PIHAK EKSTERNAL LAINNYA

Pihak eksternal yang memiliki kepentingan dalam pengendalian internal organisasi termasuk
legislator, regulator, investor, Dan kreditur. Karena kepentingan mereka bervariasi, demikian
juga kemauan wawasan mereka pengendalian internal. Akibatnya, berbagai definisi pengendalian
intern telah dikembangkan oleh legislator dan badan pengatur untuk sesuai dengan
responsibilitas khusus mereka relatif terhadap jenis kegiatan mereka memantau. definisi
pengendalian internal mereka mungkin eCompass pencapaian tujuan organisasi dan tujuan,
pelaporan, penggunaan sumber daya sesuai dengan ands dan peraturan hukum, dan menjaga
sumber daya terhadap limbah, kerugian, dan penyalahgunaan. Investor dan kreditor, di sisi lain,
terutama memerlukan jenis informasi keuangan yang auditor luar organisasi independen
memvalidasi.

JENIS KONTROL
Kerangka COSO mengakui bahwa kegiatan pengendalian ada di semua tingkat dari suatu
organisasi dan secara umum dapat diklasifikasikan sebagai entitas kegiatan pengendalian lebar
atau kegiatan pengendalian proses bisnis. The COSO framework pengendalian internal juga
termasuk transaksi atau aplikasi kontrol sebagai bagian dari kegiatan pengendalian proses bisnis,
dengan mewakili "aktivitas pengendalian yang paling mendasar dalam (organisasi) karena
mereka langsung menangani tanggapan risiko dalam proses bisnis di tempat untuk memenuhi
tujuan manajemen"

Ada banyak jenis kontrol yang digunakan oleh sebuah organisasi untuk meningkatkan likelihood
sampel datanya yang tujuan akan dipenuhi. Penting untuk dicatat bahwa kontrol tertentu dapat
disebut dengan organisasi yang berbeda (suatu individu bahkan deifferent dalam suatu
organisasi) oleh namers yang berbeda. Lebih penting daripada nama yang digunakan untuk
menggambarkan kontrol tertentu adalah jenis kontrol itu. Hal ini dapat menciptakan kebingungan
karena banyak kontrol masuk ke dalam lebih dari satu kategori sekaligus. Ini dibahas lebih rinci
nanti dalam bab ini.
Tergantung pada aplikasi tertentu kontrol ini, mereka dapat diklasifikasikan sejumlah cara dan
dapat mengambil beberapa klasifikasi secara bersamaan. Bagian berikut menguraikan berbagai
jenis kontrol dan tujuan masing-masing.

Entitas-tingkat, Proses-tingkat, dan Transaksi-tingkat Kontrol

Semua kontrol dirancang untuk mengurangi risiko baik di tingkat perusahaan atau pada tingkat
operasional dalam suatu organisasi. Seperti ditunjukkan di atas, kerangka COSO menggunakan
istilah "entitywide" dan "proses bisnis" kegiatan kontrol untuk umum menggambarkan kontrol
ini. Meskipun tidak jarang untuk organisasi dalam profesi audit internal untuk menggunakan
terminologi yang berbeda seperti "seluruh perusahaan" atau "entitywide" yang lebih umum
istilah "entitylevel" digunakan dalam bab ini. Bab ini juga menjelaskan tingkat kontrol proses
dan kontrol tingkat transaksi, yang bersama-sama terdiri kegiatan pengendalian proses busniness
dalam rangka COSO. Lebih penting dari istilah khusus yang digunakan ketika membahas jenis
kontrol, bagaimanapun, adalah tujuan dari kontrol dan efektivitas operasi. Untuk gambaran
visual kontrol ini, yang dibahas di bawah, mengacu pada corong di pameran 4-3.

