader
concept than internal accounting controls” (Treadway Commission
report, 1987)
SEC “Management is required to base its assessment of the
effectiveness of the company's internal control over financial
reporting on a suitable, recognized control framework established
by a body of experts that followed due-process procedures,
including the broad distribution of the framework for public
comment”
8. Kenapa meng-update Framework yang sudah baik dan diadopsi di
seluruh dunia?
Original
Framework
COSO’s Internal Control–Integrated Framework (1992 Edition)
Mencerminkan perubahan
Refresh
Objectives
Memperluas Objectives:
dalam lingkungan bisnis
operation dan reporting
Mengartikulasi principles
untuk memudahkan
pengembangan internal
control yang effective
Memperluas Aplikasi
Memperjelas Persyaratan
dan operasional
Enhancements
Updated
Framework
Memutakhirkan Konteks
COSO’s Internal Control–Integrated Framework (2013 Edition)
8
9. Update considers changes in business and operating environments
Lingkungan berubah ...
… telah mendorong pemutakhiran
Framework
Ekspektasi terhadap governance oversight
Globalisasi pasar dan operasi
Perubahan dan kompleksitas dalam business
Demands dan Kompleksitas
hukum, peraturan, regulasi, dan standards
Ekspektasi atas kompetensi dan akuntabilitas
Penggunaan, dan ketergantungan pada, teknologi
yang terus berkembang
Ekspektasi terhadap pencegahan dan deteksi fraud
COSO Cube (2013 Edition)
10. Untuk memudahkan penggunaan dan memperluas penerapan
Apa yang tidak berubah...
Apa yang berubah...
• Core definition of internal control
• Mempertimbangkan perubahan dalam
lingkungan business dan operating
• Tiga katagori objectives dan lima
komponen internal control
• Semua lima komponen diperlukan
untuk internal control yang effective
• Pentingnya peran judgment dalam
design, implementasi, dan
menjalankan internal control, dalam
mengassess efektivitasnya
• Memperluas objectives - operations
dan reporting
• Konsep fundamental yang mendasari
lima komponen diartikulasikan
sebagai principles
• Tambahan pendekatan dan contohcontoh yang relevan dengan tujuan
operations, compliance, dan nonfinancial reporting
11. Project deliverable #1 – Internal Control-Integrated Framework
(2013 Edition)
Terdiri 3 volume:
Executive Summary
Framework and Appendices
Illustrative Tools
Menetapkan:
Definition of internal control
Categories of objectives
Components and principles of
internal control
Requirements for effectiveness
12. Project deliverable #2 – Internal Control over External Financial
Reporting: A Compendium....
• Mengilustrasikan
contoh-contoh
pendekatan
bagaimana
dan
principles
diterapkan dalam penyiapan laporan
keuangan
• Mempertimbangkan perubahan dalam
business dan operating environments
selama dua decade terakhir
• Memberikan
contoh
dari
berbagai
entitas – public, private, not-for-profit,
and government
• Menyelaraskan dengan the updated
Framework
13. Mengartikulasikan principles untuk mencapai internal control yang
efektif
1.
2.
3.
4.
5.
Menujukkan komitmen terhadap integritas dan nilai etika
Melaksanakan tanggungjawab oversight responsibility
Menetapkan struktur, wewenang dan tanggungjawab
Menujukkan komitmen terhadap kompetensi
Menekankan akuntabilitas
Risk Assessment
6.
7.
8.
9.
