BAB II

PEMBAHASAN
Pengendalian internal
tujuan pembelajaran

mengerti apa yang dimaksud dengan pengendalian internal dalam berbagai kerangka

mengidentifikasi komponen kerangka pengendalian internal yang efektif

mengetahui peran dan tanggung jawab masing-masing kelompok dalam suatu

organisasi tentang pengendalian internal

mengidentifikasi jenis-jenis kontrol dan aplikasi yang sesuai untuk masing-masing

memperoleh kesadaran tentang proses untuk mengevaluasi sistem pengendalian

internal.
Setiap organisasi memiliki tujuan bisnis yang bermaksud untuk mencapai, dan setiap

organisasi memiliki risiko yang mengancam pencapaian tujuan tersebut. dalam bab ini, kita
membahas berbagai komponen sistem pengendalian internal yang mengembangkan
organisasi untuk mengurangi dan mengelola risiko tersebut. Anda akan masuk pada bab ini
dengan pemahaman tentang apa yang dimaksud dengan pengendalian internal dan dapat
mengidentifikasi berbagai kerangka kerja yang mempertimbangkan pengendalian internal.
Setiap orang dalam organisasi memiliki tanggung jawab untuk pengendalian internal, dan bab
ini menguraikan peran dan tanggung jawab masing-masing kelompok orang dalam organisasi
tersebut, termasuk manajemen proses untuk mengevaluasi organisasi sistem pengendalian
internal. ada beberapa jenis kontrol yang digunakan untuk mengurangi banyak jenis risiko
yang dihadapi organisasi.
kerangka
kerangka adalah badan prinsip panduan yang membentuk template agar organisasi dapat
mengevaluasi banyak praktek bisnis. prinsip-prinsip ini terdiri dari berbagai konsep, nilainilai, asumsi, dan praktek. dimaksudkan untuk memberikan patokan terhadap suatu
organisasi dapat menilai atau mengevaluasi struktur tertentu, proses, atau lingkungan, atau
sekelompok praktek atau prosedur. khusus untuk praktek audit internal, berbagai kerangka
yang digunakan untuk menilai kecukupan desain dan efektivitas operasi pengendalian.
Menurut IIA pengertian kerangka adalah sebagai berikut: "secara umum, kerangka
memberikan struktural bagaimana tubuh pengetahuan dan gabungan panduan yang baik.
sistem yang koheren, memfasilitasi pengembangan yang konsisten, interpretasi, dan
2

penerapan konsep, metodologi , dan teknik yang berguna atau menjalani profesi dengan
disiplin. "
Hal ini penting untuk memulai dengan membuat beberapa perbedaan sehingga tidak
ada kebingungan mengenai kerangka kerja yang dibahas dalam bab-khusus, manajemen
risiko perusahaan (ERM) kerangka kerja dan kerangka kerja lebih khusus dirancang untuk
mengatasi pengendalian internal. baik kesepakatan dengan pengurangan risiko dan aspek
pengendalian internal, bagaimanapun, kerangka yang fokus pada pengendalian internal saja
lebih sempit didefinisikan dan cenderung kurang strategis di alam. Sementara dalam bab ini
secara khusus dengan subjek kontrol internal dan berfokus pada kerangka pengendalian
internal, itu tidak akan lengkap tanpa mengidentifikasi kerangka ERM dan kerangka lainnya
diakui secara global berurusan dengan tata kelola, manajemen risiko, dan pengendalian
internal yang juga telah dikembangkan atau telah berevolusi selama berwaktu-waktu.
Kerangka diakui secara global
- Kerangka Pengendalian Internal
Pengendalian Internal - Kerangka Terpadu (COSO), Komite of Sponsoring Organizations of
the Treadway Commission, Amerika Serikat, 1992
Bimbingan pada Control (COCO), The Canadian Institute of Charterede Akuntan, Kanada,
1995
Pengendalian Internal: Panduan Revisi Direksi pada Kode Gabungan (Tumbull), Pelaporan
Keuangan Dewan 2005
COBIT 4.1, IT Governance Institute, Amerika Serikat, 2007
Kerangka tata kelola
Laporan Komite Aspek Keuangan Corporate Governance (Cadbury), Inggris, 1992
Laporan raja Corporate Governance untuk Afrika Selatan (Raja II), Institute of Directors,
Afrika Selatan, 2002
Kerangka Enterprise Risk Management
Australia / Selandia Baru Standar Manajemen Risiko (Australia Standard 4360),
Bersama Teknis Komite 08/007 - Manajemen Risiko, Australia / Selandia Baru, Revisi 2004
Enterprise Risk Management - kerangka Terpadu (COSO), Committee of Sponsoring
Organization Komisi Treadway, Amerika Serikat, 2004
Secara global lainnya Kenali Kerangka Mitigasi Risiko
Internasional Konvergensi Modal Pengukuran dan Standar Modal (Basel Accord), Komite
Basel pada Pengawasan Perbankan 1988
Internasional Konvergensi Modal Pengukuran dan Standar Modal Kerangka Revisi (Basel II
atau The New Accord), Komite Basel 2005
3

Tidak ada perbedaan antara COSO, CoCo, dan Turnbull. semua kerangka termasuk
definisi dari pengendalian internal, menjelaskan proses yang menyediakan jaminan yang
wajar untuk mencapai tujuan organisasi dalam tiga kategori tertentu: efektivitas efisiensi
operasi, keandalan pelaporan, dan kepatuhan. tiga kerangka mengenai tanggung jawab
internalcontrol, khususnya tanggung jawab tidak hanya pada dewan direksi, manajemen
senior, dan auditor internal, tetapi juga pada setiap individu dalam organisasi. meskipun
disebut dengan judul yang berbeda antara kerangka kerja, komponen masing-masing
kerangka pengendalian internal pada dasarnya sama dan dapat diperiksa menggunakan COSO
untuk setiap komponen, yaitu: Pengendalian Lingkungan, Penilaian Risiko, Kegiatan
Pengendalian, Informasi dan Komunikasi, dan Monitoring.
Di Amerika Serikat, AS Sarbanes-Oxley Act of 2002 undang-undang menempatkan tanggung
jawab untuk desain, pemeliharaan, dan operasi yang efektif dari pengendalian internal tepat
di pundak manajemen senior, khususnya, CEO dan kepala keuangan (CFO). Untuk mematuhi
undang-undang ini, US Securities and Exchange Commission (SEC) membutuhkan CEO dan
CFO dari perusahaan publik pada kecukupan desain dan efektivitas operasi pengendalian
internal atas pelaporan keuangan (ICFR) sebagai bagian dari pernyataan pengajuan keuangan
tahunan dengan SEC, serta perubahan substansial laporan ICFR, jika ada, secara triwulanan.
khusus, SEC memerlukan bukti kepatuhan, memutuskan bahwa "... manajemen harus
mendasarkan evaluasi [atau, pendapat] dari.
PERBANDINGAN KERANGKA PENGENDALIAN INTERNAL
Definisi dari Internal proses
control

COSO
CoCo
dipengaruhi Unsur-orang

oleh dewan entitas organisasi

direksi, manajemen, mendukung

Turnbull
dari meliputi kebijakan,
yang proses tugas, perilaku
orang dan aspek lain dari

dan personil lainnya, lebih dari keyakinan sebuah

perusahaan

yang dirancang untuk memadai

dalam yang

memberikan

tujuan jaminan yang wajar

pencapaian

keyakinan memadai organisasi

tentang prestasi dari kategori
tujuan
kategori
efektivitas

dalam efektivitas,
berikut: efisiensi

menawarkan

dalam dalam memfasilitasi

berikut: operasi yang efektif
dan dan

efisien,

operasi, memungkinkan untuk

dan keandalan pelaporan respon tepat untuk

efisiensi

operasi, internal

dan bisnis

yang

keandalan pelaporan eksternal. kepatuhan signifikan,

keuangan,
kepatuhan

dan terhadap hukum dan operasional,

terhadap peraturan

hukum

dan keuangan, kepatuhan,

dan kebijakan internal.

peraturan.

dan

risiko

lainnya

untuk

mencapai

tujuan

perusahaan

Relatif

untuk

menghemat menjaga
aset, mengidentifikasi
dan

mengelola

kewajiban,

Komponen
Internal Control

dari Pengendalian

tujuan,

Lingkungan,
Penilaian

Risiko, pemantauan,
pembelajaran.