Kontrol tingkat entitas yang sangat luas terfokus dan sering berurusan dengan lingkungan
organisasi atau atmosfer. Mereka dirancang untuk secara langsung mengurangi risiko yang ada di
tingkat keseluruhan organisasi, termasuk yang timbul secara internal maupun eksternal, dan
secara tidak langsung dapat mengurangi risiko pada proses dan tansaction tingkat. Kontrol ini
memiliki efek yang luas pada pencapaian banyak tujuan secara keseluruhan, The luar AS
Perusahaan Publik Akuntansi Dewan Pengawas (PCAOB) menyatakan dalam Standar Audit
No.5 "kontrol Entity-level meliputi:
1. Kontrol yang berhubungan dengan lingkungan pengendalian
2. Kontrol atas manajemen override
3. Proses penilaian risiko perusahaan
4. Sentralisasi pengolahan dan kontrol, termasuk lingkungan shared service
5. Kontrol untuk memantau hasil operasi
6. Kontrol untuk memantau kontrol lainnya, termasuk kegiatan fungsi audit internal, komite
audit, dan program self-assessment
7. Kontrol atas proses pelaporan keuangan periode-end dan,
8. Kebijakan yang membahas pengendalian bisnis yang signifikan dan praktik manajemen
risiko.

Kontrol tingkat-entitas dapat dibagi menjadi dua kategori: kontrol pemerintahan dan kontrol
manajemen-pengawasan. kontrol pemerintahan yang dibentuk oleh dewan dan manajemen
eksekutif untuk lembaga budaya pengendalian organisasi dan memberikan bimbingan yang
mendukung tujuan strategis. kontrol manajemen-pengawasan yang ditetapkan oleh manajemen di
unit bisnis dan line level organisasi untuk mengurangi risiko terhadap unit bisnis dan
meningkatkan kemungkinan bahwa tujuan unit bisnis yang dicapai.

Kontrol proses tingkat lebih rinci dalam fokus mereka dari kontrol entitas-tingkat. Mereka
ditetapkan oleh pemilik proses untuk mengurangi risiko yang mengancam pencapaian tujuan
proses. Sementara konsisten di alam, kontrol ini dapat bervariasi dalam pelaksanaannya antara
proses. Contoh kontrol proses tingkat meliputi:
Rekonsiliasi dari key account
Verifikasi fisik aset (seperti jumlah persediaan)
Penilaian risiko Proses-tingkat
Pemantauan / pengawasan transaksi tertentu

Kontrol transaksi-tingkat yang bahkan lebih rinci dalam fokus mereka dari kontrol proses tingkat
dan mengurangi risiko relatif untuk kelompok atau berbagai kegiatan operasional tingkat (tugas)
atau transaksi dalam suatu organisasi. Mereka dirancang untuk memastikan bahwa individu
operasional kegiatan, tugas, atau transaksi, serta kelompok-kelompok terkait kegiatan
operasional (tugas) atau transaksi, secara akurat diproses tepat waktu. Contoh kontrol transaksi-
tingkat meliputi:
Otorisasi
Dokumentasi (seperti dokumen sumber)
Pemisahan tugas
Kontrol aplikasi IT (input, proses, output)
Memadai dirancang adn efektif beroperasi entitas-tingkat, tingkat proses, dan kontrol transaksi-
tingkat bekerja secara serempak dan berfungsi sebagai pertahanan organisasi terhadap risiko
yang mengancam pencapaian tujuan bisnis. Entitas-tingkat, proses-tingkat, dan transaksi-tingkat
kontrol dibahas secara lebih rinci dalam Studi Kasus 1 "Audit entitas-tingkat kontrol" yang
menyertai buku ini.

Kontrol kunci dan Kontrol Sekunder

Kontrol juga dapat dikategorikan dalam hal penting mereka. Dengan demikian, kontrol dapat
dikategorikan baik sebagai kontrol kunci atau sebagai kontrol sekunder.

Sebuah tombol kontrol (sering disebut sebagai kontrol "primer") dirancang ro mengurangi risiko
utama yang terkait dengan objecives bisnis. Kegagalan untuk menerapkan dirancang secara
memadai dan kontrol kunci efektif beroperasi dapat mengakibatkan kegagalan organisasi tidak
hanya untuk mencapai tujuan bisnis kritis tetapi untuk bertahan hidup.

