COSO

COSO (Committee of Sponsoring Organizations of  the Treadway Commission) Com Committe ittee e of Sponso nsoring ring Orga rganiz nizatio tions of the the Trea readway way Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. 1985. Tujuan utamanya adalah untuk meng mengide identi ntifi fikas kasii fakto faktor-f r-fakt aktor or yang yang menye menyeba babka bkan n peng pengge gela lapa pan n laporan keuangan dan membuat membuat rekomendasi rekomendasi untuk mengurangi mengurangi kejadian tersebut. tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan krite kriteri ria a inte interna rnall yang yang dapat dapat digu diguna nakan kan perus perusah ahaan aan untu untuk k meni menilai lai sistem pengendalian merek mereka. a. Didedi Didedikasi kasikan kan untuk untuk menye menyediak diakan an kepem kepemim impina pinan n pemikiran kepada manajemen eksekutif dan badan pemerintahan pada aspek pent pentin ing g dari dari tata tata kelo kelola la organi organisas sasi, i, etika etika bisn bisnis is , pengen pengendal dalian ian intern internal, al, perusahaan manajemen risiko , penipuan , dan pelaporan keuangan COSO disponsori dan didanai 5 asosiasi dan lembaga akuntansi professional, Yaitu : 1. American Institute of Certified Public Accountants (AICPA) 2. American Accounting Association (AAA) 3. Financial Executives Institute (FEI) Institute of Internal Internal Auditors Auditors (IIA) 4.  The Institute 5.  The Institute Institute of Managem Management ent Accou Accountants ntants (IMA)

oleh

Ikhtisar Organisasi (Organizational Review) COSO COSO dibe dibent ntuk uk pada pada tahu tahun n 19 1985 85 untu untuk k mensp enspon onso sori ri the the Nati Nation onal al Commis Commissio sion n on Fraudu Fraudulen lentt Financ Financial ial Report Reporting ing (Komi (Komisi si Treadw Treadway). ay). Komisi Komisi  Treadway  Treadway awalnya awalnya bersama-sama bersama-sama disponsori disponsori dan didanai oleh lima lima asosiasi asosiasi akuntansi profesional utama dan lembaga yang berkantor pusat di Amerika Serikat: the American Institute of Certified Public Accountants (AICPA), Amer Americ ican an Acco Ac coun unti ting ng Asso As soci ciat atio ion n(A (AAA AA), ), Fina Financ ncia iall Exec Execut utive ives s Inter Interna nati tion onal al (FEI (FEI), ), Inst Instit itut ute e of Inte Intern rnal al Audit udito ors (IIA) IA) and the Institute of Management Accountants (IMA). Komisi Treadway merekomendasikan bahwa organisasi yang mensponsori Komisi bekerja sama untuk mengembangkan bimbingan terpadu pengendalian inte intern rnal. al. Keli Kelima ma organ organis isasi asi memb memben entu tuk k apa apa yang yang sekar sekaran ang g dise disebu butt the Committee of Sponsoring Organizations of the Treadway Commission (Komite Organisasi Sponsoring Komisi Treadway)

1

Ketua asli dari Komisi Treadway adalah James C. Treadway, Jr, Executive Vice President dan General Counsel, Paine Webber dan mantan Komisaris US Securities and Exchange Commission. Oleh karena itu, nama populer "Treadway Commission". David L. Landsittel adalah Ketua saat ini COSO, ia digantikan Larry E. Rittenberg.

