Internal Control Framework: The COSO Standard

Oleh: Eriek Kurniawan Koe Andi Rahmat Al Fajri Ayu Novitasari Nasir A31111279 A31111295 A31110103

Fakultas ekonomi dan bisnis UNIVERSITAS HASANUDDIN 2014

3.1 Pentingnya Pengendalian Internal yang Efektif

Pengendalian internal adalah salah satu konsep yang paling penting dan mendasar dalam profesional bisnis di semua tingkat baik auditor eksternal maupun auditot dinternal. Meskipun ada banyak definisi yang sedikit berbeda dari pengendalian internal di masa lalu, akantetapi sebenarnya pengendalian internal adalah proses yang dilaksanakan oleh manajemen dan dirancang untuk memberikan keyakinan memadai untuk: Informasi keuangan dan operasional yang handal Kepatuhan terhadap kebijakan dan prosedur, hukum,aturan, dan peraturan Pengamanan asset Efisiensi operasional Pencapaian misi, tujuan dan sasaran untuk operasi serta program perusahaan Integritas dan nilai etika

Definisi ini mengakui bahwa pengendalian internal bukan hanya akuntansi dan keuangan akantetapi mencakup semua proses perusahaan. Sebuah unit usaha atau proses memiliki pengendalian internal yang baik jika 1. menyelesaikan misi yang telah ditetapkan dengan cara yang etis 2. menghasilkan data yang akurat dan dapat diandalkan 3. mematuhi hukum dan kebijakan perusahaan 4. menyediakan penggunaan ekonomis dan efisien dari sumber daya 5. memberikan pengamanan yang tepat untuk aset. The Institute of Internal Auditors ( IIA ) adalah Standar Internasional untuk Praktik Audit Internal, mendefinisikan pengendalian internal sebagai setiap tindakan yang diambil oleh manajemen , dewan , dan lainnya untuk mengelola risiko dan meningkatkan kemungkinan bahwa tujuan dan sasaran yang ditetapkan akan tercapai. 3.2 Standar pengendalian internal Secara khusus, tidak ada perikatan konsisten apa yang dimaksud dengan "pengendalian internal yang baik". Definisi yang pertama berasal dari American Institute of Certified Public Accountants (AICPA) dan digunakan oleh US Securities and Exchange Commission (SEC) untuk Securities Exchange Act pada tahun 1934. Peraturan ini yang menjadi titik awal yang baik. Meskipun telah terjadi perubahan

selama bertahun-tahun, standar pertama AICPA yang dikodifikasikan, yang disebut Pernyataan tentang Standar Pemeriksaan Keuangan (SAS No.1), yang didefinisikan praktek audit laporan keuangan eksternal di Amerika Serikat selama bertahun-tahun. Yang digunakan dalam definisi pengendalian internal: Pengendalian internal terdiri dari rencana perusahaan dan semua metode dan langkah-langkah yang diadopsi untuk bisnis guna melindungi aktiva, mengecek keakuratan dan keandalan data akuntansi, meningkatkan efisiensi operasional, dan mendorong kepatuhan terhadap kebijakan manajerial yang ditentukan Pengendalian akuntansi meliputi rencana perusahaan dan prosedur dan catatan yang berkaitan dengan pengamanan aset dan keandalan catatan keuangan dan akibatnya ini dirancang untuk memberikan keyakinan memadai bahwa: a) Transaksi dilakukan sesuai dengan otorisasi manajemen umum maupun khusus b) Transaksi dicatat seperlunya (1) untuk memungkinkan penyusunan laporan keuangan sesuai dengan prinsip akuntansi yang berlaku umum atau kriteria lain yang berlaku untuk pernyataan tersebut dan (2) untuk mempertahankan akuntabilitas aktiva c) Akses ke aktiva hanya diperbolehkan sesuai dengan otorisasi manajemen d) Pertanggungjawaban tercatat untuk aktiva dibandingkan dengan aset yang ada pada interval yang wajar dan tindakan telah sesuai diambil sehubungan dengan perbedaan. Selama tahun 1970-an, SEC dan AICPA merilis banyak definisi pengendalian internal dan audit ksternal yang diberikan sebagai pedoman. a. Definisi Pengendalian Internal: Praktik Korupsi Asing Act tahun 1977 FCPA melarang suap untuk asing non-AS-pejabat dan juga berisi ketentuan yang mensyaratkan penyimpanan buku dan catatan yang akurat serta sistem pengendalian akuntansi internal. Menggunakan terminologi yang diambil langsung dari undangundang, FCPA mengharuskan SEC-diatur perusahaan harus: Membuat dan menyimpan pembukuan, catatan, dan rekening, yang, secara rinci yang wajar, akurat dan adil mencerminkan transaksi dan disposisi aset dari penerbit. Merancang dan memelihara sistem akuntansi internal kontrol yang cukup untuk memberikan jaminan yang wajar bahwa:

