MAKALAH AUDIT MANAJEMEN DAN KINERJA

PROSES PENGENDALIAN INTERNAL

Disusun untuk Memenuhi Tugas Mata Kuliah Audit Manajemen dan Kinerja
Dosen Pengampu: H. Tarmizi Achmad, MBA. Ph.D, Akt.

Disusun oleh:

Kelompok 6

Christina Selvi Indahwati (12030115120036)

Louisa Gabe Samosir (12030115120056)

Dyah Puspa Arumningtyas (12030115140159)

KELAS E

S1 - AKUNTANSI

FAKULTAS EKONOMIKA DAN BISNIS

UNIVERSITAS DIPONEGORO SEMARANG

2018
 BAB 6

PROSES PENGENDALIAN INTERNAL

PENGANTAR

Proses bisnis perlu dikendalikan dengan baik. Tujuan bab ini adalah untuk menjelaskan
bagaimana pengendalian ini dapat dicapai, dan bagaimana menilai apakah pengendalian dijalankan
secara benar. Kami akan melakukan ini dengan memperkenalkan sejumlah paradigma
pengendalian internal, atau kerangka kerja. Untuk menjelaskan hal-hal tersebut, tentu saja kita
perlu menjelaskan apa itu "pengendalian internal". "Kontrol internal" merupakan ungkapan yang
berbeda dari "kontrol eksternal", kontrol eksternal dilakukan dari luar oleh pemilik dan pemangku
kepentingan lainnya. "Kontrol internal" adalah kontrol yang dilakukan dalam bisnis oleh
manajemen dan diawasi oleh dewan direksi. Kontrol internal juga mencakup kontrol aktivitas
yang telah dioutsourcing.

Konsep Pengembangan Pengendalian Internal

Fayol, "bapak teori manajemen" adalah orang pertama yang mendeskripsikan "kontrol"
sebagai fungsi manajemen bersama dengan fungsi lainnya yang ia tentukan sebagai perencanaan,
pengorganisasian, komando, koordinasi, pengendalian. Konsep kontrol Fayol berbeda dan lebih
sempit dari pemahaman kontemporer dan umum tentang arti pengendalian internal sebagaimana
ditetapkan pada tahun 1992, misalnya oleh COSO.

Konsep yang sempit mengenai "cek" , "cek internal" atau “internal cross check" telah
mendahului pengenalan oleh AICPA pada tahun 1940-an dari frase "pengendalian internal" .
Memang "cek internal" tetap merupakan alat kontrol yang penting, walaupun frasa ini sudah jarang
digunakan saat ini. Pada tahun 1948 AICPA menyadari bahwa definisi kontrol internal mereka
"lebih luas daripada makna yang kadang-kadang dikaitkan dengan istilah". Pada saat itu AICPA
mendefinisikan pengendalian internal sebagai berikut:

Pengendalian internal terdiri dari rencana organisasi dan metode serta tindakan koordinasi
yang diadopsi dalam bisnis untuk melindungi asetnya, memeriksa keakuratan dan keandalan data
akuntingnya, meningkatkan efisiensi operasional, dan mendorong kepatuhan terhadap kebijakan
manajerial yang ditentukan.

Kemudian (1958), AICPA membedakan antara kontrol akuntansi dan administrasi,

sebagian besar untuk alasan pragmatis karena mereka perlu memberikan fokus pada kontrol yang
paling relevan dengan anggotanya yang terlibat sebagai auditor eksternal:

Pengendalian akuntansi terdiri dari rencana organisasi dan prosedur serta catatan yang
berkaitan dengan pengamanan aset dan keandalan catatan keuangan.

Kontrol administratif mencakup, namun tidak terbatas pada, rencana organisasi dan
prosedur dan catatan yang berkaitan dengan proses keputusan yang mengarah pada otorisasi
pengelolaan transaksi. Otorisasi tersebut adalah fungsi manajemen yang berkaitan langsung
dengan tanggung jawab untuk mencapai tujuan organisasi dan merupakan titik awal untuk
menetapkan pengendalian transaksi akuntansi.

Pemahaman Kontemporer tentang Pengendalian Internal

Pada saat itu konsep pengendalian internal terbentuk dengan cara yang bersamaan dengan
definisi COSO tahun 1992 tentang pengendalian internal yang merupakan definisi terkini yang
berlaku saat ini:
Pengendalian internal didefinisikan secara luas sebagai proses yang dilakukan oleh dewan direksi,
manajemen dan personil lainnya, yang dirancang untuk memberikan keyakinan memadai
mengenai pencapaian tujuan dalam kategori berikut:
 Efektivitas dan efisiensi operasi.
 Keandalan pelaporan keuangan.
 Kepatuhan terhadap hukum dan peraturan yang berlaku.