Sebuah kontrol sekunder adalah salah satu yang dirancang untuk baik (1) mengurangi risiko
yang tidak kunci untuk tujuan bisnis, atau (2) mengurangi sebagian tingkat risiko ketika tombol
kontrol tidak beroperasi secara efektif. kontrol sekunder mengurangi tingkat risiko residual
ketika kontrol kunci tidak beroperasi secara efektif, tetapi mereka tidak memadai, sendiri, untuk
mengurangi risiko kunci tertentu ke tingkat yang dapat diterima. Mereka biasanya bagian dari
kompensasi kontrol.

Kompensasi Kontrol
Kontrol kompensasi dirancang untuk melengkapi kontrol kunci yang tidak efektif atau tidak
dapat sepenuhnya mengurangi kelompok risiko risiko sendiri ke tingkat yang dapat diterima
dalam risk appetite yang ditetapkan oleh manajemen dan dewan. Misalnya, pengawasan yang
ketat di saat-saat pembagian tugas yang memadai tidak dapat dicapai dapat kompensasi kontrol.
kontrol tersebut juga dapat membuat cadangan atau duplikat beberapa kontrol dan dapat
beroperasi di beberapa proses dan risiko.

Seperti disebutkan sebelumnya, kontrol sekunder dan kontrol kompensasi yang diperlukan ketika
tombol kontrol yang efektif tidak dapat dibuat atau dirancang untuk secara memadai mengurangi
risiko atau kelompok risiko dalam risk appetite yang ditetapkan manajemen. Hal ini mungkin
akibat dari keterbatasan ekonomi atau kompleksitas operasional atau keduanya. Tidak peduli
alasannya, kontrol sekunder dan kompensasi yang diperlukan untuk yang tidak ada tombol
kontrol yang efektif ada. Seringkali, kompensasi kontrol bekerja secara bersamaan dengan
kontrol kunci terkait atau tumpang tindih, sementara melayani sebagai kontrol sekunder untuk
kontrol kunci tertentu.

Prepentive dan Detektif Kontrol

Seringkali, banyak kontrol yang berbeda yang ada disebut dengan label yang menjelaskan apa
yang mereka dimaksudkan untuk melakukan dalam upaya untuk membedakan antara mereka.
Termasuk adalah daftar singkat dari jenis kontrol dan definisi mereka.

Sebuah kontrol prepentive dirancang untuk mencegah kejadian yang tidak diinginkan dari terjadi
di tempat pertama. Karena sifat dinamis dan kompleksitas dat-hari operasi bisnis, sulit untuk
merancang kontrol prepentive yang baik ekonomis dan efisien. Akibatnya, sebagian besar
organisasi menggunakan kombinasi kombinasi atau kontrol preventif dan detektif kontrol ketika
merancang kedua sistem yang efektif dan efisien kontrol internal. Contoh kontrol prepentive
mencakup kontrol akses fisik dan logis, seperti pintu terkunci dan ID pengguna dengan password
yang unik. Sebaliknya, kontrol detektif dirancang untuk menemukan kejadian yang tidak
diinginkan yang telah terjadi. Sebuah kontrol detektif harus terjadi tepat waktu (sebelum acara
yang tidak diinginkan telah berdampak tidak dapat diterima negatif pada organisasi) akan
dianggap efektif. Contoh kontrol detektif termasuk kamera keamanan untuk mengidentifikasi
akses fisik tidak sah dan riview dari log komputer listing upaya akses yang tidak sah

Sistem Informasi (Teknologi) Kontrol

Karena ketergantungan lazim di sistem informasi, kontrol harus dilaksanakan untuk mengurangi
risiko yang terkait dengan sistem otomatis yang diperlukan untuk menjalankan bisnis inti dari
sebuah organisasi.
Kadang-kadang umumnya disebut sebagai "teknologi" kontrol, ada dua jenis kontrol sistem
informasi yang dapat digunakan untuk mengurangi risiko ini:
kontrol komputasi Umum. Ini "berlaku untuk banyak jika tidak semua sistem aplikasi dan
membantu memastikan melanjutkan, operasi yang tepat"
 Pengendalian aplikasi. Ini "mencakup langkah-langkah komputerisasi dalam software
aplikasi dan prosedur manual yang berhubungan dengan mengontrol pengolahan berbagai
jenis transaksi."

