Makalah Audit Manajemen Dan Kinerja...
Makalah Audit Manajemen Dan Kinerja...
Disusun untuk Memenuhi Tugas Mata Kuliah Audit Manajemen dan Kinerja
Dosen Pengampu: H. Tarmizi Achmad, MBA. Ph.D, Akt.
Disusun oleh:
Kelompok 6
KELAS E
S1 - AKUNTANSI
2018
BAB 6
PENGANTAR
Proses bisnis perlu dikendalikan dengan baik. Tujuan bab ini adalah untuk menjelaskan
bagaimana pengendalian ini dapat dicapai, dan bagaimana menilai apakah pengendalian dijalankan
secara benar. Kami akan melakukan ini dengan memperkenalkan sejumlah paradigma
pengendalian internal, atau kerangka kerja. Untuk menjelaskan hal-hal tersebut, tentu saja kita
perlu menjelaskan apa itu "pengendalian internal". "Kontrol internal" merupakan ungkapan yang
berbeda dari "kontrol eksternal", kontrol eksternal dilakukan dari luar oleh pemilik dan pemangku
kepentingan lainnya. "Kontrol internal" adalah kontrol yang dilakukan dalam bisnis oleh
manajemen dan diawasi oleh dewan direksi. Kontrol internal juga mencakup kontrol aktivitas
yang telah dioutsourcing.
Fayol, "bapak teori manajemen" adalah orang pertama yang mendeskripsikan "kontrol"
sebagai fungsi manajemen bersama dengan fungsi lainnya yang ia tentukan sebagai perencanaan,
pengorganisasian, komando, koordinasi, pengendalian. Konsep kontrol Fayol berbeda dan lebih
sempit dari pemahaman kontemporer dan umum tentang arti pengendalian internal sebagaimana
ditetapkan pada tahun 1992, misalnya oleh COSO.
Konsep yang sempit mengenai "cek" , "cek internal" atau “internal cross check" telah
mendahului pengenalan oleh AICPA pada tahun 1940-an dari frase "pengendalian internal" .
Memang "cek internal" tetap merupakan alat kontrol yang penting, walaupun frasa ini sudah jarang
digunakan saat ini. Pada tahun 1948 AICPA menyadari bahwa definisi kontrol internal mereka
"lebih luas daripada makna yang kadang-kadang dikaitkan dengan istilah". Pada saat itu AICPA
mendefinisikan pengendalian internal sebagai berikut:
Pengendalian internal terdiri dari rencana organisasi dan metode serta tindakan koordinasi
yang diadopsi dalam bisnis untuk melindungi asetnya, memeriksa keakuratan dan keandalan data
akuntingnya, meningkatkan efisiensi operasional, dan mendorong kepatuhan terhadap kebijakan
manajerial yang ditentukan.
Pengendalian akuntansi terdiri dari rencana organisasi dan prosedur serta catatan yang
berkaitan dengan pengamanan aset dan keandalan catatan keuangan.
Kontrol administratif mencakup, namun tidak terbatas pada, rencana organisasi dan
prosedur dan catatan yang berkaitan dengan proses keputusan yang mengarah pada otorisasi
pengelolaan transaksi. Otorisasi tersebut adalah fungsi manajemen yang berkaitan langsung
dengan tanggung jawab untuk mencapai tujuan organisasi dan merupakan titik awal untuk
menetapkan pengendalian transaksi akuntansi.
Pada saat itu konsep pengendalian internal terbentuk dengan cara yang bersamaan dengan
definisi COSO tahun 1992 tentang pengendalian internal yang merupakan definisi terkini yang
berlaku saat ini:
Pengendalian internal didefinisikan secara luas sebagai proses yang dilakukan oleh dewan direksi,
manajemen dan personil lainnya, yang dirancang untuk memberikan keyakinan memadai
mengenai pencapaian tujuan dalam kategori berikut:
Efektivitas dan efisiensi operasi.
Keandalan pelaporan keuangan.
Kepatuhan terhadap hukum dan peraturan yang berlaku.
Peraturan Komisi Sekuritas & Bursa Efek untuk pelaksanaan s. 404 ("Penilaian
Manajemen Pengendalian Internal") dari Sarbanes-Oxley Act 2002 mensyaratkan bahwa CEO dan
CFO menggunakan kontrol internal yang diakui (lihat Bab 8) untuk tujuan tersebut. Kerangka yang
akan digunakan untuk s. 404 harus dikembangkan melalui proses hukum, secara eksternal
terhadap organisasi yang menggunakannya. SEC menyebutkan tiga kerangka kerja yang dapat
diterima-COSO (AS), CoCo (Kanada) dan Turnbull (Inggris). Definisi CoCo dan Turnbull tentang
pengendalian internal, sementara tidak identik dengan COSO, namun memiliki banyak kesamaan;
kita membahas hal ini lebih jauh di bagian Bab 8 tentang "Menggunakan kerangka pengendalian
internal yang diakui untuk penilaian". Dalam bab ini kami memperkenalkan masing-masing dari
ketiga kerangka kerja ini dan juga tiga paradigma kontrol internal lainnya. Paradigma mana yang
harus dipilih akan bergantung pada sejumlah keadaan dan auditor dan perancang sistem dapat
"mencampur dan mencocokkan" antar paradigma. Salah satu dari tiga paradigma pertama mungkin
harus diterapkan bila ada persyaratan wajib atau persyaratan lain untuk menggunakan paradigma
yang dikembangkan secara eksternal, yang dikembangkan sebagai hasil proses yang dapat
diterima. Tiga paradigma kedua kompatibel dengan kerangka kerja COSO, Turnbull dan CoCo
karena mereka sebagian besar menjelaskan secara spesifik mengenai "aktivitas pengendalian"
dalam komponen pengendalian internal yang dapat ditemukan di kerangka kerja COSO, Turnbull
dan CoCo.
Selama tahun 1980an, badan AS, dikenal sebagai COSO (Committee of Sponsoring
Organizations) mengundang Treadway untuk memimpin sebuah komisi penyelidikan setelah
kekhawatiran tentang pelaporan keuangan yang tidak benar. Treadway Report diterbitkan pada
tahun 1987. Treadway merekomendasikan bahwa manajemen harus menyertakan sebuah laporan
mengenai pengendalian internal dengan laporan keuangan mereka yang dipublikasikan. Adopsi
proposal ini ditangguhkan dengan menunggu klasifikasi dari pengertian pengendalian internal dan
bentuk dan proses dari laporan oleh manajemen tersebut, dan sekarang terlihat seolah-olah akan
terus menjadi praktik sukarela, meskipun sering diikuti di AS. Untuk memberikan klarifikasi ini,
COSO mendanai proyek lebih lanjut, bidang kerja yang dilakukan oleh Coopers & Lybrand, yang
menghasilkan publikasi pada tahun 1992 tentang Kerangka Pengendalian Internal Terpadu. Ini
memberi kita definisi baru tentang pengendalian internal yang menggantikan definisi AICPA 1948
dan turunannya. COSO juga memberikan panduan bagaimana pengendalian internal tercapai -
dengan menggunakan lima komponen kontrol yang saling terkait. Akhirnya, COSO memberi
panduan mengenai proses dan bentuk laporan publik oleh manajemen mengenai pengendalian
internal.
