THE 17 COSO INTERNAL CONTROL PRINCIPLE

Untuk memenuhi tugas mata kuliah Internal Audit

Oleh :

Agnes Dea Arum Eksaputri 041511333001

Sarah Khairina 041511333005
Dwiyani Aprilia Putri 041511333014
Famila Putri 041511333032
Angelia Monique 041511333156

S1 AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS AIRLANGGA
SURABAYA
 2017

Prinsip Kerangka Pengendalian Internal Coso

Prinsip Lingkungan Pengendalian 1: Integritas Dan Nilai Etika

Prinsip pertama dari lingkungan pengendalian COSO panggilan untuk perusahaan
untuk menunjukkan komitmen terhadap integritas dan nilai etika. Sejarah dan budaya
perusahaan sering memerankan peran besar dalam membentuk lingkungan pengendalian
internal. Ketika sebuah sejarah perusahaan memiliki penekanan manajemen yang kuat dalam
menghasilkan produk bebas kesalahan, ketika manajemen senior melanjutkan untuk
menekankan pengingnya produk dengan kualitas tinggi, dan ketika pesan ini
dikomunikasikan kepada semua tingkat, ini menjadi faktor lingkungan pengendalian
perusahaan yang utama.
Jika manajemen mendapatkan reputasi untuk melihat ke arah lain pada pelanggaran
kebijakan dan membuat pernyataan yang meragukan; pesan negatif ini akan dikomunikasikan
ke tingkat lain dari perusahan. Hal positif pada puncak untuk manajemen senior untuk
memimpin dengan contoh mengenai masalah integritas dan etika; tindakan positif di sini
adalah batu fondasi yang membangun lingkungan pengendalian yang kuat bagi perusahaan.
Kode etik telah dilakukan dengan organisasi bisnis selama bertahun-tahun, namun
secara tradisional lebih fokus pada anggota karyawan yang berada pada tingkat bawah
daripada pada manajemen senior.
Perusahaan yang efektif saat ini harus mengembangkan dan memberlakukan kode
yang mencakup peraturan etis, bisnis, dan hukum yang berlaku untuk semua pemangku
kepentingan perusahaan, apakah mereka karyawan kantor, semua karyawan lain, atau
kelompok pemangku kepentingan yang lebih besar termasuk vendor dan konsultan. Kode etik
harus jelas, serangkaian peraturan atau panduan yang tidak ambigu yang menguraikan apa
yang diharapkan dari semua pemangku kepentingan perusahaan. Kode tersebut harus
berdasarkan pada masalah nilai dan hukum sekitar perusahaan. Kode tersebut harus berlaku
untuk semua anggota perusahan dari tingkat yang paling senior sampai pekerja paruh waktu.

 Menegaskan Kepatuhan Terhadap Kode Etik

Kode etik perusahaan harus menjadi dokumen yang hidup. Manajemen senior
perusahaan harus diminta untuk secara formal mengakui bahwa ia telah membaca,
memahami, dan akan mematuhi kode etik perusahaan. Sebuah kode etik yang baru
dapat dikomunikasikan melalui video oleh CEO, melalui sesi pelatihan atau yang
lainnya untuk menekankan penting dan arti kode etik tersebut. Setiap karyawan dan
pemangku kepentingan harus diminta untuk mengakui penerimaan kode etik
perusahaan mereka, dengan tanggapan yang dicatat pada database yang
mencantumkan nama karyawan dan tanggal peninjauan dan penerimaan atau
ketidakpenerimaan mereka. Jika seseorang menolak untuk menerima kode tersebut
karena pertanyaan, pengawas atau lainnya harus mendiskusikan masalah tersebut
dengan orang tersebut untuk mendapatkan pemecahan masalah akhirnya. Tujuan dari
kebutuhan pengakuan kode ini adalah untuk menghindari adanya alasan “Saya tidak
tahu bahwa itu adalah peraturannya” di masa depan ketika terjadi pelanggaran kode.
 Pelanggaran Kode dan Tindakan Korektif
Sebuah perusahaan perlu untuk membangun mekanisme untuk
memperbolehkan karyawan atau bahkan pihak luar untuk melaporkan potensi
pelanggaran kode dengan cara yang aman dan rahasia.
 Sebuah kode etik mendeskripsikan serangkaian aturan untuk tindakan yang
diharapkan di perusahaan. Ketika pelanggaran ditemukan, masalahnya harus diselidiki
dan tindakan yang diambil harus dilakukan secara konsisten, tidak peduli tingkatan
dari pemangku kepentingan tersebut, sanksi untuk pelanggaran harus konsisten.

