Internal Control Framework:

The COSO Standard

Oleh:
Eriek Kurniawan Koe

A31111279

Andi Rahmat Al Fajri

A31111295

Ayu Novitasari Nasir

A31110103

Fakultas ekonomi dan bisnis

UNIVERSITAS HASANUDDIN
2014

3.1

Pentingnya Pengendalian Internal yang Efektif

Pengendalian internal adalah salah satu konsep yang paling penting dan mendasar
dalam profesional bisnis di semua tingkat baik auditor eksternal maupun auditot
dinternal. Meskipun ada banyak definisi yang sedikit berbeda dari pengendalian internal
di masa lalu, akantetapi sebenarnya pengendalian internal adalah proses yang
dilaksanakan oleh manajemen dan dirancang untuk memberikan keyakinan memadai
untuk:

Informasi keuangan dan operasional yang handal

Kepatuhan terhadap kebijakan dan prosedur, hukum,aturan, dan peraturan
Pengamanan asset
Efisiensi operasional
Pencapaian misi, tujuan dan sasaran untuk operasi serta program

perusahaan
Integritas dan nilai etika

Definisi ini mengakui bahwa pengendalian internal bukan hanya akuntansi dan
keuangan akantetapi mencakup semua proses perusahaan. Sebuah unit usaha atau proses
memiliki pengendalian internal yang baik jika
1.
2.
3.
4.
5.

menyelesaikan misi yang telah ditetapkan dengan cara yang etis

menghasilkan data yang akurat dan dapat diandalkan
mematuhi hukum dan kebijakan perusahaan
menyediakan penggunaan ekonomis dan efisien dari sumber daya
memberikan pengamanan yang tepat untuk aset.

The Institute of Internal Auditors ( IIA ) adalah Standar Internasional untuk

Praktik Audit Internal, mendefinisikan pengendalian internal sebagai setiap tindakan yang
diambil oleh manajemen , dewan , dan lainnya untuk mengelola risiko dan meningkatkan
kemungkinan bahwa tujuan dan sasaran yang ditetapkan akan tercapai.
3.2

Standar pengendalian internal

Secara khusus, tidak ada perikatan konsisten apa yang dimaksud dengan
"pengendalian internal yang baik". Definisi yang pertama berasal dari American Institute
of Certified Public Accountants (AICPA) dan digunakan oleh US Securities and
Exchange Commission (SEC) untuk Securities Exchange Act pada tahun 1934.
Peraturan ini yang menjadi titik awal yang baik. Meskipun telah terjadi perubahan
selama bertahun-tahun, standar pertama AICPA yang dikodifikasikan, yang disebut
Pernyataan tentang Standar Pemeriksaan Keuangan (SAS No.1), yang didefinisikan

praktek audit laporan keuangan eksternal di Amerika Serikat selama bertahun-tahun.

Yang digunakan dalam definisi pengendalian internal:
Pengendalian internal terdiri dari rencana perusahaan dan semua metode dan
langkah-langkah yang diadopsi untuk bisnis guna melindungi aktiva, mengecek
keakuratan dan keandalan data akuntansi, meningkatkan efisiensi operasional, dan
mendorong kepatuhan terhadap kebijakan manajerial yang ditentukan
Pengendalian akuntansi meliputi rencana perusahaan dan prosedur dan catatan
yang berkaitan dengan pengamanan aset dan keandalan catatan keuangan dan akibatnya
ini dirancang untuk memberikan keyakinan memadai bahwa:
a) Transaksi dilakukan sesuai dengan otorisasi manajemen umum maupun khusus
b) Transaksi dicatat seperlunya
(1) untuk memungkinkan penyusunan laporan keuangan sesuai dengan prinsip
akuntansi yang berlaku umum atau kriteria lain yang berlaku untuk pernyataan tersebut
dan
(2) untuk mempertahankan akuntabilitas aktiva
c) Akses ke aktiva hanya diperbolehkan sesuai dengan otorisasi manajemen
d) Pertanggungjawaban tercatat untuk aktiva dibandingkan dengan aset yang ada pada
interval yang wajar dan tindakan telah sesuai diambil sehubungan dengan perbedaan.
Selama tahun 1970-an, SEC dan AICPA merilis banyak definisi pengendalian
internal dan audit ksternal yang diberikan sebagai pedoman.
a. Definisi Pengendalian Internal: Praktik Korupsi Asing Act tahun 1977
FCPA melarang suap untuk asing non-AS-pejabat dan juga berisi ketentuan yang
mensyaratkan penyimpanan buku dan catatan yang akurat serta sistem pengendalian
akuntansi internal. Menggunakan terminologi yang diambil langsung dari undangundang, FCPA mengharuskan SEC-diatur perusahaan harus:

