Anda di halaman 1dari 8

Audit Internal (Pertemuan ke-3)

Oleh: Bonny Adhisaputra & Herbayu Nugroho


Sumber: Brink's Modern Internal Auditing 7th Edition
Internal Control Framework: The COSO Standard
Committee of Sponsoring Organizations (COSO) internal controls
framework, pertama-tama diakui untuk menilai pengendalian internal oleh
auditor eksternal Amerika Serikat, dan kemudian sebagai standar untuk
membangun dan mengukur pengendalian internal di bawah Sarbanes-Oxley
Act (SOX). COSO internal controls framework telah menjadi standar di
seluruh dunia untuk membangun dan menilai pengendalian internal.
I.

Importance of Effective Internal Controls


Pengendalian internal tidak hanya tentang akuntansi dan keuangan
namun mencakup semua proses perusahaan. Pengendalian internal
adalah proses yang diimplementasikan oleh manajemen, yang dirancang
untuk memberikan keyakinan memadai untuk:
!
!
!
!
!
!

Informasi keuangan dan operasional yang handal;


Kepatuhan dengan kebijakan dan rencana prosedur, hukum, aturan,
dan regulasi;
Perlindungan aset;
Efisiensi operasional;
Pencapaian penetapan misi, tujuan dan sasaran untuk operasi dan
program perusahaan; dan
Integritas dan nilai etika.

II. Internal Controls Standards: Background


Sebelum akhir 1980-an, secara khusus tidak ada kesepakatan yang
konsisten tentang apa yang dimaksud dengan "pengendalian internal
yang baik." Definisi awal pengendalian internal yang pertama kali datang
dari American Institute of Certified Public Accountants (AICPA) dan
digunakan oleh US Securities and Exchange Commission (SEC) untuk
Securities Exchange Act of 1934. Standar AICPA yang disebut Statement
on Auditing Standards (SAS No.1), menggunakan definisi pengendalian
internal:
Pengendalian internal terdiri dari rencana perusahaan dan semua
koordinat metode-metode dan langkah-langkah yang diadopsi dengan
sebuah bisnis untuk menjaga asetnya, memeriksa akurasi dan keandalan
data akuntansi, mendorong efisiensi operasional, dan mendorong
ketaatan terhadap kebijakan manajerial yang ditentukan.
SAS No.1 kemudian dimodifikasi seiring berkembangnya jaman,
termasuk dirilisnya pengendalian akuntansi. Accounting Control, terdiri

dari rencana perusahaan dan prosedur, catatan yang berkaitan dengan


pengamanan aset, serta keandalan catatan keuangan dan dirancang
untuk memberikan keyakinan yang memadai bahwa:
!
!

!
!

Transaksi dilaksanakan sesuai dengan umum atau khusus otorisasi


manajemen.
Transaksi dicatat secara semestinya (1) untuk memungkinkan
penyusunan laporan keuangan sesuai dengan prinsip akuntansi
yang berlaku umum atau kriteria lain yang berlaku untuk pernyataan
tersebut dan (2) untuk menjaga akuntabilitas aset.
Akses ke aset hanya diperbolehkan sesuai dengan otorisasi
manajemen.
Akuntabilitas mencatat aset dibandingkan dengan aset yang ada
pada interval yang wajar dan tindakan yang tepat diambil
sehubungan dengan perbedaan.

Selama bertahun-tahun mulai dari tahun 1970-an, SEC dan AICPA


merilis banyak definisi pengendalian internal (seringkali sedikit berbeda),
dan perusahaan audit eksternal menyediakan pedoman interpretasi yang
mendukung.
III. COSO Internal Control Framework
Lima organisasi profesi audit dan akuntansi yang membentuk komite
COSO yaitu:
!
!
!
!
!

Institute of Internal Auditors (IIA),


American Institute of Certified Public Accountants (AICPA),
Financial Executives International (FEI),
American Accounting Association (AAA), dan
Institute of Management Accountants (IMA).

COSO kemudian merilis laporan pengendalian internal, dengan judul


Internal ControlIntegrated Framework.
COSO memberikan gambaran yang sangat baik dari konsep
multidimensional pengendalian internal, mendefinisikan pengendalian
internal dengan cara:
Pengendalian internal adalah suatu proses, dipengaruhi oleh dewan
entitas direksi, pengelolaan, dan personil lainnya, yang dirancang untuk
memberikan keyakinan memadai tentang pencapaian tujuan dalam
kategori berikut:
!
!
!

