PEMBAHASAN
Pengendalian internal
tujuan pembelajaran
mengerti apa yang dimaksud dengan pengendalian internal dalam berbagai kerangka
organisasi memiliki risiko yang mengancam pencapaian tujuan tersebut. dalam bab ini, kita
membahas berbagai komponen sistem pengendalian internal yang mengembangkan
organisasi untuk mengurangi dan mengelola risiko tersebut. Anda akan masuk pada bab ini
dengan pemahaman tentang apa yang dimaksud dengan pengendalian internal dan dapat
mengidentifikasi berbagai kerangka kerja yang mempertimbangkan pengendalian internal.
Setiap orang dalam organisasi memiliki tanggung jawab untuk pengendalian internal, dan bab
ini menguraikan peran dan tanggung jawab masing-masing kelompok orang dalam organisasi
tersebut, termasuk manajemen proses untuk mengevaluasi organisasi sistem pengendalian
internal. ada beberapa jenis kontrol yang digunakan untuk mengurangi banyak jenis risiko
yang dihadapi organisasi.
kerangka
kerangka adalah badan prinsip panduan yang membentuk template agar organisasi dapat
mengevaluasi banyak praktek bisnis. prinsip-prinsip ini terdiri dari berbagai konsep, nilainilai, asumsi, dan praktek. dimaksudkan untuk memberikan patokan terhadap suatu
organisasi dapat menilai atau mengevaluasi struktur tertentu, proses, atau lingkungan, atau
sekelompok praktek atau prosedur. khusus untuk praktek audit internal, berbagai kerangka
yang digunakan untuk menilai kecukupan desain dan efektivitas operasi pengendalian.
Menurut IIA pengertian kerangka adalah sebagai berikut: "secara umum, kerangka
memberikan struktural bagaimana tubuh pengetahuan dan gabungan panduan yang baik.
sistem yang koheren, memfasilitasi pengembangan yang konsisten, interpretasi, dan
2
penerapan konsep, metodologi , dan teknik yang berguna atau menjalani profesi dengan
disiplin. "
Hal ini penting untuk memulai dengan membuat beberapa perbedaan sehingga tidak
ada kebingungan mengenai kerangka kerja yang dibahas dalam bab-khusus, manajemen
risiko perusahaan (ERM) kerangka kerja dan kerangka kerja lebih khusus dirancang untuk
mengatasi pengendalian internal. baik kesepakatan dengan pengurangan risiko dan aspek
pengendalian internal, bagaimanapun, kerangka yang fokus pada pengendalian internal saja
lebih sempit didefinisikan dan cenderung kurang strategis di alam. Sementara dalam bab ini
secara khusus dengan subjek kontrol internal dan berfokus pada kerangka pengendalian
internal, itu tidak akan lengkap tanpa mengidentifikasi kerangka ERM dan kerangka lainnya
diakui secara global berurusan dengan tata kelola, manajemen risiko, dan pengendalian
internal yang juga telah dikembangkan atau telah berevolusi selama berwaktu-waktu.
Kerangka diakui secara global
- Kerangka Pengendalian Internal
Pengendalian Internal - Kerangka Terpadu (COSO), Komite of Sponsoring Organizations of
the Treadway Commission, Amerika Serikat, 1992
Bimbingan pada Control (COCO), The Canadian Institute of Charterede Akuntan, Kanada,
1995
Pengendalian Internal: Panduan Revisi Direksi pada Kode Gabungan (Tumbull), Pelaporan
Keuangan Dewan 2005
COBIT 4.1, IT Governance Institute, Amerika Serikat, 2007
Kerangka tata kelola
Laporan Komite Aspek Keuangan Corporate Governance (Cadbury), Inggris, 1992
Laporan raja Corporate Governance untuk Afrika Selatan (Raja II), Institute of Directors,
Afrika Selatan, 2002
Kerangka Enterprise Risk Management
Australia / Selandia Baru Standar Manajemen Risiko (Australia Standard 4360),
Bersama Teknis Komite 08/007 - Manajemen Risiko, Australia / Selandia Baru, Revisi 2004
Enterprise Risk Management - kerangka Terpadu (COSO), Committee of Sponsoring
Organization Komisi Treadway, Amerika Serikat, 2004
Secara global lainnya Kenali Kerangka Mitigasi Risiko
Internasional Konvergensi Modal Pengukuran dan Standar Modal (Basel Accord), Komite
Basel pada Pengawasan Perbankan 1988
Internasional Konvergensi Modal Pengukuran dan Standar Modal Kerangka Revisi (Basel II
atau The New Accord), Komite Basel 2005
3
Tidak ada perbedaan antara COSO, CoCo, dan Turnbull. semua kerangka termasuk
definisi dari pengendalian internal, menjelaskan proses yang menyediakan jaminan yang
wajar untuk mencapai tujuan organisasi dalam tiga kategori tertentu: efektivitas efisiensi
operasi, keandalan pelaporan, dan kepatuhan. tiga kerangka mengenai tanggung jawab
internalcontrol, khususnya tanggung jawab tidak hanya pada dewan direksi, manajemen
senior, dan auditor internal, tetapi juga pada setiap individu dalam organisasi. meskipun
disebut dengan judul yang berbeda antara kerangka kerja, komponen masing-masing
kerangka pengendalian internal pada dasarnya sama dan dapat diperiksa menggunakan COSO
untuk setiap komponen, yaitu: Pengendalian Lingkungan, Penilaian Risiko, Kegiatan
Pengendalian, Informasi dan Komunikasi, dan Monitoring.
