SUMMARY CHAPTER 3

Aloysius Aryayuda Kendratama

I Gusti Ngurah Rayi Bhimantara W.
Muhammad Naufal Z.R.
Rayhan Baradi
Yunita Orchideni Panuju

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS INDONESIA
DEPOK
2016

PENTINGNYA KONTROL INTERNAL YANG EFEKTIF

Berdasarkan

definisi

Brink,

kontro

internal

adalah:

berbagai

proses,diimplementasikan oleh manajemen,yang dirancang untuk memberikan reasonable

assurance terkait:
_ Informasi Finansial dan operasional yang reliabel
_ Compliance terhadap policy, prosedur,hukum, peraturan,dan regulasi
_ Safeguarding Aset
_ Operasional yang efisien
_ Tercapainya misi, objektif and goals perusahaan
_ Integrity and ethical values
Walaupun atau bahkan dikarenakan luasnya definisi dari control internal, banyak
professional merasa sulit untuk benar-benar mengerti dan mengaplikasikan konsep dari
kontrol internal. Dalam kehidupan nyata,terdapat banyak sistem dan proses perusahaan,
misalnya kegiatan akuntansi, proses penjualan, dan sistem IT. Jika manajemen tidak
beroperasi atau mengerahkan proses-proses ini secara benar, maka perusahaan dapat carutmarut. Seluruh bagian dari perusahaan harus mengerti tentang sistem kontrol di area kerja
masing-masing dan memastikan bahwa bagian mereka beroperasi secara benar.
STANDAR PADA KONTROL INTERNAL: BACKGROUND
Sebelum akhir 1980an, belum ada penetapan yang konsisten mengenai kontrol
internal yang baik. Kode standar American Institute for Certified Public Accountants
(AICPA), bernama Statement on Auditing Standards (SAS No. 1), mendefiinisikan praktik
audit eksternal terhadap laporan keuangan di Amerika Serikat selama bertahun-tahun.
Definisi dari kendali internal telah berubah, namun diinterpretasikan lagi dalam tahun
berjalan. Namun, standar terdahulu AICPA menekankan bahwa sistem dari pengendalian
internal lebih dari sekadar permasalahan yang berhubungan dengan akuntansi dan laporan
keuangan, termasuk kendali administrasi. Sepanjang tahun 1970an, Securities and Exchange
Commission (SEC) dan AICPA mengeluarkan banyak definisi yang sedikit menyinggung dan
membedakan definisi kendali internal dengan mayoritas perusahaan audit eksternal yang
menyediakan banyak interpretasi dan garis besar pendukung.
Terjadinya skandal Watergate membawa jalan kepada 1997 Foreign Corrupt
Practices Act (FCPA) FCPA melarang praktik suap kepada pihak asing (non U.S) dan

menahan provisi terhadap perbaikan buku dan laporan-laporan termasuk sistem kendali
internal akuntansi.
FCPA signigikan, karena untuk pertama kalinya, manajemen dibuat bertanggung
jawab untuk keselarasan sistem dalam kendali internal akuntansi. Tindakan ini melibatkan
perusahaan untuk menjaga dan menyimpan buku, laporan, dan akun secara detail, akurat,
dan dapat merefleksikan transaksi dan pembuangan dari aset penjual. Sama dan lebih luas
dari peraturan Sarbanes-Oxley sekarang, kebutuhan pencatatan FCPA diterapkan kepada
semua perusahaan publik yang terdaftar dalam SEC. Sebagai tambahan, FCPA membutuhkan
perusahaan tersebut tetap mencatat laporan secara akurat dan terperinci secara masuk akal.
Setelah diterapkan, FCPA menghasilkan tindakan besar dalam penilaian dan
pendokumentasian sistem kendali internal dalam mayoritas perusahaan US. Perusahaan yang
selama ini tidak pernah secara formal mendokumentasikan prosedur kendali internal mulai
melakukan tindakan pemenuhan. Banyak perusahaan besar mengembangkan sistem
pendokumentasian berbasis kertas namun tidak membuat provisi, setelah selesai, untuk
memperbaharui mereka secara reguler. Disamping tindakan besar, tindakan hukum mengikuti
regulasi tidak nyata. Tidak ada yang datang menginspeksi dokumentasi yang dimandatkan
dalam aturan FCPA, dan sekarang FCPA sudah tidak dianggap relevan seperti dahulu kala.
FCPA masih berguna, namun sekarang bertindak sebagai hukum anti-korupsi dan anti-suap.
Ketika diterapkan pada tahun 1977, FCPA menekankan pentingnya kendali internal
yang efektif walaupun tidak ada definisi konsisten mengenai kendali internal pada waktu itu.
FCPA merupakan langkah pertama yang penting dalam membantu perusahaan untuk
memikirkan pentingnya kendali internal yang efektif, walaupun tidak ada garis besar atau
standar di dalam kebutuhan sistem dokumentasi FCPA