Kedua jenis kontrol bekerja sama "untuk memastikan kelengkapan, akurasi, dan validitas
informasi keuangan dan lainnya dalam sistem."

Kontrol komputasi umum dianggap kontrol entitas-tingkat karena mereka berlaku di organisasi
dan banyak aplikasi komputernya. kontrol aplikasi, di sisi lain, yang paling sering dianggap
proses-level atau kontrol transaksi-tingkat. diskusi tambahan dan contoh komputasi dan aplikasi
umum kontrol dapat ditemukan dalam bab 7, "Teknologi Informasi Risiko dan Kontrol," dan
Kasus study1 "Audit Badan tingkat Controls," yang menyertai buku ini.
Kategorisasi simultan Kontrol

Seperti disinggung sebelumnya dalam bab ini, kontrol tertentu dapat masuk ke dalam beberapa
kategori pada saat yang sama. Misalnya, kontrol bisa menjadi kontrol tingkat-entitas pada saat
yang sama bahwa itu adalah tombol kontrol. Kontrol yang sama juga bisa menjadi kontrol
detektif. Itu tidak bisa, bagaimanapun, menjadi kontrol sekunder atau kontrol transaksi-tingkat
pada saat yang sama bahwa itu adalah tombol kontrol dan kontrol entitas-tingkat. Sementara
nuansa ini dapat membingungkan pada awalnya, waktu yang dihabiskan bekerja dengan kontrol
akan menyebabkan pemahaman yang lebih baik tentang bagaimana berbagai kategori kontrol
dapat eksis dalam kendali tunggal.

Mengevaluasi Sistem Internal Kontrol An Overview

Seperti disebutkan sebelumnya, manajemen, di bawah kepemimpinan CEO, memiliki
responbility utama untuk desain yang memadai dan operasi yang efektif dari sistem pengendalian
internal. Dengan demikian, manajemen bertanggung jawab untuk menempatkan di tempat yang
dirancang secara memadai dan efektif beroperasi entitas-tingkat dan aktivitas-tingkat kontrol
untuk mengurangi risiko yang terkait dengan pencapaian tujuan bisnis di masing-masing tiga
kategori COSO-didefinisikan: operasi, pelaporan, dan kepatuhan.
Auditor internal memainkan peran penting dalam verifikasi bahwa manajemen telah memenuhi
responbility nya. Awalnya, manajemen perfoms penilaian utama pengendalian internal
menggunakan proses formal dikembangkan untuk tujuan itu. Fungsi audit internal maka secara
independen memvalidasi hasil manajemen. Selain itu, laporan biasanya diserahkan ke panitia
audit baik manajemen senior atau eksekutif pemeriksaan kepala (CAE) menguraikan hasil
penilaian manajemen mengenai kecukupan desain dan operasi efektivitas sistem organisasi
kontrol internal.

Seperti yang ditunjukkan dalam Standar Internasional IIA Untuk Praktek Profesional Internal
Audit (Standar), fungsi audit internal bertanggung jawab untuk menilai kontrol organisasi (baik
unsur, atau keseluruhan, sistem pengendalian internal) yang dituangkan dalam Praktek Penasehat
2130-1: Menilai kecukupan Kontrol Proses;