Di Amerika Serikat, AS Sarbanes-Oxley Act of 2002 undang-undang menempatkan tanggung
jawab untuk desain, pemeliharaan, dan operasi yang efektif dari pengendalian internal tepat
di pundak manajemen senior, khususnya, CEO dan kepala keuangan (CFO). Untuk mematuhi
undang-undang ini, US Securities and Exchange Commission (SEC) membutuhkan CEO dan
CFO dari perusahaan publik pada kecukupan desain dan efektivitas operasi pengendalian
internal atas pelaporan keuangan (ICFR) sebagai bagian dari pernyataan pengajuan keuangan
tahunan dengan SEC, serta perubahan substansial laporan ICFR, jika ada, secara triwulanan.
khusus, SEC memerlukan bukti kepatuhan, memutuskan bahwa "... manajemen harus
mendasarkan evaluasi [atau, pendapat] dari.
PERBANDINGAN KERANGKA PENGENDALIAN INTERNAL
Definisi dari Internal proses
control
COSO
CoCo
dipengaruhi Unsur-orang
Turnbull
dari meliputi kebijakan,
yang proses tugas, perilaku
orang dan aspek lain dari
perusahaan
dalam yang
memberikan
pencapaian
dalam efektivitas,
berikut: efisiensi
menawarkan
efisien,
efisiensi
operasi, internal
dan bisnis
yang
hukum
peraturan.
dan
risiko
lainnya
untuk
mencapai
tujuan
perusahaan
Relatif
untuk
menghemat menjaga
aset, mengidentifikasi
dan
mengelola
kewajiban,
Komponen
Internal Control
dari Pengendalian
tujuan,
Lingkungan,
Penilaian
Risiko, pemantauan,
pembelajaran.
Pengendalian,
pelaporan
dan
kepatuhan
terhadap
kemampuan,
Kegiatan
kualitas
pengendalian,
dan informasi
komunikasi
dan
proses,
pemantauan,
Informasi
dan
embeddedness dalam
Komunikasi,
dan
Operasi perusahaan,
Monitoring
respon
terhadap
Memperoleh sumber daya yang cukup untuk mencapai pembagian tugas yang
memadai,
Individu merekrut pelaporan keuangan yang diperlukan dan keahlian lainnya untuk
melayani
secara
efektif
pada
dewan
direksi
dan
komite
audit
yang
merekrut dan penahan personil dengan pengalaman yang cukup dan keterampilan di
bidang akuntansi dan pelaporan keuangan
ketika
mengevaluasi
efektivitas
ICFR.
Karakteristik
"kecil"
Perusahaan
ada berbagai macam bisnis yang dapat diklasifikasikan sebagai "lebih kecil"; banyak
memiliki kesamaan karakteristik sebagai berikut:
Lebih sedikit baris bisnis dan produk yang lebih sedikit dalam baris
kegiatan pengendalian
11. Integrasi dengan penilaian risiko - tindakan yang diambil untuk mengatasi risiko
terhadap pencapaian tujuan pelaporan keuangan.
12. seleksi dan pengembangan kegiatan pengendalian - kegiatan pengendalian yang
dipilih dan dikembangkan mempertimbangkan biaya dan efektivitas potensi
mereka dalam mengurangi risiko terhadap pencapaian tujuan pelaporan
keuangan.
13. kebijakan dan prosedur - kebijakan yang berkaitan dengan pelaporan keuangan
yang handal ditetapkan dan dikomunikasikan ke seluruh perusahaan, dengan
prosedur yang sesuai sehingga arahan manajemen dilaksanakan
14. Teknologi Informasi - pengendalian teknologi informasi, mana yang berlaku
dirancang dan dilaksanakan untuk mendukung pencapaian tujuan pelaporan
keuangan.
Informasi dan Komunikasi
15. Informasi pelaporan keuangan - informasi terkait diidentifikasi, ditangkap,
digunakan di semua tingkat perusahaan, dan didistribusikan dalam dari dan
jangka waktu yang mendukung pencapaian tujuan pelaporan keuangan
16. Informasi pengendalian intern - informasi yang digunakan untuk menjalankan
komponen kontrol lainnya diidentifikasi, ditangkap, dan mendistribusikan
dalam bentuk dan kerangka waktu yang memungkinkan personil untuk
melaksanakan tanggung jawab pengendalian internal mereka
17. Pengendalian komunikasi - komunikasi memungkinkan dan mendukung
pemahaman dan pelaksanaan tujuan pengendalian internal, proses, dan
tanggung jawab indivual di semua tingkatan organisasi.
18. Eksternal komunikasi - hal yang mempengaruhi pencapaian tujuan pelaporan
keuangan
dikomunikasikan
dengan
pihak
luar
Pemantauan
19. Evaluasi berkelanjutan dan terpisah - evaluasi yang sedang berlangsung dan /
atau
terpisah
memungkinkan
manajemen
untuk menentukan
apakah
jawab untuk mengambil koreksi tindakan, dan untuk manajemen dan dewan
yang sesuai.
Lebih lanjut menguraikan tentang dua prinsip COSO relatif terhadap pemantauan
yang termasuk dalam 20 prinsip dasar memperkenalkan dalam pedoman bagi perusahaan
publik yang lebih kecil:
Proses, dipengaruhi oleh dewan entitas direksi, manajemen, dan personil lain,
ditandatangani untuk memberikan keyakinan memadai tentang pencapaian tujuan
dalam kategori berikut:
Efektivitas dan efisiensi operasi
Keandalan pelaporan keuangan
Kepatuhan terhadap hukum dan peraturan definisi ini mencerminkan konsep
dasar tertentu yang berlaku:
Pengendalian internal adalah sebuah proses. itu adalah alat untuk mencapai
tujuan, bukan dalam dirinya sendiri.
Pengendalian internal dipengaruhi oleh orang-orang. itu bukan hanya
kebijakan manual dan bentuk, tetapi orang-orang di setiap tingkat organisasi.