-Transaksi dilakukan sesuai dengan otorisasi manajemen umum maupun khusus -Transaksi dicatat seperlunya baik untuk memungkinkan penyusunan laporan keuangan sesuai dengan prinsip akuntansi yang berlaku umum (GAAP) atau kriteria lain yang berlaku atas laporan tersebut, dan juga untuk mempertahankan akuntabilitas untuk aktiva Akses ke aktiva hanya diperbolehkan sesuai dengan otorisasi manajemen umum maupun khusus Pertanggungjawaban tercatat untuk aktiva dibandingkan dengan aset yang ada di internal yang wajar, dan tindakan telah sesuai diambil sehubungan dengan perbedaan.

b. Aftermath FCPA: Apa yang terjadi? Ketika diberlakukan, FCPA mengakibatkan upaya besar untuk menilai dan mendokumentasikan sistem pengendalian internal di perusahaan besar di Amerika Serikat. Perusahaan yang belum pernah secara resmi didokumentasikan prosedur pengendalian internal mereka memulai upaya kepatuhan utama. Seringkali untuk dokumentasi FCPA, tanggung jawab diberikan kepada departemen audit internal, yang menggunakan usaha terbaik mereka untuk mematuhi ketentuan pengendalian internal dari FCPA. Ketika diberlakukan pada 1977, FCPA menekankan pentingnya pengendalian internal yang efektif meskipun tidak ada definisi yang konsisten dari pengendalian internal pada saat itu. Namun, FCPA mengingatkan pentingnya pengendalian internal. FCPA adalah langkah awal yang penting untuk membantu perusahaan agar berpikir tentang perlunya pengendalian internal yang efektif, meskipun tidak ada pedoman atau standar atas persyaratan dokumentasi FCPA ini sistem. 3.3 EVENTS LEADINGS TO THE TREADWAY COMMISIONS Meskipun persyaratan FCPA untuk pentingnya pengendalian internal, akantetapi tidak ada pemahaman yang jelas dan konsisten dari apa yang dimaksud dengan pengendalian internal yang baik. Pada akhir 1970-an, auditor eksternal hanya melaporkan bahwa laporan keuangan perusahaan itu "cukup disajikan"; tidak ada yang menyebutkan kecukupan prosedur pengendalian internal yang mereka audit. FCPA yang mengharuskan perusahaan

mendokumentasikan pengendalian internal mereka akantetapi perusahaan tidak meminta auditor eksternal untuk membuktikan apakah perusahaan dalam kepatuhan dengan pengendalian internal yang disyaratkan pelaporan FCPA itu. The SEC kemudian mulai studi tentang kecukupan

