Anda di halaman 1dari 18

INTERNAL CONTROL FRAMEWORK : COSO

STANDARD
Pengauditan Internal

Disusun Oleh:

MUTIA NOVITA SARI 1410531010


SISKA DILI LORENZA 1410531020
VANESSA THOYIBAH F 1410531031
ROBI ZALMI 1410532056

JURUSAN AKUNTANSI
FAKULTAS EKONOMI
UNIVERSITAS ANDALAS
PADANG
Internal Control Framework : COSO Standard

1. Importance of Effective Internal Controls


Menerapkan kontrol internal yang efektif adalah sebuah dasar bagi prinsip
audit internal. Sistem kontrol internal yang akan terus menjadi dasar yang efektif
untuk operasional dan proses bisnis akuntansi serta sebuah aktivitas audit internal
utama yang melibatkan dan mengevaluasi, menilai berbagai tingkat kontrol. Pada
auditor Eksternal telah diutamakan istilah kontrol internal, dan auditor internal
sering merujuk ke kontrol saja. Konsep ini merupakan aktivitas utama dan
keprihatinan untuk auditor internal dan manajer bisnis.
Namun, pada saat itu definisi konsisten atau penggunaan sebelum tahun
1970-an, saat serangkaian peristiwa-peristiwa di Amerika Serikat yang dipimpin
untuk pengembangan dan pelepasan dari Komite Organisasi Mensponsori (COSO)
kerangka kerja kontrol internal. Diakui pertama kali untuk menilai kontrol internal
oleh auditor eksternal AS dan kemudian sebagai standar untuk membangun dan
mengukur kontrol internal di bawah Sarbanes-Oxley Act (SOx), kerangka COSO
kontrol internal menjadi standar di seluruh dunia untuk membangun dan menilai
kontrol internal. Suatu pemahaman umum dari COSO kerangka kerja kontrol internal
dan elemennya adalah kunci pengetahuan umum (CBOK) diperlukan untuk semua
auditor internal.
COSO juga mengeluarkan sebuah kerangka kerja manajemen risiko enterprise
disebut COSO ERM (lihat Bab 6). Walaupun COSO ERM kadang-kadang tampak
serupa dengan kerangka kerja COSO asli kontrol internal, ia menerangkan area
berbeda dan tujuan. Pada bab di buku ini, menjelaskan penggunaan keduanya
yaitu COSO ERM dan COSO kerangka kerja kontrol internal.
Pentingnya efektifitas kontrol internal :
Kontrol internal yang paling penting dan konsep-konsep fundamental yang
profesional bisnis di semua tingkat dan kedua auditor eksternal dan internal harus
memahami Para profesional bisnis membangun dan menggunakan kontrol internal;
peninjauan auditor kedua oper- ational dan daerah keuangan dalam enterprise
dengan tujuan mengevaluasi kontrol internal mereka. Auditor eksternal dan internal
memiliki banyak tujuan yang berbeda. Kebanyakan rujukan kepada para auditor
pada bab ini berlaku untuk auditor internal, yang mempunyai ma-jor tanggung
jawab untuk memahami dan menilai COSO kontrol internal. Walaupun ada banyak
sedikit berbeda, definisi-definisi kontrol internal di masa lalu.

Sesuai dengan rencana kebijakan dan prosedur, undang-undang dan peraturan


yaitu :
1. Mengamankan aset-aset
2. Efisiensi operasional
3. Pencapaian misi didirikan, tujuan dan sasaran untuk operasi enterprise dan
program
4. Nilai-nilai etika dan integritas
Definisi ini mengakui bahwa kontrol internal meliputi lebih dari sekadar
pembukuan dan masalah keuangan dan mencakup semua proses enterprise. Unit
enterprise atau proses telah kontrol internal yang baik jika ia (1) menyempurnakan-
misi menyatakannya dalam secara etis, (2) menghasilkan data yang akurat dan
terpercaya, (3) sesuai dengan undang-undang dan kebijakan enterprise, (4)
menyediakan untuk ekonomis dan efisien menggunakan sumber daya, dan (5)
menyediakan untuk mengamankan aset-aset yang sesuai. Semua anggota dari
sebuah enterprise bertanggung jawab untuk kontrol internal dalam area mereka
dari tanggung jawab dan untuk pengoperasian mereka secara efektif.
Meskipun begitu atau mungkin karena cakupannya yang luas maka lahirlah
definisi kontrol internal, banyak para profesional bisnis mempunyai masalah dalam
memahami sepenuhnya, dan dalam menerapkan konsep kontrol internal. Konsep
kontrol internal dan mendukung proses kontrol kembali ke mekanis dasar dan
bekerja sesuai prosedur yang pernah ada di seluruh kehidupan sehari-hari. Proses
kontrol yang diperlukan untuk kegiatan-kegiatan di dalam dan di luar, dan
enterprise saat ini banyak basic con-cepts dan prinsip-prinsip yang sama, tidak
peduli di mana kontrol diterapkan.
Ada banyak sistem enterprise dan proses di tempat kerja, seperti operasi
akuntansi, proses penjualan, dan teknologi informasi (Sistem). Jika management
tidak beroperasi atau proses ini langsung dengan benar, enterprise dapat
beroperasi dari kontrol. Semua anggota dari sebuah enterprise harus
mengembangkan sebuah pemahaman tentang sistem kontrol yang sesuai di
wilayah mereka atau tanggung jawab dan kemudian menentukan jika mereka
beroperasi tersambung dengan benar di wilayah masukkan- operasi prise. Ini adalah
dirujuk sebagai enterprise, sistem pengendalian internal.
Walaupun literatur profesional untuk auditor eksternal menggunakan
istilah kontrol internal, audit internal panggilan standar konsep yang sama
sebuah kontrol. Untuk tujuan-tujuan buku ini dan untuk auditor internal secara
profesional, kedua-duanya bererti hal yang sama. Lembaga Auditor Internal
(IIA) Standar Internasional untuk amalan Audit Internal, dibahas dalam Bab 8,
mendefinisikan sebagai kontrol: Setiap tindakan yang diambil oleh manajemen,
board, dan pihak lain untuk mengelola risiko dan meningkatkan kemungkinan yang
didirikan tujuan dan sasaran akan dicapai. Rencana Manajemen, mengatur, dan
mengarahkan kinerja tindakan yang cukup untuk menyediakan reasonable
assurance bahwa tujuan dan sasaran akan dicapai. Management bertanggung
jawab mendirikan dan mengelola kontrol-kontrol, dan auditor Internal kedua menilai
efektivitas dan membuat rekomendasi mereka sebagai pilihan.

