Internal Audit

Internal Control Framework: The COSO Standard

Oleh:
Adil Amir A. 041411331002
Galih Novtrian P. 041411331004
Claudia Rere M. 041411331012
Rahmatika Utami 041411331016
Gabriella Shahnaz Z. P. 041411331017
Satria Adi Nugraha 041411331064
Rani Kusumadewi K. 041411331151
Cyntia Dwi D. 041411331192
Zoraida W. 041411331220
Meishella A. 041411331226
Mentari Cahyaning P. 041411331238
Tria Oktaviani 041411331254
Aiqan Hayati R. 041411331263

S1 Akuntansi
Fakultas Ekonomi & Bisnis
Universitas Airlangga
2017
3.1 Importance of Effective Internal Controls
Tujuan pengendalian internal (internal controls)
Reliable financial and operational information
Agar taat pada kebijakan dan prosedur, hukum, peraturan, dan regulasi
Untuk mengamankan asset perusahaan
Operational efficiency
Tujuan perusahaan yang ditetapkan akan dapat dicapai
Integrity and ethical values
Manajemen bertanggung jawab untuk menetapkan dan mengelola internal controls, Internal
auditor bertugas untuk menilai efektifitas pengendalian tersebut dan memberi rekomendasi
yang tepat atas pengendalian internal yang berjalan.

3.2 Internal Controls Standards : Background

Hubungan tumpang tindih dari kedua jenis pengendalian internal kemudian lanjut
dijelaskan dalam pra-1988 standar AICPA:
Definisi di atas tidak selalu saling eksklusif karena beberapa prosedur dan catatan
dipahami dalam pengendalian akuntansi juga mungkin terlibat di kontrol administratif. Misalnya,
penjualan dan catatan biaya diklasifikasikan oleh Produk dapat digunakan untuk tujuan
pengendalian akuntansi dan juga dalam membuat manajemen keputusan mengenai harga satuan
atau aspek lain dari operasi. Seperti itu menggunakan beberapa prosedur atau catatan,
bagaimanapun, tidak penting untuk tujuan dari bagian ini karena yang bersangkutan terutama
dengan mengklarifikasi batas luar akuntansi kontrol.

(A) Definisi Pengendalian Intern: Foreign Corrupt Practices Act of 1977

Sama seperti skandal akuntansi Enron dan lain-lain membawa kita SOx pada awal tahun
dari abad kedua puluh satu, Amerika Serikat mengalami situasi yang sama sekitar 30 tahun yang
lalu. Periode 1974-1977 adalah masa sosial yang ekstrim dan kekacauan politik di Amerika
Serikat. Serangkaian tindakan ilegal ditemukan di saat 1972 pemilihan presiden AS, termasuk
pencurian dari Demokrat markas partai di kompleks bangunan yang dikenal sebagai Watergate.
 Dengan ketentuan yang berlaku untuk hampir semua perusahaan AS dengan efek SEC-
terdaftar, aturan pengendalian internal FCPA ini terutama berdampak baik auditor internal dan
eksternal. Menggunakan terminologi yang diambil langsung dari undang-undang, FCPA
mengharuskan perusahaan SEC-diatur harus:
Membuat dan menyimpan buku, catatan, dan rekening, yang, secara rinci wajar, akurat
dan adil mencerminkan transaksi dan disposisi asset emiten.
Merancang dan memelihara sistem akuntansi internal kontrol yang cukup untuk
memberikan jaminan yang wajar bahwa:
o Transaksi dilakukan sesuai dengan manajemen umum atau otorisasi tertentu.
o Transaksi dicatat sebagai diperlukan baik untuk memungkinkan penyusunan
laporan keuangan sesuai dengan prinsip akuntansi yang berlaku umum (GAAP)
atau kriteria lain yang berlaku untuk laporan tersebut, dan juga untuk menjaga
akuntabilitas untuk aset.
Akses ke aset hanya diperbolehkan sesuai dengan manajemen umum atau otorisasi
tertentu.
Akuntabilitas yang direkam untuk aset dibandingkan dengan aset yang ada pada interval
yang wajar, dan tindakan yang tepat diambil sehubungan dengan perbedaan.
FCPA itu signifikan karena, untuk pertama kalinya, manajemen dibuat bertanggung
jawab untuk sistem yang memadai dari kontrol akuntansi internal. Tindakan yang diperlukan
perusahaan untuk "membuat dan menyimpan buku, catatan, dan rekening, yang pada wajardetail,
akurat dan adil mencerminkan transaksi dan disposisi asset penerbit. "Mirip dengan dan bahkan
lebih luas daripada aturan hari ini SOx dibahas di Bab 4, FCPA persyaratan pencatatan
diterapkan untuk semua perusahaan public terdaftar dengan SEC.