Konsep pengendalian internal COSO, seperti CoCo dan Turnbull, menganggap internal
sangat luas, seperti yang ditunjukkan oleh definisi COSO. Ini semua adalah proses manajemen
kecuali untuk penetapan tujuan. Seolah-olah seseorang mengganti sudut pandangnya dengan
kontrol internal yang memungkinkan untuk melihat proses manajemen melalui lensa kontrol
internal. Ini memberikan perspektif dan fokus yang dimodifikasi. Intinya, fokusnya adalah pada
semua yang manajemen lakukan tapi dari perspektif dampak pengendalian.
Wajar bagi COSO untuk mendefinisikan pengendalian internal secara umum. Kontrol
tergantung pada masing-masing fungsi manajemen lainnya. Tidak ada kontrol tanpa:
Perencanaan - misalnya, perancangan prosedur yang benar (yang merupakan bagian dari
perencanaan) sangat penting untuk pengendalian yang efektif. Harus ada rencana untuk
mengendalikannya. Tanpa rencana tidak ada kontrol.
Mengorganisir - misalnya, menyusun bisnis menjadi subdivisi dan menentukan pengaturan
pelaporan. Untuk menggambarkan kedekatan antara pengorganisasian dan pengendalian,
sangat mengherankan untuk mengingat bahwa Fayol menggunakan label "rentang kendali"
untuk menggambarkan masalah berapa banyak bawahan yang mungkin diawasi oleh bos -
namun ini jelas merupakan masalah organisasi dan juga kontrol.
Mengarahkan dan memimpin - beberapa akan mempertanyakan bahwa kualitas
kepemimpinan berdampak pada kontrol.
Staffing - staf yang bekerja terlalu sedikit atau terlalu banyak staf dapat menyebabkan hal-
hal tidak terkendali - seperti staf yang tidak kompeten, tidak loyal, tidak jujur atau malas.
Koordinasi - adalah seni untuk memastikan bahwa kejadian terjadi selaras satu sama lain -
tanpa hal-hal yang tidak terkendali.
COSO mengecualikan penetapan tujuan dari pengendalian internal yang bermasalah. Ini
menunjukkan bahwa konsep pengendalian internal diartikulasikan secara artifisial dan bisa saja
dijelaskan secara berbeda. Masalahnya adalah bahwa pencapaian tujuan keseluruhan memerlukan
penetapan tujuan yang lebih rendah - dan seterusnya ke tingkat yang lebih dan lebih terperinci.
Jadi, sementara COSO menetapkan tujuan pengendalian internal sebagai pencapaian tujuan
manajemen, untuk melakukannya memerlukan penetapan tujuan yang lebih rendah. Hal ini karena
definisi konsep pengendalian internal COSO bahwa COSO mampu menggambarkan kerangka
manajemen risiko perusahaan mereka di tahun 2004 sebagai "konseptualisasi yang lebih kuat"
karena tidak memiliki kekurangan ini. Ketiga, "personil lain" sangat penting untuk pengendalian
internal yang efektif karena beberapa alasan: mereka adalah orang-orang yang menjalankan
prosedur pengendalian dan, dari sudut pandang mereka, mereka memiliki wawasan berharga
tentang di mana pengendalian internal tidak efektif dan bagaimana hal itu dapat diperbaiki. Setiap
organisasi harus berusaha untuk memanfaatkan sumber daya "personil lain" mungkin melalui
program pengendalian self assessment (Bab 10).
Perhatikan bahwa COSO mendefinisikan pengendalian internal sebagai semua aspek dari
semua proses yang memberikan keyakinan memadai atas pencapaian semua, bukan hanya
beberapa, dari tujuan organisasi. Perhatikan bahwa pengendalian internal dianggap oleh COSO
sebagai sebuah proses, bukan keadaan; dan perhatikan bahwa definisi tersebut mengakui bahwa
pengendalian internal yang efektif memerlukan proses desain (dan desain ulang) yang sadar karena
tidak dapat diharapkan terjadi secara kebetulan. "Reasonable assurance" adalah frase kode; Itu
berarti lebih dari sekedar kesempatan berolahraga. Ini berarti kita harus merancang proses kita
sehingga kita yakin bahwa mereka cukup kuat untuk memastikan bahwa organisasi tersebut akan
mencapai tujuannya-walaupun kita tidak akan pernah 100% yakin bahwa kejadian tak terduga,
terutama risiko eksternal yang tak terduga, dapat menggagalkan pencapaian organisasi tujuan.
Meskipun demikian, sangat bijaksana untuk merancang kontrol kita dengan margin untuk
mengatasi hal yang tidak terduga-bahkan jika ini berarti kita menyelesaikan kinerja bottom-line
yang kurang spektakuler daripada yang seharusnya terjadi.
Analogi sebuah kapal, yang berlayar melintasi samudera ke pelabuhan yang jauh,
berguna. Di atas kapal harus semuanya dibutuhkan untuk memberi kepastian memadai bahwa
kapal akan sampai ke tujuannya. Jika pengendalian internal telah didefinisikan secara lebih sempit
(seperti, misalnya, tersirat oleh paradigma 4, 5 dan 6 di bawah ini), kami hanya mengacu pada
sistem kontrol navigasi dan arah di atas kapal. Sebagai gantinya, konsep COSO dan juga
paradigma 2 dan 3 mencakup dalam pengendalian internal segala sesuatu yang berkontribusi untuk
membawa kapal ke tempat tujuannya - sistem kontrol navigasi dan arah serta juga desain lambung,
kekuatan motor, perawatan dari kerajinan, pelatihan dan motivasi kru, kualitas kepemimpinan dan
sebagainya. Ketika auditor internal melaporkan kesempatan untuk memperbaiki pengendalian
internal atas proses bisnis, ketika auditor internal melaporkan kesempatan untuk memperbaiki
pengendalian internal atas proses bisnis, mereka mungkin menarik perhatian pada elemen proses
pengelolaan. Perhatikan bahwa definisi COSO menetapkan tanggung jawab untuk pengendalian
internal kepada tiga pihak. Sangat mengesankan bahwa sebuah definisi yang dimulai pada tahun
1992 menempatkan dewan tersebut dalam posisi terdepan. Dewan bertanggung jawab atas
kebijakan organisasi yang berdampak pada pengendalian internal; Dewan juga bertanggung jawab
untuk mengawasi manajemen yang memiliki pengendalian internal yang efektif. Manajemen
bertanggung jawab untuk merancang, menerapkan, memantau dan memelihara sistem kontrol
internal yang efektif di seluruh bisnis dan aktivitas yang telah dioutsourcing.
Definisi pengendalian internal COSO menetapkan bahwa ada tiga tujuan pengendalian
internal. Kenyataannya ada satu tujuan keseluruhan - untuk memberikan keyakinan memadai
bahwa organisasi akan mencapai semua tujuannya. COSO telah memilih untuk
mengklasifikasikan tujuan ini menjadi tiga bagian. Tapi "bagian tujuan" bisa saja dipotong menjadi
sejumlah irisan, dengan potongan di tempat yang berbeda-dan itu bisa menjadi tujuan yang sama.
Kemudian dalam bab ini (pada Tujuan pengendalian internal), kita mengeksplorasi bagaimana
pendukung lainnya mengkategorikan tujuan pengendalian internal.
1. Lingkungan pengendalian
2. Penilaian risiko
3. Kegiatan pengendalian
4. Informasi dan komunikasi
5. Pemantauan
Komponen kontrol internal COSO juga telah diadopsi dari waktu ke waktu oleh
Rutteman, Turnbull, SEC, PCAOB10 dan seterusnya sebagai kriteria yang akan digunakan untuk
menilai efektivitas pengendalian internal. Kami jelaskan arti komponen ini nantinya. Ini adalah
representasi konseptual COSO dari kelima komponen ini, beserta definisi dan panduan COSO
lebih lanjut, yang memenuhi spesifikasi publikasi COSO yang akan disebut kerangka
pengendalian internal.
