Chapter 3

Kerangka Pengendalian Internal: Standar COSO

Memahami dan menerapkan pengendalian internal yang efektif adalah prinsip dasar
dari audit internal. Sebuah sistem pengendalian internal telah dan terus menjadi dasar untuk
prosess operasional dan akuntansi bisnis yang efektif, dan aktivitas audit internal utama
melibatkan mengevaluasi dan menilai tingkat beberapa dari kontrol.
3.1 Pentingnya pengendalian internal yang efektif
Pengendalian internal adalah salah satu konsep yang paling penting dan mendasar
yang profesional bisnis di semua tingkatan dan baik auditor eksternal dan internal harus
memahami. Bisnis profesional membangun dan menggunakan pengendalian internal untuk
review oleh auditor di kedua wilayah operasional dan keuangan di enteprise dengan tujuan
mengevaluasi pengendalian internal mereka.
Definisi pengendalian internal adalah: "Proses pengendalian internal dilaksanakan
oleh manajemen, yang dirancang untuk memberikan jaminan rasionable untuk:
- Informasi keuangan dan operasional terpercaya
- Kepatuhan dengan kebijakan dan rencana prosedur, hukum, aturan, dan peraturan
- Perlindungan asset
- Strategi Operasional
- Pencapaian misi didirikan, tujuan dan sasaran untuk operasi perusahaan dan program
- Integritas dan etika nilai-nilai.
Sebuah unit usaha atau proses memiliki pengendalian internal yang baik jika:
- Menyelesaikan misi tated dalam cara yang etis
- Menghasilkan data yang akurat dan terpercaya
- Sesuai dengan hukum yang berlaku dan kebijakan perusahaan
- Menyediakan untuk keperluan ekonomis dan efisien sumber daya
- Menyediakan untuk pengamanan sesuai aset
Definisi kontrol oleh The Institute of Internal Auditor (IIA) Standar
Internasional untuk praktek Audit Intern:
"Kontrol adalah setiap tindakan yang diambil oleh manajemen, dewan dan pihak lain untuk
mengelola risiko dan meningkatkan kemungkinan bahwa didirikan tujuan dan sasaran yang
akan dicapai. rencana manajemen, mengatur, iklan langsung kinerja tindakan yang cukup
untuk memberikan keyakinan memadai bahwa tujuan dan sasaran yang akan dicapai "

3.2 Standar Pengendalian Internal: Latarbelakang

Tidak ada kesepakatan yang konsisten dari apa yang dimaksud kontrol internal. Tapi,
peraturan SEC untuk Secuities Exchange Arts 1934 menyediakan titik awal yang baik. Jadi,
definisi dari pengendalian internal:
"Pengendalian internal terdiri rencana perusahaan dan semua koordinat metode dan
langkah-langkah yang diadopsi dengan bisnis untuk pengamanan aset, memeriksa ketepatan
dan reliabilitasnya data akuntansi, meningkatkan efisiensi operasional, dan mendorong
ketaatan terhadap kebijakan manajerial yang ditentukan"
Kontrol administratif oleh AICPA meliputi:
- Rencana Tha dari perusahaan dan prosedur
- Catatan yang prihatin dengan proses pengambilan keputusan yang mengarah ke
authorizatio manajemen transaksi
Selama bertahun-tahun melalui tahun 1970-an, SEC dan AICPA dirilis banyak sering
sedikit berbeda definisi pengendalian internal.