Peraturan Komisi Sekuritas & Bursa Efek untuk pelaksanaan s. 404 ("Penilaian
Manajemen Pengendalian Internal") dari Sarbanes-Oxley Act 2002 mensyaratkan bahwa CEO dan
CFO menggunakan kontrol internal yang diakui (lihat Bab 8) untuk tujuan tersebut. Kerangka yang
akan digunakan untuk s. 404 harus dikembangkan melalui proses hukum, secara eksternal
terhadap organisasi yang menggunakannya. SEC menyebutkan tiga kerangka kerja yang dapat
diterima-COSO (AS), CoCo (Kanada) dan Turnbull (Inggris). Definisi CoCo dan Turnbull tentang
pengendalian internal, sementara tidak identik dengan COSO, namun memiliki banyak kesamaan;
kita membahas hal ini lebih jauh di bagian Bab 8 tentang "Menggunakan kerangka pengendalian
internal yang diakui untuk penilaian". Dalam bab ini kami memperkenalkan masing-masing dari
ketiga kerangka kerja ini dan juga tiga paradigma kontrol internal lainnya. Paradigma mana yang
harus dipilih akan bergantung pada sejumlah keadaan dan auditor dan perancang sistem dapat
"mencampur dan mencocokkan" antar paradigma. Salah satu dari tiga paradigma pertama mungkin
harus diterapkan bila ada persyaratan wajib atau persyaratan lain untuk menggunakan paradigma
yang dikembangkan secara eksternal, yang dikembangkan sebagai hasil proses yang dapat
diterima. Tiga paradigma kedua kompatibel dengan kerangka kerja COSO, Turnbull dan CoCo
karena mereka sebagian besar menjelaskan secara spesifik mengenai "aktivitas pengendalian"
dalam komponen pengendalian internal yang dapat ditemukan di kerangka kerja COSO, Turnbull
dan CoCo.

PARADIGMA 1: COSO PADA PENGENDALIAN INTERNAL

Selama tahun 1980an, badan AS, dikenal sebagai COSO (Committee of Sponsoring
Organizations) mengundang Treadway untuk memimpin sebuah komisi penyelidikan setelah
kekhawatiran tentang pelaporan keuangan yang tidak benar. Treadway Report diterbitkan pada
tahun 1987. Treadway merekomendasikan bahwa manajemen harus menyertakan sebuah laporan
mengenai pengendalian internal dengan laporan keuangan mereka yang dipublikasikan. Adopsi
proposal ini ditangguhkan dengan menunggu klasifikasi dari pengertian pengendalian internal dan
bentuk dan proses dari laporan oleh manajemen tersebut, dan sekarang terlihat seolah-olah akan
terus menjadi praktik sukarela, meskipun sering diikuti di AS. Untuk memberikan klarifikasi ini,
COSO mendanai proyek lebih lanjut, bidang kerja yang dilakukan oleh Coopers & Lybrand, yang
menghasilkan publikasi pada tahun 1992 tentang Kerangka Pengendalian Internal Terpadu. Ini
memberi kita definisi baru tentang pengendalian internal yang menggantikan definisi AICPA 1948
dan turunannya. COSO juga memberikan panduan bagaimana pengendalian internal tercapai -
dengan menggunakan lima komponen kontrol yang saling terkait. Akhirnya, COSO memberi
panduan mengenai proses dan bentuk laporan publik oleh manajemen mengenai pengendalian
internal.
 Konsep pengendalian internal COSO, seperti CoCo dan Turnbull, menganggap internal
sangat luas, seperti yang ditunjukkan oleh definisi COSO. Ini semua adalah proses manajemen
kecuali untuk penetapan tujuan. Seolah-olah seseorang mengganti sudut pandangnya dengan
kontrol internal yang memungkinkan untuk melihat proses manajemen melalui lensa kontrol
internal. Ini memberikan perspektif dan fokus yang dimodifikasi. Intinya, fokusnya adalah pada
semua yang manajemen lakukan tapi dari perspektif dampak pengendalian.

Wajar bagi COSO untuk mendefinisikan pengendalian internal secara umum. Kontrol
tergantung pada masing-masing fungsi manajemen lainnya. Tidak ada kontrol tanpa:

 Perencanaan - misalnya, perancangan prosedur yang benar (yang merupakan bagian dari
perencanaan) sangat penting untuk pengendalian yang efektif. Harus ada rencana untuk
mengendalikannya. Tanpa rencana tidak ada kontrol.
 Mengorganisir - misalnya, menyusun bisnis menjadi subdivisi dan menentukan pengaturan
pelaporan. Untuk menggambarkan kedekatan antara pengorganisasian dan pengendalian,
sangat mengherankan untuk mengingat bahwa Fayol menggunakan label "rentang kendali"
untuk menggambarkan masalah berapa banyak bawahan yang mungkin diawasi oleh bos -
namun ini jelas merupakan masalah organisasi dan juga kontrol.
 Mengarahkan dan memimpin - beberapa akan mempertanyakan bahwa kualitas
kepemimpinan berdampak pada kontrol.
 Staffing - staf yang bekerja terlalu sedikit atau terlalu banyak staf dapat menyebabkan hal-
hal tidak terkendali - seperti staf yang tidak kompeten, tidak loyal, tidak jujur atau malas.
 Koordinasi - adalah seni untuk memastikan bahwa kejadian terjadi selaras satu sama lain -
tanpa hal-hal yang tidak terkendali.