COSO telah mewakili kerangka pengendalian internal mereka dalam bentuk kubus pada
Gambar 6.1. Tiga tujuan COSO pengendalian internal, sesuai definisi pengendalian internalnya,
ditunjukkan di wajah atas, dengan lima komponen penting di muka. Wajah lainnya dimaksudkan
untuk menunjukkan bahwa kerangka pengendalian internal ini dapat diterapkan dalam
perancangan atau peninjauan ulang organisasi secara keseluruhan atau fungsi atau proses
organisasi.
Meskipun COSO mengakui bahwa "fokus terarah" akan dimungkinkan jika efektivitas
pengendalian internal dipertimbangkan hanya terhadap satu atau dua tujuan pengendalian internal
COSO, namun memuaskan bagi auditor dan komite audit yang berkewajiban untuk
mempertimbangkan efektivitas pengendalian internal " dalam putaran "(yaitu apakah pengendalian
internal efektif untuk memberikan kepastian memadai mengenai efisiensi dan efektivitas operasi,
pelaporan keuangan yang andal dan kepatuhan terhadap peraturan perundang-undangan) tidak
memperbanyak pekerjaan mereka secara proporsional. Misalnya, kode etik bisnis yang baik
cenderung berdampak positif pada masing-masing tujuan pengendalian internal.
Dalam studi Enterprise Risk Management 2004 mereka (lihat Bab 5) COSO memberi
label "lingkungan kontrol" sebagai "lingkungan internal". Beberapa menggunakan istilah ini
secara berbeda untuk merujuk pada semua komponen pengendalian internal. Seperti yang
digunakan oleh COSO dan lainnya, itu untuk dilakukan dengan
Gambar 6.1 “kubus rubik” pengendalian internal COSO
"tone di bagian atas" dalam hal contoh yang ditetapkan oleh manajemen puncak dan dewan
pengurus, apakah mereka cenderung menolak kontrol untuk kepentingan mereka sendiri dan
apakah tindakan mereka konsisten dan tepat untuk melakukan kesalahan. Lingkungan
pengendalian mencakup nilai, etika, budaya dan komitmen organisasi dan anggotanya. TI
mencakup kebijakan dewan yang terkait dengan pengendalian internal - seperti kode etik bisnis,
kebijakan whistleblowing, kebijakan keamanan internet dan sebagainya. Ini mencakup cara
organisasi telah terstruktur.
Dari lima komponen pengendalian internal yang penting, lingkungan kontrol dapat
dianggap sebagai komponen pondasi: jika lingkungan kontrol tidak sehat, kemungkinan besar
keempat komponen lainnya juga tidak memadai. Lingkungan pengendalian yang baik memberikan
pengaturan yang diperlukan agar pengaturan pengendalian internal yang efektif dapat ditetapkan
dan diterapkan. Institute of Internal Auditor, dalam Glosarium Standar mereka mendefinisikan
"lingkungan kontrol" dengan cara yang mirip dengan PCAOB, 10 sebagai:
Risiko hadir dalam setiap aktivitas dan kita semua, dengan tingkat yang bervariasi, terus
mengevaluasi signifikansi risiko dalam kehidupan kita dan mengambil langkah yang tepat untuk
melawan implikasi potensial.
Dalam konteks bisnis, risiko dapat menjadi ciri inheren dari operasi organisasi, terutama
bila ada perubahan penting yang terjadi. Sifat risiko mungkin, di satu sisi, penting bagi kelanjutan
kelangsungan hidup organisasi, atau masalah citra komersial positif di sisi lain. Tentu saja, ada
banyak nuansa abu-abu sehubungan dengan dampak risiko relatif, dan masing-masing entitas
cenderung memiliki pemetaan implikasi dan konsekuensi yang unik. Untuk merencanakan secara
efektif dan ekonomis pengurangan atau penahanan risiko yang terkait dengan bisnis, sebuah
organisasi perlu mengidentifikasi semua risiko yang mungkin diterapkan dalam usaha mereka.
Dalam usaha untuk melakukan usaha baru, penilaian risiko biasanya akan menjadi bagian
dari tingkat strategis perencanaan. Meskipun risiko yang terkait dengan kegiatan bisnis yang
mapan mungkin (atau dianggap sudah diketahui), selalu ada kebutuhan untuk memastikan bahwa
perubahan dalam tujuan bisnis, undang-undang, dan lain-lain dipenuhi oleh pandangan organisasi
mengenai risiko relatif.
Pengidentifikasian risiko dalam bisnis harus merupakan proses yang berkelanjutan yang
peka terhadap implikasi kondisi pasar yang berubah, beban kerja operasional, parameter
makroekonomi, dan sebagainya. Manajemen yang efektif harus dapat mengantisipasi kebutuhan
akan perubahan dan karenanya mengevaluasi amandemen terhadap profil risiko perusahaan.
Mengingat bahwa kesadaran dan filosofi kontrol sebuah organisasi idealnya harus
didorong dari atas dan memiliki komitmen yang jelas dari manajemen senior, maka secara logis
bahwa penilaian risiko terkait juga harus berasal dari tingkat tinggi dalam sebuah organisasi. Hal
ini sangat relevan bila sebuah organisasi mengalami perubahan radikal atau jauh, mungkin sebagai
masalah kelangsungan hidup terus-menerus.
Data risiko harus akurat dan dilihat dalam konteks kemungkinan terjadinya. Untuk
kegiatan yang ada mungkin ada data risiko historis yang tersedia berdasarkan prestasi masa lalu
yang akan diraih. Resiko dapat diwakili oleh faktor kuantitatif atau kualitatif dan tentunya
memiliki tingkat dampak potensial yang berbeda.
Resiko terbatas harus diprioritaskan dan mengendalikan tujuan yang ditetapkan dalam
setiap kasus. Tujuannya dapat mencerminkan indikator kinerja yang dibutuhkan yang berlaku
untuk setiap risiko sebagai sarana untuk menetapkan ambang toleransi. Secara keseluruhan, data
rangking dan sasaran akan mendorong definisi dan disain sistem kontrol yang dibutuhkan. Tujuan
dapat diklasifikasi dengan beberapa cara, misalnya:
Dalam istilah dasar, satu ukuran keberhasilan untuk setiap sistem pengendalian internal
adalah bahwa ada keyakinan memadai bahwa tujuan pengendalian yang telah mapan telah tercapai,
dan akan berada di masa depan.
Bisnis dan masyarakat bukanlah entitas statis, mereka tunduk pada segala macam
perubahan yang dimulai baik dari dalam maupun di luar entitas. Penilaian risiko harus merupakan
proses yang berkelanjutan dengan penilaian ulang implikasinya terhadap bisnis. Perubahan baik
sifat atau prioritas risiko kemudian harus dibawa ke pengaturan tujuan pengendalian dan
modifikasi / penciptaan sistem pengendalian internal.
Komponen Aktivitas Kontrol COSO
Komponen kontrol ini mengacu pada semua prosedur yang dioperasikan organisasi yang
memiliki tujuan pengendalian - seperti pintu penguncian, melakukan rekonsiliasi dan sebagainya.
Jika organisasi tidak melakukan semua ini, tidak ada kontrol internal yang efektif.
Pembentukan sistem kontrol mendapat keuntungan dari pendekatan yang baru, namun
kemungkinan besar, dalam praktiknya, mekanisme tersebut akan berevolusi secara progresif dalam
waktu yang lama.