a. definisi pengendalian internal: praktek konsep asing bertindak 1977
Foreign Corrupt Practices Act melarang tindakan suap pada pejabat non-Amerika
serta mengandung ketentuan yang mengharuskan pengelolaan pembukuan dan pencatatan
sesuai sistem kontrol akuntansi. FCPA ini secara khusus berdampak pada auditor intenal
maupun eksternal. FCPA mengharuskan perusahaan sesuai regulasi SEC ( ketetapan FCPA
sama dengan kontrol akuntansi sesuai AICPA ) untuk :
Membuat dan menjaga pembukuan, pencatatan, dan akun-akun terkait untuk memiliki
kejelasan secara mendetail dan akurat serta merefleksikan transaksi dan disposisi aset
perusahaan
Merancang dan mengelola sistem pengendalian akuntansi secara internal yang
menjamin transaksi sesuai otorisasi manajemen dan persiapan laporan keuangan
sesuai prinsip akuntansi dan mengelola akuntabilitas aset sesuai GAAP atau kriteria
lainnya
o Transaksi dilakukan sesuai dengan persyaratan
o Transaksi dicatat sebagai kebutuhan
Akses kepada aset dilakukan hanya dengan otorisasi manajemen
Pencatatan akuntabilitas atas aset diperbandingkan dengan aset yang ada sesuai
interval wajar dan tindakan yang diambil sehubungan dengan perbedaan yang ada.
FCPA sendiri berdampak cukup signifikan pada awalnya karena manajemen
dituntu untuk bertanggungjawab atas sistem pengendalian akuntansi yang layak. FCPA
pun mengharuskan entitas untuk mengelola pencatatan akuntansi secara akurat yang
menggambarkan transaksi yang dilakukan dalam detail yang masuk akal . Maksud
utama dari FCPA ini secara khusus harus menyatakan pencatatan transaksi yang akurat
dan sesuai dengan prinsip akuntansi, menghindari praktik dana gelap untuk menyediakan
laporan keuangan yang tidak sesuai, serta tindakan suap. Sejak 30 tahun lalu, FCPA
menjadi serangkaian peraturan tatakelola perusahaan yang sangat kuat untuk mengatur
perusahaan. Melalui penerapan FCPA, dewan direksi dan komite audit secara rutin
meninjau pengendalian internal yang ada di perusahaan.
FCPA adalah penting karena untuk pertama kalinya, manajemen dibuat
bertanggung jawab atas sistem yang memadai dari kontrol akuntansi internal. Selain itu,
 FCPA mengharuskan perusahaan ini menyimpan catatan yang akurat mencerminkan
transaksi mereka "secara rinci wajar".
b. Dampak dari FCPA
Sejak penerapannya, FCPA berdampak besar untuk menilai dan mendokumentasi
sistem pengendalian internal yang berlaku di US. Jika perusahaan sebelumnya tidak
pernah mendokumentasi bentuk pengendalian internal, sejak diberlakukakannya FCPA,
perusahaan tersebut memulai bentuk pengendalian internal.
Banyak perusahaan mengantisipasi adanya peraturan tambahan sejak
ditetapkannya FCPA, namun hal ini tidak terjadi. Tindakan secara legal secara mendasar
tidak serta merta dilakukan sesuai ketetapan FCPA. Misalnya, tidak adanya inspeksi
dokumen seperti yang ditetapkan di FCPA untuk diinspeksi berkala. FCPA pun akhirnya
diubah di 1990-an hanya untuk memperkuat dan mengubah kebijakan antikorupsi saja,
sekalipun fokus penetapan FCPA 1977 menerangkan pentingnya pengendalian internal
yang efektif. FCPA menjadi langkah awal bagaimana perusahaan melakukan pengendalian
internal yang efektif meski sebelumnya tidak dinyatakan dengan standar / panduan sesuai
ketetapan FCPA. Apabila fungsi kepatuhan terhadap pengendalian internal efektif
diperkuat dalam perundang-undangan ini, SOx tidak akan ada.
3.3 Acara yang Mengarah ke Commision Treadway
FCPA diperlukan perusahaan pelapor untuk mendokumentasikan kontrol internal
mereka tetapi tidak meminta auditor eksternal untuk membuktikan apakah suatu perusahaan
telah memenuhi persyaratan pelaporan pengendalian internal FCPA ini. SEC kemudian mulai
studi tentang kecukupan pengendalian intern dan mengeluarkan serangkaian laporan selama
periode 10-tahun untuk lebih menentukan baik makna pengendalian intern dan tanggung
jawab auditor eksternal untuk melaporkan mereka kontrol.