Pengendalian internal dapat diharapkan untuk memberikan keyakinan
memadai hanya, tidak jaminan mutlak untuk manajemen entitas dan dewan.
Pengendalian internal adalah diarahkan untuk pencapaian tujuan dalam satu
atau lebih kategori terpisah tapi tumpang tindih.
Meskipun definisi ini mungkin tampak sangat umum, luas mendefinisikan
pengendalian internal mengakomodasi eksplorasi kategori yang secara individu atau secara
keseluruhan. ketika kategori pengendalian internal yang memandang secara keseluruhan,
mereka secara kolektif disebut sebagai sistem pengendalian internal. COSO menunjukkan "
event, penilaian risiko, dan respon risiko merupakan elemen kunci dari proses manajemen
risiko. Dengan demikian, pengaturan tujuan merupakan prasyarat untuk pengendalian
internal.
Proses untuk menetapkan tujuan dapat berkisar dari yang sangat terstruktur atau
sangat informal. Pernyataan misi organisasi sering mendorong tujuan tingkat entitas.
Bersama-sama dengan penilaian kekuatan, kelemahan, risiko, dan peluang, tujuan
membangun konteks untuk mendefinisikan strategi organisasi. Biasanya, rencana strategis
yang menghasilkan sifatnya umum.
Dari rencana strategis umum, tujuan diidentifikasi yang lebih spesifik daripada tujuan
tingkat entitas yang dibahas di atas. Tujuan tingkat entitas yang telah ditetapkan untuk
kegiatan yang berbeda dalam organisasi. Tujuan khusus dari kegiatan mereka harus
menyelaraskan dengan tujuan tingkat entitas diidentifikasi oleh organisasi.
Menetapkan tujuan pada kedua entitas dan proses tingkat penting bagi organisasi
untuk dapat mengidentifikasi faktor penentu keberhasilan (kesuksesan yang harus dicapai
untuk tujuan yang akan dicapai). Faktor penentu keberhasilan yang hadir di semua tingkat
organisasi dan memfasilitasi penciptaan kriteria terukur terhadap kinerja yang dapat dinilai.
Tujuan dapat dibagi ke dalam kategori yang luas berikut yang ditetapkan oleh COSO:
Tujuan Operasi. Ini berkaitan dengan efektivitas dan efisiensi entitas operasi, termasuk
kinerja dan tujuan profitabilitas dan menjaga sumber daya terhadap kerugian. Mereka
bervariasi berdasarkan pilihan manajemen mengenai struktur dan kinerja.
Tujuan Pelaporan Keuangan. Ini berkaitan dengan penyusunan laporan keuangan yang
handal untuk diterbitkan, termasuk pencegahan pelaporan keuangan penipuan publik.
Mereka didorong oleh kebutuhan eksternal.
Kegiatan Pengendalian
11
Kegiatan pengendalian adalah tindakan yang diambil oleh manajemen, dewan, dan
pihak lain untuk mengurangi risiko dan meningkatkan kemungkinan bahwa didirikan tujuan
dan sasaran yang akan dicapai. Rencana manajemen, mengatur, dan mengarahkan kinerja
tindakan yang cukup untuk memberikan keyakinan memadai bahwa tujuan dan sasaran yang
akan dicapai. Seperti faktor penentu keberhasilan yang dijelaskan di atas, kegiatan
pengendalian yang hadir di semua tingkat organisasi. Dan, seperti tujuan mereka dirancang
untuk membantu mencapai, kegiatan pengendalian dapat dipisahkan ke dalam kategori ada
operasi, pelaporan keuangan, dan kepatuhan. Namun, kegiatan pengendalian sering dirancang
untuk mengurangi beberapa risiko yang dapat mengancam tujuan dalam lebih dari satu
kategori. Ingat bahwa itu adalah kurang penting yang kategori aktivitas kontrol di
dibandingkan kemampuannya untuk mengurangi risiko untuk yang sesuai.
Setiap organisasi menetapkan sendiri tujuan bisnis dan strategi implementasi. Karena
setiap organisasi dikelola oleh orang yang berbeda yang menggunakan penilaian individu
dalam lingkungan operasi yang unik dengan berbagai kompleksitas, tidak ada dua organisasi
memiliki set yang sama aktivitas pengendalian, oleh karena itu, melayani peran penting
dalam proses pengelolaan organisasi dengan memastikan bahwa yang diidentifikasi secara
unik risiko telah diantisipasi, memungkinkan organisasi untuk mencapai tujuan bisnisnya.
Salah satu konsep penting umum untuk semua kegiatan pengendalian adalah konsep
yang ada di COSO yang mendefinisikan sebagai pemisahan tugas. Pemisahan tugas adalah
konsep membagi, atau memisahkan, aktivitas pengendalian terkait dengan otorisasi transaksi
dari pengolahan transaksi-transaksi dari akses fisik ke aset yang terkait dengan transaksi
tersebut yang mendasari. Tujuan utama dari pemisahan tugas (membagi kegiatan
pengendalian) antara orang-orang yang berbeda adalah untuk mengurangi risiko kesalahan
atau tindakan yang tidak pantas dilakukan oleh setiap individu tunggal.
Selain pembagian tugas, ada banyak kegiatan pengendalian umum yang hadir dalam sistem
yang dirancang dengan baik kontrol internal, termasuk:
Otorisasi (persetujuan).
yang
berkualitas
tinggi
harus
dikomunikasikan
secara
tepat.