(B) FCPA Aftermath: Apa yang Terjadi?

Ketika diberlakukan, FCPA mengakibatkan upaya besar untuk menilai dan sistem
dokumen pengendalian internal di perusahaan AS yang besar. Perusahaan-perusahaan yang tidak
pernah secara resmi didokumentasikan prosedur pengendalian internal mereka memulai upaya
kepatuhan utama. Seringkali tanggung jawab dokumentasi FCPA ini diberikan kepada
departemen audit internal, yang digunakan usaha terbaik mereka untuk mematuhi pengendalian
internal FCPA ini ketentuan. Ingat bahwa ini adalah di akhir 1970-an dan 1980-an sangat awal;
pada saat itu, sistem yang paling otomatis yang mainframe proses batch-oriented, dan tersedia
alat dokumentasi yang sedikit lebih dari flowchart plastik template dan No 2. Mirip dengan hari-
hari pertama SOx Pasal 404 (lihat Bab 4), perusahaan pergi melalui upaya besar untuk mencapai
FCPA kepatuhan. Banyak perusahaan besar mengembangkan set luas berbasis kertas
dokumentasi sistem tapi dibuat tidak ada ketentuan, setelah mereka telah selesai, untuk update
secara teratur.

3 Events Leading to the Treadway Commission

FCPA mengharuskan laporan perusahaan untuk mencatat pengendalian internal mereka,
tetapi tidak meminta auditor eksternal untuk membuktikan apakah perusahaan sudah mematuhi
peraturan pelaporan pengendalian internal FCPA. Pada 1974, AICPA membentuk komisi tingkat
tinggi terkait dengan tanggungjawab auditor yang dikenal dengan Cohen Commission yang
merekomendasikan bahwa suatu pengendalian internal perusahaan diperlukan sesuai dengan
laporan keuangannya. Meski penetapan Cohen Commission hampir bersamaan dengan FCPA,
banyak kritik yang terjadi. Khususnya kritikan pada laporan rekomendasi yang tidak sesuai
dengan apa yang dimaksud dalam laporan pengendalian internal serta auditor eksternal
berkaitan kuat dengan perannya dalam hal yang seharusnya dilakukan auditor internal.
Financial Executives International (FEI) ikut terlibat dalam kontrovesrsi pengendalian
internal. FEI pada tahun 1970 mengesahkan rekomendasi pengendalian internal yang dilakukan
Cohen Commission dan menyetujui bahwa perusahaan harus melaporkan pengendalian internal
akuntansi. Hasilnya banyak perusahaan US mendiskusikan kelayakan pengendalian internal
dalam laporan tahunan manajemen. Hal mengenai pengendalian internal ini tergabung dalam
laporan tahunan manajemen tanpa mengikuti standar apapun. Secara singkat, perusahaan hanya
menyatakan secara periodik tentang penilaian pengendalian internal. Inilah yang menyebabkan
terjadinya negative assurance yang selanjutnya didiskusikan karena auditor eksternal tidak
bisa mendeteksi problem yang dihadapi dan risiko litigasi potensial. Oleh sebab itu, laporan
pengendalian manajemen hanya menyatakan tidak adanya masalah sehingga menggiring auditor
untuk percaya begitu saja. SEC kemudian menerbitkan aturan tambahan yang bersifat wajib bagi
perusahaan dalam rangka sistem pengendalian akuntansi perusahaan.