Pada 1974, AICPA membentuk Komisi tingkat tinggi terkait dengan Tanggungjawab
Auditor yang dikenal dengan Cohen Commission. Komisi ini ditetapkan dalam kondisi bahwa
suatu pengendalian internal badan usaha harus diperlukan sesuai dengan laporan
keuangannya. Meski penetapan Cohen Commission hampir bebarengan dengan FCPA,
banyak kritik terjadi. Khususnya kritikan pada laporan rekomendasi yang tidak sesuai dengan
apa yang dimaksud dalam laporan pengendalian internal serta auditor eksternal berkaitan
kuat dengan perannya dalam hal yang seharusnya dilakukan auditor internal. Dahulu, auditor
eksternal memerhatikan liabilitas potensial bilamana laporan pengendalian internal
menyatakan ketidaktepatan akibat kurangnya pengertian pada pengendalian internal. Meski
auditor terbiasa membuktikan kelayakan laporan keuangan, Laporan Cohen Commission
dipanggil. Hal itu dikarenakan opini audit atas kelayakan penegasan pengendalian manajemen
dalam menyusun laporan keuangan.
Financial Executive International pun dilibatkan dalam melaporkan kontroversi pada
pengendalian internal. FEI pada 1970 mengesahkan rekomendasi pengendalian internal yang
dilakukan Cohen Commission dan menyetujui bahwa perusahaan harus melaporkan
pengendalian internal dalam bidang akuntansi. Hasilnya, banyak perusahaan US
mendiskusikan kelayakan pengendalian internal dalam laporan tahunan manajemen. Hal
mengenai pengendalian internal ini tergabung dalam laporan tahunan manajemen tanpa
mengikuti standar apapun. Secara singkat, perusahaan hanya menyatakan secara periodik
tentang penilaian pengendalian internal. Inilah yang menyebabkan terjadinya negative
assurance yang selanjutnya didiskusikan karena auditor eksternal tidak bisa mendeteksi
problem yang dihadapi dan risiko litigasi potensial. Oleh sebab itu, laporan pengendalian
manajemen hanya menyatakan tidak adanya masalah sehingga menggiring auditor untuk
percaya begitu saja. SEC kemudian menerbitkan aturan tambahan yang bersifat wajib bagi
perusahaan dalam rangka sistem pengendalian akuntansi perusahaan.
a. AICPA Standard : SAS no. 55
AICPA sering dikritik sebelum penetapan SOx akibat tidak adanya panduan
terhadap auditor eksternal dan pengguna lainnya untuk mengetahui laporan kelayakan
laporan keuangan yang dipublikasi. Oleh sebab itu muncullah serangkaian Statement on
Auditing Standard dari 1980 hingga 1985, termasuk SAS no.30 yang menyediakan
panduan secara terminologi untuk digunakan dalam laporan pengendalian internal.