Ketergantungan ini adalah mengapa COSO menggabungkan informasi dan komunikasi dalam
komponen ini. Informasi yang relevan, akurat, dan tepat waktu harus tersedia untuk individu
pada semua tingkat organisasi yang membutuhkan informasi tersebut untuk menjalankan
bisnis secara efektif. Tidak hanya harus informasi disediakan "untuk personil yang tepat
sehingga mereka dapat melaksanakan operasi mereka, pelaporan keuangan, dan tanggung
jawab kepatuhan," tetapi "komunikasi juga harus berlangsung dalam arti yang lebih luas,
berurusan dengan harapan, tanggung jawab individu dan kelompok, dan lainnya penting dan
dapat memberikan informasi penting pada fungsi kontrol. Partai-partai ini termasuk, namun
tidak terbatas pada, pelanggan, pemasok, penyedia layanan, regulator, auditor eksternal, dan
pemegang saham.
Hal ini terutama penting untuk membuat informasi memastikan tetap aligned dengan
kebutuhan bisnis saat ini selama periode perubahan. Hal ini sama pentingnya untuk
memastikan bahwa informasi ini dikomunikasikan tepat waktu untuk semua pihak yang
berkepentingan.
Ada banyak cara organisasi dapat memilih untuk berkomunikasi. Bentuk hardcopy
komunikasi termasuk manual, memorandum, dan papan buletin terletak di daerah di mana
individu berkumpul. Komunikasi juga dapat terjadi dalam pertemuan tatap muka atau secara
elektronik melalui e-mail, situs intranet, video conferencing, atau papan buletin elektronik.
Budaya organisasi, serta isi dari informasi bersama, akan menentukan metode komunikasi
terbaik. Karena individu menerima dan memproses informasi secara berbeda, sebagian besar
organisasi akan menggunakan kombinasi media untuk memastikan semua individu dapat
memproses dan memahami informasi yang diberikan kepada mereka. COSO berpendapat
bahwa tindakan manajemen kuat mengkomunikasikan apa yang penting bagi organisasi
sebagai "tindakan berbicara lebih keras daripada kata-kata.
Jelas, budaya organisasi memainkan peran penting dalam mengkomunikasikan
prioritas. Biasanya, organisasi yang telah membentuk budaya integritas dan transparansi
memiliki waktu lebih mudah dengan komunikasi daripada organisasi lain.
Pemantauan
Untuk tetap handal, sistem pengendalian intern harus dipantau. Pemantauan adalah
"suatu proses yang menilai kualitas kinerja sistem dari waktu ke waktu. Hal ini dicapai
melalui kegiatan yang sedang berlangsung pemantauan, terpisah, periodik evaluasi, atau
kombinasi dari keduanya. Meskipun bukan merupakan bagian dari hari-hari operasi
13
Kegiatan pemantauan yang dilakukan oleh bawahan dalam suatu organisasi jauh lebih efektif
daripada yang dilakukan oleh atasan. Dalam situasi-situasi di mana manajemen senior
melakukan kontrol, itu mungkin cocok untuk anggota lain dari manajemen senior untuk
memantau mereka kontrol. Dalam kasus yang membawa risiko manajemen tingkat bawah,
pemantauan tingkat papan mungkin diperlukan.
Kekurangan dalam sistem organisasi pengendalian internal mungkin diidentifikasi
selama kinerja baik pemantauan atau evaluasi terpisah. COSO secara luas mendefinisikan
kekurangan sebagai "kondisi dalam suatu sistem pengendalian internal layak perhatian."
COSO menjelaskan bahwa "kekurangan, oleh karena itu, mungkin merupakan dirasakan,
potensi, atau kekurangan yang nyata, atau kesempatan untuk memperkuat sistem kontrol
internal untuk memberikan kemungkinan besar bahwa tujuan entitas akan tercapai.
Kekurangan yang diidentifikasi sebagai akibat dari pemantauan dan evaluasi yang terpisah
harus dilaporkan secara tepat waktu kepada pihak-pihak yang tepat dalam organisasi.
Tergantung pada dampak kekurangan tertentu memiliki pada efektivitas potensial dari sistem
pengendalian internal, itu harus dilaporkan kepada manajemen unit bisnis, manajemen senior,
dan / atau dewan direksi. Kekurangan dilaporkan pertimbangan penting dalam evaluasi
sistem pengendalian internal. Mengevaluasi sistem pengendalian internal akan dibahas secara
lebih rinci nanti dalam bab ini. Komunikasi formal relatif terhadap keterlibatan jaminan
diselesaikan oleh fungsi audit internal dibahas secara rinci nanti dalam bab ini 14,
"Berkomunikasi Jaminan Hasil dan Pertunjukan Prosedur Tindak Lanjut."
Sebagaimana dibahas sebelumnya dalam bab ini, beberapa organisasi sedikit
digunakan pemantauan, terutama yang berkaitan dengan persyaratan pelaporan keuangan.
Pemantauan dapat menjadi alat yang efektif untuk memvalidasi pernyataan pengendalian
internal ketika dirancang dengan akhir dalam pikiran. Organisasi di seluruh dunia yang harus
melaporkan efektivitas sistem mereka pengendalian internal kepada pihak eksternal dapat
merancang "jenis, waktu, dan tingkat pemantauan" yang dilakukan untuk memberikan
"informasi persuasif yang pengendalian internal beroperasi secara efektif pada suatu titik
waktu atau selama periode tertentu. Pameran 6-9 adalah representasi COSO tentang proses
pemantauan relatif mendukung kesimpulan mengenai efektivitas pengendalian.