EVENTS LEADING TO THE TREADWAY COMMISSION

Meski FCPA mensyaratkan entitas untuk mendokumentasikan pengendalian internal
mereka, namun tidak ada pemahaman yang jelas dan konsisten mengenai apa yang dimaksud
dengan pengendalian internal yang baik. Selain itu, pada akhir 1970an, auditor eksternal
dalam laporannya hasil auditnya hanya menyebutkan bahwa sebuah laporan keuangan telah
disajikan secara wajar, namun tidak disertai dengan

laporan mengenai apakah laporan

keuangan yang mereka audit telah memenuhi prosedur pengendalian internal yang
disyaratkan oleh regulator. Itu juga karena meski FCPA mengharuskan entitas untuk

mendokumentasikan pengendalian internal mereka, namun mereka tidak meminta auditor

eksternal untuk membuktikan apakah entitas yang diperiksa telah mematuhi persyaratan
pelaporan yang diharuskan oleh FCPA. SEC pun kemudian memulai studi pada pengendalian
internal dan menerbitkan serangkaian laporan yang bertujuan mendefiniskan pengertian dari
pengendalian internal dan tanggung jawab auditor eksternal dalam hal pengendalian internal
Pada tahun 1974, AICPA membentuk komisi tingkat tinggi yang bertugas untuk
membahas mengenai tanggung jawab auditor pada pengendalian internal. Komisi yang lebih
dikenal dengan sebutan Komisi Cohen ini lalu membuat rekomendasi bahwa suatu
perusahaan harus memuat pernyataan mengenai kondisi pengendalian internal mereka
bersamaan dengan laporan keuangan mereka. Secara khusus, rekomendasi laporan tersebut
tidak secara tepat berisikan tentang apa yang dimaksud dengan pelaporan pengendalian
internal dan auditor eksternal merasa prihatin tentang adanya potensi kewajiban yang akan
datang dikemudian hari jika laporan mereka mengenai pengendalian internal memberikan
sinyal yang tidak konsisten yang dikarenakan oleh kurangnya pemahaman atas definisi
mengenai standar pengendalian internal. Perusahaan yang berbeda mungkin menggunakan
persyaratan yang berbeda pula mengenai pengendalian internal. Apabila auditor eksternal
perusahaan menyetujui asersi dari manajemen yang menyatakan bahwa kontrol perusahaan
mereka adalah memadai namun ternyata dikemudian hari terdapat permasalahan
pengendalian yang signifikan dalam perusahaan, maka auditor eksternal tersebut dapat
dikritisi dan bahkan dapat berurusan dengan hukum.
Eksekutif Keuangan Internasional (FEI) yang merupakan sebuah organsasi
profesional juga terlibat dalam kontrovesi pelaporan ini. Jika IIA adalah organisasi bagi
profesi auditor internal dan AICPA adalah organisasi bagi profesi auditor eksternal di
Amerika Serikat, FEI merupakan organisasi bagi pejabat keuangan senior perusahaan di
Amerika Serikat. Pada akhir 1970an, FEI mendukung

pengendalian

internal yang

direkomendasikan oleh Komisi Cohen dan menyetujui bahwa perusahaan harus melaporkan
status pengendalian internal mereka. Akibatnya, banyak perusahaan di Amerika Serikat yang
mulai membahas kecukupan pengendalian internal sebagai bagian dari asersi/ laporan
keuangan mereka.
Berdasarkan rekomendasi dari Komisi Cohen dan FEI, SEC kemudian mengeluarkan
proposal peraturan yang menyerukan mandat kepada manajemen untuk melaporkan sistem
pengendalian akuntansi internal perusahaan. SEC menyatakan bahwa informasi mengenai

efektivitas sistem pengendalian internal suatu entitas diperlukan bagi investor untuk dapat
mengevaluasi kinerja manajemen dan integritas dari sebuah laporan keuangan. Proposal SEC
ini kembali menimbulkan

kontrovesi di kalangan Direktur Utama (CEO) dan Direktur

Keuangan (CFO). Mereka merasa bahwa peraturan ini terlalu berat. SEC pun mengurungkan
niatnya untuk memberlakukan regulasi ini, namun SEC berjanji akan merilis regulasi ini di
kemudian hari.
a

Earlier AICPA Standards : SAS No 55

Sebelum hadirnya SOx, AICPA lah yang bertanggung jawab dalam hal standar audit

eksternal melalui Pernyataan Standar Auditing (SASs). Sebagaimana yang dibahas pada SAS
No. 1, standar ini membentuk dasar dari review auditor eksternal mengenai kewajaran
laporan keuangan yang dipublikasikan. Meskipun mereka membuat beberapa perubahan
selama kurun waktu 1970an hingga 1980an, namun AICPA sering dikritik karena standar
audit yang ada selama ini tidak memberikan bimbingan yang memadai baik bagi auditor
eksternal maupun pengguna laporan keuangan perusahaan. Masalah ini disebut dengan
kesenjangan harapan, karena standar akuntansi umum yang ada tidak memenuhi harapan
dari investor. Untuk menjawab kritik ini, AICPA merilis serangkaian SASs yang baru antara
tahun 1980 dan 1985. Ini termasuk SAS No.30 yang berisikan laporan tentang pengandalian
akuntansi internal yang memberikan panduan untuk terminology yang digunakan dalam
laporan pengendalian akuntansi internal. Namun, serangkaian SASs ini tetap masih tidak
memberikan banyak bantuan. Untuk itu, kemudian diterbitkanlah SAS No. 55 yang
mendefinisikan pengendalian internal dalam tiga unsur utama:

Lingkungan Pengendalian
Sistem Akuntansi
Prosedur Pengendalian

Hasilnya, SAS No 55 yang mulai berlaku efektif pada tahun 1990 merupakan langkah besar
karena menyajikan pendekatan yang berbeda, lebih luas, dan tepat untuk memahami
pengendalian internal daripada serangkaian SAS yang telah ada terdahulu, dan itu telah
memberikan dasar untuk banyak pemahaman berkelanjutan dari pengandalian internal serta
memberikan dasar bagi definisi laporan COSO.
b

