Chapter 3

Internal Control Framework: The COSO Standards

Importance of Effective Internal Control

Pengendalian internal adalah suatu proses yang diimplementasikan menajemen yang
didesain untuk mendapatkan penjaminan yang layak atas informasi keuangan dan proses bisnis
perusahaan.

Pengendalian internal yang efektif atas proses bisnis tercapai jika ;

1 Misi yang telah ditetapkan tercapai dengan cara etis,
2 Menghasilkan data yang akurat dan handal,
3 Memenuhi undang-undang dan kebijakan berusaha yang berlaku,
4 Menyediakan penggunaan asset yang ekonomisasi dan efisien,
5 Menyediakan keamanan asset yang tepat.

Sistem pengendalian internal terus menjadi dasar dari kegiatan operasional dan akuntansi
dari proses bisnis yang efektif. Aktivitas utamanya meliputi mengevaluasi dan menilai berbagai
tingkat pengendalian. Manajer bertanggung jawab menciptakan dan mengelola pengendalian
internal ini, dan auditor internal menilai efektivitasnya serta membuat rekomendasi yang
diperlukan.

Internal Control Standards: Background

Definisi pengendalian internal menurut SAS (Statement on Auditing Standards) No. 1
adalah pengendalian internal terdiri dari perencanaan bisnis dan semua metode yang
terkoordinasi serta pengukuran yang dipakai entitas untuk mengamankan asetnya, mencocokkan
keakuratan dan kehandalan data akuntansi, mengembangkan efisiensi operasional, dan
mendukung ketaatan untuk menentukan kebijakan manajerial.
Internal Control Definitions: Foreign Corrupt Practice Act of 1977
Skandal Enron dan perusahaan lain menyebabkan munculnya Sarbanes-Oxley
Act (SOA). Berdasarkan undang-undang tersebut, SEC mengatur bahwa internal control
diharuskan bagi perusahaan, yakni dengan cara:
- Membuat pembukuan, catatan, dan akun yang detail, akurat, dan andal.
 - Menjaga sistem pengendalian akuntansi internal.
- Membatasi akses terhadap aset sesuai dengan autorisasi manajemen.
- Menjamin kesesuaian antara catatan aset dengan kondisi fisik aset dan
mengambiltindakan yang sesuai atas perbedaan yang muncul.

Foreign Corrupt Practices Act of 1977 melarang penyuapan pada pejabat asing dan
mendorong ketentuan diwajibkannya pemeliharaan buku dan pencatatan yang akurat sebaik
system pengendalian internal akuntansi. FCPA membawa dampak yang signifikan baik untuk
auditor internal, maupun eksternal, karena untuk pertama kalinya manajemen bertanggung
jawab atas sistem pengendalian internal akuntansi yang memadai untuk menyediakan
penjaminan yang layak bahwa transaksi diotorisasi dan dicatat untuk nenyediakan penyiapan
laporan keuangan yang sesuai dengan GAAP.
Selain itu FCPA menyatakan bahwa akuntabilitas dipelihara untuk penggunaan aset dan
aksesnya hanya diperbolehkan dengan otorisasi atas persediaan fisik periodik. FCPA
meningkatkan pentingnya pengendalian internal dan peraturan anti penyuapan. FCPA
merupakan langkah awal untuk membantu perusahaan memikirkan tentang kebutuhan
pengendalian internal yang efektif, meskipun tidak ada pedoman atau standar atas ketentuan
yang ditetapkan oleh FCPA.

FCPA Aftermath
FCPA menitikberatkan pada perlunya internal control yang efektif bagi
seluruh perusahaan, khususnya yang berbasis di Amerika Serikat. Meskipun tidak ada
definisiinternal control yang konsisten saat itu, aturan yang ada tetap
mentikberatkan perlunya internal control.