COSO mengecualikan penetapan tujuan dari pengendalian internal yang bermasalah. Ini
menunjukkan bahwa konsep pengendalian internal diartikulasikan secara artifisial dan bisa saja
dijelaskan secara berbeda. Masalahnya adalah bahwa pencapaian tujuan keseluruhan memerlukan
penetapan tujuan yang lebih rendah - dan seterusnya ke tingkat yang lebih dan lebih terperinci.
Jadi, sementara COSO menetapkan tujuan pengendalian internal sebagai pencapaian tujuan
manajemen, untuk melakukannya memerlukan penetapan tujuan yang lebih rendah. Hal ini karena
definisi konsep pengendalian internal COSO bahwa COSO mampu menggambarkan kerangka
manajemen risiko perusahaan mereka di tahun 2004 sebagai "konseptualisasi yang lebih kuat"
karena tidak memiliki kekurangan ini. Ketiga, "personil lain" sangat penting untuk pengendalian
internal yang efektif karena beberapa alasan: mereka adalah orang-orang yang menjalankan
prosedur pengendalian dan, dari sudut pandang mereka, mereka memiliki wawasan berharga
tentang di mana pengendalian internal tidak efektif dan bagaimana hal itu dapat diperbaiki. Setiap
organisasi harus berusaha untuk memanfaatkan sumber daya "personil lain" mungkin melalui
program pengendalian self assessment (Bab 10).

Perhatikan bahwa COSO mendefinisikan pengendalian internal sebagai semua aspek dari
semua proses yang memberikan keyakinan memadai atas pencapaian semua, bukan hanya
beberapa, dari tujuan organisasi. Perhatikan bahwa pengendalian internal dianggap oleh COSO
sebagai sebuah proses, bukan keadaan; dan perhatikan bahwa definisi tersebut mengakui bahwa
pengendalian internal yang efektif memerlukan proses desain (dan desain ulang) yang sadar karena
tidak dapat diharapkan terjadi secara kebetulan. "Reasonable assurance" adalah frase kode; Itu
berarti lebih dari sekedar kesempatan berolahraga. Ini berarti kita harus merancang proses kita
sehingga kita yakin bahwa mereka cukup kuat untuk memastikan bahwa organisasi tersebut akan
mencapai tujuannya-walaupun kita tidak akan pernah 100% yakin bahwa kejadian tak terduga,
terutama risiko eksternal yang tak terduga, dapat menggagalkan pencapaian organisasi tujuan.
Meskipun demikian, sangat bijaksana untuk merancang kontrol kita dengan margin untuk
mengatasi hal yang tidak terduga-bahkan jika ini berarti kita menyelesaikan kinerja bottom-line
yang kurang spektakuler daripada yang seharusnya terjadi.

Analogi sebuah kapal, yang berlayar melintasi samudera ke pelabuhan yang jauh,
berguna. Di atas kapal harus semuanya dibutuhkan untuk memberi kepastian memadai bahwa
kapal akan sampai ke tujuannya. Jika pengendalian internal telah didefinisikan secara lebih sempit
(seperti, misalnya, tersirat oleh paradigma 4, 5 dan 6 di bawah ini), kami hanya mengacu pada
sistem kontrol navigasi dan arah di atas kapal. Sebagai gantinya, konsep COSO dan juga
paradigma 2 dan 3 mencakup dalam pengendalian internal segala sesuatu yang berkontribusi untuk
membawa kapal ke tempat tujuannya - sistem kontrol navigasi dan arah serta juga desain lambung,
kekuatan motor, perawatan dari kerajinan, pelatihan dan motivasi kru, kualitas kepemimpinan dan
sebagainya. Ketika auditor internal melaporkan kesempatan untuk memperbaiki pengendalian
internal atas proses bisnis, ketika auditor internal melaporkan kesempatan untuk memperbaiki
pengendalian internal atas proses bisnis, mereka mungkin menarik perhatian pada elemen proses
pengelolaan. Perhatikan bahwa definisi COSO menetapkan tanggung jawab untuk pengendalian
internal kepada tiga pihak. Sangat mengesankan bahwa sebuah definisi yang dimulai pada tahun
1992 menempatkan dewan tersebut dalam posisi terdepan. Dewan bertanggung jawab atas
kebijakan organisasi yang berdampak pada pengendalian internal; Dewan juga bertanggung jawab
untuk mengawasi manajemen yang memiliki pengendalian internal yang efektif. Manajemen
bertanggung jawab untuk merancang, menerapkan, memantau dan memelihara sistem kontrol
internal yang efektif di seluruh bisnis dan aktivitas yang telah dioutsourcing.

Definisi pengendalian internal COSO menetapkan bahwa ada tiga tujuan pengendalian
internal. Kenyataannya ada satu tujuan keseluruhan - untuk memberikan keyakinan memadai
bahwa organisasi akan mencapai semua tujuannya. COSO telah memilih untuk
mengklasifikasikan tujuan ini menjadi tiga bagian. Tapi "bagian tujuan" bisa saja dipotong menjadi
sejumlah irisan, dengan potongan di tempat yang berbeda-dan itu bisa menjadi tujuan yang sama.
Kemudian dalam bab ini (pada Tujuan pengendalian internal), kita mengeksplorasi bagaimana
pendukung lainnya mengkategorikan tujuan pengendalian internal.

COSO dalam Mencapai Pengendalian Internal yang Efektif

Kami telah membahas bagaimana COSO mendefinisikan pengendalian internal. COSO

kemudian menjelaskan bahwa, sesuai dengan kerangka pengendalian internal COSO,
pengendalian internal dicapai dengan menggunakan lima komponen penting pengendalian internal
yang harus ada dan harus berfungsi dengan baik.