Menetapkan objectives yang tepat
Identifiikasi dan analisis risk
Assess risiko fraud risk
Identifiikasi dan analisis perubahan yang signifikan
Control Activities
10. Pilih dan kembangkan control activities
11. Pilih dan kembangkan general controls over technology
12. Terapkan melalui kebijakan dan prosedur
Control Environment
Information & Communication
Monitoring Activities
13. Gunakan informasi yang relevant
14. Komunikasi secara internal
15. Komunikasi secara eksternal
16. Melakukan evaluasi ongoing dan/atau terpisah
17. Mengevaluasi dan mengomunikasikan defisiensi
14. Prinsip-prinsip untuk mencapai internal control yang efektif
Control Environment
1. Organisasi menunjukkan komitmen terhadap integritas
dan nilai-nilai etika
2. Dewan Pengawas menunjukkan independensi dari
manajemen dan menjalankan „oversight‟ dalam
pengembangan dan pelaksanaan internal control
3. Manajemen - dengan oversight dari Dewan Pengawas –
mengembangkan struktur, garis pelaporan, dan
wewenang dan tanggungjawab yang sesuai dalam
mencapai tujuan organisasi
4. Organisasi menunjukkan komitmen untuk menarik,
mengembangkan, dan mempertahankan individu-individu
yang kompeten selaras dengan pencapaian tujuan
5. Orgnanisasi menetapkan akuntabilitas masing-masing
individu terhadap tanggungjawab internal control dalam
rangka mencapai tujuan organisasi
15. Prinsip-prinsip untuk mencapai internal control yang efektif
Risk Assessment
6. Organisasi menetapkan objectives dengan cukup jelas
sehinggga memungkinan dilakukannya identifikasi dan
asesmen risiko terkait dengan objective tersebut.
7. Organisasi melakukan identifikasi risiko-risiko dalam
mencapai objectives pada seluruh organisasi dan
menganalisisnya untuk menentukan bagaimana risikorisiko tersebut harus dikelola
8. Organisasi mempertimbangkan kemungkinan
terjadinya fraud dalam melakukan asesmen risiko
terhadap pencapaian tujuan.
9. Organisasi mengidentifikasi dan mengases perubahanperubahan yang dapat secara signifikan
mempengaruhi system internal control
16. Prinsip-prinsip untuk mencapai internal control yang efektif
Control Activities
10. Organisasi memilih dan mengembangkan control
activities yang mendukung mitigasi risiko (terhadap
pencapaian tujuan) sampai pada tingkat yang dapat
diterima
11. Organisasi memilih dan mengembangkan general
control activities pada TI untuk mendukung pencapaian
tujuan
12. Organisasi menerapkan control activities melalui
kebijakan yang menunjukkan apa yang diharapkan dan
melalui prosedur yang menerapkan kebijakan kedalam
tindakan.
17. Prinsip-prinsip untuk mencapai internal control yang efektif
Information &
Communication
13. Organisasi mendapatkan (atau memproduksi) dan
menggunakan informasi yang relevan dan berkualitas
untuk mendukung jalannya internal control
14. Organisasi mengkomunikasikan informasi secara
internal, termasuk tujuan dan tanggungjawab internal
control, yang diperlukan untuk mendukung jalannya
internal control
15. Organisasi berkomunikasi dengan fihak eksternal
mengenai hal-hal yang berkaitan dengan jalannya
internal control
18. Prinsip-prinsip untuk mencapai internal control yang efektif
Monitoring Activities
16. Organisasi memilih, mengembangkan dan
melaksanakan evaluasi, yang on-going dan/atau
terpisah, untuk memastikan apakah komponen
internal control ada dan berjalan.
17. Organisasi mengevaluasi dan mengomunikasikan
defisiensi internal control secara tepat waktu
kepada fihak-fihak yang bertanggungjawab untuk
melakukan tindakan koreksi, termasuk Direksi dan
Komisaris.
