PENGAUDITAN INTERNAL

Internal Control Framework: The COSO Standard

OLEH

RAFIQA RAHMAH 1410531021

DELVI AGITYA 1410532044

PRAMUDIA YOLANDA 1410532045

JURUSAN AKUNTANSI FAKULTAS EKONOMI

UNIVERSITAS ANDALAS

2017
 INTERNAL CONTROL FRAMEWORK: THE COSO STANDARD

Prinsip dasar audit internal yakni memahami dan mengimplementasikan pengendalian internal
secara efektif. Dan kegiatan audit internal melibatkan evaluasi dan penilaian beberapa tingkat
pengendalian.

Bagi auditor eksternal, mereka menyukai istilah pengendalian internal sedangkan auditor internal
menyukai istiliah pengendalian saja. Konsep ini telah menjadi fokus dan kegiatan utama bagi
auditor internal dan manajer bisnis. Namun, ia tidak mempunyai definisi yang jelas sebelum
tahun 1970 an, ketika serangkaian acara di Amerika Serikat menyebabkan perkembangan dan
pelepasan kerangka kerja pengendalian internal Committee of Sponsoring Organizations
(COSO). Pertama diakui untuk menilai pengendalian internal oleh auditor eksternal Amerika
Serikat adan kemudian sebagai standar untuk membangun dan mengukur pengendalian internal
dibawah Sarbanes-Oxley Act (SOx), kerangka kerja pengendalian internal COSO telah menjadi
standar dunia untuk membangun dan menilai pengendalian internal. Pemahaman umum
mengenai kerangka kerja pengendalian internal COSO dan elemen-elemennya ialah persyaratan
kunci CBOK untuk semua auditor internal.

A. Importance of Effective Internal Controls

Pengendalian internal hal terpenting dan dasar yang profesional-profesional bisnis pada semua
level dan auditor internal maupun eksternal harus pahami. Profesional-profesional bisnis
membangun dan menggunakan pengedalian internal. Auditor meninjau kembali area keuangan
dan operasional dalam perusahaan dengan tujuan mengevaluasi pengendalian internal.

Pengendalian internal adalah proses, pengimplementasian oleh manajemen yang didesain untuk
menyediakan jaminan untuk :

Informasi operasional dan keuangan yang handal

Ketaatan kebijakan dan prosedur
Pengamanan aset
Efisiensi operasional
Ketercapaian sebuah misi dan tujuan yang matang untuk program dan operasi perusahaan
Nilai integritas dan etik

Pengendalian internal tidak sebatas masalah akuntansi dan keuangan namun mencakup semua
proses perusahaan. Maka dikatakan memiliki pegendalian internal jika :

Mencapai tujuan dengan cara yang etis

Menghasilkan data yang akurat dan percaya
Sesuai dengan kebijakan dan hukum yang berlaku di perusahaan
Tersedianya keperluan efisiensi dan ekonomis sumber daya
Menyediakan pengamanan aset
The Institute of Internal Auditors (IIA) mendefinisikan control as :

Any action taken by management, the board, and other parties to manage risk and increase the
likelihood that established objectives and goals will be achieved. Management plans, organizes,
and directs the performance of sufficient actions to provide reasonable assurance that objectives
and goals will be achieved

Manajemen bertanggungjawab membangun dan mengelola pengendalian ini, dan auditor internal
menilai efektivitas dan membuat rekomendasi yang sesuai.

B. Internal Controls Standards: Background

Definisi pengendalian internal sekarang berbeda dengan dahulu. Istilah ini telah berubah dan
kemudian ditafsirkan kembali. Namun dari awal AICPA telah menekankan bahwa sistem
pengendalian internal tidak hanya tentang akuntansi dan laporan keuangan, juga mengenai
pengendalian administrasi.

Internal control comprises the plan of enterprise and all of the coordinate methods and
measures adopted with a business to safeguard its assets, check the accuracy and
reliability of its accounting data, promote operational efficiency, and encourage
adherence to prescribed managerial policies (Statement on Auditing Standars No
1/SAS) oleh American Institute of Certified Public Accountants (AICPA), digunakan oleh
Securities Exchange Commision (SEC)

Kemudian dimodifikasi untuk menambahkan pengendalian akuntansi dan administrasi.

[Accounting control] comprises the plan of enterprise and the procedures and records
that are concerned with the safeguarding of assets and the reliability of financial records
and consequently are designed to provide reasonable assurance that:

a. Transactions are executed in accordance with managements general or specific

authorization.
b. Transactions are recorded as necessary (1) to permit preparation of financial
statements in conformity with generally accepted accounting principles or any
other criteria applicable to such statement and (2) to maintain accountability for
assets.
c. Access to assets is permitted only in accordance with managements
authorization.
d. The recorded accountability for assets is compared with the existing assets at
reasonable intervals and appropriate action is taken with respect to any
differences.