a Earlier AICPA Standards: SAS No.55

 Sebelum SOx, AICPA bertanggungjawab untuk merilis standar audit eksternal melalui
Statements on Auditing Standards (SASs). SAS No.1 standar ini membentuk dasar dari tinjauan
auditor eksternal untuk kecukupan dan kewajaran laporan keuangan yang dipublikasikan. AICPA
sering dikritik akibat tidak adanya panduan terhadap auditor eksternal dan pengguna lainnya
untuk mengetahui laporan kelayakan laporan keuangan yang dipublikasikan. Dan masalah ini
disebut sebgai expectations gap karena standar audit mereka tdk menyediakan petunjuk yg
cukup untuk auditor eksternal atau pengguna laporan. Untuk menjawab semua kritikan ini,
AICPA menerbitkan seri terbaru dari SASs pada tahun 1980 hingga 1985. Termasuk SAS no.30
yang tidak begitu membantu menurut kritik akuntan publik berkaitan konsep pengendalin
internal. Dan mendorong munculnya SAS no.55 (Pertimbangan Struktur Pengendalian Internal
dalam Audit Laporan Keuangan) dalam tiga elemen yaitu: control environment, accounting
system, dan control procedure. SAS no. 55 menyajikan perbedaan pendekatan untuk memahami
internal kontrol dan menyajikan banyak pondasi untuk memahami internal kontrol.

b Treadway Committee Report

Laporan Treadway Committee bertujuan untuk mengidentifikasi faktor penyebab yang
memungkinkan terjadinya kecurangan dalam pelaporan keuangan. Dasar pembentukannya
karena banyak perusahaan melaporkan kecukupan pendapatan dalam laporan keuangan yang
diuadit hanya karena untuk bertahan dari kejatuhan financial. Isu yang berkembang pada saat itu
adalah adanya inflasi tinggi dan ketidakstabilan perusahaan setelah menerbitkan laporan itu.
Laporan Final Treadway Committee diterbitkan pada 1987 dan termasuk rekomendasi pada
manajemen, dewan direksi, akuntan public dan lainnya. Laporan ini juga dikenal sebagai laporan
manajemen dalam efektivitas system pengendalian internal dan menerangkan elemen kunci
dalam apa yang seharusnya ada pada: kode etik, kontrol lingkungan, komite audit kompeten, dan
fungsi internal audit yang kuat.

3.4 COSO Internal Control Framework

Dalam hanya beberapa, COSO pengendalian internal framework telah menjadi standar
yang diakui di seluruh dunia untuk memahami dan membangun kontrol internal yang efektif di
hampir semua sistem bisnis.
 COSO memberikan deskripsi yang sangat baik dari konsep ini multidimensi kontrol
internal, mendefinisikan pengendalian internal dengan cara ini: Pengendalian internal adalah
suatu proses, dipengaruhi oleh dewan entitas direksi, manajemen, dan personel lain, yang
dirancang untuk memberikan keyakinan memadai tentang pencapaian tujuan dalam kategori
berikut:

Efektivitas dan efisiensi operasi

Keandalan pelaporan keuangan
Kepatuhan terhadap hukum dan regulasi yang berlaku

Berdasarkan ini definisi yang sangat umum pengendalian internal, COSO menggunakan
model tiga dimensi untuk menggambarkan sistem pengendalian intern dalam suatu perusahaan.
Exhibit 3,1 COSO pengendalian internal framework ini sebagai model tiga dimensi dengan lima
tingkat di sisi menghadap ke depan dan tiga komponen utama pengendalian internal di bagian
atas kontrol diagram-intern pelaporan keuangan, kepatuhan, dan operasi-yang mewakili
efektivitas dan efisiensi operasi, keandalan pelaporan keuangan, dan kepatuhan terhadap hukum
dan peraturan yang berlaku. Sisi kanan dari pameran menunjukkan segmen, tapi mungkin ada
kelipatan ini tergantung pada struktur perusahaan.