pengendalian intern dan menerbitkan serangkaian laporan. Pada tahun 1974, AICPA membentuk Komisi tingkat tinggi tentang tanggung-kegiatan Auditor. Kelompok ini, yang lebih dikenal kemudian sebagai Komisi Cohen (Cohen Commisions)_, yang merekomendasikan bahwa pernyataan tentang kondisi pengendalian internal suatu perusahaan harus diperlukan bersama dengan laporan keuangan mereka. Secara khusus, rekomendasi laporan itu tidak tepat tentang apa yang dimaksud dengan "melaporkan pengendalian internal," dan eksternal auditor menyatakan keprihatinan yang kuat tentang peran mereka dalam proses ini. Auditor eksternal prihatin tentang kewajiban potensial jika laporan mereka pada pengendalian internal memberikan sinyal tidak konsisten karena kurangnya pemahaman atas definisi standar pengendalian internal. Manajemen perusahaan tidak memiliki definisi yang konsisten dari pengendalian internal. Perusahaan yang berbeda mungkin menggunakan persyaratan yang berbeda pula. Jika suatu perusahaan melaporkan bahwa kontrol perusahaan adalah "cukup" dan jika auditor yang diterima orang-orang dalam pernyataan yang memberikan laporan, auditor eksternal bisa dikritisi. Eksekutif Keuangan Internasional (FEI), sebuah organisasi profesional, terlibat dalam kontroversi pelaporan ini. Sama seperti IIA adalah organisasi ini profesional untuk auditor internal dan AICPA merupakan akuntan publik di Amerika Serikat, FEI merupakan pejabat keuangan senior perusahaan. Pada akhir 1970-an, FEI mendukung pengendalian internal yang direkomendasikan Komisi Cohen dan setuju bahwa perusahaan harus melaporkan status kontrol internal mereka. Akibatnya, banyak perusahaan AS mulai membahas kecukupan pengendalian internal sebagai bagian dari surat manajemen laporan tahunan mereka. SEC kemudian mengeluarkan aturan yang diusulkan menyerukan laporan pada sistem pengendalian akuntansi internal entitas. The SEC menyatakan bahwa informasi tentang efektivitas sistem pengendalian internal suatu entitas diperlukan untuk memungkinkan investor untuk mengevaluasikinerja manajemen dan integritas diterbitkan laporan keuangan. Proposal SEC ini kembali membangkitkan badai kontroversi, banyak kepala pejabat eksekutif (CEO) dan chief financial officer (CFO) merasa bahwa ini terlalu berat, terutama di atas peraturan FCPA yang baru dirilis. Akantetapi SEC tetap mensyaratkan untuk laporan terpisah pada control internal sebagai bagian dari laporan tahunan untuk pemegang saham tetapi berjanji merilis peraturan di kemudian hari. Sebelum AICPA Standards: SAS No 55

Sebelum SOx, AICPA bertanggung jawab untuk mengeluarkan standar audit eksternal melalui Pernyataan Standar Auditing (Sass). Sebagaimana dibahas untuk SAS No 1, standar ini membentuk dasar dari review auditor eksternal tentang kewajaran laporan keuangan yang dipublikasikan. Meskipun mereka mengalami beberapa perubahan selama bertahun-tahun, pada 1970-an dan 1980-an, AICPA sering dikritik bahwa standar audit tidak memberikan bimbingan yang memadai baik auditor eksternal atau pengguna laporan mereka. Masalah ini disebut "kesenjangan harapan," karena standar akuntansi umum yang ada tidak memenuhi harapan investor. Untuk menjawab kritik ini, AICPA merilis serangkaian Sass baru antara tahun 1980 dan 1985. Ini termasuk SAS No 30, Laporan tentang Pengendalian Intern Akuntansi, yang memberikan panduan untuk terminologi yang digunakan dalam laporan pengendalian akuntansi internal. Namun, sama sekali tidak memberikan banyak bantuan. Untuk itu, kemudian diterbitkan SAS No 55 yang menetapkan pengendalian internal dalam hal tiga unsur utama: Lingkungan Pengendalian Sistem akuntansi Prosedur Pengendalian