2. Latar belakang standar control internal


Walaupun konsep dan definisi kontrol internal adalah adil dan juga dipahami
dengan COSO kerangka kerja kontrol internal, tidak benar sebelum akhir tahun
1980-an. Dalam keadaan tertentu, tidak ada perjanjian konsisten dengan apa yang
dimaksud dengan "baik kontrol internal." definisi awal yang mula-mula datang dari
American Institute of Certified Akuntan Publik (AICPA) dan telah digunakan oleh
komisi sekuritas dan bursa AS (SEC) untuk Bursa Efek bertindak peraturan tahun
1934 memberikan titik awal yang baik. Meskipun telah ada perubahan selama
bertahun-tahun, AICPA standar codified yang pertama, dibuat pernyataan pada
Standar Audit (SAS No. 1), didefinisikan pernyataan keuangan audit eksternal di
Amerika Serikat selama bertahun-tahun. Ia digunakan definisi ini untuk kontrol
internal.
Kontrol internal terdiri dari rencana enterprise dan semua mengkoordinasikan
metode dan langkah-langkah yang diambil dengan sebuah bisnis untuk melindungi
aset-asetnya, cek akurasi dan keandalan dari data akuntansi, meningkatkan
efisiensi operasional, dan mendorong berpegang teguh untuk ditetapkan kebijakan
manajerial. Menyatakan bahwa AICPA asli SAS No. 1 telah dimodifikasi untuk
menambahkan akun dan kontrol administratif ke kontrol internal menjadi defenisi
dasar. Kontrol administratif termasuk, tetapi tidak terbatas pada, rencana enterprise
dan prosedur dan catatan yang berkaitan dengan proses-proses pengambilan
keputusan memimpin untuk manajemen transaksi otorisasi. Otorisasi semacam itu
adalah fungsi manajemen langsung dikaitkan dengan tanggung jawab untuk
mencapai tujuan-tujuan enterprise dan adalah titik awal untuk menetapkan kontrol
akuntansi transaksi.
Kontrol Akuntansi terdiri dari rencana enterprise dan prosedur dan catatan
yang peduli dengan mengamankan aset-aset dan keandalan catatan keuangan dan
akibatnya dirancang untuk menyediakan reasonable assurance bahwa: Transaksi
dijalankan sesuai dengan umum manajemen atau Pernyataan dalam sesuai dengan
prinsip-prinsip akuntansi yang secara umum atau kriteria lainnya yang berlaku
untuk pernyataan dan (2) untuk menjaga akuntabilitas aset-aset untuk. Akses
terhadap aset yang hanya boleh sesuai dengan autho dari manajemen-
Rization.Akuntabilitas yang direkam untuk dibandingkan dengan aset-aset yang ada
pada interval yang wajar dan tindakan yang sesuai adalah diambil dengan rasa
hormat untuk segala perbedaan. Hubungan-hubungan yang tumpang tindih kedua
jenis kontrol internal.
Kemudian lebih dijelaskan dalam pra-1988 standar AICPA ini: Definisi yang
telah disebutkan tidak serta-merta saling eksklusif prosedur karena beberapa record
dan dipahami dalam kontrol akuntansi juga mungkin di- volved dalam kontrol
administratif. Misalnya, biaya penjualan dan mencatatkan diklasifikasikan oleh hasil
boleh digunakan untuk tujuan-tujuan kontrol akuntansi dan juga dalam membuat
manusia- keputusan dilakukan modifikasi tentang harga unit atau operasi aspek-
aspek lain.
Beberapa menggunakan prosedur seperti atau mencatatkan, walau demikian,
tidak penting bagi tujuan-tujuan bagian ini karena prihatin terutama dengan
mengklarifikasi terikat luar- ary dari kontrol akuntansi. Contoh-contoh rekaman
digunakan hanya untuk kontrol administratif yang berhubungan dengan pelanggan
dihubungi oleh salesman dan untuk defec- tive bekerja oleh karyawan produksi
dipertahankan hanya untuk personel evaluasi kinerja perindividu.
Sudut pandang kami di sini adalah bahwa definisi istilah kontrol internal telah
diubah tetapi telah ditafsir semula selama bertahun-tahun. Namun, sebelumnya
standar AICPA tekankan bahwa sistem kontrol internal meluas di luar hanya hal-hal
yang berhubungan langsung ke pembukuan dan pernyataan keuangan, termasuk
kontrol administratif. Selama bertahun-tahun ke atas melalui tahun 1970-an, SEC
dan AICPA dirilis banyak sering sedikit berbeda definisi kontrol internal dan
eksternal utama perusahaan audit yang disediakan megar mendukung interpretasi
dan panduan.