Sejarah COSO COSO diselenggarakan pada tahun 1985 untuk mensponsori the National Commission on Fraudulent Financial Reporting (Komisi Nasional Pelaporan Keuangan Penipuan), sebuah inisiatif sektor swasta independen yang mempelajari faktor-faktor penyebab yang dapat menyebabkan pelaporan keuangan penipuan. Hal ini juga mengembangkan rekomendasi untuk perusahaan publik dan auditor independen mereka, untuk SEC dan regulator lainnya, dan untuk institusi pendidikan. Komisi Nasional disponsori bersama oleh lima asosiasi profesional utama berkantor pusat di Amerika Serikat: Akuntansi American Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), Institute of Internal Auditor (IIA ), dan Asosiasi Nasional Akuntan (sekarang Institut Akuntan Manajemen [IMA]). Sepenuhnya independen dari masing-masing organisasi sponsor, Komisi terdiri dari perwakilan industri, akuntan publik, perusahaan investasi, dan New York Stock Exchange. Ketua pertama dari Komisi Nasional adalah James C. Treadway, Jr, Executive Vice President dan General Counsel, Paine Webber Incorporated dan Komisaris mantan US Securities and Exchange Commission. Oleh karena itu, nama "Komisi Treadway." Populer Saat ini, Ketua COSO adalah David Landsittel.  Tujuan COSO adalah menyediakan kepemimpinan pemikiran berurusan dengan tiga mata pelajaran yang saling terkait: manajemen risiko perusahaan (ERM), kontrol internal, dan pencegahan penipuan. Mengenai ERM, pada tahun 2004 diterbitkan COSO Enterprise Risk Management - Kerangka Terpadu. COSO juga telah menerbitkan makalah pemikiran beberapa dimulai tahun 2009 yang berkaitan dengan ERM. Makalah ini pemikiran yang tersedia untuk download gratis di bawah tab "Pedoman". Mengenai pengendalian internal, pada tahun 1992 diterbitkan COSO Internal Control - Kerangka Terpadu. Kemudian, pada tahun 1996 COSO mengeluarkanIsu Pengendalian Internal dalam Penggunaan Derivatif. Pada tahun 2006 diterbitkan COSO Pengendalian Internal atas Pelaporan Keuangan - Pedoman untuk Perusahaan Publik yang lebih kecil, diikuti dengan Pedoman Pemantauan Sistem Pengendalian Internal yang diterbitkan tahun 2009. Pada 2

akhir 2010, COSO mengumumkan sebuah proyek untuk memperbarui 1992 Pengendalian Internal - Kerangka Terpadu. Akhirnya, di bidang pencegahan penipuan, COSO telah menerbitkan dua studi penelitian. Penelitian pertama dirilis pada tahun 1999 berjudul Pelaporan Keuangan Penipuan: 1987-1997. Sebuah studi lanjutan yang disebut Pelaporan Keuangan Penipuan: 1998-2007 dirilis pada 2010.

Internal Control – Intergrated Framework  COSO mendefinisikan pengendalian internal sebagai proses yang dipengaruhi oleh entitas dewan direksi, manajemen dan personil lainnya yang dirancang untuk memberikan keyakinan yang memadai tentang pencapaian tujuan, mengenai : Efektivitas dan efisiensi operasi Keandalan pelaporan keuangan Kepatuhan terhadap hukum dan peraturan yang berlaku • • •

Kerangka COSO melibatkan beberapa konsep kunci: Pengendalian internal adalah suatu proses. Ini adalah alat untuk mencapai tujuan, bukan tujuan itu sendiri. Pengendalian internal dipengaruhi oleh orang. Ini bukan hanya kebijakan, manual, dan bentuk, tetapi orang di setiap tingkat organisasi. Pengendalian internal dapat diharapkan untuk menyediakan hanya keyakinan memadai, bukan keyakinan absolut, kepada manajemen entitas dan dewan. Pengendalian internal adalah diarahkan untuk pencapaian tujuan dalam satu atau lebih kategori terpisah tetapi tumpang tindih. 