Pengendalian,

pelaporan

dan

kepatuhan

terhadap

hukum dan peraturan.

komitmen, kegiatan

kemampuan,

Kegiatan

kualitas

pengendalian,
dan informasi
komunikasi

dan
proses,

pemantauan,

Informasi

dan

embeddedness dalam

Komunikasi,

dan

Operasi perusahaan,

Monitoring

respon

terhadap

risiko dan perubahan,

dan pelaporan
Efektivitas pengendalian internal perusahaan atas pelaporan keuangan pada kerangka
pengendalian diakui sesuai yang didirikan oleh badan atau kelompok yang telah mengikuti
prosedur proses hukum, termasuk distribusi luas kerangka untuk komentar publik untuk
rincian tentang evaluasi SEC kerangka pengendalian internal yang tepat.
Banyak organisasi yang berhasil menerapkan kerangka kerja ini dalam upaya untuk
memenuhi Pasal 404 Sarbanis-Oxley, meskipun menghadapi biaya tak terduga signifikan.
perusahaan publik yang lebih kecil berjuang untuk memenuhi biaya mahal serta beberapa
tantangan lain untuk organisasi yang lebih kecil, termasuk:

Memperoleh sumber daya yang cukup untuk mencapai pembagian tugas yang
memadai,

Kemampuan manajemen untuk mendominasi kegiatan, dengan peluang yang

signifikan untuk mengesampingkan manajemen yang tidak tepat dari proses untuk
muncul bahwa kinerja bisnis tujuan telah terpenuhi (pengendalian manajemen),

Individu merekrut pelaporan keuangan yang diperlukan dan keahlian lainnya untuk
melayani

secara

efektif

pada

dewan

direksi

dan

komite

audit

yang

merekrut dan penahan personil dengan pengalaman yang cukup dan keterampilan di
bidang akuntansi dan pelaporan keuangan

Mengambil perhatian penting manajemen menjalankan bisnis untuk memberikan

fokus yang cukup pada akuntansi dan pelaporan keuangan, (dan)

mengendalikan teknologi informasi dan mempertahankan pengendalian umum dan

aplikasi yang sesuai melalui sistem informasi komputer dengan sumber daya teknis
yang terbatas.

Dalam menanggapi ini, COSO mengeluarkan pengendalian internal atas pelaporan

keuangan - panduan bagi perusahaan publik yang lebih kecil (bimbingan untuk perusahaan
publik yang lebih kecil) pada bulan Juli 2006 sebagai suplemen untuk kerangka COSO.
terutama dirancang untuk memberikan bimbingan kepada perusahaan publik yang lebih kecil
untuk membantu mereka dengan biaya yang efektif sarana untuk memenuhi Pasal 404
Sarbanes-Oxley, bimbingan untuk perusahaan publik yang lebih kecil memiliki manfaat
tambahan memasok untuk semua organisasi, terlepas dari ukuran, pada penerapan kerangka
COSO

ketika

mengevaluasi

efektivitas

ICFR.

Karakteristik

"kecil"

Perusahaan

ada berbagai macam bisnis yang dapat diklasifikasikan sebagai "lebih kecil"; banyak
memiliki kesamaan karakteristik sebagai berikut:

Lebih sedikit baris bisnis dan produk yang lebih sedikit dalam baris

Konsentrasi fokus pemasaran, oleh saluran atau geografi

Kepemimpinan dengan manajemen dengan kepemilikan yang signifikan atau hak

Tingkat yang lebih sedikit dari manajemen, dengan rentang bijaksana

pengendalian

Sistem pengolahan transaksi yang kompleks kurang dan protokol

Pesonil lebih sedikit, banyak memiliki berbagai rentang tugas

Kemampuan untuk mempertahankan sumber daya manusia, akuntansi, dan audit

internal.

20 Prinsip Dasar Untuk Mencapai Pengendalian Internal Atas Pelaporan Keuangan

yang efektif
Pengendalian Lingkungan
1. Integritas dan etika Nilai - integritas suara dan nilai-nilai etika, khususnya dari
manajemen puncak, dikembangkan dan dipahami dan menetapkan standar
perilaku untuk pelaporan keuangan.
2. Direksi - Direksi memahami dan menjalankan tanggung jawab pengawasan
terkait dengan pelaporan keuangan dan pengendalian internal terkait
3. Manajemen filsafat dan operasi gaya - Filosofi dan gaya operasi dukungan
manajemen mencapai pengendalian internal yang efektif atas pelaporan keuangan
4. Struktur organisasi - struktur organisasi perusahaan mendukung pengendalian
internal yang efektif atas pelaporan keuangan
5. Pelaporan keuangan yang kompeten - perusahaan mempertahankan individu yang
kompeten dalam pelaporan keuangan dan peran pengawasan
6. Wewenang dan tanggung jawab - manajemen dan karyawan ditugaskan sesuai
tingkat wewenang dan tanggung jawab untuk memfasilitasi pengendalian internal
yang efektif atas pelaporan keuangan.
7. Sumber daya manusia - kebijakan dan praktek sumber daya manusia dirancang
dan dilaksanakan untuk memfasilitasi pengendalian internal yang efektif atas
pelaporan keuangan
Perkiraan risiko
8. Tujuan pelaporan keuangan - manajemen menentukan tujuan pelaporan keuangan
dengan kejelasan dan kriteria yang cukup untuk memungkinkan identifikasi risiko
untuk pelaporan keuangan yang handal
9. Risiko pelaporan keuangan - perusahaan mengidentifikasi dan menganalisa risiko
terhadap pencapaian tujuan pelaporan keuangan sebagai dasar untuk menentukan
bagaimana risiko harus dikelola
10. Risiko penipuan - potensi salah saji material karena kecurangan secara eksplisit
dipertimbangkan dalam menilai risiko terhadap pencapaian tujuan pelaporan
keuangan.

kegiatan pengendalian
11. Integrasi dengan penilaian risiko - tindakan yang diambil untuk mengatasi risiko
terhadap pencapaian tujuan pelaporan keuangan.
12. seleksi dan pengembangan kegiatan pengendalian - kegiatan pengendalian yang
dipilih dan dikembangkan mempertimbangkan biaya dan efektivitas potensi
mereka dalam mengurangi risiko terhadap pencapaian tujuan pelaporan
keuangan.
13. kebijakan dan prosedur - kebijakan yang berkaitan dengan pelaporan keuangan
yang handal ditetapkan dan dikomunikasikan ke seluruh perusahaan, dengan
prosedur yang sesuai sehingga arahan manajemen dilaksanakan
14. Teknologi Informasi - pengendalian teknologi informasi, mana yang berlaku
dirancang dan dilaksanakan untuk mendukung pencapaian tujuan pelaporan
keuangan.
Informasi dan Komunikasi
15. Informasi pelaporan keuangan - informasi terkait diidentifikasi, ditangkap,
digunakan di semua tingkat perusahaan, dan didistribusikan dalam dari dan
jangka waktu yang mendukung pencapaian tujuan pelaporan keuangan
16. Informasi pengendalian intern - informasi yang digunakan untuk menjalankan
komponen kontrol lainnya diidentifikasi, ditangkap, dan mendistribusikan
dalam bentuk dan kerangka waktu yang memungkinkan personil untuk
melaksanakan tanggung jawab pengendalian internal mereka
17. Pengendalian komunikasi - komunikasi memungkinkan dan mendukung
pemahaman dan pelaksanaan tujuan pengendalian internal, proses, dan
tanggung jawab indivual di semua tingkatan organisasi.
18. Eksternal komunikasi - hal yang mempengaruhi pencapaian tujuan pelaporan
keuangan

dikomunikasikan

dengan

pihak

luar

Pemantauan
19. Evaluasi berkelanjutan dan terpisah - evaluasi yang sedang berlangsung dan /
atau

terpisah

memungkinkan

manajemen

untuk menentukan

apakah

pengendalian internal atas pelaporan keuangan hadir dan fungsi

20. Kekurangan pelaporan - kekurangan pengendalian internal diidentifikasi dan
dikomunikasikan secara tepat waktu untuk pihak-pihak yang bertanggung

jawab untuk mengambil koreksi tindakan, dan untuk manajemen dan dewan
yang sesuai.
Lebih lanjut menguraikan tentang dua prinsip COSO relatif terhadap pemantauan
yang termasuk dalam 20 prinsip dasar memperkenalkan dalam pedoman bagi perusahaan
publik yang lebih kecil:

Pemantauan dan / atau evaluasi terpisah memungkinkan manajemen untuk

menentukan apakah komponen lain dari pengendalian internal atas pelaporan
keuangan terus berfungsi dari waktu ke waktu

Kekurangan pengendalian internal diidentifikasi dan dikomunikasikan pada waktu

yang tepat untuk pihak-pihak yang bertanggung jawab untuk mengambil tindakan
korektif, dan untuk manajemen dan papan yang sesuai.
Definisi Pengendalian Internal

Coso secara luas mendefinisikan pengendalian internal sebagai:

Proses, dipengaruhi oleh dewan entitas direksi, manajemen, dan personil lain,
ditandatangani untuk memberikan keyakinan memadai tentang pencapaian tujuan
dalam kategori berikut:
Efektivitas dan efisiensi operasi
Keandalan pelaporan keuangan
Kepatuhan terhadap hukum dan peraturan definisi ini mencerminkan konsep
dasar tertentu yang berlaku:
Pengendalian internal adalah sebuah proses. itu adalah alat untuk mencapai
tujuan, bukan dalam dirinya sendiri.
Pengendalian internal dipengaruhi oleh orang-orang. itu bukan hanya
kebijakan manual dan bentuk, tetapi orang-orang di setiap tingkat organisasi.
Pengendalian internal dapat diharapkan untuk memberikan keyakinan
memadai hanya, tidak jaminan mutlak untuk manajemen entitas dan dewan.
Pengendalian internal adalah diarahkan untuk pencapaian tujuan dalam satu
atau lebih kategori terpisah tapi tumpang tindih.
Meskipun definisi ini mungkin tampak sangat umum, luas mendefinisikan

pengendalian internal mengakomodasi eksplorasi kategori yang secara individu atau secara
keseluruhan. ketika kategori pengendalian internal yang memandang secara keseluruhan,
mereka secara kolektif disebut sebagai sistem pengendalian internal. COSO menunjukkan "

KOMPONEN DARI PENGENDALIAN INTERN

Lingkungan Pengendalian
Lingkungan pengendalian organisasi meliputi semua bidang organisasi dan
mempengaruhi cara individu mendekati pengendalian internal. Komponen ini dasar dari
pengendalian internal menciptakan konteks di mana komponen lain dari pengendalian
internal yang ada. COSO mengidentifikasi "integritas, nilai-nilai etika, dan kompetensi orang
entitas; filsafat dan gaya operasi manajemen; cara manajemen memberikan wewenang dan
tanggung jawab, dan mengatur dan mengembangkan orang-orangnya; dan perhatian dan arah
yang diberikan oleh dewan direksi "sebagai faktor yang termasuk dalam lingkungan
pengendalian organisasi.
Selanjutnya, COSO menunjukkan bahwa "lingkungan pengendalian memiliki
pengaruh luas dalam kegiatan usaha yang terstruktur, tujuan didirikan, dan risiko dinilai. Hal
ini juga mempengaruhi kegiatan mengkontrol. Sejarah dan budaya organisasi secara langsung
mempengaruhi lingkungan pengendalian, jika diterapkan secara efektif, hasil dalam
lingkungan pengendalian jika diterapkan secara efektif, adalah "sikap organisasi terintegritas
dan mengendalikan kesadaran, dan mengatur sebuah "nada di atas" positif melalui
pembentukan "kebijakan dan prosedur yang tepat, sering termasuk kode etik tertulis, yang
nilai-nilai bersama dan tim kerja dalam mengejar tujuan entitas.
Perkiraan Risiko
Semua organisasi akan menghadapi risiko, yaitu ancaman terhadap pencapaian tujuan.
Semua risiko, baik internal maupun eksternal, perlu dinilai. Menurut COSO, "prasyarat untuk
penilaian risiko adalah pembentukan tujuan, terkait pada tingkatan yang berbeda dan
konsisten secara internal. Penilaian risiko adalah identifikasi dan analisis risiko yang relevan
dengan pencapaian tujuan, untuk membentuk dasar dan menentukan bagaimana risiko harus
dikelola. Karena ekonomi, industri, regulasi, dan kondisi operasi akan terus berubah,
mekanisme yang diperlukan untuk mengidentifikasi dan menangani risiko khusus yang
terkait dengan perubahan. "Identifikasi risiko dan analisis risiko, keduanya penting untuk
penilaian risiko yang efektif, yang akan dibahas secara lebih rinci dalam bab ini.
Menetapkan tujuan yang jelas adalah prasyarat untuk identifikasi yang efektif,
penilaian, dan respon terhadap risiko. Tujuan pertama, didirikan di lingkungan strategipengaturan, sebelum manajemen dapat mengidentifikasi risiko yang mungkin menghambat
pencapaian tujuan dan mengambil tindakan yang diperlukan untuk mengelola risiko tersebut.
Seperti yang dibahas dalam Bab 4, "Manajemen Risiko," pengaturan tujuan, identifikasi
10

event, penilaian risiko, dan respon risiko merupakan elemen kunci dari proses manajemen
risiko. Dengan demikian, pengaturan tujuan merupakan prasyarat untuk pengendalian
internal.
Proses untuk menetapkan tujuan dapat berkisar dari yang sangat terstruktur atau
sangat informal. Pernyataan misi organisasi sering mendorong tujuan tingkat entitas.
Bersama-sama dengan penilaian kekuatan, kelemahan, risiko, dan peluang, tujuan
membangun konteks untuk mendefinisikan strategi organisasi. Biasanya, rencana strategis
yang menghasilkan sifatnya umum.
Dari rencana strategis umum, tujuan diidentifikasi yang lebih spesifik daripada tujuan
tingkat entitas yang dibahas di atas. Tujuan tingkat entitas yang telah ditetapkan untuk
kegiatan yang berbeda dalam organisasi. Tujuan khusus dari kegiatan mereka harus
menyelaraskan dengan tujuan tingkat entitas diidentifikasi oleh organisasi.
Menetapkan tujuan pada kedua entitas dan proses tingkat penting bagi organisasi
untuk dapat mengidentifikasi faktor penentu keberhasilan (kesuksesan yang harus dicapai
untuk tujuan yang akan dicapai). Faktor penentu keberhasilan yang hadir di semua tingkat
organisasi dan memfasilitasi penciptaan kriteria terukur terhadap kinerja yang dapat dinilai.
Tujuan dapat dibagi ke dalam kategori yang luas berikut yang ditetapkan oleh COSO:

Tujuan Operasi. Ini berkaitan dengan efektivitas dan efisiensi entitas operasi, termasuk
kinerja dan tujuan profitabilitas dan menjaga sumber daya terhadap kerugian. Mereka
bervariasi berdasarkan pilihan manajemen mengenai struktur dan kinerja.

Tujuan Pelaporan Keuangan. Ini berkaitan dengan penyusunan laporan keuangan yang
handal untuk diterbitkan, termasuk pencegahan pelaporan keuangan penipuan publik.
Mereka didorong oleh kebutuhan eksternal.

Tujuan Kepatuhan. Tujuan-tujuan ini berhubungan dengan kepatuhan terhadap hukum

dan peraturan yang mana entitas tunduk. Mereka bergantung pada faktor-faktor eksternal,
seperti peraturan lingkungan, dan cenderung mirip di semua entitas dalam beberapa kasus
dan di industri pada orang lain.

Kegiatan Pengendalian

11

Kegiatan pengendalian adalah tindakan yang diambil oleh manajemen, dewan, dan
pihak lain untuk mengurangi risiko dan meningkatkan kemungkinan bahwa didirikan tujuan
dan sasaran yang akan dicapai. Rencana manajemen, mengatur, dan mengarahkan kinerja
tindakan yang cukup untuk memberikan keyakinan memadai bahwa tujuan dan sasaran yang
akan dicapai. Seperti faktor penentu keberhasilan yang dijelaskan di atas, kegiatan
pengendalian yang hadir di semua tingkat organisasi. Dan, seperti tujuan mereka dirancang
untuk membantu mencapai, kegiatan pengendalian dapat dipisahkan ke dalam kategori ada
operasi, pelaporan keuangan, dan kepatuhan. Namun, kegiatan pengendalian sering dirancang
untuk mengurangi beberapa risiko yang dapat mengancam tujuan dalam lebih dari satu
kategori. Ingat bahwa itu adalah kurang penting yang kategori aktivitas kontrol di
dibandingkan kemampuannya untuk mengurangi risiko untuk yang sesuai.
Setiap organisasi menetapkan sendiri tujuan bisnis dan strategi implementasi. Karena
setiap organisasi dikelola oleh orang yang berbeda yang menggunakan penilaian individu
dalam lingkungan operasi yang unik dengan berbagai kompleksitas, tidak ada dua organisasi
memiliki set yang sama aktivitas pengendalian, oleh karena itu, melayani peran penting
dalam proses pengelolaan organisasi dengan memastikan bahwa yang diidentifikasi secara
unik risiko telah diantisipasi, memungkinkan organisasi untuk mencapai tujuan bisnisnya.
Salah satu konsep penting umum untuk semua kegiatan pengendalian adalah konsep
yang ada di COSO yang mendefinisikan sebagai pemisahan tugas. Pemisahan tugas adalah
konsep membagi, atau memisahkan, aktivitas pengendalian terkait dengan otorisasi transaksi
dari pengolahan transaksi-transaksi dari akses fisik ke aset yang terkait dengan transaksi
tersebut yang mendasari. Tujuan utama dari pemisahan tugas (membagi kegiatan
pengendalian) antara orang-orang yang berbeda adalah untuk mengurangi risiko kesalahan
atau tindakan yang tidak pantas dilakukan oleh setiap individu tunggal.
Selain pembagian tugas, ada banyak kegiatan pengendalian umum yang hadir dalam sistem
yang dirancang dengan baik kontrol internal, termasuk:

ulasan Kinerja dan kegiatan tindak lanjut.