Prinsip Lingkungan Pengendalian 2: Peran Dewan Direksi

Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan direksi perusahaan
dan komite audit. Dewan independen harus memiliki hubungan dekat dengan manajemen
senior untuk memastikan operasi perusahaan efektif dan sukses dan lingkungan pengendalian
internal yang kuat. Dewan direksi dan komite audit harus mengidentifikasi dan memahami
harapan dari para pemangku kepentingan, termasuk pelanggan, karyawan, investor, dan
khalayak umum, serta persyaratan hukum dan peraturan perusahaan. Harapan ini harus
membantu membentuk tujuan perusahaan dan tanggung jawab pengawasan dewan. Kegiatan
dewan direksi yang dapat membantu manajemen dalam menentukan apakah prinsip
lingkungan pengendalian COSO ada dan berfungsi:
1. Menetapkan tanggung jawab pengawasan. Dewan direksi harus mengidentifikasi
dan meneripa tanggung jawab pengawasan dalam hubungannya untuk menetapkan
persyaratan hukum dan harapan pemangku kepentingan, investor, dan masyarakat.
2. Menerapkan keahlian yang relevan. Dewan direksi harus mendefinisikan,
mempertahankan, dan mengevaluasi secara berkala kemampuan dan keahlian yang
dibutuhkan di antara anggota untuk memungkinkan mereka mengajukan pertanyaan
menyelidik tentang manajemen senior dan mengambil tindakan sepadan.
3. Beroperasi secara mandiri. Dewan direksi harus memeiliki cuup anggota yang
independen dari manajemen dan objektif dalam evaluasi dan membuat keputusan.
4. Menyediakan pengawasan untuk sistem pengendalian internal. Dewan direksi
harus mempertahankan tanggung jawab pengawasan untuk pengembangan dan
performa managemen atas pengendalian internal.

Prinsip Lingkungan Pengendalian 3: Kewenangan dan Tanggung Jawab

Manajemen dengan pengawasan direktur harus menetapkan struktur, garis pelaporan,
dan wewenang dalam mencapai tujuan pengendalian internalnya. Harus ada struktur
organisasi untuk merencanakan, melaksanakan mengendalikan, dan menilai kegiatan
perusahaan secara keseluruhan.
Tujuan lingkungan pengendalian ini untuk menyediakana kuntabilitas dan arus
informasi yang jelas dalam perusahaan. untuk menentukan prinsip pengendalian internal
berfungsi dengan baik, manajemen dan dewan direksi perlu mempertimbangkan beberapa
unit operasi, badan hukum, lokasi geografis, dan penyedia layanan outsourcing untuk
mendukung pencapaian internal.
Lingkungan pengendalian yang kuat mengatakan bahwa karyawan harus memiliki
pengetahuan dan wewenang untuk membuat keputusan yang sesuai di wilayah operasi
mereka.

Prinsip Lingkungan Pengendalian 4: Komitmen pada Kekuatan Pekerja yang

Kompeten
Perusahaan harus menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang konsisten sesuai dengan tujuannya. Prinsip lingkungan
pengendalian COSO ini mensyaratkan kebijakan dan tindakan yang bagi para pemangku
kepentingan untuk melaksanakan tanggung jawab yang ditugaskan, dan memerlukan keahlian
dan keahlian yang relevan, yang sebagian besar diperoleh dari pengalaman profesional,
pelatihan, dan sertifikasi. Komitmen terhadap kompetensi dinyatakan dalam sikap dan
perilaku individu dalam melaksanakan tanggung jawab seseorang. Fungsi sumber daya
manusia seringkali dapat membantu menentukan tingkat kompetensi dan kepegawaian
berdasarkan peran pekerjaan, memfasilitasi pelatihan dan memelihara catatan penyelesaian
serta mengevaluasi relevansi dan kecukupan pengembangan profesional individu sehubungan
dengan kebutuhan perusahaan.
Prinsip lingkungan pengendalian ini meminta perusahaan untuk menentukan
persyaratan kompetensinya sesuai kebutuhan untuk mendukung tercapainya tujuan
pengendalian internal, dengan pertimbangan yang diberikan kepada:
1. Pengetahuan, keterampilan, dan kebutuhan pengalaman
2. Sifat dan tingkat penilaian dan keterbatasan wewenang untuk diterapkan posisi
tertentu
3. Analisis biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman
4. Trade-off antara tingkat pengawasan dan tingkat kompetensi yang dipersyaratkan dari
karyawan individu