1. Lingkungan pengendalian
2. Penilaian risiko
3. Kegiatan pengendalian
4. Informasi dan komunikasi
5. Pemantauan

Komponen kontrol internal COSO juga telah diadopsi dari waktu ke waktu oleh
Rutteman, Turnbull, SEC, PCAOB10 dan seterusnya sebagai kriteria yang akan digunakan untuk
menilai efektivitas pengendalian internal. Kami jelaskan arti komponen ini nantinya. Ini adalah
representasi konseptual COSO dari kelima komponen ini, beserta definisi dan panduan COSO
lebih lanjut, yang memenuhi spesifikasi publikasi COSO yang akan disebut kerangka
pengendalian internal.

COSO telah mewakili kerangka pengendalian internal mereka dalam bentuk kubus pada
Gambar 6.1. Tiga tujuan COSO pengendalian internal, sesuai definisi pengendalian internalnya,
ditunjukkan di wajah atas, dengan lima komponen penting di muka. Wajah lainnya dimaksudkan
untuk menunjukkan bahwa kerangka pengendalian internal ini dapat diterapkan dalam
perancangan atau peninjauan ulang organisasi secara keseluruhan atau fungsi atau proses
organisasi.

Meskipun COSO mengakui bahwa "fokus terarah" akan dimungkinkan jika efektivitas
pengendalian internal dipertimbangkan hanya terhadap satu atau dua tujuan pengendalian internal
COSO, namun memuaskan bagi auditor dan komite audit yang berkewajiban untuk
mempertimbangkan efektivitas pengendalian internal " dalam putaran "(yaitu apakah pengendalian
internal efektif untuk memberikan kepastian memadai mengenai efisiensi dan efektivitas operasi,
pelaporan keuangan yang andal dan kepatuhan terhadap peraturan perundang-undangan) tidak
memperbanyak pekerjaan mereka secara proporsional. Misalnya, kode etik bisnis yang baik
cenderung berdampak positif pada masing-masing tujuan pengendalian internal.

Komponen 'Lingkungan Penegendalian' milik COSO

Dalam studi Enterprise Risk Management 2004 mereka (lihat Bab 5) COSO memberi
label "lingkungan kontrol" sebagai "lingkungan internal". Beberapa menggunakan istilah ini
secara berbeda untuk merujuk pada semua komponen pengendalian internal. Seperti yang
digunakan oleh COSO dan lainnya, itu untuk dilakukan dengan
 Gambar 6.1 “kubus rubik” pengendalian internal COSO

"tone di bagian atas" dalam hal contoh yang ditetapkan oleh manajemen puncak dan dewan
pengurus, apakah mereka cenderung menolak kontrol untuk kepentingan mereka sendiri dan
apakah tindakan mereka konsisten dan tepat untuk melakukan kesalahan. Lingkungan
pengendalian mencakup nilai, etika, budaya dan komitmen organisasi dan anggotanya. TI
mencakup kebijakan dewan yang terkait dengan pengendalian internal - seperti kode etik bisnis,
kebijakan whistleblowing, kebijakan keamanan internet dan sebagainya. Ini mencakup cara
organisasi telah terstruktur.

Dari lima komponen pengendalian internal yang penting, lingkungan kontrol dapat
dianggap sebagai komponen pondasi: jika lingkungan kontrol tidak sehat, kemungkinan besar
keempat komponen lainnya juga tidak memadai. Lingkungan pengendalian yang baik memberikan
pengaturan yang diperlukan agar pengaturan pengendalian internal yang efektif dapat ditetapkan
dan diterapkan. Institute of Internal Auditor, dalam Glosarium Standar mereka mendefinisikan
"lingkungan kontrol" dengan cara yang mirip dengan PCAOB, 10 sebagai:

Lingkungan Pengendalian-Sikap dan tindakan dewan direksi dan manajemen mengenai

pentingnya kontrol dalam organisasi. Lingkungan pengendalian memberikan disiplin dan struktur
untuk pencapaian tujuan utama sistem pengendalian internal. Lingkungan kontrol mencakup
elemen berikut:

 Integritas dan nilai etika.

 Filosofi manajemen dan gaya operasi.
  Struktur organisasi.
 Penugasan wewenang dan tanggung jawab.
 Kebijakan dan praktik sumber daya manusia.
 Kompetensi personil.

Komponen Penilaian Risiko COSO

COSO, termasuk dalam penilaian risiko identifikasi ancaman terhadap organisasi,

penilaian atau pengukuran mereka dan menentukan bagaimana tanggapan mereka. Dalam
kerangka Enterprise Risk Management COSO tahun 2004, "identifikasi kejadian" "penilaian
risiko" dan "respons risiko" ditunjukkan sebagai tiga komponen terpisah (lihat Bab 5, Gambar 5.2).
Penilaian risiko adalah komponen penting dari pengendalian internal karena kami perlu menilai di
mana risiko terbesar untuk memfokuskan sumber daya langka kami di wilayah tersebut.

Risiko hadir dalam setiap aktivitas dan kita semua, dengan tingkat yang bervariasi, terus
mengevaluasi signifikansi risiko dalam kehidupan kita dan mengambil langkah yang tepat untuk
melawan implikasi potensial.