Events Leading To The Treadway Commission

FCPA mengharuskan laporan perusahaan untuk mencatat pengendalian internal mereka,
tetapi tidak meminta auditor eksternal untuk membuktikan apakah perusahaan sudah mematuhi
peraturan pelaporan pengendalian internal FCPA. The Cohen Commission merupakan high-
level commission on auditors responsibility. Mereka menyarankan adanya laporan tentang
pengendalian internal, dimana auditor eksternal perlu memberikan opini atas kewajaran asersi
pengendalian manajemen dalam financial statement internal control letter yang disusulkan.
FEI mengesahkan rekomendasi The Cohen Commission ttg internal control dan setuju
bahwa perusahaan harus melaporkan bagaimna pengendalian akuntansi internal mereka.
Selanjutnya SEC menerbitkan peraturan yang meminta laporan manajemen atas sistem
pengendalian akuntansi internal perusahaan. SEC menyatakan bahwa informasi efektivitas
pengendalian internal dibutuhkan untuk mmbantu investor melakukan evaluasi yang lebih baik
atas kinerja manajemen dan integritas laporan keuangan yang diterbitkan ke publik.
Expectation gap merupakan masalah yang dialami oleh AICPA, dimana standar audit
mereka tdk menyediakan petunjuk yg cukup untuk auditor eksternal atau pengguna laporan.
Untuk mengatasinya AICPA menerbitkan peraturan2 baru, termasuk SAS No.30 tentang
Pelaporan Pengendalian Akuntansi Internal, serta SAS No.55 tentang Pertimbangan
Struktur Pengendalian Internal dalam Audit Laporan Keuangan. Proses pengendalian
internal misalnya kebijakan dan prosedur yang berfokus pada efektivitas, efisiensi, ekonomis,
dan ekonomisasi proses pengambilan keputusan manajemen atau prosedur yang meliputi
aktivitas riset&development. SAS No.55 ini mendefinisikan internal control dalam 3 elemen
kunci: (1) Lingkungan Pengendalian, (2) Sistem Akuntansi, dan (3) Prosedur Pengendalian.
The National Commission on Fraudulent Financial Reporting atau Treadway
Commission bertujuan untuk mengidentifikasi factor penyebab kecurangan pada laporan
keuangan dan memberikan saran untuk meminimalisnya. Komisi ini meminta manajemen
melaporkan efektivitas system pengendalian internal dan menentukan elemen kunci apa saja
yang membentuknya, termasuk lingkungan pengendalian yg kuat, codes of conduct, audit komite
yang kompeten dan ikut terlibat, serta fungsi audit internal yang kuat.

Internal Control Framework: The COSO Standards

Sistem pengendalian intern yang dianut pemerintah Indonesia salah satunya diadopsi dari
COSO (Committee of Sponsoring Organization of Treadway Commision) yaitu komisi yang
bergerak dibidang manajemen organisasi. System pengendalian intern perlu diketahui oleh
seluruh komponen organisasi karena system ini merupakan sitem yang terintegrasi dan
merupakan tanggungjawab bersama untuk mewujudkan tujuan organisasi.
Pengendalian internal menurut COSO ialah pengendalian internal adalah proses,
dipengaruhi oleh dewan direksi, manajemen, dan personel lain, disusun untuk menyediakan
keyakinan yang layak dalam rangka meraih tujuan dalam kategori: (1) efektivitas dan efisiensi
operasi, (2) kehandalan laporan keuangan, (3) kepatuhan terhadap undang2 dan peraturan yang
berlaku. Inti dari kerangka pengendalian internal COSO adalah kita harus mempertimbangkan
bagaimana tiap pengendalian internal saling berhubungan dengan pengendalian internal lain.