Membuat dan menyimpan pembukuan, catatan, dan rekening, yang, secara rinci yang

wajar, akurat dan adil mencerminkan transaksi dan disposisi aset dari penerbit.
Merancang dan memelihara sistem akuntansi internal kontrol yang cukup untuk
memberikan jaminan yang wajar bahwa:
-Transaksi dilakukan sesuai dengan otorisasi manajemen umum maupun khusus
-Transaksi dicatat seperlunya baik untuk memungkinkan penyusunan laporan keuangan
sesuai dengan prinsip akuntansi yang berlaku umum (GAAP) atau kriteria lain yang

berlaku atas laporan tersebut, dan juga untuk mempertahankan akuntabilitas untuk aktiva
Akses ke aktiva hanya diperbolehkan sesuai dengan otorisasi manajemen umum maupun
khusus

Pertanggungjawaban tercatat untuk aktiva dibandingkan dengan aset yang ada di internal
yang wajar, dan tindakan telah sesuai diambil sehubungan dengan perbedaan.

b. Aftermath FCPA: Apa yang terjadi?

Ketika diberlakukan, FCPA mengakibatkan upaya besar untuk menilai dan
mendokumentasikan sistem pengendalian internal di perusahaan besar di Amerika
Serikat. Perusahaan yang belum pernah secara resmi didokumentasikan prosedur
pengendalian internal mereka memulai upaya kepatuhan utama. Seringkali untuk
dokumentasi FCPA, tanggung jawab diberikan kepada departemen audit internal, yang
menggunakan usaha terbaik mereka untuk mematuhi ketentuan pengendalian internal dari
FCPA. Ketika diberlakukan pada 1977, FCPA menekankan pentingnya pengendalian
internal yang efektif meskipun tidak ada definisi yang konsisten dari pengendalian
internal pada saat itu. Namun, FCPA mengingatkan pentingnya pengendalian internal.
FCPA adalah langkah awal yang penting untuk membantu perusahaan agar berpikir
tentang perlunya pengendalian internal yang efektif, meskipun tidak ada pedoman atau
standar atas persyaratan dokumentasi FCPA ini sistem.
3.3

EVENTS LEADINGS TO THE TREADWAY COMMISIONS

Meskipun persyaratan FCPA untuk pentingnya pengendalian internal, akantetapi tidak

ada pemahaman yang jelas dan konsisten dari apa yang dimaksud dengan pengendalian internal
yang baik. Pada akhir 1970-an, auditor eksternal hanya melaporkan bahwa laporan keuangan
perusahaan itu "cukup disajikan"; tidak ada yang menyebutkan kecukupan prosedur
pengendalian

internal

yang

mereka

audit.

FCPA

yang

mengharuskan

perusahaan

mendokumentasikan pengendalian internal mereka akantetapi perusahaan tidak meminta auditor

eksternal untuk membuktikan apakah perusahaan dalam kepatuhan dengan pengendalian internal
yang disyaratkan pelaporan FCPA itu. The SEC kemudian mulai studi tentang kecukupan
pengendalian intern dan menerbitkan serangkaian laporan. Pada tahun 1974, AICPA membentuk
Komisi tingkat tinggi tentang tanggung-kegiatan Auditor. Kelompok ini, yang lebih dikenal
kemudian sebagai Komisi Cohen (Cohen Commisions)_, yang merekomendasikan bahwa
pernyataan tentang kondisi pengendalian internal suatu perusahaan harus diperlukan bersama
dengan laporan keuangan mereka.