Lima Komponen Kerangka Kerangka COSO pengendalian internal terdiri dari lima komponen yang saling terkait yang berasal dari cara manajemen menjalankan bisnis. Menurut COSO, komponen ini menyediakan kerangka kerja yang efektif  untuk menggambarkan dan menganalisis sistem pengendalian intern diimplementasikan dalam sebuah organisasi seperti yang dipersyaratkan oleh peraturan keuangan Kelima komponen adalah sebagai berikut:

3

Pemantauan Informasi dan Komunikasi Aktivitas Pengendalian Risiko Penilaian Pengendalian Lingkungan

1. Pengendalian Lingkungan Lingkungan pengendalian menetapkan nada dari suatu organisasi, mempengaruhi kesadaran pengendalian rakyatnya. Ini adalah dasar untuk semua komponen pengendalian internal yang lain, menyediakan disiplin dan struktur. Kontrol faktor lingkungan meliputi integritas, nilai-nilai etika dan kompetensi orang entitas; filosofi manajemen dan gaya operasi, cara manajemen memberikan wewenang dan tanggung jawab, dan mengatur dan mengembangkan orang-orangnya, dan perhatian dan arah yang diberikan oleh dewan direksi. 2. Penilaian Risiko Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal yang harus dinilai. Sebuah prasyarat untuk penilaian risiko adalah pembentukan tujuan, terkait pada tingkat yang berbeda dan internal konsisten. Penilaian risiko adalah identifikasi dan analisis risiko yang relevan dengan pencapaian tujuan, membentuk dasar untuk menentukan bagaimana resiko harus dikelola. Karena ekonomi, industri, kondisi peraturan dan operasi akan terus berubah, mekanisme yang diperlukan untuk mengidentifikasi dan menghadapi risiko khusus yang terkait dengan berubah. 3. Kegiatan Pengendalian Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan arahan manajemen dilakukan. Mereka membantu memastikan bahwa tindakan perlu diambil untuk mengatasi risiko terhadap prestasi tujuan entitas. Kegiatan pengendalian terjadi di seluruh organisasi, pada semua tingkat dan dalam semua fungsi. Mereka termasuk berbagai kegiatan yang beragam seperti persetujuan, otorisasi, verifikasi, rekonsiliasi, review kinerja operasi, keamanan aset dan pemisahan tugas. 4. Informasi dan Komunikasi 4

Informasi terkait harus diidentifikasi, ditangkap dan dikomunikasikan dalam bentuk dan jangka waktu yang memungkinkan orang untuk melaksanakan tanggung jawab mereka. Sistem informasi menghasilkan laporan, mengandung operasional, informasi keuangan dan kepatuhan yang terkait, yang memungkinkan untuk menjalankan dan mengendalikan bisnis. Mereka tidak hanya berurusan dengan data internal, tetapi juga informasi tentang kejadian eksternal, kegiatan dan kondisi yang diperlukan untuk bisnis informasi pengambilan keputusan dan eksternal pelaporan. Komunikasi yang efektif juga harus terjadi dalam arti luas, mengalir bawah, menemukan dan sampai organisasi. Semua personil harus menerima pesan yang jelas dari atas manajemen bahwa tanggung  jawab kontrol harus dianggap serius. Mereka harus memahami mereka sendiri peran dalam sistem pengendalian internal, serta bagaimana kegiatan individu berhubungan dengan pekerjaan orang lain. Mereka harus memiliki sarana untuk mengkomunikasikan informasi penting hulu. Ada  juga kebutuhan untuk menjadi komunikasi yang efektif dengan pihak luar, seperti pelanggan, pemasok, regulator dan pemegang saham.

5. Pemantauan Sistem pengendalian internal perlu dipantau - sebuah proses yang menilai kualitas sistem kinerja dari waktu ke waktu. Hal ini dilakukan melalui kegiatan pemantauan, evaluasi terpisah atau kombinasi dari keduanya. Pemantauan terjadi dalam perjalanan dari operasi. Ini mencakup manajemen rutin dan kegiatan pengawasan, dan tindakan lainnya personil mengambil dalam melaksanakan tugasnya. Ruang lingkup dan frekuensi evaluasi terpisah akan sangat tergantung pada penilaian risiko dan efektivitas pemantauan prosedur.