Namun SAS no.30 tidak begitu membantu menurut kritik akuntan
publik berkaitan konsep pengendalian internal. Hal itu mendorong munculnya
SAS no. 55 ( Pertimbangan Struktur Pengendalian Internal dalam Audit Laporan
Keuangan ) dalam 3 elemen yaitu Control Environment, Accounting System, dan Control
procedures. SAS No.55 menunjukkan pendekatan lain untuk mengerti bentuk
pengendalian internal. Sebelum adanya SAS No.55, kebijakan pengendalian internal
perusahaan tidak begitu sering dipertimbangkan kelayakannya oleh auditor eksternal. SAS
No.55 menerangkan konsep yang lebih luas mengenai internal control dan menyediakan
dasar pendefinisian internal control sesuai COSO
b. Laporan Komite Treadway
Laporan Treadway Committee bertujuan untuk mengidntifikasi faktor penyebab
yang memungkinkan terjadinya penipuan dalam pelaporan keuangan. Dasar
pembentukannya karena banyak perusahaan melaporkan kecukupan pendapatan dalam
laporan keuangan yang diaudit hanya karena untuk bertahan dari kejatuhan finansial. Isu
 yang berkembang saat itu adanya inflasi tinggi saat itu dan ketidakstabilan perusahaan
setelah menerbitkan laporan itu. Laporan Final Treadway Committee diterbitkan pada
1987 dan termasuk rekomendasi pada manajemen, dewan direksi, akuntan publik dan
lainnya. Laporan ini juga dikenal sebagai laporan manajemen dalam efektivitas sistem
pengendalian internal dan menerangkan elemen kunci dalam apa yang seharusnya ada
pada :
Kode etik
Control Environment
Komite Audit kompeten
Fungsi audit internal yang kuat
Hal yang sama dengan COSO untuk mengelola Laporan Treadway, yang kemudian
kontrak dengan spesialis dari luar dan memulai proyek untuk mendefinisikan konsep
pengendalian internal. Laporan Treadway penting dalam meningkatkan perhatian dalam
pelaporan pada kontrol internal
3.4 COSO Internal Control Framework
a. Kontrol Lingkungan

8 Lima profesional audit dan akuntansi organisasi membentuk panitia-

COSO-kemudian merilis laporan pengendalian internal, dengan judul resmi
melaporkan Pengendalian Internal atau kerangka. Setelah beberapa penyesuaian, laporan
pengendalian COSO internal akhir dirilis pada September 1922. Meskipun tidak standar
wajib kemudian, laporan mengusulkan kerangka kerja umum untuk definisi pengendalian
internal serta prosedur untuk mengevaluasi mereka kontrol.
COSO memberikan keterangan axcellent dari konsep ini multidimensi kontrol
internal, mendefinisikan pengendalian internal dengan cara:
Pengendalian internal adalah proses, dipengaruhi oleh dewan entitas direksi, manajemen,
dan personil lainnya. ro dirancang memberikan keyakinan memadai tentang pencapaian
tujuan dalam kategori berikut:
- Efektivitas dan efisiensi operasi
- Keandalan pelaporan keuanga
- Kepatuhan dengan hukum dan peraturan yang berlaku
Berdasarkan ini definisi yang sangat umum Pengendalian Internal, COSO
menggunakan model tiga dimensi untuk menggambarkan suatu sistem pengendalian
internal di perusahaan. Ada COSO pengendalian internal framework sebagai:
o model tiga dimensi
- bisnis kontrol entitas-tingkat
- kegiatan unit usaha
o lima tingkat di sisi depan menghadap
- lingkungan pengendalian internal
Dasar dari setiap struktur pengendalian internal karena memiliki pengaruh yang
luas pada bagaimana semua kegiatan yang terstruktur dan risiko yang dinilai. Lingkungan
pengendalian merupakan dasar untuk semua komponen lain dari pengendalian internal;
memiliki pengaruh pada masing-masing tiga tujuan dan kegiatan satuan dan entitas secara
keseluruhan. Ada komponen dari lingkungan pengendalian:
1) Sebuah Integritas dan Etika Nilai-nilai
Kolektif integritas dan etika nilai-nilai suatu perusahaan merupakan
elemen lingkungan pengendalian penting. Nilai-nilai ini sering didefinisikan oleh
pesan nada-di-the-top dikomunikasikan oleh manajemen senior. Jika perusahaan telah
mengembangkan kode yang kuat dari perilaku yang menekankan integritas dan etika
nilai-nilai, dan jika strakeholders muncul mengikuti kode itu, semua pemangku
kepentingan akan memiliki jaminan bahwa perusahaan memiliki baik set nilai-nilai.
Sebuah kode etik merupakan komponen penting dari tata kelola organisasi dan dibahas
lebih lanjut.
2) Komitmen untuk Kompetensi
Lingkungan pengendalian suatu perusahaan dapat terkikis serius jika sejumlah
besar posisi dipenuhi dengan orang-orang kurang keterampilan kerja yang dibutuhkan.