19. Menegaskan persyaratan untuk mencapai internal control yang efektif
Effective internal control memberikan reasonable assurance terhadap
tercapainya objectives
Effective internal control mensyaratkan bahwa:
Setiap Komponen dan Prinsip-prinsip ada (‘present’) dan berfungsi (‘functioning’)
Kelima komponen bekerja bersama secara terintegrasi (operating together in an integrated
manner)
Setiap principle dapat diterapkan pada semua entitas
Komponen dianggap ‘operate together’ jika:
semua komponen ‘present’ dan ‘functioning’, dan
defisiensi internal control yang ada, setelah diagregasikan pada semua komponen, tidak
menghasilkan satu atau lebih ‘defisiensi major’
Defisiensi major merupakan satu atau kombinasi defisiensi yang secara serius
mengurangi kemungkinan organisasi dapat mencapai tujuannya
20. Prinsip dan Point of Focus
Control Environment
Points of Focus:
•
•
•
•
1. Organisasi menunjukkan komitmen terhadap
integritas dan nilai-nilai etika
•
•
•
•
Menetapkan Tone at the Top
Menetapkan Standards Kode Etik
Mengevaluasi Ketaatan terhadap Kode Etik
Menindaklanjuti pelanggaran etik secara tepat waktu
Points of focus bisa saja tidak cocok atau relevan pada organisasi tertentu
Mungkin saja terdapat point of focus diluar yang diberikan
Points of focus akan membantu dalam mendisain, menerapkan, dan menjalankan internal
control
Tidak ada ketentuan untuk membuat asesmen tersendiri apakah points of focus ada atau
tidak
21. Perusahaan Keluarga – Furniture
Prinsip #1 – Menujukkan komitmen terhadap integritas dan etika
• Tidak ada program training yang formal untuk membuat pegawai sadar terhadap pentingnya mematuhi standar perilaku
• Tidak memiliki proses untuk mengevaluasi kepatuhan karyawan terhadap kebijakan integritas dan etik
• Proses untuk mengidentifikasi dan menyelesaikan penyimpangan sifatnya masih ad hock
• Disimpulkan sebagai Major Deficiency sehingga prinsip #1 tidak ‘present’ and ‘functioning’
Prinsip #2 - Melaksanakan tanggungjawab oversight
• Manajemen melakukan risk assessments, tetapi review terhadap assessment oleh Dewan Komisaris tidak didokumentasi secara
formal dicatat sebagai internal control deficiency
• Dewan tidak mendokumentasikan secara formal atas review yang dilakukan terhadap rencana remediasi dan kegiatan
monitoring dicatat sebagai internal control deficiency
• Dalam analisis awal manajemen menetapkan bahwa internal control deficiency tersebut di atas tidak signifkan dan
terkompensasi oleh control lainnya
• Manajemen menyimpulkan prinsip #2 ‘present’ dan ‘functioning’, karena dampak defisiensi tidak besar dan ada compensating
control-nya
Prinsip #3 – Menetapkan struktur, kewenangan, dan tanggungjawab
• Struktur oversight dan control tidak dimutakhirkan mengikuti perkembangan perkembangan lingkungan bisnis defisiensi
• Manajemen menetapkan bahwa defisiensi tersebut, meskipun penting, bukan merupakan Major Deficiency. Perubahan
lingkungan bisnis hanya mempengaruhi sebagian kecil dari organisasi tersebut
• Manajemen menyimpulkan pinsip #3 ‘present’ dan ‘functioning’
Prinsip #4 - Menunjukkan komitmen terhadap kompetensi
• Tidak ada defisiensi present dan functioning
Prinsip #5 - Menetapkan akuntabilitas
• Bonus untuk direksi dan pimpinan divisi/unit operasi dikaitkan dengan kinerja penjualan. Bonus merupakan bagian besar dari
kompensasi, dan tidak ada analisis mengenai ‘tekanan’ terhadap perilaku manajemen sebagai dampak dari kebijakan ini, dan
tidak ada mitigating control
• Manajemen memandang bahwa defisiensi tersebut ‘Major’, sehingga prinsip #5 tidak ‘present’ dan ‘functioning’
21
22. Roll-up:
22
• Prinsip #1 – Major Deficiency – not present and functioning
• Prisnip #2 – Deficiency (compensating controls noted) – present and functioning
• Prisnip #3 – Deficiency (compensating controls noted) – present and functioning
• Prisnip #4 – No deficiency – present and functioning
• Prisnip #5 – major deficiency – not present and functioning
• Manajemen menyimpulkan bahwa Komponen #1 – Lingkungan Pengendalian tidak present dan
functioning, karena dua prinsip yang tidak presen dan functioning,
• (Manajemen menyimpulkan bahwa ‘sistem internal control’ tidak efektif)
Point penting:
• Hasil asesmen atas prinsip-prinsip mendukung asesmen terhadap komponen
• Manajemen menggunakan judgment waktu menetapkan sebuah prinsip present dan functioning
meskipun ada defisiensi
• Defisiensi dianalisis signifikansinya pada level prinsip maupun level komponen
• Point of focus dapat ditambah atau disesuaikan untuk menyesuaikan dengan kondisi dan
lingkungan organisasi
24. “If everything seems under control,
you just not going fast enough”
(Mario Andreotti, Formula 1 champion)
25. 140
130
120
110
100
90
80
70
60
Heart Rate (beats per minute)
A Healthy System?