Secara khusus, rekomendasi laporan itu tidak tepat tentang apa yang dimaksud dengan
"melaporkan pengendalian internal," dan eksternal auditor menyatakan keprihatinan yang kuat
tentang peran mereka dalam proses ini. Auditor eksternal prihatin tentang kewajiban potensial
jika laporan mereka pada pengendalian internal memberikan sinyal tidak konsisten karena
kurangnya pemahaman atas definisi standar pengendalian internal. Manajemen perusahaan tidak
memiliki definisi yang konsisten dari pengendalian internal. Perusahaan yang berbeda mungkin
menggunakan persyaratan yang berbeda pula. Jika suatu perusahaan melaporkan bahwa kontrol
perusahaan adalah "cukup" dan jika auditor yang diterima orang-orang dalam pernyataan yang
memberikan laporan, auditor eksternal bisa dikritisi.
Eksekutif Keuangan Internasional (FEI), sebuah organisasi profesional, terlibat dalam
kontroversi pelaporan ini. Sama seperti IIA adalah organisasi ini profesional untuk auditor
internal dan AICPA merupakan akuntan publik di Amerika Serikat, FEI merupakan pejabat
keuangan senior perusahaan. Pada akhir 1970-an, FEI mendukung pengendalian internal yang
direkomendasikan Komisi Cohen dan setuju bahwa perusahaan harus melaporkan status kontrol
internal mereka. Akibatnya, banyak perusahaan AS mulai membahas kecukupan pengendalian
internal sebagai bagian dari surat manajemen laporan tahunan mereka.
SEC kemudian mengeluarkan aturan yang diusulkan menyerukan laporan pada sistem
pengendalian akuntansi internal entitas. The SEC menyatakan bahwa informasi tentang
efektivitas sistem pengendalian internal suatu entitas diperlukan untuk memungkinkan investor
untuk mengevaluasikinerja manajemen dan integritas diterbitkan laporan keuangan. Proposal
SEC ini kembali membangkitkan badai kontroversi, banyak kepala pejabat eksekutif (CEO) dan
chief financial officer (CFO) merasa bahwa ini terlalu berat, terutama di atas peraturan FCPA
yang baru dirilis. Akantetapi SEC tetap mensyaratkan untuk laporan terpisah pada control
internal sebagai bagian dari laporan tahunan untuk pemegang saham tetapi berjanji merilis
peraturan di kemudian hari.

Sebelum AICPA Standards: SAS No 55

Sebelum SOx, AICPA bertanggung jawab untuk mengeluarkan standar audit

eksternal melalui Pernyataan Standar Auditing (Sass). Sebagaimana dibahas untuk SAS
No 1, standar ini membentuk dasar dari review auditor eksternal tentang kewajaran
laporan keuangan yang dipublikasikan. Meskipun mereka mengalami beberapa
perubahan selama bertahun-tahun, pada 1970-an dan 1980-an, AICPA sering dikritik

bahwa standar audit tidak memberikan bimbingan yang memadai baik auditor eksternal
atau pengguna laporan mereka. Masalah ini disebut "kesenjangan harapan," karena
standar akuntansi umum yang ada tidak memenuhi harapan investor. Untuk menjawab
kritik ini, AICPA merilis serangkaian Sass baru antara tahun 1980 dan 1985. Ini termasuk
SAS No 30, Laporan tentang Pengendalian Intern Akuntansi, yang memberikan panduan
untuk terminologi yang digunakan dalam laporan pengendalian akuntansi internal.
Namun, sama sekali tidak memberikan banyak bantuan. Untuk itu, kemudian diterbitkan
SAS No 55 yang menetapkan pengendalian internal dalam hal tiga unsur utama:
Lingkungan Pengendalian
Sistem akuntansi
Prosedur Pengendalian
SAS No 55 menyajikan pendekatan yang berbeda untuk memahami pengendalian
internal daripada yang telah digunakan di masa lalu, dan itu telah memberikan dasar untuk
banyak pemahaman berkelanjutan dari pengendalian internal.
SAS No 55 didefinisikan pengendalian internal dengan cara yang jauh lebih luas dan
memberikan dasar untuk definisi laporan COSO. SAS No 55 berlaku efektif pada tahun 1990
dan merupakan langkah besardalam mendefinisikan pengendalian internal yang tepat.