PERAN PENGENDALIAN INTERNAL DAN TANGGUNG JAWAB
Setiap orang dalam suatu organisasi memiliki tanggung jawab untuk pengendalian intern:
Manajemen
15
CEO bertanggung jawab utama untuk sistem pengendalian internal. "Nada di atas"
(bagaimana etika atau berapa banyak integritas organisasi memiliki) diatur oleh CEO dan
gulung ke bawah dari sana ke manajemen senior, manajemen lini, dan akhirnya semua
individu dalam suatu organisasi. CEO lebih atau kurang terlihat dan memiliki lebih atau
kurang dari dampak langsung tergantung pada ukuran organisasi. Dalam organisasi yang
lebih kecil. CEO sangat langsung mempengaruhi sistem pengendalian internal. Dalam
organisasi yang lebih besar, CEO memiliki dampak terbesar pada manajemen senior yang
pada gilirannya mempengaruhi bawahannya. Dalam manajemen ini tindakan cara, senior dan
garis sebagai "CEO" di atas area yang menjadi tanggung jawab mereka.
Dewan direksi
Dewan direksi mengawasi manajemen dan memberikan arahan mengenai
pengendalian internal. COSO menjelaskan anggota dewan yang efektif sebagai "tujuan,
mampu, dan ingin tahu ..." dengan "pengetahuan tentang kegiatan [organisasi] dan
lingkungan, dan [yang] melakukan waktu yang diperlukan untuk memenuhi tanggung jawab
papan mereka." Anggota dewan yang efektif sangat penting untuk efektif sistem
pengendalian internal karena manajemen memiliki kemampuan untuk mengesampingkan
kontrol dan menekan bukti perilaku tidak etis atau penipuan. Perilaku tersebut memiliki
sebuah papan yang secara aktif terlibat. Seperti disebutkan sebelumnya, dewan direksi
memiliki tanggung jawab utama untuk memastikan manajemen telah membentuk sistem yang
efektif pengendalian internal.
Dewan peran dan tanggung jawab direksi seperti yang dijelaskan oleh COSO
membentuk pemerintahan yang efektif "payung 'bagi suatu organisasi. Untuk gambaran
visual dari proses ini, lihat Exhibit 3-3 di Bab 3, "Pemerintahan." Bab 3 menjelaskan tata
sebagai proses yang dilakukan oleh dewan direksi untuk mengotorisasi, langsung, dan
manajemen menolak terhadap pencapaian tujuan bisnis organisasi .
internal Auditor
Sementara manajemen, di bawah kepemimpinan CEO, memiliki tanggung jawab
utama untuk desain yang memadai dan operasi yang efektif dari sistem pengendalian internal,
auditor internal memainkan peran penting dalam memverifikasi bahwa manajemen telah
memenuhi tanggung jawabnya. Awalnya, manajemen melakukan penilaian utama dari sistem
pengendalian internal, dan kemudian fungsi audit internal secara independen memvalidasi
pernyataan manajemen. Fungsi audit internal memberikan keyakinan memadai bahwa sistem
pengendalian internal dirancang secara memadai dan beroperasi secara efektif, meningkatkan
16
kemungkinan bahwa tujuan bisnis organisasi dan tujuan akan terpenuhi. COSO
mendefinisikan peran auditor internal sama, meskipun dalam istilah yang lebih umum:
"Auditor internal memainkan peran penting dalam mengevaluasi efektivitas sistem kontrol,
dan berkontribusi terhadap efektivitas berkelanjutan. Karena [yang] posisi organisasi dan
otoritas dalam suatu entitas, fungsi audit internal sering memainkan peran monitoring yang
signifikan. Hubungan antara manajemen dan pengendalian internal dan pelaporan tersebut
lebih dieksplorasi kemudian dalam bab ini dan dalam Bab 9, "Manajemen SPI."
Personil lainnya
COSO jelas menunjukkan bahwa setiap orang dalam suatu organisasi memiliki
tanggung jawab untuk pengendalian internal: "Pengendalian internal adalah untuk beberapa
derajat, tanggung jawab setiap orang dalam organisasi dan karena itu harus menjadi bagian
eksplisit atau implisit dari deskripsi pekerjaan setiap orang. Hampir semua karyawan
menghasilkan informasi yang digunakan dalam sistem pengendalian internal atau melakukan
tindakan lain yang diperlukan untuk efek kontrol. "COSO menambahkan bahwa" semua
personil harus bertanggung jawab untuk berkomunikasi masalah atas dalam operasi,
ketidakpatuhan dengan kode etik, atau pelanggaran kebijakan lainnya atau tindakan ilegal.
COSO menunjukkan bahwa pihak eksternal dapat menjadi faktor penting relatif
terhadap kemampuan organisasi untuk mencapai tujuannya. Sebagai contoh, auditor
independen di luar, sementara tidak bertanggung jawab atas sistem organisasi pengendalian
internal, berkontribusi independensi dan obyektivitas melalui pendapat mereka meliputi
kewajaran laporan keuangan dan efektivitas pengendalian internal atas pelaporan keuangan.
Pihak eksternal lainnya yang bukan merupakan bagian dari pengendalian internal organisasi
tetapi memberikan "informasi ke [organisasi] berguna dalam mempengaruhi pengendalian
internal yang legislator dan regulator, pelanggan dan lain-lain bertransaksi bisnis dengan
perusahaan, analis keuangan, penilai obligasi, dan media berita .
Dalam banyak kasus, vendor luar yang digunakan untuk melakukan unsur-unsur
sistem pengendalian intern. Namun, dalam kasus-kasus, kepemilikan dan akuntabilitas untuk
elemen-elemen outsourcing tetap dengan manajemen internal, yang memiliki tanggung jawab
utama untuk pengujian dan sertifikasi kontrol kunci outsourcing. Kegiatan yang biasa
outsourcing meliputi, misalnya, pengolahan data, gaji, atau bahkan internal fungsi audit itu
sendiri. Proses bisnis outsourcing dibahas lebih lanjut dalam Bab 5, "Proses Bisnis dan
Risiko."
17
Kontrol dapat dielakkan oleh kolusi dari dua atau lebih orang.
