PENGENDALIAN INTERNAL

Kerangka kerja
Kerangka kerja adalah badan prinsip panduan yang membentuk
pola agar organisasi dapat mengevaluasi banyak praktek bisnis. prinsipprinsip ini terdiri dari berbagai konsep, nilai-nilai, asumsi, dan praktek.
dimaksudkan untuk memberikan standar terhadap suatu organisasi
dapat menilai atau mengevaluasi struktur tertentu, proses, atau
lingkungan, atau sekelompok praktek atau prosedur. khusus untuk
praktek audit internal, berbagai kerangka yang digunakan untuk menilai
kecukupan desain dan efektivitas operasi pengendalian.
Hal ini penting untuk memulai dengan membuat beberapa
perbedaan sehingga tidak ada salah paham mengenai kerangka kerja
yang dibahas dalam bab-khusus, manajemen risiko perusahaan (ERM)
kerangka kerja dan kerangka kerja lebih khusus dirancang untuk
mengatasi

pengendalian

internal.

baik

kesepakatan

dengan

pengurangan risiko dan aspek pengendalian internal, bagaimanapun,

kerangka yang fokus pada pengendalian internal saja lebih sempit
didefinisikan dan cenderung kurang strategis di alam. Sementara dalam
bab ini secara khusus dengan subjek kontrol internal dan berfokus pada
kerangka

pengendalian

internal,

itu

tidak

akan

lengkap

tanpa

mengidentifikasi kerangka ERM dan kerangka lainnya diakui secara

global

berurusan

dengan

tata

kelola,

manajemen

risiko,

dan

pengendalian internal yang juga telah dikembangkan atau telah

berevolusi selama berwaktu-waktu.
Kerangka diakui secara global
1. Kerangka Pengendalian Internal
Pengendalian Internal - Kerangka Terpadu (COSO), Komite of Sponsoring
Organizations of the Treadway Commission, Amerika Serikat, 1992
Bimbingan pada Control (COCO), The Canadian Institute of Charterede
Akuntan, Kanada, 1995
Pengendalian Internal: Panduan Revisi Direksi pada Kode Gabungan
(Tumbull), Pelaporan Keuangan Dewan 2005
COBIT 4.1, IT Governance Institute, Amerika Serikat, 2007
2. Kerangka tata kelola
Laporan Komite Aspek Keuangan Corporate Governance (Cadbury),
1 | Internal Control

Inggris, 1992
Laporan raja Corporate Governance untuk Afrika Selatan (Raja II),
Institute of Directors, Afrika Selatan, 2002
3. Kerangka Enterprise Risk Management
Australia / Selandia Baru Standar Manajemen Risiko (Australia Standard
4360),
Bersama Teknis Komite 08/007 - Manajemen Risiko, Australia / Selandia
Baru, Revisi 2004
Enterprise Risk Management - kerangka Terpadu (COSO), Committee of
Sponsoring Organization Komisi Treadway, Amerika Serikat, 2004
4. Secara global lainnya Kenali Kerangka Mitigasi Risiko
Internasional Konvergensi Modal Pengukuran dan Standar Modal (Basel
Accord), Komite Basel pada Pengawasan Perbankan 1988
Internasional Konvergensi Modal Pengukuran dan Standar Modal
Kerangka Revisi (Basel II atau The New Accord), Komite Basel 2005
Tidak ada perbedaan antara COSO, CoCo, dan Turnbull. semua
kerangka termasuk definisi dari pengendalian internal, menjelaskan
proses yang menyediakan jaminan yang wajar untuk mencapai tujuan
organisasi dalam tiga kategori tertentu: efektivitas efisiensi operasi,
keandalan

pelaporan,

dan

kepatuhan.

tiga

tanggung jawab internalcontrol, khususnya

kerangka

mengenai

tanggung jawab tidak

hanya pada dewan direksi, manajemen senior, dan auditor internal,

tetapi juga pada setiap individu dalam organisasi. meskipun disebut
dengan judul yang berbeda antara kerangka kerja, komponen masingmasing kerangka pengendalian internal pada dasarnya sama dan dapat
diperiksa

menggunakan

COSO

untuk

setiap

komponen,

yaitu:

Pengendalian Lingkungan, Penilaian Risiko, Kegiatan Pengendalian,

Informasi dan Komunikasi, dan Monitoring.
PERBANDINGAN KERANGKA PENGENDALIAN INTERNAL
COSO
CoCo
Turnbull
Definisi
dari proses
Unsur-orang dari meliputi
Internal control

dipengaruhi oleh organisasi yang kebijakan,

dewan
direksi,

entitas mendukung

proses

orang lebih dari perilaku

tugas,
dan

2 | Internal Control

manajemen, dan keyakinan

aspek lain dari

personil lainnya, memadai dalam sebuah

yang

dirancang pencapaian

perusahaan

untuk

tujuan

yang

memberikan

organisasi

menawarkan

keyakinan

dalam

memadai

berikut:

kategori jaminan

tentang prestasi efektivitas,

dari
dalam

yang

wajar

dalam

dan memfasilitasi

tujuan efisiensi operasi, operasi

kategori keandalan

berikut:
efektivitas

pelaporan
dan internal

yang

efektif

dan

efisien,
dan memungkinkan

efisiensi operasi, eksternal.

untuk

respon

keandalan

kepatuhan

tepat

untuk

pelaporan

terhadap hukum bisnis

yang

keuangan,

dan dan

kepatuhan

dan

peraturan signifikan,
kebijakan operasional,

terhadap hukum internal.

keuangan,

dan peraturan.

kepatuhan,
risiko

dan

lainnya

untuk mencapai
tujuan
perusahaan
Relatif

untuk

menghemat
menjaga

aset,

mengidentifikasi
dan

mengelola

kewajiban,
kualitas
pelaporan

dan

kepatuhan
terhadap hukum
Komponen

dari Pengendalian

tujuan,

dan peraturan.
kegiatan
3 | Internal Control

Internal Control

Lingkungan,

komitmen,

pengendalian,

Penilaian Risiko, kemampuan,

informasi

Kegiatan

pemantauan,

komunikasi

Pengendalian,

dan

proses,

Informasi

dan pembelajaran.

dan

pemantauan,

Komunikasi, dan

embeddedness

Monitoring

dalam

Operasi

perusahaan,
respon terhadap
risiko

dan

perubahan, dan
pelaporan
Efektivitas pengendalian internal perusahaan atas pelaporan
keuangan pada kerangka pengendalian diakui sesuai yang didirikan oleh
badan atau kelompok yang telah mengikuti prosedur proses hukum,
termasuk distribusi luas kerangka untuk komentar publik untuk rincian
tentang evaluasi SEC kerangka pengendalian internal yang tepat.
Banyak organisasi yang berhasil menerapkan kerangka kerja ini
dalam upaya

untuk memenuhi Pasal 404 Sarbanis-Oxley, meskipun

menghadapi biaya tak terduga signifikan. perusahaan publik yang lebih

kecil berjuang untuk memenuhi biaya mahal serta beberapa tantangan
lain untuk organisasi yang lebih kecil, termasuk:

Memperoleh

pembagian tugas yang memadai,

Kemampuan manajemen untuk mendominasi kegiatan, dengan

sumber

daya

yang

cukup

untuk

mencapai

peluang yang signifikan untuk mengesampingkan manajemen

yang tidak tepat dari proses untuk muncul bahwa kinerja bisnis

tujuan telah terpenuhi (pengendalian manajemen),

Individu merekrut pelaporan keuangan yang diperlukan dan
keahlian lainnya untuk melayani secara efektif pada dewan
direksi

dan

komite

audit

yang

merekrut dan penahan personil dengan pengalaman yang cukup

dan keterampilan di bidang akuntansi dan pelaporan keuangan

4 | Internal Control

Mengambil perhatian penting manajemen menjalankan bisnis

untuk memberikan fokus yang cukup pada akuntansi dan

pelaporan keuangan, (dan)

mengendalikan teknologi

informasi

dan

mempertahankan

pengendalian umum dan aplikasi yang sesuai melalui sistem

informasi komputer dengan sumber daya teknis yang terbatas.
Dalam

menanggapi

ini,

COSO

mengeluarkan

pengendalian

internal atas pelaporan keuangan - panduan bagi perusahaan publik

yang lebih kecil (bimbingan untuk perusahaan publik yang lebih kecil)
pada bulan Juli 2006 sebagai suplemen untuk kerangka COSO. terutama
dirancang untuk memberikan bimbingan kepada perusahaan publik
yang lebih kecil untuk membantu mereka dengan biaya yang efektif
sarana untuk memenuhi Pasal 404
perusahaan publik
memasok

untuk

Sarbanes-Oxley, bimbingan untuk

yang lebih kecil memiliki manfaat tambahan

semua

organisasi,

terlepas

dari

ukuran,

pada

penerapan kerangka COSO ketika mengevaluasi efektivitas ICFR.