Ada dua dimensi untuk mengendalikan aktivitas. Pertama, ada penetapan kebijakan yang
menentukan apa yang harus dilakukan untuk mencapai tujuan bisnis terkait. Kedua, prosedur
diperlukan yang menentukan proses yang diperlukan untuk memenuhi persyaratan kebijakan.
Secara umum, kebijakan biasanya didefinisikan pada tingkat yang cukup tinggi, sementara
prosedur memiliki kecenderungan untuk tingkat definisi yang jauh lebih rendah atau terperinci.
Kebijakan dapat menentukan jenis kontrol terbaik untuk mencapai efek yang diinginkan,
sedangkan prosedurnya akan memperhatikan mekanisme unsur dari pendekatan pilihan.
Memastikan bahwa semangat kedua elemen ini tetap kompatibel karenanya penting jika tujuan
mendasar harus dicapai.
Bila aktivitas pengendalian memerlukan keterampilan khusus atau khusus, harus ada
mekanisme yang ada untuk memastikan bahwa tingkat pengetahuan yang diperlukan terjaga,
mungkin melalui program pelatihan dan pengembangan staf yang berkelanjutan.
Dengan meningkatnya pengaruh teknologi informasi atas segala macam kegiatan bisnis
sehari-hari, sangat penting untuk integritas data perusahaan dan kelanjutan penyediaan layanan
yang tujuan dan sasaran pengendalian spesifik ditargetkan pada sistem komputer. Data seringkali
merupakan sumber kehidupan sebuah organisasi dan langkah-langkah harus diambil untuk
memastikannya tetap akurat, lengkap, aman dan berwenang.
Agar berfungsi secara efisien dan berhasil, sebuah organisasi membutuhkan informasi
yang relevan yang diberikan kepada orang yang tepat pada waktu yang tepat pula. Bagaimana
mungkin sebuah bisnis modern bisa berjalan dan mencapai tujuannya tanpa arus informasi yang
relevan. Selain itu, sebuah informasi juga harus dapat diandalkan dalam hal akurasi dan
kelengkapan. Data yang tidak akurat atau ketinggalan jaman akan mempengaruhi kemampuan
manajemen untuk membuat keputusan yang tepat dan mengendalikan bisnis. Bila perlu, data harus
diotorisasi dan diamankan, terutama yang sensitif secara komersial.
Dalam bisnis kontemporer, semua jenis data akan dikumpulkan, dianalisis dan
didistribusikan; Misalnya yang berhubungan dengan masalah operasional, statistik kinerja, status
keuangan atau masalah kepatuhan kontrol.
Staf yang terpilih akan meminta informasi agar bisa melakukan tugas tertentu. Apabila
data yang diberikan usang atau tidak lengkap maka dapat membahayakan kinerja dan pencapaian
tujuan perusahaan.
Informasi perusahaan tidak boleh mengacu seutuhnya dari sudut pandang internal,
darimana data tersebut diterima, dan dikirimkan, badan eksternal juga termasuk komponen
penting; misalnya, panggilan atas pemesanan dari pelanggan utama akan berdampak pada kedua
fungsi produksi dan stok, sedangkan pelepasan faktur akan mendatangkan keuntungan dari arus
kas, dll. Akurasi data dapat diterima dari signifikansi yang berbeda-beda bila ada dimensi
eksternal, yaitu gambar dan reputasi organisasi bisa rusak jika informasi yang didistribusikan ke
pelanggan atau pemasok tidak lengkap atau tidak benar.
Tidak dapat dipungkiri, informasi berkaitan dengan beberapa bentuk proses
komputerisasi. Tentu saja, teknologi informasi membawa manfaat besar bagi dunia bisnis, tapi jika
tidak dikontrol dan dipantau maka akan menimbulkan dampak buruk bagi perusahaan. Seseorang
mengatakan kalau komputer mampu memproduksi sampah lebih cebat dibandingkan manusia.
Sebagai aturan umum harus ada bukti independen bahwa sebuah sistem menghasilkan data yang
akurat dan lengkap, dan fakta bahwa "laporan yang dihasilkan komputer" tidak boleh dijadikan
bukti mutlak bahwa sebuah data bisa diandalkan.
Ada kumpulan elemen data utama yang membentuk inti bisnis sedangkan sistem (atau
aplikasi) yang memproses dan memanipulasi data tersebut dapat berubah seiring berjalannya
waktu, serta sifat data ini kemungkinan akan tetap konsisten. Sebagai bagian dari teknologi
perencanaan sistem informasi tingkat korporat, bentuk pemodelan data dapat dilakukan untuk
mengidentifikasi struktur data yang dibutuhkan dan menetapkan faktor seperti kepemilikan, hak
akses dan tingkat keamanan untuk setiap elemen.
Dalam situasi yang tepat mungkin memiliki manfaat yang terkait dengan pembangunan
dari kebijakan informasi formal yang menentukan komponen utama sistem informasi bisnis.
Sistem informasi manajemen (MIS) yang sudah ditetapkan relatif mudah dibangun di dalam
kontrol yang bertujuan untuk memastikan akurasi, integritas dan ketepatan waktu data.
Dalam konteks lingkungan kontrol, sumber informasi mungkin memiliki diskrit
implikasi kontrol dalam hal itu, misalnya, penyediaan sarana untuk mengoperasikan,
mengendalikan atau menyoroti kegagalan kondisi kontrol. Saat mendefinisikan dan membangun
lingkungan pengendalian dan aktivitas pengendalian terkait, penggunaan informasi kunci elemen
tak terelakkan. Rekonsiliasi dan pengujian mungkin dapat memberikan manajemen dengan
jaminan bahwa sistem beroperasi dengan benar.
Istilah "komunikasi" memiliki makna yang lebih luas daripada informasi murni.
Misalnya, sistem komunikasi dapat menghubungkan pesan kunci tentang budaya dan
mengendalikan kesadaran akan suatu perusahaan, dan menimbulkan tanggung jawab kolektif
untuk kontrol masalah jika ditangani dengan tepat.
Komunikasi internal dapat melayani arus dalam berbagai arah, yaitu hirarki, lintas fungsi
melalui semua lapisan manajemen dan tanggung jawab. Setiap organisasi harus memperhatikan
sensitivitas dan kerahasiaan informasi data melalui jalur komunikasi untuk memastikan bahwa staf
menerima informasi yang mereka butuhkan dalam memenuhi tanggung jawab untuk mencegah
akses data yang tidak sah.
Permasalahan atau kegagalan yang terjadi pada rute komunikasi harus didefinisikan
dengan jelas sehingga pelaporan anomali yang cepat difasilitasi.
Persyaratan komunikasi eksternal akan memenuhi di dalam maupun di luar. Misalnya,
dalam konteks industri jasa, penting untuk memastikan keluhan pelanggan atau kegagalan
operasional dengan cepat dan akurat lalu diarahkan ke personil yang tepat untuk pelaporan kinerja
atau kepatuhan lalu dikirimkan ke badan pengawas.
Ada berbagai sarana komunikasi, dimana kecepatan, aksesibilitas dan keamanan
semuanya akan bervariasi dengan metode ini. Standar defenisi untuk penggunaan metode yang
tepat dalam keadaan tertentu dapat memberikan kepastian yang lebih besar sehingga komunikasi
akan tercapai secara efektif.
Proyek peninjauan akan lebih bermanfaat untuk mengeksplorasi "keseimbangan
imformasi” organisasi secara keseluruhan, seperti yang digambarkan pada Gambar 6.2.