Komite Treadway Report

Selama akhir 1970-an dan awal 1980-an, banyak perusahaan besar AS gagal karena

inflasi tinggi dan suku bunga tinggi yang dihasilkan. Banyak kali perusahaan melaporkan
penghasilan yang memadai dalam laporan keuangan yang telah diaudit. Akhirnya Komisi
Nasional Pelaporan Keuangan Penipuan dibentuk. Ini dibentuk dari lima organisasi profesi:
IIA, AICPA, dan FEI, AAA dan IMA. AAA adalah organisasi profesional untuk akuntan
akademis. IMA adalah organisasi profesional untuk manajerial atau akuntan biaya. Komisi
Nasional Pelaporan Keuangan Penipuan kemudian disebut Komisi Treadwayz. Tujuan
utamanya adalah untuk mengidentifikasi faktor-faktor penyebab yang memungkinkan
kecurangan pelaporan keuangan dan untuk membuat rekomendasi agar mengurangi insiden
ini. Komisi ini akhirnya menerbitkan laporan pada tahun 1987 dan termasuk rekomendasi
kepada manajemen, dewan direksi, profesi akuntan publik, dan lain-lain. Laporan ini
menyerukan laporan manajemen tentang efektivitas sistem pengendalian internal dan
menekankan elemen kunci yang harus ada dalam sistem pengendalian internal, termasuk
lingkungan pengendalian, kode etik, komite audit yang kompeten dan terlibat, dan fungsi

audit internal yang kuat. Akantetapi Laporan Komisi Treadway lagi-lagi menunjukkan
kurangnya definisi yang konsisten dari pengendalian internal. Hal yang sama COSO yang
dikelola laporan Treadway kemudian dikontrak dengan spesialis dari luar dan memulai
sebuah proyek baru untuk menentukan konsep pengendalian internal. Meskipun tidak
mengeluarkan standar, laporan Treadway penting dalam meningkatkan tingkat kepedulian
dan perhatian mengenai pelaporan pengendalian internal. Pada kenyataannya, banyak upaya
ini berlangsung hampir secara paralel. Upaya 20 tahun ini didefinisikan ulang pengendalian
internal sebagai dasar metodologi dan diuraikan secara terminologi untuk profesional bisnis
dan auditor. Hasilnya adalah hadirnya kerangka pengendalian internal COSO yang dibahas
dalam buku ini.
3.4

COSO INTERNAL CONTROL FRAMEWORK

Pengendalian internal adalah proses, dipengaruhi oleh dewan direksi, manajemen, dan
personil lainnya dalam suatu entitas, dirancang untuk memberikan keyakinan memadai
tentang pencapaian tujuan dalam kategori berikut:
-

efektivitas dan efisiensi operasi

keandalan pelaporan keuangan
kepatuhan terhadap hukum dan peraturan yang berlaku

A. Control environment / lingkungan pengendalian

Lingkungan pengendalian merupakan pondasi dari semua komponen pengendalian intern
lainnya yang menyediakan disiplin dan struktur. Lingkungan pengendalian menetapkan

suasana dari suatu organisasi yang mempengaruhi kesadaran akan pengendalian dari
i.

orang-orangnya. Komponen dari lingkungan pengendalian adalah sebagai berikut :

Integritas dan nilai etika
Integitas dan nilai etika suatu perusahaan merupakan elemen lingkungan pengendalian
yang penting. Untuk menekan pentingnya integritas dan nilai etika di antara semua
personel dalam organisasi, CEO dan manajemen puncak lainnya harus:

ii.

menetapkan suasana dengan cara mempraktikkan standar yang tinggi dan perilku etis
mengkomunikasikan kepada seluruh karyawan
memberi bimbingan moral kepada karyawan yang mempunyai latar belakang moral

yang kurang baik

mengurangi atau menghilangkan insentif dan godaan yang dapat mengarahkan

individu untuk melakukan tindakan yang tidak jujur, melawan hukum atau tidak etis.
Komitmen terhadap kompetensi
Komitmen terhadap kompetensi mencakup pertimbangan manajemen mengenai
pengetahuan dan keahlian yang diperlukan dan bauran dari intelegensi, pelatihan, dan

iii.

pengalaman yang diperlukan untuk mengembangkan kompetensi tersebut.