(a) Internal Control Definitions: Foreign Corrupt Practices Act of 1977
Definisi Kontrol Internal: praktik-praktik korupsi Asing Undang-undang tahun
1977 sama seperti skandal akuntansi dari dan lain-lain membawa kita Enron SOx
pada awal tahun kedua puluh abad pertama, Amerika Serikat mengalami situasi
serupa sekitar 30 tahun yang lalu. Jangka masa dari 1974 hingga 1977, adalah
masa yang extreme gejolak sosial dan politik di Amerika Serikat. Serangkaian
tindakan ilegal ditemukan pada waktu1972 pemilihan presiden AS, termasuk
sebuah pencurian dari markas partai demokrat di sebuah kompleks bangunan yang
dikenal sebagai Watergate.
Peristiwa-peristiwa yang akhirnya membawa kepada Presiden Richard Nixon
pengunduran diri. Penyelidikan terkait praktik dipertanyakan lain telah terjadi yang
tidak dilindungi oleh undang-undang. Mirip dengan bagaimana kegagalan Enron
membawa kita SOx, hasil di sini adalah petikan dari tahun 1977 praktik-praktik
korupsi Asing Bertindak (FCPA). Dalam FCPA dilarang suap ke luar negeri-non-AS,
para pejabat dan juga mengandung ketentuan-ketentuan yang memerlukan
pemeliharaan buku yang akurat dan mencatatkan serta sistem-sistem kontrol
akuntansi internal. Dengan ketentuan yang berlaku untuk hampir semua.
Perusahaan dengan SEC-efek terdaftar, FCPA peraturan kontrol internal par- ticularly
terkena dampak yang kedua dan internal auditor eksternal. Terminologi
menggunakan diambil secara langsung dari undang-undang, FCPA diperlukan
bahwa SEC-diatur bumn harus:
1. Membuat dan menyimpan buku-buku, catatan, dan akun, yang, dalam detail
yang wajar, tepat dan adil mencerminkan transaksi-transaksi dan
susunannya dari aset-aset emiten.
2. Merancang dan mempertahankan sebuah sistem kontrol akuntansi internal
cukup untuk memberikan jaminan masuk akal bahwa transaksi dijalankan
sesuai dengan umum manajemen atau otorisasi tertentu.
Transaksi yang tercatat sebagai perlu kedua untuk mengizinkan persiapan
pernyataan keuangan yang sesuai dengan umumnya prin akuntansi- ciples (GAAP)
atau kriteria lainnya yang berlaku untuk pernyataan seperti itu, dan juga untuk
menjaga akuntabilitas aset-aset untuk. Akses terhadap aset yang hanya boleh
sesuai dengan umum manajemen atau otorisasi tertentu. Akuntabilitas yang
direkam untuk dibandingkan dengan aset-aset yang ada pada interval yang wajar,
dan tindakan yang sesuai adalah diambil dengan rasa hormat untuk segala
perbedaan. Dalam FCPA adalah penting karena, untuk pertama kalinya, manajemen
dibuat bertanggung jawab untuk sistem yang memadai dari kontrol akuntansi
internal.
Tindakan Diperlukan bumn untuk "membuat dan menyimpan buku-buku,
catatan, dan akun, yang masuk akal, tepat dan detil agak mencerminkan transaksi-
transaksi dan susunannya dari aset-aset emiten." yang mirip dengan dan bahkan
lebih luas dari hari ini, dibahas dalam Bab peraturan SOx , 4, FCPA persyaratan
pencatatan yang diterapkan ke semua perusahaan publik yang terdaftar pada det.
Selain itu, FCPA diperlukan yang perusahaan ini memelihara mencatatkan bahawa
mampu mencerminkan transaksi mereka "dalam detail yang wajar."
Sementara tidak ada definisi tertentu di sini, maksud dari aturan ini yang akan
merekam transaksi harus merefleksikan sesuai dengan metode diterima untuk
merekam peristiwa ekonomi, mencegah off-buku-"dana slush" dan pembayaran
suap. Dalam FCPA diperlukan perusahaan yang mempertahankan sebuah sistem
kontrol akuntansi internal cukup untuk memberikan jaminan masuk akal bahwa
transaksi authorized dan dicatat untuk mengizinkan persiapan pernyataan
keuangan yang sesuai dengan GAAP. Juga, aturan FCPA menyatakan bahwa
akuntabilitas harus dipertahankan untuk aset-aset enterprise, dan akses ke mereka
hanya boleh sebagai authorized dengan persediaan fisik secara berkala.
Menyeberang 30 tahun yang lalu, FCPA adalah set peraturan tata kelola
perusahaan. Karena FCPA, banyak board Direksi dan komite audit mereka kemudian
mulai aktif meninjau kontrol internal dalam usaha-usaha mereka.

(b) FCPA Aftermath: What Happened?