Prinsip Lingkungan Pengendalian 5: Mempertahankan Orang yang Bertanggungjawab

Manajemen dan dewan direksi harus menetapkan mekanisme untuk
mengkomunikasikan dan meminta pertanggungjawaban individu atas kinerja tanggung jawab
pengendalian internal di seluruh organisasi dan melaksanakan tindakan perbaikan jika
diperlukan. Sebagai bagian dari hal ini, mereka harus menetapkan ukuran kinerja, insentif,
dan penghargaan yang sesuai untuk tanggung jawab di semua tingkat entitas, yang
mencerminkan dimensi kinerja dan standar perilaku dan kinerja yang diharapkan.
Akuntabilitas di sini mengacu pada tingkat kepemilikan dan komitmen terhadap
kinerja pengendalian internal dalam mengejar tujuan. Akuntabilitas pengendalian internal
saling terkait dengan kepemimpinan, dan pesan kepemimpinan terbaik dan juga pesan
manajemen terkait di seluruh perusahaan harus kuat di mana tanggung jawab pengendalian
internal dipahami, dilaksanakan, dan diperkuat. Namun, seperti yang disarankan oleh prinsip
COSO ini, orang harus dimintai pertanggungjawaban atas tindakan mereka.
Prinsip pengendalian internal COSO ini menekankan bahwa manajemen dan semua
tingkat perusahaan harus membuat orang bertanggung jawab atas manajemen pengendalian
internal serta semua kekuatan dan kelemahan terkait. Ini adalah konsep penting yang sering
kita abaikan, dan merupakan prinsip pengendalian internal yang penting.

Prinsip Penilaian Risiko 6: Menentukan Tujuan yang Tepat

Penilaian risiko, elemen kunci dalam kerangka pengendalian internal COSO,
didefinisikan sebagai kemungkinan bahwa suatu peristiwa dapat terjadi yang akan
mempengaruhi pencapaian tujuan beberapa perusahaan.
Pengelolaan risiko pengendalian internal mempengaruhi kemampuan perusahaan
untuk berhasil, bersaing secara efektif di industrinya, mempertahankan kekuatan keuangan
dan reputasi, dan menjaga kualitas keseluruhan produk, layanan, dan orang-orangnya. Selalu
ada beberapa risiko dalam aktivitas bisnis dan tidak ada cara praktis untuk mengurangi
semuanya. Namun, manajemen harus menentukan berapa banyak risiko yang harus diterima
dengan hati-hati dan berusaha mempertahankan risiko di dalam batas-batas ini, memahami
seberapa toleransi yang dimilikinya melebihi tingkat risiko targetnya.
Misalnya, produsen produk teknis mungkin memiliki tujuan untuk meluncurkan
produk baru, dengan menggunakan teknologi yang berkembang yang mungkin menghadapi
beberapa pesaing kuat di pasar dengan harga sangat kompetitif, dan dengan beberapa
ketidakpastian mengenai apakah pasar akan menerima produk tersebut sebagai seperti yang
diharapkan. Skenario jenis ini dapat mengenalkan sejumlah besar risiko potensial dan harus
diidentifikasi dan didokumentasikan.

