Makalah SPI & Pengawasan Pembangunan

S1 STAR UNHAS 2015

Perencanaan Proyek untuk

Menilaian Sistem
Pengendalian Internal

PUTU SUARMAJA
A311 15 7003
KELAS B

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

Perencanaan Proyek untuk Menilaian Sistem Pengendalian Internal

U

Suatu unit manajemen bertanggung jawab untuk menetapkan sistem pengendalian

internal untuk menjaga unit manajemen agar menuju tujuan keuangan, untuk membantu
mencapai misinya, untuk meminimalkan kejutan dan risiko, dan untuk memungkinkan
organisasi untuk berhasil menghadapi perubahan. Pengendalian internal didefinisikan sebagai
aktivitas yang dilakukan untuk meningkatkan kemungkinan pencapaian tujuan manajemen di
dalam 3 area, yaitu:
1.

Efisiensi dan efektivitas operasi.

2.

Keandalan pelaporan keuangan.

3.

Kepatuhan terhadap hukum dan peraturan.

Beberapa pengendalian internal ditetapkan pada tingkat kelembagaan; Yang lainnya

ditetapkan oleh unit manajemen. Untuk mencapai keberhasilan, unit manajemen perlu:
1. Pengetahuan dan dukungan tentang pengendalian kelembagaan, dan
2. Melaksanakan pengendalian internal praktis dan efektif khususnya untuk unit tertentu.
Berikut disediakan daftar tabel untuk memfasilitasi penilaian pengendalian internal oleh
manajemen dari masing-masing departemen. Hal ini dimaksudkan untuk menangani aspekaspek umum dari pengendalian internal, dan tidak termasuk pengendalian spesifik yang
berlaku untuk unit secara individu.
Daftar tabel pengendalian unit organisasi ini harus konsisten dengan lima komponen
yang saling terkait pengendalian internal yang didefinisikan oleh COSO. Kepala departemen
dan unit managemen lain ditekankan untuk menggunakan sistem penilaian ini untuk
mengevaluasi pengendalian internal di bidang yang menjadi tanggung jawab mereka.
Manajemen juga harus menambah daftar pengendalian lain yang berlaku secara khusus untuk
unit tertentu. Internal Audit akan senang untuk berkonsultasi terkait metode untuk
peningkatan pengendalian internal.
Unsur dan subunsur pengendalian internal:
1. Lingkungan Pengendalian
a. Nilai integritas dan etika
b. Komitmen untuk Kompetensi
c. Filosofi Manajemen dan Gaya Operasi
d. Struktur organisasi
e. Penugasan Otoritas dan Tanggung Jawab
f. Kebijakan dan Praktek Sumber Daya Manusia
2. Penilaian Risiko

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

a. Sasaran dan Tujuan organisasi

b. Identifikasi risiko dan Prioritas risiko
c. Mengelola Perubahan
a. Aktivitas Pengendalian
d. Kebijakan dan Prosedur tertulis
e. Pengendalian Prosedur
f. Pengendalian atas Sistem Informasi
3. Informasi dan Komunikasi
a. Akses Informasi
b. Pola komunikasi
4. Monitoring
a. Pengawasan manajemen
b. Sumber luar
c. Mekanisme Respon
d. Mekanisme Penilaian Mandiri

Penjelasan dan Pejabaran dari masing-masing sub unsur sistem pengendalian internal
1. Lingkungan Pengendalian
a. Nilai integritas dan etika
Faktor penilaian sistem pengendalian internal, yaitu:
1) Praktek bisnis yang dapat diterima

Indikasi pengendalian yang kuat: Unit manajemen (staf pengawas) memahami

kebijakan yang meliputi hal-hal seperti penggunaan yang sah dari sumber daya
organisasi.

Indikasi pengendalian yang lemah: Kebijakan yang kurang dipahami.

2) Kode etik

Indikasi pengendalian yang kuat: Unit manajemen memahami kebijakan

organisasi yang mengatur hubungan dengan sponsor, pemasok, kreditur,
regulator, dan masyarakat pada umumnya.

Indikasi pengendalian yang lemah: Kebijakan yang kurang dipahami.

3) Konflik kepentingan

Indikasi pengendalian yang kuat: Unit Manajemen memahami

organisasi mengenai potensi konflik kepentingan.

kebijakan

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

Indikasi pengendalian yang lemah: Kebijakan yang kurang dipahami.

4) Integritas

Indikasi pengendalian yang kuat: Unit manajemen menetapkan contoh

komunikasi yang baik dan secara teratur mengkomunikasikannya dengan
harapan yang tinggi mengenai integritas dan nilai-nilai etika.

Indikasi pengendalian yang lemah: Manajemen tidak memberi contoh yang

baik dan/atau tidak mengkomunikasikannya dengan harapan yang tinggi
mengenai integritas dan nilai-nilai etika.

b. Komitmen untuk Kompetensi

Faktor penilaian sistem pengendalian internal, yaitu:
1) Deskripsi pekerjaan

Indikasi pengendalian yang kuat: Tanggung jawab secara jelas didefinisikan

secara tertulis dan dikomunikasikan sesuai ketentuan.

Indikasi pengendalian yang lemah: Tanggung jawab tidak didefinisikan dengan

jelas atau kurang dikomunikasikan.

2) Pengetahuan dan Keterampilan

Indikasi pengendalian yang kuat: Unit manajemen (staf dan pengawas)

memahami

pengetahuan

dan

keterampilan

yang

dibutuhkan

untuk

menyelesaikan tugas.

Indikasi pengendalian yang lemah: Manajemen tidak memiliki cukup

pertimbangan pengetahuan dan persyaratan keterampilan.

3) Kompetensi Pegawai

Indikasi pengendalian yang kuat: Unit manajemen menyadari tingkat

kompetensi, dan terlibat dalam pelatihan dan peningkatan pengawasan ketika
kompetensi rendah.

Indikasi pengendalian yang lemah: Manajemen tidak memadai dalam

menyadari tingkat kompetensi, atau tidak aktif mengatasi masalah.

c. Filosofi Manajemen dan Gaya Operasi

Faktor penilaian sistem pengendalian internal, yaitu:
1) Komunikasi dalam Organisasi

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

Indikasi pengendalian yang kuat: Unit manajemen bersikeras mengungkapkan

secara penuh dan terbuka terkatait

masalah keuangan atau bisnis dalam

organisasi.

Indikasi pengendalian yang lemah: Manajemen merahasiakan dan enggan

untuk mengungkapkan terkait bisnis atau berurusan dengan isu-isu secara
terbuka.

2) Hukum dan Peraturan.

Indikasi pengendalian yang kuat: Ada kekhawatiran dan usaha untuk

memastikan kesesuaian antara makna dari hukum dan peraturan.

Indikasi pengendalian

yang lemah: Manajemen bersedia mengambil

konsekuensi risiko dari ketidakpatuhan.

3) Mendapatkan pekerjaan yang telah dilakukan.

Indikasi pengendalian yang kuat: Manajemen prihatin dengan

upaya dan

mengerahkan upaya untuk mendapatkan pekerjaan yang dilakukan dengan

benar pertama kalinya.

Indikasi pengendalian yang lemah: Manajemen bersedia untuk mendapatkan

pekerjaan yang dilakukan tanpa memperhatikan kecukupan terhadap kualitas.

4) Pengecualian terhadap kebijakan.

Indikasi pengendalian yang kuat: Pengecualian terhadap kebijakan jarang

terjadi. Ketika terjadi, pengecualian tersebut

harus disetujui dan

didokumentasikan dengan baik.

Indikasi pengendalian yang lemah: Pengecualian terhadap kebijakan norma

dan jarang didokumentasikan.

5) Pendekatan untuk akuntabilitas keuangan.

Indikasi pengendalian yang kuat: Pendekatan manajemen menunjukkan

kepedulian dan apresiasi untuk pelaporan yang akurat dan tepat waktu.
Penganggaran dan perkiraan financial lain umumnya konservatif.