Dalam konteks bisnis, risiko dapat menjadi ciri inheren dari operasi organisasi, terutama
bila ada perubahan penting yang terjadi. Sifat risiko mungkin, di satu sisi, penting bagi kelanjutan
kelangsungan hidup organisasi, atau masalah citra komersial positif di sisi lain. Tentu saja, ada
banyak nuansa abu-abu sehubungan dengan dampak risiko relatif, dan masing-masing entitas
cenderung memiliki pemetaan implikasi dan konsekuensi yang unik. Untuk merencanakan secara
efektif dan ekonomis pengurangan atau penahanan risiko yang terkait dengan bisnis, sebuah
organisasi perlu mengidentifikasi semua risiko yang mungkin diterapkan dalam usaha mereka.

Dalam usaha untuk melakukan usaha baru, penilaian risiko biasanya akan menjadi bagian
dari tingkat strategis perencanaan. Meskipun risiko yang terkait dengan kegiatan bisnis yang
mapan mungkin (atau dianggap sudah diketahui), selalu ada kebutuhan untuk memastikan bahwa
perubahan dalam tujuan bisnis, undang-undang, dan lain-lain dipenuhi oleh pandangan organisasi
mengenai risiko relatif.

Pengidentifikasian risiko dalam bisnis harus merupakan proses yang berkelanjutan yang
peka terhadap implikasi kondisi pasar yang berubah, beban kerja operasional, parameter
makroekonomi, dan sebagainya. Manajemen yang efektif harus dapat mengantisipasi kebutuhan
akan perubahan dan karenanya mengevaluasi amandemen terhadap profil risiko perusahaan.

Mengingat bahwa kesadaran dan filosofi kontrol sebuah organisasi idealnya harus
didorong dari atas dan memiliki komitmen yang jelas dari manajemen senior, maka secara logis
bahwa penilaian risiko terkait juga harus berasal dari tingkat tinggi dalam sebuah organisasi. Hal
ini sangat relevan bila sebuah organisasi mengalami perubahan radikal atau jauh, mungkin sebagai
masalah kelangsungan hidup terus-menerus.

Data risiko harus akurat dan dilihat dalam konteks kemungkinan terjadinya. Untuk
kegiatan yang ada mungkin ada data risiko historis yang tersedia berdasarkan prestasi masa lalu
yang akan diraih. Resiko dapat diwakili oleh faktor kuantitatif atau kualitatif dan tentunya
memiliki tingkat dampak potensial yang berbeda.

Resiko terbatas harus diprioritaskan dan mengendalikan tujuan yang ditetapkan dalam
setiap kasus. Tujuannya dapat mencerminkan indikator kinerja yang dibutuhkan yang berlaku
untuk setiap risiko sebagai sarana untuk menetapkan ambang toleransi. Secara keseluruhan, data
rangking dan sasaran akan mendorong definisi dan disain sistem kontrol yang dibutuhkan. Tujuan
dapat diklasifikasi dengan beberapa cara, misalnya:

 Tujuan Operasional (mis., Tujuan kinerja / keuntungan)

 Tujuan Pelaporan Keuangan (misalnya, pernyataan akurat yang disiapkan sesuai dengan
persyaratan yang berlaku)
 Tujuan Kepatuhan (misalnya kepatuhan terhadap peraturan, legislasi, kebijakan,
peraturan, perjanjian yang terkait dengan pihak ketiga, dll.)

Dalam istilah dasar, satu ukuran keberhasilan untuk setiap sistem pengendalian internal
adalah bahwa ada keyakinan memadai bahwa tujuan pengendalian yang telah mapan telah tercapai,
dan akan berada di masa depan.

Bisnis dan masyarakat bukanlah entitas statis, mereka tunduk pada segala macam
perubahan yang dimulai baik dari dalam maupun di luar entitas. Penilaian risiko harus merupakan
proses yang berkelanjutan dengan penilaian ulang implikasinya terhadap bisnis. Perubahan baik
sifat atau prioritas risiko kemudian harus dibawa ke pengaturan tujuan pengendalian dan
modifikasi / penciptaan sistem pengendalian internal.
Komponen Aktivitas Kontrol COSO

Komponen kontrol ini mengacu pada semua prosedur yang dioperasikan organisasi yang
memiliki tujuan pengendalian - seperti pintu penguncian, melakukan rekonsiliasi dan sebagainya.
Jika organisasi tidak melakukan semua ini, tidak ada kontrol internal yang efektif.

Pembentukan sistem kontrol mendapat keuntungan dari pendekatan yang baru, namun
kemungkinan besar, dalam praktiknya, mekanisme tersebut akan berevolusi secara progresif dalam
waktu yang lama.

Penciptaan lingkungan pengendalian profil tinggi, pelaksanaan penilaian risiko terhadap

operasi entitas, dan penetapan berbagai tujuan pengendalian secara alami akan mengarah pada,
atau menyingkirkan, mekanisme kontrol yang diperlukan. Terlalu sederhana untuk mengatakan
bahwa setiap tujuan pemaparan dan pengendalian perlu disesuaikan dengan aktivitas
pengendalian, karena mungkin ada tumpang tindih yang tak terelakkan dengan tujuan dan aktivitas
pengendalian, dengan potensi tingkat signifikansi berbeda bila dilihat secara kombinasi.