Prinsip Penilaian Risiko 7: Mengidentifikasi dan Analisis Risiko

 Manajemen perusahaan dengan audit internal harus berusaha untuk mengidentifikasi
semua kemungkinan risiko pengendalian internal yang mungkin berdampak pada perusahaan,
mulai dari risiko yang besar atau signifikan hingga risiko yang kurang terkait dengan
perusahaan.
Proses identifikasi risiko memerlukan pendekatan yang dipelajari dan disengaja untuk
melihat potensi risiko di setiap area operasi dan kemudian mengidentifikasi area risiko yang
lebih signifikan yang dapat mempengaruhi setiap operasi dalam jangka waktu yang wajar.
Agar efektif, proses identifikasi risiko perusahaan harus didukung oleh berbagai
aktivitas, teknik, dan mekanisme. Manajemen harus mempertimbangkan risiko ini di semua
tingkat dan mengambil langkah-langkah yang diperlukan untuk mengatasinya. Penilaian
risiko harus mempertimbangkan faktor-faktor yang mempengaruhi tingkat keparahan,
kecepatan, dan ketekunan risiko, kemungkinan hilangnya aset, dan dampaknya terhadap
kegiatan operasi, pelaporan, dan kepatuhan. Selain itu, audit internal dan keseluruhan
perusahaan perlu memahami toleransi perusahaan untuk menerima risiko dan kemampuannya
untuk beroperasi di dalam tingkat risiko tersebut.

Risk Assesment Principle 8 : Evaluating Fraud Risk

Risiko Kecurangan (Fraud) – Potensi salah saji secara material akibat kecurangan
secara eksplisit dipertimbangkan dalam penilaian risiko pencapaian tujuan pelaporan
keuangan. Penilaian risiko fraud ini harus meninjau operasi dan kontrol, termasuk kebijakan
dan prosedur untuk menentukan dimana ada ketidakwajaran.

Risk Assessment Principle 9 : Identifying Changes Affecting Internal Control

Aktivitas pengendalian merupakan kebijakan dan prosedur yang membantu

memastikan bahwa perintah manajemen telah dilaksanakan. Aktivitas pengendalian
membantu memastikan bahwa tindakan yang diperlukan berkenaan dengan risiko telah
diambil untuk pencapaian tujuan entitas. Aktivitas pengendalian memiliki berbagai tujuan
dan diaplikasikan pada berbagai tingkatan organisasi dan fungsional.

Control Activities Principle 10 : Selecting Control Activities that Mitigate Risk

Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi

meminimalkan risiko atas pencapaian tujuan sampai pada level yang dapat diterima.

Control Activities Principle 11 : Selecting And Developing Technology Controls

COSO mereferensikan pengendalian terhadap teknologi yaitu sistem TI aplikasi dan

pengendalian umum. Tujuan dari pengendalian umum adalah untuk mengendalikan
pengembangan program, perubahan program, operasi komputer, dan untuk mengamankan
akses terhadap data dan program. Pengendalian aplikasi didesain untuk memastikan
kelengkapan dan akurasi pemrosesan transaksi, otorisasi, dan validasi. Dalam banyak kasus,
pengecekan komputer dapat mencegah terjadinya kesalahan dan mendeteksi serta
mengkoreksi kesalahan.

Control Activities Principle 12 : Policies and Pocedures

Organisasi memberlakukan kegiatan pengendalian melalui kebijakan yang

menetapkan apa yang diharapkan dan melalui prosedur yang menjabarkan kebijakan menjadi
tindakan.

Information And Communication Principle 13: Using Relevant, Quality Information

Suatu perusahaan harus memperoleh dan menggunakan informasi yang relevan dan
berkualitas untuk mendukung fungsi komponen pengendalian internalnya. Informasi
diperlukan untuk perusahaan melaksanakan tanggung jawab pengendalian internalnya dalam
mendukung tercapainya tujuan. Informasi tentang tujuan perusahaan harus dikumpulkan dari
dewan direksi dan kegiatan manajemen senior dan dirangkum sedemikian rupa sehingga
manajemen lini dan pihak lain dapat memahami tujuan dan peran mereka dalam
pencapaiannya.
Mendapatkan informasi yang relevan, sebagaimana didefinisikan dalam bahan
panduan COSO, memerlukan manajemen untuk mengidentifikasi dan menentukan
persyaratan informasi pada tingkat detail dan spesifik kota yang kuat. Mengidentifikasi
kebutuhan informasi adalah proses yang berulang dan berulang yang terjadi selama kinerja
sistem pengendalian internal yang efektif.