Apa yang Pengendalian Internal Bisa Pengendalian intern dapat membantu suatu entitas mencapai kinerja dan target profitabilitas, dan mencegah hilangnya sumber daya. Hal ini dapat membantu memastikan pelaporan keuangan dapat diandalkan.Dan dapat membantu memastikan bahwa perusahaan mematuhi hukum dan peraturan, menghindari kerusakan pada reputasi dan lainnya konsekuensi. Singkatnya, dapat membantu suatu entitas sampai ke mana ingin pergi, dan menghindari perangkap dan kejutan di sepanjang jalan.

Apa yang Pengendalian Internal tidak Bisa Sayangnya, beberapa orang memiliki lebih besar, dan tidak realistis, harapan. Mereka mencari absolut, percaya bahwa: Pengendalian internal dapat memastikan keberhasilan suatu entitas yaitu, ia akan memastikan pencapaian dasar tujuan bisnis atau akan, paling tidak, menjamin kelangsungan hidup. •

5

•

•

Pengendalian internal yang efektif bahkan hanya dapat membantu suatu entitas mencapai tujuan tersebut. Hal ini dapat menyediakan manajemen informasi tentang kemajuan entitas, atau kurang dari itu, terhadap prestasi mereka. Tapi pengendalian internal tidak dapat mengubah manajer inheren buruk menjadi yang baik. Dan, pergeseran kebijakan pemerintah atau program, tindakan pesaing atau kondisi ekonomi dapat melampaui manajemen kontrol. Pengendalian internal tidak dapat menjamin kesuksesan, atau bahkan kelangsungan hidup. Pengendalian internal dapat memastikan keandalan pelaporan keuangan dan kepatuhan terhadap hukum dan peraturan. Kepercayaan ini juga tidak beralasan. Sebuah sistem internal kontrol, tidak peduli seberapa baik dipahami dan dioperasikan, dapat memberikan yang masuk akal - tidak mutlak - jaminan kepada manajemen dan dewan mengenai pencapaian tujuan entitas. Kemungkinan prestasi dipengaruhi oleh yang melekat dalam semua sistem pengendalian internal keterbatasan. Ini termasuk kenyataan bahwa penilaian dipengambilan keputusan bisa salah, dan bahwa kerusakan dapat terjadi karena kesalahan sederhana atau kesalahan. Selain itu, kontrol dapat dielakkan oleh kolusi dari dua atau lebih orang, dan manajemen memiliki kemampuan untuk mengesampingkan sistem. Faktor lain yang membatasi adalah bahwa desain sistem pengendalian internal harus mencerminkan fakta bahwa ada keterbatasan sumber daya, dan manfaat pengendalian harus dipertimbangkan relatif terhadap biaya mereka.

Peran dan Tanggung Jawab Setiap orang dalam organisasi memiliki tanggung jawab atas pengendalian internal.

Pengelolaan Kepala eksekutif pada akhirnya bertanggung jawab dan harus mengasumsikan "kepemilikan" dari sistem. Lebih dari individu lain, kepala eksekutif menetapkan "nada di bagian atas" yang mempengaruhi integritas dan etika dan faktor lain dari lingkungan pengendalian yang positif. Dalam sebuah perusahaan besar, kepala eksekutif memenuhi kewajiban ini dengan memberikan kepemimpinan dan arah kepada manajer senior dan mengkaji cara mereka mengendalikan bisnis. Manajer senior, pada gilirannya, menetapkan tanggung jawab untuk pembentukan kebijakan yang lebih spesifik kontrol internal dan prosedur untuk bertanggung jawab untuk fungsifungsi unit personil. Dalam sebuah entitas yang lebih kecil, pengaruh kepala eksekutif, sering pemilik-manager, biasanya lebih langsung. Dalam setiap acara, dalam sebuah cascading tanggung jawab, seorang manajer secara efektif CEO nya atau lingkup tanggung jawabnya. Dari signifikansi khusus adalah petugas keuangan dan staf mereka, yang kontrol kegiatan memotong, serta atas dan bawah, operasi dan unit lainnya dari suatu perusahaan. Direksi 6