Efektivitas dan efisiensi operasi


Keandalan pelaporan keuangan
Kepatuhan terhadap hukum dan peraturan yang berlaku

Berdasarkan definisi tersebut, COSO menggunakan model tiga


dimensi untuk menggambarkan sistem pengendalian internal dalam suatu
perusahaan.

a. Control Environment
1) INTEGRITY AND ETHICAL VALUES
Integritas dan nilai-nilai etika suatu perusahaan merupakan elemen
lingkungan pengendalian yang penting. Nilai-nilai ini sering
didefinisikan sebagai suatu pesan yang dikomunikasikan oleh
manajemen senior. Insentif dan godaan lainnya, bagaimanapun,
dapat mengikis lingkungan pengendalian ini secara keseluruhan.
Jenis-jenis godaan yang mendorong para pemangku kepentingan
untuk terlibat dalam aktifitas akuntansi yang tidak tepat atau
tindakan serupa termasuk:
-

Nonexistensi atau kontrol yang tidak efektif, seperti pengaturan


pemisahan tugas yang buruk di daerah sensitif, yang
menawarkan godaan untuk mencuri atau menyembunyikan
kinerja yang buruk.

Desentralisasi tinggi yang membuat manajemen puncak tidak


menyadari tindakan yang diambil di tingkat perusahaan yang
lebih rendah dan dengan demikian mengurangi kemungkinan
terungkap (kecurangannya).

Fungsi audit internal yang lemah yang tidak memiliki baik


kemampuan maupun kewenangan untuk mendeteksi dan
melaporkan perilaku yang tidak benar; ini adalah area di mana
audit internal dapat memperbaiki sendiri dengan melakukan
pengauditan internal yang efektif.

Hukuman untuk perilaku yang tidak tepat yang tidak signifikan


atau tidak dipublikasikan, menyebabkan mereka kehilangan
nilai mereka sebagai pencegah.

2) COMMITMENT TO COMPETENCE
Suatu perusahaan perlu menentukan tingkat kompetensi yang
dibutuhkan untuk berbagai aktifitasnya dan menerjemahkan

kebutuhan tersebut ke tingkat pengetahuan dan keterampilan yang


diperlukan.
3) BOARD OF DIRECTORS AND AUDIT COMMITTEE
Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan
direksi dan komite audit perusahaan.
4) MANAGEMENTS PHILOSOPHY AND OPERATING STYLE
Filosofi dan gaya operasi manajemen senior memiliki pengaruh
besar atas lingkungan pengendalian suatu perusahaan.
Pertimbangan filosofi manajemen dan gaya operasi ini adalah
bagian dari lingkungan pengendalian suatu perusahaan.
5) ORGANIZATIONAL STRUCTURE
Struktur organisasi adalah cara atau pendekatan untuk upaya
penugasan kerja individual yang baik dan terintegrasi demi
pencapaian tujuan perusahaan.
6) ASSIGNMENT OF AUTHORITY AND RESPONSIBILITY
Aspek kerangka-kerja COSO ini dari lingkungan pengendalian
mirip dengan komponen struktur organisasi. Struktur organisasi
suatu perusahaan mendefinisikan kewajiban dan integrasi usaha
adalah keseluruhan tugasnya. Kewajiban dan otoritas pada
dasarnya cara tanggung jawab didefinisikan dalam hal deskripsi
pekerjaan dan terstruktur dalam hal grafik perusahaan.
7) HUMAN RESOURCES POLICIES AND PRACTICES
Area di mana kebijakan dan praktik sumber daya manusia sangat
penting meliputi:
-

Recruitment and hiring

New employee orientation

Evaluation, promotion, and compensation

Disciplinary actions

8) COSO CONTROL ENVIRONMENT IN PERSPECTIVE

b. Risk Assessment
Penilaian risiko pengendalian internal COSO harus menjadi
proses ke depan yang dilakukan di semua tingkat dan untuk hampir
semua kegiatan dalam perusahaan. COSO menggambarkan
penilaian risiko sebagai proses tiga langkah:
!
!
!

Perkirakan signifikansi risiko.


Menilai kemungkinan atau frekuensi risiko yang terjadi.
Pertimbangkan bagaimana risiko harus dikelola dan menilai
tindakan apa harus diambil.

Berbagai macam risiko, yang disebabkan oleh salah satu sumber


internal atau eksternal, dapat mempengaruhi perusahaan secara
keseluruhan. Pengendalian internal COSO menunjukkan bahwa risiko
harus dipertimbangkan dari tiga perspektif:
!

Enterprise risks due to external factors


Termasuk resiko perkembangan teknologi yang dapat
mempengaruhi sifat dan waktu penelitian dan pengembangan
produk baru atau menyebabkan perubahan dalam proses
pengadaan. Resiko dari Faktor eksternal lainnya mencakup
kebutuhan pelanggan yang berubah atau harapan, harga,
garansi, atau aktivitas layanan.