0
140
130
120
110
100
90
80
70
300
600
Time (seconds)
Heart Eight Days
Before Cardiac Death
90 0
0
300
600
600
Time (seconds)
Healthy Heart
900
60
26. Skala Penilaian
Nilai
1.00 – 1.99
2.00 – 2.49
2.50 – 2.99
3.00 – 4 .00
Legend warna
Atribut
Respon
Tidak dapat
diterima
Perlu projek
khusus
Tidak Memadai
Kurang memadai
Dapat diterima
Perlu perbaikan
segera
Perlu perbaikan
Tidak perlu
tindakan
28. Kesimpulan
Kode Etik XXX
• XXX sudah memiliki kode etik
• Perlu dilakukan penyempurnaan terhadap isi dan struktur kode etik
• Perlu dilakukan pemutakhiran kode etik secara berkala
Survei dan voting
• ‘Batam’ dan ‘Medan Staf’ menilai
kurang atribut ini (sekitar 2,5)
• Unsur yang terutama dinilai rendah
adalah ‘update kode etik’ (Medan
manajer dan Batam menilai dibawah
2,5; Medan staf menilai dibawah 2,0)
• ‘Kelengkapan Materi Kode Etik’ dan
‘Pemahaman Pegawai atas Kode Etik’
juga merupakan unsur yang
mendapat penilaian dibawah 2,5
(oleh Medan Staf)
Hasil Interview
• Karyawan menilai Kode Etik perusahaan belum di-update secara teratur
• Sebagian karyawan bahkan tidak menyadari adanya kode etik
• Kode etik yang ada terbagi-bagi dalam banyak dokumen. Terjadi duplikasi
untuk beberapa prinsip, namun juga ada beberapa prinsip yang tidak diatur
dalam kode etik.
Rekomendasi
•
•
•
•
Menyatukan kode etik dalam dokumen yang terintegrasi,
Menekankan pada prinsip-prinsip utama
Melengkapi dengan prinsip-prinsip penting yang belum termuat
Melakukan update kode etik secara berkala
29. Perusahaan Publik - Manufacturing
Control environment
• Prinsip 4 – Menunjukkan komitmen terhadap kompetensi
• Terdapat defisiensi terkait tidak adanya program pembelajaran dan pengembangan yang efektif (tidak major)
• Manajemen menetapkan (preliminary) bahwa Control Environment present dan functioning
Risk assessment
• Prinsip 9 – Mengidentifikasi dan menganalisi perubahan
• Terdapat defisiensi personel operation tidak memiliki skill dan kompetensi untuk mengidentifikasi risiko
terkait dengan teknologi baru
• Mempertimbangkan bahwa prinsip lain dalam komponen ini cukup kuat, manajemen menetapkan
(preliminary) bahwa prinsip ini present dan functioning
Control activities
• Prinsip 12 – Menerapkan melalui Kebijakan dan Prosedur
• Terdapat defisiensi beberapa pegawai tidak mendapat training yang memadai
• Karena prinsip lain cukup kuat, manajemen membuat penilaian preliminary manajemen present and
functioning
Information and communication
• No control deficiency present and functioning
Monitoring
• Prinsip 16 – Melaksanakan evaluasi on going dan tersendiri
• Defisiensi pegawai mungkin tidak memahami teknologi baru dan proses bisnis
• Preliminary judgement present and functioning karena prinsip lainnya kuat
29
30. Overall assessment
30
Manajemen melakukan
analisis untuk menentukan
apakah komponen operating
together in an integrated
manner
Manajemen melihat bahwa
beberapa defisiensi terkait
erat dengan ‘kompetensi’
Training yang baik dan
kompetensi framework tidak
ada padahal perusahaan
dituntut menjaga standar
kualitas produk yang tinggi
Tidak adanya budaya training
menyebabkan pegawai tidak
dapat segera menyesuaikan
terhadap perubahan atas
requirement manufacturing
yang baru
Situasi ini berpotensi
mempengaruhi tujuan
perusahaan untuk
menghasilkan produk yang
berkualitas sesuai batas
toleransinya
Dengan mempertimbangkan
seluruh komponen secara
bersama-sama, manajemen
menyimpulkan bahwa
terdapat Major Deficiency
dan sistem Internal Control
tidak efektif.