Manajemen memiliki kemampuan untuk mengesampingkan sistem pengendalian
internal.
keyakinan yang memadai untuk manajemen relatif terhadap pencapaian tujuan organisasi,
ada sistem pengendalian internal dapat memberikan jaminan mutlak untuk alasan yang
tercantum di atas. Hal ini berlaku terlepas dari apakah tujuan jatuh ke dalam operasi,
pelaporan keuangan, atau kategori kepatuhan.
Seperti yang ditunjukkan sebelumnya, membangun tujuan bisnis merupakan prasyarat
untuk merancang sistem yang efektif pengendalian internal. Tujuan bisnis memberikan
target terukur yang suatu organisasi melakukan operasinya. Sebuah kunci untuk memahami
konsep keterbatasan dan keyakinan memadai terletak pada juga memahami keterkaitan dan
saling ketergantungan dari tujuan bisnis dan risiko yang secara langsung atau tidak langsung
mempengaruhi kemampuan organisasi untuk mencapai tujuan bisnis mereka. Hanya
kemudian dapat sebuah organisasi benar merancang dan mengimplementasikan sistem yang
efektif pengendalian internal. Sebagai COSO menunjukkan, "Proses mengidentifikasi dan
menganalisis risiko merupakan proses berulang berkelanjutan dan merupakan komponen
penting dari sistem pengendalian internal yang efektif. Manajemen harus fokus pada risiko
dengan hati-hati pada semua tingkat entitas dan mengambil tindakan yang diperlukan untuk
mengelola mereka.
18
19
Selain itu, toleransi risiko mempertimbangkan jumlah risiko bahwa manajemen sadar setelah
menyeimbangkan biaya dan manfaat dari penerapan pengendalian. Hal ini penting untuk
mengakui bahwa ada hubungan langsung antara jumlah resiko dan biaya yang terkait dengan
pelaksanaan pengendalian yang dirancang untuk mencapai tingkat keringanan. Akibatnya,
sebuah organisasi harus memastikan ia tidak memiliki risiko yang berlebihan atau
pengendalian internal yang berlebihan. Beberapa kemungkinan konsekuensi menerima risiko
yang berlebihan atau menerapkan pengendalian internal yang berlebihan. Keseimbangan
bahwa manajemen mampu mencapai hasil dalam sebuah organisasi menerima tingkat yang
lebih tinggi atau lebih rendah dari risiko dan tergantung pada sifat risiko, lingkungan
peraturan di mana organisasi beroperasi, dan manajemen filosofi.
KESEIMBANGAN RESIKO DAN PENGENDALIAN
Konsekuensi menerima resiko
internal
z Yang berlebihan
konsekuensi penerapan
kontrol yang berlebihan
- peningkatan birokrasi
- kelebihan biaya
-kompleksitas yang tidak
memerlukan pengendalian
- peningkatan waktu
- kegiatan non nilai tambah
Dengan mengatakan bahwa, ada banyak faktor yang harus dipertimbangkan ketika
menentukan tindakan spesifik (pengendalian) yang harus manajemen ambil untuk mengelola
risiko yang melekat ke tingkat yang cukup rendah, yaitu, dalam toleransi risiko tersebut.
Untuk memulainnya, manajemen harus mempertimbangkan risiko yang terkendali.
20
Risiko terkendali adalah bahwa sebagian dari risiko yang melekat manajemen dapat langsung
mengurangi resiko tersebut melalui kegiatan bisnis sehari-hari. Setelah manajemen
menerapkan pengendalian biaya yang efektif untuk mengatasi risiko terkendali, kemudian
mereka dapat menentukan apakah organisasi beroperasi dalam risiko keseluruhan yang
ditetapkan oleh manajemen senior dan dewan direksi. Porsi risiko yang melekat yang tersisa
setelah mengurangi semua risiko terkendali didefinisikan sebagai risiko residual. Jika risiko
yang tidak terkendali atau yang tersisa (residual risk) adalah kurang dari risk appetite yang
ditetapkan, maka sistem pengendalian internal beroperasi pada tingkat yang dapat diterima
dalam organisasi.
Namun, jika risiko residual melebihi risk appetite yang ditetapkan organisasi, maka perlu
mengevaluasi kembali sistem pengendalian internal untuk menentukan apakah tambahan
pengendalian biaya yang efektif dapat diterapkan untuk mengurangi risiko residual untuk
tingkat risk appetite manajemen. Jika tidak, manajemen harus mempertimbangkan pilihan
lain seperti berbagi atau mentransfer sebagian dari risiko tak terkendali untuk pihak ketiga
atau indepenen yang bersedia melalui asuransi atau outsourcing. Jika risiko yang tidak
terkendali tidak dapat secara efektif dialihkan atau dibagi, manajemen baik dapat menerima
tingkat yang lebih tinggi dari risiko (risk appetite dan menyesuaikan mereka), atau organisasi
harus memutuskan apakah ia ingin tetap terlibat dalam kegiatan tersebut yang menyebabkan
risiko. Lihat Bab 4 "Manajemen Risiko", untuk diskusi manajemen risiko dan teknik mitigasi
terkait mendalam.
Sebuah perancangan secara memadai dan efektif beroperasi pada sistem pengendalian
internal, menurut definisi, perancangan untuk mengelola risiko dalam risk appetite yang
ditetapkan organisasi. Ini harus mengurangi risiko yang melekat terkait dengan tiga kategori
COSO (operasi yang efektif dan efisien, pelaporan keuangan yang dapat diandalkan, dan
kepatuhan terhadap hukum dan peraturan yang berlaku) dalam risk appetite manajemen.