Ada dua dimensi untuk mengendalikan aktivitas. Pertama, ada penetapan kebijakan yang
menentukan apa yang harus dilakukan untuk mencapai tujuan bisnis terkait. Kedua, prosedur
diperlukan yang menentukan proses yang diperlukan untuk memenuhi persyaratan kebijakan.
Secara umum, kebijakan biasanya didefinisikan pada tingkat yang cukup tinggi, sementara
prosedur memiliki kecenderungan untuk tingkat definisi yang jauh lebih rendah atau terperinci.
Kebijakan dapat menentukan jenis kontrol terbaik untuk mencapai efek yang diinginkan,
sedangkan prosedurnya akan memperhatikan mekanisme unsur dari pendekatan pilihan.
Memastikan bahwa semangat kedua elemen ini tetap kompatibel karenanya penting jika tujuan
mendasar harus dicapai.

Kegiatan / prosedur pengendalian harus secara akurat didefinisikan dan dikomunikasikan

secara efektif kepada pihak yang terlibat. Selalu lebih baik menetapkan prosedur tertulis yang
menghilangkan kemungkinan salah tafsir sehingga sering dikaitkan dengan instruksi lisan.
Kegiatan pengendalian dapat didefinisikan dalam bentuk prosedur, manual pengguna, deskripsi
pekerjaan, dll. Persyaratan waktu, kriteria pelaporan atau batas otoritas harus dimasukkan secara
jelas ke dalam dokumen semacam itu. Perubahan operasional harus segera ditinjau ulang sehingga
setiap perubahan prosedural yang diperlukan dapat diakomodasi dan dikomunikasikan.

Sifat dan tingkat kegiatan pengendalian perlu dipertimbangkan terhadap keseimbangan

antara biaya pelaksanaannya dan manfaat yang diperoleh. Bila ada kompensasi, proses yang
berlebihan harus dipangkas, namun hanya setelah pencapaian tujuan pengendalian terjamin.
Bentuk kegiatan pengendalian yang dipekerjakan jelas akan bergantung pada sifat dari risiko dan
tujuan pengendalian yang terkait dan hanya ada sedikit peraturan keras dan cepat yang dapat
diajukan. Bentuk kontrol generik (yaitu pencegahan atau detektif) dan bentuk akhirnya (yaitu
otorisasi, rekonsiliasi, pemisahan tugas, dll.) Harus disesuaikan dengan risiko dan sasaran.

Di bidang-bidang utama, mungkin penting bahwa beberapa bentuk jejak kegiatan

pengendalian dipertahankan sebagai bukti penerapan prosedur yang tepat. Jalur tersebut dapat
dipantau oleh manajemen untuk memberikan kepastian bahwa kontrol sedang dipatuhi.

Bila aktivitas pengendalian memerlukan keterampilan khusus atau khusus, harus ada
mekanisme yang ada untuk memastikan bahwa tingkat pengetahuan yang diperlukan terjaga,
mungkin melalui program pelatihan dan pengembangan staf yang berkelanjutan.

Dengan meningkatnya pengaruh teknologi informasi atas segala macam kegiatan bisnis
sehari-hari, sangat penting untuk integritas data perusahaan dan kelanjutan penyediaan layanan
yang tujuan dan sasaran pengendalian spesifik ditargetkan pada sistem komputer. Data seringkali
merupakan sumber kehidupan sebuah organisasi dan langkah-langkah harus diambil untuk
memastikannya tetap akurat, lengkap, aman dan berwenang.