COSO Internal Control Elements

a. Lingkungan Pengendalian
Merupakan pondasi/dasar struktur pengendalian internal menurut COSO, yang
berpengaruh terhadap struktur semua aktivitas dan penilaian risiko, termasuk sejarah dan
budaya perusahaan.
- Integritas dan Nilai Etika
Nilai ini merupakan pesan yang dikomunikasikan oleh manajer senior. Jika
perusahaan telah mengembangkan code of conduct yang kuat, yang menentukan
integritas dan nilai etika, dan bila para pemegang kepentingan mengikutinya, seluruh
pemegang kepentingan akan memiliki keyakinan bahwa perusahaan telah memiliki
nilai yang baik. Code of conduct mendeskripsikan peraturan tentang perilaku etika.
Gangguan yang mendorong para pemegang kepentingan untuk mengadakan
audit: tidak ada pengendalian atau ada, tapi tidak efektif; tingginya desentralisasi,
sehingga menurunkan kesadaran top-manager akan tindakan manajer di bawahnya;
fungsi internal audit yang lemah; sanksi tindakan yang tidak benar kurang berat atau
tidak dipublikasikan.
- Komitmen untuk Kompetensi
Perusahaan perlu untuk menspesifikasi tingkat kompetensi yang diperlukan
untuk berbagai job-desk serta mewujudkan persyaratan tersebut menjadi tingkat
 pengetahuan dan keterampilan yang diperlukan. Dengan menempatkan orang yang
tepat dalam pekerjaan yang tepat dan memberikan pelatihan yang cukup yang
diperlukan, perusahaan telah memenuhi komponen pengendalian internal COSO yang
penting.
- Dewan Direksi dan Komite Audit
Dewan direksi dan komite audit harus benar-benar pihak yang independen.
Dengan menetapkan kebijakan dan me-review seluruh kegiatan perusahaan, dewan
direksi dan komite audit memiliki tanggung jawab penting untuk menetapkan
pengendalian pada tingkat atas.
- Filosofi Manajemen dan Gaya Operasi
Komponen ini harus dipahami oleh auditor internal dan menjadikannya
pertimbangan dalam mengevaluasi efektivitas pengendalian internal. Tidak ada gaya
dan filosofi yang paling baik, tetapi faktor ini penting dalam mempertimbangkan
komponen pengendalian internal lainnya.
- Struktur Organisasi
Struktur organisasi adalah tatanan atau pendekatan atas usaha bekerja individu
untuk di ditugaskan dan disatukan guna meraih seluruh tujuan. Struktur organisasi
merupakan aspek penting dari pengendalian internal perusahaan. Komponen ini
menyediakan kerangka untuk aktivitas perencanaan, pelaksanaan, pengawasan, dan
pemantauan guna membantu meraih tujuan. Komponen ini berhubungan dengan
bagaimana fungsi-fungsi yg ada dikelola dan diorganisir.
- Pembagian Kewenangan dan Tanggung Jawab
Pengendalian internal sangat terpengaruh dengan tingkat dimana individu
sadar akan tanggung jawabnya. Hal ini akan menuntunnya menjadi chief executive,
yang memiliki tanggung jawab besar untuk semua aktivitas yang berhubungan
dengan entitas, termasuk sistem pengendalian internal.
- Kebijakan SDM dan Praktika
Kebijakan dan praktika seputar SDM meliputi:
- rekrutmen dan penetapan kerja (hiring)
- orientasi/pengarahan pegawai baru
- evaluasi, promosi, dan kompensasi
- tindakan disiplin
 Komponen ini penting karena jika tidak ada kebijakan dan prosedur SDM
yang kuat, maka pesan dari atas dalam sturktur perusahaan tidak akan tersampaikan.
- Lingkungan Pengendalian COSO dalam Perspektif
Kerangka pengendalian internal COSO berupa piramid, dimana lingkungan
pengendalian menjadi pondasi. Perusahaan yang sedang membangun pengendalian
internal yang kuat harus memperhatikan komponen ini baik2. Akan tetapi komponen
lain juga tidak kalah penting. Evaluasi atas pengendalian internal COSO bukan hanya
mempertanyakan apakah debet dan kredit sudah balance? akan tetapi karena
kebutuhan kebijakan yang kuat, yang fundamental tapi mungkin berbeda untuk tiap
perusahaan.
b. Penilaian Risiko
Kemampuan perusahaan untuk meraih tujuannya memiliki risiko, dari internal
maupun eksternal. COSO mendeskripsikan penilaian risiko dlm 3 tahapan: (1)
mengestimasi signifikansi risiko; (2) menilai kemungkinan atau frekuensi terjadinya
risiko; (3) mempertimbangkan bagaimana risiko harus dikelola dan tindakan apa yg hrs
dilakukan.
Kerangka pengendalian internal COSO menyarankan risiko harus dipertimbangkan
dari 3 perspektif:
1. Risiko perusahaan dari faktor eksternal
Meliputi pengembangan teknologi yang dapat mempengaruhi sifat dan jgka
waktu riset dan development atau mendorong adanya perubahan proses produksinya;
perubahan kebutuhan atau harapan konsumen; penetapan harga; garansi; atau
aktivitas jasa (services).
2. Risiko perusahaan dari faktor internal
Misalnya gangguan server IT; kualitas kayawan; atau akses atas aktiva yang lebih
bebas.
3. Specific activity-level risks
Meliputi bidang pemasaran, IT, dan keuangan.