Internal Auditor, khususnya, akan menghadapi situasi ini dari waktu ke waktu dalam
tinjauan mereka, mewawancarai orang yang ditugaskan untuk pekerjaan tertentu yang
tampaknya tidak, memiliki keterampilan yang sesuai, pelatihan atau bahkan intelijen
untuk melakukan pekerjaan yang
3) Dewan Direksi dan Komite Audit
Lingkungan pengendalian sangat dipengaruhi oleh tindakan dari dewan
perusahaan direksi dan komite audit. Pada tahun-tahun sebelum Sox, papan dan
Komite untuk audit mereka sering didominasi oleh manajemen senior dalam direksi,
dengan representasi terbatas dari luar, anggota dewan minoritas.
4) Filosofi Manajemen dan Gaya Operasi
Komponen kontrol intenal ini menyediakan kerangka kerja untuk perencanaan,
pelaksanaan, pengendalian dan kegiatan untuk membantu mencapai tujuan
keseluruhan pemantauan. Kontrol ini faktor lingkungan berkaitan dengan bagaimana
fungsi dikelola dan diatur.
5) Struktur Organisasi
6) Tugas Wewenang dan Tanggung Jawab
Aspek kerangka-kerja COSO ini dari lingkungan pengendalian
mirip dengan komponen struktur organisasi. Struktur organisasi suatu
 perusahaan mendefinisikan kewajiban dan integrasi usaha adalah keseluruhan
tugasnya. Kewajiban dan otoritas pada dasarnya cara tanggung jawab
didefinisikan dalam hal deskripsi pekerjaan dan terstruktur dalam hal grafik
perusahaan.
7) Kebijakan dan Praktik Sumber Daya Manusia
Praktik sumber daya manusia meliputi perekrutan, orientasi, pelatihan,
evaluasi, konseling, promosi, kompensasi dan mengambil tindakan-tindakan remedial.
Area di mana kebijakan dan praktik sumber daya manusia yang sangat penting
meliputi:
- Recruitment and hiring Perusahaan seharusnya mengambil langkah perekrutan
yang terbaik dengan memberikan kualifikasi kandidat dan wawancara.
- New employee orientation Karyawan baru seharusnya diberi sinyal yang jelas
terkait sistem nilai perusahaan dan konsekuensi ketika tidak mematuhi nilai
tersebut. Karyawan baru juga dikenalkan dengan kode perintah dan meminta
mereka dengan formal untuk menerima kode tersebut.
- Evaluation, promotion, and compensation Beberapa isu haruslah dievaluasi,
misalnya isu kompensasi yang dapat mengganggu kenyamanan pekerja.
- Disciplinary actions Konsisten terhadap kebijakan perlu dilakukan untuk
memberikan aksi disiplin.
b) Penilaian Risiko Pengendalian Internal
Penilaian risiko pengendalian internal COSO harus menjadi proses ke
depan yang dilakukan di semua tingkat dan untuk hampir semua kegiatan dalam
perusahaan. COSO menggambarkan penilaian risiko sebagai proses tiga langkah:
- Perkirakan signifikansi risiko.
- Menilaikemungkinan atau frekuensi risiko yang terjadi.
- Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa harus
diambil.
Berbagai macam risiko, yang disebabkan oleh salah satu sumber internal atau
eksternal, dapat mempengaruhi perusahaan secara keseluruhan. Pengendalian
internal COSO menunjukkan bahwa risiko harus dipertimbangkan dari tiga perspektif:
- Enterprise risks due to external factors
Termasuk resiko perkembangan teknologi yang dapat mempengaruhi sifat dan
waktu penelitian dan pengembangan produk baru atau menyebabkan
perubahan dalam proses pengadaan. Resiko dari faktor eksternal lainnya
mencakup kebutuhan pelanggan yang berubah atau harapan, harga, garansi,
atau aktivitas layanan.