Laporan Komite Treadway

Selama akhir 1970an dan awal 1980an, banyak perusahaan besar Amerika Serikat
yang menghadapi kegagalan yang dikarenakan oleh inflasi yang tinggi serta suku bunga yang
tinggi. Selain karena kedua hal tersebut, banyak perusahaan yang melakukan kecurangan
dengan melakukan manipulasi pada laporan keuangan mereka yang telah diaudit sehingga
berakibat pada kegagalan perusahaan. Beberapa anggota kongres pun menyiapkan proposal
peraturan untuk menyelesaikan permasalahan ini. Namun karena tidak ada hasil (proses
legislasi yang tidak kunjung usai) akhirnya Komisi Nasional Penipuan Pelaporan Keuangan
pun dibentuk. Komite ini dibentuk dari lima organisasi profesi, yaitu : IIA, AICPA, FEI,
AAA, dan IMA. Komisi ini kemudian disebut dengan Komisi Treadway.
Tujuan utama dari komisi ini adalah untuk mengidentifikasi faktor-faktor penyebab
yang memungkinkan kecurangan pelaporan keuangan dan membuat rekomendasi agar dapat
mengurangi insiden kecurangan pelaporan keuangan. Komisi ini pun pada akhirnya
menerbitkan laporan pada tahun 1987, termasuk rekomendasi kepada manajemen, dewan
direksi, profesi akuntan publik, dan lain-lain. Laporan ini menyerukan kembali mengenai
pelaporan manajemen tentang efektivitas sistem pengendalian internal dan menekankan
elemen kunci yang harus ada dalam sistem pengendalian internal, termasuk lingkungan
pengendalian, kode etik, komite audit yang kompeten dan terlibat, dan fungsi audit internal
yang kuat. Namun, laporan dari komisi ini lagi-lagi menunjukan kurangnya definisi yang
konsisten dari pengandalian internal.
Lima organisasi profesi audit dan akuntansi yang mengelola Komite Treadway dan
ditambah dengan spesialis dari luar kemudian dikontrak untuk sebuah proyek baru yaitu
menentukan konsep pengendalian internal. Pada kenyataannya, banyak upaya ini berlangsung
hampir secara paralel. Upaya dua puluh tahun ini mendefinisikan ulang pengendalian internal
sebagai dasar metodologi dan diuraikan secara terminology untuk kalangan bisnis dan
auditor. Hasilnya adalah hdirnya kerangka pengendalian internal COSO yang dibahas dalam
buku ini.

COSO
COSO, organisasi yang dibentuk oleh lima organisasi independen
untuk mengawasi terjadinya kecurangan dalam perusahaan. COSO
dibentuk juga untuk membantu perusahaan dan pimpinannya untuk
mengetahui batas dan larangan dalam kegiatan perusahaan. Dalam
pembentukannya, COSO dibentuk oleh lima organisasi independen, kelima
organisasi ini adalah

Institute of Management Accountants (IMA), the

American Accounting Association (AAA), the American Institute of Certified

Public Accountants (AICPA), the Institute of Internal Auditors (IIA), dan
Financial Executives International (FEI).
Dalam rangka menjalankan kegiatan utamanya, yaitu memberikan
petunjuk bagi manajemen perusahaan, COSO membentuk laporan untuk
kontrol

internal,

yang

disebut

dengan

Internal

Control-Integrated

Framework. Laporan ini lalu pada akhirnya menjadi standar untuk kontrol
internal dalam perusahaan untuk berbagai jenis bisnis. Munculnya COSO
dengan standar ini memudahkan pengertian dalam menjalankan apa yang
disebut dengan kontrol Internal. Mengutip dari COSO, kontrol internal
didefinisikan sebagai:
Internal control is a process, affected by an entitys board of directors,
management, and other personnel, designed to provide reasonable
assurance regarding the achievement of objectives in the following
categories:
> Effectiveness and efficiency of operations
> Reliability of financial reporting
> Compliance with applicable laws and regulations
Definisi dari COSO ini lalu dikembangkan menjadi sebuah model tiga
dimensi yang menjelaskan bahwa semua sistem dalam kontrol internal
terikat satu sama lain dan dapat dibagi menjadi tiga bagian besar. Model
ini dijadikan dasar dalam menjalankan kegiatan kontrol internal. Model ini
dapat dilihat sebagai berikut:

Dalam model ini dapat dilihat bahwa setiap lapisan memiliki efek pada
lapisan lainnya. Misalnya dalam melihat laporan keuangan akhir tahun,
auditor

perlu

untuk

melihat

lingkungan

perusahaan,

dan

mempertimbangkan risiko yang muncul.