Indikasi pengendalian yang lemah: Akuntabilitas keuangan diberikan prioritas

rendah.

6) Penekanan pada anggaran rapat serta tujuan dan operasi keuangan lainnya.

Indikasi pengendalian yang kuat: Anggaran yang realistis dibuat dan hasilnya
secara aktif dimonitor. Tindakan korektif diambil seperlunya. Unit belajar dari
kesalahan, dan tidak mengulangi kesalahan.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

Indikasi pengendalian yang lemah: Manajemen menunjukkan baik perhatian

(iklim kelonggaran), atau membuat tuntutan yang tidak masuk akal (iklim
ketakutan).

7) Pendekatan untuk pengambilan keputusan.

Indikasi pengendalian yang kuat: Proses pengambilan keputusan yang

disengaja dan konsisten. Keputusan dibuat setelah pertimbangan hati-hati dari
fakta-fakta yang relevan. Kebijakan dan prosedur berada di tempat yan tepat
untuk memastikan tingkatan sesuai dengan manajemen yang terlibat.

Indikasi pengendalian yang lemah: Pengambilan keputusan hampir selalu tidak

formal. Manajemen membuat keputusan yang sewenang-wenang dengan
diskusi yang tidak memadai dan tidak menganalisis fakta-fakta.

d. Struktur Organisasi
Faktor penilaian sistem pengendalian internal, yaitu:
1) Kompleksitas struktur organisasi.

Indikasi pengendalian yang kuat: Kompleksitas struktur sepadan dengan

organisasi. Garis pelaporan yang jelas dan dokumentasi yang up-to-date.

Indikasi pengendalian yang lemah: Garis tanggung jawab yang tidak jelas atau
tidak perlu rumit untuk ukuran dan kegiatan entitas.

2) Bagan organisasi.

Indikasi pengendalian yang kuat: Dokumentasi ada dan up-to-date.

Indikasi pengendalian yang lemah: Dokumentasi tidak ada atau out-of-date.

Struktur didokumentasikan tidak sesuai dengan tanggung jawab yang
sebenarnya.

3) Ukuran kelompok manajemen.

Indikasi pengendalian yang kuat: Ukuran sepadan dengan kompleksitas unit

dan pertumbuhan.

Indikasi pengendalian yang lemah: Ukuran tidak tepat (misalnya, terlalu

banyak tingkatan, terlalu dispersi, atau terlalu "tipis").

4) Stabilitas kelompok manajemen.

Indikasi pengendalian yang kuat: Perpuratan rendah.

Indikasi pengendalian yang lemah: Perputaran tinggi.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

e. Penugasan Otoritas dan Tanggung Jawab

Faktor penilaian sistem pengendalian internal, yaitu:
1) Pendelegasian wewenang dan tugas tanggung jawab untuk fungsi operasi dan
fungsi keuangan.

Indikasi pengendalian yang kuat: Pendelegasian wewenang dan tugas tanggung

jawab yang jelas. Individu harus bertanggung jawab atas hasil.

Indikasi pengendalian yang lemah: Keputusan didominasi oleh satu atau

beberapa individu. Peran dan tanggung jawab dari manajemen menengah tidak
jelas.

2) Batas kewenangan.

Indikasi pengendalian yang kuat: Batasan kewenangan tersebut jelas tertulis

dan dikomunikasikan dengan baik.

Indikasi pengendalian yang lemah: Kebijakan dan prosedur yang mencakup

batas kewenangan informal atau buruk dikomunikasikan.

3) Otoritas tanda tangan didelegasikan.

Indikasi pengendalian yang kuat: Batas yang tepat telah ditempatkan pada
setiap pendelegasian wewenang tanda tangan. Ulasan manajemen dan catatan
pembaruan tanda tangan sebagai omset terjadi.

Indikasi pengendalian yang lemah: Tanda tangan otoritas didelegasikan tanpa

pertimbangan yang memadai. Wewenang tidak sejalan dengan pengetahuan
karyawan, pelatihan, atau kompetensi.

4) Pengetahuan dan pengalaman.

Indikasi pengendalian yang kuat: Personil kunci yang berpengetahuan dan

berpengalaman. Manajemen tidak mendelegasikan kewenangan kepada
individu berpengalaman.

Indikasi pengendalian yang lemah: Personil kunci tidak berpengalaman.

Delegasi

manajemen

otoritas

tanpa memperhatikan

pengetahuan

dan

pengalaman.
5) Sumber daya.

Indikasi pengendalian yang kuat: Manajemen menyediakan sumber daya yang

dibutuhkan bagi karyawan untuk melaksanakan tugas-tugas mereka.

Indikasi pengendalian yang lemah: Manajemen tidak menyediakan sumber

daya yang diperlukan.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

f. Kebijakan Sumber Daya Manusia dan Praktek

Faktor penilaian sistem pengendalian internal, yaitu:
1) Pemilihan personil.

Indikasi pengendalian yang kuat: Proses perekrutan yang hati-hati di tempat

yang tepat. Departemen Sumber Daya Manusia yang terlibat dalam
mengidentifikasi karyawan potensial

Indikasi pengendalian yang lemah: Proses perekrutan informal, dan kadangkadang hasilnya tanpa keterlibatan yang memadai oleh supervisor tingkat yang
lebih tinggi.

2) Pelatihan.

Indikasi pengendalian yang kuat: Pekerjaan dan program pelatihan lainnya

telah terdefinisikan sesuai tujuan. Keduanya harus efektif dan penting.

Indikasi pengendalian yang lemah: Program pelatihan tidak konsisten, tidak

efektif, atau diberikan prioritas rendah.

3) Kebijakan pengawasan.

Indikasi pengendalian yang kuat: Personil yang diawasi. Mereka memiliki

sumber daya yang terbiasa untuk menyelesaikan masalah.

Indikasi pengendalian yang lemah: Pengawasan rutin tidak ada atau tidak
efektif. Karyawan frustrasi dan merasa mereka tidak punya tempat untuk pergi
dengan isu-isu.

4) Perilaku yang tidak pantas.

Indikasi pengendalian yang kuat: Perilaku yang tidak pantas secara konsisten
ditegur secara tepat waktu dan langsung, terlepas dari posisi atau status
individu.

Indikasi pengendalian yang lemah: Teguran yang tidak tepat waktu, langsung,
atau tidak diterapkan secara konsisten (iklim pilih kasih).

5) Evaluasi personil.

Indikasi pengendalian yang kuat: Proses evaluasi yang diselenggarakan ada.

Indikasi pengendalian yang lemah: Proses penilaian adalah sementara dan tidak
konsisten. Masalah kinerja tidak secara resmi ditangani.

6) Metode untuk mengkompensasi personil.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

Indikasi pengendalian yang kuat: Keputusan kompensasi didasarkan pada

proses formal dengan keterlibatan lebih dari satu tingkat manajemen. Pengaruh
evaluasi

kinerja

pada

keputusan

kompensasi

didefinisikan

dan

dikomunikasikan.

Indikasi pengendalian yang lemah: Keputusan kompensasi yang sementara,

tidak konsisten, atau tidak cukup ditinjau oleh manajemen.

7) Fungsi penting penetapan staff.

Indikasi pengendalian yang kuat: Fungsi kritis staff secara memadai, dengan
beban kerja yang wajar.

Indikasi pengendalian yang lemah: Ada staff yang tidak memadai dan sering
terlalu banyak pekerjaan dan tekanan organisasi setiap periode.

8) Omset. Terutama omset dalam posisi bertanggung jawab secara finansial.

Indikasi pengendalian yang kuat: Omset rendah. Manajemen memahami akar

penyebabnya.

Indikasi pengendalian yang lemah: Omset tinggi. Manajemen tidak memahami

akar penyebabnya.