Keseimbangannya kemungkinan besar tidak efisien sehubungan dengan proses bisnis yang
melintasi batas-batas struktural organisasi. Banyak organisasi mengumpulkan dan menyimpan
data jauh melampaui sejauh mana data itu digunakan untuk menentukan informasi yang berguna.
Di sisi lain, sebuah organisasi mungkin memiliki catatan yang tidak memadai untuk mendapatkan
informasi kebutuhan manajemen. Lalu, sebuah organisasi atau sejenisnya mungkin telah
menerapkan proses yang menghasilkan banyak informasi, namun kualitas dan jumlah penggunaan
informasi tersebut belum dimanfaatkan secara maksimal. Sebagai alternatif, analisis informasi
yang tersedia dapat dipilah apabila informasinya tidak memadai. Kita semua mengenali organisasi,
atau bagian-bagian yang menyediakan analisis informasi dari semua sudut tetapi tampaknya tidak
mampu untuk mengambil keputusan
Data
Tindakan Informasi
Keputusan Analisis
yang disarankan. Yang lain mengambil keputusan "pribadi" dengan informasi yang tidak akurat,
meskipun ada istilah "mengambil keputusan yang salah lebih baik baik daripada tidak mengambil
keputusan sama sekali” Tapi keputusan tersebut tidak ada gunanya: banyak manajer tidak
menindaklanjuti keputusan yang akan diimplementasikan secara tepat waktu dan efektif. Mungkin
organisasi atau komponen lainnya terlalu terburu-buru sehingga tindakan dan keputusan yang akan
diambil tidak pernah konsisten.
Pesan yang bisa diambil dari masalah ini adalah demi kepentingan ekonomi, efisiensi
dan efektivitas diperlukan keseimbangan kontrol antara data, informasi, analisis, keputusan dan
tindakan
Komponen Pengawasan COSO
Kami telah membahas perkembangan lingkungan pengendalian, pendirian kegiatan
pengendalian yang disesuaikan dengan risiko yang ada dalam organisasi dan kebutuhan arus
informasi yang berhubungan dengan bisnis. Setiap organisasi perlu mempertimbangkan lebih
lanjut bagaimana komponen ini berkontribusi pada manajemen puncak dan jaminan kebutuhan
untuk dewan direksi.
Sistem informasi harus menyediakan sarana utama untuk memantau efektivitas sistem
pengendalian internal. Yang tidak kalah pentingnya adalah pendirian mekanisme untuk
mengidentifikasi masalah atau kegagalan pengendalian, pastikan bahwa manajemen dibuat sadar
sehingga tindakan korektif segera diambil.
Siapa yang akan bertanggung jawab dalam memantau pengendalian internal sistem,
harusnya juga bertanggung jawab atas sistem operasi organisasi. Secara praktis, direksi tidak dapat
mengoperasikan semua aspek pemantauan mereka sendiri. Manajemen seharusnya memantau
aktivitas sehari-hari, kinerja keuangan, dll. Idealnya semua kegiatan harus dipantau. Direktur non-
eksekutif bisa memainkan peran penting dalam pemantauan, misalnya melalui komite audit dewan
dengan spesifik tanggung jawab untuk mengkaji ulang laporan keuangan dan menilai keefektifan
sistem pengendalian internal dan aktivitas fungsi audit internal.
Dewan harus lebih memantau identifikasi risiko bisnis dan pengembangan tujuan dan
prioritas pengendalian, walaupun pekerjaan ini dapat dilakukan oleh manajemen junior.
Audit internal berfungsi untuk memainkan peran vital secara independen dalam menilai
keefektifan kontrol dan melaporkan hal yang sama kepada dewan melalui naungan komite audit.
Fungsi kepatuhan yang ada di dalam lembaga keuangan juga memainkan peran ini.
Proses peninjauan terus-menerus dan / atau secara periodik, bisa dilakukan oleh siapapun
dengan tidak hanya mempertimbangkan keefektifan sistem kontrol yang ada, namun harus juga
mempertanyakan apakah sistem itu sendiri masih relevan dan sesuai atau tidak. Bisnis dan operasi
akan selalu berubah dan harus beradaptasi dengan kekuatan eksternal, sehingga praktik dan
pengendalian harus terus dimodifikasi untuk memenuhi permintaan. Deteksi adanya kegagalan
sistem kontrol atau kebutuhan pembaruan sistem, harus cepat dilaporkan untuk agra proses
perbaikan dapat dilakukan secara cepat. Manajemen harus memiliki sistem untuk mengetahui
sumber-sumber masalah yang terkait kontrol, dll. Hal ini wajib hukumnya pada saluran pelaporan
auditor internal dan eksternal, tetapi juga harus diberikan kepada staf junior agar perbuatan yang
tidak sesuai dapat segera diidentifikasi.
Pelaporan permasalahan dan penerapan sistem perbaikan yang tepat dibutuhkan oleh
manajemen untuk menghindari adanya pelanggaran.
Bukti peninjauan ulang sistem pengendalian internal harus tersedia; baik dalam bentuk
laporan audit internal, ringkasan masalah pengendalian yang signifikan oleh komite audit, atau
rapat dewan direksi, dll.
Konsolidasi dan pelaporan dari hasil program penilaian, terutama untuk ketiadaan fungsi
audit internal memiliki peran penting dalam menilai efektivitas pengendalian internal di dalam
sebuah perusahaan.
Prinsip Utama
Dewan harus menjaga sistem pengendalian internal untuk melindungi pemegang saham, investasi
dan aset perusahaan.
Ketentuan Kode
C.2.1 Dewan harus, setidaknya setiap tahun, melakukan tinjauan terhadap keefektifan kelompok
sistem pengendalian internal dan harus melaporkan kepada pemegang saham mengenai sistem
pengendalian yang dilakukan. Review harus mencakup semua kontrol material, termasuk
keuangan, operasional dan kepatuhan kontrol dan sistem manajemen risiko.
Turnbull menyarankan cara menerapkan bagian dari Kode Etik ini. Turnbull
mendefinisikan kontrol internal sebagai: Sistem pengendalian internal yang mencakup kebijakan,
proses, tugas, perilaku dan aspek perilaku lainnya, untuk:
memfasilitasi operasi yang efektif dan efisien dengan memberikan respons yang tepat
terhadap risiko bisnis, operasional, keuangan, kepatuhan dan risiko untuk mencapai tujuan
perusahaan. Hal ini juga menyangkut keamanan aset dari penggunaan yang tidak benar
atau dari kerugian dan kecurangan, dan memastikan bahwa kewajiban diidentifikasi dan
dikelola;
membantu memastikan kualitas pelaporan internal dan eksternal. Pemeliharaan dan proses
dibutuhkan untuk menghasilkan informasi yang relevan dan dapat dipercaya di dalam
maupun di luar organisasi;
membantu memastikan kepatuhan terhadap hukum dan peraturan yang berlaku, juga
dengan kebijakan internal yang berkaitan dengan pelaksanaan bisnis.
Lampiran Turnbull mengulangi komponen penting pada pengendalian internal COSO, kecuali
penggabungan "lingkungan kontrol dan kegiatan pengendalian".
Refleksi orientasi perilaku kerangka kerja CoCo, komponen kontrol internal terdiri dari empat
bagian seperti pada Gambar 6.3:
Tujuan
Pengawasan dan
pembelajaran
Komitmen
Kapabilitas
Gambar 6.3 Kerangka kerja pengendalian internal CoCo. Dicetak ulang dengan izin dari Pedoman
Pengendalian (The Canadian Institute of Chartered Accountants, 1995, Toronto, Kanada)
CoCo menjelaskan:
Seseorang melakukan sebuah tugas, dipandu oleh pemahaman tentang tujuannya (tujuan untuk
dicapai) dan didukung oleh kemampuan (informasi, sumber daya, persediaan dan keterampilan).