Dalam melakukan pengamatan dari kontrol internal, seorang auditor perlu
untuk melihat dari lapisan paling bawah, dalam model yang diberikan dari
COSO, hal ini berarti lingkungan kontrol (Control Enviorment). Berikut ini
adalah penjelasan dari kontrol internal:
1. CONTROL ENVIRONMENT
Lingkungan kontrol adalah dasar dari semua lapisan kontrol internal
lainnya. Tanpa bagian ini perusahaan tidak akan memiliki kontrol yang

kuat untuk lapisan lainnya. Lingkungan ini penting karena merefleksikan

pandangan dan kesadaran manajemen pada pentingnya kontrol internal
dalam perusahaan. Dalam mengetahui komponen-komponen lingkungan
Control ini, auditor dapat melihat beberapa indikator yang memberikan
petunjuk dari lingkungan perusahaan ini, di antaranya adalah:
1 Integritas dan nilai etis
Apabila perusahaan memiliki integritas yang baik, maka semua komponen
stakeholder perusahaan akan memiliki kepercayaan bahwa perusahaan
dalam kondisi yang baik dan tidak berada dalam masalah. Nilai ini
biasanya berasal dari manajemen atas dan diterapkan ke elemen bawah.
Walaupun sebuah perusahaan mungkin memiliki integritas yang baik,
tetapi masih ada kemungkinan terjadinya hal yang tidak diinginkan yang
menyebabkan nilai ini tergerus, sebagai auditor, perlu diperhatikan
apabila terjadi beberapa hal berikut ini:
Kontrol tidak efektif terutama pada bagian yang perlu pembagian
tanggung jawab, bagian yang memiliki kemungkinan pencurian dan
menyembunyikan performa
Desentralisasi yang besar dengan kontrol pusat yang rendah
Internal audit yang lemah
Hukuman yang ringan dalam perusahaan
Dengan penetapan nilai yang besar ini, manajemen atas perlu secara
tegas menentukan integritas mereka, karena sebenarnya tergantung pada
manajemen atas.
2 Komitmen pada Kompetensi
Perusahaan harus meletakkan orang dengan kompetensi yang tepat di
tempat yang seharusnya. Apabila hal ini tidak dilakukan, maka akan ada
kemungkinan lubang kontrol. Meskipun demikian, menentukan apakah
seseorang kompeten pada bidangnya merupakan hal yang sulit
3 Dewan Direksi dan Dewan Audit
Dewan direksi seharusnya memiliki campuran antara internal dengan
eksternal. Sehingga tidak akan ada kemungkinan terjadinya konflik peran.
4 Filosofi Manajemen dan Cara Memimpin

Setiap pemimpin memiliki cara masing-masing dalam memimpin, ada

yang suka mengambil risiko dan ada yang memilih untuk tidak. Hal ini
membuat keputusan dalam perusahaan menjadi berbeda-beda dan
ditambah dengan industri yang berbeda-beda membuat kontrol internal
sangatlah

tergantung

pada

bagaimana

manajemen

membawa

perusahaan mereka
5 Struktur Organisasi
Bagaimana sebuah organisasi restruktur dapat mempengaruhi bagaimana
kontrol internal mereka. Hal ini dikarenakan struktur organisasi adalah
pendekatan perusahaan dalam membagi tugas dalam perusahaan dan
bagaimana mereka dapat mencapai tujuan mereka. Setiap bagian dari
perusahaan perlu tahu apa yang mereka kerjakan dan apa yang mereka
akan capai, dengan demikian miskomunikasi dapat diminimalkan dan
kontrol internal yang kuat dapat tercapai
6 Pemberian Tanggung Jawab dan Kekuasaan
Kurang lebih sama seperti struktur organisasi, COSO mengatakan bahwa
setiap komponen dalam perusahaan memiliki kejelasan tentang kekuatan
yang ia miliki dan bagaimana cara mengunakkan kekuatan tersebut.
7 Kebijakan Sumber Daya Manusia dan Prakteknya
Divisi HR memiliki kepentingan yang besar dalam menjaga masuknya
pihak yang kurang bertanggung jawab ke dalam perusahaan. Mereka
menjadi pendeteksi utama apabila ada kemungkinan terjadinya kesalahan
kontrol internal dalam perusahaan. Bidang yang perlu diperhatikan dalam
HR ini diantaranya adalah: Recruitment & Training, Orientasi karyawan
baru, Evaluasi promosi dan kompensasi, dan kedisiplinan
8 Perspektif lingkungan kontrol COSO
Control Environment dari COSO yang ada (bentuk balok) dapat juga
dibentuk

menjadi

bentuk

piramida.

Hal

ini

dengan

tujuan

untuk

menunjukkan bahwa Lingkungan pengendalian internal adalah bagian

paling besar dalam COSO Framework. Berikut ini adalah piramida dari
COSO framework:

2. PENILAIAN RISIKO
Memahami dan mengatur lingkup risiko adalah elemen dasar dari fondasi
pengendalian internal, dan perusahaan harus memiliki langkah proses
dalam mengevaluasi potensi risiko yang dapat menghambat tercapainya
tujuan perusahaan. Penilaian pengendalian internal COSO harus berupa
proses kedepan yang dilaksanakan di semua level dan aktivitas virtual
dalam suatu perusahaan; langkah penilaian ini sebagai berikut:
1 Mengestimasi signifikansi dari risiko
2 Menilai kemungkinan resiko terjadi
3 Mempertimbangkan bagaimana risiko di atasi dan tindakan apa
yang harus dilakukan.
Pengendalian internal COSO menekankan bahwa analisa resiko bukanlah
sekadar proses teoritis, namun penting bagi kesuksesan perusahaan.
Dalam menilai risiko yang terjadi, manajemen perlu menyadari bahwa
risiko yang kemungkinan terjadi bervariasi, karena itu COSO melihat dari
tiga perspektif:

Risiko Perusahaan akibat Faktor Eksternal

Risiko ini termasuk pengembangan teknologi yang dapat mempengaruhi

lingkungan dan timing dari riset produk baru dan pengembangan
terhadap perubahan dalam proses pembelian. Faktor eksternal lain
termasuk berubahnya perilaku/ekspektasi konsumen, penetapan harga,
jaminan, atau aktivitas servis. Perubahan peraturan dapat memaksa
perubahan pula dalam kebijakan operasi dan strategi. Lebih lanjut
dijelaskan di Chapter 6 mengenai COSO ERM Framework

Risiko Perusahaan akibat Faktor Internal

Contoh dari risiko ini seperti gangguan IT server perusahaan atau

manajemen data yang dapat secara signifikan mempengaruhi operasi
secara keseluruhan. Kualitas pegawai yang di rekrut, termasuk pelatihan
dan

motivasi,

dapat

mempengaruhi

pula

level

kendali

di

dalam

perusahaan. Sebagai tambahan, keterbatasan akses pegawai terhadap

aset dapat menimbulkan misapropriasi sumber daya.

Risiko Tingkatan-aktivitas yang Spesifik

Selain dipandang sebagai tingkatan perusahaan, risiko juga harus

dipertimbangkan

dalam

tiap

aspek

dan

aktivitas

bisnis,

seperti

pemasaran, IT, dan keuangan. Aktivitas ini dinilai berkontribusi terhadap

tingkatan perusahaan dan sudah seharusnya diidentifikasi dalam basis
keseharian yang dapat terpengaruhi oleh risiko pula. Ketika proses
penilaian risiko dalam suatu perusahaan tidak nyata, auditor internal
harus menganggap ini sebagai kekurangan proses forma sebagai bagian
dari penilaian internal kontrol secara keseluruhan
Implementasi proses kerap kali menujukkan penilaian risiko, namun inti
dari penilaian itu masih kurang. Contoh, persetujuan otorisasi atas suatu
barang baru mungkin melibatkan kotak seleksi untuk mendeskripsikan
risiko terkait produk tersebut. Manajemen lokal mungkin secara konsisten
menilai rendah, tanpa analisa lebih jauh sampai akhirnya suatu
kegagalan besar terjadi (samsung).
Karena itu, internal auditor disini berperan penting dalam menginvestigasi
dan menganalisa alasa dibalik penilaian setiap manajerial ini.

3. KONTROL AKTIVITAS
Kontrol

aktivitas

Komunikasi,

ini

diarahkan

merupakan

sebagai

kebijakan

dan

komponen
prosedur

Informasi

yang

dan

membantu

memastikan akan tindakan pengendalian risiko terjalan dengan penuh dan

baik, mengikuti cakupan kontrol aktivitas yang luas. Konsep dari
pengendalian

aktivitas

adalah

bagian

esensial

dari

pembangunan

kemudian menjalankan kontrol internal yang efektif sebagai perusahaan.

Menurut

perspektif

internal

audit,

pengendalian

internal

COSO

mengidentifikasi aktivitas-aktivitas menurut tipe prosesnya.

(i) Tipe Pengendalian Aktivitas:

Top-level reviews : Pengendalian oleh manajemen dan auditor

internal dari berbagai level. Manajemen mem-follow up hasil
dari

top-level

review

dan

mengambil

tindakan

yang

merepresentasikan pengendalian aktivitas.

Direct

Functional

or

activity

management

Tindakan

manajemen yang cepat dalam pengambilan solusi sebagai

bentuk tindakan korektif dari sistem pengendalian.

Information Processing : Sistem IT yang mengandung banyak

kontrol dimana sistem secara internal mengecek pemenuhan
suatu area kemudian melaporkan adanya permasalahan
pengendalian internal. Permasalahan ini kemudian dicari
solusi melalui prosedur otomatis berdasarkan sistem, personel
operasi, atau manajemen.

Physical Controls : Pemeriksaan fisik (aset fisik, inventori,

sekuritas) melalui program pemeriksaan aktif.

Performance indicators : Proses penyamaan data secara

operasional

dan

finansial,

sebagai

dasar

pengambilan

tindakan. Proses ini penting dalam pengendalian pemenuhan

kebutuhan pelaporan operasional dan finansial

Segregation of Duties : Pembagian kerja/tugas yang merata

untuk menghindari risiko error atau pengambilan tindakan
yang salah.

Pengendalian aktivitas ini termasuk dalam laporan pengendalian COSO

namun hanya merepresentasikan sedikit angka dari banyak kontrol
aktivitas dalam jalan bisnis yang normal. Hal ini bertujuan untuk menjaga
perusahaan dalam jalur pencapaian tujuan perusahaan. Menurut COSO,
pengendalian internal, tidak cukup hanya disalurkan secara oral, namun
bagaimana

dapat

diterapkan

dalam

pemikiran,

kesadaran,

dan

konsistensi secara penuh.