Dewan direksi dan komite audit
Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan direksi dan komite
audit. Di tahun sebelum Sox, dewan dan komite audit sering didominasi oleh manajemen
senior di dalam direksi. Ini menciptakan situasi dimana dewan tidak benar-benar
independen dari manajemen. Namun sekarang setelah muncul Sox, sangat dibutuhkan
komite audit yang benar-benar independen. Dewan yang aktif dan mandiri merupakan
komponen penting dari lingkungan pengendalian COSO.

iv.

Filosofi dan gaya operasi manajemen

Filosofi memiliki pengaruh besar atas lingkungan pengendalian suatu perusahaan.
beberapa manajer tingkat atas mengambil tingkat risiko yang signifikan dalam bisnis baru
mereka atau usaha produk, yang lainnya sangat berhati-hati atau konservatif.
Pertimbangan filosofi dan gaya operasi manajemen adalah bagian dari lingkungan
pengendalian suatu perusahaan. Auditor internal yang bertanggung jawab untuk menilai
pengendalian internal harus memahami faktor-faktor ini dan membawa mereka menjadi

v.

pertimbangan ketika mengevaluasi efektivitas pengendalian internal.

Struktur organisasi
Struktur organisasi berkontribusi terhadap kemampuan suatu entitas untuk memenuhi
tujuan dengan menyediakan kerangka kerja menyeluruh atas perencanaan, pelaksaan,

pengendalian, dan pemantauan aktivitas suatu entitas. Struktur organisasi entitas biasanya
digambarkan dalam suatu bagan organisasi yang harus secara akurat merefleksikan garis
wewenang dan hubungan pelaporan. Kalau organisasi terlalu besar, maka terjadi
birokrasi, perlambatan keputusan, pembengkakan biaya overhead. Namun kalo organisasi
terlalu kecil, maka juga kurang baik dalam pengambilan keputusannya.
vi.

Penetapan wewenang dan tanggung jawab

Struktur organisasi suatu perusahaan mendefinisikan tugas dan integrasi dari usaha kerja
total. Wewenang dan tanggung jawab mencakup penjelasan-penjelasan mengenai
bagaimana dan kepada siapa wewenang dan tanggung jawab untuk semua aktivitas
entitas dibebankan, dan harus memungkinkan individu untuk mengetahui (1) bagaimana
tindakannya saling berhubungan dengan individu lainnya dalam memberikan kontribusi
terhadap pencapaian tujuan entitas, dan (2) setiap individu akan bertanggung jawab atas
hal apa .
Kebijakan dan praktik sumberdaya manusia
Kebijakan dan prosedur sumberdaya manusia yang diterapkan akan menjamin bahwa

vii.

personel entitas memiliki tingkat integritas, nilai etika, dan kompetensi yang diharapkan.
a.
b.
c.
d.
viii.

Area dimana kebijakan dan praktik sumber daya manusia sangat penting meliputi:
rekrutmen dan hiring
orientasi karyawan baru
evaluasi, promosi, kompensasi
mendisiplinkan tindakan
Lingkungan pengendalian COSO dalam suatu perspektif

Lingkungan pengendalian merupakan pondasi dalam piramida di atas. Komunikasi dan

komponen informasi tidak ditampilkan sebagai lapisan individu dalam model tetapi
komponen sisi yang meliputi lapisan penilaian risiko dan kegiatan pengendalian.

B. Risk assessment / Penilaian Risiko

Kemampuan suatu entitas untuk mencapai tujuannya dapat berisiko karena berbagai
faktor internal dan eksternal .
COSO mendeskripsikan penilaian risiko dalam tiga proses :
1. Mengestimasi pentingnya risiko
2. Menilai kemungkinan terjadinya risiko
3. mempertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa yang
harus diambil
Kerangka

lingkungan

pengendalian

COSO

menunjukkan

bahwa

risiko

harus

dipertimbangkan dari tiga perspektif :

risiko perusahaan disebabkan oleh faktor eksternal

risiko perusahaan disebabkan oleh faktor internal
risiko tingkat kegiatan tertentu

C. Control Activities / Aktivitas pengendalian

Kebijakan dan prosedur yang membantu memastikan bahwa perintah manajemen telah
dilaksanakan. Aktivitas pengendalian membantu memastikan bahwa tindakan yang
i.

diperlukan berkenaan dengan risiko telah diambil untuk pencapaian tujuan entitas.
Tipe aktivitas pengendalian
Top-level reviews : manajemen dan auditor internal di berbagai level seharusnya
mereview hasil kinerja mereka, apakah sesuai dengan anggaran, statistik kompetitif, dan

acuan pengukuran lain.