SAS No 55 menyajikan pendekatan yang berbeda untuk memahami pengendalian internal daripada yang telah digunakan di masa lalu, dan itu telah memberikan dasar untuk banyak pemahaman berkelanjutan dari pengendalian internal. SAS No 55 didefinisikan pengendalian internal dengan cara yang jauh lebih luas dan memberikan dasar untuk definisi laporan COSO. SAS No 55 berlaku efektif pada tahun 1990 dan merupakan langkah besardalam mendefinisikan pengendalian internal yang tepat. Komite Treadway Report Selama akhir 1970-an dan awal 1980-an, banyak perusahaan besar AS gagal karena inflasi tinggi dan suku bunga tinggi yang dihasilkan. Banyak kali perusahaan melaporkan penghasilan yang memadai dalam laporan keuangan yang telah diaudit. Akhirnya Komisi Nasional Pelaporan Keuangan Penipuan dibentuk. Ini dibentuk dari lima organisasi profesi: IIA, AICPA, dan FEI, AAA dan IMA. AAA adalah organisasi profesional untuk akuntan akademis. IMA adalah organisasi profesional untuk manajerial atau akuntan biaya. Komisi Nasional Pelaporan Keuangan Penipuan kemudian disebut Komisi Treadwayz. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor penyebab yang memungkinkan

kecurangan pelaporan keuangan dan untuk membuat rekomendasi agar mengurangi insiden ini. Komisi ini akhirnya menerbitkan laporan pada tahun 1987 dan termasuk rekomendasi kepada manajemen, dewan direksi, profesi akuntan publik, dan lain-lain. Laporan ini menyerukan laporan manajemen tentang efektivitas sistem pengendalian internal dan menekankan elemen kunci yang harus ada dalam sistem pengendalian internal, termasuk lingkungan pengendalian, kode etik, komite audit yang kompeten dan terlibat, dan fungsi audit internal yang kuat. Akantetapi Laporan Komisi Treadway lagi-lagi menunjukkan kurangnya definisi yang konsisten dari pengendalian internal. Hal yang sama COSO yang dikelola laporan Treadway kemudian dikontrak dengan spesialis dari luar dan memulai sebuah proyek baru untuk menentukan konsep pengendalian internal. Meskipun tidak mengeluarkan standar, laporan Treadway penting dalam meningkatkan tingkat kepedulian dan perhatian mengenai pelaporan pengendalian internal. Pada kenyataannya, banyak upaya ini berlangsung hampir secara paralel. Upaya 20 tahun ini didefinisikan ulang pengendalian internal sebagai dasar metodologi dan diuraikan secara terminologi untuk profesional bisnis dan auditor. Hasilnya adalah hadirnya kerangka pengendalian internal COSO yang dibahas dalam buku ini. 3.4 COSO INTERNAL CONTROL FRAMEWORK Pengendalian internal adalah proses, dipengaruhi oleh dewan direksi, manajemen, dan personil lainnya dalam suatu entitas, dirancang untuk memberikan keyakinan memadai tentang pencapaian tujuan dalam kategori berikut: efektivitas dan efisiensi operasi keandalan pelaporan keuangan kepatuhan terhadap hukum dan peraturan yang berlaku

A. Control environment / lingkungan pengendalian Lingkungan pengendalian merupakan pondasi dari semua komponen pengendalian intern lainnya yang menyediakan disiplin dan struktur. Lingkungan pengendalian menetapkan suasana dari suatu organisasi yang mempengaruhi kesadaran akan pengendalian dari orang-orangnya. Komponen dari lingkungan pengendalian adalah sebagai berikut : i. Integritas dan nilai etika Integitas dan nilai etika suatu perusahaan merupakan elemen lingkungan pengendalian yang penting. Untuk menekan pentingnya integritas dan nilai etika di antara semua personel dalam organisasi, CEO dan manajemen puncak lainnya harus: menetapkan suasana dengan cara mempraktikkan standar yang tinggi dan perilku etis mengkomunikasikan kepada seluruh karyawan memberi bimbingan moral kepada karyawan yang mempunyai latar belakang moral yang kurang baik mengurangi atau menghilangkan insentif dan godaan yang dapat mengarahkan individu untuk melakukan tindakan yang tidak jujur, melawan hukum atau tidak etis. ii. Komitmen terhadap kompetensi Komitmen terhadap kompetensi mencakup pertimbangan manajemen mengenai pengetahuan dan keahlian yang diperlukan dan bauran dari intelegensi, pelatihan, dan pengalaman yang diperlukan untuk mengembangkan kompetensi tersebut. iii. Dewan direksi dan komite audit

Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan direksi dan komite audit. Di tahun sebelum Sox, dewan dan komite audit sering didominasi oleh manajemen senior di dalam direksi. Ini menciptakan situasi dimana dewan tidak benar-benar independen dari manajemen. Namun sekarang setelah muncul Sox, sangat dibutuhkan komite audit yang benar-benar independen. Dewan yang aktif dan mandiri merupakan komponen penting dari lingkungan pengendalian COSO. iv. Filosofi dan gaya operasi manajemen Filosofi memiliki pengaruh besar atas lingkungan pengendalian suatu perusahaan. beberapa manajer tingkat atas mengambil tingkat risiko yang signifikan dalam bisnis baru mereka atau usaha produk, yang lainnya sangat berhati-hati atau konservatif. Pertimbangan filosofi dan gaya operasi manajemen adalah bagian dari lingkungan pengendalian suatu perusahaan. Auditor internal yang bertanggung jawab untuk menilai pengendalian internal harus memahami faktor-faktor ini dan membawa mereka menjadi pertimbangan ketika mengevaluasi efektivitas pengendalian internal. v. Struktur organisasi Struktur organisasi berkontribusi terhadap kemampuan suatu entitas untuk memenuhi tujuan dengan menyediakan kerangka kerja menyeluruh atas perencanaan, pelaksaan, pengendalian, dan pemantauan aktivitas suatu entitas. Struktur organisasi entitas biasanya digambarkan dalam suatu bagan organisasi yang harus secara akurat merefleksikan garis wewenang dan hubungan pelaporan. Kalau organisasi terlalu besar, maka terjadi birokrasi, perlambatan keputusan, pembengkakan biaya overhead. Namun kalo organisasi terlalu kecil, maka juga kurang baik dalam pengambilan keputusannya. vi. Penetapan wewenang dan tanggung jawab Struktur organisasi suatu perusahaan mendefinisikan tugas dan integrasi dari usaha kerja total. Wewenang dan tanggung jawab mencakup penjelasan-penjelasan mengenai bagaimana dan kepada siapa wewenang dan tanggung jawab untuk semua aktivitas entitas dibebankan, dan harus memungkinkan individu untuk mengetahui (1) bagaimana tindakannya saling berhubungan dengan individu lainnya dalam memberikan kontribusi terhadap pencapaian tujuan entitas, dan (2) setiap individu akan bertanggung jawab atas hal apa . vii. Kebijakan dan praktik sumberdaya manusia

Kebijakan dan prosedur sumberdaya manusia yang diterapkan akan menjamin bahwa personel entitas memiliki tingkat integritas, nilai etika, dan kompetensi yang diharapkan. Area dimana kebijakan dan praktik sumber daya manusia sangat penting meliputi: a. rekrutmen dan hiring b. orientasi karyawan baru c. evaluasi, promosi, kompensasi d. mendisiplinkan tindakan

viii. Lingkungan pengendalian COSO dalam suatu perspektif

Lingkungan pengendalian merupakan pondasi dalam piramida di atas. Komunikasi dan komponen informasi tidak ditampilkan sebagai lapisan individu dalam model tetapi komponen sisi yang meliputi lapisan penilaian risiko dan kegiatan pengendalian.

B. Risk assessment / Penilaian Risiko Kemampuan suatu entitas untuk mencapai tujuannya dapat berisiko karena berbagai faktor internal dan eksternal . COSO mendeskripsikan penilaian risiko dalam tiga proses : 1. Mengestimasi pentingnya risiko 2. Menilai kemungkinan terjadinya risiko 3. mempertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa yang harus diambil Kerangka lingkungan pengendalian COSO menunjukkan bahwa risiko harus

dipertimbangkan dari tiga perspektif : risiko perusahaan disebabkan oleh faktor eksternal

risiko perusahaan disebabkan oleh faktor internal risiko tingkat kegiatan tertentu