- Enterprise risks due to internal factors
 Sebagai auditor internal sering menyoroti tinjauan mereka terusmenerus, akan
ada banyak jenis tingkat risiko perusahaan. Sebagai contoh, gangguan dalam
IT server suatu perusahaana atau yang lainnya yang dapat mempengaruhi operasi
perusahaan secara keseluruhan. Selain itu, kualitas kerja karyawan, serta
pelatihan atau motivasi, dapat mempengaruhi tingkat kepedulian terhadap
pengendalian dalam entitas. Selain itu, sejauh mana kemudahan akses
karyawan terhadap aktiva yang dapat berakibat untuk penyalahgunaan sumber
daya. Meskipunsekarang dapat diatasi oleh SOX, laporan pengendalian internal
COSO juga menyebutkan bahwa resiko ketidak tegasan atau ketidak efektifan
dari dewan komisaris dan komite audit dapat memberikan peluang untuk tidak
bijaksana.
- Specified activity-level risk
Resiko juga harus dipertimbangkan untuk setiap unit bisnis yang signifikan dan
aktivitas kunci, seperti untuk pemasaran, IT, dan keuangan. Hal ini
diperlukan mengingat resiko-resiko ini dikhawatirkan tidak terdeteksi pada dua
perspektif lainnya.
c) Kegiatan Pengendalian Internal
Adalah kebijakan dan prosedur yang membantu memastikan
bahwa tindakan yang diidentifikasi untuk mengatasi risiko dilakukan,
menyusul berbagai kegiatan kontrol sub-proses informasi dan komunikasi
pengendalian intern Informasi yang tepat, didukung oleh sistem IT, kenaikan dan
penurunan perusahaan harus dikomunikasikan dengan cara dan waktu yang
memungkinkan orang untuk melaksanakan tanggung jawab mereka. Selain sistem
komunikasi formal dan informal, perusahaan harus memiliki prosedur yang efektif
untuk berkomunikasi dengan pihak internal dan eksternal perushaan. Informasi
tersebut harus dikomunikasikan dan dipahami untuk setiap evaluasi pengendalian
internal perusahaan. Sebuah perusahaan membutuhkan informasi di semua tingkatan
untuk mencapai tujuan operasional, keuangan, dan kepatuhan. Sebagai contoh,
perusahaan membutuhkan informasi untuk menyiapkan laporan keuangan yang
dikomunikasikan kepada investor luar untuk membuat keputusan pemasaran yang
tepat.
1) Tipe Aktivitas Pengendalian
- Top-level reviews
Manajemen dan auditor internal di berbagai tingkatan, harus
meninjau hasil kinerja mereka. Langkah manajemen untuk menindaklanjuti
 hasil review tersebut dan melakukan tindakan perbaikan merupakan aktivitas
pengendalian.
- Direct functional or activity management
Manajer di berbagai tingkatan harus menelaah laporan operasional
dari sistem kontrol mereka dan mengambil tindakan korektif yang
diperlukan. Banyak sistem manajemen telah dibangun untuk menghasilkan
laporan pengecualian tersebut meliputi kegiatan pengendalian. Sebagai
contoh, sebuah keamanan sistem TI akan memiliki mekanisme untuk
melaporkan upaya akses yang di otorisasi. Kegiatanpengendalian di sini
adalah proses pengelolaan untuk menindaklanjuti laporkan kejadian dan
mengambil tindakan koreksi yang tepat.
- Information processing
Sistem TI mengandung banyak pengendalian internal di mana sistem
memeriksa kepatuhan di area tertentu dan kemudian melaporkan setiap
pengecualian pengendalian internal. Itemitem pengecualian yang dilaporkan
harus ada tindakan korektif dari prosedur sistem otomatis, oleh pegawai
operasional, atau oleh manajemen. Kegiatan pengendalian lainnya termasuk
kontrol atas pengembangan system yang baru atau kelebian akses ke data
dan file program.
- Physical controls
Perusahaan harus memiliki kontrol yang sesuai terhadap fisik aset,
termasuk perlengkapan, persediaan, dan surat berharga. Program aktif dari
persediaan fisik secara berkala merupakan aktivitas pengendalian utama di
sini, dan auditor internal dapat memainkan peran utama dalam pengawasan
kepatuhan.