 Information from Relevant Sources

Dengan meningkatnya penggunaan video, suara, dan komunikasi melalui
Internet dan sumber nirkabel, selain laporan cetak yang lebih tradisional, informasi
internal dan eksternal diterima dari berbagai sumber dan dalam berbagai bentuk dan
format. Dalam mengelola informasi dari sumber eksternal, manajemen harus
mempertimbangkannya dalam hal cakupan kegiatan, aktivitas, dan data potensial yang
komprehensif sumber yang tersedia secara internal dan dari sumber terpercaya, dan
pilih yang paling relevan dan berguna untuk struktur organisasi, model bisnis, atau
tujuan saat ini.
 Processing Data through Information Systems
COSO menggunakan sistem informasi, yang berarti sistem teknologi informasi
dan proses keseluruhan lainnya - baik manual maupun berbasis IT - untuk
 menangkap, menganalisis, menyimpan, dan mendistribusikan semua jenis informasi
bisnis.
Prinsip pengendalian internal COSO ini mengangkat pentingnya semua sistem
informasi perusahaan - baik TI maupun proses lainnya - dalam membangun
pengendalian internal yang efektif. Manajemen perusahaan harus memikirkan
pentingnya sistem informasi tidak hanya dalam hal proses, terutama dikelola oleh
fungsi atau departemen TI, namun secara keseluruhan informasi perusahaan mengalir
sebagai wahana untuk meningkatkan pengendalian internal perusahaan. Perusahaan
mengumpulkan, menyimpan, dan meringkas informasi yang berkualitas dan konsisten
di seluruh proses yang relevan, baik manual, otomatis, atau kombinasi keduanya.
Sistem informasi yang dikembangkan dengan proses terintegrasi
memungkinkan teknologi memberi peluang bagi perusahaan untuk meningkatkan
efisiensi, kecepatan, dan aksesibilitas informasi kepada pengguna. Selain itu, sistem
informasi itu dapat meningkatkan kontrol internal atas risiko keamanan dan privasi
yang terkait dengan informasi yang diperoleh dan dihasilkan oleh perusahaan. Sistem
informasi harus dirancang dan diterapkan untuk membatasi akses terhadap informasi
hanya kepada mereka yang membutuhkannya dan mengurangi jumlah titik akses
untuk meningkatkan efektivitas risiko migrasi yang terkait dengan keamanan dan
privasi informasi. Mencapai keseimbangan yang tepat antara manfaat dan biaya untuk
mendapatkan dan mengelola informasi dan sistem pendukung merupakan
pertimbangan utama dalam membangun sebuah sistem informasi yang memenuhi
kebutuhan perusahaan.

Information And Communication Principle 14: Internal Communications

Perusahaan harus secara internal mengkomunikasikan informasi pengendalian
internal, termasuk tujuan dan tanggung jawabnya, untuk mendukung berfungsinya komponen
lain kontrol internal. Disahkan oleh manajemen senior, komunikasi informasi ini harus
disampaikan ke semua elemen di seluruh perusahaan dan meliputi:
a. Pentingnya, relevansi, dan manfaat pengendalian internal yang efektif
b. Peran dan tanggung jawab manajemen dan personil lainnya dalam melakukan proses
pengendalian internal tersebut
c. Harapan perusahaan untuk berkomunikasi atas, bawah, dan melintasi hal-hal
signifikan yang berkaitan dengan pengendalian internal, termasuk contoh kelemahan,
kemunduran, atau ketidakpatuhan
  Internal Communications Beyond Normal Channels
Agar informasi mengalir, turun, dan melintasi perusahaan, harus ada saluran
komunikasi terbuka dan kemauan yang jelas untuk dilaporkan dan didengarkan.
 Methods of Communications
Manajemen harus memilih metode komunikasi yang tepat, dengan
mempertimbangkan khalayak, sifat komunikasi, ketepatan waktu, biaya, dan
keamanan dan persyaratan privasi serta persyaratan hukum atau peraturan. Saat
memilih metode atau format untuk komunikasi, manajemen harus mempertimbangkan
lingkungan tempat pesan dikirim. Misalnya, perbedaan budaya, etnis, dan generasi
dapat mempengaruhi bagaimana pesan diterima, dan metodenya
Komunikasi harus disesuaikan berdasarkan faktor-faktor tersebut. Terlepas
dari metode komunikasi yang digunakan, manajemen harus mempertimbangkan
persyaratan mereka untuk menyampaikan komunikasi kepada pihak internal terutama
pihak eksternal dimana pesan terkait dengan kepatuhan terhadap undang-undang dan
peraturan. Prinsip pengendalian kegiatan selama retensi informasi pengendalian
internal harus mempertimbangkan tantangan kemajuan teknologi, termasuk teknologi
komunikasi dan kolaborasi yang digunakan untuk mendukung pengendalian internal.