Semua auditor internal harus mengembangkan pemahaman tentang COSO pengendalian

internal kerangka ini. Tidak peduli apa daerah di bawah adalah review, auditor internal selalu
perlu untuk melihat kontrol internal yang bertingkat ini dan cara tiga dimensi. Meskipun hal ini
benar untuk semua pekerjaan audit internal, konsep ini sangat berharga ketika menilai dan
mengevaluasi pengendalian internal menggunakan COSO pengendalian internal framework.
Dimulai dengan tingkat menghadap ke depan pertama atau bawah, bagian berikut menjelaskan
COSO pengendalian internal kerangka elemen atau komponen secara lebih rinci:

(a) Pengendalian Lingkungan

COSO menekankan bahwa intern entitas kontrol dasar lingkungan ini memiliki pengaruh luas
tentang bagaimana semua kegiatan yang terstruktur dan risiko dinilai. Lingkungan pengendalian
adalah dasar untuk semua komponen lain dari pengendalian internal; memiliki pengaruh pada
masing-masing tiga tujuan dan kegiatan satuan dan entitas secara keseluruhan. Lingkungan
pengendalian mencerminkan sikap keseluruhan, kesadaran, dan tindakan oleh dewan direksi,
manajemen, dan lain-lain mengenai pentingnya pengendalian internal di perusahaan.

Integritas dan Nilai Etika

Integritas dan nilai etika suatu perusahaan merupakan elemen lingkungan pengendalian
yang penting. Nilai ini merupakan pesan yang biasanya dikomunikasikan oleh manajer senior.
Jika perusahaan telah mengembangkan code of conduct yang kuat, yang menentukan integritas
dan nilai etika, dan bila para pemegang kepentingan mengikutinya, seluruh pemegang
kepentingan akan memiliki keyakinan bahwa perusahaan telah memiliki nilai yang baik. Code of
conduct mendeskripsikan peraturan tentang perilaku etika.
Dalam rangka membangun integritas dan nilai-nilai etika, fungsi audit internal yang
kuat harus menjadi komponen utama dari lingkungan pengendalian COSO. Jika audit internal
menemukan bahwa manajemen memberikan kendala pada fungsi audit, audit internal dan CAE
harus mengingatkan manajemen pentingnya mereka sebagai bagian dari struktur pengendalian
internal keseluruhan perusahaan dan lebih penting lagi membicarakan permasalahan tersebut
kepada dewan direksi komite audit.

Komitmen untuk Kompetensi

Perusahaan perlu untuk menspesifikasi tingkat kompetensi yang diperlukan untuk
berbagai job-desk serta mewujudkan persyaratan tersebut menjadi tingkat pengetahuan dan
keterampilan yang diperlukan. Dengan menempatkan orang yang tepat dalam pekerjaan yang
tepat dan memberikan pelatihan yang cukup yang diperlukan, perusahaan telah memenuhi
komponen pengendalian internal COSO yang penting.

Dewan Direksi dan Komite Audit

Dewan direksi dan komite audit harus benar-benar pihak yang independen. Dengan
menetapkan kebijakan dan me-review seluruh kegiatan perusahaan, dewan direksi dan komite
audit memiliki tanggung jawab penting untuk menetapkan pengendalian pada tingkat atas.

Filosofi Manajemen dan Gaya Operasi

Komponen ini harus dipahami oleh auditor internal dan menjadikannya pertimbangan
dalam mengevaluasi efektivitas pengendalian internal. Tidak ada gaya dan filosofi yang paling
baik, tetapi faktor ini penting dalam mempertimbangkan komponen pengendalian internal
lainnya.

Struktur Organisasi
Struktur organisasi adalah tatanan atau pendekatan atas usaha bekerja individu untuk di
ditugaskan dan disatukan guna meraih seluruh tujuan. Struktur organisasi merupakan aspek
penting dari pengendalian internal perusahaan. Komponen ini menyediakan kerangka untuk
aktivitas perencanaan, pelaksanaan, pengawasan, dan pemantauan guna membantu meraih
tujuan. Komponen ini berhubungan dengan bagaimana fungsi-fungsi yg ada dikelola dan
diorganisir.