Sejak diberlakukan, FCPA mengakibatkan upaya besar untuk menilai dari
sistem dokumen pengendalian internal di perusahaan AS yang besar. Perusahaan-
perusahaan yang tidak pernah secara resmi mendokumentasikan prosedur
pengendalian internal mereka kini mereka telah memulai upaya bentuk
pengendalian internal. Seringkali tanggung jawab dokumentasi FCPA ini diberikan
kepada departemen audit internal, yang digunakan usaha terbaik mereka untuk
mematuhi pengendalian internal FCPA ini ketentuan.
Banyak profesional bisnis mengantisipasi gelombang peraturan tambahan
berikut berlakunya FCPA ini. Namun, ini tidak terjadi. Tindakan hukum pada
dasarnya tidak ada, tidak ada yang datang untuk memeriksa file dokumentasi yang
diamanatkan dalam undang-undang FCPA. FCPA masih berlaku tetapi hari ini lebih
dari sebuah antikorupsi, hukum antisuap. Hukum itu diubah pada tahun 1990 tetapi
hanya untuk memperkuat dan meningkatkan ketentuan antikorupsi tersebut. Ketika
diberlakukan pada tahun 1977, FCPA menekankan pentingnya internal yang efektif
mengontrol meskipun tidak ada definisi yang konsisten dari kontrol internal di waktu
itu. FCPA adalah langkah pertama untuk membantu perusahaan berpikir tentang
kebutuhan untuk kontrol internal yang efektif, meskipun tidak ada pedoman atau
standar atas FCPA dokumentasi system Persyaratan. Namun demikian, jika ada
upaya FCPA pengendalian internal dokumentasi kepatuhan, kita mungkin tidak akan
pernah memiliki SOx.