Dalam mengevaluasi keefektifan proses pengendalian organisasi CAE mempertimbangkan

apakah:
Perbedaan yang signifikan dari kelemahan (kekurangan) ditemukan.
Koreksi atau perbaikan dilakukan setelah penemuan, dan
Penemuan dan konsekuensi potensi mereka mengarah pada kesimpulan bahwa kondisi
meresap ada yang mengakibatkan tingkat yang tidak dapat diterima atau risiko (atau operasi
efektivitas)

Sarbanes-Oxley tambahan mengharuskan manajemen organisasi yang terdaftar dengan SEC

untuk melaporkan secara terbuka pada keandalan pengendalian internal atas pelaporan keuangan
(ICFR). Seperti yang ditunjukkan sebelumnya, di Amerika Serikat, Sarbanes-Oxley
menempatkan responbility untuk desain, pemeliharaan, dan operasi yang efektif dari ICFR tepat
di pundak manajemen senior, khususnya, CEO dan CFO. Untuk mematuhi undang-undang ini,
SEC membutuhkan CEO dan CFO dari perusahaan publik untuk berpendapat di reability
pelaporan keuangan (yaitu, desain yang memadai dan operasi yang efektif dari ICFR) sebagai
bagian dari pengajuan tahunan laporan keuangan dengan SEC , serta melaporkan setiap
perubahan substansial, jika ada, dalam ICFR secara triwulanan. Banyak contries lain memiliki
kebutuhan yang sama.
Dalam kepentingan pelaporan keuangan yang dapat diandalkan "(m) anajemen membuat
pernyataan mengenai pengakuan, pengukuran, penyajian, dan pengungkapan rekening, transaksi,
dan kejadian termasuk dalam laporan keuangan entitas."
Lima dasar asersi laporan keuangan adalah:
1. Keberadaan atau kejadian. Aset, kewajiban, dan kepemilikan ada pada tanggal tertentu dan
transaksi tercatat merupakan peristiwa yang benar-benar terjadi selama periode tertentu
2. Kelengkapan, Semua transaksi dan peristiwa lain dan keadaan yang terjadi selama jangka
waktu tertentu, dan yang seharusnya diakui dalam periode itu, telah sebenarnya telah dicatat
3. Hak dan kewajiban, Aset adalah hak dan kewajiban adalah kewajiban masuk pada tanggal
tertentu
4. Penilaian atau alokasi, Aset, kewajiban, pendapatan, dan komponen beban dicatat pada
jumlah yang tepat sesuai dengan prinsip akuntansi yang relevan dan tepat. Transaksi secara
matematis benar dan tepat diringkas dan dicatat dalam buku entitas dan catatan.
5. Penyajian dan pengungkapan, Produk dalam laporan yang benar dijelaskan, diurutkan, dan
diklasifikasikan.

Kegiatan pengendalian proses yang luas dan badan usaha khusus dirancang untuk memberikan
keyakinan memadai bahwa tujuan pelaporan eksternal tercapai dan asersi terkait dukungan
manajemen memproses elemen umum tertentu. Harus dirancang secara memadai dan beroperasi
secara efektif, kontrol ini harus membahas konsep inisiasi, otorisasi, pencatatan, pengolahan, dan
pelaporan. Seperti disebutkan sebelumnya dalam bab ini, kontrol ini secara kolektif disebut
sebagai kontrol internal atas pelaporan keuangan.

The PCAOB diciptakan untuk menetapkan pedoman bahwa auditor luar yang independen dan,
secara tidak langsung, manajemen harus mematuhi dalam rangka memenuhi persyaratan
pelaporan. Sebagai tanggapan, pada 12 Juni 2007, PCAOB mengeluarkan Standar Audit No 5,
An Audit Pengendalian Internal Atas Pelaporan Keuangan Yang Terintegrasi dengan Audit
Laporan Keuangan. Untuk pedoman khusus tambahan, lihat Auditing Standar No 5 sendiri.

Peluang untuk Menyediakan Wawasan

Karena auditor internal perfom perikatan audit di semua bidang organisasi, mereka diposisikan
secara unik untuk memberikan wawasan tentang efektivitas sistem organisasi pengendalian
internal.