Otorisasi (persetujuan).

kegiatan pengendalian akses IT.

Dokumentasi (ketat dan komprehensif).

kegiatan pengendalian akses fisik.

aplikasi TI kegiatan (input, proses, output) kontrol.

verifikasi independen dan rekonsiliasi.

12

Informasi dan Komunikasi

Informasi

yang

berkualitas

tinggi

harus

dikomunikasikan

secara

tepat.

Ketergantungan ini adalah mengapa COSO menggabungkan informasi dan komunikasi dalam
komponen ini. Informasi yang relevan, akurat, dan tepat waktu harus tersedia untuk individu
pada semua tingkat organisasi yang membutuhkan informasi tersebut untuk menjalankan
bisnis secara efektif. Tidak hanya harus informasi disediakan "untuk personil yang tepat
sehingga mereka dapat melaksanakan operasi mereka, pelaporan keuangan, dan tanggung
jawab kepatuhan," tetapi "komunikasi juga harus berlangsung dalam arti yang lebih luas,
berurusan dengan harapan, tanggung jawab individu dan kelompok, dan lainnya penting dan
dapat memberikan informasi penting pada fungsi kontrol. Partai-partai ini termasuk, namun
tidak terbatas pada, pelanggan, pemasok, penyedia layanan, regulator, auditor eksternal, dan
pemegang saham.
Hal ini terutama penting untuk membuat informasi memastikan tetap aligned dengan
kebutuhan bisnis saat ini selama periode perubahan. Hal ini sama pentingnya untuk
memastikan bahwa informasi ini dikomunikasikan tepat waktu untuk semua pihak yang
berkepentingan.
Ada banyak cara organisasi dapat memilih untuk berkomunikasi. Bentuk hardcopy
komunikasi termasuk manual, memorandum, dan papan buletin terletak di daerah di mana
individu berkumpul. Komunikasi juga dapat terjadi dalam pertemuan tatap muka atau secara
elektronik melalui e-mail, situs intranet, video conferencing, atau papan buletin elektronik.
Budaya organisasi, serta isi dari informasi bersama, akan menentukan metode komunikasi
terbaik. Karena individu menerima dan memproses informasi secara berbeda, sebagian besar
organisasi akan menggunakan kombinasi media untuk memastikan semua individu dapat
memproses dan memahami informasi yang diberikan kepada mereka. COSO berpendapat
bahwa tindakan manajemen kuat mengkomunikasikan apa yang penting bagi organisasi
sebagai "tindakan berbicara lebih keras daripada kata-kata.
Jelas, budaya organisasi memainkan peran penting dalam mengkomunikasikan
prioritas. Biasanya, organisasi yang telah membentuk budaya integritas dan transparansi
memiliki waktu lebih mudah dengan komunikasi daripada organisasi lain.
Pemantauan
Untuk tetap handal, sistem pengendalian intern harus dipantau. Pemantauan adalah
"suatu proses yang menilai kualitas kinerja sistem dari waktu ke waktu. Hal ini dicapai
melalui kegiatan yang sedang berlangsung pemantauan, terpisah, periodik evaluasi, atau
kombinasi dari keduanya. Meskipun bukan merupakan bagian dari hari-hari operasi
13

organisasi per se, pemantauan dilakukan bersamaan dengan operasi-operasi secara

berkelanjutan. Semakin kuat dan komprehensif prosedur pengawasan dan verifikasi,
manajemen lebih percaya diri dapat menempatkan dalam efektivitas prosedur tersebut untuk
memastikan operasi yang sedang berlangsung konsisten dan dapat diandalkan. Dengan efektif
kegiatan pemantauan, ditambah dengan penilaian risiko yang akurat dan dapat diandalkan,
frekuensi evaluasi terpisah dapat dikurangi.
Pemantauan paling efektif bila pendekatan berlapis diimplementasikan. Lapisan
pertama meliputi kegiatan sehari-hari yang dilakukan oleh manajemen dari daerah tertentu
seperti dijelaskan di atas. Lapisan kedua adalah terpisah (non independen) evaluasi
pengendalian internal di daerah itu dilakukan oleh manajemen secara teratur untuk
memastikan bahwa setiap kekurangan yang ada diidentifikasi dan diselesaikan tepat waktu.
Lapisan ketiga adalah penilaian independen oleh daerah di luar atau fungsi, dilakukan untuk
memvalidasi hasil (akurasi dan keandalan) penilaian manajemen diri dari efektivitas
pengendalian di daerah mereka. Pendekatan berlapis ini menyediakan organisasi dengan
tingkat yang lebih tinggi dari keyakinan bahwa sistem pengendalian internal tetap efektif dan
membantu memastikan kekurangan pengendalian internal diidentifikasi dan ditangani tepat
waktu.
Hal ini penting untuk dicatat bahwa kegiatan pemantauan terjadi di masing-masing
lima komponen pengendalian internal (Lingkungan Pengendalian, Penilaian Risiko, Kegiatan
Pengendalian, Informasi dan Komunikasi, dan Pemantauan), bukan hanya sebagai komponen
yang berdiri sendiri. kegiatan pemantauan ke dalam proses yang dilakukan selama operasi
bisnis sehari-hari memungkinkan pemantauan terjadi secara teratur, menangkap masalah
sebelum menjadi tidak terkendali. Evaluasi terpisah kekurangan keuntungan ini karena waktu
kinerja mereka, yang kemudian dalam proses, dan karena mereka tampil lebih jarang.
Evaluasi terpisah menyediakan tampilan tambahan pada sistem pengendalian internal,
menangkap masalah yang mungkin telah terjawab selama pemantauan, dan mengevaluasi
efektivitas pemantauan tertanam dalam kegiatan sehari-hari dari daerah. Meskipun berbagai
keuntungan dari dua metode yang berbeda untuk pemantauan, keduanya diperlukan untuk
proses monitoring yang kuat untuk eksis. Pameran 6-8 memberikan contoh dari berbagai
jenis pemantauan.
Seperti yang ditunjukkan sebelumnya, manajemen memiliki tanggung jawab utama
untuk efektivitas sistem organisasi pengendalian internal, termasuk pemantauan. Sebagai
tanggung jawab untuk melakukan kontrol tertentu naik dalam organisasi ke tingkat yang lebih
tinggi dari manajemen, pemantauan pengawasan tradisional menjadi lebih menantang.
14

Kegiatan pemantauan yang dilakukan oleh bawahan dalam suatu organisasi jauh lebih efektif
daripada yang dilakukan oleh atasan. Dalam situasi-situasi di mana manajemen senior
melakukan kontrol, itu mungkin cocok untuk anggota lain dari manajemen senior untuk
memantau mereka kontrol. Dalam kasus yang membawa risiko manajemen tingkat bawah,
pemantauan tingkat papan mungkin diperlukan.
Kekurangan dalam sistem organisasi pengendalian internal mungkin diidentifikasi
selama kinerja baik pemantauan atau evaluasi terpisah. COSO secara luas mendefinisikan
kekurangan sebagai "kondisi dalam suatu sistem pengendalian internal layak perhatian."
COSO menjelaskan bahwa "kekurangan, oleh karena itu, mungkin merupakan dirasakan,
potensi, atau kekurangan yang nyata, atau kesempatan untuk memperkuat sistem kontrol
internal untuk memberikan kemungkinan besar bahwa tujuan entitas akan tercapai.
Kekurangan yang diidentifikasi sebagai akibat dari pemantauan dan evaluasi yang terpisah
harus dilaporkan secara tepat waktu kepada pihak-pihak yang tepat dalam organisasi.
Tergantung pada dampak kekurangan tertentu memiliki pada efektivitas potensial dari sistem
pengendalian internal, itu harus dilaporkan kepada manajemen unit bisnis, manajemen senior,
dan / atau dewan direksi. Kekurangan dilaporkan pertimbangan penting dalam evaluasi
sistem pengendalian internal. Mengevaluasi sistem pengendalian internal akan dibahas secara
lebih rinci nanti dalam bab ini. Komunikasi formal relatif terhadap keterlibatan jaminan
diselesaikan oleh fungsi audit internal dibahas secara rinci nanti dalam bab ini 14,
"Berkomunikasi Jaminan Hasil dan Pertunjukan Prosedur Tindak Lanjut."
Sebagaimana dibahas sebelumnya dalam bab ini, beberapa organisasi sedikit
digunakan pemantauan, terutama yang berkaitan dengan persyaratan pelaporan keuangan.
Pemantauan dapat menjadi alat yang efektif untuk memvalidasi pernyataan pengendalian
internal ketika dirancang dengan akhir dalam pikiran. Organisasi di seluruh dunia yang harus
melaporkan efektivitas sistem mereka pengendalian internal kepada pihak eksternal dapat
merancang "jenis, waktu, dan tingkat pemantauan" yang dilakukan untuk memberikan
"informasi persuasif yang pengendalian internal beroperasi secara efektif pada suatu titik
waktu atau selama periode tertentu. Pameran 6-9 adalah representasi COSO tentang proses
pemantauan relatif mendukung kesimpulan mengenai efektivitas pengendalian.
PERAN PENGENDALIAN INTERNAL DAN TANGGUNG JAWAB
Setiap orang dalam suatu organisasi memiliki tanggung jawab untuk pengendalian intern:
Manajemen