Komponen Informasi dan Komunikasi COSO

Agar berfungsi secara efisien dan berhasil, sebuah organisasi membutuhkan informasi
yang relevan yang diberikan kepada orang yang tepat pada waktu yang tepat pula. Bagaimana
mungkin sebuah bisnis modern bisa berjalan dan mencapai tujuannya tanpa arus informasi yang
relevan. Selain itu, sebuah informasi juga harus dapat diandalkan dalam hal akurasi dan
kelengkapan. Data yang tidak akurat atau ketinggalan jaman akan mempengaruhi kemampuan
manajemen untuk membuat keputusan yang tepat dan mengendalikan bisnis. Bila perlu, data harus
diotorisasi dan diamankan, terutama yang sensitif secara komersial.
 Dalam bisnis kontemporer, semua jenis data akan dikumpulkan, dianalisis dan
didistribusikan; Misalnya yang berhubungan dengan masalah operasional, statistik kinerja, status
keuangan atau masalah kepatuhan kontrol.
Staf yang terpilih akan meminta informasi agar bisa melakukan tugas tertentu. Apabila
data yang diberikan usang atau tidak lengkap maka dapat membahayakan kinerja dan pencapaian
tujuan perusahaan.
Informasi perusahaan tidak boleh mengacu seutuhnya dari sudut pandang internal,
darimana data tersebut diterima, dan dikirimkan, badan eksternal juga termasuk komponen
penting; misalnya, panggilan atas pemesanan dari pelanggan utama akan berdampak pada kedua
fungsi produksi dan stok, sedangkan pelepasan faktur akan mendatangkan keuntungan dari arus
kas, dll. Akurasi data dapat diterima dari signifikansi yang berbeda-beda bila ada dimensi
eksternal, yaitu gambar dan reputasi organisasi bisa rusak jika informasi yang didistribusikan ke
pelanggan atau pemasok tidak lengkap atau tidak benar.
Tidak dapat dipungkiri, informasi berkaitan dengan beberapa bentuk proses
komputerisasi. Tentu saja, teknologi informasi membawa manfaat besar bagi dunia bisnis, tapi jika
tidak dikontrol dan dipantau maka akan menimbulkan dampak buruk bagi perusahaan. Seseorang
mengatakan kalau komputer mampu memproduksi sampah lebih cebat dibandingkan manusia.
Sebagai aturan umum harus ada bukti independen bahwa sebuah sistem menghasilkan data yang
akurat dan lengkap, dan fakta bahwa "laporan yang dihasilkan komputer" tidak boleh dijadikan
bukti mutlak bahwa sebuah data bisa diandalkan.
Ada kumpulan elemen data utama yang membentuk inti bisnis sedangkan sistem (atau
aplikasi) yang memproses dan memanipulasi data tersebut dapat berubah seiring berjalannya
waktu, serta sifat data ini kemungkinan akan tetap konsisten. Sebagai bagian dari teknologi
perencanaan sistem informasi tingkat korporat, bentuk pemodelan data dapat dilakukan untuk
mengidentifikasi struktur data yang dibutuhkan dan menetapkan faktor seperti kepemilikan, hak
akses dan tingkat keamanan untuk setiap elemen.
Dalam situasi yang tepat mungkin memiliki manfaat yang terkait dengan pembangunan
dari kebijakan informasi formal yang menentukan komponen utama sistem informasi bisnis.
Sistem informasi manajemen (MIS) yang sudah ditetapkan relatif mudah dibangun di dalam
kontrol yang bertujuan untuk memastikan akurasi, integritas dan ketepatan waktu data.
 Dalam konteks lingkungan kontrol, sumber informasi mungkin memiliki diskrit
implikasi kontrol dalam hal itu, misalnya, penyediaan sarana untuk mengoperasikan,
mengendalikan atau menyoroti kegagalan kondisi kontrol. Saat mendefinisikan dan membangun
lingkungan pengendalian dan aktivitas pengendalian terkait, penggunaan informasi kunci elemen
tak terelakkan. Rekonsiliasi dan pengujian mungkin dapat memberikan manajemen dengan
jaminan bahwa sistem beroperasi dengan benar.
Istilah "komunikasi" memiliki makna yang lebih luas daripada informasi murni.
Misalnya, sistem komunikasi dapat menghubungkan pesan kunci tentang budaya dan
mengendalikan kesadaran akan suatu perusahaan, dan menimbulkan tanggung jawab kolektif
untuk kontrol masalah jika ditangani dengan tepat.
Komunikasi internal dapat melayani arus dalam berbagai arah, yaitu hirarki, lintas fungsi
melalui semua lapisan manajemen dan tanggung jawab. Setiap organisasi harus memperhatikan
sensitivitas dan kerahasiaan informasi data melalui jalur komunikasi untuk memastikan bahwa staf
menerima informasi yang mereka butuhkan dalam memenuhi tanggung jawab untuk mencegah
akses data yang tidak sah.
Permasalahan atau kegagalan yang terjadi pada rute komunikasi harus didefinisikan
dengan jelas sehingga pelaporan anomali yang cepat difasilitasi.
Persyaratan komunikasi eksternal akan memenuhi di dalam maupun di luar. Misalnya,
dalam konteks industri jasa, penting untuk memastikan keluhan pelanggan atau kegagalan
operasional dengan cepat dan akurat lalu diarahkan ke personil yang tepat untuk pelaporan kinerja
atau kepatuhan lalu dikirimkan ke badan pengawas.
Ada berbagai sarana komunikasi, dimana kecepatan, aksesibilitas dan keamanan
semuanya akan bervariasi dengan metode ini. Standar defenisi untuk penggunaan metode yang
tepat dalam keadaan tertentu dapat memberikan kepastian yang lebih besar sehingga komunikasi
akan tercapai secara efektif.
Proyek peninjauan akan lebih bermanfaat untuk mengeksplorasi "keseimbangan
imformasi” organisasi secara keseluruhan, seperti yang digambarkan pada Gambar 6.2.
Keseimbangannya kemungkinan besar tidak efisien sehubungan dengan proses bisnis yang
melintasi batas-batas struktural organisasi. Banyak organisasi mengumpulkan dan menyimpan
data jauh melampaui sejauh mana data itu digunakan untuk menentukan informasi yang berguna.
Di sisi lain, sebuah organisasi mungkin memiliki catatan yang tidak memadai untuk mendapatkan
informasi kebutuhan manajemen. Lalu, sebuah organisasi atau sejenisnya mungkin telah
menerapkan proses yang menghasilkan banyak informasi, namun kualitas dan jumlah penggunaan
informasi tersebut belum dimanfaatkan secara maksimal. Sebagai alternatif, analisis informasi
yang tersedia dapat dipilah apabila informasinya tidak memadai. Kita semua mengenali organisasi,
atau bagian-bagian yang menyediakan analisis informasi dari semua sudut tetapi tampaknya tidak
mampu untuk mengambil keputusan