C. Control Activities / Aktivitas pengendalian Kebijakan dan prosedur yang membantu memastikan bahwa perintah manajemen telah dilaksanakan. Aktivitas pengendalian membantu memastikan bahwa tindakan yang diperlukan berkenaan dengan risiko telah diambil untuk pencapaian tujuan entitas. i. Tipe aktivitas pengendalian Top-level reviews : manajemen dan auditor internal di berbagai level seharusnya mereview hasil kinerja mereka, apakah sesuai dengan anggaran, statistik kompetitif, dan acuan pengukuran lain. Direct functional or activity management : manajer di berbagi level seharusnya mereview laporan operasional dari pengendalian internal mereka dan mengambil tindakan korektif yang sesuai Information processing : bagaimana data diproses menjadi informasi. Sistem TI terdiri dari banyak pengendalian di mana sistem internal memeriksa kepatuhan di daerah tertentu dan kemudian melaporkan setiap pengecualian dari pengendalian internal. Physical controls : perusahaan harus memiliki kontrol yang tepat atas aset fisik, termasuk perlengkapan, persediaan, dan penawaran sekuritas Performance indicators : manajemen harus menghubungkan seperangkat data, baik

operasional maupun keuangan satu sama lain dan mengambil analitis yang sesuai, tindakan investigasi atau korektif Segregation of duties : tugas-tugas seharusnya dipisahkan antara orang yang berbeda untuk mengurangi risiko kesalahan atau tindakan tidak tepat. ii. Integrasi aktivitas pengendalian dengan penilaian risiko Apakah tipe-tipe aktivitas pengendalian sudah diintegrasikan dengan hasil penilaian risiko. Aktivitas pengendalian harus berhubungan erat dengan risiko yang teridentifikasi dari komponen penilaian risiko pengendalian internal COSO iii. Pengendalian atas sistem informasi Kerangka pengendalian internal COSO menekankan bahwa prosedur pengendalian dibutuhkan untuk seluruh teknologi informasi penting atau sistem informasi seperti

keuangan, operasional, dan kepatuhan yang terkait. Apakah sistem informasi senantiasa direview secara berkala meskipun sudah dilakukan otomatisasi sistem ?

D. Communications and Information / Komunikasi dan Informasi - Hubungan informasi dan pengendalian internal Perusahaan membutuhkan informasi dari semua tingkatan dalam perusahaan untuk mencapai tujuan operasional, keuangan, dan kepatuhan. Contoh : perusahaan membutuhkan informasi untuk mempersiapkan laporan keuangan yang akan

dikomunikasikankepada investor luar sebagaimana biaya internal dan informasi preferensi pasar eksternal untuk membuat keputusan pemasaran yang tepat. Strategi dan sistem integrasi Melalui sistem strategi, pengendalian internal COSO melaporkan bahwa manajemen seharusnya mempertimbangkan perencanaan, desain dan implementasi dari sistem informasinya sebagai bagian dari strategi perusahaan secara keseluruhan. Kualitas informasi Untuk menentukan kualitas dari informasi maka harus dipastikan apakah : a. isi dari informasi yang dilaporkan sesuai b. informasi tersebut tepat waktu dan tersedia bila diperlukan c. informasi yang tersedia merupakan informasi terbaru / terkini d. data dan informasi sudah benar e. informasi tersebut dapat diakses oleh pihak yang tepat / seluruh unit dalam organisasi Aspek komunikasi dari pengendalian internal Komunikasi : komponen internal Komunikasi eksternal Cara dan metode komunikasi

E. Monitoring / Pemantauan - Aktivitas pemantauan terus menerus Operating management normal functions Communication from external parties Enterprise structure and supervisory activities

 Physical inventories and asset reconciliation

- Evaluasi pengendalian internal terpisah Proses evaluasi pengendalian internal Apakah dilakukan evaluasi secara berkala terhadap proses pengendalian internal? Rencana kegiatan evaluasi Apabila terjadi penyimpangan atau kesalahan, apakah ada rencana evaluasi untuk memperbaiki sehingga menjadi lebih baik ?

Melaporkan kekurangan pengendalian internal temuan tentang adanya kekurangan pengendalian internal biasanya harus

dilaporkan.Tidak hanya untuk individu yang bertanggung jawab atas fungsi atau kegiatan yang terlibat tetapi juga untuk setidaknya satu tingkat manajemen.