Enterprise risks due to internal factors


Sebagai auditor internal sering menyoroti tinjauan mereka terusmenerus, akan ada banyak jenis tingkat risiko perusahaan.
Sebagai contoh, gangguan dalam IT server suatu perusahaana
atau yang lainnya yang dapat mempengaruhi operasi perusahaan
secara keseluruhan. Selain itu, kualitas kerja karyawan, serta
pelatihan atau motivasi, dapat mempengaruhi tingkat kepedulian
terhadap pengendalian dalam entitas. Selain itu, sejauh mana
kemudahan akses karyawan terhadap aktiva yang dapat
berakibat untuk penyalahgunaan sumber daya. Meskipun
sekarang dapat diatasi oleh SOX, laporan pengendalian internal
COSO juga menyebutkan bahwa resiko ketidak tegasan atau
ketidak efektifan dari dewan komisaris dan komite audit dapat
memberikan peluang untuk tidak bijaksana.

Specified activity-level risks


Resiko juga harus dipertimbangkan untuk setiap unit bisnis yang
signifikan dan aktivitas kunci, seperti untuk pemasaran, IT, dan
keuangan. Hal ini diperlukan mengingat resiko-resiko ini
dikhawatirkan tidak terdeteksi pada dua perspektif lainnya.

c. Control Activities
Adalah kebijakan dan prosedur yang membantu memastikan
bahwa tindakan yang diidentifikasi untuk mengatasi risiko dilakukan,
menyusul berbagai kegiatan kontrol sub-proses.

1) TYPES OF CONTROL ACTIVITIES


-

Top-level reviews
Manajemen dan auditor internal di berbagai tingkatan, harus
meninjau hasil kinerja mereka. Langkah manajemen untuk
menindaklanjuti hasil review tersebut dan melakukan tindakan
perbaikan merupakan aktivitas pengendalian.

Direct functional or activity management


Manajer di berbagai tingkatan harus menelaah laporan
operasional dari sistem kontrol mereka dan mengambil
tindakan korektif yang diperlukan. Banyak sistem manajemen
telah dibangun untuk menghasilkan laporan pengecualian
tersebut meliputi kegiatan pengendalian. Sebagai contoh,
sebuah keamanan sistem TI akan memiliki mekanisme untuk
melaporkan upaya akses yang di otorisasi. Kegiatan
pengendalian di sini adalah proses pengelolaan untuk
menindaklanjuti laporkan kejadian dan mengambil tindakan
koreksi yang tepat.

Information processing
Sistem TI mengandung banyak pengendalian internal di mana
sistem memeriksa kepatuhan di area tertentu dan kemudian
melaporkan setiap pengecualian pengendalian internal. Itemitem pengecualian yang dilaporkan harus ada tindakan korektif
dari prosedur sistem otomatis, oleh pegawai operasional, atau
oleh manajemen. Kegiatan pengendalian lainnya termasuk
kontrol atas pengembangan system yang baru atau kelebian
akses ke data dan file program.

Physical controls
Perusahaan harus memiliki kontrol yang sesuai terhadap fisik
aset, termasuk perlengkapan, persediaan, dan surat berharga.
Program aktif dari persediaan fisik secara berkala merupakan
aktivitas pengendalian utama di sini, dan auditor internal dapat
memainkan peran utama dalam pengawasan kepatuhan.

Performance indicators
Manajemen harus mengacu pada sekumpulan data, baik
operasional dan keuangan, dan mengambil Langkah analitis,
investigasi, atau koreksi yang tepat. Proses ini merupakan
kegiatan usaha kontrol yang penting yang juga dapat
memenuhi persyaratan laporan keuangan dan operasional.

Segregation of duties.
Tugas harus dipisahkan antara orang yang berbeda untuk
langkah mengurangi risiko kesalahan atau yang tidak pantas.
Kegiatan pengendalian ini termasuk dalam laporan
pengendalian internal COSO tetapi hanya mewakili sebagian
kecil dari banyaknya kegiatan pengawasan yang dilakukan
dalam kegiatan normal perusahaan. Kegiatan pengendalian

biasanya melibatkan kebijakan menetapkan apa harus


dilakukan dan prosedur untuk dampak kebijakan tersebut.
2) INTEGRATION
ASSESSMENT