(ii) Integrasi Pengendalian Aktivitas dengan Penilaian Risiko.
Pengendalian

internal

merupakan

suatu

proses,

dan

pengendalian

aktivitas yang wajar sudah sepantasnya ada untuk mengidentifikasi

resiko. Pengendalian aktivitas ini harus selalu terpantau dan selalu ada,
bukan hanya ketika suatu kasus muncul. Semua pengendalian aktivitas
internal harus berkontribusi terhadap keseluruhan struktur.
(iii) Kendali atas Sistem Informasi
COSO menekankan bahwa prosedur pengendalian dibutuhkan di seluruh
bagian

sistem

informasi/IT,

terutama

yang

bersangkutan

dengan

keuangan, operasi, dan pemenuhan. COSO memisahkan pengendalian

sistem informasi menjadi general dan pengendalian aplikasi. Pengendalian
general mengusung fungsi dari IT untuk membantu pengendalian secara
merata di semua prosedur, sedangkan pengendalian aplikasi spesifik
mengatur dalam proses IT (contoh : pengendalian jam lembur)
COSO perlu mempertimbangkan dampak dari perkembangan teknologi
yang cepat ketika mengevaluasi pengendalian aktivitas sistem informasi,
karena muncul risiko perubahan dalam kontrol IT. Walau begitu, COSO
tetap menggaris-bawahi pentingnya kendali IT sebagai suatu kepentingan
dalam lingkungan pengendalian kontrol internal secara keseluruhan.

4. Komunikasi dan Informasi

Informasi dan komunikasi berdasarkan tabel piramida komponen COSO,

menunjukkan adalah sebagai elemen samping yang berhubungan, namun
berbeda komponen dengan kerangka pengendalian internal. Informasi
yang wajar, didukung oleh sistem IT, harus dikomunikasikan dalam
perusahaan baik secara keatas maupun kebawah dalam suatu tata cara
dan waktu agar orang-orang dapat menjalankan tanggung jawabnya
dengan baik; maka prosedur yang efektif harus dibuat agar komunikasi
terhadap pihak internal maupun eksternal dapat tercipta.
(i) Hubungan dari Informasi dengan Pengendalian Internal
Perusahaan membutuhkan semua level informasi untuk
mencapai tujuan operasional, finansial, dan pemenuhan;
karena itu COSO mengambil pendekatan luas terhadap
konsep sistem informasi dimana sistem dapat berupa
manual, otomatis, maupun konseptual, yang kemudian
digunakan untuk memahami kebutuhan yang dibutuhkan
perusahaan dalam mencapai tujuannya.
Sistem yang strategis dan terintegrasi dibutuhkan agar
perusahaan

dapat

menyesuaikan

dan

menyokong

supporting process agar seimbang dengan proses aktivitas

lainnya.

Peran

menyarankan
perencanaan,

COSO,

dalam

manajemen
desain,

dan

sistem

untuk

strategis,

adalah

mempertimbangkan

implementasi

dari

sistem

informasi sebagai bagian dari strategi perusahaan; yang

kemudian membawa misi perusahaan secara keseluruhan.
Kualitas informasi juga masuk dalam laporan COSO, dimana
informasi

yang

ketidaklengkapan,

penuh
akan

dengan

kesalahan

mempengaruhi

dan

pengambilan

keputusan manajemen yang jelek, yang berarti tingginya

risiko yang mungkin terjadi. Untuk menentukan kualitas dari
suatu informasi, seorang harus menilai apakah:
Informasi yang dilaporkan wajar dan pantas

 Informasi sesuai waktu dan ada ketika diperlukan

Informasi tergolong baru
Data dan Informasi benar
Informasi

dapat

diakses

oleh

pihak-pihak

yang

berkewenangan.
(ii) Aspek Komunikasi dari Pengendalian Internal.
Komunikasi didefinisikan sebagai elemen terpisah dalam kerangka COSO.
COSO menekankan bahwa komunikasi harus berada dalam level luas,
agar

tiap

individu

dapat

menjalakan

tanggungjawab

pemenuhan

keuangan dan operasi. Walau komunikasi memiliki banyak dimensi, COSO

membagi

komponen

menjadi

komunikasi

internal

dan

komunikasi

eksternal.
Internal : menurut COSO, komponen terpenting dari komunikasi
sebagai elemen adalah dimana stakeholders menerima pesan dari
manajemen senior mengingatkan tanggung jawab mereka dalam
pengendalian

internal.

Semua

stakeholder

harus

mengetahui

batasan ketika tindakan mereka dapat tidak etis, ilegal, atau tidak
pantas. Karena itu menurut COSO komunikasi harus berjalan dua
arah,

dan

menekankan

bahwa

stakeholder

harus

memiliki

mekanisme tersendiri untuk melapor keatas dalam perusahaan.

Pelaporan ini memiliki dua komponen, yaitu komunikasi melalui
proses normal, dan proses spesial dan rahasia. Pelaporan normal
mengacu

pada

proses

dimana

stakeholder

melapor

adanya

kesalahan atau permasalahan melalui supervisor.

Eksternal : Perusahaan perlu menjalin hubungan kepada pihak luar
sebagai bentuk pertanggungjawaban publik. Seperti komunikasi
Internal, harus berjalan dua arah. Informasi yang diberikan kepada
pihak luar ini harus relevan dengan yang dibutuhkan untuk
membangun pemahaman perusahaan terhadap tantangan yang
akan dihadapi. Selain itu, komunikasi eksternal dapat menjadi
langkah penting untuk mengidentifikasi masalah pengendalian.
Pada akhirnya, COSO menyimpulkan elemen komunikasi : Sebuah entitas
dengan sejarah operasi yang panjang dan kaya, dan budaya mana yang

dimengerti

oleh

orang,

akan

menjumpai

sedikit

masalah

dalam

mengkomunikasikan pesan. Entitas tanpa tradisi tersebut akan memiliki

kesusahan dalam penyampaian pesan.
5. Monitoring
Pada dasarnya setiap tindakan aktivitas pengendalian internal harus ada
yang

mengawasi

pandangan

yang

agar

sesuai

lebih

luas

dengan

jalannya.