2. Penilaian Risiko
g. Sasaran dan Tujuan Organisasi
1) Tujuan unit secara luas.

Indikasi pengendalian yang kuat: Sebuah misi atau nilai pernyataan unit formal
secara luas didirikan dan dikomunikasikan ke seluruh unit.

Indikasi pengendalian yang lemah: Sebuah misi atau nilai pernyataan unit
secara luas tidak ada.

2) Faktor penentu keberhasilan.

Indikasi pengendalian yang kuat: Faktor-faktor yang sangat penting untuk

pencapaian tujuan unit secara luas diidentifikasi. Sumber secara tepat
dialokasikan antara faktor penentu keberhasilan dan tujuan yang kurang
penting.

Indikasi pengendalian yang lemah: Faktor kesuksesan tidak diidentifikasi atau

diprioritaskan.

3) Tujuan tingkat kegiatan.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

Indikasi pengendalian yang kuat: Tujuan realistis ditetapkan untuk semua

kegiatan utama, termasuk operasi, pelaporan keuangan dan pertimbangan
kepatuhan.

Indikasi pengendalian yang lemah: Tujuan tingkat kegiatan tidak ada.

4) Pengukuran tujuan.

Indikasi pengendalian yang kuat: Tujuan unit secara luas dan tingkat aktivitas
termasuk kriteria pengukuran dan dievaluasi secara berkala.

Indikasi pengendalian yang lemah: Kinerja mengenai tujuan tidak diukur.

Target tidak diatur.

5) Keterlibatan karyawan.

Indikasi pengendalian yang kuat: Karyawan di semua tingkatan diwakili

dengan membangun tujuan.

Indikasi pengendalian yang lemah: Manajemen menentukan tujuan tanpa

keterlibatan karyawan yang memadai.

6) Panjang dan pendek jarak perencanaan.

Indikasi pengendalian yang kuat: Panjang dan pendek jarak perencanaan.

dikembangkan dan ditulis. Perubahan ke arah yang dibuat hanya setelah studi
yang cukup dilakukan.

Indikasi pengendalian yang lemah: Tidak ada proses perencanaan yang

terorganisir. Ada pergeseran atau penekanan yang sering terjadi.

7) Sistem penganggaran.

Indikasi pengendalian yang kuat: Anggaran rinci dikembangkan oleh bidang

tanggung jawab mengikuti prosedur yang ditentukan dan harapan yang
realistis. Rencana dan anggaran mendukung pencapaian langkah-langkah
tindakan satuan yang luas.

Indikasi pengendalian yang lemah: Anggaran tidak ada atau tertunda

tergantung pada hasil yang diinginkan.

8) Perencanaan strategis untuk sistem informasi.

Indikasi pengendalian yang kuat: Perencanaan untuk kebutuhan masa depan

dilakukan baik sebelum kebutuhan yang diharapkan dan dipertimbangkan
dalam berbagai skenario.

Indikasi pengendalian yang lemah: Sistem informasi untuk kebutuhan bisnis

jauh tertinggal.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

10

h. Identifikasi Risiko dan Prioritas

1) Identifikasi dan pertimbangan faktor risiko eksternal.

Indikasi

pengendalian

yang

kuat:

Sebuah

proses

yang

ada

untuk

mengidentifikasi dan mempertimbangkan implikasi dari faktor risiko eksternal

(perubahan ekonomi, perubahan sponsor, personil dan kebutuhan masyarakat
atau harapan, undang-undang baru atau diubah atau peraturan, perkembangan
teknologi, dll) pada tujuan dan rencana satuan yang luas.

Indikasi pengendalian yang lemah: Potensial atau aktual dari faktor risiko
eksternal tidak efektif diidentifikasi atau dievaluasi.

2) Identifikasi dan pertimbangan faktor risiko internal.

Indikasi

pengendalian

yang

kuat:

Sebuah

proses

yang

ada

untuk

mengidentifikasi dan mempertimbangkan implikasi dari faktor risiko internal

(personel baru, sistem informasi baru, perubahan dalam tanggung jawab
manajemen, program pendidikan atau penelitian baru atau diubah, dll) untuk
tujuan dan rencana satuan yang luas.

Indikasi pengendalian yang lemah: Potensial atau aktual dari faktor risiko
internal tidak efektif diidentifikasi atau dievaluasi.

3) Prioritas risiko.

Indikasi pengendalian yang kuat: Kemungkinan terjadinya dan dampak

potensialnya (moneter dan sebaliknya) telah dievaluasi. Risiko telah
dikategorikan sebagai tindakan ditoleransi atau dibutuhkan.

Indikasi pengendalian yang lemah: Risiko belum diprioritaskan.

4) Pendekatan untuk mempelajari risiko.

Indikasi pengendalian yang kuat: Studi biaya/manfaat dievaluasi secara

mendalam sebelum memperhitungkan satuan sumber daya yang signifikan.

Indikasi pengendalian yang lemah: Risiko diterima dengan studi sedikit atau
tidak ada.

5) Proses untuk pemantauan risiko.

Indikasi pengendalian yang kuat: Sebuah program manajemen risiko adalah

untuk memantau dan membantu mengurangi eksposur.

Indikasi pengendalian yang lemah: Paparan ditangani berdasarkan kasus per

kasus. Upaya atau program reguler untuk mengelola risiko tidak ada.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

11

6) Konsultasi dengan penasehat eksternal.

Indikasi pengendalian yang kuat: Penasehat eksternal berkonsultasi sesuai yang

diperlukan untuk melengkapi keahlian internal.

Indikasi pengendalian yang lemah: Keahlian internal mengenai isu-isu risiko

dan pengendalian yang tidak memadai. Bantuan tidak pernah dicari dari
sumber-sumber luar.

i. Mengelola Perubahan
1) Komitmen untuk berubah.

Indikasi pengendalian yang kuat: Manajemen mempromosikan perbaikan terusmenerus dan solicits masukan dan umpan balik pada implikasi dari perubahan
yang signifikan.

Indikasi pengendalian yang lemah: Manajemen mempromosikan status quo,

bahkan ketika perubahan diperlukan untuk memenuhi kebutuhan bisnis yang
penting.

2) Dukungan perubahan.

Indikasi pengendalian yang kuat: Manajemen bersedia berkomitmen terhadap

sumber daya untuk mencapai perubahan positif.

Indikasi pengendalian yang lemah: Manajemen tidak menawarkan sumber daya

untuk memfasilitasi perubahan.

3) Perubahan rutinitas.

Indikasi pengendalian yang kuat: Ada mekanisme untuk mengidentifikasi,

memprioritaskan, dan bereaksi terhadap peristiwa rutin (yaitu, omset) yang
mempengaruhi pencapaian tujuan unit secara luas atau langkah-langkah
tindakan yang dilakukan.

Indikasi pengendalian yang lemah: Prosedur tidak hadir atau tidak efektif.

4) Perubahan ekonomi.

Indikasi pengendalian yang kuat: Ada mekanisme untuk mengidentifikasi dan

bereaksi terhadap perubahan ekonomi.

Indikasi pengendalian yang lemah: Prosedur tidak hadir atau tidak efektif.

5) Perubahan peraturan.

Indikasi pengendalian yang kuat: Ada mekanisme untuk mengidentifikasi dan

bereaksi terhadap perubahan peraturan (mempertahankan keanggotaan dalam

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

12

asosiasi yang memantau hukum dan peraturan, berpartisipasi dalam forum

asosiasi, dll).

Indikasi pengendalian yang lemah: Prosedur tidak ada atau tidak efektif.

6) Perubahan teknologi.

Indikasi pengendalian yang kuat: Ada mekanisme untuk mengidentifikasi dan

bereaksi terhadap perubahan teknologi dan perubahan persyaratan fungsional
unit.

Indikasi pengendalian yang lemah: Prosedur tidak ada atau tidak efektif.

3. Aktivitas Pengendalian
j. Kebijakan dan Prosedur Tertulis
1) Akses ke kebijakan dan prosedur:

Indikasi pengendalian yang kuat: Staf unit harus up-to-date terhadap kebijakan
entitas dan prosedur dan tahu bagaimana menggunakannya.