31. Menjelaskan Peran dari Control dalam Mewujudkan Principles
•
Framework tidak mengharuskan controls yang harus dipilih, dikembangkan,
dan diterapkan untuk mendapatkan internal control yang efektif
•
Pemilihan controls untuk mewujudkan principles dan komponen yang
terkait merupakan hasil dari judgment manajemen berdasarkan faktor yang
unique pada organisasi
•
Sebuah defisiensi major dalam sebuah komponen atau princples tidak dapat
dimitigasi dengan ‘ada’ dan ‘berfungsi’-nya komponen dan principles lainnya
•
Controls dapat mempengaruhi lebih dari satu principles
32. Menjelaskan bagaimana berbagai controls mempengaruhi principles
Component
Control Environment
Principle
1. Organisasi menunjukkan komitmen terhadap integritas dan nilainilai etika
Controls yang
ada dalam
komponen lain
dapat
mewujudkan
principle ini
HR mereview
konfirmasi pegawai
(aknowledgement)
untuk mengassess
apakah Kode Etik telah
dimengerti dan
dijalankan oleh staf
dalam seluruh
organisasi
Manajemen menerima
dan mereview data dan
informasi mengenai
kemungkinan yang
pelanggaran kode etik
diperoleh dari
whistleblower program
untuk mengases
qualitas informasi
Control Environment
Information & Communication
Internal Audit
mengevaluasi Control
Environment,
mempertimbangkan
perilaku pegawai dan
hasil whistleblower
program dan membuat
laporan
Monitoring Activities
33. Transisi dan Impact
Organisasi didorong untuk sesegera mungkin melakukan penyesuaian aplikasi
dan dokumentasi internal control mengikuti the updated Framework
Masa transisi penyesuaian framework adalah May 2013 – 15 Desember 2014
Updated Framework akan menggantikan original Framework pada akhir
masa transisi (15 Desember 2014). Original framework akan ditarik dari
peredaran sejak tanggal tersebut.
Selama masa transisi, dalam pelaporan eketernal harus menyatakan
framework mana yang digunakan (versi original atau updated)
34. Perubahan Penting
34
Memutakhirkan Konteks:
• Make explicit the need to address fraud risk
• Update guidance in emerging areas
Memperluas aplikasi:
• Broader reporting objective
• Reiterate that good internal control are appropriate for operations and compliance
objectives
Memperjelas persyaratan:
• Introduces principles approach to evaluating each component of internal control
• Emphasize the relationship between objectives-risks-internal controls
• Emphasize the integrated nature of internal control
35. Recommended Actions
Baca COSO’s updated Framework dan illustrative
documents
Edukasi Komite Audit, C-suite, operating unit dan
manajemen
Kembangkan proses untuk identifikasi, assess, dan
implementasi perubahan yang diperlukan dalam controls
dan dokumentasinya
Kembangkan dan terapkan transition plan sesegera
mungkin (target 15 Desember 2014 untuk external
reporting)
36. Peluang bagi Internal Auditor
36
Leadership – value proposition
Komunikasi
Active training
Expands aplikasi untuk operation, compliance, dan non-financial
Rasionalisasi controls
Fraud dan IT
Defisiensi
Pilot test
Identifikasi perubahan
Transition plan