Pembagian Kewenangan dan Tanggung Jawab

Pengendalian internal sangat terpengaruh dengan tingkat dimana individu sadar akan
tanggung jawabnya. Hal ini akan menuntunnya menjadi chief executive, yang memiliki tanggung
jawab besar untuk semua aktivitas yang berhubungan dengan entitas, termasuk sistem
pengendalian internal.
Kebijakan dan Praktik Sumber Daya Manusia
Praktik sumber daya manusia meliputi perekrutan, orientasi, pelatihan, evaluasi, konseling,
promosi, kompensasi dan mengambil tindakan-tindakan remedial. Area di mana kebijakan dan
praktik sumber daya manusia yang sangat penting meliputi:
Recruitment and hiring Perusahaan seharusnya mengambil langkah perekrutan yang
terbaik dengan memberikan kualifikasi kandidat dan wawancara.
New employee orientation Karyawan baru seharusnya diberi sinyal yang jelas terkait
sistem nilai perusahaan dan konsekuensi ketika tidak mematuhi nilai tersebut. Karyawan
baru juga dikenalkan dengan kode perintah dan meminta mereka dengan formal untuk
menerima kode tersebut.
Evaluation, promotion, and compensation Beberapa isu haruslah dievaluasi,
misalnya isu kompensasi yang dapat mengganggu kenyamanan pekerja.
Disciplinary actions Konsisten terhadap kebijakan perlu dilakukan untuk
memberikan aksi disiplin.

Lingkungan Pengendalian COSO dalam Suatu Perspektif

Lingkungan pengendalian merupakan pondasi
dalam piramida di atas. Komunikasi dan komponen
informasi tidak ditampilkan sebagai lapisan
individu dalam model tetapi komponen sisi yang
meliputi lapisan penilaian risiko dan kegiatan
pengendalian.

(b) Penaksiran Risiko

Penilaian risiko pengendalian internal COSO harus menjadi proses ke depan yang
dilakukan di semua tingkat dan untuk hampir semua kegiatan dalam perusahaan. COSO
menggambarkan penilaian risiko sebagai proses tiga langkah:
Perkirakan signifikansi risiko.
Menilai kemungkinan atau frekuensi risiko yang terjadi.
 Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa harus
diambil.
Berbagai macam risiko, yang disebabkan oleh salah satu sumber internal atau eksternal,
dapat mempengaruhi perusahaan secara keseluruhan. Pengendalian internal COSO
menunjukkan bahwa risiko harus dipertimbangkan dari tiga perspektif:
1 Enterprise risks due to external factors
Termasuk resiko perkembangan teknologi yang dapat mempengaruhi sifat
dan waktu penelitian dan pengembangan produk baru atau menyebabkan perubahan
dalam proses pengadaan. Resiko dari faktor eksternal lainnya mencakup kebutuhan
pelanggan yang berubah atau harapan, harga, garansi, atau aktivitas layanan.
2 Enterprise risks due to internalfactors
Sebagai auditor internal sering menyoroti tinjauan mereka terus menerus, akan
ada banyak jenis tingkat risiko perusahaan. Sebagai contoh, gangguan dalam IT
server suatu perusahaana atau yang lainnya yang dapat mempengaruhi operasi
perusahaan secara keseluruhan. Selain itu, kualitas kerja karyawan, serta pelatihan
atau motivasi, dapat mempengaruhi tingkat kepedulian terhadap pengendalian dalam
entitas. Selain itu, sejauh mana kemudahan akses karyawan terhadap aktiva yang
dapat berakibat untuk penyalahgunaan sumber daya. Meskipun sekarang dapat diatasi
oleh SOX, laporan pengendalian internal COSO juga menyebutkan bahwa resiko
ketidak tegasan atau ketidak efektifan dari dewan komisaris dan komite audit dapat
memberikan peluang untuk tidak bijaksana.
3 Specified activity-level risk
Resiko juga harus dipertimbangkan untuk setiap unit bisnis yang signifikan dan
aktivitas kunci, seperti untuk pemasaran, IT, dan keuangan. Hal ini diperlukan
mengingat resiko-resiko ini dikhawatirkan tidak terdeteksi pada dua perspektif lainnya.