COSO

mengenai pengawasan,

mengambil

karena

COSO

menyadari bahwa prosedur pengendalian dan sistem lainnya berubah dari

waktu ke waktu. Suatu perusahaan perlu menjalani fungsi pengawasan
yang variatif agar dapat mengukur keefektivan dari pengendalian internal,
dan hal ini dapat dicapai melalui evaluasi berjalan dan pengambilan
tindakan saat dibutuhkan.
(i) Pengawasan Aktivitas Berjalan, contoh menurut COSO:

Fungsi normal manajemen operasi

Komunikasi dari pihak eksternal

Struktur perusahaan dan aktivitas supervisor

Inventori fisik dan rekonsiliasi aset

(ii) Evaluasi Pengendalian Internal Terpisah

COSO

menekankan

melakukan

bahwa

perubahan

walaupun

dalam

manajemen

lingkungan

ingin

pengendalian

internal secara periodik, internal audit harus melakukan

banyak ulasan untuk menilai kontrol area yang spesifik, dan
ulasan ini dapat dilakukan oleh manajemen secara langsung
melalui self-assessment reviews berdasarkan basis reguler.
Ulasan

berbasis

internal

dapat

memunculkan

potensi

permasalahan kendali dan membuat manajemen operasi

mengambil

tindakan

korektif.

Adapun

ulasan

ini

tidak

sekomprehensif ulasan internal audit, maka perlu dilakukan

follow up dengan pihak internal audit.
Panduan COSO terhadap proses evaluasi sistem kontrol
(proses

internal

audit),

adalah

evaluator

harus:

(1)

mengembangkan pemahaman mengenai desain sistem, (2)

Tes

kunci

pengendalian,

(3)

menghasilkan

kesimpulan

berdasarkan hasil tes. Pendekatan alternatif lainnya adalah

melalui benchmarking.
COSO menyadari banyak prosedur yang efektif bersifat
informal dan tidak terdokumentasikan, namun dapat di tes
dan dievaluasi selayaknya yang terdokumentasi. Apabila
suatu

proses

yang

telah

ada

bersifat

informal,

tidak

terdokumentasikan, namun diakui efektif, tim pengulas perlu

menyiapkan

dokumentasi

evaluasi

tersendiri

untuk

menjelaskan bagaimana proses tersebut bekerja dan dasar

dari pengendalian internalnya.
(iii) Kekurangan dalam Pelaporan Pengendalian Internal
Ketika terdapat kekurangan kendali internal setelah melalui proses
identifikasi, pada hakekatnya perlu dilaporkan kepada pihak perusahaan
yang berwenang. COSO menyarankan bahwa keseluruhan proses audit
internal perlu diidentifikasi dan dilaporkan sedetail-detailnya untuk
diinvestigasi lebih lanjut untuk memahami apakah kesalahan identifikasi
selama ini disebabkan oleh kontrol itu sendiri. Panduan COSO kemudian
menyimpulkan dan menyediakan panduan yang berguna untuk evaluasi
dalam satu paragraf:
Penemuan dari kekurangan pengendalian internal biasanya dilaporkan
kepada tidak hanya mereka yang bertanggungjawab terhadap fungsi atau
aktivitas yang terkait untuk pengambilan tindakan korektif, namun juga
setidaknya pada satu level manajemen diatas pihak langsung yang
bertanggung jawab. Proses ini memungkinkan pihak tersebut untuk
menyediakan bantuan yang dibutuhkan atau pantauan untuk mengambil
tindakan korektif, dan untuk mengkomunikasikan dengan yang lainnya di
perusahaan

yang

aktivitasnya

terpengaruhi.

Dimana

penemuan

memotong batasan organisasi, pelaporannya sendiri harus memotong

dan disampaikan kepada pihak yang lebih tinggi untuk menjamin
tindakan yang lebih benar.
OTHER

DIMENSIONS

FRAMEWORK

OF

THE

COSO

INTERNAL

CONTROLS

Seperti yang kita ketahui dalam penjelasan sebelumnya bahwa

kerangka kerja pengendalian internal COSO mempunyai tiga dimensi.
Dimensi yang pertama adalah dimensi bagian depan kubik yang meliputi
aktivitas pengendalian. Dimensi yang kedua adalah dimensi kubik sisi
kanan yang meliputi entitas atau kegiatannya, dan yang ketiga adalah
dimensi kubik bagian atas yang meliputi tiga dimensi dari pengendalian
internal yaitu , keuangan kehandalan pelaporan, dan kepatuhan terhadap
peraturan.
Masing-masing dari aktivitas pengendalian yang ada pada dimensi
kubik bagian depan haruslah dipertimbangkan dengan dua dimensi
lainnya. Dengan melakukan pertimbangan dengan dimensi sebelah kanan
kubik, maka pengendalian internal harus dipasang dan dievaluasi di
seluruh unit dalam perusahaan. Namun, ini tidak berarti bahwa aktivitas
pengendalian, seperti proses persetujuan pengeluaran, harus seluruhnya
identik dalam semua unit organisasi, seperti antara kantor pusat
perusahaan dengan kantor penjualan di lokasi terpencil. Akan tetapi harus
ada satu set proses pengendalian yang konsisten di seluruh bagian
perusahaan dengan pertimbangan yang ditentukan oleh risiko relative dan
lingkup operasi. Pengendalian internal ini selain harus konsisten, juga
harus dapat diterapkan secara tepat di unit operasi individu.
Dimensi bagian atas dari kerangka pengendalian internal COSO
bahkan

lebih

signifikan.