Klarifikasi pada standar-standar AICPA pra 1988

 The foregoing definitions are not necessarily mutually exclusive because some of the
procedures and records comprehended in accounting control may also be involved in
administrative control. For example, sales and cost records classified by products may be
used for accounting control purposes and also in making management decisions
concerning unit prices or other aspects of operations. Such multiple uses of procedures
or records, however, are not critical for the purposes of this section because it is
concerned primarily with clarifying the outer boundary of accounting control. Examples
of records used solely for administrative control are those pertaining to customers
contacted by salesmen and to defective work by production employees maintained only
for evaluation personnel per performance

1. Internal Control Definitions : Foreign Corrupt Practices Act of 1977

Skandal akuntansi atas Enron dan lainnya mengantarkan SOx kepada 1972 dimana
banyak tindakan ilegal ditemukan. Oleh karena itu, FCPA melarang suap pejabat asing
dan memberikan ketentuan yang mensyaratkan pencatatan dan keakuratan serta sistem
pengendalian akuntansi internal. Dengan ketentuan yang berlaku untuk hampir semua
perusahaan AS dengan efek SEC terdaftar, aturan pengendalian internal FCPA ini
berdampak baik terutama untuk auditor internal dan eksternal. Menggunakan terminologi
yang diambil langsung dari undang-undang, FCPA mengisyaratkan bahwa peraturan SEC
perusahaan harus :

Make and keep books, records, and accounts, which, in reasonable detail, accurately and
fairly reflect the transactions and dispositions of the assets of the issuers.
Devise and maintain a system of internal accounting controls sufficient to provide
reasonable assurances that:
o Transactions are executed in accordance with managements general or specific
authorization.
o Transactions are recorded as necessary both to permit the preparation of
financial statements in conformity with generally accepted accounting principles
(GAAP) or any other criteria applicable to such statements, and also to maintain
accountability for assets.

Access to assets is permitted only in accordance with managements general or specific

authorization.
The recorded accountability for assets is compared with the existing assets at reasonable
intervals, and appropriate action is taken with respect to any differences.

2. FCPA Aftermath : What Happened?

Ketika diberlakukan tahun 1977, FCPA menekankan pada pentingnya pengendalian internal
efektif walaupun belum ada definisi jelas saat itu mengenai apa itu pengendalian internal. FCPA
memberikan poin tinggi pada pentingnya pengendalian internal dan ketentuan antisuap. FCPA
merupkan langkah penting yang utama sekali untuk membantu perusahaan berpikir tentang
kebutuhan akan pengendalian internal yang efektif, meskipun standar tersebut belum terbentuk
jelas. Segala bentuk pengendalian internal dan bentuk dokumentasi yang diperlukan banyak
ditiru dan diikuti perusahaan atau organisasi. Namun tidak ada yang memeriksa dokumen
tersebut, sehingga FCPA hanya dikenal sebatas ketentuan antisuap. Lalu kita memiliki Sox untuk
memeperjelas standar tersebut dalam upaya memberikan hal lebih untuk dokumentasi kepatuhan
pengendalian internal yang telah dirancang FCPA.

C. Events Leading to the Treadway Commission

Akhir 1970, auditor eksternal hanya melaporkan bahwa laporan keuangan perusahaan
telah disajikan dengan wajar, tidak menyebutkan kecukupan prosedur pengendalian
internal yang mendukunglaporan keuangan telah diaudit. Disini FCPA tidak meminta
auditor eksternal memeriksa apakah perusahaan telah patuh pada persyaratan pelaporan
pengendalian internal FCPA.

Lalu SEC memulai studi mengenai kecukupan pengendalian internal dan menerbitkan
seri-seri laporan setelah sepuluh tahun mendefinisikan makna pengendalian internal da
tanggungjawab auditor eksternal.

Pada 1974, AICPA membentuk sebuah komisi dalam pertanggungjawaban auditor

tingkat tinggi, yang dikenal sebagai Cohen Commission (1978). Ialah sebuah laporan
kondisi pengendalian internal perusahaan yang harus disyaratkan ke laporan keuangan.
Rekomendasi laporan terseut tidak tepat pada apa yang dimaksud pelaporan pada
pengendalian internal. Laporan Cohen Commission menyerukan opini audit atas
kewajaran asersi pengendalian manajemen dalam surat pengendalian internal laporan
keuangan

Akhir 1970an, Financial Executive Internasional (FEI) mendukung rekomendasi

pengendalian internal Cohen Commission dan menyetujui bahwa perusahaan harus
melaporkan status pengendalian internal akuntansi mereka. Hasilnya, banyak perusahaan
di Amerika Serikat mulai mendiskusikan kewajaran pengendalian internal sebagai annual
report management letter. Management letter ini hanya lepas saja dan tidak mengikuti
format. Didalamnya ada Negative Assurance, mengindikasikan tidak ada masalah yang
dtemui.