3. Events Leading to the Treadway Commission


FCPA diperlukan perusahaan untuk mendokumentasikan internal control
mereka tetapi tidak meminta auditor eksternal untuk membuktikan apakah suatu
perusahaan memenuhi persyaratan pelaporan pengendalian internal FCPA ini. Pada
tahun 1974, AICPA membentuk Komisi tingkat tinggi tentang Tanggung Jawab
Auditor. Kelompok ini, kemudian lebih dikenal sebagai Komisi Cohen,
direkomendasikan di 1978 bahwa pernyataan tentang kondisi pengendalian internal
suatu perusahaan harus diperlukan bersama dengan laporan keuangan mereka.
Meskipun Komisi Cohen ini rekomendasi terjadi pada waktu yang sama dengan rilis
dari FCPA, mereka berlari ke torrent kritik. Secara khusus, rekomendasi laporan itu
tidak tepat pada apa yang dimaksud dengan "pelaporan pada pengendalian
internal," dan auditor eksternal menyatakan keprihatinan yang kuat tentang peran
mereka dalam proses ini.
Eksekutif Keuangan Internasional (FEI), 3 organisasi profesional, punya
keterlibat dalam pengendalian internal ini. Sama seperti IIA adalah professional
perusahaan untuk auditor internal dan AICPA merupakan akuntan public di Amerika
Serikat, FEI merupakan pejabat keuangan senior perusahaan. Pada akhir 1970, FEI
mendukung internal kontrol yang direkomendasikan Komisi Cohen dan setuju bahwa
perusahaan harus melaporkan status akuntansi internal mereka kontrol. Akibatnya,
banyak perusahaan AS mulai membahas kecukupan pengendalian internal sebagai
bagian dari surat manajemen laporan tahunan mereka.
(A) Standar AICPA: SAS No. 55
Sebelum SOx, AICPA bertanggung jawab untuk melepaskan standar audit
eksternal melalui Laporan tentang Standar Auditing (Sass). Seperti dibahas untuk
SAS No 1, ini standar membentuk dasar dari tinjauan auditor eksternal kecukupan
dan kewajaran laporan keuangan yang dipublikasikan. Meskipun mereka mengalami
beberapa perubahan selama bertahun-tahun, pada 1970-an dan 1980-an, AICPA
sering dikritik bahwa standar audit tidak memberikan bimbingan yang memadai
baik auditor eksternal atau pengguna laporan mereka. Masalah ini disebut "harapan
kesenjangan," karena standar akuntansi umum yang ada tidak memenuhi harapan
investor. Untuk menjawab kritik ini, AICPA merilis serangkaian Sass baru di intern
standar audit kontrol antara tahun 1980 dan 1985. Ini termasuk SAS No. 30,
Pelaporan pada Pengendalian Internal Akuntansi, yang memberikan panduan untuk
terminologi untuk digunakan dalam laporan pengendalian akuntansi internal. Bahwa
SAS tidak memberikan banyak bantuan, Namun, pada mendefinisikan konsep dasar
dari pengendalian internal dan dilihat oleh kritik dari profesi akuntan publik terlalu
sedikit terlambat. SAS No. 55, Pertimbangan Struktur Pengendalian Intern dalam
Audit Laporan Keuangan, adalah lain standar baru yang ditetapkan pengendalian
internal dalam tiga elemen kunci:
1. Lingkungan pengendalian Sistem
2. Akuntansi
3. Prosedur pengendalian
SAS No. 55 disajikan melalui pendekatan yang berbeda untuk memahami
pengendalian internal daripada yang telah digunakan di masa lalu, dan telah
memberikan dasar bagi banyak dari kami pemahaman berkelanjutan kontrol
internal. Sebelum SAS No. 55, sebuah perusahaan internal kebijakan dan prosedur
struktur pengendalian sering tidak secara resmi dianggap oleh auditor eksternal.
SAS No. 55 didefinisikan pengendalian internal dengan cara yang jauh lebih
luas daripada yang khas auditor eksternal dan memberikan dasar untuk definisi
laporan COSO ini dari istilah. SAS No. 55 menjadi efektif pada tahun 1990 dan
mewakili langkah besar menuju menyediakan auditor eksternal dengan definisi
yang tepat dari pengendalian internal.
(B) Treadway Laporan Komite
Selama 1970-an dan awal 1980-an, banyak perusahaan AS yang besar gagal
karena inflasi yang tinggi dan suku bunga yang tinggi yang dihasilkan. Banyak kali
perusahaan melaporkan penghasilan yang memadai dalam laporan keuangan yang
diaudit, hanya menderita keruntuhan keuangan tak lama setelah rilis laporan
tersebut. Beberapa dari kegagalan ini disebabkan oleh kecurangan pelaporan
keuangan, meskipun banyak orang lain yang akibat inflasi yang tinggi atau masalah
ketidakstabilan perusahaan lainnya.
Namun demikian, beberapa anggota Kongres mengusulkan undang-undang
untuk "memperbaiki" bisnis dan audit yang potensial ini kegagalan. Uang kertas
yang disusun, mendengarkan pendapat kongres, tapi tidak ada undang-undang
disahkan. Juga dalam menanggapi masalah ini serta kurangnya tindakan legislatif,
Komisi Nasional Pelaporan Keuangan Penipuan dibentuk. Ini terdiri dari lima
organisasi profesional: IIA, AICPA, dan FEI, semua yang disebutkan sebelumnya,
serta American Association Akuntansi (AAA) dan Institut Akuntan Manajemen (IMA).
AAA adalah organisasi profesional untuk akuntan akademis. IMA adalah organisasi
profesional untuk manajerial atau akuntan biaya.
Komisi Nasional Pelaporan Keuangan Penipuan kemudian disebut Komisi
Treadway setelah nama ketuanya. Tujuan utama adalah untuk mengidentifikasi
faktor-faktor penyebab yang memungkinkan kecurangan pelaporan keuangan dan
untuk membuat rekomendasi untuk mengurangi insiden. The Treadway Commission
Laporan akhir dikeluarkan pada 1987 dan termasuk rekomendasi kepada
manajemen, dewan direksi, profesi akuntan publik, dan lain-lain. Sama halnya
dengan COSO yang mengelola laporan Treadway dan memulai sebuah proyek baru