15

CEO bertanggung jawab utama untuk sistem pengendalian internal. "Nada di atas"
(bagaimana etika atau berapa banyak integritas organisasi memiliki) diatur oleh CEO dan
gulung ke bawah dari sana ke manajemen senior, manajemen lini, dan akhirnya semua
individu dalam suatu organisasi. CEO lebih atau kurang terlihat dan memiliki lebih atau
kurang dari dampak langsung tergantung pada ukuran organisasi. Dalam organisasi yang
lebih kecil. CEO sangat langsung mempengaruhi sistem pengendalian internal. Dalam
organisasi yang lebih besar, CEO memiliki dampak terbesar pada manajemen senior yang
pada gilirannya mempengaruhi bawahannya. Dalam manajemen ini tindakan cara, senior dan
garis sebagai "CEO" di atas area yang menjadi tanggung jawab mereka.
Dewan direksi
Dewan direksi mengawasi manajemen dan memberikan arahan mengenai
pengendalian internal. COSO menjelaskan anggota dewan yang efektif sebagai "tujuan,
mampu, dan ingin tahu ..." dengan "pengetahuan tentang kegiatan [organisasi] dan
lingkungan, dan [yang] melakukan waktu yang diperlukan untuk memenuhi tanggung jawab
papan mereka." Anggota dewan yang efektif sangat penting untuk efektif sistem
pengendalian internal karena manajemen memiliki kemampuan untuk mengesampingkan
kontrol dan menekan bukti perilaku tidak etis atau penipuan. Perilaku tersebut memiliki
sebuah papan yang secara aktif terlibat. Seperti disebutkan sebelumnya, dewan direksi
memiliki tanggung jawab utama untuk memastikan manajemen telah membentuk sistem yang
efektif pengendalian internal.
Dewan peran dan tanggung jawab direksi seperti yang dijelaskan oleh COSO
membentuk pemerintahan yang efektif "payung 'bagi suatu organisasi. Untuk gambaran
visual dari proses ini, lihat Exhibit 3-3 di Bab 3, "Pemerintahan." Bab 3 menjelaskan tata
sebagai proses yang dilakukan oleh dewan direksi untuk mengotorisasi, langsung, dan
manajemen menolak terhadap pencapaian tujuan bisnis organisasi .
internal Auditor
Sementara manajemen, di bawah kepemimpinan CEO, memiliki tanggung jawab
utama untuk desain yang memadai dan operasi yang efektif dari sistem pengendalian internal,
auditor internal memainkan peran penting dalam memverifikasi bahwa manajemen telah
memenuhi tanggung jawabnya. Awalnya, manajemen melakukan penilaian utama dari sistem
pengendalian internal, dan kemudian fungsi audit internal secara independen memvalidasi
pernyataan manajemen. Fungsi audit internal memberikan keyakinan memadai bahwa sistem
pengendalian internal dirancang secara memadai dan beroperasi secara efektif, meningkatkan
16

kemungkinan bahwa tujuan bisnis organisasi dan tujuan akan terpenuhi. COSO
mendefinisikan peran auditor internal sama, meskipun dalam istilah yang lebih umum:
"Auditor internal memainkan peran penting dalam mengevaluasi efektivitas sistem kontrol,
dan berkontribusi terhadap efektivitas berkelanjutan. Karena [yang] posisi organisasi dan
otoritas dalam suatu entitas, fungsi audit internal sering memainkan peran monitoring yang
signifikan. Hubungan antara manajemen dan pengendalian internal dan pelaporan tersebut
lebih dieksplorasi kemudian dalam bab ini dan dalam Bab 9, "Manajemen SPI."
Personil lainnya
COSO jelas menunjukkan bahwa setiap orang dalam suatu organisasi memiliki
tanggung jawab untuk pengendalian internal: "Pengendalian internal adalah untuk beberapa
derajat, tanggung jawab setiap orang dalam organisasi dan karena itu harus menjadi bagian
eksplisit atau implisit dari deskripsi pekerjaan setiap orang. Hampir semua karyawan
menghasilkan informasi yang digunakan dalam sistem pengendalian internal atau melakukan
tindakan lain yang diperlukan untuk efek kontrol. "COSO menambahkan bahwa" semua
personil harus bertanggung jawab untuk berkomunikasi masalah atas dalam operasi,
ketidakpatuhan dengan kode etik, atau pelanggaran kebijakan lainnya atau tindakan ilegal.
COSO menunjukkan bahwa pihak eksternal dapat menjadi faktor penting relatif
terhadap kemampuan organisasi untuk mencapai tujuannya. Sebagai contoh, auditor
independen di luar, sementara tidak bertanggung jawab atas sistem organisasi pengendalian
internal, berkontribusi independensi dan obyektivitas melalui pendapat mereka meliputi
kewajaran laporan keuangan dan efektivitas pengendalian internal atas pelaporan keuangan.
Pihak eksternal lainnya yang bukan merupakan bagian dari pengendalian internal organisasi
tetapi memberikan "informasi ke [organisasi] berguna dalam mempengaruhi pengendalian
internal yang legislator dan regulator, pelanggan dan lain-lain bertransaksi bisnis dengan
perusahaan, analis keuangan, penilai obligasi, dan media berita .
Dalam banyak kasus, vendor luar yang digunakan untuk melakukan unsur-unsur
sistem pengendalian intern. Namun, dalam kasus-kasus, kepemilikan dan akuntabilitas untuk
elemen-elemen outsourcing tetap dengan manajemen internal, yang memiliki tanggung jawab
utama untuk pengujian dan sertifikasi kontrol kunci outsourcing. Kegiatan yang biasa
outsourcing meliputi, misalnya, pengolahan data, gaji, atau bahkan internal fungsi audit itu
sendiri. Proses bisnis outsourcing dibahas lebih lanjut dalam Bab 5, "Proses Bisnis dan
Risiko."

17

KETERBATASAN PENGENDALIAN INTERNAL

Pengendalian internal diimplementasikan untuk mengurangi risiko yang mengancam
pencapaian tujuan organisasi atau untuk memungkinkan organisasi untuk berhasil mengejar
peluang. Meskipun manajemen, dewan direksi, auditor internal, dan personil lainnya bekerja
sama untuk memfasilitasi pengendalian internal, tidak ada sistem pengendalian internal dapat
memastikan bahwa tujuan akan tercapai. Hal ini disebabkan keterbatasan inheren
pengendalian internal. Secara khusus, COSO menunjuk keterbatasan berikut sebagai melekat
pada pengendalian internal:
penilaian manusia dalam pengambilan keputusan dapat rusak.
Kerusakan dapat terjadi karena kegagalan manusia seperti kesalahan sederhana atau
kesalahan.

Kontrol dapat dielakkan oleh kolusi dari dua atau lebih orang.
Manajemen memiliki kemampuan untuk mengesampingkan sistem pengendalian
internal.

Kontrol harus dipertimbangkan dari segi biaya mereka dibandingkan dengan

manfaatnya.
Sementara sebuah sistem yang dirancang dengan baik kontrol internal dapat memberikan

keyakinan yang memadai untuk manajemen relatif terhadap pencapaian tujuan organisasi,
ada sistem pengendalian internal dapat memberikan jaminan mutlak untuk alasan yang
tercantum di atas. Hal ini berlaku terlepas dari apakah tujuan jatuh ke dalam operasi,
pelaporan keuangan, atau kategori kepatuhan.
Seperti yang ditunjukkan sebelumnya, membangun tujuan bisnis merupakan prasyarat
untuk merancang sistem yang efektif pengendalian internal. Tujuan bisnis memberikan
target terukur yang suatu organisasi melakukan operasinya. Sebuah kunci untuk memahami
konsep keterbatasan dan keyakinan memadai terletak pada juga memahami keterkaitan dan
saling ketergantungan dari tujuan bisnis dan risiko yang secara langsung atau tidak langsung
mempengaruhi kemampuan organisasi untuk mencapai tujuan bisnis mereka. Hanya
kemudian dapat sebuah organisasi benar merancang dan mengimplementasikan sistem yang
efektif pengendalian internal. Sebagai COSO menunjukkan, "Proses mengidentifikasi dan
menganalisis risiko merupakan proses berulang berkelanjutan dan merupakan komponen
penting dari sistem pengendalian internal yang efektif. Manajemen harus fokus pada risiko
dengan hati-hati pada semua tingkat entitas dan mengambil tindakan yang diperlukan untuk
mengelola mereka.