Karakteristik

"kecil"

Perusahaan

ada berbagai macam bisnis yang dapat diklasifikasikan sebagai "lebih

kecil"; banyak memiliki kesamaan karakteristik sebagai berikut:

Lebih sedikit baris bisnis dan produk yang lebih sedikit dalam

baris
Konsentrasi fokus pemasaran, oleh saluran atau geografi
Kepemimpinan dengan manajemen dengan kepemilikan yang

signifikan atau hak

Tingkat yang lebih sedikit dari manajemen, dengan rentang

bijaksana pengendalian
Sistem pengolahan transaksi yang kompleks kurang dan

protokol
Pesonil lebih sedikit, banyak memiliki berbagai rentang tugas
Kemampuan untuk mempertahankan sumber daya manusia,
akuntansi, dan audit internal.

20 Prinsip Dasar Untuk Mencapai Pengendalian Internal

Atas Pelaporan Keuangan yang efektif
Pengendalian Lingkungan

5 | Internal Control

1. Integritas dan etika Nilai - integritas suara dan nilai-nilai etika,

khususnya dari manajemen puncak, dikembangkan dan dipahami dan
menetapkan standar perilaku untuk pelaporan keuangan.
2. Direksi - Direksi memahami dan menjalankan tanggung jawab
pengawasan terkait dengan pelaporan keuangan dan pengendalian
internal terkait
3. Manajemen filsafat dan operasi gaya - Filosofi dan gaya operasi
dukungan manajemen mencapai pengendalian internal yang efektif
atas pelaporan keuangan
4. Struktur organisasi - struktur organisasi perusahaan mendukung
pengendalian internal yang efektif atas pelaporan keuangan
5. Pelaporan keuangan yang kompeten - perusahaan mempertahankan
individu yang kompeten dalam pelaporan keuangan dan peran
pengawasan
6. Wewenang dan

tanggung

jawab

manajemen

dan

karyawan

ditugaskan sesuai tingkat wewenang dan tanggung jawab untuk

memfasilitasi pengendalian internal yang efektif atas pelaporan
keuangan.
7. Sumber daya manusia - kebijakan dan praktek sumber daya manusia
dirancang

dan

dilaksanakan

untuk

memfasilitasi

pengendalian

internal yang efektif atas pelaporan keuangan

Perkiraan risiko
1. Tujuan pelaporan

keuangan

manajemen

menentukan

tujuan

pelaporan keuangan dengan kejelasan dan kriteria yang cukup untuk

memungkinkan identifikasi risiko untuk pelaporan keuangan yang
handal
2. Risiko pelaporan

keuangan

perusahaan

mengidentifikasi

dan

menganalisa risiko terhadap pencapaian tujuan pelaporan keuangan

sebagai dasar untuk menentukan bagaimana risiko harus dikelola
3. Risiko penipuan - potensi salah saji material karena kecurangan
secara eksplisit dipertimbangkan dalam menilai risiko terhadap
pencapaian tujuan pelaporan keuangan.
kegiatan pengendalian
4. Integrasi dengan penilaian risiko - tindakan yang diambil untuk
mengatasi risiko terhadap pencapaian tujuan pelaporan keuangan.
5. seleksi dan pengembangan kegiatan pengendalian - kegiatan
pengendalian yang dipilih dan dikembangkan mempertimbangkan

6 | Internal Control

biaya dan efektivitas potensi mereka dalam mengurangi risiko

terhadap pencapaian tujuan pelaporan keuangan.
6. kebijakan dan prosedur - kebijakan yang berkaitan dengan pelaporan
keuangan yang handal ditetapkan dan dikomunikasikan ke seluruh
perusahaan,

dengan

prosedur

yang

sesuai

sehingga

arahan

manajemen dilaksanakan
7. Teknologi Informasi - pengendalian teknologi informasi, mana yang
berlaku dirancang dan dilaksanakan untuk mendukung pencapaian
tujuan pelaporan keuangan.
Informasi dan Komunikasi
1. Informasi pelaporan keuangan - informasi terkait diidentifikasi,
ditangkap,

digunakan

di

semua

tingkat

perusahaan,

dan

didistribusikan dalam dari dan jangka waktu yang mendukung

pencapaian tujuan pelaporan keuangan
2. Informasi pengendalian intern - informasi yang digunakan untuk
menjalankan komponen kontrol lainnya diidentifikasi, ditangkap, dan
mendistribusikan
memungkinkan

dalam
personil

bentuk
untuk

pengendalian internal mereka

3. Pengendalian komunikasi -

dan

kerangka

melaksanakan
komunikasi

waktu

yang

tanggung

jawab

memungkinkan

dan

mendukung pemahaman dan pelaksanaan tujuan pengendalian

internal, proses, dan tanggung jawab indivual di semua tingkatan
organisasi.
4. Eksternal komunikasi - hal yang mempengaruhi pencapaian tujuan
pelaporan keuangan dikomunikasikan dengan pihak luar
Pemantauan
1. Evaluasi berkelanjutan

dan

terpisah

evaluasi

yang

sedang

berlangsung dan / atau terpisah memungkinkan manajemen untuk

menentukan apakah pengendalian internal atas pelaporan keuangan
hadir dan fungsi
2. Kekurangan
pelaporan

kekurangan

pengendalian

internal

diidentifikasi dan dikomunikasikan secara tepat waktu untuk pihakpihak yang bertanggung jawab untuk mengambil koreksi tindakan,
dan untuk manajemen dan dewan yang sesuai.
Lebih lanjut menguraikan tentang dua prinsip COSO relatif
terhadap

pemantauan

yang

termasuk

dalam

20

prinsip

dasar

7 | Internal Control

memperkenalkan dalam pedoman bagi perusahaan publik yang lebih

kecil:

Pemantauan dan / atau evaluasi terpisah memungkinkan

manajemen untuk menentukan apakah komponen lain dari
pengendalian

internal

atas

pelaporan

berfungsi dari waktu ke waktu

Kekurangan pengendalian internal

keuangan

diidentifikasi

terus
dan

dikomunikasikan pada waktu yang tepat untuk pihak-pihak

yang

bertanggung

jawab

untuk

mengambil

tindakan

korektif, dan untuk manajemen dan papan yang sesuai.

Definisi Pengendalian Internal
Coso secara luas mendefinisikan pengendalian internal sebagai:

Proses, dipengaruhi oleh dewan entitas direksi, manajemen, dan

personil

lain,

ditandatangani

untuk

memberikan

keyakinan

memadai tentang pencapaian tujuan dalam kategori berikut:

- Efektivitas dan efisiensi operasi
- Keandalan pelaporan keuangan
- Kepatuhan terhadap hukum dan peraturan definisi ini
-

mencerminkan konsep dasar tertentu yang berlaku:

Pengendalian internal adalah sebuah proses. itu adalah alat

untuk mencapai tujuan, bukan dalam dirinya sendiri.

Pengendalian internal dipengaruhi oleh orang-orang. itu
bukan hanya kebijakan manual dan bentuk, tetapi orang-

orang di setiap tingkat organisasi.

Pengendalian internal dapat diharapkan untuk memberikan
keyakinan memadai hanya, tidak jaminan mutlak untuk

manajemen entitas dan dewan.

Pengendalian internal adalah diarahkan untuk pencapaian
tujuan dalam satu atau lebih kategori terpisah tapi tumpang
tindih.

Meskipun definisi ini mungkin tampak sangat umum, luas

mendefinisikan

pengendalian

internal

mengakomodasi

eksplorasi

kategori yang secara individu atau secara keseluruhan. ketika kategori

pengendalian internal yang memandang secara keseluruhan, mereka
secara kolektif disebut sebagai sistem pengendalian internal.
KOMPONEN DARI PENGENDALIAN INTERN
8 | Internal Control

Lingkungan Pengendalian
Lingkungan

pengendalian

organisasi

meliputi

semua

bidang

organisasi dan mempengaruhi cara individu mendekati pengendalian

internal. Komponen ini dasar dari pengendalian internal menciptakan
konteks di mana komponen lain dari pengendalian internal yang ada.
COSO mengidentifikasi "integritas, nilai-nilai etika, dan kompetensi
orang entitas; filsafat dan gaya operasi manajemen; cara manajemen
memberikan wewenang dan tanggung jawab, dan mengatur dan
mengembangkan

orang-orangnya;

dan

perhatian

dan

arah

yang

diberikan oleh dewan direksi "sebagai faktor yang termasuk dalam

lingkungan pengendalian organisasi.
Selanjutnya,

COSO

menunjukkan

bahwa

"lingkungan

pengendalian memiliki pengaruh luas dalam kegiatan usaha yang

terstruktur,

tujuan

didirikan,

dan

risiko

dinilai.