untuk menentukan konsep pengendalian internal. Hasilnya telah menjadi kerangka
pengendalian internal COSO, dibahas dalam bagian depan dan dirujuk dalam buku
ini.
4. COSO Internal Control Framework
Pengendalian internal menurut COSO: pengendalian internal adalah proses,
dipengaruhi oleh dewan direksi, manajemen, dan personel lain, disusun untuk
menyediakan keyakinan yang layak dalam rangka meraih tujuan dalam kategori:
1. efektivitas dan efisiensi operasi
2. kehandalan laporan keuangan
3. kepatuhan terhadap undang2 dan peraturan yang berlaku.
Semua auditor internal harus mengembangkan pemahaman tentang kerangka
pengendalian COSO. Inti dari kerangka pengendalian internal COSO adalah kita
harus mempertimbangkan bagaimana tiap pengendalian internal saling
berhubungan dengan pengendalian internal lain. Dimulai dengan tingkat bawah,
bagian berikut menjelaskan elemen kerangka kerja atau komponen COSO
pengendalian internal secara lebih rinci, yaitu :
a. Lingkungan Pengendalian
Lingkungan pengendalian merupakan pondasi/dasar struktur pengendalian
internal menurut COSO, yang berpengaruh terhadap struktur semua aktivitas
dan penilaian risiko, termasuk sejarah dan budaya perusahaan. Ketika
lingkungan pengendalian internal lemah, internal auditor hampir pasti akan
menambahkan daerah perhatian pengendalian internal. Dalam perusahaan
yang lebih kecil, faktor lingkungan pengendalian akan lebih informal, tetapi
masih harus fokus pada faktor lingkungan pengendalian yang tepat untuk
seluruh entitas, sebagai komponen penting dari pengendalian internal. Ada
beberapa komponen lingkungan pengendalian yang harus diterapkan
perusahaan, yaitu:
1. Integritas dan Nilai Etika
Integritas dan nilai-nilai etika mencakup tindakan manajemen untuk
menghilangkan atau mengurangi insentif dan godaan yang dapat
mendorong personel untuk terlibat dalam perilaku yang tidak jujur, illegal
dan tidak etis. Nilai ini merupakan pesan yang dikomunikasikan oleh
manajer senior. Jika perusahaan telah mengembangkan code of conduct
yang kuat, yang menentukan integritas dan nilai etika, dan bila para
pemegang kepentingan mengikutinya, seluruh pemegang kepentingan akan
memiliki keyakinan bahwa perusahaan telah memiliki nilai yang baik.
Code of conduct mendeskripsikan peraturan tentang perilaku etika.
Gangguan yang mendorong para pemegang kepentingan untuk
mengadakan audit: tidak ada pengendalian atau ada, tapi tidak efektif;
tingginya desentralisasi, sehingga menurunkan kesadaran top-manager
akan tindakan manajer di bawahnya; fungsi internal audit yang lemah;
sanksi tindakan yang tidak benar kurang berat atau tidak dipublikasikan.
2. Komitmen terhadap Kompetensi
Komitmen terhadap kompetensi mencakup pertimbangan manajemen
terhadap tingkat kompetensi untuk pekerjaan tertentu dan bagaimana
tingkat kompetensi tersebut diterjemahkan ke dalam pengetahuan dan
keterampilan yang dibutuhkan. Dengan menempatkan orang yang tepat
dalam pekerjaan yang tepat dan memberikan pelatihan yang cukup yang
diperlukan, perusahaan telah memenuhi komponen pengendalian internal
COSO yang penting.
3. Dewan Direksi dan Komite Audit
Dewan direksi dan komite audit harus benar-benar pihak yang independen
dan anggota-anggotanya harus terlibat dalam mengkaji aktivitas
manajemen. Dengan menetapkan kebijakan dan mereview seluruh kegiatan
perusahaan, dewan direksi dan komite audit memiliki tanggung jawab
penting untuk menetapkan pengendalian pada tingkat atas.
4. Filosofi Manajemen dan Gaya Operasi
Komponen ini harus dipahami oleh auditor internal dan menjadikannya
pertimbangan dalam mengevaluasi efektivitas pengendalian internal.
Filosofi manajemen dan gaya operasional mempertimbangkan semua
bagian dari lingkungan pengendalian suatu perusahaan. Auditor internal
bertanggung jawab untuk menilai pengendalian internal dan harus
memahami faktor-faktor ini dan mereka akan mengambil pertimbangan
ketika mengevaluasi efektivitas pengendalian internal. Tidak ada gaya dan
filosofi yang paling baik, tetapi faktor ini penting dalam mempertimbangkan
komponen pengendalian internal lainnya.
5. Struktur Organisasi
Struktur organisasi suatu entitas mendefinisikan jalur tanggung jawab dan
otoritas yang ada. Struktur organisasi adalah tatanan atau pendekatan atas
usaha bekerja individu untuk di ditugaskan dan disatukan guna meraih
seluruh tujuan. Struktur organisasi merupakan aspek penting dari
pengendalian internal perusahaan. Komponen ini menyediakan kerangka
untuk aktivitas perencanaan, pelaksanaan, pengawasan, dan pemantauan
guna membantu meraih tujuan. Komponen ini berhubungan dengan
bagaimana fungsi-fungsi yang ada dikelola dan diorganisir.
6. Pembagian Kewenangan dan Tanggung Jawab
Pengendalian internal sangat terpengaruh dengan tingkat dimana individu
sadar akan tanggung jawabnya. Suatu struktur organisasi perusahaan
mendefinisikan tugas dan integrasi sebagai total usaha kerja nya. Hal ini
akan menuntunnya menjadi chief executive, yang memiliki tanggung jawab
besar untuk semua aktivitas yang berhubungan dengan entitas, termasuk
sistem pengendalian internal.
7. Kebijakan SDM dan Praktika
Ada beberapa Kebijakan dan praktik seputar SDM yaitu:
- rekrutmen dan penetapan kerja (hiring)
- orientasi/pengarahan pegawai baru
- evaluasi, promosi, dan kompensasi
- tindakan disiplin
Komponen ini penting karena jika tidak ada kebijakan dan prosedur SDM