c. Aktivitas Pengendalian
- Macam aktivitas pengendalian:
1. Top-level reviews
 Manajemen dan internai auditor pada berbagai tingkat harus me-review hasil
kinerja mereka, membandingkannya dengan budget, statistika kompetitif, dan
ukuran benchmark lain.
2. Fungsional langsung atau manajemen aktivitas
Manajer pada berbagai tingkat harus me-review laporan operasional dari
sistem pengendalian mereka dan mengambil tindakan korektif yang tepat.
3. Proses informasi
IT mengandung banyak pengendalian dimana sistem secara internal mengecek
kepatuhan dalam area tertentu dan kemudian melaporkan pengecualian
pengendalian internalnya. Hal-hal yang dilaporkan sebagai pengecualian harus
mendapatkan tindakan korektif secara otomatis dari prosedur sistem, atau
operatornya, atau maanjemen.
4. Pengendalian fisik
Perusahaan harus memiliki pengendalian yang tepat atas aset fisiknya,
termasuk aset tetap. Persediaan, dan surat berharga.
5. Indikator kinerja
Manajemen seharusnya mengumpulkan data-data yang berhubungan, baik
operasional maupun keuangan satu sama lain dan melakukan tindakan analitis,
investigasi, dan korektif yang tepat.
6. Pemisahan tugas
Tugas-tugas harus dipisahkan antara orang-orang yang berbeda untuk
mengurangi risiko terjadinya tindakan yang salah atau tidak tepat.

- Integrasi aktivitas pengendalian dengan penilaian

Pengendalian internal merupakan proses dan aktivitas pengendalian yang tepat
harus dilakukan untuk mengidentifikasi risiko.
- Pengendalian atas sistem informasi
Kerangka pengendalian internal COSO menyoroti beberapa area IT untuk
mengevaluasi kecukupan seluruh pengendalian internal. Pengendalian umum meliputi
sentralisasi server atau pengendalian penyimpanan data manajemen, termasuk
penjadwalan pekerjaan, manajemen database, dan perencanaan bisnis berkelanjutan.
Kerangka pengendalian internal COSO menyimpulkan adanya kebutuhan untuk
mempertimbangkan pengaruh keterlibatan teknologi ketika mengevaluasi aktivitas
pengendalian sistem informasi.

d. Komunikasi dan Informasi

- Hubungan antara informasi dan pengendalian internal
Informasi yang penting harus dapat mengalir dari tingkat atas sampai ke
bawah. Kerangka pengendalian internal IT COSO harus menekankan pentingnya
menjaga informasi dan sistem pendukung yang sesuai dengan kebutuhan perusahaan
secara keseluruhan. Sistem informasi yang efektif dilakukan untuk mendukung
perubahan di berbagai tingkat.
Strategic and integrated systems
Dengan strategic system, laporan engendalian internal COSO
mengharuskan manajer mempertimbangkan perencanaan, desain, dan
implementasi sistem informasinya sebagai bagian dari strategi perusahaan secara
keseluruhan. Strategic system ini mandukung bisnis perusahaan dan membantu
menjalankan misinya. Selain itu COSO juga menekankan pentingnya sistem
informasi yang terintegrasi dengan operasi lain.
Kualitas informasi
Untuk menentukan kualitas informasi, harus diketahui apakah: isi dari
informasi yang dilaporkan sudah tepat; informasi tersebut tepat pada waktunya
dan tersedia saat dibutuhkan; informasi tersebut didapat sekarang atau minimal
terbaru; data dan informasi benar; informasi tersebut dapat diakses oleh pihak
yang tepat.