Hal

ini

juga

mempengaruhi kegiatan mengkontrol. Sejarah dan budaya organisasi

secara

langsung

mempengaruhi

lingkungan

pengendalian,

jika

diterapkan secara efektif, hasil dalam lingkungan pengendalian jika

diterapkan secara efektif, adalah "sikap organisasi terintegritas dan
mengendalikan kesadaran, dan mengatur sebuah "nada di atas" positif
melalui pembentukan "kebijakan dan prosedur yang tepat, sering
termasuk kode etik tertulis, yang nilai-nilai bersama dan tim kerja dalam
mengejar tujuan entitas.
Perkiraan Risiko
Semua

organisasi

akan

menghadapi

risiko,

yaitu

ancaman

terhadap pencapaian tujuan. Semua risiko, baik internal maupun

eksternal, perlu dinilai. Menurut COSO, "prasyarat untuk penilaian risiko
adalah pembentukan tujuan, terkait pada tingkatan yang berbeda dan
konsisten secara internal. Penilaian risiko adalah identifikasi dan analisis
risiko yang relevan dengan pencapaian tujuan, untuk membentuk dasar
dan menentukan bagaimana risiko harus dikelola. Karena ekonomi,
industri, regulasi, dan kondisi operasi akan terus berubah, mekanisme
yang diperlukan untuk mengidentifikasi dan menangani risiko khusus
yang terkait dengan perubahan. "Identifikasi risiko dan analisis risiko,
9 | Internal Control

keduanya penting untuk penilaian risiko yang efektif, yang akan dibahas
secara lebih rinci dalam bab ini.
Menetapkan tujuan yang jelas adalah prasyarat untuk identifikasi
yang efektif, penilaian, dan respon terhadap risiko.

Tujuan pertama,

didirikan di lingkungan strategi-pengaturan, sebelum manajemen dapat

mengidentifikasi risiko yang mungkin menghambat pencapaian tujuan
dan mengambil tindakan yang diperlukan untuk mengelola risiko
tersebut. Seperti yang dibahas dalam Bab 4, "Manajemen Risiko,"
pengaturan tujuan, identifikasi event, penilaian risiko, dan respon risiko
merupakan elemen kunci dari proses manajemen risiko. Dengan
demikian, pengaturan tujuan merupakan prasyarat untuk pengendalian
internal.
Proses untuk menetapkan tujuan dapat berkisar dari yang sangat
terstruktur atau sangat informal. Pernyataan misi organisasi sering
mendorong tujuan tingkat entitas. Bersama-sama dengan penilaian
kekuatan, kelemahan, risiko, dan peluang, tujuan membangun konteks
untuk mendefinisikan strategi organisasi. Biasanya, rencana strategis
yang menghasilkan sifatnya umum.
Dari rencana strategis umum, tujuan diidentifikasi yang lebih
spesifik daripada tujuan tingkat entitas yang dibahas di atas. Tujuan
tingkat entitas yang telah ditetapkan untuk kegiatan yang berbeda
dalam

organisasi.

menyelaraskan

Tujuan

dengan

khusus

tujuan

dari

tingkat

kegiatan
entitas

mereka

diidentifikasi

harus
oleh

organisasi.
Menetapkan tujuan pada kedua entitas dan proses tingkat penting
bagi

organisasi

untuk

dapat

mengidentifikasi

faktor

penentu

keberhasilan (kesuksesan yang harus dicapai untuk tujuan yang akan

dicapai). Faktor penentu keberhasilan yang hadir di semua tingkat
organisasi dan memfasilitasi penciptaan kriteria terukur terhadap
kinerja yang dapat dinilai.
Tujuan dapat dibagi ke dalam kategori yang luas berikut yang
ditetapkan oleh COSO:
1. Tujuan Operasi. Ini berkaitan dengan efektivitas dan efisiensi entitas
operasi, termasuk kinerja dan tujuan profitabilitas dan menjaga
10 | I n t e r n a l C o n t r o l

sumber daya terhadap kerugian. Mereka bervariasi berdasarkan

pilihan manajemen mengenai struktur dan kinerja.
2. Tujuan Pelaporan Keuangan. Ini berkaitan dengan penyusunan
laporan

keuangan

yang

handal

untuk

diterbitkan,

termasuk

pencegahan pelaporan keuangan penipuan publik. Mereka didorong

oleh kebutuhan eksternal.
3. Tujuan Kepatuhan. Tujuan-tujuan ini berhubungan dengan kepatuhan
terhadap hukum dan peraturan yang mana entitas tunduk. Mereka
bergantung

pada

faktor-faktor

eksternal,

seperti

peraturan

lingkungan, dan cenderung mirip di semua entitas dalam beberapa

kasus dan di industri pada orang lain.
Kegiatan Pengendalian
Kegiatan

pengendalian

adalah

tindakan

yang

diambil

oleh

manajemen, dewan, dan pihak lain untuk mengurangi risiko dan

meningkatkan kemungkinan bahwa didirikan tujuan dan sasaran yang
akan dicapai. Rencana manajemen, mengatur, dan mengarahkan kinerja
tindakan yang cukup untuk memberikan keyakinan memadai bahwa
tujuan

dan

sasaran

yang

akan

dicapai.

Seperti

faktor

penentu

keberhasilan yang dijelaskan di atas, kegiatan pengendalian yang hadir

di semua tingkat organisasi. Dan, seperti tujuan mereka dirancang
untuk membantu mencapai, kegiatan pengendalian dapat dipisahkan ke
dalam kategori ada operasi, pelaporan keuangan, dan kepatuhan.
Namun, kegiatan pengendalian sering dirancang untuk mengurangi
beberapa risiko yang dapat mengancam tujuan dalam lebih dari satu
kategori. Ingat bahwa itu adalah kurang penting yang kategori aktivitas
kontrol di dibandingkan kemampuannya untuk mengurangi risiko untuk
yang sesuai.
Setiap organisasi menetapkan sendiri tujuan bisnis dan strategi
implementasi. Karena setiap organisasi dikelola oleh orang yang
berbeda yang menggunakan penilaian individu dalam lingkungan
operasi yang unik dengan berbagai kompleksitas, tidak ada dua
organisasi memiliki set yang sama aktivitas pengendalian, oleh karena
itu, melayani peran penting dalam proses pengelolaan organisasi
dengan memastikan bahwa yang diidentifikasi secara unik risiko telah
11 | I n t e r n a l C o n t r o l

diantisipasi,

memungkinkan

organisasi

untuk

mencapai

tujuan

bisnisnya.
Salah

satu

konsep

penting

umum

untuk

semua

kegiatan

pengendalian adalah konsep yang ada di COSO yang mendefinisikan

sebagai pemisahan tugas. Pemisahan tugas adalah konsep membagi,
atau memisahkan, aktivitas pengendalian terkait dengan otorisasi
transaksi dari pengolahan transaksi-transaksi dari akses fisik ke aset
yang terkait dengan transaksi tersebut yang mendasari. Tujuan utama
dari pemisahan tugas (membagi kegiatan pengendalian) antara orangorang yang berbeda adalah untuk mengurangi risiko kesalahan atau
tindakan yang tidak pantas dilakukan oleh setiap individu tunggal.
Selain pembagian tugas, ada banyak kegiatan pengendalian umum
yang hadir dalam sistem yang dirancang dengan baik kontrol internal,
termasuk:
1.
2.
3.
4.
5.
6.
7.

ulasan Kinerja dan kegiatan tindak lanjut.

Otorisasi (persetujuan).
kegiatan pengendalian akses IT.
Dokumentasi (ketat dan komprehensif).
kegiatan pengendalian akses fisik.
aplikasi TI kegiatan (input, proses, output) kontrol.
verifikasi independen dan rekonsiliasi.