18

Risiko yang melekat, Risiko Controllable, dan Risiko Residual

Kemampuan organisasi untuk mencapai tujuan bisnis dipengaruhi oleh risiko internal dan
eksternal. Kombinasi risiko internal dan eksternal dalam organisasi yang tidak terkendali
disebut sebagai risiko yang melekat. Kata lain, risiko yang melekat adalah risiko besar yang
ada dengan asumsi tidak ada pengendalian internal di tempat. Pengakuan adanya risiko yang
melekat bahwa peristiwa atau kondisi tertentu hanya di luar kontrol manajemen (risiko
eksternal) sangat penting untuk mengenali keterbatasan pengendalian internal.
Mengidentifikasi risiko eksternal dan internal pada suatu entitas dan aktivitas (proses dan
transaksi) adalah tingkat dasar penilaian risiko yang efektif. Sebagaimana dibahas dalam Bab
5, "proses bisnis dan risiko," sewaktu risiko-risiko utama telah diidentifikasi, manajemen
dapat menghubungkan untuk tujuan bisnis dan proses bisnis terkait.
Setelah tingkat entitas dan tingkat aktivitas telah diidentifikasi, mereka harus dinilai dari segi
dampak dan kemungkinan. Proses analisis risiko bervariasi tergantung pada banyak faktor
specifik untuk sebuah organisasi, tetapi biasanya mereka termasuk:
Memperkirakan (dampak (atau keparahan)) dari risiko.
Menilai kemungkinan (atau frekuensi) dari risiko yang terjadi (probabilitas).
Mengingat betapa risiko harus dikelola - yaitu, penilaian dari apa tindakan yang perlu
diambil.
Hasil analisis risiko memungkinkan manajemen untuk mempertimbangkan cara terbaik untuk
menanggapi risiko yang mengancam pencapaian tujuan organisasi. Risiko yang tidak
signifikan dan tidak memiliki kemungkinan tinggi terjadi akan menerima sedikit perhatian.
Risiko yang signifikan dan / atau mungkin terjadi akan menerima perhatian yang jauh lebih
besar. Risiko yang berada di tengah, namun, umumnya memerlukan analisis lebih lanjut
untuk mengurangi risiko tanpa menggunakan sumber daya secara tidak efisien.
Pengendalian merupakan respon risiko yang diperlukan manajemen untuk mengurangi
dampak dan / atau kemungkinan ancaman terhadap pencapaian tujuan. Manajemen harus
mempertimbangkan resiko keseluruhan dan risiko individu ketika memutuskan tindakan yang
harus diambil. COSO manajemen resiko perusahaan -kerangka terintegrasi mendefinisikan
risk appetite sebagai " suatu perusahaan atau badan lain yang bersedia menerima dalam
mengejar misinya (atau visi)," dan toleransi risiko sebagai "diterima (tingkat ukuran dan)
variasi relatif terhadap pencapaian tujuan. "toleransi risiko harus sejajar dengan risk appetite.

19

Selain itu, toleransi risiko mempertimbangkan jumlah risiko bahwa manajemen sadar setelah
menyeimbangkan biaya dan manfaat dari penerapan pengendalian. Hal ini penting untuk
mengakui bahwa ada hubungan langsung antara jumlah resiko dan biaya yang terkait dengan
pelaksanaan pengendalian yang dirancang untuk mencapai tingkat keringanan. Akibatnya,
sebuah organisasi harus memastikan ia tidak memiliki risiko yang berlebihan atau
pengendalian internal yang berlebihan. Beberapa kemungkinan konsekuensi menerima risiko
yang berlebihan atau menerapkan pengendalian internal yang berlebihan. Keseimbangan
bahwa manajemen mampu mencapai hasil dalam sebuah organisasi menerima tingkat yang
lebih tinggi atau lebih rendah dari risiko dan tergantung pada sifat risiko, lingkungan
peraturan di mana organisasi beroperasi, dan manajemen filosofi.
KESEIMBANGAN RESIKO DAN PENGENDALIAN
Konsekuensi menerima resiko
internal
z Yang berlebihan

konsekuensi penerapan
kontrol yang berlebihan

- hilangnya potensi aset,

- tidak efektifnya pengambilan
keputusan,
-potensi pelanggaran hukum dan
peraturan, - potensi terjadinya
penipuan

- peningkatan birokrasi
- kelebihan biaya
-kompleksitas yang tidak
memerlukan pengendalian
- peningkatan waktu
- kegiatan non nilai tambah

Dengan mengatakan bahwa, ada banyak faktor yang harus dipertimbangkan ketika
menentukan tindakan spesifik (pengendalian) yang harus manajemen ambil untuk mengelola
risiko yang melekat ke tingkat yang cukup rendah, yaitu, dalam toleransi risiko tersebut.
Untuk memulainnya, manajemen harus mempertimbangkan risiko yang terkendali.

20

Risiko terkendali adalah bahwa sebagian dari risiko yang melekat manajemen dapat langsung
mengurangi resiko tersebut melalui kegiatan bisnis sehari-hari. Setelah manajemen
menerapkan pengendalian biaya yang efektif untuk mengatasi risiko terkendali, kemudian
mereka dapat menentukan apakah organisasi beroperasi dalam risiko keseluruhan yang
ditetapkan oleh manajemen senior dan dewan direksi. Porsi risiko yang melekat yang tersisa
setelah mengurangi semua risiko terkendali didefinisikan sebagai risiko residual. Jika risiko
yang tidak terkendali atau yang tersisa (residual risk) adalah kurang dari risk appetite yang
ditetapkan, maka sistem pengendalian internal beroperasi pada tingkat yang dapat diterima
dalam organisasi.
Namun, jika risiko residual melebihi risk appetite yang ditetapkan organisasi, maka perlu
mengevaluasi kembali sistem pengendalian internal untuk menentukan apakah tambahan
pengendalian biaya yang efektif dapat diterapkan untuk mengurangi risiko residual untuk
tingkat risk appetite manajemen. Jika tidak, manajemen harus mempertimbangkan pilihan
lain seperti berbagi atau mentransfer sebagian dari risiko tak terkendali untuk pihak ketiga
atau indepenen yang bersedia melalui asuransi atau outsourcing. Jika risiko yang tidak
terkendali tidak dapat secara efektif dialihkan atau dibagi, manajemen baik dapat menerima
tingkat yang lebih tinggi dari risiko (risk appetite dan menyesuaikan mereka), atau organisasi
harus memutuskan apakah ia ingin tetap terlibat dalam kegiatan tersebut yang menyebabkan
risiko. Lihat Bab 4 "Manajemen Risiko", untuk diskusi manajemen risiko dan teknik mitigasi
terkait mendalam.
Sebuah perancangan secara memadai dan efektif beroperasi pada sistem pengendalian
internal, menurut definisi, perancangan untuk mengelola risiko dalam risk appetite yang
ditetapkan organisasi. Ini harus mengurangi risiko yang melekat terkait dengan tiga kategori
COSO (operasi yang efektif dan efisien, pelaporan keuangan yang dapat diandalkan, dan
kepatuhan terhadap hukum dan peraturan yang berlaku) dalam risk appetite manajemen.
MELIHAT PENGENDALIAN INTERNAL DARI
PERSPEKTIF
Karena semua orang dalam suatu organisasi memiliki tanggung jawab untuk pengendalian
internal, menurut COSO. "Pengendalian internal berkaitan dengan tujuan entitas, dan
kelompok-kelompok yang berbeda tujuan untuk alasan yang berbeda".