Dimensi

ini

mengatakan

bahwa

kegiatan

pengendalian internal harus dipasang di semua unit operasi dan harus

mencakup

tiga

faktor

pengendalian

internal:

efektifitas,

keuangan

kehandalan pelaporan, dan kepatuhan terhadap peraturan. Melihat kontrol

internal dari sudut pandang tiga dimensi ini, mungkin kita melihat
terdapat beberapa variasi, namun terdapat kerangka pengendalian yang
mendasar dan konsisten di situ. Seperti yang kita ketahui bahwa terdapat
beberapa perbedaan antara kantor cabang perusahaan dengan kantor
pusat, terutama pada perusahaan besar yang mempunyai kantor cabang
dengan jarak yang jauh dan bahkan berada di belahan bumi yang lain dari
kantor pusat. Perbedaan tersebut
regulasi

negara

yang

seperti fasilitas di daerah sekitar,

bersangkutan

dan

lain

sebagainya.

Namun,

pengendalian internal tetap harus dilaksanakan dengan cara yang

tentunya akan menjamin kehandalan dari laporan keuangan sebagai
bentuk pelaporan kepada kantor pusat.
Semua pengendalian internal COSO harus dipertimbangkan dalam
tiga dimensi COSO yang ada pada kubus COSO, di mana pun mereka
diterapkan di suatu perusahaan. Kerangka pengendalian internal COSO ini
telah menjadi standar penting untuk membangun dan mengembangkan
pengendalian

internal

yang

efektif.

Ini

merupakan

proses

yang

berkesinambungan di masing-masing tiga dimensi.Pengendalian internal

yang efektif harus dipasang di semua tingkat unit organisasi, dan masingmasing kontrol harus peka terhadap tiga unsur pengendalian yang ada.
INTERNAL AUDIT CBOK NEEDS
Pernah mendengar atau bahkan mengikuti studi CBOK (Common body of
knowledge).? Pengendalian internal COSO berbeda dengan perspektif
audit internal dari CBOK. Kerangka COSO telah menjadi standar global
untuk membangun dan mengevaluasi semua level dari pengendalian
internal. Semua auditor internal harus memahami pendekatan tiga
dimensional

ini

untuk

mengawasi

dan

mengevaluasi

pengendalian

internal. .
CONTOH

PENGGUNAAN

COSO

FRAMEWORK

OLEH

INTERNAL

AUDITOR
Judul

case:

Superior

Foods:

Case

Study

in

COSO

Risk

Assessment
Oleh Marla Kraut, University of Idaho, Hugh D. Pforsich, California
State University, Sacramento

Superior Foods adalah perusahaan waralaba yang memiliki visi untuk

menyediakan bahan makanan berkualitas, dengan toko yang bersih,
namun juga dengan harga yang terjangkau. Usaha ini dimulai pada tahun
1949, dan terus berkembang. Sekitar pada tahun 1980-an, Superior Foods
telah memiliki 200 cabang toko.

Superior Foods belum memiliki divisi Internal Auditor hingga pada tahun
1994. Direktur divisi Audit Internal, merupakan mantan auditor eksternal
perusahaan tersebut Greg Johnson. Ia diangkat pada bulan Oktober 1993.
Dikarenakan Johnson sudah amat berpengetahuan akan resiko bisnis
perusahaan.
Johnson kemudian merancang rencana proses risk assessment yang
komprehensif, berjalan terus, yaitu sebagai berikut:

Berdasarkan

COSO

Report

dan

persetujuan

manajemen,

Johnson

bermaksud merancang risk assessment process dalam dual level, yaitu

entity-wide assessment level, dan business unit assessment level.
Kemudian diidentifikasi dalam melaksanakan entitiy-wide assessment
level bahwa tersdapat delapan faktor yang mungkin membawa resiko
perusahaan yang tinggi, yaitu:

Sementara itu, terdapat beberapa resiko juga yang terdapat pada

Business-Unit-Assessment Process. Demikianlah yang diiddentifikasikan
oleh Johnson:

Setelah diidentifikasi, kemudian kita dapat mulai menyusun beberapa

jenis resiko dan kontrol dari resiko tersebut, yaitu sebagai berikut:

Demikian, adalah hasil Risk-Assessment dan formulasi strategi dan

kebijakan yang memungkinkan untuk diambil agar dapat mengontrol
resiko perusahaan. Johnson, sebagai auditor internal juga bertugas untuk
kemudian mengkomunikasian hasil dari Risk-Assessment ini kepada divisi
terkait. Proses ini juga disarankan untuk dilakukan secara periodis untuk
dapat

lebih

mengetahui

langkah-langkah

yang

sebaiknya

diambil

perusahaan terutama terkait dengan kontrol internalnya.

BIBLIOGRAFI
JOURNAL OF THE INTERNATIONAL ACADEMY FOR CASE STUDIES
Robert Mueller, Brinks Modern Internal Auditing. 7th ed. Sawyer. 2009