Informasi dan Komunikasi

Informasi yang berkualitas tinggi harus dikomunikasikan secara
tepat. Ketergantungan ini adalah mengapa COSO menggabungkan
informasi dan komunikasi dalam komponen ini. Informasi yang relevan,
akurat, dan tepat waktu harus tersedia untuk individu pada semua
tingkat

organisasi

menjalankan
disediakan

bisnis
"untuk

yang

membutuhkan

secara
personil

efektif.
yang

informasi

Tidak
tepat

hanya
sehingga

tersebut
harus

untuk

informasi

mereka

dapat

melaksanakan operasi mereka, pelaporan keuangan, dan tanggung

jawab kepatuhan," tetapi "komunikasi juga harus berlangsung dalam
arti yang lebih luas, berurusan dengan harapan, tanggung jawab
individu dan kelompok, dan lainnya penting dan dapat memberikan
informasi penting pada fungsi kontrol. Partai-partai ini termasuk, namun
tidak terbatas pada, pelanggan, pemasok, penyedia layanan, regulator,
auditor eksternal, dan pemegang saham.
12 | I n t e r n a l C o n t r o l

Hal ini terutama penting untuk membuat informasi memastikan

tetap aligned dengan kebutuhan bisnis saat ini selama periode
perubahan. Hal ini sama pentingnya untuk memastikan bahwa informasi
ini

dikomunikasikan

tepat

waktu

untuk

semua

pihak

yang

penting

dalam

berkepentingan.
Jelas,

budaya

mengkomunikasikan

organisasi

memainkan

prioritas.

Biasanya,

peran

organisasi

yang

telah

membentuk budaya integritas dan transparansi memiliki waktu lebih

mudah dengan komunikasi daripada organisasi lain.
Pemantauan
Untuk tetap handal, sistem pengendalian intern harus dipantau.
Pemantauan adalah "suatu proses yang menilai kualitas kinerja sistem
dari waktu ke waktu. Hal ini dicapai melalui kegiatan yang sedang
berlangsung pemantauan, terpisah, periodik evaluasi, atau kombinasi
dari keduanya. Meskipun bukan merupakan bagian dari hari-hari operasi
organisasi per se, pemantauan dilakukan bersamaan dengan operasioperasi secara berkelanjutan. Semakin kuat dan komprehensif prosedur
pengawasan dan verifikasi, manajemen lebih percaya diri dapat
menempatkan dalam efektivitas prosedur tersebut untuk memastikan
operasi yang sedang berlangsung konsisten dan dapat diandalkan.
Dengan efektif kegiatan pemantauan, ditambah dengan penilaian risiko
yang akurat dan dapat diandalkan, frekuensi evaluasi terpisah dapat
dikurangi.
Pemantauan

paling

efektif

bila

pendekatan

berlapis

diimplementasikan. Lapisan pertama meliputi kegiatan sehari-hari yang

dilakukan oleh manajemen dari daerah tertentu seperti dijelaskan di
atas.

Lapisan

kedua

adalah

terpisah

(non

independen)

evaluasi

pengendalian internal di daerah itu dilakukan oleh manajemen secara

teratur

untuk

memastikan

bahwa

setiap

kekurangan

yang

ada

diidentifikasi dan diselesaikan tepat waktu. Lapisan ketiga adalah

penilaian independen oleh daerah di luar atau fungsi, dilakukan untuk
memvalidasi hasil (akurasi dan keandalan) penilaian manajemen diri
dari efektivitas pengendalian di daerah mereka. Pendekatan berlapis ini
menyediakan organisasi dengan tingkat yang lebih tinggi dari keyakinan
13 | I n t e r n a l C o n t r o l

bahwa sistem pengendalian internal tetap efektif dan membantu

memastikan

kekurangan

pengendalian

internal

diidentifikasi

dan

ditangani tepat waktu.

Hal ini penting untuk dicatat bahwa kegiatan pemantauan terjadi
di masing-masing lima komponen pengendalian internal (Lingkungan
Pengendalian, Penilaian Risiko, Kegiatan Pengendalian, Informasi dan
Komunikasi, dan Pemantauan), bukan hanya sebagai komponen yang
berdiri sendiri. kegiatan pemantauan ke dalam proses yang dilakukan
selama operasi bisnis sehari-hari memungkinkan pemantauan terjadi
secara teratur, menangkap masalah sebelum menjadi tidak terkendali.
Evaluasi terpisah kekurangan keuntungan ini karena waktu kinerja
mereka, yang kemudian dalam proses, dan karena mereka tampil lebih
jarang. Evaluasi terpisah menyediakan tampilan tambahan pada sistem
pengendalian
terjawab

internal,

selama

menangkap

pemantauan,

masalah
dan

yang

mungkin

mengevaluasi

telah

efektivitas

pemantauan tertanam dalam kegiatan sehari-hari dari daerah. Meskipun

berbagai

keuntungan

dari

dua

metode

yang

berbeda

untuk

pemantauan, keduanya diperlukan untuk proses monitoring yang kuat

untuk eksis. Pameran 6-8 memberikan contoh dari berbagai jenis
pemantauan.
Seperti

yang

ditunjukkan

sebelumnya,

manajemen

memiliki

tanggung jawab utama untuk efektivitas sistem organisasi pengendalian

internal,

termasuk

pemantauan.

Sebagai

tanggung

jawab

untuk

melakukan kontrol tertentu naik dalam organisasi ke tingkat yang lebih

tinggi dari manajemen, pemantauan pengawasan tradisional menjadi
lebih menantang. Kegiatan pemantauan yang dilakukan oleh bawahan
dalam suatu organisasi jauh lebih efektif daripada yang dilakukan oleh
atasan. Dalam situasi-situasi di mana manajemen senior melakukan
kontrol, itu mungkin cocok untuk anggota lain dari manajemen senior
untuk memantau mereka kontrol. Dalam kasus yang membawa risiko
manajemen

tingkat

bawah,

pemantauan

tingkat

papan

mungkin

diperlukan.
Kekurangan

dalam

sistem

organisasi

pengendalian

internal

mungkin diidentifikasi selama kinerja baik pemantauan atau evaluasi

14 | I n t e r n a l C o n t r o l

terpisah. COSO secara luas mendefinisikan kekurangan sebagai "kondisi

dalam suatu sistem pengendalian internal layak perhatian." COSO
menjelaskan bahwa "kekurangan, oleh karena itu, mungkin merupakan
dirasakan, potensi, atau kekurangan yang nyata, atau kesempatan
untuk

memperkuat

sistem

kontrol

internal

untuk

memberikan

kemungkinan besar bahwa tujuan entitas akan tercapai. Kekurangan

yang diidentifikasi sebagai akibat dari pemantauan dan evaluasi yang
terpisah harus dilaporkan secara tepat waktu kepada pihak-pihak yang
tepat dalam organisasi. Tergantung pada dampak kekurangan tertentu
memiliki pada efektivitas potensial dari sistem pengendalian internal, itu
harus dilaporkan kepada manajemen unit bisnis, manajemen senior, dan
/ atau dewan direksi. Kekurangan dilaporkan pertimbangan penting
dalam evaluasi sistem pengendalian internal. Mengevaluasi sistem
pengendalian internal akan dibahas secara lebih rinci nanti dalam bab
ini. Komunikasi formal relatif terhadap keterlibatan jaminan diselesaikan
oleh fungsi audit internal dibahas secara rinci nanti dalam bab ini 14,
"Berkomunikasi Jaminan Hasil dan Pertunjukan Prosedur Tindak Lanjut."
Sebagaimana dibahas sebelumnya dalam bab ini, beberapa
organisasi sedikit digunakan

pemantauan, terutama yang berkaitan

dengan persyaratan pelaporan keuangan. Pemantauan dapat menjadi

alat yang efektif untuk memvalidasi pernyataan pengendalian internal
ketika dirancang dengan akhir dalam pikiran. Organisasi di seluruh
dunia yang harus melaporkan efektivitas sistem mereka pengendalian
internal kepada pihak eksternal dapat merancang "jenis, waktu, dan
tingkat pemantauan" yang dilakukan untuk memberikan "informasi
persuasif yang pengendalian internal beroperasi secara efektif pada
suatu titik waktu atau selama periode tertentu. Pameran 6-9 adalah
representasi COSO tentang proses pemantauan relatif mendukung
kesimpulan mengenai efektivitas pengendalian.
PERAN PENGENDALIAN INTERNAL DAN TANGGUNG JAWAB
Setiap orang dalam suatu organisasi memiliki tanggung jawab
untuk pengendalian intern:
Manajemen
15 | I n t e r n a l C o n t r o l