21

Pengelolaan
Karena manajemen bertanggung jawab untuk menetapkan tujuan organisasi, mereka secara
alami melihat pengendalian internal itu perspektif. Manajemen harus mempertimbangkan
pengendalian internal dalam hal biaya dan manfaat yang terkait dan mengalokasikan sumber
daya yang diperlukan untuk arsip tujuan tersebut.
Dari perspektif manajemen, pengendalian internal mencakup sejumlah kegiatan yang
dirancang untuk mengurangi risiko atau mengaktifkan peluang yang mempengaruhi prestasi
dari organisasi. Keterlibatan manajemen dengan sistem pengendalian internal memungkinkan
mereka untuk bereaksi dengan cepat ketika kondisi memungkinkan. Hal ini juga membantu
manajemen dalam hal mematuhi hukum dan peraturan nasional, lokal, dan industri-spesifik.
Internal Auditor
Seperti manajemen, auditor internal melihat pengendalian internal dalam hal perannya dalam
pencapaian tujuan organisasi. Sedangkan manajemen bertanggung jawab untuk sistem
pengendalian internal itu sendiri, auditor internal dibebankan dengan independen
memverifikasi bahwa pengendalian organisasi dirancang secara memadai dan beroperasi
secara efektif sebagai manajemen maksud. Validasi independen ini, yang memperhitungkan
semua sistem, proses, operasi, fungsi, dan kegiatan entitas, meningkatkan kemungkinan
tujuan organisasi tercapai.
Auditor Independen luar
Tanggung jawab utama dari independen auditor luar organisasi adalah untuk membuktikan
kewajaran laporan keuangan dan, di beberapa negara tertentu, efektivitas pengendalian
internal atas pelaporan keuangan. Untuk alasan ini, perspektif mereka difokuskan pada
pengendalian internal relatif terhadap bagaimana hal itu mempengaruhi pelaporan keuangan
organisasi. Sementara auditor luar yang independen mengambil tujuan dan strategi organisasi
ke dalam pertimbangan ketika memenuhi peran mereka, mereka tidak mengambil perspektif
yang luas yang sama dengan pengendalian internal yang diambil oleh manajemen dan auditor
internal.
Pihak Eksternal lainnya
Pihak eksternal yang memiliki kepentingan dalam pengendalian internal organisasi meliputi
legislator, regulator, investor, dan kreditur. Karena kepentingan mereka bervariasi, demikian
22

juga kemauan perspektif pengendalian internalnya. Akibatnya, "legislator dan badan pengatur
telah mengembangkan berbagai definisi dari pengendalian internal untuk menyesuaikan diri
dengan tanggung jawab mereka. Definisi ini umumnya berhubungan dengan jenis kegiatan,
dan mungkin mencakup pencapaian tujuan entitas, persyaratan pelaporan, penggunaan
sumber daya sesuai dengan hukum dan peraturan, dan sumber daya menjaga terhadap limbah,
kerugian, dan penyalahgunaan ". di sisi lain, terutama Investor dan kreditor, memerlukan
jenis informasi keuangan yang independen.
JENIS PENGENDALIAN
Ada banyak jenis pengendalian yang digunakan oleh organisasi untuk meningkatkan
kemungkinan bahwa tujuan akan dipenuhi. Hal ini penting untuk dicatat bahwa pengendalian
tertentu dapat disebut dengan organisasi yang berbeda (dan individu bahkan berbeda dalam
suatu organisasi) dengan nama yang berbeda. Lebih penting dari pada nama yang digunakan
untuk menggambarkan pengendalian tertentu adalah jenis kontrol itu. Hal ini dapat
menciptakan kebingungan karena banyak kontrol masuk ke dalam lebih dari satu kategori
secara bersamaan. Ini dibahas lebih detail kemudian dalam bab ini.
Tergantung pada aplikasi spesifik pengendalian ini, mereka dapat diklasifikasikan dengan
berbagai cara dan dapat mengambil beberapa klasifikasi secara bersamaan. Bagian berikut
menguraikan berbagai jenis pengendalian dan tujuan masing-masing.
Tingkat entity, tingkat proses-dan tingkat pengendalian TransactionSemua pengendalian dirancang untuk mengurangi risiko baik di tingkat perusahaan atau di
tingkat operasional dalam suatu organisasi. COSO 1992 menggunakan istilah "tingkat
entitas" masing-masing untuk menggambarkan pengendalian ini. Meskipun tidak jarang
untuk organisasi dalam profesi audit internal untuk menggunakan terminologi yang berbeda
seperti "perusahaan-luas" atau "badan-luas" untuk merujuk pada pengendalian tingkat entitas,
istilah yang lebih umum "tingkat entitas. pengendalian tingkat entitas yang sangat luas
terfokus dan sering berurusan dengan lingkungan organisasi. Mereka dirancang untuk secara
langsung mengurangi risiko yang ada di tingkat organisasi-luas, termasuk yang timbul secara
internal maupun eksternal, dan secara tidak langsung dapat mengurangi risiko di tingkat
proses dan transaksi. pengendalian ini memiliki efek luas pada pencapaian tujuan secara
keseluruhan. Public Company Accounting Oversight Board (PCAOB) menyatakan dalam
Standard Audit No. 5 "termasuk pengendalian tingkat entitas"
23

 pengendalian yang terkait dengan lingkungan pengendalian;

pengendalian atas manajemen override;
Proses penilaian risiko perusahaan;
Sentralisasi pengolahan dan pengendalian, termasuk lingkungan layanan bersama;
pengendalian untuk memantau hasil usaha;
pengendalian untuk memantau pengendalian lain, termasuk kegiatan fungsi audit internal,
komite audit, dan program penilaian diri;
pengendalian selama periode akhir proses pelaporan keuangan; dan
Kebijakan yang membahas pengendalian bisnis yang signifikan dan praktik manajemen
risiko.
Pengendalian tingkat entitas dapat dibagi menjadi dua kategori: Pengendalian pemerintahan
dan Pengendalian manajemen-pengawasan. Pengendalian pemerintahan yang dibentuk oleh
dewan dan manajemen eksekutif untuk lembaga budaya Pengendalian organisasi dan
memberikan bimbingan yang mendukung tujuan strategis. Pengendalian manajemenpengawasan yang ditetapkan oleh manajemen pada unit bisnis dan meningkatkan
kemungkinan bahwa tujuan unit bisnis yang dicapai.
Pengendalian tingkat proses yang lebih rinci dalam fokus mereka dari Pengendalian tingkat
entitas. Mereka ditetapkan oleh pemilik proses untuk mengurangi risiko yang mengancam
proses pencapaian tujuan. Sementara konsisten di alam, Pengendalian ini dapat bervariasi
dalam pelaksanaannya proses antara. Contoh Pengendalian tingkat proses meliputi:
Rekonsiliasi rekening pokok,
verifikasi fisik aset (seperti jumlah persediaan),
pengawasan dan kinerja karyawan Proses evaluasi,
penilaian risiko Proses-tingkat, dan
Pemantauan / pengawasan transaksi tertentu.
Pengendalian tingkat transaksi yang bahkan lebih rinci dan fokus dalam Pengendalian tingkat
proses dan relatif mengurangi risiko terhadap kelompok atau berbagai kegiatan tingkat
operasional (tugas) atau transaksi dalam suatu organisasi. Mereka dirancang untuk
memastikan bahwa operasional kegiatan, tugas, atau transaksi, serta kelompok yang terkait
kegiatan operasional (tugas) atau transaksi, secara akurat diproses secara tepat waktu. Contoh
Pengendalian transaksi-tingkat meliputi:
Otorisasi,
24

 Dokumentasi (seperti dokumen sumber),

Pemisahan tugas, dan
pengendalian aplikasi TI (input, proses, output).
Pengendalian pokok dan Pengendalian Sekunder
Pengendalian juga dapat dikategorikan dalam hal penting. Dengan demikian, Pengendalian
dapat dikategorikan baik sebagai Pengendalian pokok atau sebagai Pengendalian sekunder.
Sebuah Pengendalian (sering disebut sebagai pengendalian "primer") dirancang untuk
mengurangi risiko pokok yang terkait dengan tujuan bisnis. Kegagalan untuk menerapkan
dirancang secara memadai dan efektif beroperasi Pengendalian pokok dapat mengakibatkan
kegagalan organisasi tidak hanya untuk mencapai tujuan bisnis penting tapi untuk bertahan
hidup.
Pengendalian sekunder adalah salah satu yang dirancang untuk (1) mengurangi risiko untuk
tujuan bisnis, atau (2) secara parsial mengurangi tingkat risiko ketika Pengendalian tidak
beroperasi secara efektif. Pengendalian sekunder mengurangi tingkat risiko residual ketika
Pengendalian pokok tidak beroperasi secara efektif, tetapi tidak memadai, dengan sendirinya,
untuk mengurangi risiko pokok tertentu untuk tingkat yang dapat diterima. Mereka biasanya
bagian dari kompensasi atau Pengendalian pelengkap.
Pengendalian Kesalahan
Pengendalian kesalahan dirancang untuk melengkapi Pengendalian pokok yang tidak efektif
atau tidak dapat sepenuhnya mengurangi risiko atau kelompok risiko sendiri ke tingkat yang
dapat diterima dalam risk appetite yang ditetapkan oleh manajemen dan dewan. Misalnya,
pengawasan yang ketat di saat-saat pembagian tugas yang memadai tidak dapat dicapai
mungkin Pengendalian kesalahan. Pengendalian tersebut juga dapat membuat cadangan atau
menggandakan beberapa Pengendalian.
Seperti disebutkan sebelumnya, Pengendalian sekunder dan Pengendalian kesalahan yang
diperlukan ketika tombol Pengendalian yang efektif tidak dapat diciptakan atau dirancang
untuk mengurangi risiko atau kelompok risiko dalam menetapkan risk appetite manajemen
yang memadai. Hal ini mungkin akibat dari keterbatasan ekonomi atau kompleksitas
operasional atau keduanya. Tidak peduli alasannya, Pengendalian sekunder dan kesalahan
yang diperlukan untuk yang tidak ada tombol Pengendalian yang efektif ada. Seringkali,
Pengendalian kesalahan bekerja secara bersamaan dengan Pengendalian pokok terkait atau
overlaping, saat menjabat sebagai Pengendalian sekunder untuk Pengendalian pokok tertentu.
25