Menggunakan antara rekomendasi Cohen Commission dan FEI, SEC kemudian mengeluarkan
aturan yang diusulkan menyerukan laporan manajemen wajib pada sistem pengendalian
akuntansi internal entitas.
1. Earlier AICPA Standars: SAS No.55

Sebelum SOx, AICPA bertanggung jawab untuk menerbitkan standar audit eksternal
melalui Statements on Auditing Standars (SASs). AICPA menerbitkan serangkaian SASs
baru dalam standar audit pengendalian internal anatra 1980 dan 1985. Termasuk SASs
No 30, Reporting Internal Acconting Control, yang memberikan paduan untuk
terminologi dalam laporan pengendalian akuntansi internal. Lalu ada SASs No 55,
Consideration of the Internal Control Structure in a Financial Statement Audit, standar
baru lain yang mendefinisikan pengendalianinternal dalam istilah dari 3 elemen kunci :

- Control environment
- Accounting system
- Control procedures

SASs No 55 mendefinisikan pengendalian internal dengan cara yang jauh lebih luas
daripada tipe auditor eksternal dan menyediakandasar untu pendefinisian laporan COSO.
Efektif pada 1990 dan mewakili terobosan besar menuju ketersdiaan definisi yang tepat
tentang pengendalian internal.

2. Treadway Committee Report

Pada akhir 1970an dan awal 1980an, banyak perusahaan besar Amerika Serikat
mengalami kegagalan karena inflasi tinggi dan tinngkat bunga tinggi. Maka seringkali
perusahaan melaporkan laba wajr dalam laporan keuangan audit mereka, maka ketika
laporan tersebut dirilis, mereka mengalami keruntuhan. Hal ini menyebabkan banyaknya
kecurangan pelaporan keuangan. Beberapa anggota kongres mengusulkan UU untuk
memperbaiki bisnis potensial ini dan kegagalan pengauditan, namun belum ada UU
yang disahkan sampai tahap tersebut.

Juga dalam menaggapi masalah ini serta kurangnya tindakan legislatif, National
Commission on Fradulent Financial Reporting dibentuk, yang terdiri dari IIA, AICPA,
FEI, AAA dan IMA. Lalu komisi ini berubah nama menjadi Treadway Commission
(nama ketuanya). Tujuan utama komisi ini adalah mengidentifikasi faktor-faktor
penyebab yang memungkinkan kecurangan pelaporan keuangan dan untuk mengurangi
insiden. Laporan akhir Treadway Commission diterbitkan 1987 dan termasuk
rekomendasi kepada manajemen, dewan direksi, profesi akuntan publik dan lain-lain. Ia
menekankan pada elemen kunci pengendalian internal termasuk a strong control
environment, codes of conduct, a competent and involved audit committee, and a strong
internal audit function.

Laporan Treadway penting dalam meningkatkan tingkat kepedulian dan perhatian

mengenai pelaporan pengendalian internal. Dari semua hal yang dijelaskan sebelumnya,
pengendalian internal sebagai dasar metodologi dan diuraikan terminologi standar untuk
 profesional bisnis dan auditor, hasilnya tertuang pada kerangka pengendalian internal
COSO.

D. COSO Internal Control Framework

Kelima profesional audit dan organisasi-organisasi akuntansi membentuk panitia

COSO yang kemudian merilis laporan pengendalian internal. Setelah merilis laporan
pengendalian internal lalu juga diusulkan kerangka kerja umum untuk mendefinisikan
pengendalian internal serta mengevaluasi kontrol di perusahaan mereka.

(sumber: https://www.academia.edu)

Hampir setiap perusahaan memiliki tahapan pengontrolan yang sangat kompleks.

Prosedur pengendalian akan berbeda di masing-masing tingkat dan komponen.

COSO mendiskripsikan konsep multidimensi dari internal control, dimana definisi

pengendalian internalnya adalah:

Internal control is a process, affected by an entitys board of directors, management, and

other personnel, designed to provide reasonable assurance regarding the achievement of
objectives in the following categories:

Effectiveness and efciency of operations

Reliability of nancial reporting

Compliance with applicable laws and regulations

Sementara itu, tujuan pengendalian internal menurut Dewi Wahyuni, 2014:

Dari beberapa pendapat para ahli dapat dijelaskan bahwa tujuan pengendalian internal
yaitu mencakup tiga hal pokok yang dapat diuraikan sebagai berikut:
1. Tujuan tujuan operasi yang berkaitan dengan efektivitas dan efisiensi operasi.

Bahwa pengendalian internal dimaksudkan untuk meningkatkan efektifitas dan efisiensi

dari semua operasi perusahaan sehingga dapat mengendalikan biaya yang bertujuan untuk
mencapai tujuan organisasi.