CEO bertanggung jawab utama untuk sistem pengendalian

internal. "Nada di atas" (bagaimana etika atau berapa banyak integritas
organisasi memiliki) diatur oleh CEO dan gulung ke bawah dari sana ke
manajemen senior, manajemen lini, dan akhirnya semua individu dalam
suatu organisasi. CEO lebih atau kurang terlihat dan memiliki lebih atau
kurang dari dampak langsung tergantung pada ukuran organisasi.
Dalam organisasi yang lebih kecil. CEO sangat langsung mempengaruhi
sistem pengendalian internal. Dalam organisasi yang lebih besar, CEO
memiliki dampak terbesar pada manajemen senior yang pada gilirannya
mempengaruhi bawahannya. Dalam manajemen ini tindakan cara,
senior dan garis sebagai "CEO" di atas area yang menjadi tanggung
jawab mereka.
Dewan direksi
Dewan direksi mengawasi manajemen dan memberikan arahan
mengenai pengendalian internal. COSO menjelaskan anggota dewan
yang efektif sebagai "tujuan, mampu, dan ingin tahu ..." dengan
"pengetahuan tentang kegiatan [organisasi] dan lingkungan, dan [yang]
melakukan waktu yang diperlukan untuk memenuhi tanggung jawab
papan mereka." Anggota dewan yang efektif sangat penting untuk
efektif sistem pengendalian internal karena manajemen memiliki
kemampuan untuk mengesampingkan kontrol dan menekan bukti
perilaku tidak etis atau penipuan. Perilaku tersebut memiliki sebuah
papan yang secara aktif terlibat. Seperti disebutkan sebelumnya, dewan
direksi memiliki tanggung jawab utama untuk memastikan manajemen
telah membentuk sistem yang efektif pengendalian internal.
Dewan peran dan tanggung jawab direksi seperti yang dijelaskan
oleh COSO membentuk pemerintahan yang efektif "payung 'bagi suatu
organisasi. Untuk gambaran visual dari proses ini, lihat Exhibit 3-3 di
Bab 3, "Pemerintahan." Bab 3 menjelaskan tata sebagai proses yang
dilakukan oleh dewan direksi untuk mengotorisasi, langsung, dan
manajemen menolak terhadap pencapaian tujuan bisnis organisasi .
internal Auditor

16 | I n t e r n a l C o n t r o l

Sementara manajemen, di bawah kepemimpinan CEO, memiliki

tanggung jawab utama untuk desain yang memadai dan operasi yang
efektif dari sistem pengendalian internal, auditor internal memainkan
peran penting dalam memverifikasi bahwa manajemen telah memenuhi
tanggung jawabnya. Awalnya, manajemen melakukan penilaian utama
dari sistem pengendalian internal, dan kemudian fungsi audit internal
secara independen memvalidasi pernyataan manajemen. Fungsi audit
internal memberikan keyakinan memadai bahwa sistem pengendalian
internal dirancang secara memadai dan beroperasi secara efektif,
meningkatkan kemungkinan bahwa tujuan bisnis organisasi dan tujuan
akan terpenuhi. COSO

mendefinisikan peran auditor internal sama,

meskipun dalam istilah yang lebih umum: "Auditor internal memainkan

peran penting dalam mengevaluasi efektivitas sistem kontrol, dan
berkontribusi terhadap efektivitas berkelanjutan. Karena [yang] posisi
organisasi dan otoritas dalam suatu entitas, fungsi audit internal sering
memainkan

peran

monitoring

yang

signifikan.

Hubungan

antara

manajemen dan pengendalian internal dan pelaporan tersebut lebih

dieksplorasi kemudian dalam bab ini dan dalam Bab 9, "Manajemen
SPI."
Personil lainnya
COSO jelas menunjukkan bahwa setiap orang dalam suatu
organisasi memiliki tanggung jawab untuk pengendalian internal:
"Pengendalian internal adalah untuk beberapa derajat, tanggung jawab
setiap orang dalam organisasi dan karena itu harus menjadi bagian
eksplisit atau implisit dari deskripsi pekerjaan setiap orang. Hampir
semua karyawan menghasilkan informasi yang digunakan dalam sistem
pengendalian internal atau melakukan tindakan lain yang diperlukan
untuk efek kontrol. "COSO menambahkan bahwa" semua personil harus
bertanggung jawab untuk berkomunikasi masalah atas dalam operasi,
ketidakpatuhan dengan kode etik, atau pelanggaran kebijakan lainnya
atau tindakan ilegal.
COSO menunjukkan bahwa pihak eksternal dapat menjadi faktor
penting

relatif

terhadap

kemampuan

organisasi

untuk

mencapai

17 | I n t e r n a l C o n t r o l

tujuannya. Sebagai contoh, auditor independen di luar, sementara tidak

bertanggung jawab atas sistem organisasi pengendalian internal,
berkontribusi independensi dan obyektivitas melalui pendapat mereka
meliputi kewajaran laporan keuangan dan efektivitas pengendalian
internal atas pelaporan keuangan. Pihak eksternal lainnya yang bukan
merupakan

bagian

dari

pengendalian

internal

organisasi

tetapi

memberikan "informasi ke [organisasi] berguna dalam mempengaruhi

pengendalian internal yang legislator dan regulator, pelanggan dan lainlain bertransaksi bisnis dengan perusahaan, analis keuangan, penilai
obligasi, dan media berita .
Dalam

banyak

kasus,

vendor

luar

yang

digunakan

untuk

melakukan unsur-unsur sistem pengendalian intern. Namun, dalam

kasus-kasus,

kepemilikan

dan

akuntabilitas

untuk

elemen-elemen

outsourcing tetap dengan manajemen internal, yang memiliki tanggung

jawab utama untuk pengujian dan sertifikasi kontrol kunci outsourcing.
Kegiatan yang biasa outsourcing meliputi, misalnya, pengolahan data,
gaji, atau bahkan internal fungsi audit itu sendiri. Proses bisnis
outsourcing dibahas lebih lanjut dalam Bab 5, "Proses Bisnis dan Risiko."
KETERBATASAN PENGENDALIAN INTERNAL
Pengendalian internal diimplementasikan untuk mengurangi risiko
yang

mengancam

pencapaian

tujuan

organisasi

atau

untuk

memungkinkan organisasi untuk berhasil mengejar peluang. Meskipun

manajemen, dewan direksi, auditor internal, dan personil lainnya
bekerja sama untuk memfasilitasi pengendalian internal, tidak ada
sistem pengendalian internal dapat memastikan bahwa tujuan akan
tercapai. Hal ini disebabkan keterbatasan inheren pengendalian internal.
Secara khusus, COSO menunjuk keterbatasan berikut sebagai melekat
pada pengendalian internal:

penilaian manusia dalam pengambilan keputusan

dapat rusak.

Kerusakan dapat terjadi karena kegagalan manusia

seperti kesalahan sederhana atau kesalahan.

Kontrol dapat dielakkan oleh kolusi dari dua atau lebih

orang.
18 | I n t e r n a l C o n t r o l

Manajemen

memiliki

kemampuan

untuk

mengesampingkan sistem pengendalian internal.

Kontrol harus dipertimbangkan dari segi biaya mereka

dibandingkan dengan manfaatnya.

Sementara sebuah sistem yang dirancang dengan baik kontrol
internal

dapat

memberikan

keyakinan

yang

memadai

untuk

manajemen relatif terhadap pencapaian tujuan organisasi, ada sistem

pengendalian internal dapat memberikan jaminan mutlak untuk alasan
yang tercantum di atas. Hal ini berlaku terlepas dari apakah tujuan
jatuh ke dalam operasi, pelaporan keuangan, atau kategori kepatuhan.
Seperti yang ditunjukkan sebelumnya, membangun tujuan bisnis
merupakan

prasyarat

untuk

merancang

sistem

yang

efektif

pengendalian internal. Tujuan bisnis memberikan target terukur yang

suatu

organisasi

melakukan

operasinya.