Direct functional or activity management : manajer di berbagi level seharusnya mereview
laporan operasional dari pengendalian internal mereka dan mengambil tindakan korektif

yang sesuai
Information processing : bagaimana data diproses menjadi informasi. Sistem TI terdiri
dari banyak pengendalian di mana sistem internal memeriksa kepatuhan di daerah

tertentu dan kemudian melaporkan setiap pengecualian dari pengendalian internal.

Physical controls : perusahaan harus memiliki kontrol yang tepat atas aset fisik, termasuk

perlengkapan, persediaan, dan penawaran sekuritas

Performance indicators : manajemen harus menghubungkan seperangkat data, baik
operasional maupun keuangan satu sama lain dan mengambil analitis yang sesuai,

ii.

tindakan investigasi atau korektif

Segregation of duties : tugas-tugas seharusnya dipisahkan antara orang yang berbeda
untuk mengurangi risiko kesalahan atau tindakan tidak tepat.
Integrasi aktivitas pengendalian dengan penilaian risiko

Apakah tipe-tipe aktivitas pengendalian sudah diintegrasikan dengan hasil penilaian

risiko. Aktivitas pengendalian harus berhubungan erat dengan risiko yang teridentifikasi
dari komponen penilaian risiko pengendalian internal COSO
Pengendalian atas sistem informasi

iii.

Kerangka pengendalian internal COSO menekankan bahwa prosedur pengendalian

dibutuhkan untuk seluruh teknologi informasi penting atau sistem informasi seperti
keuangan, operasional, dan kepatuhan yang terkait. Apakah sistem informasi senantiasa
direview secara berkala meskipun sudah dilakukan otomatisasi sistem ?
D. Communications and Information / Komunikasi dan Informasi
- Hubungan informasi dan pengendalian internal
Perusahaan membutuhkan informasi dari semua tingkatan dalam perusahaan untuk
mencapai tujuan operasional, keuangan, dan kepatuhan. Contoh : perusahaan
membutuhkan

informasi

untuk

mempersiapkan

laporan

keuangan

yang

akan

dikomunikasikankepada investor luar sebagaimana biaya internal dan informasi

preferensi pasar eksternal untuk membuat keputusan pemasaran yang tepat.

Strategi dan sistem integrasi
Melalui sistem strategi, pengendalian internal COSO melaporkan bahwa manajemen
seharusnya mempertimbangkan perencanaan, desain dan implementasi dari sistem

informasinya sebagai bagian dari strategi perusahaan secara keseluruhan.

Kualitas informasi
Untuk menentukan kualitas dari informasi maka harus dipastikan apakah :
a. isi dari informasi yang dilaporkan sesuai
b. informasi tersebut tepat waktu dan tersedia bila diperlukan
c. informasi yang tersedia merupakan informasi terbaru / terkini
d. data dan informasi sudah benar
e. informasi tersebut dapat diakses oleh pihak yang tepat / seluruh unit dalam organisasi
Aspek komunikasi dari pengendalian internal
Komunikasi : komponen internal
Komunikasi eksternal
Cara dan metode komunikasi

E.

Monitoring / Pemantauan
Aktivitas pemantauan terus menerus
Operating management normal functions
Communication from external parties
Enterprise structure and supervisory activities
Physical inventories and asset reconciliation

- Evaluasi pengendalian internal terpisah

Proses evaluasi pengendalian internal
Apakah dilakukan evaluasi secara berkala terhadap proses pengendalian internal?
Rencana kegiatan evaluasi
Apabila terjadi penyimpangan atau kesalahan, apakah ada rencana evaluasi untuk
memperbaiki sehingga menjadi lebih baik ?
-

Melaporkan kekurangan pengendalian internal

temuan tentang adanya kekurangan pengendalian

internal

biasanya

harus

dilaporkan.Tidak hanya untuk individu yang bertanggung jawab atas fungsi atau kegiatan
yang terlibat tetapi juga untuk setidaknya satu tingkat manajemen.