Prinsip Informasi dan Komunikasi 15: Komunikasi Eksternal

Salah satu prinsip COSO yang penting adalah perusahaan harus menetapkan dan
mengimplementasikan aturan dan prosedur yang dapat membawa perusahaan tersebut pada
komunikasi eksternal yang efektif. Komunikasi dengan pihak eksternal membuat manajemen
dan personel lain dalam perusahaan mampu memahami aktivitas dan situasi yang mungkin
berdampak terhadap pencapaian tujuan pengendalian internal. Komunikasi dengan supplier
dan customer dibutuhkan untuk menetapkan lingkungan pengendalian yang tepat dan
membantu mereka dalam memahami budaya dan nilai perusahaan.
Masalah kompleksitas komunikasi akan selalu terjadi diantara perusahaan dan pihak
eksternal yang melakukan kerjasama. Maka dari itu perusahaan harus mempertimbangkan
saluran komunikasi terpisah yang tersedia bagi pihak eksternal untuk berkomunasi secara
langsung dengan manajemen dan personel lain dalam perusahaan.
Yang terpenting dalam hal berkomunikasi adalah manajemen harus paham mengenai
bentuk dan metode komunikasi yang dapat digunakan, bagaimana menanggapi lawan bicara,
konsep dasar komunikasi, waktu yang tepat, dan aturan lainnya.
Prinsip Pengawasan 16: Evaluasi Pengendalian Internal
Mengawasi aktivitas membantu kita menilai apakah tujuan pengendalian internal
COSO telah diimplementasikan dan berfungsi. Pengawasan (monitoring) adalah faktor kunci
dalam penilaian efektivitas pengendalian internal. Perusahaan, didukung auditor internal,
secara berkelanjutan harus mengawasi dan mengidentifikasi aktivitas serta
mengkomunikasikan segala kekurangan (defisiensi) dalam lingkup proses pengendalian
internal.
Auditor internal dapat menjadwalkan pengawasan di suatu area berdasarkan penilaian
risikonya, kemudian mengawasi lagi area yang sama berdasarkan defisiensi pengendalian
internal yang ditemukan.
Adapun keuntungan dari desain dan implementasi pengawasan yang baik adalah
sebagai berikut :
 Mampu mengidentifikasi dan mengoreksi masalah pengendalian internal tepat waktu
 Mampu menghasilkan informasi yang akurat dan dapat dipercaya untuk pengambilan
keputusan
 Mampu menyiapkan laporan keuangan yang akurat dan tepat waktu
 Dapat menyediakan penilaian efektivitas pengendalian internal secara periodik

Prinsip Pengawasan 17: Mengkomunikasikan Kekurangan Pengendalian Internal

Perusahaan harus mengkomunikasikan defisiensi pengendalian internal secara tepat
waktu kepada seluruh pihak, termasuk manajemen senior dan jajaran direktur, agar tindakan
korektif dapat diambil. Perusahaan harus mampu mengidentifikasi segala kemungkinan yang
dapat timbul, hal-hal yang perlu diperhatikan lebih. Hasil monitoring evaluation akan dinilai
sesuai kriteria manajemen untuk menentukan siapa yang akan dilaporkan dan apa yang perlu
didiskusikan, kemudian seluruh defisiensi yang teridentifikasi tersebut harus
dikomunikasikan ke seluruh jajaran di perusahaan.
Proses pelaporan defisiensi pengendalian internal ini adalah komponen kunci untuk
memastikan bahwa pengendalian internal dalam perusahaan telah berjalan dengan efektif atau
belum.