Sebuah

kunci

untuk

memahami konsep keterbatasan dan keyakinan memadai terletak pada

juga memahami keterkaitan dan saling ketergantungan dari tujuan
bisnis

dan

risiko

yang

secara

langsung

atau

tidak

langsung

mempengaruhi kemampuan organisasi untuk mencapai tujuan bisnis

mereka. Hanya kemudian dapat sebuah organisasi benar merancang
dan mengimplementasikan sistem yang efektif pengendalian internal.
Sebagai

COSO

menunjukkan,

"Proses

mengidentifikasi

dan

menganalisis risiko merupakan proses berulang berkelanjutan dan

merupakan komponen penting dari sistem pengendalian internal yang
efektif. Manajemen harus fokus pada risiko dengan hati-hati pada
semua tingkat entitas dan mengambil tindakan yang diperlukan untuk
mengelola mereka.
Risiko yang melekat, Risiko Controllable, dan Risiko Residual
Kemampuan

organisasi

untuk

mencapai

tujuan

bisnis

dipengaruhi oleh risiko internal dan eksternal. Kombinasi risiko internal

dan eksternal dalam organisasi yang tidak terkendali disebut sebagai
risiko yang melekat. Kata lain, risiko yang melekat adalah risiko besar
yang ada dengan asumsi tidak ada pengendalian internal di tempat.
Pengakuan adanya risiko yang melekat bahwa peristiwa atau kondisi
19 | I n t e r n a l C o n t r o l

tertentu hanya di luar kontrol manajemen (risiko eksternal) sangat

penting untuk mengenali keterbatasan pengendalian internal.
Mengidentifikasi risiko eksternal dan internal pada suatu entitas
dan aktivitas (proses dan transaksi) adalah tingkat dasar penilaian risiko
yang efektif. Sebagaimana dibahas dalam Bab 5, "proses bisnis dan
risiko," sewaktu risiko-risiko utama telah diidentifikasi, manajemen
dapat menghubungkan untuk tujuan bisnis dan proses bisnis terkait.
Setelah tingkat entitas dan tingkat aktivitas telah diidentifikasi,
mereka harus dinilai dari segi dampak dan kemungkinan. Proses analisis
risiko bervariasi tergantung pada banyak faktor specifik untuk sebuah
organisasi, tetapi biasanya mereka termasuk:
Memperkirakan (dampak (atau keparahan)) dari risiko.
Menilai kemungkinan (atau frekuensi) dari risiko yang terjadi
(probabilitas).
Mengingat betapa risiko harus dikelola - yaitu, penilaian dari
apa tindakan yang perlu diambil.
Hasil

analisis

mempertimbangkan

risiko

cara

memungkinkan

terbaik

untuk

manajemen

menanggapi

risiko

untuk
yang

mengancam pencapaian tujuan organisasi. Risiko yang tidak signifikan

dan tidak memiliki kemungkinan tinggi terjadi akan menerima sedikit
perhatian. Risiko yang signifikan dan / atau mungkin terjadi akan
menerima perhatian yang jauh lebih besar. Risiko yang berada di
tengah, namun, umumnya memerlukan analisis lebih lanjut untuk
mengurangi risiko tanpa menggunakan sumber daya secara tidak
efisien.
Pengendalian

merupakan

respon

risiko

yang

diperlukan

manajemen untuk mengurangi dampak dan / atau kemungkinan

ancaman

terhadap

pencapaian

tujuan.

Manajemen

harus

mempertimbangkan resiko keseluruhan dan risiko individu ketika

memutuskan tindakan yang harus diambil. COSO manajemen resiko
perusahaan -kerangka terintegrasi mendefinisikan risk appetite sebagai
" suatu perusahaan atau badan lain yang bersedia menerima dalam
mengejar misinya (atau visi)," dan toleransi risiko sebagai "diterima

20 | I n t e r n a l C o n t r o l

(tingkat ukuran dan) variasi relatif terhadap pencapaian tujuan.

"toleransi risiko harus sejajar dengan risk appetite.
Dengan mengatakan bahwa, ada banyak faktor yang harus
dipertimbangkan ketika menentukan tindakan spesifik (pengendalian)
yang harus manajemen ambil untuk mengelola risiko yang melekat ke
tingkat yang cukup rendah, yaitu, dalam toleransi risiko tersebut. Untuk
memulainnya,

manajemen

harus

mempertimbangkan

risiko

yang

terkendali.
Risiko terkendali adalah bahwa sebagian dari risiko yang melekat
manajemen
kegiatan

dapat

bisnis

langsung

mengurangi

sehari-hari.

Setelah

resiko

tersebut

manajemen

melalui

menerapkan

pengendalian biaya yang efektif untuk mengatasi risiko terkendali,

kemudian mereka dapat menentukan apakah organisasi beroperasi
dalam risiko keseluruhan yang ditetapkan oleh manajemen senior dan
dewan

direksi.

Porsi

risiko

yang

melekat

yang

tersisa

setelah

mengurangi semua risiko terkendali didefinisikan sebagai risiko residual.

Jika risiko yang tidak terkendali atau yang tersisa (residual risk) adalah
kurang dari risk appetite yang ditetapkan, maka sistem pengendalian
internal beroperasi pada tingkat yang dapat diterima dalam organisasi.
Namun,
ditetapkan

jika

risiko

organisasi,

pengendalian

internal

residual

maka

perlu

untuk

melebihi

risk

mengevaluasi

menentukan

appetite
kembali

apakah

yang
sistem

tambahan

pengendalian biaya yang efektif dapat diterapkan untuk mengurangi

risiko residual untuk tingkat risk appetite manajemen. Jika tidak,
manajemen harus mempertimbangkan pilihan lain seperti berbagi atau
mentransfer sebagian dari risiko tak terkendali untuk pihak ketiga atau
indepenen yang bersedia melalui asuransi atau outsourcing. Jika risiko
yang tidak terkendali tidak dapat secara efektif dialihkan atau dibagi,
manajemen baik dapat menerima tingkat yang lebih tinggi dari risiko
(risk appetite dan menyesuaikan mereka), atau organisasi harus
memutuskan apakah ia ingin tetap terlibat dalam kegiatan tersebut
yang menyebabkan risiko. Lihat Bab 4 "Manajemen Risiko", untuk
diskusi manajemen risiko dan teknik mitigasi terkait mendalam.

21 | I n t e r n a l C o n t r o l

Sebuah perancangan secara memadai dan efektif beroperasi

pada sistem pengendalian internal, menurut definisi, perancangan
untuk mengelola risiko dalam risk appetite yang ditetapkan organisasi.
Ini harus mengurangi risiko yang melekat terkait dengan tiga kategori
COSO (operasi yang efektif dan efisien, pelaporan keuangan yang dapat
diandalkan, dan kepatuhan terhadap hukum dan peraturan yang
berlaku) dalam risk appetite manajemen.
MELIHAT PENGENDALIAN INTERNAL DARI PERSPEKTIF
Karena semua orang dalam suatu organisasi memiliki tanggung
jawab untuk pengendalian internal, menurut COSO. "Pengendalian
internal berkaitan dengan tujuan entitas, dan kelompok-kelompok yang
berbeda tujuan untuk alasan yang berbeda".
Pengelolaan
Karena manajemen bertanggung jawab untuk menetapkan
tujuan organisasi, mereka secara alami melihat pengendalian internal
itu perspektif. Manajemen harus mempertimbangkan pengendalian
internal dalam hal biaya dan manfaat yang terkait dan mengalokasikan
sumber daya yang diperlukan untuk arsip tujuan tersebut.
Dari perspektif manajemen, pengendalian internal mencakup
sejumlah kegiatan yang dirancang untuk mengurangi risiko atau
mengaktifkan peluang yang mempengaruhi prestasi dari organisasi.
Keterlibatan

manajemen

dengan

sistem

pengendalian

internal

memungkinkan mereka untuk bereaksi dengan cepat ketika kondisi

memungkinkan.

Hal

ini

juga

membantu

manajemen

dalam

hal

mematuhi hukum dan peraturan nasional, lokal, dan industri-spesifik.

Internal Auditor
Seperti manajemen, auditor internal melihat pengendalian
internal dalam hal perannya dalam pencapaian tujuan organisasi.
Sedangkan manajemen bertanggung jawab untuk sistem pengendalian
internal itu sendiri, auditor internal dibebankan dengan independen
memverifikasi

bahwa

pengendalian

organisasi

dirancang

secara

22 | I n t e r n a l C o n t r o l

memadai dan beroperasi secara efektif sebagai manajemen maksud.