MELIHAT PENGENDALIAN INTERNAL DARI
PERSPEKTIF
Karena semua orang dalam suatu organisasi memiliki tanggung jawab untuk pengendalian
internal, menurut COSO. "Pengendalian internal berkaitan dengan tujuan entitas, dan
kelompok-kelompok yang berbeda tujuan untuk alasan yang berbeda".
21
Pengelolaan
Karena manajemen bertanggung jawab untuk menetapkan tujuan organisasi, mereka secara
alami melihat pengendalian internal itu perspektif. Manajemen harus mempertimbangkan
pengendalian internal dalam hal biaya dan manfaat yang terkait dan mengalokasikan sumber
daya yang diperlukan untuk arsip tujuan tersebut.
Dari perspektif manajemen, pengendalian internal mencakup sejumlah kegiatan yang
dirancang untuk mengurangi risiko atau mengaktifkan peluang yang mempengaruhi prestasi
dari organisasi. Keterlibatan manajemen dengan sistem pengendalian internal memungkinkan
mereka untuk bereaksi dengan cepat ketika kondisi memungkinkan. Hal ini juga membantu
manajemen dalam hal mematuhi hukum dan peraturan nasional, lokal, dan industri-spesifik.
Internal Auditor
Seperti manajemen, auditor internal melihat pengendalian internal dalam hal perannya dalam
pencapaian tujuan organisasi. Sedangkan manajemen bertanggung jawab untuk sistem
pengendalian internal itu sendiri, auditor internal dibebankan dengan independen
memverifikasi bahwa pengendalian organisasi dirancang secara memadai dan beroperasi
secara efektif sebagai manajemen maksud. Validasi independen ini, yang memperhitungkan
semua sistem, proses, operasi, fungsi, dan kegiatan entitas, meningkatkan kemungkinan
tujuan organisasi tercapai.
Auditor Independen luar
Tanggung jawab utama dari independen auditor luar organisasi adalah untuk membuktikan
kewajaran laporan keuangan dan, di beberapa negara tertentu, efektivitas pengendalian
internal atas pelaporan keuangan. Untuk alasan ini, perspektif mereka difokuskan pada
pengendalian internal relatif terhadap bagaimana hal itu mempengaruhi pelaporan keuangan
organisasi. Sementara auditor luar yang independen mengambil tujuan dan strategi organisasi
ke dalam pertimbangan ketika memenuhi peran mereka, mereka tidak mengambil perspektif
yang luas yang sama dengan pengendalian internal yang diambil oleh manajemen dan auditor
internal.
Pihak Eksternal lainnya
Pihak eksternal yang memiliki kepentingan dalam pengendalian internal organisasi meliputi
legislator, regulator, investor, dan kreditur. Karena kepentingan mereka bervariasi, demikian
22
juga kemauan perspektif pengendalian internalnya. Akibatnya, "legislator dan badan pengatur
telah mengembangkan berbagai definisi dari pengendalian internal untuk menyesuaikan diri
dengan tanggung jawab mereka. Definisi ini umumnya berhubungan dengan jenis kegiatan,
dan mungkin mencakup pencapaian tujuan entitas, persyaratan pelaporan, penggunaan
sumber daya sesuai dengan hukum dan peraturan, dan sumber daya menjaga terhadap limbah,
kerugian, dan penyalahgunaan ". di sisi lain, terutama Investor dan kreditor, memerlukan
jenis informasi keuangan yang independen.
JENIS PENGENDALIAN
Ada banyak jenis pengendalian yang digunakan oleh organisasi untuk meningkatkan
kemungkinan bahwa tujuan akan dipenuhi. Hal ini penting untuk dicatat bahwa pengendalian
tertentu dapat disebut dengan organisasi yang berbeda (dan individu bahkan berbeda dalam
suatu organisasi) dengan nama yang berbeda. Lebih penting dari pada nama yang digunakan
untuk menggambarkan pengendalian tertentu adalah jenis kontrol itu. Hal ini dapat
menciptakan kebingungan karena banyak kontrol masuk ke dalam lebih dari satu kategori
secara bersamaan. Ini dibahas lebih detail kemudian dalam bab ini.
Tergantung pada aplikasi spesifik pengendalian ini, mereka dapat diklasifikasikan dengan
berbagai cara dan dapat mengambil beberapa klasifikasi secara bersamaan. Bagian berikut
menguraikan berbagai jenis pengendalian dan tujuan masing-masing.
Tingkat entity, tingkat proses-dan tingkat pengendalian TransactionSemua pengendalian dirancang untuk mengurangi risiko baik di tingkat perusahaan atau di
tingkat operasional dalam suatu organisasi. COSO 1992 menggunakan istilah "tingkat
entitas" masing-masing untuk menggambarkan pengendalian ini. Meskipun tidak jarang
untuk organisasi dalam profesi audit internal untuk menggunakan terminologi yang berbeda
seperti "perusahaan-luas" atau "badan-luas" untuk merujuk pada pengendalian tingkat entitas,
istilah yang lebih umum "tingkat entitas. pengendalian tingkat entitas yang sangat luas
terfokus dan sering berurusan dengan lingkungan organisasi. Mereka dirancang untuk secara
langsung mengurangi risiko yang ada di tingkat organisasi-luas, termasuk yang timbul secara
internal maupun eksternal, dan secara tidak langsung dapat mengurangi risiko di tingkat
proses dan transaksi. pengendalian ini memiliki efek luas pada pencapaian tujuan secara
keseluruhan. Public Company Accounting Oversight Board (PCAOB) menyatakan dalam
Standard Audit No. 5 "termasuk pengendalian tingkat entitas"
23
Pengendalian pelengkap
Pengendalian pelengkap adalah Pengendalian yang diperlukan yang tidak cukup dengan
sendirinya untuk sepenuhnya mengurangi risiko. Namun, bila dikombinasikan dengan satu
atau lebih Pengendalian lain, Pengendalian pelengkap yang membantu mengurangi risiko
yang mendasari untuk tingkat yang dapat diterima. Misalnya, pemisahan tugas sering
dianggap sebagai tombol Pengendalian. Memisahkan tugas yang berkaitan dengan hak asuh
kas dan pencatatan transaksi tunai adalah contoh spesifik. Dengan menambahkan verifikasi
independen (misalnya, rekonsiliasi bank), risiko yang mendasari, seperti penyalahgunaan kas,
adalah jauh berkurang.