2. Tujuan-tujuan pelaporan

Bahwa pengendalian internal dimaksudkan untuk meningkatkan keandalan data serta

catatan catatan akuntansi dalam bentuk laporan keuangan dan laporan manajemen
sehingga tidak menyesatkan pemakai laporan tersebut dan dapat diuji kebenarannya.

3. Tujuan-tujuan ketaatan terhadap hukum dan peraturan yang berlaku.

Bahwa pengendalian internal dimaksudkan untuk meningkatkan ketaatan entitas terhadap

hukum hukum dan peraturan yang telah ditetapkan pemerintah, pembuat aturan terkait,
maupun kebijakan kebijakan entitas itu sendiri.

Berdasarkan definisi umum dari pengendalian internal, COSO menggunakan

model tiga dimensi untuk menggambarkan sistem pengendalian internal dalam
perusahaan, seperti yang digambarkan oleh gambar dibawah ini:

Berdasarkan gambar diatas, pengendalian internal COSO sebagai model tiga

dimensi :
 Dengan lima tingkat disisi bagian depan, mencerminkan komponen.

Tiga komponen utama pengendalian internal pada bagian atas, mencerminkan tujuan.

Sisi kanan pameran menunjukkan segmen yang juga tergantung kepada struktur didalam
sebuah perusahaan. Mencerminkan ruang lingkup penerapan pengendalian internal

Masing-masing tingkat kerangka pengendalian internal COSO. dalam model tiga

dimensi ini, memperlihatkan bahwa setiap baris, tumpukan, atau kolom saling memiliki
keterkaitan.

Kerangka pengendalian internal COSO akan menjelaskan elemen dan komponen secara
lebih rinci :

A) Pengendalian Lingkungan

Dasar dari setiap struktur pengendalian internal adalah lingkungan pengendalian internal
COSO. COSO menekankan bahwa dasar lingkungan ini memiliki pengaruh pada
bagaimana semua kegiatan yang terstruktur dan risiko dinilai. Lingkungan pengendalian
secara keseluruhan, termasuk kesadaran, dan tindakan oleh dewan direksi, manajemen,
dan lain-lain tentang pentingnya pengendalian intern dalam perusahaan. Meskipun ada
banyak perbedaan konsep mendasar dalam setiap perusahaan, masing-masing perusahaan
harus memiliki pengendalian internal dasar yang unik untuk mendukung struktur kontrol
internalnya. Sejarah dan budaya perusahaan sering memainkan peran utama dalam
membentuk lingkungan pengendalian internal. Ketika lingkungan pengendalian internal
lemah, hal ini pasti akan menjadi fokus utama internal auditor . Dalam perusahaan yang
lebih kecil, faktor lingkungan pengendalian akan lebih informal.

Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan dalam suatu
organisasi yang akan mempengaruhi pengendalian. Kondisi lingkungan kerja dipengaruhi
oleh beberapa hal, yaitu adanya penegakan integritas dan wtika seluruh angota organisasi,
komitmen pimpinan manajemen atas kompetensi, kepemimpinan manajemen yang
kondusif, pembentukan struktur organisasi yang sesuai dengan kebutuhan, pendelegasian
wewenang dan tanggung jawab yang tepat, penyusunan dan penerapan kebijakan yang
sehat tentang pembinaan sumber daya manusia, perwujudan peran aparat pengawasan
yang efektif, dan hubungan kerja yang baik dengan pihak ekstern. (Bagus, 2014)

Cakupan dari pengendalian lingkungan

1. Integritas dan etika nilai.

Integritas kolektif dan nilai-nilai etika perusahaan merupakan elemen lingkungan

pengendalian penting. Jika perusahaan telah mengembangkan kode yang kuat dari
perilaku yang menekankan integritas dan etika nilai-nilai, dan jika para pemangku
 kepentingan telah mengikuti kode itu, semua pemangku kepentingan akan memiliki
jaminan bahwa perusahaan memiliki set nilai-nilai yang baik. Sebuah kode etik
merupakan komponen penting dari tata kelola organisasi.

2. Komitmen terhadap kompetensi.

Karena semua manusia memiliki berbagai tingkat keterampilan dan kemampuan,

pengawasan dan pelatihan yang memadai, maka harus bersedia untuk membantu
karyawan dalam meningkatkan keterampilan. Suatu perusahaan perlu menentukan tingkat
kompetensi yang dibutuhkan untuk berbagai tugas-tugas pekerjaan dan untuk
menerjemahkan kebutuhan.