- Performance indicators
Manajemen harus mengacu pada sekumpulan data, baik operasional
dan keuangan, dan mengambil Langkah analitis, investigasi, atau koreksi
yang tepat. Proses ini merupakan kegiatan usaha kontrol yang penting
yang juga dapat memenuhi persyaratan laporan keuangan dan operasional.
- Segregation of duties.
Tugas harus dipisahkan antara orang yang berbeda untuk langkah
mengurangi risiko kesalahan atau yang tidak pantas. Kegiatan pengendalian
ini termasuk dalam laporan pengendalian internal COSO tetapi hanya
 mewakili sebagian kecil dari banyaknya kegiatan pengawasan yang
dilakukan dalam kegiatan normal perusahaan. Kegiatan pengendalian
biasanya melibatkan kebijakan menetapkan apa harus dilakukan dan
prosedur untuk dampak kebijakan tersebut.
2) Integritas Aktivitas Pengendalian dengan Resiko Asesessment
Aktivitas pengendalian harus terkait erat dengan risiko yang
teridentifikasi dari komponen penilaian risiko pengendalian internal COSO.
Pengendalian internal adalah suatu proses, dan kegiatan pengendalian yang
sesuai harus diterapkanuntuk mengatasi risiko diidentifikasi. Aktivitas
pengendalian tidak boleh dilakukanhanya karena mereka tampaknya menjadi hal
yang benar untuk dilakukan bahkan jika tidak ada risiko yang signifikan di
daerah di mana aktivitas pengendalianakan diterapkan.
3) Controls Over Information Systems
Pengendalian internal COSO framework menekankan bahwa prosedur
pengendalian diperlukan atas semua sistem keuangan pembentukan IT yang
signifikan atau sistem informasi keuangan, operasional, dan kepatuhan yang
terkait.
4) Communications and Information
Komunikasi dan informasi merupakan hal yang berhubungan, namun berbeda
dalam kerangka pengendalian internal. Informasi yang baik didukung oleh sistem
TI. Sistem komunikasi baik formal maupun informal perusahaan harus memiliki
prosedur yang efektif untuk berkomunikasi dengan pihak internal dan eksternal.
1. Hubungan antara Informasi dan Pengendalian Internal
Perusahaan membutuhkan informasi pada semua tingkat untuk operasi,
keuangan, dan patuh objek perusahaan. Informasi harus mengikuti tingkat atas
perusahaan hingga tingkat bawah dan dari tingkat bawah hingga tingkat atas.
a. Sistem yang strategis dan terintegrasi
Pengendalian internal COSO menyarankan perusahaan yang efektif harus
berdasarkan aplikasi inti untuk mengimplementasi sistem informasi yang
terintegrasi dan strategis. Dengan sistem yang strategis, pengendalian
internal COSO menyarankan manajemen untuk mempertimbangkan
perencanaan, desain, dan implementasi sistem informasinya sebagai bagian
dari strategi perusahaan secara keseluruhan. COSO juga menekankan pada
pentingnya sistem informasi yang terintegrasi dengan operasi lainnya.
b. Kualitas informasi
 Kualitas sistem informasi yang buruk dan dipenuhi dengan error dan
kelalaian akan berdampak pada kemampuan manajemen dalam mengambil
keputusan yang tepat. Untuk menentukan kualitas informasi, hal-hal
dibawah ini harus diperhatikan, yaitu:
a. Isi dari informasi tersebut harus tepat
b. Informasi harus tepat waktu dan tersedia saat dibutuhkan
c. Informasi harus mutakhir atau terbaru
d. Data dan informasi harus benar
e. Informasi harus mudah didapat doleh pihak yang membutuhkan
2. Aspek Komunikasi Pengendalian Internal
Saluran komunikasi yang tepat merupakan hal penting dalam kerangka
pengendalian internal keseluruhan, dan sebuah perusahaan harus membuat
saluran tersebut kerena tingkat organisasi yang beragam dan aktivitas
ketertarikan pihak luar terhadap perusahaan. Namun auditor internal hanya
berfokus pada komunikasi formal seperti aplikasi TI dan manual prosedur.