Anggota dewan yang efektif adalah objektif, mampu dan ingin tahu. Mereka juga memiliki pengetahuan tentang kegiatan entitas dan lingkungan, dan melakukan waktu yang diperlukan untuk memenuhi papan tanggung jawab mereka. Manajemen mungkin berada dalam posisi untuk menimpa kontrol dan mengabaikan atau melumpuhkan komunikasi dari bawahan, memungkinkan manajemen tidak jujur yang sengaja salah mengartikan hasil untuk menutup jalurnya. Auditor Intern Auditor internal memainkan peran penting dalam mengevaluasi efektivitas sistem kontrol, dan berkontribusi terhadap efektivitas yang sedang berlangsung. Karena posisi organisasi dan otoritas dalam suatu entitas, fungsi audit internal sering memainkan peran pemantauan signifikan. Personil lain Pengendalian internal adalah, untuk beberapa derajat, tanggung jawab setiap orang dalam sebuah organisasi dan oleh karena itu harus menjadi bagian yang eksplisit atau implisit dari deskripsi pekerjaan setiap orang. Hampir semua karyawan menghasilkan informasi yang digunakan dalam sistem pengendalian internal atau melakukan tindakan lain yang diperlukan untuk efek kontrol. Juga, semua personil harus bertanggung jawab untuk mengkomunikasikan masalah ke atas dalam operasi, ketidakpatuhan dengan kode etik, atau pelanggaran kebijakan lain atau tindakan ilegal. Sejumlah pihak luar sering menyebabkan pencapaian tujuan entitas. Auditor luar membawa pandangan yang independen dan objektif, memberikan kontribusi secara langsung melalui keuangan pernyataan audit dan tidak langsung dengan menyediakan informasi yang berguna untuk manajemen dan dewan direksi melaksanakan tanggung jawab mereka. Lainnya memberikan informasi kepada entitas berguna dalam mempengaruhi pengendalian intern adalah legislator dan regulator, pelanggan dan lainnya melakukan bisnis dengan perusahaan, analis keuangan, penilai obligasi dan media berita. Pihak eksternal, bagaimanapun, tidak bertanggung jawab atas, juga bukanlah bagian dari, sistem pengendalian intern entitas.

Organisasi dari Laporan ini Laporan ini dalam empat volume.  Yang pertama adalah ini Ringkasan Eksekutif, gambaran tingkat tinggi dari kerangka pengendalian internal diarahkan ke kepala eksekutif dan eksekutif senior lainnya, papan anggota, legislator dan regulator. Volume kedua, Framework, mendefinisikan pengendalian internal, menggambarkan komponen-komponennya dan menyediakan kriteria terhadap manajemen, papan atau orang lain dapat menilai kendali mereka sistem. Ringkasan Eksekutif disertakan. Volume ketiga, Pelaporan kepada Pihak Eksternal, adalah bimbingan dokumen tambahan menyediakan untuk entitas yang melaporkan secara terbuka pada kontrol internal atas penyusunan diterbitkan laporan keuangan mereka

•

•

•

7

•

Volume keempat, Alat Evaluasi, menyediakan bahan-bahan yang mungkin berguna dalam menyelenggarakan evaluasi system pengendalian internal.