yang kuat, maka pesan dari atas dalam sturktur perusahaan tidak akan
tersampaikan.
8. Lingkungan Pengendalian COSO dalam Perspektif
Kerangka pengendalian internal COSO berupa piramid, dimana lingkungan
pengendalian menjadi pondasi. Perusahaan yang sedang membangun
pengendalian internal yang kuat harus memperhatikan komponen ini baik-
baik. Akan tetapi komponen lain juga tidak kalah penting. Evaluasi atas
pengendalian internal COSO bukan hanya mempertanyakan apakah debit
dan kredit sudah balance? akan tetapi karena kebutuhan kebijakan yang
kuat, yang fundamental tapi mungkin berbeda untuk tiap perusahaan.
b. Penilaian Risiko
Pengendalian internal COSO penilaian risiko harus menjadi proses ke depan
yang dilakukan di semua tingkatan dan untuk hampir semua kegiatan yang ada
dalam perusahaan. Penilaian risiko adalah kemampuan perusahaan untuk meraih
tujuannya memiliki risiko, dari internal maupun eksternal. COSO mendeskripsikan
penilaian risiko dalam 3 tahapan:
1. Mengestimasi signifikansi risiko
2. Menilai kemungkinan atau frekuensi terjadinya risiko
3. Mempertimbangkan bagaimana risiko harus dikelola dan tindakan apa yang
harus dilakukan.
Kerangka pengendalian internal COSO menyarankan risiko harus
dipertimbangkan dari 3 perspektif:
1. Risiko perusahaan dari faktor eksternal
Meliputi pengembangan teknologi yang dapat mempengaruhi sifat dan jgka
waktu riset dan development atau mendorong adanya perubahan proses
produksinya; perubahan kebutuhan atau harapan konsumen; penetapan
harga; garansi; atau aktivitas jasa (services).
2. Risiko perusahaan dari faktor internal
Misalnya gangguan server IT; kualitas kayawan; atau akses atas aktiva yang
lebih bebas.
3. Specific activity-level risks
Meliputi bidang pemasaran, IT, dan keuangan.
c. Pengendalian Kegiatan
Aktivitas Pengendalian adalah kebijakan dan prosedur yang membantu
memastikan bahwa tindakan yang diidentifikasi untuk mengatasi risiko ,
berdasarakan luasnya aktifitas kegiatan kontrol sub-proses. kegiatan pengendalian
ada di semua tingkatan dalam suatu perusahaan dan dalam banyak kasus,
berkemungkinan tumpang tindih satu sama lain. Konsep kegiatan kontrol adalah
bagian penting dari sebuah struktur dan kemudian membangun kontrol internal
yang efektif dalam suatu perusahaan. kerangka pengendalian internal COSO
mengidentifikasi serangkaian kegiatan ini dengan beberapa jenis proses. Dari
perspektif audit internal, mereka harus bersama-sama membantu dalam
membangun pengendalian internal yang efektif secara keseluruhan.
( i ). TYPES OF CONTROL ACTIVITIES
Top-Level Reviews
Manajemen dan auditor internal di berbagai tingkatan harus meninjau hasil
kinerja mereka, kontrasnya hasil dengan anggaran, statistik kompetitif, dan
pengukuran acuan lainnya. tindakan manajemen untuk menindak lanjuti hasil
tinjauan tingkat atas ini dan untuk mengambil korektif tindakan merupakan
aktivitas pengendalian
Direct functional or activity management
Manajer di berbagai tingkatan harus meninjau laporan operasional dari
sistem kontrol mereka dan mengambil korektif tindakan yang sesuai. Banyak
sistem manajemen telah dibangun untuk menghasilkan laporan pengecualian
meliputi kegiatan pengawasan
Information Processing
IT mengandung banyak kontrol di mana sisteminternal memeriksa kepatuhan
di daerah tertentu dan kemudian melaporkan setiap pengecualian kontrol
internal. Mereka melaporkan item, kecuali apabila harus menerima
koreksitindakan dengan prosedur sistem otomatis, oleh personel operasional
atau oleh manajemen.kegiatan pengendalian lainnya termasuk kontrol atas
pembangunan sistem baru atau akses lebih ke data dan file program.
kontrol fisik.
Perusahaan harus memiliki kontrol yang tepat atas fisik asetnya, termasuk
perlengkapan, persediaan, dan surat berharga. Program aktif persediaan
periodik fisik merupakan aktivitas pengendalian utama di sini,dan auditor
internal dapat memainkan peran utama dalam memantau kepatuhannya.
(ii) INTEGRATION OF CONTROL ACTIVITIES WITH RISK ASSESSMENT Control activities
Seharusnya terkait erat dengan risiko yang teridentifikasi dari pengendalian
internal COSO komponen penilaian risiko . pengendalian internal adalah proses, dan
kegiatan kontrol yang tepat harus digunakan untuk mengatasi risiko diidentifikasi.
Sebuah aktivitas pengendalian atau prosedur tidak harus di tinggalkan hanya
karena belum ada insiden pelanggaran kontrol di tahun terakhir, tetapi manajemen
perlu secara berkala untuk mengevaluasi kembali risiko relatif. Semua kegiatan
pengendalian internal harus berkontribusi terhadap struktur pengendalian secara
keseluruhan. Intern auditor harus menjaga konsep ini dalam pikiran mereka untuk
meninjau kontrol internal dan membuat rekomendasi.
(iii) CONTROLS OVER INFORMATION SYSTEMS The COSO
Kerangka pengendalian internal menekankan bahwa prosedur pengendalian
yang diperlukan atas semua IT yang signifikan atau informasi sistem-keuangan,
operasional, dan kepatuhan terkait. kontrol internal COSO mengarahkan sistem
informasi kontrol menuju hal yang diakui secara umum dan kontrol aplikasi. kontrol
umum berlaku untuk banyak fungsi sistem informasi untuk membantu memastikan
prosedur pengendalian yang memadai atas semua aplikasi.Kunci keamanan fisik di
pintu ke server pusat IT adalah suatu pengendalian umum untuk semua aplikasi
yang berjalan di atas server dalam fasilitas itu.