Orang tersebut membutuhkan komitmen untuk melakukan tugas dengan baik sepanjang waktu.
Orang itu akan monitor kinerjanya dan lingkungan eksternal untuk belajar bagaimana melakukan
tugas dengan lebih baik dan belajar tentang perubahan apa yang harus dilakukan. Hal yang sama
berlaku bagi tim atau kelompok kerja manapun. Di setiap organisasi, esensi sebuah kontrol adalah
tujuan, komitmen, kemampuan, dan pemantauan dan pembelajaran.
Systems/cybernetics theory has developed its own terminology – lihat Gambar 6.4, 6.5, 6.6
and 6.7.
Input
Proses
Output
Keterbatasan
Sistem Tertutup
Sistem Terbuka
Variabel
Internal
Eksternal
Lingkungan
Input
Proses
Output
Kontrol objek
Detektor
Referensi objek
Pembanding (analisis)
Aktivator
Feedback
feedforward
batas sistem Lingkungan suatu sistem adalah apa yang terjadi di luar batas jangkauannya.
Lingkungan yang bergejolak seringkali membutuhkan sistem agar lingkungan lebih "terbuka"
untuk mengatasi perubahan yang cepat. Sama halnya seperti bawang merah atau seperti bawang
putih. Ada sistem (subsistem) dalam sistem Terutama dengan sistem terbuka kita menggunakan
kebijaksanaan kita untuk menentukan batasan tergantung pada fokus perhatian kita. Kita harus
mampu untuk "keluar dari kulit "dan melihat sistem lain yang lebih kecil di luar sebuah sistem.
Dengan mengacu pada Gambar 6.6, "objek kontrol" adalah variabel dari sistem perilaku yang
harus dipantau dan dikendalikan. "Detektor" adalah bagian dari sistem yang mengukur (atau
memonitor) objek kontrol. "Titik referensi" adalah standar yang mana kinerja sebenarnya dari
objek kontrol dibandingkan.
Gambar 6.7 Ilustrasi sistem kontrol adaptif terbuka (dari Gleim's CIA Review Buku Bagian III tentang
Pengendalian Manajemen dan Teknologi Informasi (edisi ke 10, Desember 2007) 2001, ISSN: 1099-8837,
ISBN 1-58194-182-X, hal. 35, www.gleim.com)
The "comparator (analyzer)" membuat perbandingan dan menilai apakah atau tidak itu adalah
signifikan. "Aktivator" mengambil keputusan yang dimaksudkan untuk memulihkan keadaan
kinerja seperti yang diinginkan.
Contoh
Bayangkan sebuah sistem pemanas atau sistem pendingin udara. Ini adalah dasar elemen yang
akan kita gunakan pada kontrol:
Objek Kontrol - suhu
Detektor - pengukur suhu pada termostat
Titik Referensi - 22◦C
Komparator (Analyzer) - sensor suhu relatif termostat
Activator - saklar kontrol di termostat
Pengaturan suhu (= "objek kontrol") diletakkan pada keluaran yang diinginkan (misalnya
22◦C = "titik referensi") dengan menyesuaikan pengukur suhu (= "detektor") di termostat
Termostat terus mengukur kinerja aktual (yaitu suhu kamar) dan membandingkannya dengan
kinerja yang direncanakan 22◦C (= "komparator"). Jika varians yang signifikan telah berkembang
antara aktual dan performa yang direncanakan, saklar mikro di termostat (= the "activator")
dibutuhkan sebuah keputusan terprogram untuk mengaktifkan atau mematikan mekanisme utama
agar bisa dibawa kinerja aktual kembali sesuai dengan kinerja yang direncanakan.
Bagian "kontrol" dari sistem ini adalah memastikan bahwa apa yang diinginkan tercapai.
Bagian kontrol dari sistem selalu bergantung pada "umpan balik". "Feedforward"
menyampaikan informasi maju ke aktivator yang kemudian mampu menyesuaikan proses yang
belum terjadi dalam terang output aktual yang telah ada dicapai dari proses sebelumnya.
"Input", "Process" dan "Output" masing-masing perlu dikontrol. Yang lebih rumit Skema
ini ditunjukkan pada Gambar 6.7.
Sistem bisnis, memang semua sistem sosial, adalah sistem terbuka di dalamnya
kinerja sensitif terhadap variabel eksternal. Reaksi kimia sederhana di dalam lingkungan yang
terkendali (pencampuran hidrogen dengan oksigen, misalnya) akan terjadi contoh sistem tertutup.
Definisi ketat sistem tertutup akan dilakukan jadilah sistem yang tidak memiliki input atau output
dari dan ke sistem, tapi ini teoritis dan tidak ada di dunia bisnis yang sebenarnya. Abadi mesin
gerak akan menjadi contohnya. Lebih baik kita menggunakan definisi tersebut bahwa "sistem
tertutup adalah sistem yang tidak menerima input yang tidak terkendali, sedangkan sistem terbuka
tunduk pada input yang tidak terkendali ". Bahkan ini agak teoritis dalam konteks bisnis, menurut
definisi ini, sebagian besar sistem adalah sistem "terbuka". Meski begitu, kita sering bisa
mendapatkan pemahaman awal tentang bisnis yang lebih baik aktivitas dengan
"menyederhanakan" analisis kita tentang bagaimana berperilaku, menggambarkannya, di paling
tidak pada awalnya, dalam persyaratan sistem tertutup.
Ungkapan "pengendalian internal" oleh karena itu dipahami oleh teori sistem
mengacu pada peraturan variabel yang terjadi dalam suatu sistem; karena itu "Kontrol eksternal"
akan menjadi regulasi variabel yang berasal dari luar sistem atau memiliki tujuan di luar sistem.
Sistem terbuka lebih sulit dikendalikan daripada sistem tertutup.
Kontrol terkadang bisa diotomatisasi ("kontrol terprogram"), namun kompleksitasnya
dari proses kontrol mungkin menghalangi ini (yaitu "kontrol diskresioner" adalah terapan).
Kontrol discretionary lebih cenderung penting saat dibutuhkan kontrol input dan output ke dan
dari sistem, seperti dalam kasus sistem terbuka.
Sistem "korektif" adalah sistem yang dapat beradaptasi untuk mencapai keadaan yang
diinginkan. Dengan kata lain bisa mengikuti jalur pemrosesan yang berbeda sesuai aturan yang
ditentukan. Ini mungkin berlaku untuk sistem "terbuka" atau "tertutup". Sistem "adaptif" memiliki
fleksibilitas untuk memodifikasi prosesnya sebagai respons terhadap perubahan lingkungan; Jadi
sistem adaptif selalu merupakan sistem yang terbuka. Ini seperti belajar-ini melampaui cukup ikuti
jalur tertentu sesuai peraturan yang ditentukan.
Sistem kontrol korektif terkadang disebut sistem kontrol orde pertama. Di
tanggapan kontrol ini sepenuhnya dapat diprediksi berdasarkan pada yang telah ditentukan
sebelumnya peraturan sistem dan fungsinya tanpa memperhatikan perubahan lingkungan. Di sisi
lain tangan, sistem kontrol adaptif (kadang disebut sistem kontrol orde kedua) dapat
mengambil langkah-langkah pengendalian dalam menanggapi perubahan lingkungan, dan dapat
belajar dari pengalaman mereka.