Keterbatasan (Limitations) Pengendalian internal melibatkan tindakan manusia, yang memperkenalkan kemungkinan kesalahan dalam pemrosesan atau penilaian. Pengendalian internal juga dapat diganti oleh kolusi antara karyawan (lihat pemisahan tugas ) atau paksaan oleh manajemen puncak. CFO majalah melaporkan bahwa perusahaan sedang berjuang untuk menerapkan model kompleks yang disediakan oleh COSO. "Salah satu masalah terbesar: membatasi audit internal untuk salah satu dari tiga tujuan utama dari framework. Dalam model COSO, tujuan tersebut diterapkan pada lima komponen kunci (pemantauan, informasi dan komunikasi, aktivitas pengendalian, penilaian risiko, dan pengawasan). Mengingat jumlah matriks mungkin, tidaklah mengejutkan bahwa jumlah audit bisa keluar dari tangan. majalah CFO melanjutkan dengan menyatakan bahwa banyak organisasi yang menciptakan mereka sendiri risiko-dan-kontrol matriks dengan mengambil model COSO dan mengubah itu untuk fokus pada komponen yang berhubungan langsung dengan Pasal 404 dari Sarbanes-Oxley Act.

Enterprise Risk Management – Intergrated Framework  Pada tahun 2001, COSO memulai sebuah proyek, dan terlibat PricewaterhouseCoopers , untuk mengembangkan kerangka kerja yang akan mudah digunakan oleh manajemen untuk mengevaluasi dan meningkatkan manajemen risiko perusahaan organisasi mereka. Skandal bisnis profil tinggi dan kegagalan (misalnya Enron , Tyco International , Adelphia , Peregrine Systems dan WorldCom ) menyebabkan panggilan untuk tata kelola perusahaan ditingkatkan dan manajemen 8

risiko. Akibatnya tindakan Sarbanes-Oxley diundangkan. Hukum ini meluas persyaratan lama untuk perusahaan publik untuk memelihara sistem pengendalian internal, membutuhkan manajemen untuk mensertifikasi dan auditor independen untuk membuktikan efektivitas sistem tersebut.  The Internal Control - Integrated Framework  tetap menjadi standar luas diterima untuk memenuhi persyaratan pelaporan. Namun, pada tahun 2004 diterbitkan COSO Enterprise Risk Management – Integrated Framework . COSO percaya kerangka ini memperluas pengendalian intern, menyediakan lebih kuat dan luas fokus pada subjek yang lebih luas dari manajemen risiko perusahaan. Kerangka kerja sekarang termasuk empat kategori: 







Strategis: tingkat tinggi tujuan, sejalan dengan dan mendukung misinya Operasi: penggunaan efektif dan efisien dari sumber daya Pelaporan: keandalan pelaporan Kepatuhan: kepatuhan terhadap hukum dan peraturan yang berlaku

Delapan komponen kerangka Delapan komponen manajemen risiko perusahaan mencakup lima komponen sebelumnya dari Kerangka Control-Integrated internal sementara memperluas model untuk memenuhi permintaan untuk manajemen risiko:

Lingkungan Internal Pengaturan Tujuan Identifikasi Peristiwa Penilaian Risiko Respon Risiko Pengendalian Kegiatan Informasi dan Komunikasi Pemantauan

1.Lingkungan internal Lingkungan internal yang meliputi nada organisasi, dan menetapkan dasar untuk bagaimana risiko dipandang dan ditangani oleh orang-orang entitas, termasuk filosofi manajemen risiko, dan resiko, integritas dan nilai etika, dan lingkungan di mana mereka beroperasi. 2.Pengaturan Tujuan 9

 Tujuan harus ada sebelum manajemen dapat mengidentifikasi peristiwa potensial yang mempengaruhi prestasi mereka. Manajemen risiko perusahaan memastikan bahwa manajemen telah di tempat proses untuk menetapkan tujuan dan bahwa tujuan yang dipilih mendukung dan selaras dengan misi entitas dan konsisten dengan selera risikonya.