OF

CONTROL

ACTIVITIES

WITH

RISK

Aktivitas pengendalian harus terkait erat dengan risiko yang


teridentifikasi dari komponen penilaian risiko pengendalian internal
COSO. Pengendalian internal adalah suatu proses, dan kegiatan
pengendalian yang sesuai harus diterapkan untuk mengatasi risiko
diidentifikasi. Aktivitas pengendalian tidak boleh dilakukan hanya
karena mereka tampaknya menjadi hal yang benar untuk dilakukan
bahkan jika tidak ada risiko yang signifikan di daerah di mana
aktivitas pengendalian akan diterapkan.
3) CONTROLS OVER INFORMATION SYSTEMS
Pengendalian internal COSO framework menekankan bahwa
prosedur pengendalian diperlukan atas semua sistem keuangan
pembentukan IT yang signifikan atau sistem informasi keuangan,
operasional, dan kepatuhan yang terkait.
d. Communications and Information
Informasi yang tepat, didukung oleh sistem IT, kenaikan dan
penurunan perusahaan harus dikomunikasikan dengan cara dan
waktu yang memungkinkan orang untuk melaksanakan tanggung
jawab mereka. Selain system komunikasi formal dan informal,
perusahaan harus memiliki prosedur yang efektif untuk berkomunikasi
dengan pihak internal dan eksternal perushaan. Dan informasi
tersebut harus dikomunikasikan dan dipahami untuk setiap evaluasi
pengendalian internal perusahaan.
Sebuah perusahaan membutuhkan informasi di semua tingkatan
untuk mencapai tujuan operasional, keuangan, dan kepatuhan.
Sebagai contoh, perusahaan membutuhkan informasi untuk
menyiapkan laporan keuangan yang dikomunikasikan kepada
investor luar untuk membuat keputusan pemasaran yang tepat.
Kualitas dari Informasi laporan internal kontrol COSO mempunyai
suatu ringkasan pada pentingnya kualitas informasi. Kualitas system
informasi yang buruk, dipenuhi dengan kesalahan dan kelalaian,
mempengaruhi kemampuan manajemen untuk membuat keputusan
yang tepat. Laporan harus mengandung cukup data dan informasi
untuk mendukung keefektifan aktivitas pengendalian internal. Dan
untuk menentukan kualitas informasi, kita harus memastikan apakah:
!
!
!
!
!

Isi informasi yang dilaporkan adalah tepat.


Informasi ini tepat waktu dan tersedia pada saat diperlukan.
Informasi ini saat ini atau setidaknya terbaru yang tersedia.
Data dan informasi sudah benar.
Informasi ini dapat diakses kepada pihak yang sesuai.

e. Monitoring
System Internal kontrol akan bekerja secara efektif dengan dukungan
yang memadai dari manajemen, prosedur kontrol, dan keterkaitan

informasi dan komunikasi, proses monitoring harus ada untuk


memantau kegiatan ini. Internal auditor melakukan review untuk
menilai kesesuaian dengan prosedur yang ditetapkan. Sebuah proses
pemantauan harus ada, untuk menilai keefektifan komponen yang
ditetapkan dalam pengendalian internal dan untuk mengambil
tindakan korektif jika diperlukan. pengendalian COSO internal
memberikan contoh komponen pemantauan terus menerus terhadap
pengendalian internal :
!

Fungsi normal manajemen operasi. Manajemen melakukan


review atas laporan operasi dan keuangan merupakan suatu
pemantauan penting kegiatan. Namun, perhatian khusus harus
diberikan untuk pengecualian yang dilaporkan dan potensi
penyimpangan pengendalian internal. Pengendalian internal
ditingkatkan jika laporan yang ditelaah secara berkala dan
adanya tindakan korektif untuk setiap pengecualian yang
dilaporkan.

Komunikasi dari pihak eksternal. Komunikasi dengan pihak


ekstenal bisa sebagai ukuran pemantauan, seperti keluhan
pelanggan terhadap nomor telepon, adalah penting, namun,
perusahaan perlu memonitor panggilan tersebut dan kemudian
melakukan tindakan korektif jika diperlukan.

Struktur dan kegiatan pengawasan perusahaan. Sementara


manajemen senior harus selalu meninjau ringkasan laporan dan
mengambil langkah korektif, yang pertama tingkat pengawasan
dan struktur perusahaan sering terkait bahkan peran yang lebih
signifikan dalam pemantauan. COSO menekankan pentingnya
pemisahan tugas yang memadai. Membagi tugas antara
karyawan yang memungkinkan mereka untuk melayani sebagai
cek pemantauan satu sama lain.

Rekonsiliasi fisik persediaan dan aset. Setiap fungsi atau proses


kegiatan perusahaan yang direview secara teratur dan kemudian
menyarankan Langkah perbaikan yang potensial dapat dianggap
sebagai kegiatan monitoring.

Proses evaluasi Pengendalian Internal COSO harus:


! mengembangkan pemahaman tentang desain sistem,
! uji kontrol utama, dan
! mengembangkan kesimpulan berdasarkan hasil tes. Ini benarbenar proses audit internal.