Indikasi pengendalian yang lemah: Kebijakan universitas dan prosedur s tidak

tersedia atau jarang digunakan.

2) Kebijakan dan prosedur Unit.

Indikasi pengendalian yang kuat: Unit telah mendokumentasikan kebijakan dan

prosedur sendiri. kebijakan dan prosedur dipahami dengan baik oleh staf unit.

Indikasi pengendalian yang lemah: Kebijakan dan prosedur unit tidak ada.

k. Prosedur Pengendalian
1) Ulasan manajemen senior.

Indikasi pengendalian yang kuat: Manajemen senior memonitor kinerja unit

terhadap tujuan dan anggaran.

Indikasi pengendalian yang lemah: Manajemen senior tidak memonitor kinerja

unit.

2) Tingkat unit atas ulasan kinerja obyektif oleh unit manajemen.

Indikasi pengendalian yang kuat: Ulasan terbuat dari kinerja aktual

dibandingkan dengan tujuan dan periode

Indikasi pengendalian yang lemah: Analisis tidak dilakukan atau manajemen

tidak menindaklanjuti penyimpangan yang signifikan.

3) Tingkat unit atas ulasan kinerja keuangan oleh unit manajemen.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

13

Indikasi pengendalian yang kuat: Ulasan terbuat dari kinerja aktual terhadap
anggaran, prakiraan, dan kinerja pada periode sebelumnya untuk semua inisiatif
utama. Manajemen menganalisis dan menindaklanjuti sesuai kebutuhan.

Indikasi pengendalian yang lemah: Analisis tidak dilakukan atau manajemen

tidak menindaklanjuti penyimpangan yang signifikan.

4) Fungsionalisasi langsung manajemen atau kegiatan manajemen oleh unit

manajemen.

Indikasi pengendalian yang kuat: Ulasan kinerja terbuat dari fungsi atau
kegiatan tertentu, dengan fokus pada kepatuhan, keuangan atau masalah
operasional.

Indikasi pengendalian yang lemah: Tidak ada ulasan kinerja yang terjadi.

5) Indikator kinerja.

Indikasi pengendalian yang kuat: Hasil operasi tak terduga atau tren yang tidak
biasa diselidiki.

Indikasi pengendalian yang lemah: Hasil operasi dan tren tidak dipantau.

6) Laporan akuntansi dan rekonsiliasi utama.

Indikasi pengendalian yang kuat: Laporan akuntansi dan rekonsiliasi utama

selesai tepat waktu. Manajemen melakukan review dengan jujur dan
menyetujui dengan tanda tangan dan membubuhkan tanggal.

Indikasi pengendalian yang lemah: Rekonsiliasi tidak dilakukan tepat waktu

atau teratur. Manajemen tidak meninjau laporan/rekonsiliasi dengan hati-hati
atau menyetujui pernyataan atau rekonsiliasi tidak secara resmi.

7) Manajemen akun proyek yang disponsori.

Indikasi pengendalian yang kuat: Rekening proyek yang disponsori ditinjau dan
direkonsiliasi. Pelaksana proyek mengesahkan pengeluaran dengan tepat
waktu. Satuan manajemen memonitor portofolio rekening disponsori untuk
kepatuhan dan tanggung jawab fiskal.

Indikasi pengendalian yang lemah: Rekening proyek yang disponsori tidak

dipantau; direkonsiliasi dan disertifikasi dengan tidak tepat waktu.

8) Penggunaan dana yang terbatas.

Indikasi pengendalian yang kuat: Pembatasan penggunaan didokumentasikan

dengan baik, dan dipahami oleh karyawan yang mengelola dana. Penggunaan
dipantau oleh manajemen, dan rekening direkonsiliasi.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

14

Indikasi pengendalian yang lemah: Pembatasan tidak jelas didokumentasikan,

rekening dana yang dibatasi penggunaannya tidak dipantau, penggunaan
pembatasan dana mungkin tidak cocok.

9) Pengolahan informasi.

Indikasi pengendalian yang kuat: Pengendalian ada untuk memantau akurasi

dan kelengkapan informasi serta otorisasi transaksi.

Indikasi pengendalian yang lemah: Tidak ada pengendalian terhadap tempat

pengolahan informasi.

10) Kontrol fisik.

Indikasi pengendalian yang kuat: Peralatan, perlengkapan, persediaan, kas dan

aset lain secara fisik diamankan dan secara berkala dihitung dan dibandingkan
dengan jumlah yang ditampilkan pada catatan pengendalian.

Indikasi pengendalian yang lemah: Peralatan, perlengkapan, persediaan, kas

dan aset lainnya tidak dilindungi. Catatan pengendalian tidak ada atau tidak upto-date.

11) Pelatihan dan bimbingan untuk penjaga aset.

Indikasi pengendalian yang kuat: Bimbingan yang memadai dan pelatihan

disediakan untuk personil yang bertanggung jawab untuk uang tunai atau aset
sejenis.

Indikasi pengendalian yang lemah: Tidak ada pelatihan atau bimbingan

disediakan.

12) Pemisahan tugas.

Indikasi pengendalian yang kuat: Tugas pengelola keuangan dibagi antara

orang yang berbeda (tanggung jawab untuk otorisasi transaksi, merekam dan
penanganan aset dipisahkan).

Indikasi pengendalian yang lemah: Tidak ada pemisahan yang signifikan dari
tugas pengelola keuangan antara karyawan yang berbeda.

13) Retensi catatan.

Indikasi pengendalian yang kuat: Karyawan unit memahami catatan yang

menjadi tanggung jawab mereka untuk dipertahankan dan diperlukan untuk
periode retensi. Catatan tepat diarsipkan.

Indikasi pengendalian yang lemah: Karyawan unit tidak mengerti tanggung

jawab mereka untuk menjaga catatan. Sistem pengarsipan tidak memadai.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

15

14) Rencana tanggap bencana.

Indikasi pengendalian yang kuat: Sebuah respon bencana dan rencana

pemulihan telah dikembangkan dan dipahami oleh personil kunci.

Indikasi pengendalian yang lemah: Tidak ada respon bencana atau rencana
pemulihan.

l. Kontrol atas Sistem Informasi

1) Sistem informasi lokal dan LAN.

Indikasi pengendalian yang kuat: Sistem informasi didokumentasikan;

perangkat lunak tepat diperoleh dan dipelihara; akses ke sistem, program dan
data dikendalikan; sistem ini dipertahankan dalam lingkungan yang aman;
aplikasi yang tepat dikembangkan dan dipelihara.

Indikasi pengendalian yang lemah: Pengendalian yang tidak memadai pada

sistem informasi lokal atau LAN.

2) Pengendalian aplikasi.

Indikasi pengendalian yang kuat: Unit mengendalikan aplikasi komputernya

dengan rajin dan tepat waktu untuk mengedit daftar, menolak transaksi dan
pengendalian lain dan menyeimbangkan laporan. Pengendalian memastikan
integritas data tingkat tinggi termasuk kelengkapan, akurasi, dan validitas
semua informasi dalam sistem.

Indikasi pengendalian yang lemah: Kontrol aplikasi yang tidak digunakan.

3) Back Up.

Indikasi pengendalian yang kuat: Data kunci dan program pada LAN atau
komputer desktop yang tepat didukung dan dipertahankan. Penyimpanan diluar
situs tersebut mempertimbangkan secara cukup kemungkinan resiko kerugian.

Indikasi pengendalian yang lemah: Tidak ada prosedur kembali resmi ada.
Manajemen belum diberitahu staf kembali persyaratan.

4. Informasi dan Komunikasi

m. Akses Informasi
1) Informasi eksternal yang relevan.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

16

Indikasi pengendalian yang kuat: Anggota unit menerima informasi yang

relevan mengenai undang-undang, perkembangan peraturan, perubahan
ekonomi atau faktor eksternal lainnya yang mempengaruhi unit.