3.Identifikasi Peristiwa Peristiwa internal dan eksternal yang mempengaruhi pencapaian tujuan entitas harus diidentifikasi, membedakan antara risiko dan peluang. Peluang disalurkan kembali ke strategi manajemen atau tujuan-pengaturan proses. 4.Penilaian resiko Resiko dianalisis, mengingat kemungkinan dan dampak, sebagai dasar untuk menentukan bagaimana mereka harus dikelola. Resiko ditaksir pada melekat dan secara sisa. 5.Respon Risiko Manajemen memilih respon risiko - menghindari, menerima, mengurangi, atau berbagi risiko - mengembangkan serangkaian tindakan untuk menyelaraskan risiko dengan toleransi risiko entitas dan resiko. 6. Pengendalian kegiatan Kebijakan dan prosedur ditetapkan dan dilaksanakan untuk membantu memastikan tanggapan risiko secara efektif dilaksanakan. 7. Informasi dan komunikasi Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam kerangka bentuk dan waktu yang memungkinkan orang untuk melaksanakan tanggung jawab mereka. Komunikasi yang efektif juga terjadi dalam arti luas, mengalir ke bawah, di, dan sampai entitas. 8.Monitoring Keseluruhan manajemen risiko perusahaan dimonitor dan modifikasi seperlunya. Pemantauan dilakukan melalui aktivitas manajemen yang berkelanjutan, evaluasi terpisah, atau keduanya. COSO percaya Enterprise Risk Manajemen - Integrated Framework  menyediakan keterkaitan yang jelas antara komponen manajemen risiko sebuah organisasi dan tujuan yang akan mengisi kebutuhan untuk memenuhi undang - undang baru, peraturan, dan standar pencatatan dan mengharapkan akan menjadi diterima secara luas oleh perusahaan dan organisasi lain dan pihak yang berkepentingan.

Keterbatasan (Limitations) COSO mengakui dalam laporan mereka bahwa sementara manajemen risiko perusahaan memberikan manfaat penting, ada 10

keterbatasannya. Manajemen risiko perusahaan tergantung pada penilaian manusia dan karena itu rentan terhadap pengambilan keputusan. Kegagalan manusia seperti kesalahan sederhana atau kesalahan dapat menyebabkan respon yang tidak memadai untuk risiko. Selain itu, kontrol dapat dielakkan dengan kolusi dari dua atau lebih orang, dan manajemen memiliki kemampuan untuk mengesampingkan keputusan manajemen risiko. Keterbatasan ini menghalangi papan dan manajemen dari memiliki  jaminan mutlak untuk pencapaian tujuan entitas. Meskipun COSO mengklaim model yang diperluas mereka lebih menyediakan manajemen risiko, perusahaan tidak diharuskan untuk beralih ke model baru jika mereka menggunakan Internal Control-Integrated Framework.

Menatap ke Depan Ke depan, COSO mengantisipasi berfokus pada hal berikut: 1. Memperbarui Pengendalian Internal - Kerangka Terpadu dari tahun 1992. Inisiatif ini diharapkan dapat membuat Framework yang ada dan alat evaluasi terkait lebih relevan dalam lingkungan bisnis yang semakin kompleks sehingga organisasi di seluruh dunia yang lebih baik dapat merancang, melaksanakan, dan menilai pengendalian internal. Informasi lebih lanjut tentang proyek update dapat ditemukan dalam terkait FAQ . 2. Menyediakan kertas pemikiran tambahan untuk membantu para pemangku kepentingan dalam memajukan ERM sepanjang "kurva jatuh tempo" dari proses ERM efektif. 3. Menyediakan penelitian tambahan dan panduan dalam lingkungan pengendalian menangani masalah perilaku dan lain "lunak" sisi isu penelitian seperti "rasionalisasi" dan terlalu percaya diri, sebagian sebagai tanggapan terhadap wawasan yang ada dalam studi penipuan yang lebih baru penelitian disebutkan di atas. 4. Melakukan bimbingan tentang pengendalian internal di sektor publik.

11