Validasi independen ini, yang memperhitungkan semua sistem, proses,
operasi, fungsi, dan kegiatan entitas, meningkatkan kemungkinan
tujuan organisasi tercapai.
Auditor Independen luar
Tanggung jawab utama dari independen auditor luar organisasi
adalah untuk membuktikan kewajaran laporan keuangan dan, di
beberapa negara tertentu, efektivitas pengendalian internal atas
pelaporan keuangan. Untuk alasan ini, perspektif mereka difokuskan
pada

pengendalian

internal

relatif

terhadap

bagaimana

hal

itu

mempengaruhi pelaporan keuangan organisasi. Sementara auditor luar

yang independen mengambil tujuan dan strategi organisasi ke dalam
pertimbangan ketika memenuhi peran mereka, mereka tidak mengambil
perspektif yang luas yang sama dengan pengendalian internal yang
diambil oleh manajemen dan auditor internal.
Pihak Eksternal lainnya
Pihak eksternal yang memiliki kepentingan dalam pengendalian
internal organisasi meliputi legislator, regulator, investor, dan kreditur.
Karena

kepentingan

mereka

bervariasi,

demikian

juga

kemauan

perspektif pengendalian internalnya. Akibatnya, "legislator dan badan

pengatur telah mengembangkan berbagai definisi dari pengendalian
internal untuk menyesuaikan diri dengan tanggung jawab mereka.
Definisi ini umumnya berhubungan dengan jenis kegiatan, dan mungkin
mencakup

pencapaian

tujuan

entitas,

persyaratan

pelaporan,

penggunaan sumber daya sesuai dengan hukum dan peraturan, dan

sumber daya menjaga terhadap limbah, kerugian, dan penyalahgunaan
". di sisi lain, terutama Investor dan kreditor, memerlukan jenis
informasi keuangan yang independen.
JENIS PENGENDALIAN
Ada banyak jenis pengendalian yang digunakan oleh organisasi
untuk meningkatkan kemungkinan bahwa tujuan akan dipenuhi. Hal ini
23 | I n t e r n a l C o n t r o l

penting untuk dicatat bahwa pengendalian tertentu dapat disebut

dengan organisasi yang berbeda (dan individu bahkan berbeda dalam
suatu organisasi) dengan nama yang berbeda. Lebih penting dari pada
nama yang digunakan untuk menggambarkan pengendalian tertentu
adalah jenis kontrol itu. Hal ini dapat menciptakan kebingungan karena
banyak kontrol masuk ke dalam lebih dari satu kategori secara
bersamaan. Ini dibahas lebih detail kemudian dalam bab ini.
Tergantung pada aplikasi spesifik pengendalian ini, mereka
dapat diklasifikasikan dengan berbagai cara dan dapat mengambil
beberapa klasifikasi secara bersamaan. Bagian berikut menguraikan
berbagai jenis pengendalian dan tujuan masing-masing.
Tingkat

entity,

tingkat

proses-dan

tingkat

pengendalian

TransactionSemua pengendalian dirancang untuk mengurangi risiko baik di tingkat

perusahaan atau di tingkat operasional dalam suatu organisasi. COSO
1992 menggunakan istilah "tingkat entitas" masing-masing untuk
menggambarkan

pengendalian

ini.

Meskipun

tidak

jarang

untuk

organisasi dalam profesi audit internal untuk menggunakan terminologi

yang berbeda seperti "perusahaan-luas" atau "badan-luas" untuk
merujuk pada pengendalian tingkat entitas, istilah yang lebih umum
"tingkat entitas. pengendalian tingkat entitas yang sangat luas terfokus
dan sering berurusan dengan lingkungan organisasi. Mereka dirancang
untuk secara langsung mengurangi risiko yang ada di tingkat organisasiluas, termasuk yang timbul secara internal maupun eksternal, dan
secara tidak langsung dapat mengurangi risiko di tingkat proses dan
transaksi. pengendalian ini memiliki efek luas pada pencapaian tujuan
secara keseluruhan. Public Company Accounting Oversight Board
(PCAOB)

menyatakan

dalam

Standard

Audit

No.

"termasuk

pengendalian tingkat entitas"

Pengendalian yang terkait dengan lingkungan pengendalian;
Pengendalian atas manajemen override;
Proses penilaian risiko perusahaan;

Sentralisasi

pengolahan

dan

pengendalian,

termasuk

lingkungan layanan bersama;

24 | I n t e r n a l C o n t r o l

 Pengendalian untuk memantau hasil usaha;

Pengendalian untuk memantau pengendalian lain, termasuk
kegiatan fungsi audit internal, komite audit, dan program
penilaian diri;

Pengendalian

selama

periode

akhir

proses

pelaporan

keuangan; dan
Kebijakan yang membahas pengendalian bisnis yang signifikan
dan praktik manajemen risiko.
Pengendalian tingkat entitas dapat dibagi menjadi dua kategori:
Pengendalian

pemerintahan

dan

Pengendalian

manajemen-

pengawasan. Pengendalian pemerintahan yang dibentuk oleh dewan

dan

manajemen

organisasi

dan

eksekutif

untuk

memberikan

lembaga

bimbingan

budaya

yang

Pengendalian

mendukung

tujuan

strategis. Pengendalian manajemen-pengawasan yang ditetapkan oleh

manajemen pada unit bisnis dan meningkatkan kemungkinan bahwa
tujuan unit bisnis yang dicapai.
Pengendalian tingkat proses yang lebih rinci dalam fokus mereka dari
Pengendalian tingkat entitas. Mereka ditetapkan oleh pemilik proses
untuk mengurangi risiko yang mengancam proses pencapaian tujuan.
Sementara konsisten di alam, Pengendalian ini dapat bervariasi dalam
pelaksanaannya proses antara. Contoh Pengendalian tingkat proses
meliputi:
Rekonsiliasi rekening pokok,
verifikasi fisik aset (seperti jumlah persediaan),
pengawasan dan kinerja karyawan Proses evaluasi,
penilaian risiko Proses-tingkat, dan
Pemantauan / pengawasan transaksi tertentu.
Pengendalian tingkat transaksi yang bahkan lebih rinci dan fokus
dalam Pengendalian tingkat proses

dan relatif mengurangi risiko

terhadap kelompok atau berbagai kegiatan tingkat operasional (tugas)

atau transaksi dalam suatu organisasi. Mereka dirancang untuk
memastikan bahwa operasional kegiatan, tugas, atau transaksi, serta
kelompok yang terkait kegiatan operasional (tugas) atau transaksi,

25 | I n t e r n a l C o n t r o l

secara akurat diproses secara tepat waktu. Contoh Pengendalian

transaksi-tingkat meliputi:
Otorisasi,
Dokumentasi (seperti dokumen sumber),
Pemisahan tugas, dan
pengendalian aplikasi TI (input, proses, output).
Pengendalian pokok dan Pengendalian Sekunder
Pengendalian juga dapat dikategorikan dalam hal penting.
Dengan demikian, Pengendalian dapat dikategorikan baik sebagai
Pengendalian pokok atau sebagai Pengendalian sekunder.
Sebuah Pengendalian (sering disebut sebagai pengendalian "primer")
dirancang untuk mengurangi risiko pokok yang terkait dengan tujuan
bisnis. Kegagalan untuk menerapkan dirancang secara memadai dan
efektif beroperasi Pengendalian pokok dapat mengakibatkan kegagalan
organisasi tidak hanya untuk mencapai tujuan bisnis penting tapi untuk
bertahan hidup.
Pengendalian sekunder adalah salah satu yang dirancang untuk
(1) mengurangi risiko untuk tujuan bisnis, atau (2) secara parsial
mengurangi tingkat risiko ketika Pengendalian tidak beroperasi secara
efektif. Pengendalian sekunder mengurangi tingkat risiko residual ketika
Pengendalian pokok tidak beroperasi secara efektif, tetapi tidak
memadai, dengan sendirinya, untuk mengurangi risiko pokok tertentu
untuk tingkat yang dapat diterima. Mereka biasanya bagian dari
kompensasi atau Pengendalian pelengkap.
Pengendalian Kesalahan
Pengendalian

kesalahan

dirancang

untuk

melengkapi

Pengendalian pokok yang tidak efektif atau tidak dapat sepenuhnya

mengurangi risiko atau kelompok risiko sendiri ke tingkat yang dapat
diterima dalam risk appetite yang ditetapkan oleh manajemen dan
dewan. Misalnya, pengawasan yang ketat di saat-saat pembagian tugas
yang memadai tidak dapat dicapai mungkin Pengendalian kesalahan.

26 | I n t e r n a l C o n t r o l

Pengendalian

tersebut

juga

dapat

membuat

cadangan

atau

menggandakan beberapa Pengendalian.