Indikasi pengendalian yang lemah: Informasi yang relevan tidak tersedia.

2) Sistem pelaporan manajemen.

Indikasi pengendalian yang kuat: Sistem informasi eksekutif ada. Informasi dan
laporan yang disediakan tepat waktu. Detail laporan sesuai untuk tingkatan
manajemen. Data diringkas untuk memudahkan pengambilan keputusan.

Indikasi pengendalian yang lemah: Sebuah sistem pelaporan formal tidak ada.
Laporan yang tidak tepat waktu atau tidak pada tingkat detail yang sesuai.

3) Manajemen keamanan informasi.

Indikasi pengendalian yang kuat: Informasi dievaluasi dan diklasifikasikan

berdasarkan tingkat integritas, kerahasiaan dan ketersediaan. Individu yang
memeiliki akses informasi dilatih untuk memahami tanggung jawab mereka
terkait dengan informasi tersebut.

Indikasi pengendalian yang lemah: Informasi yang digunakan oleh unit belum
dievaluasi dan diklasifikasikan. Karyawan tidak dilatih sehubungan dengan
keamanan informasi.

n. Pola Komunikasi
1) Kepercayaan.

Indikasi pengendalian yang kuat: Manajemen mempromosikan dan mendorong

rasa saling percaya antara karyawan, supervisor dan unit lainnya.

Indikasi pengendalian yang lemah: Interaksi antara staf dan/atau dengan unit
lain ditandai dengan tingkat kepercayaan yang rendah.

2) Kebijakan penegakan hukum dan disiplin.

Indikasi pengendalian yang kuat: Karyawan memandang kebijakan disiplin

penting. Komunikasi dan tindakan manajemen konsisten dengan kebijakan.

Indikasi pengendalian yang lemah: Pelanggaran, ketika tidak ditindak secara

resmi, sering diabaikan. Tindakan manajemen tidak sesuai dengan kebijakan
resmi.

3) Rekomendasi untuk perbaikan.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

17

Indikasi pengendalian yang kuat: Karyawan didorong untuk memberikan

rekomendasi untuk perbaikan. Ide diakui dan dihargai.

Indikasi pengendalian yang lemah: Ide karyawan tidak disambut.

4) Komunikasi formal.

Indikasi

pengendalian

yang

kuat:

Metode

formal

digunakan

untuk

mengkomunikasikan kebijakan dan prosedur (misalnya, manual, program

pelatihan, kode etik tertulis, dan praktek bisnis yang dapat diterima) unit.

Indikasi pengendalian yang lemah: Untuk memperluas eksistensi, kebijakan

dan dokumen pada manual tidak digunakan.

5) Komunikasi eksternal.

Indikasi pengendalian yang kuat: Standar dan harapan dikomunikasikan kepada

kelompok di luar entitas atau individu (misalnya, vendor, konsultan, lembaga
donor, sponsor, subkontraktor, sub-penerima).

Indikasi pengendalian yang lemah: Tidak ada standar dan harapan komunikasi
eksternal.

6) Komunikasi informal.

Indikasi pengendalian yang kuat: Karyawan diberi informasi terkait hal-hal

penting (komunikasi ke bawah) dan mampu mengkomunikasikan masalah
kepada orang dengan otoritas (komunikasi ke atas). Ada koordinasi fungsional
yang efektif dalam unit (komunikasi lateral).

Indikasi pengendalian yang lemah: Kebanyakan informasi diterima oleh

"selentingan."

7) Komunikasi dengan evaluator.

Indikasi pengendalian yang kuat: Informasi disampaikan secara terbuka oleh

evaluator luar.

Indikasi pengendalian yang lemah: Informasi dirahasiakan dari evaluator luar.

5. Pemantauan
o. Pengawasan Manajemen
1) Efektivitas kegiatan pengendalian kunci.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

18

Indikasi pengendalian yang kuat: Manajemen secara rutin memeriksa catatan

dan rekonsiliasi untuk memastikan harapan manajemen terpenuhi.

Indikasi pengendalian yang lemah: Manajemen tidak pernah melakukan

pengecekan.

2) Pengawasan manajemen fungsi akuntansi.

Indikasi pengendalian yang kuat: Kebijakan akuntansi didefinisikan dan

diadopsi setelah pertimbangan

yang tepat.

Kebijakan

secara efektif

dikomunikasikan (secara tertulis).

Indikasi pengendalian yang lemah: Kebijakan yang ad hoc atau buruk

dikomunikasikan.

3) Pengawasan manajemen terhadap pengembangan sistem baru.

Indikasi

pengendalian

yang

kuat:

Kebijakan

didefinisikan

untuk

mengembangkan sistem baru atau perubahan sistem yang ada (analisis biaya/
manfaat, komposisi tim, spesifikasi pengguna, dokumentasi, pengujian
persetujuan, dan persetujuan pengguna).

Indikasi pengendalian yang lemah: Kebijakan dan prosedur yang ad hoc kurang
dikomunikasikan, atau tidak efektif.

4) Analisis Anggaran

Indikasi pengendalian yang kuat: Anggaran dibandingkan dengan hasil aktual

dan penyimpangan ditindaklanjuti secara tepat waktu. Pertimbangan yang
cukup memadai diberikan untuk komitmen.

Indikasi pengendalian yang lemah: Analisis hasil aktual vs dianggarkan tidak

dilakukan, atau manajemen tidak menindaklanjuti penyimpangan.

p. Sumber luar
1) Industri dan asosiasi profesional.

Indikasi pengendalian yang kuat: Data digunakan untuk membandingkan

kinerja unit dengan industri lain atau dengan standar industri.

Indikasi pengendalian yang lemah: Data komparatif tidak secara teratur

dipantau.

2) Pihak berwenang.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

19

Indikasi pengendalian yang kuat: Laporan dari badan pengawas dianggap

sebagai implikasi pengendalian internal mereka.

Indikasi pengendalian yang lemah: Respon hanya terbatas untuk apa yang
diperlukan "yang didapat" regulator.

3) Sponsor, staff, pemasok, kreditur, dan pihak ketiga lainnya.

Indikasi pengendalian yang kuat: Akar permasalahan dari pertanyaan dan

keluhan diinvestigasi dan dipertimbangkan untuk implikasi pengendalian
internal.

Indikasi pengendalian yang lemah: Pertanyaan atau keluhan dibahas kasus

demi kasus, dengan sedikit atau tanpa tindak lanjut.

4) Auditor eksternal.

Indikasi pengendalian yang kuat: Informasi yang diberikan oleh auditor

eksternal tentang hal-hal yang berhubungan dengan pengendalian dianggap dan
bertindak pada tingkat tinggi.

Indikasi pengendalian yang lemah: Temuan terkait dengan tingkat yang lebih
rendah atau dijelaskan.

q. Mekanisme Respon
1) Manajemen tindak lanjut dari pelanggaran kebijakan.

Indikasi pengendalian yang kuat: Tindakan korektif tepat waktu diambil.

Indikasi pengendalian yang lemah: Tindak lanjut sporadis.

2) Temuan audit eksternal atau internal.

Indikasi pengendalian yang kuat: Temuan dipertimbangkan dan segera

ditindaklanjuti pada tingkat yang tepat.

Indikasi pengendalian yang lemah: Pertimbangan temuan didelegasikan ke

tingkat yang lebih rendah atau diberikan prioritas rendah.

3) Perubahan kondisi (misalnya, ekonomi, peraturan, teknologi, atau kompetitif).

Indikasi pengendalian yang kuat: Perubahan diantisipasi dan secara rutin

diintegrasikan ke dalam rencana jangka panjang yang berkelanjutan dan
perencanaan jangka pendek.

MAKALAH SPI dan PENGAWASAN PEMBANGUNAN

S1 STAR UNHAS 2015

20

Indikasi pengendalian yang lemah: Tanggapan cenderung reaktif daripada

proaktif

r. Mekanisme Penilaian Diri

1) Pemantauan lingkungan pengendalian.