3. Direksi dan komite audit.

Pada tahun-tahun sebelumnya, komite audit dari suatu perusahaan sering didominasi oleh
manajemen senior yang ada dialam jajaran direksi, dengan representasi terbatas dari luar,
anggota dewan minoritas. Hal ini menciptakan situasi di mana manajer tidak benar-benar
independen. Pengendalian internal sangat dipengaruhi oleh tindakan yang dicontohkan
para pemimpin di perusahaan, seperti dewan direksi dan komite audit. Hal tersebut
dikarenakan dewan direksi dan komite audit didominasi oleh para pekerja senior dengan
pengalaman bertahun-tahun, sehingga kondisi ini membuat anggota dewan dapat
berkurang independensinya. SOx mengatur audit komite agar dapat menjaga
independensinya karena mereka adalah komponen yang penting dalam pengendalian
internal perusahaan.

4. Management philosophy and operating style.

Filosofi dan operasi gaya manajemen senior cukup berpengaruh atas lingkungan
pengendalian suatu perusahaan. Beberapa manajer tingkat atas mengambil risiko
perusahaan yang tingggi di dalam bisnis atau produk baru mereka, sementara yang lain
sangat berhati-hati atau konservatif.

Filosofi managemen dan cara managemen mengoperasikan perusahaan, misalnya

manager mempunyai sifat risk-taker atau play safer, menjadi salah satu hal yang
dipertimbangkan auditor internal dalam menentukan seberapa jauh keefektifan
pengendalian internal yang diterapkan.

5. Struktur organisasi.

Komponen pengendalian internal menyediakan kerangkan untuk perencanaan, eksekusi,

pengendalian, dan pemantauan yang membantu dalam mencapai tujuan. Struktur
organisasi merupakan aspek yang penting bagi lingkungan pengendalian diperusahaan.
Dengan mengetahui struktur organisasi perusahaan, seperti centralisasi atau
desentralisasi, internal auditor dapat membuat sistem pengendalian internal yang tepat
 bagi peruasahaan. Karena itu perencanaan struktur organisasi yang tidak matang dapat
mempengaruhi pengendalian internal.

6. Penugasan kewenangan dan tanggung jawab.

Struktur organisasi suatu perusahaan mendefinisikan tugas dan integrasi total usaha kerja
nya. Tugas wewenang pada dasarnya adalah cara tanggung jawab yang didefinisikan
dalam hal deskripsi pekerjaan dan terstruktur dalam hal grafik perusahaan.

Tidak berbeda jauh dengan struktur organisasi di atas, sekarang ini banyak perusahaan
yang memberikan hak kepada front-line personnelnya untuk turut dalam pengambilan
keputusan. Hal tersebut dapat memberikan risiko tambahan bagi perusahaan jikalau
personnel tersebut salah dalam pengambilan keputusan. Atas hal tersebut, sangat
dibutuhkan pemahaman yang baik bagi tiap-tiap personnel yang ada di perusahaan
mengetahui dengan jelas deskripsi pekerjaannya serta sasaran d an tujuan perusahaan.
Dalam hal ini, pengendalian internal turut andil. Pengendalian internal yang baik dapat
mengurangi risiko salah pendelegasian dalam pengambilan keputusan. (Bagus, 2014)

7. Kebijakan sumber daya manusia dan praktek.

praktik sumber daya manusia meliputi bidang-bidang seperti perekrutan, orientasi,

pelatihan, evaluasi, konseling, mempromosikan, kompensasi, dan mengambil tindakan
perbaikan yang tepat. Sedangkan fungsi sumber daya manusia harus memiliki cukup
kebijakan yang diterbitkan dan bahan bimbingan, praktik sebenarnya mengirim pesan
yang kuat kepada karyawan mengenai tingkat diharapkan dari kepatuhan internal kontrol,
perilaku etis, dan kompetensi.

8. Pengendalian lingkungan COSO dalam perspektif

COSO pengendalian internal sebagai piramida, dengan lingkungan pengendalian sebagai

landasannya. Di sini, informasi dan komunikasi komponen tidak ditampilkan sebagai
lapisan individu dalam model tapi komponen sisi yang meliputi lapisan Pengkajian dan
Pengendalian Kegiatan Risiko.
B) Penilaian Risiko

Kemampuan suatu perusahaan untuk mencapai tujuannya dapat berisiko karena berbagai
faktor internal dan eksternal. Pemahaman dan pengelolaan lingkungan risiko merupakan
elemen dasar dari dasar pengendalian internal, dan perusahaan harus memiliki proses di
tempat untuk mengevaluasi potensi risiko yang dapat mempengaruhi pencapaian
tujuannya. Komponen penilaian risiko ini berfokus pada pengendalian internal dalam
suatu perusahaan. COSO menjelaskan penilaian risiko sebagai proses tiga langkah:

1, Perkiraan signifikansi dari risiko.

2. Menilai kemungkinan atau frekuensi risiko yang terjadi.
3. Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa yang harus
diambil.