a. Komponen internal
Berdasarkan pengendalian internal COSO, komponen paling penting dalam
komunikasi adalah ketika stakeholder harus menerima pesan dari
manajemen senior mengenai tanggung jawab pengendalian internal
mereka. Antara manajemen puncak dan dewan direksi harus ada saluran
komunikasi yang baik.
b. Komponen eksternal
Perusahaan harus membangun komunikasi yang baik dengan pihak
eksternal perusahaan. Komunikasi eksternal dapat menjadi hal yang sangat
penting untuk mengidentifikasi permasalahan pengendalian potensial.
Seperti complain pelanggan mengani pelayanan, pembayaran dan kualitas
produk.
c. Cara berkomunikasi
COSO merangkum elemen komunikasi sebuah perusahaan yang sudah
maju dan lama menjanakan bisnisnya dengan integritas dan budayanya
yang mudah dipahami oleh orang-orang dalam perusahaan, akan
menemukan kesulitan dalam mengomunikasikan pesannya. Perusahaan
membutuhkan banyak jalan untuk mengomunikasikan pesannya.
e) Pemantauan
Proses pemantauan mempermudah efektivitas perbaikan pengendalian internal dan
mengoreksi tindakan yang tepat. Aktivitas pemantauan berupa kegiatan-kegiatan
yang meliputi hal-hal:
1. Aktivitas pemantauan yang sedang berlangsung
a. Fungsi normal manajemen operasi
b. Komunikasi dari pihak eksternal
 c. Struktur perusahaan dan aktivitas pengawasan
d. Persediaan fisik dan rekonsiliasi terhadap aset
2. Evaluasi pengendalian internal terpisah
Frekuensi dan sifat dari pemisahan pandangan ini bergantung pada luasnya
sifat perusahaan dan risiko signifikan yang ahrus dikendalikan.
a. Proses evaluasi pengendalian internal evaluator haruslah:
1. Mengembangkan pemahamannya mengenai desain sistem
2. Uji coba pengendalian kunci
3. Mengembangkan kesimpulan berdasarkan hasil
b. Rencana tindakan evaluatif
Auditor internal harus menyusun rencana tindakan yang akan diambil
berkaitan dengan evaluasi sistem pengendalian internal
3. Pelaporan pengendalian internal yang tidak efektif
Pengendalian Internal COSO memberikan petunjuk mengenai hal ini:
Penemuan pengendalian internal yang tidak efisien biasanya harus dilaporkan
bukan hanya untuk tanggung jawab individu untuk fungsi atau kegiatan terkait,
melainkan untuk pihak yang berada di posisi untuk mengambil tindakan
korektif. Proses ini memberikan izin individu untuk memberikan dukungan
yang diperlukan dan untuk mengomunikasikan aktivitas mana yang
berdampak.
3.5 Dimensi Lain Kerangka Pengendalian COSO
Tambahan dimensi yang menghadap ke depan yang menutup aktvitas
pengendalian, dimensi di sisi kanan yang menutup entitas atau aktivitas ketika kerangka
puncak kubus menutup 3 dimensi dari semua pengendalian internal. Dimensi tersebut
merupakan tujuan dari kerangka pengendalian internal COSO, tujuan tersebut adalah:
a. keandalan laporan keuangan
b. patuh dengan aturan dan hukum yang berlaku
c. efektivitas dan efisiensi operasi
3.6 Hal yang dibutuhkan oleh Audit Internal CBOK
Pengendalian internal COSO menjadi standar dunia untuk membentuk dan
mengevaluasi semua tingkat pengendalian internal. Semua auditor internal harus paham
mengenai 3 dimensi untuk melihat dan mengevaluasi pengendalian internal.