d. Communications and Information


Perusahaan harus memiliki prosedur yang efektif untuk berkomunikasi dengan
pihak internal dan eksternal. informasi ini danarus komunikasikan dalam
perusahaan dan harus dipahami untuk setiap evaluasi pengendalian internal.
( i ) RELATIONSHIP OF INFORMATION AND INTERNAL CONTROL
Suatu perusahaan membutuhkan informasi di semua tingkatan untuk
mencapai tujuan operasional, tujuan keuangan, dan tujuan kepatuhannya.Misalnya,
perusahaan membutuhkan informasi untuk mempersiapkan laporan keuangan yang
dikomunikasikan kepada investor luar serta biaya internal dan informasi preferensi
pasar eksternal untuk membuat keputusan pemasaran yang tepat. Informasi ini
harus mengalir baik dari tingkat atas perusahaan ke tingkat yang lebih rendah dan
dari tingkat yang lebih rendah ke tingkat atas. pengendalian internal COSO
mengambil pendekatan yang luas untuk konsep dari suatu sistem informasi,
mengakui bahwa sistem dapat manual, otomatis, atau konseptual. Setiap sistem ini
dapat formal atau informal. percakapan biasa dengan pelanggan atau pemasok
dapat menjadi sumber yang sangat penting dari informasi dan adalah tipe informal
dari suatu sistem informasi. Perusahaan yang efektif harus memiliki sistem
informasi di tempat untuk mendengarkan permintaan pelanggan atau keluhan dan
kedepannya Informasi diprakarsai pelanggan untuk personil yang tepat.
Kualitas Informasi. laporan pengendalian internal COSO merupakan bagian
singkat dari pentingnya kualitas informasi. sistem informasi berkualitas rendah, di
isi dengan kesalahan dan kelalaian, mempengaruhi kemampuan manajemen untuk
membuat keputusan yang tepat .Laporan harus mengandung cukup data dan
informasi untuk mendukung efektifnya kegiatan pengendalian internal. Untuk
menentukan kualitas informasi, harus memastikan apakah:
Isi informasi yang dilaporkan adalah tepat.
Informasi tersebut tepat waktu dan tersedia bila diperlukan.
informasi yang saat ini atau setidaknya informasi terbaru yang tersedia.
Data dan informasi yang benar.
Informasi ini dapat diakses oleh pihak tepat
(ii) THE COMMUNICATIONS ASPECT OF INTERNAL CONTROL
Komunikasi didefinisikansebagai elemen pengendalian internal yang terpisah dalam
rangka pengendalian internal COSO. saluran komunikasi memungkinkan individu
untuk melaksanakan pelaporan keuangan mereka, operasional,dan tanggung jawab
kepatuhan. COSO menekankan bahwa komunikasiharus berlangsung pada tingkat
yang luas, termasuk berurusan dengan individu atau kelompok dan sesuai dengan
harapan mereka. saluran komunikasi yang sesuai adalah elemen penting dalam
kerangka keseluruhan pengendalian internal, dan perusahaan perlu untuk
membangun seluruh saluran ini pada berbagai tingkatan organisasi dan serta
sebagai kegiatan dengan pihak luar yang berkepentingan.
e. Monitoring
Proses monitoring harus gunakan untuk menilai efektivitas didirikannya
komponen pengendalian internal dan mengambil tindakan korektif jika diperlukan.
Sementara seperti proses monitoring, tentunya menunjuk pada peran penting dari
audit internal, komponen pengendalian internal tidak dapat diturunkan hanya untuk
internal auditor ketika manajemen tetap menyadari masalah kontrol potensial
lainnya.
(i) ONGOING MONITOR ACTIVITIES
Banyak fungsi bisnis rutin dapat dicirikankegiatan monitoring. Meskipun auditor
internal sering tidak selalumemikirkan fungsi dengan cara itu, pengendalian internal
COSO memberikan contoh-contohkomponen pemantauan pengendalian intern
sebagai berikut :
Operating management normal functions
Communications from external parties
Enterprise structure and supervisory activities.
Physical inventories and asset reconciliation.
(ii) SEPARATE INTERNAL CONTROL EVALUATION
Proses evaluasi Pengendalian Internal. pengendalian internal COSO bahan
menguraikan proses evaluasi untuk meninjau kontrol internal. Diantaranya
evaluator harus:(1) mengembangkan pemahaman tentang desain sistem, (2) uji
kontrol kunci, dan (3) mengembangkankesimpulan berdasarkan hasil tes. Ini benar-
benar proses audit internal. pengendalian internal COSO juga menyebutkan
benchmarking sebagai pendekatan alternatif. enchmarking adalah membandingkan
prosedur proses dan kontrol suatu perusahaandengan orang-orang dari perusahaan
rekan. Perbandingan yang dibuat dengan perusahaan sejenisatau terhadap statistik
industri diterbitkan. Pendekatan ini nyaman untukbeberapa langkah-langkah tapi
penuh dengan bahaya bagi orang lain.

5. Other Dimensions of the COSO Internal Controls Framework


Kita kadang-kadang lupa bahwa COSO pengendalian internal framework
adalah tiga dimensiModel, seperti yang ditunjukkan pada gambar 3.1. Selain model
dimensi menghadap ke depanyang meliputi kegiatan pengendalian, dimensi sisi
kanan mencakup entitas atau kegiatan, sementara bagian atas kerangka kubus
mencakup tiga dimensi semuapengendalian internal, diantaranya:
Keandalan pelaporan keuangan
Kepatuhan terhadap hukum dan peraturan yang berlaku
Efektivitas dan efisiensi operasi
Kerangka pengendalian internal COSO , seperti yang ditunjukkan dalam
pameran 3.1, menjadi standar di seluruh dunia untuk membangun dan
mengembangkan kontrol internal yang efektif pada proses yang berkesinambungan
di masing-masing tiga dimensi. Di sisi depan menghadap dari Model, komponen
pemantauan di atas adalah nilai yang kecil kecuali proses pengendalian internal
berada di sepanjang jalan dasar lingkungan pengendalian internal. Demikian pula,
kontrol internal yang efektif harus dipasang di semua tingkat organisasi unit, dan
masing-masing kontrol harus peka terhadap tiga besar menghadap internal
yangelemen kontrol.

6 Kebutuhan Audit Internal CBOK


Pengendalian internal .COSO berbeda dari perspektif audit yang internal
CBOK. Kerangka ini menjadi standar dunia untuk membangun dan mengevaluasi
semua tingkatan pengendalian internal. Semua auditor internal harus memahami
tiga-Pendekatan dimensi untuk melihat dan mengevaluasi pengendalian internal.
Bab ini telah diringkas laporan COSO Internal Control-Integrated Framework,
keterangan resmi pengendalian internal COSO framework. Sebuah studi yang lebih
rinci laporan yang dapat membantu auditor internal memperoleh lebih banyak
pengetahuan tentang pengendalian internal COSO, layaknya pentingnya internal
mengaudit CBOK.