Kerangka pengendalian internal COSO menunjukkan bahwa risiko harus

dipertimbangkan dari tiga perspektif:

1. Risiko Perusahaan karena faktor eksternal.

Misalnya perkembangan teknologi, kebutuhan pelanggan, harga, waranti, dan service

2. Risiko Kewirausahaan karena faktor internal.

Misalnya kerusakan pada server IT perusahaan, kualitas pekerja, dan lain-lainnya

3. Risiko tingkat kegiatan yang spesifik. Selain dilihat dari tingkat perusahaan, risiko juga
harus dipertimbangkan untuk setiap unit bisnis yang signifikan dan aktivitas kunci,
seperti untuk pemasaran, IT, dan keuangan.

Penilaian risiko melibatkan proses yang dinamis dan berulang untuk mengidentifikasi dan
menganalisis risiko untuk mencapai tujuan, serta membentuk dasar mengenai bagaimana
risiko harus dikelola. Terdapat empat prinsip yang berkaitan dengan komponen ini yaitu:
 Organisasi menentukan tujuan yang spesifik sehingga memungkinkan untuk dilakukan
identifikasi dan penilaian risiko yang terkait dengan tujuan.

Organisasi mengidentifikasi risiko yang terkait dengan pencapaian tujuan di seluruh

entitas dan menganalisis risiko untuk menjadi dasar bagaimana risiko akan diperlakukan.

Organisasi mempertimbangkan potensi fraud dalam penilaian risiko.

Organisasi mengidentifikasi dan menilai perubahan yang akan memengaruhi sistem

pengendalian internal secara signifikan.

Terkait dengan pengelolaan risiko, COSO telah mengeluarkan kerangka tersendiri

mengenai Enterprise Risk Management Integrated Framework (2004)

C) Aktivitas Pengendalian

Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko,

menetapkan dan melaksanakan kebijakan serta prosedur, serta memastikan bahwa
tindakan telah dilaksanakan secara efektif untuk mencapai tujuan. Kegiatan pengendalian
dilaksanakan pada semua tingkatan organisasi, pada berbagai tahap proses bisnis, dan
pada konteks lingkungan teknologi. Aktivitas pengendalian menurut COSO dibagi
menjadi:

i. Tipe dari Aktivitas Pengendalian

Tindakan-tindakan yang dilakukan untuk mengatasi risiko dapat dibagi menjadi tindakan
preventif, tindakan corrective, dan pengendalian aktivitas detective. Berikut beberapa
kegiatan pengendalian internal perusahaan menurut COSO :

1. Top-level reviews (Review oleh pemimpin)

Manajer dan auditor harus mengevaluasi kinerja dengan membandingkan kinerja akrual
dengan budget, statistic kompetitif, dan tolak ukur lainnya, kemudian melakukan
tindakan perbaikan.

2. Direct functional or activities management (fungsi atau aktivitas langsung dari

manajer)
Manajer mengevaluasi laporan operasional dan lainnya kemudian mengambil tindakan
korektif yang sesuai. Banyak sistem manajemen yang telah dibangun untuk menghasilkan
laporan pengecualian sebagai bentuk kegiatan pengendalian. Contoh sebuah keamanan
sistem TI akan memiliki mekanisme untuk melaporkan upaya akses yang di otorisasi.
Kegiatan pengendalian di sini adalah proses pengelolaan untuk menindaklanjuti laporkan
kejadian dan mengambil tindakan koreksi yang tepat.
 3. Pemrosesan informasi
Pegendalian pemrosesan informasi mengacu pada bagaimana data diproses menjadi
informasi, serta risiko apa yang berhubungan dengan otorisasi, kelengkapan, dan akurasi
transaksi. Contohnya pengendalian sistem operasi, pengendalian atas sistem
implementasi, dan pembuatan disaster recovery plan.

4. Pengendalian fisik
Berkaitan dengan pengamanan asset dan catatan penting. Contoh pengendalian fisik
adalah penyalahgunaan aktiva untuk aktivitas diluar kepentingan perusahaan.

5. Penggunaan indikator kinerja

Manajemen harus mengacu pada sekumpulan data, baik operasional dan keuangan, dan
mengambil langkah analitis, investigasi, atau koreksi yang tepat. Proses ini merupakan
kegiatan usaha kontrol yang penting yang juga dapat memenuhi persyaratan laporan
keuangan dan operasional.

Misal menganalisis dan tindaklanjuti penyimpangan dari kinerja yang telah direncanakan.