PARADIGMA 5: PENGENDALIAN DIVISI DENGAN PENGAWASAN
Model pengendalian internal ini didasarkan pada premis bahwa kontrol yang efektif dapat
dicapai dengan kombinasi yang tepat dari berbagai kesempatan untuk "membagi" ("terpisah dari"
atau "memisahkan"), bersamaan dengan pengawasan. Merancang proses kontrol kita untuk
memanfaatkan peluang dapat dibagi menjadi cara untuk mencapai pengendalian internal yang
efektif karena hanya masalah pengalokasian pekerjaan dengan cara mengurangi kemungkinan
kesalahan dan kerugian, disengaja atau tidak disengaja, akan terjadi. Namun, mungkin ada biaya
tak berwujud yang mungkin: misalnya, jika untuk memperbaiki kontrol, kami merancang proses
kami sehingga siapapun yang secara fisik menangani uang tunai juga tidak memperhitungkannya,
maka kami mungkin mengurangi potensi kepuasan kerja dan bagi mereka yang terlibat dalam
Ambil kepentingan 360 an cerdas dalam proses bisnis. Spesialisasi, oleh beberapa divisi ini, dapat
menghasilkan produktivitas yang lebih besar. Sebaliknya, jika kita mengandalkan pengawasan
untuk mencapai kontrol yang efektif, biaya tambahan akan dilibatkan dan pengawasan mungkin
juga tidak dapat diandalkan.
Jadi, pandangan tentang pengendalian internal ini menasihati bahwa kita harus berusaha
untuk mencapai kontrol yang efektif melalui pembagian yang bijaksana dari berbagai jenis; Tetapi
jika kita menilai bahwa kontrol yang tidak memadai telah dicapai oleh divisi, maka kita harus
mengandalkan pengawasan yang lebih besar. Dengan demikian, kebutuhan akan pengawasan yang
efektif akan menjadi yang terbaik sepanjang proses terhadap kontrol dan khususnya bila kita tidak
dapat membangun kontrol internal yang memuaskan melalui perpaduan "divisi".
Kami menjelaskan di sini peluang pembagian yang berbeda yang dapat dimanfaatkan,
semata-mata atau kombinasi dan bersamaan dengan pengawasan jika diperlukan, untuk mencapai
pengendalian internal yang efektif.
Divisi Tugas
Pastikan dua atau lebih orang bekerja sama dalam tugas di mana ada risiko kurangnya
kontrol, sehingga mereka bertindak sebagai cross-check satu sama lain. Hal ini juga memiliki
keuntungan untuk menghindari ketergantungan berlebihan pada salah satu anggota staf.
Contohnya termasuk mengeluarkan kata kunci, pemberian dan penyesuaian batas kredit, peran
administrator database, yang mengharuskan dua staf membuka lemari besi, dan seterusnya.
Kontrol akan diperkuat jika diperlukan otorisasi dari seseorang yang tidak menjalankan
tugas, dan jika kedua otorisasi dan eksekusi dipisahkan dari akuntansi untuk kegiatan ini. Hal ini
sering bisa diterapkan pada kegiatan kustodian seperti fungsi kasir atau fungsi pergudangan. Kasir
tidak boleh menjadi orang yang memberi otorisasi pelepasan uang tunai atau penambahan arus
kas; Baik kasir maupun pemilik otoriter harus menjaga akun kontrol uang tunai. Contoh lain yang
tidak penting adalah manajer pembelian menempatkan perintah terhadap otorisasi orang lain dan
tidak memiliki tangan dalam akuntansi untuk pembelian.
Divisi Operasi
Beberapa kegiatan bertentangan satu sama lain jika dilakukan oleh orang atau kelompok
yang sama. Misalnya, penjualan harus dibagi dari pengambilan keputusan tentang tingkat kredit
yang diberikan kepada pelanggan; Jika ini tidak dilakukan, maka kelemahan kontrol perlu
dikompensasikan dengan pengawasan - mungkin dengan meninjau keputusan penyesuaian batas
kredit staf penjualan oleh komite kontrol kredit.
Divisi Staf
Sadarilah kelemahan kontrol yang mungkin timbul bila pengaruh divisi lain dinegasikan
karena hubungan pribadi. Misalnya, ketika dua anggota staf melakukan tugas terpisah berbagi
kantor yang sama dan saling menggantikan secara informal, atau saat mereka menjalin hubungan
pribadi di luar pekerjaan.
Divisi Data
Database IT modern berarti data hanya sekali dimiliki oleh database TI, agar dapat diakses
oleh semua pengguna dari berbagai bagian organisasi yang perlu mengakses data tersebut. Dinding
artistik perlu dibangun ke dalam sistem TI. Pada tahap perancangan, untuk setiap kategori data
harus ditentukan siapa yang memiliki wewenang untuk menambahkan, mengubah, menghapus dan
hanya untuk melihat kategori data tersebut. Kontrol kemudian harus dibangun ke dalam perangkat
lunak untuk membatasi aktivitas dengan cara yang diinginkan. Misalnya dengan cara kontrol
password Auditor internal harus memiliki wewenang yang tidak terbatas untuk melihat data namun
tidak ada kesempatan untuk menambahkan, mengubah atau menghapus data apapun.
Divisi Wewenang
Ada berbagai cara di mana wewenang untuk melakukan organisasi dapat dialokasikan
dengan berbagai tingkat efektivitas pengendalian. Ini bisa dialokasikan untuk satu orang; atau
kepada satu orang dengan ulasan oleh orang lain; atau oleh dua orang bersama-sama, atau ke
komite, atau tidak kepada siapa pun. Siapa individu ini, dan tingkat kemandirian mereka satu sama
lain, juga berdampak pada efektivitas pengendalian otorisasi.
Divisi Waktu
Seringkali "waktu adalah esensi" dalam bisnis modern. Untuk menyelesaikan transaksi
segera cenderung mempercepat waktu siklus bisnis dan meningkatkan volume bisnis sambil
menurunkan biaya. Tapi kadang-kadang bisa masuk akal untuk membangun penundaan waktu
yang disengaja ke dalam transaksi dan memanfaatkan waktu lain untuk memperbaiki kontrol.
Contohnya termasuk menunda pengiriman sampai pembayaran selesai, kunci waktu pada kubah,
"log off after time out", dll. Kontrol dapat diperbaiki jika sistem menyediakan setelah kejadian
bukti aktivitas sensitif kontrol, dan juga jika setelah otorisasi dilakukan diperlukan sebelum
perubahan bisa diimplementasikan. Misalnya jika batas kredit pelanggan berubah, sistem mungkin
diprogram untuk meminta setelah otorisasi acara oleh supervisor sebelum batas kredit yang diubah
dapat digunakan.
Tipe kontrol tertentu mungkin sesuai dalam keadaan tertentu, dan memang lebih dari satu
jenis kontrol mungkin diperlukan untuk menurunkan risiko secara tepat. Beberapa kategori kontrol
seperti ditunjukkan pada tabel. Seperti kebanyakan kategorisasi, ada tumpang tindih antara
beberapa di antaranya.
Perencanaan
kontinjensi
merupakan elemen
penting dalam
pengendalian
korektif karena ini
adalah cara
dimana organisasi
merencanakan
kelangsungan /
pemulihan bisnis
setelah kejadian
yang tidak dapat
mereka kontrol.
7. Investigasi Sebab dan Akibat Untuk mencoba IIA16
memahami
bagaimana hasil
yang tidak
diinginkan terjadi,
untuk memastikan
hal itu tidak
terjadi di lain
waktu, dan untuk
menyediakan jalur
jalan lain untuk
mencapai
pemulihan
terhadap
kehilangan atau
kerusakan.