Pengendalian pelengkap
Pengendalian pelengkap adalah Pengendalian yang diperlukan yang tidak cukup dengan
sendirinya untuk sepenuhnya mengurangi risiko. Namun, bila dikombinasikan dengan satu
atau lebih Pengendalian lain, Pengendalian pelengkap yang membantu mengurangi risiko
yang mendasari untuk tingkat yang dapat diterima. Misalnya, pemisahan tugas sering
dianggap sebagai tombol Pengendalian. Memisahkan tugas yang berkaitan dengan hak asuh
kas dan pencatatan transaksi tunai adalah contoh spesifik. Dengan menambahkan verifikasi
independen (misalnya, rekonsiliasi bank), risiko yang mendasari, seperti penyalahgunaan kas,
adalah jauh berkurang.
Sering, Pengendalian pelengkap dapat beroperasi di beberapa proses dan risiko. Pada contoh
rekonsiliasi bank tersebut di atas, Pengendalian pelengkap ini bisa membantu mengurangi
risiko lainnya, termasuk risiko periodend cutoff dan risiko akurasi.
Preventif, Detektif, korektif, dan Pengendalian Directive
Seringkali, banyak Preventif yang berbeda dengan yang ada disebut yang menjelaskan apa
yang mereka dimaksudkan untuk melakukan upaya untuk membedakan antara mereka.
Termasuk di sini adalah daftar singkat dari jenis Pengendalian dan definisi mereka.
Sebuah Pengendalian preventif dirancang untuk mencegah kejadian yang tidak diinginkan
terjadi di tempat pertama. Karena sifat dinamis dan kompleksitas operasi bisnis sehari-hari,
sulit untuk merancang Pengendalian preventif yang baik ekonomis dan efisien. Akibatnya,
sebagian besar organisasi menggunakan Pengendalian kesalahan dan Pengendalian detektif
preventif ketika merancang kedua sistem yang efektif dan efisien Pengendalian internal.
Contoh Pengendalian preventif mencakup Pengendalian akses fisik dan logis, seperti pintu
terkunci dan Id pengguna dengan password yang unik.
Sebaliknya, Pengendalian detektif dirancang untuk menemukan kejadian yang tidak
diinginkan yang telah terjadi. Pengendalian detektif harus terjadi secara tepat waktu (sebelum
acara undeesirable telah berdampak tidak dapat diterima negatif pada organisasi) akan
dianggap efektif. Contoh Pengendalian detektif termasuk kamera keamanan untuk
mengidentifikasi akses fisik anauthorized dan peninjauan log komputer listing upaya akses
yang tidak sah.

26

Pengendalian korektif adalah satu di mana terdeteksi kelalaian dan kesalahan yang diperbaiki.
Sebuah contoh dari Pengendalian korektif adalah resolusi duplikat pembayaran ditandai oleh
sistem pengeluaran kas.
Pengendalian direktif, seperti namanya, memberikan arah yang jelas tentang tindakan apa
yang perlu dilakukan untuk menyebabkan atau mendorong kegiatan yang diinginkan terjadi.
Misalnya, petunjuk perakitan produk memberikan arahan kepada individu yang terlibat dalam
proses produksi.
Pengendalian Sistem Informasi
Karena ketergantungan lazim pada sistem informasi, Pengendalian harus dilaksanakan untuk
mengurangi risiko yang terkait dengan sistem otomatis yang diperlukan untuk menjalankan
bisnis inti dari sebuah organisasi.
Ada dua jenis Pengendalian sistem informasi yang dapat digunakan untuk mengurangi risiko
ini:
1. Pengendalian komputasi Umum. Ini "berlaku untuk banyak jika tidak semua sistem
aplikasi dan membantu memastikan melanjutkan, operasi yang tepat".
2. Pengendalian Aplikasi. Ini "mencakup langkah-langkah komputerisasi dalam perangkat
lunak aplikasi dan prosedur manual yang terkait untuk mengontrol pengolahan berbagai jenis
transaksi.
Kedua jenis Pengendalian bekerja sama "untuk memastikan kelengkapan, akurasi, dan
validitas informasi keuangan dan lainnya dalam sistem.
Pengendalian komputasi umum dianggap Pengendalian tingkat entitas karena mereka berlaku
di seluruh organisasi dan aplikasi komputer. Pengendalian aplikasi, di sisi lain, yang paling
sering dianggap tingkat proses atau Pengendalian tingkat transaksi.
Seperti disinggung sebelumnya dalam bab ini, Pengendalian tertentu dapat masuk ke dalam
beberapa kategori sekaligus. Misalnya, Pengendalian bisa menjadi kendali tingkat entitas
pada saat yang sama bahwa itu adalah tombol Pengendalian. Bahwa Pengendalian yang sama
juga bisa menjadi Pengendalian direktif. Ini tidak bisa, bagaimanapun, menjadi kontrol
Pengendalian sekunder atau Pengendalian tingkat transaksi pada saat yang sama bahwa itu
adalah tombol Pengendalian dan Pengendalian tingkat entitas.

27

Evaluasi Sistem Pengendalian Internal

Seperti disebutkan sebelumnya, manajemen, di bawah kepemimpinan CEO, memiliki
tanggung jawab utama untuk desain yang memadai dan operasi yang efektif dari sistem
pengendalian internal.
operasi yang efektif dan efisien, pelaporan keuangan yang dapat diandalkan, dan kepatuhan
terhadap hukum dan peraturan.
Auditor internal memainkan peran penting dalam verifikasi bahwa manajemen telah
memenuhi tanggung jawabnya. Awalnya, manajemen melakukan penilaian utama
pengendalian internal, menggunakan proses formal dikembangkan untuk tujuan itu. Maka
Fungsi audit internal secara independen memvalidasi hasil manajemen. Selain itu, laporan
biasanya diserahkan ke panitia audit baik manajemen senior atau chief Audit Executive
(CAE) menguraikan hasil penilaian manajemen mengenai kecukupan desain dan efektivitas
sistem organisasi pengendalian internal beroperasi.
Seperti yang ditunjukkan dalam Standar Internasional IIA untuk Praktik Profesional Audit
Internal (Standar), fungsi audit internal bertanggung jawab untuk menilai Pengendalian
organisasi (baik unsur, atau keseluruhan, sistem pengendalian internal). Dalam mengevaluasi
keefektifan proses pengendalian organisasi, CAE mempertimbangkan apakah:
perbedaan yang signifikan atau kelemahan (kekurangan) ditemukan,
Koreksi atau perbaikan dilakukan setelah penemuan, dan
Penemuan dan konsekuensi potensi mereka mengarah pada kesimpulan bahwa kondisi
meresap ada yang mengakibatkan tingkat risiko yang tidak dapat diterima (atau efektivitas
operasi).
Mendukung penyajian wajar lima asersi laporan keuangan dasar:
eksistensi atau kejadian,
Kelengkapan,
Hak dan kewajiban,
Penilaian atau alokasi, dan
Penyajian dan pengungkapan.
Tingkat Entitas dan Pengendalian tingkat aktivitas yang dirancang khusus untuk memberikan
keyakinan memadai bahwa tujuan pelaporan eksternal tercapai dan asersi terkait dukungan
28

manajemen prossess elemen umum tertentu . Harus dirancang secara memadai dan beroperasi
secara efektif , Pengendalian ini harus membahas konsep inisiasi , otorisasi , pencatatan ,
pengolahan , dan pelaporan . Seperti disebutkan sebelumnya dalam bab ini , Pengendalian ini
secara kolektif disebut sebagai pengendalian internal atas pelaporan keuangan .
The PCAOB diciptakan untuk menetapkan pedoman bahwa auditor luar yang independen dan
, secara tidak langsung , manajemen , harus mematuhi dalam rangka untuk memenuhi
persyaratan pelaporan. Sebagai tanggapan, pada 12 Juni 2007, PCAOB mengeluarkan
Standar Audit No 5 , Audit Pengendalian Internal Atas Pelaporan Keuangan yang terintegrasi
dengan audit atas laporan keuangan . Untuk pedoman khusus tambahan , mengacu pada
standar auditing Nomor 5 itu sendiri .

29