6. Pemisahaan tugas
Setiap individu fokus pada pekerjaannya masing-masing. Misal pemisahaan wewenang
dan tanggung jawab antara petugas menerima kas dan mencatat transaksi.

ii. Integritas aktivitas pengendalian dengan penilaian risiko

Mencakup apakah tipe-tipe aktivitas pengendalian sudah diintegrasikan dengan hasil

penilaian risiko. Aktivitas pengendalian harus berkaitan dengan risiko yang teridentifikasi
dari komponen penilaian risiko pengendalian internal COSO. Aktivitas pengendalian
tidak hanya dilakukan pada daerah yang berpotensi memiliki resiko.

iii. Pengendalian atas sistem infomasi

Kerangka pengendalian internal COSO menekankan bahwa prosedur pengendalian

dibutuhkan untuk seluruh teknologi informasi penting atau sistem informasi seperti
keuangan, operasional, dan kepatuhan terkait.

D) Komunikasi dan Informasi

i. Hubungan informasi dengan pengendalian internal

Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan keputusan
dalam rangka penyelenggaraan tugas dan fungsi organisasi. Informasi harus
diidentifikasi, dicatat, dan dikomunikasikan dalam bentuk dan waktu yang tepat sehingga
memungkinkan pelaksanaan tanggung jawab oleh anggota organisasi.
 Sistem informasi menghasilkan laporan, yang berisi informasi operasional, finansial,
serta ketaatan terhadap peraturan yang berlaku dalam rangka melaksanakan dan
mengendalikan pelaksanaan tugas.

Strategi dan sistem integrasi

Pengendalian internal COSO menyarankan bahwa perusahaan yang efektif harus

menggunakan aplikasi untuk mengimplementasikan strategi dan sistem informasi yang
terintegrasi agar misi perusahaan dapat tercapai.

Manajemen seharusnya mempertimbangan perencanaan, desain dan implementasi dari

system informasi sebagai bagian dari strategi perusahaan secara keseluruhan melalui
sistem strategi.

Kualitas informasi

Sistem informasi digunakan untuk mengolah data yang dibutuhkan terkait manajemen
risiko yang berasal dan internal maupun eksternal menjadi informasi yang berguna bagi
manajemen didalam mengambil keputusan. Kemudian hal itu dikomunikasikan kepada
setiap personnel agar mereka melakukan tanggungjawabnya sesuai fungsi masing-
masing.

COSO mendefinisikan sebuah informasi harus:

Informasi harus sesuai dengan tingkat kerincian yang benar dan akurat

Informasi harus tepat waktu dan tersedia pada saat dibutuhkan

Informasi harus baru (update) terutama pada informasi keuangan dan operasi

Informasi harus akurat dan terpercaya (dapat diandalkan)

Informasi harus dapat diakses oleh siapapun yang memiliki otorisasi untuk
mengakses dan membutuhkan informasi tersebut

ii. Aspek komunikasi dari pengendalian internal

Komunikasi: Komponen internal

Komponen yang paling penting dari elemen komunikasi adalah informasi dari
manajemen selaku penanggungjawab pengendalian internal kepada pemangku
kepentingan untuk memastikan bahwa perusahaan mengikuti prinsip-prinsip
pengendalian internal yang efektif. Komunikasi harus mengalir dalam dua arah.
Pemangku kepentingan harus mengetahui batasan-batasan dalam bertindakan dan juga
perlu mengetahui bagaimana untuk menanggapi kesalahan atau kejadian tak terduga
lainnya dalam melakukan tugas. Dalam pelaksanakan tugas membutuhkan pesan dari
manajemen, dokumentasi prosedur, dan pelatihan yang memadai. Auditor internal sering
menghadapi situasi di mana perusahaan mendokumentasikan pengendalian internal
secara tidak tepat. Pengendalian internal COSO dan SOx menekankan bahwa kurangnya
dokumentasi berarti miskin saluran komunikasi pengendalian internal. Sehingga
komunikasi itu sangat penting, terutama bagi manajemen puncak dan dewan direksi.

Komunikasi eksternal

Perusahaan perlu membangun saluran komunikasi dengan pihak luar, termasuk

pelanggan, pemasok, pemegang saham, kreditor, regulator, dan lain-lain. Informasi yang
diberikan kepada pihak luar harus relevan dengan kebutuhan mereka. Komunikasi
eksternal dapat menjadi cara yang sangat penting untuk mengidentifikasi potensi masalah
pengendalian. Keluhan pelanggan mengenai layanan, tagihan, atau kualitas produk
menunjukkan masalah operasi dan pengendalian yang signifikan. Perusahaan harus
membentuk sekelompok orang yang dibentuk untuk menerima pesan-pesan ini dan
memberikan respon kepada mereka, serta mengambil
tindakan korektif bila diperlukan.

Cara dan metode komunikasi

Perusahaan modern dapat berkomunikasi melalui pengumuman, prosedur manual,

Webcast, rekaman video presentasi, atau pidato oleh anggota manajemen.