Indikasi pengendalian yang kuat: Manajemen secara periodik menilai sikap

karyawan, ulasan efektivitas struktur organisasi, dan mengevaluasi kesesuaian
kebijakan dan prosedur.

Indikasi pengendalian yang lemah:Proses penilaian tidak ada.

2) Evaluasi proses penilaian risiko.

Indikasi pengendalian yang kuat: Manajemen secara periodik mengevaluasi

efektivitas proses penilaian risiko.

Indikasi pengendalian yang lemah: Proses penilaian tidak ada.

3) Penilaian desain dan efektivitas.

Indikasi pengendalian yang kuat: Pengendalian internal tunduk pada proses.

Indikasi pengendalian yang lemah: Proses penilaian tidak ada.

4) Penilaian desain dan efektivitas pengendalian internal.

Indikasi pengendalian yang kuat: Pengendalian internal adalah suatu yang

tunduk pada proses penilaian formal dan berkelanjutan.

Indikasi pengendalian yang lemah: Proses penilaian tidak ada.

5) Evaluasi sistem informasi dan komunikasi.

Indikasi pengendalian yang kuat: Manajemen secara periodik mengevaluasi

akurasi, ketepatan waktu dan relevansi sistem informasi dan komunikasi.
Pertanyaan informasi manajemen pada laporan manajemen muncul tidak biasa
atau tidak konsisten.

Indikasi pengendalian yang lemah: Proses penilaian tidak ada.

Internal Control
Self-Assessment Checklist
Unit management throughout the University is responsible to establish internal controls to keep
their unit on course toward its financial goals, to help it achieve its mission, to minimize
surprises and risks, and to allow the organization to successfully deal with change. Internal
controls are defined as activities undertaken to increase the likelihood of achieving management
objectives in three areas:

Efficiency and effectiveness of operations

Reliability of financial reporting
Compliance with laws and regulations

Some internal controls are established at the institutional level; others are established by unit
management. To achieve success, unit management needs to (1) be knowledgeable about, and
support, institutional controls, and (2) implement practical and effective internal controls specific
to the particular unit.
The following checklist is provided to facilitate a self-assessment of internal controls by
management of individual departments. It is intended to address general aspects of internal
controls, and does not include specific controls applicable to individual units.
Organization of the checklist is consistent with the five interrelated components of internal
control defined by the Committee of Sponsoring Organizations of the Treadway Commission
(COSO).
We encourage department heads and other unit management to use this self-assessment checklist
to evaluate internal controls in their areas of responsibility. Management should also add to the
checklist other controls that apply specifically their units.
Internal Audit would be pleased to consult on methods to improve your internal controls.
Index
1. Control Environment
1. Integrity and Ethical Values
2. Commitment to Competence
3. Management's Philosophy and
Operating Style
4. Organizational Structure
5. Assignment of Authority and
Responsibility
6. Human Resource Policies and
Practices
2. Risk Assessment
7. Organizational Goals and
Objectives
8. Risk Identification and
Prioritization
9. Managing Change

3. Control Activities
10. Written Policies and Procedures
11. Control Procedures
12. Controls over Information Systems
4. Information and Communication
13. Access to Information
14. Communication Patterns
5. Monitoring
15. Management Supervision
16. Outside Sources
17. Response Mechanisms
18. Self-Assessment Mechanisms

Assessment Factor

Indication of Stronger Controls

Indication of Weaker Controls

Section 1 Control Environment

1 - Integrity and Ethical Values
Acceptable business practices.

Unit management (faculty and supervisory

staff) understand the University's policies
covering matters such as legitimate use of
University resources.

1.2

Codes of conduct.

Unit management understand the University's

policies governing relationships with sponsors,
Policies are poorly understood.
suppliers, creditors, regulators, the community,
and the public at large.

1.3

Conflicts of interests.

Unit management understand the University's

policies regarding potential conflicts of
interest.

Policies are poorly understood.

1.4

Integrity.

Unit management sets a good example and

regularly communicates high expectations
regarding integrity and ethical values.

Management does not set a good example

and/or does not communicate high expectations
regarding integrity and ethical values.

1.1

Policies are poorly understood

2 Commitment to Competence
2.1

Job descriptions.

Responsibilities are clearly defined in writing

and communicated as appropriate.

Responsibilities are poorly defined or poorly

communicated.

2.2

Knowledge and Skills.

Unit management (faculty and supervisory

staff) understand the knowledge and skills
required to accomplish tasks.

Management does not adequately consider

knowledge and skill requirements.

2.3

Employee competence.

Unit management is aware of competency

Management is not adequately aware of
levels, and is involved in training and increased competency levels, or does not actively address
problems.
supervision when competency is low.

3 Managements Philosophy and Operating Style

3.1

Communication with Faculty, College

and University.

Unit management insists on full and open

disclosure of financial or business issues with
appropriate faculty, college and University
personnel.

Management is secretive and reluctant to

conduct business or deal with issues in an open
manner.

Assessment
Strong - Weak
1 2 3 4 5

Assessment Factor

Indication of Stronger Controls

Indication of Weaker Controls

3.2

Laws and regulations.

There is active concern and effort to ensure

compliance with the letter and intent of laws
and regulations.

Management is willing to risk the

consequences of noncompliance.

3.3

Getting the job done.

Management is concerned with and exerts

effort to get the job done right the first time.

Management is willing to get the job done

without adequate regard to quality.

3.4

Exceptions to policy.

Exceptions to policy are infrequent. When they

Exceptions to policy are the norm and are
occur they must be approved and well
rarely documented.
documented.

3.5

Approach to financial accountability.

Managements approach shows concern and

appreciation for accurate and timely reporting.
Budgeting and other financial estimates are
generally conservative.

3.6

Emphasis on meeting budget and other

financial and operating goals.

Realistic budgets are established and results are

Management either shows little concern
actively monitored. Corrective action is taken
(climate of laxness), or makes unreasonable
as necessary. The unit learns from, and does
demands (climate of fear).
not repeat, mistakes.

Approach to decision making.

Decision-making processes are deliberate and

consistent. Decisions are made after careful
consideration of relevant facts. Policies and
procedures are in place to ensure appropriate
levels of management are involved.

Decision making is nearly always informal.

Management makes arbitrary decisions with
inadequate discussion and analysis of the facts.

3.7

Financial accountability is given low priority.

4 Organizational Structure
4.1

Complexity of the organizational

structure.

Complexity of the structure is commensurate

with the organization. Lines of reporting are
clear and documentation is up-to-date.

Lines of responsibility are unclear or

unnecessarily complicated for the size and
activities of the entity.

4.2

Organization charts.

Documentation exists and is up to date.

Documentation does not exist or is out-of-date.

The documented structure does not correspond
with actual responsibilities.

4.3

Size of the management group.

Size is commensurate with the complexity of

the unit and its growth.

Size is not appropriate (e.g., too many levels,

too dispersed, or too "thin").

4.4

Stability of the management group.

Low turnover.

High turnover.

5 Assignment of Authority and Responsibility

Assessment
Strong - Weak
1 2 3 4 5

Assessment Factor

Indication of Stronger Controls

Indication of Weaker Controls

5.1

Delegation of authority and assignment

of responsibility for operating and
financial functions.

Delegation of authority and assignment of

Decisions are dominated by one or a few
responsibility is clearly defined. Individuals are individuals. Roles and responsibilities of
middle management are unclear.
held accountable for results.

5.2

Authority limits.

Authority limits are clearly defined in writing

and communicated as appropriate.

Policies and procedures covering authority

limits are informal or poorly communicated.

5.3

Delegated signature authority.

Appropriate limits have been placed on each

delegation of signature authority. Management
reviews and updates signature records as
turnover occurs.

Signature authority is delegated without

adequate consideration. Delegated authority is
not in line with employee knowledge, training,
or competence.