- Aspek komunikasi pengendalian internal

Menurut pengendalian internal COSO, komponen komunikasi yang paling
penting adalah bahwa para pemegang kepentingan harus menerima pesan dari
manajer senior untuk mengingatkan mereka akan tanggung jawab pengnedalian
internal. Hal ini penting untuk memastikan bahwa perusahaan akan mengikuti prinsip
pengendalian internal yang efektif. Komunikasi harus berjalan dua arah, dan COSO
menekankan bahwa para pemegang kepentingan harus juga melapor kepada
perusahaan secara keseluruhan. Komunikasi ke atas ini memiliiki 2 komponen: (1)
komunikasi normal: proses dimana para pemegang kepentingan diharapkan untuk
melaporkan status, kesalahan, atau masalah melalui supervisor mereka, (2)
komunikasi rahasia: merupakan mekanisme dimana seseorang dapat melaporkan
berbagai hal kepada personel atasnya secara anonim.
 - Pengendalian internal COSO menjelaskan elemen komunikasi sebagai berikut:
entitas yang budayanya dipahami dengan baik oleh seluruh personel perusahaan dan
memiliki banyak sejarah beroperasi dengan integritas, umunya hanya akan
mengalami sedikit kesulitan mengkomunikasikan pesannya. Entitas tanpa tradisi akan
perlu banyak jalan untuk mengkomunikasikan pesannya.

e. Pengawasan
- Aktivitas pemantauan yang terus-menerus (ongoing)
Contoh aktivitas pemantauan yang terus-menerus:
Fungsi normal manajemen operasional
Review manajemen atas laporan operasional dan keuangan merupakan
aktivitas pemantauan terus-menerus yang penting.
Komunikasi dari pihak eksternal
Elemen ini berhubungan erat dengan komponen komunikasi dari pihak eksternal.
Struktur perusahaan dan aktivitas supervisory
Ketika manajer senior harus selalu me-review laporan dan melakukan
tindakan korektif, supervisi tingkat pertama dan sturktur perusahaan yg
berhubungan memiliki peran penting dalam pemantauan.
Physical inventory dan rekonsiliasi aset

- Evaluasi pengendalian internal yang terpisah

Pengendalian internal COSO mememberikan pedoman proses evaluasi untuk me-
review pengendalian internal. Evaluator harus: (1) mengembangkan pemahaman atas
desain sistem; (2) menguji pengendalian kunci; (3) mengembangkan kesimpulan
berdasarkan hasil pengujian. Selain itu juga dapat dilakukan benchmarking, yaitu proses
membandingkan proses yang dilakukan perusahaan dengna prosedur pengendalian yang
dilakukan oleh perusahaan sejawat (peer). Dokumentasi yang baik akan membuat
evaluasi atas pengendalian internal lebih efktif. Tapi tidak semua didokumentasikan. Bila
ada proses yang tidak didokumentasikan, informal, tapi cukup efektif, maka tim review
akan perlu untuk menyiapkan dokumentasi evaluasi sendriri guna menjelaskan
bagaimana proses tsb bekerja dan ttg sifat dasar pengendalian internalnya.
 - Pelaporan kekurangan pengendalian internal
COSO menyatakan: jika kekurangan pengendalian internal perusahaan dapat
mempengaruhi pencapaian tujuannya, maka harus dilaporkan kepada pihak yang dapat
melakukan tindakan yang diperlukan. Penemuan kekurangan pengendalian internal
seharusnya dilaporkan tidak hanya kepada individu yang bertanggung jawab atas fungsi
atau aktivitas yang terkait, yang dapat melakukan tindakan korektif, tetapi juga minimal
dilaporkan pada manajemen yang berada satu tingkat di atasnya. Proses ini memugkinkan
individual tsb menyediakan dukungan atau pandangan yang diperlukan untuk melakukan
tindakan korektif, dan untuk mengkomunikasikan dengan pihak lain dalam perusahaan
yang aktivitasnya mgkn terpengaruh. Bilamana penemuan kekurangan melewati batas
organisasi, maka pelaporannya harus menyesuaikan juga dan diarahkan sedemikan rupa
sehingga mencukupi untuk dapat dilakukan tindakan yang tepat.

Dimensi Lain Dari Kerangka Pengendalian Internal COSO

Tiga dimensi yang berada pada bagian atas kerangka pengendalian internal COSO:
Kehandalan laporan keuangan
Kepatuhan terhadap undang-undang dan peraturan yang berlaku
Efektivitas dan efisiensi operasi

Masing-masing daerah kontrol hanya didiskusikan dari lingkungan kontrol untuk

mengawasi harus dipertimbangkan sehubungan dengan dua dimensi COSO yang lain.
Pengendalian internal harus dipasang dan dievaluasi di seluruh unit dalam perusahaan.
Pengendalian internal harus konsisten, tetapi mereka harus diterapkan secara tepat di unit operasi
individu.