Sering, Pengendalian pelengkap dapat beroperasi di beberapa proses dan risiko. Pada contoh
rekonsiliasi bank tersebut di atas, Pengendalian pelengkap ini bisa membantu mengurangi
risiko lainnya, termasuk risiko periodend cutoff dan risiko akurasi.
Preventif, Detektif, korektif, dan Pengendalian Directive
Seringkali, banyak Preventif yang berbeda dengan yang ada disebut yang menjelaskan apa
yang mereka dimaksudkan untuk melakukan upaya untuk membedakan antara mereka.
Termasuk di sini adalah daftar singkat dari jenis Pengendalian dan definisi mereka.
Sebuah Pengendalian preventif dirancang untuk mencegah kejadian yang tidak diinginkan
terjadi di tempat pertama. Karena sifat dinamis dan kompleksitas operasi bisnis sehari-hari,
sulit untuk merancang Pengendalian preventif yang baik ekonomis dan efisien. Akibatnya,
sebagian besar organisasi menggunakan Pengendalian kesalahan dan Pengendalian detektif
preventif ketika merancang kedua sistem yang efektif dan efisien Pengendalian internal.
Contoh Pengendalian preventif mencakup Pengendalian akses fisik dan logis, seperti pintu
terkunci dan Id pengguna dengan password yang unik.
Sebaliknya, Pengendalian detektif dirancang untuk menemukan kejadian yang tidak
diinginkan yang telah terjadi. Pengendalian detektif harus terjadi secara tepat waktu (sebelum
acara undeesirable telah berdampak tidak dapat diterima negatif pada organisasi) akan
dianggap efektif. Contoh Pengendalian detektif termasuk kamera keamanan untuk
mengidentifikasi akses fisik anauthorized dan peninjauan log komputer listing upaya akses
yang tidak sah.
26
Pengendalian korektif adalah satu di mana terdeteksi kelalaian dan kesalahan yang diperbaiki.
Sebuah contoh dari Pengendalian korektif adalah resolusi duplikat pembayaran ditandai oleh
sistem pengeluaran kas.
Pengendalian direktif, seperti namanya, memberikan arah yang jelas tentang tindakan apa
yang perlu dilakukan untuk menyebabkan atau mendorong kegiatan yang diinginkan terjadi.
Misalnya, petunjuk perakitan produk memberikan arahan kepada individu yang terlibat dalam
proses produksi.
Pengendalian Sistem Informasi
Karena ketergantungan lazim pada sistem informasi, Pengendalian harus dilaksanakan untuk
mengurangi risiko yang terkait dengan sistem otomatis yang diperlukan untuk menjalankan
bisnis inti dari sebuah organisasi.
Ada dua jenis Pengendalian sistem informasi yang dapat digunakan untuk mengurangi risiko
ini:
1. Pengendalian komputasi Umum. Ini "berlaku untuk banyak jika tidak semua sistem
aplikasi dan membantu memastikan melanjutkan, operasi yang tepat".
2. Pengendalian Aplikasi. Ini "mencakup langkah-langkah komputerisasi dalam perangkat
lunak aplikasi dan prosedur manual yang terkait untuk mengontrol pengolahan berbagai jenis
transaksi.
Kedua jenis Pengendalian bekerja sama "untuk memastikan kelengkapan, akurasi, dan
validitas informasi keuangan dan lainnya dalam sistem.
Pengendalian komputasi umum dianggap Pengendalian tingkat entitas karena mereka berlaku
di seluruh organisasi dan aplikasi komputer. Pengendalian aplikasi, di sisi lain, yang paling
sering dianggap tingkat proses atau Pengendalian tingkat transaksi.
Seperti disinggung sebelumnya dalam bab ini, Pengendalian tertentu dapat masuk ke dalam
beberapa kategori sekaligus. Misalnya, Pengendalian bisa menjadi kendali tingkat entitas
pada saat yang sama bahwa itu adalah tombol Pengendalian. Bahwa Pengendalian yang sama
juga bisa menjadi Pengendalian direktif. Ini tidak bisa, bagaimanapun, menjadi kontrol
Pengendalian sekunder atau Pengendalian tingkat transaksi pada saat yang sama bahwa itu
adalah tombol Pengendalian dan Pengendalian tingkat entitas.
27
manajemen prossess elemen umum tertentu . Harus dirancang secara memadai dan beroperasi
secara efektif , Pengendalian ini harus membahas konsep inisiasi , otorisasi , pencatatan ,
pengolahan , dan pelaporan . Seperti disebutkan sebelumnya dalam bab ini , Pengendalian ini
secara kolektif disebut sebagai pengendalian internal atas pelaporan keuangan .
The PCAOB diciptakan untuk menetapkan pedoman bahwa auditor luar yang independen dan
, secara tidak langsung , manajemen , harus mematuhi dalam rangka untuk memenuhi
persyaratan pelaporan. Sebagai tanggapan, pada 12 Juni 2007, PCAOB mengeluarkan
Standar Audit No 5 , Audit Pengendalian Internal Atas Pelaporan Keuangan yang terintegrasi
dengan audit atas laporan keuangan . Untuk pedoman khusus tambahan , mengacu pada
standar auditing Nomor 5 itu sendiri .
29