5.4

Knowledge and experience.

Key personnel are knowledgeable and

experienced. Management does not delegate
authority to inexperienced individuals.

Key personnel are inexperienced. Management

delegates authority without regard to
knowledge and experience.

5.5

Resources.

Management provides the resources needed for Management does not provide necessary
employees to carry out their duties.
resources.

6 Human Resource Policies and Practices

6.1

Selection of personnel.

A careful hiring process is in place. The

Human Resources Department is involved in
identifying potential employees based on job
requirements.

6.2

Training.

On-the-job and other training programs have

defined objectives. They are effective and
important.

6.3

Supervision policies.

Regular supervision does not exist or is

Personnel are adequately supervised. They
ineffective. Employees are frustrated and feel
have a regular resource for resolving problems.
they have nowhere to go with issues.

6.4

Inappropriate behavior.

Inappropriate behavior is consistently

Reprimands are not timely, direct, or are not
reprimanded in a timely and direct manner,
consistently applied (climate of favoritism).
regardless of the individual's position or status.

6.5

Evaluation of personnel.

An organized evaluation process exists.

The hiring process is informal, and sometimes

proceeds without adequate involvement by
higher-level supervisors.
Training programs are inconsistent, ineffective,
or are given low priority.

The evaluation process is ad hoc and

inconsistent. Performance issues are not
formally addressed.

Assessment
Strong - Weak
1 2 3 4 5

Assessment Factor

Indication of Stronger Controls

Methods to compensate personnel.

Compensation decisions are based on a formal

process with meaningful involvement of more
than one level of management. The effect of
performance evaluations on compensation
decisions is defined and communicated.

Compensation decisions are ad hoc,

inconsistent, or inadequately reviewed by
management.

6.7

Staffing of critical functions.

Critical functions are adequately staffed, with

reasonable workloads.

There is inadequate staffing and frequent

periods of overwork and "organizational
stress."

6.8

Turnover. Particularly turnover in

financially responsible positions.

Low turnover. Management understands root

causes of turnover.

High turnover. Management does not

understand root causes.

6.6

Indication of Weaker Controls

Section 2 Risk Assessment

7 Organizational Goals and Objectives
Unit-wide objectives.

A formal unit-wide mission or value statement

A unit-wide mission or value statement does
is established and communicated throughout
not exist.
the unit.

7.2

Critical success factors.

Factors that are critical to achievement of unitwide objectives are identified. Resources are
Success factors are not identified or prioritized.
appropriately allocated between critical success
factors and objectives of lesser importance.

7.3

Activity-level objectives.

Realistic objectives are established for all key

activities including operations, financial
reporting and compliance considerations.

7.4

Measurement of objectives.

Unit-wide and activity level objectives include

Performance regarding objectives is not
measurement criteria and are periodically
measured. Targets are not set.
evaluated.

7.5

Employee involvement.

Employees at all levels are represented in

establishing the objectives.

7.6

Long and short-range planning.

Long and short-range plans are developed and

No organized planning process exists. There
are written. Changes in direction are made only
are frequent shifts in direction or emphasis.
after sufficient study is performed.

7.1

Activity-level objectives do not exist.

Management dictates objectives without

adequate employee involvement.

Assessment
Strong - Weak
1 2 3 4 5

Assessment Factor

Indication of Stronger Controls

Indication of Weaker Controls

7.7

Budgeting system.

Detailed budgets are developed by area of

responsibility following prescribed procedures Budgets do not exist or are "backed into"
and realistic expectations. Plans and budgets
depending on desired outcome.
support achievement of unit-wide action steps.

7.8

Strategic planning for information

systems.

Planning for future needs is done well in

advance of expected needs and considers
various scenarios.

The information system lags significantly

behind the needs of the business.

8 Risk Identification and Prioritization

Identification and consideration of

external risk factors.

A process exists to identify and consider the

implications of external risk factors (economic
changes, changing sponsor, student and
Potential or actual external risk factors are not
community needs or expectations, new or
effectively identified or evaluated.
changed legislation or regulations,
technological developments, etc.) on unit-wide
objectives and plans.

Identification and consideration of

internal risk factors.

A process exists to identify and consider the

implications of internal risk factors (new
personnel, new information systems, changes
in management responsibilities, new or
changed educational or research programs,
etc.) on unit-wide objectives and plans.

Potential or actual internal risk factors are not

effectively identified or evaluated.

8.3

Prioritization of risks.

The likelihood of occurrence and potential

impact (monetary and otherwise) have been
evaluated. Risks have been categorized as
tolerable or requiring action.

Risks have not been prioritized.

8.4

Approach to studying risks.

In-depth, cost / benefit studies are performed

before committing significant unit resources.

Risks are accepted with little or no study.

8.5

Process for monitoring risks.

A risk management program is in place to

monitor and help mitigate exposures.

Exposure is dealt with on a case by case basis.

Regular efforts or programs to manage risks do
not exist.

8.6

Consultation with external advisors.

External advisors are consulted as needed to

supplement internal expertise.

Internal expertise regarding risk and control

issues is inadequate. Assistance is never
sought from outside sources.

8.1

8.2

Assessment
Strong - Weak
1 2 3 4 5

Assessment Factor

Indication of Stronger Controls

Indication of Weaker Controls

9 Managing Change
9.1

Commitment to change.

Management promotes continuous

improvement and solicits input and feedback
on the implications of significant change.

Management promotes the status quo, even

when changes are needed to meet important
business needs.

9.2

Support of change.

Management is willing to commit resources to

achieve positive change.

Management offers no resources to facilitate

change.

9.3

Routine change.

Mechanisms exist to identify, prioritize, and

react to routine events (i.e., turnover) that
affect achievement of unit-wide objectives or
action steps.

Procedures are not present or are ineffective.

9.4

Economic change.

Mechanisms exist to identify and react to

economic changes.

Procedures are not present or are ineffective.

9.5

Regulatory change.

Mechanisms exist to identify and react to

regulatory changes (maintain membership in
Procedures are not present or are ineffective.
associations that monitor laws and regulations,
participate in University forums, etc.).

9.6

Technological change.

Mechanisms exist to identify and react to

technological changes and changes in the
functional requirements of the unit.

Procedures are not present or are ineffective.

Section 3 Control Activities

10 Written Policies and Procedures
10.1 Access to University policies and
procedures.

Unit staff have available up to date University

policy and procedures and know how to use
them.

University policy and procedures are not

available or are rarely used.

10.2 Unit policies and procedures.

The unit has documented its own policies and

procedures. They are well understood by unit
staff.

Unit policies and procedures do not exist.

Senior management monitors the unit's

performance against objectives and budget.

Senior management does not monitor unit

performance.

11 Control Procedures
11.1 Senior management (University or
College) reviews.

Assessment
Strong - Weak
1 2 3 4 5

Assessment Factor

Indication of Stronger Controls

Indication of Weaker Controls

11.2 Top level (unit-wide) objective

performance reviews by unit
management.

Reviews are made of actual performance

compared to objectives and previous periods
for all major initiatives. Management analyzes
and follows up as needed.

Analyses are not performed or management

does not follow up on significant deviations.

11.3 Top level (unit-wide) financial

performance reviews by unit
management.

Reviews are made of actual performance

versus budgets, forecasts, and performance in
prior periods for all major initiatives.
Management analyzes and follows up as
needed.

Analyses are not performed or management

does not follow up on significant deviations.

11.4 Direct functional or activity

management by unit management.

Performance reviews are made of specific

functions or activities, focusing on compliance, No performance reviews occur.
financial or operational issues.

11.5 Performance indicators.

Unexpected operating results or unusual trends

Operating results and trends are not monitored.
are investigated.

11.6 Accounting statements and key

reconciliations.

Accounting statements and key reconciliations

are completed timely. Management performs a
diligent review and signifies approval by
signature and date.