(c) Aktivitas Pengendalian

Aktivitas pengendalian merupakan kebijakan dan prosedur yang membantu menjamin
tindakan yang teridentifikasikan pada risiko yang mungkin muncul. Konsep dari aktivitas
pengendalian yaitu untuk membangun dan membentuk pengendalian internal yang efektif.
- Macam aktivitas pengendalian:
Top-level reviews
Manajemen dan internai auditor pada berbagai tingkat harus me-review hasil kinerja
mereka, membandingkannya dengan budget, statistika kompetitif, dan ukuran benchmark
lain.
Fungsional langsung atau manajemen aktivitas
Manajer pada berbagai tingkat harus me-review laporan operasional dari sistem
pengendalian mereka dan mengambil tindakan korektif yang tepat.
Proses informasi
IT mengandung banyak pengendalian dimana sistem secara internal mengecek kepatuhan
dalam area tertentu dan kemudian melaporkan pengecualian pengendalian internalnya. Hal-
hal yang dilaporkan sebagai pengecualian harus mendapatkan tindakan korektif secara
otomatis dari prosedur sistem, atau operatornya, atau maanjemen.
Pengendalian fisik
Perusahaan harus memiliki pengendalian yang tepat atas aset fisiknya, termasuk aset
tetap. Persediaan, dan surat berharga.
Indikator kinerja
Manajemen seharusnya mengumpulkan data2 yg berhubungan, baik operasional maupun
keuangan satu sama lain dan melakukan tindakan analitis, investigasi, dan korektif yang
tepat.
Pemisahan tugas
Tugas2 harus dipisahkan antara orang2 yg berbeda untuk mengurangi risiko terjadinya
tindakan yang salah atau tidak tepat.

- Integrasi aktivitas pengendalian dengan penilaian

Pengendalian internal merupakan proses dan aktivitas pengendalian yang tepat harus
dilakukan untuk mengidentifikasi risiko. Pengendalian internal seharusnya tidak hanya
diterapkan pada area yang beberapa tahun terakhir memiliki risiko, manajemen perlu untuk
mengevaluasi risiko yang mungkinterkait secara periodik.
 - Pengendalian atas sistem informasi
Kerangka pengendalian internal COSO menyoroti beberapa area IT untuk mengevaluasi
kecukupan seluruh pengendalian internal. Pengendalian umum meliputi sentralisasi server
atau pengendalian penyimpanan data manajemen, termasuk penjadwalan pekerjaan,
manajemen database, dan perencanaan bisnis berkelanjutan. Kerangka pengendalian internal
COSO menyimpulkan adanya kebutuhan untuk mempertimbangkan pengaruh keterlibatan
teknologi ketika mengevaluasi aktivitas pengendalian sistem informasi.

- Komunikasi dan Informasi

Prosedur Komunikasi dan informasi yang efektif harus dimiliki oleh perusahaan dalam
berkomunikasi dengan pihak internal maupun eksternal. Informasi yang ada harus dapat
dipahami untuk keperluan pengendalian internalnya.
i Hubungan antara informasi dan pengendalian internal
Informasi yang penting harus dapat mengalir dari tingkat atas sampai ke bawah. Kerangka
pengendalian internal IT COSO harus menekankan pentingnya menjaga informasi dan sistem
pendukung yang sesuai dengan kebutuhan perusahaan secara keseluruhan. Sistem informasi
yang efektif dilakukan untuk mendukung perubahan di berbagai tingkat.
Strategic and Integrated Systems
Proses akuntansi dan keuangan merupakan otomatisasi perusahaan pertama atau sistem
IT, dimulai dengan catatan unit atau mesin akuntansi kartu IBM pada 1950an dan berpindah
ke sistem computer terbaru.
Dengan sistem strategis, laporan pengendalian internal COSO menyarankan bahwa
manajemen seharusnya mempertimbangkan perencanaan, desain, dan implementasi sistem
informasi sebagai bagian dari keseluruhan strategi perusahaan. Strategi ini mendukung
bisnis perusahaan dan membantu menjalankan misi bisnis keseluruhan.
Pengendalian internal COSO juga menekankan kepentingan sistem informasi
terintegrasi automatis dengan operasi lain.
Quality of Information
 Laporan seharusnya mengandung data dan informasi yang cukup untuk mendukung
aktifitas pengendalian internal yang efektif. Untuk menentukan kualitas informasi, harus
memastikan apakah:

Isi informasi yang dilaporkan sesuai

Informasi tepat waktu dan tersedia saat dibutuhkan
Informasi terkini atau setidaknya terbaru yang tersedia
Data dan informasi benar
Informasi dapat diakses oleh pihak yang tepat
Poin tersebut kembali ke banyak permasalahan pengendalian audit internal dan pada
SOx Section 404. Kerangka kerja COSO menunjukkan bahwa kualitas informasi sebagai
sasaran pengendalian internal, sedangkan SOx dengan efektif membuat kebutuhan untuk
kualitas sebagai suatu keharusan.
ii. Aspek Komunikasi dari Pengendalian Internal
Komunikasi didefinisikan sebagai elemen terpisah pengendalian internal dalam
kerangka kerja pengendalian internal COSO. Alur komunikasi memperbolehkan individual
melaksanakan pelaporan keuangan, operasional dan tanggungjawab kepatuhan. COSO
menekankan bahwa komunikasi harus berlangsung di tingkat yang luas, termasuk berurusan
dengan individual atau kelompok dan dengan ekspektasi mereka.
Communications : Internal Components
Menurut pengendalian internal COSO, mungkin komponen terpenting elemen
komunikasi adalah pemegang kepentingan harus menerima pesan dari manajemen senior
yang mengingatkan mereka pada tanggung jawab pengendalian internal mereka.
Semua pemangku kekuasaan perlu mengetahui batasan dan kapan tindakan mereka
dianggap tidak beretika, melanggar hukum, atau tidak sesuai. Orang-orang perlu tahu
bagaimana untuk merespon kesalahan atau kejadian yang tidak diharapkan dalam
menjalakan tugas mereka, dan mereka khususnya memerlukan pesan dari manajemen,
prosedur dokumentasi, pelatihan yang cukup.
Komunikasi harus berjalan dua arah, dan pengendalian internal COSO menekankan
bahwa pemangku kepentingan juga harus memiliki mekanisme untuk pelaporan keatas ke
 seluruh perusahaan. Komunikasi keatas ini memiliki dua komponen, yaitu komunikasi
normal dan special. Pelaporan normal mengacu pada proses dimana pemangku kepentingan
diharapkan untuk melaporkan status, kesalahan, atau masalah melalui supervisor.

External Communications
Perusahaan perlu membentuk saluran komunikasi dengan pihak luar, termasuk
pelanggan, supplier, pemegang saham, banker, pembuat aturan, dan lainnya. Informasi
eksternal harus mengalir dua arah. Informasi yang disediakan untuk pihak luar harus
berhubungan dengan kebutuhan pihak tersebut, membangun pemahaman perusahaan yang
lebih baik dan tantangan yang dihadapi.
Komunikasi eksternal dapat menjadi cara yang sangat penting untuk mengidentifikasi
masalah pengendalian. Komplain pelanggan mengenai layanan, penagihan, atau kualitas
produk sering menunjukkan masalah operasi dan pengendalian tertentu.
Means and Methods of Communication
Tidak ada arti yang tepat mengenai informasi komunikasi pengendalian internal dalam
perusahaan. Perusahaan modern dapat berkomunikasi melalui pengumuman pada papan
bulletin, prosedur manual, Webcasts, presentasi yang divideo, atau pidato oleh anggota
manajemen.
Pengendalian internal COSO meringkas elemen komunikasi ini dengan:
An entity with a long and rich history of operating with integrity, and whose culture is well
understood by people through the enterprise, will likely find little difficulty in
communicating its message. An entity without such tradition will likely need to put more into
the way the messages are communicated

