Committee of Sponsoring Organizations of the Treadway Commission atau disingkat COSO adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengedalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.
COSO merupakan komite yang dibentuk oleh organisasi
– organisasi profesi di Amerika, antara lain AICPA, Financial Executives Association, Institute of Management
Accountants (IMA), Institute of Internal Auditors (IIA) and American Accounting Association
(AAA). Walaupun disponsori sama 5 professional association, tapi pada dasarnya
komisi ini bersifat independen dan orang2 yang duduk di dalamnya berasal
dari beragam kalangan: industri, akuntan publik, Bursa Efek, dan
investor.
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
- Efektifitas dan efisiensi operasional
- Reliabilitas pelaporan keuangan
- Kepatuhan atas hukum dan peraturan yang berlaku
- Control Environment
- Risk Assessment
- Control Activities
- Information and communication
- Monitoring
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management –
Integrated Framework’, sebagai pengembangan COSO framework di atas.
Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
Lingkungan Internal (Internal Environment)
Lingkungan Internal sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan integritas, dan lingkungan dimana kesemuanya tersebut berjalan.Penentuan Tujuan (Objective Setting)
Tujuan perusahaan harus ada
terlebih dahulu sebelum manajemen dapat mengidentifikasi kejadian-kejadian yang
berpotensi mempengaruhi dalam pencapaian tujuan tersebut. ERM memastikan bahwa
manajemen memiliki sebuah proses untuk menetapkan tujuan dan tujuan tersebut
terkait serta mendukung misi perusahaan dan konsisten dengan risk appetite-nya.
Identifikasi Kejadian (Event Identification)
Kejadian internal dan eksternal
yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan
dibedakan antara risiko dan peluang yang dapat terjadi. Peluang dikembalikan
kepada proses penetapan strategi atau tujuan manajemen.
Penilaian Risiko (Risiko Assessment)
Risiko dianalisis dengan
memperhitungkan kemungkinan terjadi (likelihood) dan dampaknya (impact),
sebagai dasar bagi penentuan pengelolaan risiko.
Respons Risiko (Risk Response)
Manajemen memilih respons risiko, menghindar, menerima,
mengurangi, mengalihkan, dan mengembangkan suatu kegiatan agar risiko yang
terjadi masih sesuai dengan toleransi dan risk appetite.
Kegiatan Pengendalian (Control Activities)
Kebijakan serta prosedur yang
ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko
berjalan dengan efektif.
Informasi dan Komunikasi (Information and Communication)
Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam
bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.
Pengawasan (Monitoring)
Keseluruhan proses ERM dimonitor dan modifikasi dilakukan
apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang
berjalan terus-menerus, melalui evaluasi secara khusus, atau dengan keduanya.