Reconciliations are not performed timely or

regularly. Management does not carefully
review or formally approve statements or
reconciliations.

Sponsored project accounts are reviewed and

reconciled. PIs certify the expenditures timely. Sponsored project accounts are not monitored;
reconciliations and certifications are not
11.7 Sponsored project account management. Unit management monitors the portfolio of
sponsored accounts for compliance and fiscal timely.
responsibility.

11.8 Use of restricted funds (gifts).

Restrictions on use are well documented, and

Restrictions are not clearly documented.
are understood by employees who administer
Restricted fund accounts are not monitored;
the funds. Usage is monitored by management,
usage may not match restrictions.
accounts are reconciled.

11.9 Information processing.

Controls exist to monitor the accuracy and

completeness of information as well as
authorization of transactions.

11.10 Physical controls.

Equipment, supplies, inventory, cash and other

Equipment, supplies, inventory, cash and other
assets are physically secured and periodically
assets are not protected. Control records do not
counted and compared to the amounts shown
exist or are not up to date.
on control records.

No information processing controls are in

place.

Assessment
Strong - Weak
1 2 3 4 5

Assessment Factor

Indication of Stronger Controls

Indication of Weaker Controls

11.11 Training and guidance for asset

custodians.

Adequate guidance and training are provided to

No training or guidance is provided.
personnel responsible for cash or similar assets.

11.12 Separation of duties.

Financial duties are divided among different

people (responsibilities for authorizing
transactions, recording them and handling the
asset are separated).

11.13 Record retention.

Unit employees understand which records they

Unit employees do not understand which
are responsible to maintain and the required
records they are responsible for maintaining.
retention period. Records are appropriately
The filing system is inadequate.
filed.

11.14 Disaster response plan.

A disaster response and recovery plan has been

No disaster response or recovery plan exists.
developed and is understood by key personnel.

No significant separation of financial duties

among different employees.

12 Controls over Information Systems

12.1 Local information systems and LANs.

System operations are documented; software is

appropriately acquired and maintained; access
to the system, programs and data is controlled; Inadequate controls over local information
the system is maintained in a secure
systems or LANs.
environment; applications are appropriately
developed and maintained.

12.2 Application controls.

The unit controls its computer applications by

diligent and timely response to edit lists,
rejected transactions and other control and
balancing reports. Controls ensure a high level Application controls are not used.
of data integrity including completeness,
accuracy, and validity of all information in the
system.

12.3 Back Up.

Key data and programs on LANs or desktop

computers are appropriately backed up and
maintained. Off-site storage is adequate
considering possible risks of loss.

No formal back up procedures exist.

Management has not informed staff of back up
requirements.

Assessment
Strong - Weak
1 2 3 4 5

Assessment Factor

Indication of Stronger Controls

Indication of Weaker Controls

Section 4 Information and Communication

13 Access to Information
13.1 Relevant external information.

Unit members receive relevant information

regarding legislation, regulatory developments,
Relevant information is not available.
economic changes or other external factors that
affect the unit.

13.2 Management reporting system.

An executive information system exists.

Information and reports are provided timely.
Report detail is appropriate for the level of
management. Data is summarized to facilitate
decision making.

A formal reporting system does not exist.

Reports are not timely or are not at appropriate
levels of detail.

13.3 Management of information security.

Information is evaluated and classified based

on level of integrity, confidentiality and
availability. Individuals with access to
information are trained to understand their
responsibilities related to the information.

Information used by the unit has not been

evaluated and classified. Employees are not
trained with respect to information security.

14.1 Trust.

Management promotes and fosters trust

between employees, supervisors and other
units.

Interactions among faculty, staff and/or with

other units is characterized by low levels of
trust.

14.2 Policy enforcement and discipline.

Employees who violate an important policy are Violations, while not condoned officially, are
disciplined. Management's communications
often overlooked. Management's actions are
and actions are consistent with policies.
inconsistent with official policies.

14.3 Recommendations for improvement.

Employees are encouraged to provide

recommendations for improvement. Ideas are
recognized and rewarded.

14.4 Formal communications.

Formal methods are used to communicate unit

policies and procedures (e.g., manuals, training To the extent that they exist, policies are buried
programs, written codes of conduct, and
in unused manuals and documents.
acceptable business practices).

14 Communication Patterns

Employees' ideas are not welcomed.

Assessment
Strong - Weak
1 2 3 4 5

Assessment Factor

Indication of Stronger Controls

Indication of Weaker Controls

14.5 External communications.

Standards and expectations are communicated

to key outside groups or individuals (e.g.,
vendors, consultants, donors, sponsors,
subcontractors, sub-recipients).

14.6 Informal communications.

Employees are kept informed of important

matters (downward communication) and are
able to communicate problems to persons with Most information is received by the
authority (upward communication). There is
"grapevine."
effective functional coordination within the
unit (lateral communication).

14.7 Communication with evaluators.

Information is openly shared with outside

evaluators.

No external communication of standards and

expectations.

Information is kept secret from outside

evaluators.

Section 5 Monitoring
15 Management Supervision
15.1 Effectiveness of key control activities.

Management routinely spot-checks

transactions, records and reconciliations to
ensure expectations are met.

Management never performs spot-checks.

15.2 Management supervision of accounting

function.

Accounting policies are defined and adopted

after appropriate consideration. Policies are
effectively communicated (in writing).

Policies are ad hoc or poorly communicated.

15.3 Management supervision of new

systems development.

Policies are defined for developing new

systems or changes to existing systems
(cost/benefit analysis, team composition, user
specifications, documentation, acceptance
testing, and user approval).

Policies and procedures are ad hoc, poorly

communicated, or ineffective.

15.4 Budget analysis.

Budgets are compared to actual results and

deviations are followed up on a timely basis.
Adequate consideration is given to
commitments.

An analysis of actual versus budgeted results is

not performed, or management does not follow
up on deviations.

16 Outside Sources
16.1 Industry and professional associations.

Data is used to compare the units performance

Comparative data is not regularly monitored.
with peers or industry standards.

Assessment
Strong - Weak
1 2 3 4 5

Assessment Factor

Indication of Stronger Controls

Indication of Weaker Controls

16.2 Regulatory authorities.

Reports from regulatory bodies are considered

for their internal control implications.

Response is limited to what is necessary to "get

by" the regulators.

16.3 Sponsors, students, suppliers, creditors,

and other third parties.

Root causes of inquiries or complaints are

Inquiries or complaints are dealt with case-byinvestigated and considered for internal control
case, with little or no follow-up.
implications.

16.4 External auditors.

Information provided by external auditors

about control-related matters are considered
and acted on at high levels.

Findings are referred to lower levels or are

explained away.

17.1 Management follow-up of violations of

policies.

Timely corrective action is taken.

Follow-up is sporadic.

17.2 External or internal audit findings.

Findings are considered and immediately acted Consideration of findings is delegated to lower
upon at appropriate levels.
levels or is given low priority.

17.3 Changes in conditions (e.g., economic,

regulatory, technological, or
competitive).

Changes are anticipated and routinely

integrated into ongoing long- and short-range
planning.

Responses are reactive rather than proactive.

18.1 Monitoring of control environment.

Management periodically assesses employee

attitudes, reviews the effectiveness of the
organization structure, and evaluates the
appropriateness of policies and procedures.

Assessment processes do not exist.

18.2 Evaluation of risk assessment process.

Management periodically evaluates the

effectiveness of its risk assessment process.

Assessment processes do not exist.

18.3 Assessment of design and effectiveness

of internal controls.

Internal controls are subject to a formal and

continuous internal assessment process.

Assessment processes do not exist.

18.4 Evaluation of information and

communication systems.

Management periodically evaluates the

accuracy, timeliness and relevance of its
information and communication systems.
Management questions information on
management reports that appears unusual or
inconsistent.

Assessment process does not exist.

17 Response Mechanisms

18 Self-Assessment Mechanisms

Assessment
Strong - Weak
1 2 3 4 5