E) Monitoring

Pemantauan (monitoring) adalah tindakan pengawasan terhadap kualitas dan efektivitas

sistem pengendalian internal untuk mengatasi risiko. Pemantauan melibatkan penilaian
rancangan dan pengoperasian pengendalian dengan dasar waktu dan mengambil tindakan
yang diperlukan.

Berikut model atau cara melakukan monitoring yang digunakan untuk memastikan bahwa
masing-masing komponen pengendalian internal ada dan berfungsi sebagaimana
mestinya:
 i. Aktivitas pemantauan berkelanjutan

Monitoring secara terus menerus dilakukan didalam proses bisnis pada tingkat yang
berbeda-beda dan melekat dalam aktivitas rutin manajemen.

Contoh aktivitas pemantauan keberlanjutan diataranya:

Fungsi normal manajemen operasi

Penilaian laporan operasi dan keuangan oleh manajemen merupakan kegiatan yang
penting. Pengendalian internal ditingkatkan jika laporan yang ditelaah secara berkala dan
adanya tindakan korektif untuk setiap pengecualian yang dilaporkan.

Komunikasi dari pihak eksternal

Komunikasi dengan pihak eksternal merupakan salah satu ukuran pemantauan, seperti
keluhan pelanggan. Perusahaan perlu mengambil tindakan korektif jika diperlukan.

Struktur dan kegiatan pengawasan perusahaan

Struktur perusahaan lebih berperan signifikan dibandingkan dengan pemantauan.

Manajemen senior dapat meninjau laporan dan mengambil tindakan korektif yang
diperlukan.

Rekonsiliasi fisik persediaan dan aset.

Setiap kegiatan perusahaan harus dinilai secara teratur dan mengambil tindakan korektif
potensial yang dianggap sebagai tindakan monitoring (pemantauan).

ii. Evaluasi pengendalian internal terpisah

Evaluasi yang dilakukan secara periodik, yang mana lingkup dan frekuensinya bervariasi
tergantung pada hasil penilaian risiko dan efektifitas prosedur monitoring. Evaluasi
terpisah mencakup:

Proses evaluasi pengendalian internal

Berkaitan dengan apakah evaluasi dilakukan secara berkala terhadap proses pengendalian
internal?

Rencana kegiatan evaluasi

Apabila terjadi penyimpangan atau kesalahan, apakah ada rencana evaluasi untuk
memperbaiki sehingga menjadi lebih baik?
iii. Melaporkan kekurangan pengendalian internal (tindak lanjut atas temuan audit)

Kelemahan atau kekurangan program manajemen risiko dilaporkan pada pihak yang
bertanggung jawab untuk mengambil tindakan korektif, dan juga kepada manajemen
serta dewan komisaris.

E. Other Dimensions Of The Coso Internal Controls Framework

Pengendalian internal adalah proses dipengaruhi oleh dewan direksi, manajemen, dan
personil lainnya dalam suatu entiitas, dirancang untuk memberikan keyakinan memadai
tentang pencapaian tujuan dalam kategori berikut:

Efektifitas dan efisiensi operasi

Keandalan pelaporan keuangan

Kepatuhan terhadap hukum dan peraturan yang berlaku

Pengendalian internal harus dimiliki dan dievaluasi di seluruh unit dalam perusahaan.
Dimensi ketiga atau dimensi paling atas pengendalian internal COSO mengatakan bahwa
kegiatan pengendalian internal harus dipasang di semua operasi unit dan harus mencakup
tiga faktor pengendalian internal : efektivitas, keandalan pelaporan keuangan, dan
kepatuhan terhadap peraturan. Kerangka pengendalian internal COSO menjadi standar
untuk membangun dan mengembangkan pengendalian internal yang efektif diseluruh
dunia.

F. Internal Audit CBOK Needs

Dimulai dengan bab ini , setiap bab akan menyimpulkan dengan penjelasan singkat
bagaimana isinya harus menjadi bagian dari sebagian besar auditor internal ' CBOK.
Pengendalian internal COSO berbeda dari perspektif CBOK audit internal .
Kerangkakerja pengendalian internal COSO menjadi standar di seluruh dunia untuk
membangun dan mengevaluasi semua tingkatan pengendalian internal . Semua auditor
internal harus memahami tiga dimensi pendekatan untuk melihat dan mengevaluasi
pengendalian internal . Bab ini telah meringkas laporan laporan pengendalian COSO
kerangka kerja yg terintegrasi. Sebuah studi yang lebih rinci dapat membantu auditor
internal memperoleh lebih banyak pengetahuan tentang pengendalian internal COSO,
bahwa CBOK audit internal itu penting penting .
 DAFTRA PUSTAKA

Moeller R, Robert. 2009. Brinks Modern Internal Auditing :A Common Body of Knowledge 7th
Edition. Amerika Serikat: John Wiley & Sons Inc.

https://www.academia.edu (diakses pada 1 Februari 2017)