Seperti disebutkan sebelumnya, Pengendalian sekunder dan
Pengendalian kesalahan yang diperlukan ketika tombol Pengendalian
yang efektif tidak dapat diciptakan atau dirancang untuk mengurangi
risiko atau kelompok risiko dalam menetapkan risk appetite manajemen
yang memadai. Hal ini mungkin akibat dari keterbatasan ekonomi atau
kompleksitas operasional atau keduanya. Tidak peduli alasannya,
Pengendalian sekunder dan kesalahan yang diperlukan untuk yang tidak
ada tombol Pengendalian yang efektif ada. Seringkali, Pengendalian
kesalahan bekerja secara bersamaan dengan Pengendalian pokok
terkait atau overlaping, saat menjabat sebagai Pengendalian sekunder
untuk Pengendalian pokok tertentu.
Pengendalian pelengkap
Pengendalian pelengkap adalah Pengendalian yang diperlukan
yang tidak cukup dengan sendirinya untuk sepenuhnya mengurangi
risiko. Namun, bila dikombinasikan dengan satu atau lebih Pengendalian
lain, Pengendalian pelengkap yang membantu mengurangi risiko yang
mendasari untuk tingkat yang dapat diterima. Misalnya, pemisahan
tugas sering dianggap sebagai tombol Pengendalian. Memisahkan tugas
yang berkaitan dengan hak asuh kas dan pencatatan transaksi tunai
adalah contoh spesifik. Dengan menambahkan verifikasi independen
(misalnya,

rekonsiliasi

bank),

risiko

yang

mendasari,

seperti

penyalahgunaan kas, adalah jauh berkurang.

Sering, Pengendalian pelengkap dapat beroperasi di beberapa
proses dan risiko. Pada contoh rekonsiliasi bank tersebut di atas,
Pengendalian pelengkap ini bisa membantu mengurangi risiko lainnya,
termasuk risiko periodend cutoff dan risiko akurasi.
Preventif, Detektif, korektif, dan Pengendalian Directive
Seringkali, banyak Preventif yang berbeda dengan yang ada
disebut yang menjelaskan apa yang mereka dimaksudkan untuk

27 | I n t e r n a l C o n t r o l

melakukan upaya untuk membedakan antara mereka. Termasuk di sini

adalah daftar singkat dari jenis Pengendalian dan definisi mereka.
Sebuah Pengendalian preventif dirancang untuk mencegah
kejadian yang tidak diinginkan terjadi di tempat pertama. Karena sifat
dinamis

dan

kompleksitas

operasi bisnis

sehari-hari,

sulit untuk

merancang Pengendalian preventif yang baik ekonomis dan efisien.

Akibatnya, sebagian besar organisasi menggunakan Pengendalian
kesalahan dan Pengendalian detektif preventif ketika merancang kedua
sistem

yang

efektif

dan

efisien

Pengendalian

internal.

Contoh

Pengendalian preventif mencakup Pengendalian akses fisik dan logis,

seperti pintu terkunci dan Id pengguna dengan password yang unik.
Sebaliknya, Pengendalian detektif dirancang untuk menemukan
kejadian yang tidak diinginkan yang telah terjadi. Pengendalian detektif
harus terjadi secara tepat waktu (sebelum acara undeesirable telah
berdampak tidak dapat diterima negatif pada organisasi) akan dianggap
efektif. Contoh Pengendalian detektif termasuk kamera keamanan untuk
mengidentifikasi akses fisik anauthorized dan peninjauan log komputer
listing upaya akses yang tidak sah.
Pengendalian korektif adalah satu di mana terdeteksi kelalaian
dan kesalahan yang diperbaiki. Sebuah contoh dari Pengendalian
korektif adalah resolusi duplikat pembayaran ditandai oleh sistem
pengeluaran kas.
Pengendalian direktif, seperti namanya, memberikan arah yang
jelas tentang tindakan apa yang perlu dilakukan untuk menyebabkan
atau mendorong kegiatan yang diinginkan terjadi. Misalnya, petunjuk
perakitan produk memberikan arahan kepada individu yang terlibat
dalam proses produksi.
Pengendalian Sistem Informasi
Karena

ketergantungan

lazim

pada

sistem

informasi,

Pengendalian harus dilaksanakan untuk mengurangi risiko yang terkait

dengan sistem otomatis yang diperlukan untuk menjalankan bisnis inti
dari sebuah organisasi.
28 | I n t e r n a l C o n t r o l

Ada dua jenis Pengendalian sistem informasi yang dapat

digunakan untuk mengurangi risiko ini:
1. Pengendalian komputasi Umum. Ini "berlaku untuk banyak jika tidak
semua sistem aplikasi dan membantu memastikan melanjutkan,
operasi yang tepat".
2. Pengendalian Aplikasi. Ini "mencakup langkah-langkah komputerisasi
dalam perangkat lunak aplikasi dan prosedur manual yang terkait
untuk mengontrol pengolahan berbagai jenis transaksi.
Kedua jenis Pengendalian bekerja sama "untuk memastikan
kelengkapan, akurasi, dan validitas informasi keuangan dan lainnya
dalam sistem.
Pengendalian komputasi umum dianggap Pengendalian tingkat entitas
karena mereka berlaku di seluruh organisasi dan aplikasi komputer.
Pengendalian aplikasi, di sisi lain, yang paling sering dianggap tingkat
proses atau Pengendalian tingkat transaksi.
Seperti disinggung sebelumnya dalam bab ini, Pengendalian
tertentu dapat masuk ke dalam beberapa kategori sekaligus. Misalnya,
Pengendalian bisa menjadi kendali tingkat entitas pada saat yang sama
bahwa itu adalah tombol Pengendalian. Bahwa Pengendalian yang sama
juga bisa menjadi Pengendalian direktif. Ini tidak bisa, bagaimanapun,
menjadi kontrol Pengendalian sekunder atau Pengendalian tingkat
transaksi pada saat yang sama bahwa itu adalah tombol Pengendalian
dan Pengendalian tingkat entitas.
EVALUASI SISTEM Pengendalian INTERNAL
Seperti

disebutkan

sebelumnya,

manajemen,

di

bawah

kepemimpinan CEO, memiliki tanggung jawab utama untuk desain yang

memadai dan operasi yang efektif dari sistem pengendalian internal.
operasi yang efektif dan efisien, pelaporan keuangan yang dapat
diandalkan, dan kepatuhan terhadap hukum dan peraturan.
Auditor internal memainkan peran penting dalam verifikasi
bahwa manajemen telah memenuhi tanggung jawabnya. Awalnya,
manajemen

melakukan

penilaian

utama

pengendalian

internal,

menggunakan proses formal dikembangkan untuk tujuan itu. Maka

29 | I n t e r n a l C o n t r o l

Fungsi audit internal secara independen memvalidasi hasil manajemen.

Selain itu, laporan biasanya diserahkan ke panitia audit baik manajemen
senior atau chief Audit Executive (CAE) menguraikan hasil penilaian
manajemen

mengenai

kecukupan

desain

dan

efektivitas

sistem

organisasi pengendalian internal beroperasi.

Seperti yang ditunjukkan dalam Standar Internasional IIA untuk
Praktik Profesional Audit Internal (Standar), fungsi audit internal
bertanggung jawab untuk menilai Pengendalian organisasi (baik unsur,
atau keseluruhan, sistem pengendalian internal). Dalam mengevaluasi
keefektifan proses pengendalian organisasi, CAE mempertimbangkan
apakah:
perbedaan yang signifikan atau kelemahan (kekurangan)
ditemukan,
Koreksi atau perbaikan dilakukan setelah penemuan, dan
Penemuan dan konsekuensi potensi mereka mengarah pada
kesimpulan bahwa kondisi meresap ada yang mengakibatkan
tingkat risiko yang tidak dapat diterima (atau efektivitas
operasi).
Mendukung penyajian wajar lima asersi laporan keuangan dasar:
eksistensi atau kejadian,
Kelengkapan,
Hak dan kewajiban,
Penilaian atau alokasi, dan
Penyajian dan pengungkapan.
Tingkat

Entitas

dan

Pengendalian

tingkat

aktivitas

yang

dirancang khusus untuk memberikan keyakinan memadai bahwa tujuan

pelaporan eksternal tercapai dan asersi terkait dukungan manajemen
prossess elemen umum tertentu . Harus dirancang secara memadai dan
beroperasi secara efektif , Pengendalian ini harus membahas konsep
inisiasi , otorisasi , pencatatan , pengolahan , dan pelaporan . Seperti
disebutkan sebelumnya dalam bab ini , Pengendalian ini secara kolektif
disebut sebagai pengendalian internal atas pelaporan keuangan .

30 | I n t e r n a l C o n t r o l

The PCAOB diciptakan untuk menetapkan pedoman bahwa

auditor luar yang independen dan , secara tidak langsung , manajemen ,
harus mematuhi dalam rangka untuk memenuhi persyaratan pelaporan.
Sebagai tanggapan, pada 12 Juni 2007, PCAOB mengeluarkan Standar
Audit No 5 , Audit Pengendalian Internal Atas Pelaporan Keuangan yang
terintegrasi dengan audit atas laporan keuangan . Untuk pedoman
khusus tambahan , mengacu pada standar auditing Nomor 5 itu sendiri .

31 | I n t e r n a l C o n t r o l