- Monitoring
Dalam pyramid pengendalian internal COSO menunjukkan bahwa Monitoring merupakan
batu penjuru dan tingkat teratas komponen pengendalian internal COSO.
Proses monitoring harus dapat menilai keefetifan komponen pengendalian internal yang
dibentuk dan mengambil tindakan perbaikan ketika sesuai. Perusahaan perlu membentuk
berbagai aktifitas monitoring untuk mengukur keefektifan pengendalian internal mereka.
i ONGOING MONITORING ACTIVITIES
 Fungsi normal operasi manajemen
Aktivitas normal perusahaan melakukan review terhadap operasi dan laporan keuangan.
Komunikasi dengan pihak eksternal
Tindakan ini banyak digunakan oleh entitas untuk memantau performa produk atau jasa di
mata konsumen dan untuk mengambil tindakan yang diperlukan saat dibutuhkan.
Struktur perusahaan dan kegiatan pengawasan
Ketika manajer senior selalu mereview laporan dan mengambil tindakan korektif, maka
supervisor level pertama dan struktur manajemen yang terkait seringkali memainkan peran
yang signifkan dalam kegiatan monitoring.
Perseediaan fisik dan rekonsiliasi aset
Penghitungan fisik secara rutin merupakan tindakan monitoring yag sangat penting.
ii EVALUASI PENGENDALIAN INTERNAL TERPISAH
Proses evaluasi pengendalian internal
o Mengembangkan pemahaman mengenai desain sistem
o Test key control
o Mengembangkan kesimpulan berdasarkan hasil pengujian
o Benchmarking sebagai alternatif pendekatam
Perencanaan tindakan evaluasi
Jika ada proses yang berjalan merupakan tindakan informal, tidak terdokumentasi, namun
bersifat efektif, maka tim akan membutuhkan persiapan untuk melakuakn
pendokumentasian sendiri untuk menjelaskan proses kerja dan bentik pengendalian
internal.
iii MELAPORKAN KEKURANGAN PENGENDALIAN INTERNAL
Apakah kekurangan pengenalian internal teridentifkasi melalui sistem oengendalian itu
sendiri, melakui kegiatan montoring, atau melalui kegiatan eksternal, hal tersebut harus
dilaporkan terhadap level manajemen perusahaan yang sesuai. Pertanyaan kunci dari
pengevaluasi internal audit adalah untuk menentukan apa yang harsu dilaporkan, melihat
besarnya detail yang harus diungkapan, dan kepada siapa laporan tersebut harus ditujukan.

3.5 Other Dimensions of the COSO Internal Control Framework

Tiga dimensi yang berada pada bagian atas kerangka pengendalian internal COSO:
Keandalan laporan keuangan
Kepatuhan terhadap undang-undang dan peraturan yang berlaku
Efektivitas dan efisiensi operasi
Dimensi COSO yang ketiga atau sisi atas ini harus mempertimbangkan dengan 2 dimensi COSO
lainnya. Dalam sebuah entitas perusahaannya seharusnya ada satu set proses pengendalian
menyeluruh pada satu entitas tersebut dengan pertimbangan risiko relatif dan lingkup
pengendalian. Dimensi ketiga dari kerangka pengendalian internal COSO lebih signifikan,
karena dimensi ketiga ini menjelaskan bahwa aktivitas pengendalian internal harus digunakan
dalam setiap unit operasi dan harus meliputi 3 faktor pengendalian internal: keefektifan,
keandalan laporan keuangan, dan kepatuhan terhadap peraturan. Pada intinya, pengendalian
internal harus diimplementasikan dengan patuh yang akan meyakinkan keandalan laporan
keuangan sebagai hasil akhir yang akan dilaporkan pada pihak manajemen.

3.6 Internal Audit CBOK Needs

Pengendalian internal COSO berbeda dengan perspektif CBOK audit internal. Kerangka ini
menjadi standar dunia untuk membangun dan mengevaluasi pengendalian internal pada semua
level. Semua auditor internal harus memahami pendekatan tiga dimensi ini untuk mempelajari
dan mengevaluasi pengendalian internal. Bab ini telah membahas laporan COSO, Internal
Control-Integrated Framework, dan deskripsi dari Kerangka Pengendalian Internal COSO.
MINDMAP Chapter 3: Internal Control Framework: The COSO Standard