Setiap tindakan yang diambil oleh manajemen, dewan, dan pihak lain untuk mengelola
risiko dan meningkatkan kemungkinan bahwa tujuan dan sasaran yang telah ditetapkan akan
tercapai. Manajemen merencanakan, mengatur, dan mengarahkan kinerja tindakan yang memadai
untuk memberikan keyakinan memadai bahwa tujuan dan sasaran akan tercapai.
The UK's Combined Code on Corporate Governance (2008), C.2 on Internal Control
Prinsip Utama:
Ketentuan Kode
C.2.1 Dewan sebaiknya, setidaknya setiap tahun, melakukan tinjauan terhadap keefektifan
sistem pengendalian internal kelompok tersebut dan harus melaporkan kepada pemegang saham
bahwa mereka telah melakukannya. Kajian tersebut harus mencakup semua kontrol material,
termasuk pengendalian keuangan, operasional dan kepatuhan serta sistem manajemen risiko.
• Melindungi aset.
The Old Standards of The Institute of Internal Auditors (1978–2001), in the Superseded
Statement on Internal Auditing Standards
Dewan harus menggunakan model pengelolaan dan pengendalian risiko dan pengendalian
risiko yang umumnya diakui secara umum untuk menjaga sistem manajemen risiko dan
pengendalian internal yang sehat guna memberikan keyakinan memadai mengenai pencapaian
tujuan organisasi berkenaan dengan:
Program CoCo dari Canadian Institute of Chartered Accountants telah menyatakan bahwa
pengendalian efektif sejauh ia memberikan keyakinan memadai bahwa sebuah organisasi akan
mencapai tujuannya dengan andal; atau, kontrol efektif sejauh risiko (yang tidak terkendali) yang
tersisa dari organisasi tersebut gagal memenuhi tujuannya dapat diterima.
Petunjuk otoritatif, misalnya Laporan Turnbull atau peraturan SEC tentang penerapan s.
404 dari Sarbanes-Oxley Act, jelaskan bahwa dua pertanyaan harus dijawab sebelum sebuah
kesimpulan dapat dibuat mengenai efektivitas pengendalian internal.
1.Apakah ada hasil yang menunjukkan bahwa pengendalian internal tidak efektif?
2.Apakah proses pengendalian internal cukup kuat untuk memberikan keyakinan memadai
terhadap pencapaian tujuan manajemen?
Kami tidak berhak untuk menyimpulkan bahwa ada pengendalian internal yang efektif
(keseluruhan bisnis atau proses yang menjadi subyek tinjauan kami) hanya karena setelah
penyelidikan yang cermat, kami tidak menemukan apa-apa yang salah. Organisasi mungkin tidak
menyadari adanya kegagalan signifikan yang telah terjadi. Tetapi jika kita telah menemukan
sesuatu yang tidak penting, kemungkinan besar berarti kita harus menyimpulkan bahwa
pengendalian internal belum efektif.
Pendekatan yang tepat untuk menjawab pertanyaan kedua adalah meninjau ketahanan
komponen penting pengendalian internal COSO (lingkungan pengendalian, informasi dan
komunikasi, penilaian risiko, aktivitas pengendalian, pemantauan) sehingga dapat disimpulkan
bahwa pengendalian internal dapat diharapkan. untuk menjadi efektif Ini termasuk memastikan
bahwa komponen kontrol ini diterapkan dengan cara yang telah mereka rancang. Kesalahan yang
sering terjadi adalah berfokus hanya pada penilaian aktivitas pengendalian, namun mengabaikan
kekritisan dari empat komponen penting lainnya dari pengendalian internal
Lebih disukai pertanyaan kedua (di atas) ditangani dengan mengacu pada delapan
komponen manajemen risiko COSO (lihat Bab 5) karena ini memperluas kepastian yang dapat
diberikan auditor untuk merangkul baik manajemen risiko maupun pengendalian internal.
Terlepas dari apakah kegagalan mahal dicegah, sebuah proses dengan kontrol yang baik,
misalnya melalui pemisahan tugas, mungkin tidak memerlukan biaya lebih banyak daripada yang
memiliki kontrol lemah. Mungkin ada peluang untuk mencapai kontrol yang efektif dengan cara
yang lebih ekonomis. Kontrol duplikat mungkin berarti beberapa kontrol bersifat berlebihan dan
dapat dihilangkan.
1 Isu Utama
1.1 Apakah kerangka pengendalian diterapkan pada disain dan penilaian pengendalian
internal dalam organisasi?
1.2 Apakah ada kesalahan dan / atau kerugian yang signifikan karena kelemahan
pengendalian yang belum diperbaiki?
1.3 Seiring waktu, apakah semua proses bisnis yang signifikan ditinjau untuk efektivitas
pengendalian mereka?
1.4 Apakah manajemen memahami bahwa mereka bertanggung jawab atas efektivitas
pengendalian internal?
1.5 Apakah komite audit dewan melaporkan kepada dewan komite secara keseluruhan
mengenai efektivitas pengendalian internal?
1.6 Apakah eksekutif audit utama diminta untuk melapor kepada komite audit, atau kepada
dewan, pendapat keseluruhan audit internal mengenai efektivitas pengendalian internal?
1.7 Apakah proses kunci didokumentasikan, menyoroti kontrol utama mereka; dan apakah
kecukupan desain kontrol kunci ini dievaluasi?
1.8 Apakah ada program yang memuaskan untuk menguji pengoperasian kontrol kunci,
yang dilakukan oleh manajemen dan oleh audit internal?
1.9 Berapakah tingkat risiko dimana manajemen dapat mengesampingkan kontrol, dan jika
hal ini terjadi, apakah akan dilaporkan ke tingkat independen?
2 Isus Terperinci
2.1 Apakah kerangka kontrol yang digunakan sesuai dengan ukuran COSO, CoCo atau
Turnbull?
2.2 Bila perlu, apakah pengendalian internal proses alih daya dalam lingkup desain dan
penilaian internal organisasi?
2.3 Apakah manajemen dan staf dilatih untuk memahami makna pengendalian internal dan
bagaimana pencapaiannya?
2.4 Apakah ada bukti bahwa kontrol disfungsional karena menghambat pencapaian tujuan?
2.5 Apakah pengendalian internal dicapai dengan cara yang hemat biaya?
2.6 Apakah ada kontrol berlebihan melalui proses pengendalian yang tidak perlu mahal,
atau melalui kontrol duplikat?
2.7 Apakah manajemen diminta untuk menilai secara teratur, dan memastikan, efektivitas
pengendalian bidang tanggung jawab mereka?
2.8 Ketika eksekutif audit utama percaya bahwa manajemen senior telah menerima tingkat
risiko residual yang mungkin tidak dapat diterima oleh organisasi, dan belum
menyelesaikan masalah ini melalui diskusi, apakah chief executive audit melaporkan
smasalah tersebut kepada dewan pengurus atau audit panitia, untuk resolusi?
2.9 Apakah kurangnya pengendalian internal yang efektif akan menimbulkan bahaya moral
bagi manajemen, staf, kontraktor, pelanggan, pemasok atau pihak lain?
2.10 Apakah kesalahan, kecurangan atau kerugian yang dapat dihindari lainnya dapat
dideteksi?
2.11 Apakah tanggung jawab untuk pencegahan, deteksi dan investigasi kecurangan secara
jelas ditetapkan dalam uraian tugas staf yang tepat?