Data

Tindakan Informasi

Keputusan Analisis

Gambar 6.2 Efisiensi Informasi

yang disarankan. Yang lain mengambil keputusan "pribadi" dengan informasi yang tidak akurat,
meskipun ada istilah "mengambil keputusan yang salah lebih baik baik daripada tidak mengambil
keputusan sama sekali” Tapi keputusan tersebut tidak ada gunanya: banyak manajer tidak
menindaklanjuti keputusan yang akan diimplementasikan secara tepat waktu dan efektif. Mungkin
organisasi atau komponen lainnya terlalu terburu-buru sehingga tindakan dan keputusan yang akan
diambil tidak pernah konsisten.
Pesan yang bisa diambil dari masalah ini adalah demi kepentingan ekonomi, efisiensi
dan efektivitas diperlukan keseimbangan kontrol antara data, informasi, analisis, keputusan dan
tindakan
Komponen Pengawasan COSO
 Kami telah membahas perkembangan lingkungan pengendalian, pendirian kegiatan
pengendalian yang disesuaikan dengan risiko yang ada dalam organisasi dan kebutuhan arus
informasi yang berhubungan dengan bisnis. Setiap organisasi perlu mempertimbangkan lebih
lanjut bagaimana komponen ini berkontribusi pada manajemen puncak dan jaminan kebutuhan
untuk dewan direksi.
Sistem informasi harus menyediakan sarana utama untuk memantau efektivitas sistem
pengendalian internal. Yang tidak kalah pentingnya adalah pendirian mekanisme untuk
mengidentifikasi masalah atau kegagalan pengendalian, pastikan bahwa manajemen dibuat sadar
sehingga tindakan korektif segera diambil.
Siapa yang akan bertanggung jawab dalam memantau pengendalian internal sistem,
harusnya juga bertanggung jawab atas sistem operasi organisasi. Secara praktis, direksi tidak dapat
mengoperasikan semua aspek pemantauan mereka sendiri. Manajemen seharusnya memantau
aktivitas sehari-hari, kinerja keuangan, dll. Idealnya semua kegiatan harus dipantau. Direktur non-
eksekutif bisa memainkan peran penting dalam pemantauan, misalnya melalui komite audit dewan
dengan spesifik tanggung jawab untuk mengkaji ulang laporan keuangan dan menilai keefektifan
sistem pengendalian internal dan aktivitas fungsi audit internal.
Dewan harus lebih memantau identifikasi risiko bisnis dan pengembangan tujuan dan
prioritas pengendalian, walaupun pekerjaan ini dapat dilakukan oleh manajemen junior.
Audit internal berfungsi untuk memainkan peran vital secara independen dalam menilai
keefektifan kontrol dan melaporkan hal yang sama kepada dewan melalui naungan komite audit.
Fungsi kepatuhan yang ada di dalam lembaga keuangan juga memainkan peran ini.
Proses peninjauan terus-menerus dan / atau secara periodik, bisa dilakukan oleh siapapun
dengan tidak hanya mempertimbangkan keefektifan sistem kontrol yang ada, namun harus juga
mempertanyakan apakah sistem itu sendiri masih relevan dan sesuai atau tidak. Bisnis dan operasi
akan selalu berubah dan harus beradaptasi dengan kekuatan eksternal, sehingga praktik dan
pengendalian harus terus dimodifikasi untuk memenuhi permintaan. Deteksi adanya kegagalan
sistem kontrol atau kebutuhan pembaruan sistem, harus cepat dilaporkan untuk agra proses
perbaikan dapat dilakukan secara cepat. Manajemen harus memiliki sistem untuk mengetahui
sumber-sumber masalah yang terkait kontrol, dll. Hal ini wajib hukumnya pada saluran pelaporan
auditor internal dan eksternal, tetapi juga harus diberikan kepada staf junior agar perbuatan yang
tidak sesuai dapat segera diidentifikasi.
 Pelaporan permasalahan dan penerapan sistem perbaikan yang tepat dibutuhkan oleh
manajemen untuk menghindari adanya pelanggaran.
Bukti peninjauan ulang sistem pengendalian internal harus tersedia; baik dalam bentuk
laporan audit internal, ringkasan masalah pengendalian yang signifikan oleh komite audit, atau
rapat dewan direksi, dll.
Konsolidasi dan pelaporan dari hasil program penilaian, terutama untuk ketiadaan fungsi
audit internal memiliki peran penting dalam menilai efektivitas pengendalian internal di dalam
sebuah perusahaan.

PARADIGMA 2 : TURNBULL PADA PENGENDALIAN INTERNAL

Panduan Turnbull UK sangat mirip dengan kerangka pengendalian internal COSO, meskipun
dikembangkan dalam detail yang jauh lebih sedikit. Kami perlu kembali ke COSO agar dapat
memahami kerangka Turnbull dengan mudah. Namun, hal ini hal ini sangat berisiko karena
definisi pengendalian internal sangat luas, seperti halnya COSO, yang membahas semua aspek
yang dilakukan manajemen dalam penetapan tujuan. Panduan dikembangkan untuk menafsirkan
bagian pengendalian internal Tata Kelola Perusahaan Inggris yang dijadikan dewan sebagai
praktik untuk menilai keefektifan internal kontrol dan sistem manajemen risiko - berbeda dengan
AS yang menilai efektivitas pengendalian internal CEO dan CFO berdasarkan pelaporan keuangan
dan pengungkapan lainnya, per s. 302 dan s. 404 di tahun 2002 Sarbanes-Oxley Act. Tata Kelola
Perusahaan Inggris Code mengungkapkan ini terkait pengendalian internal:

C.2 Pengendalian Internal

Prinsip Utama
Dewan harus menjaga sistem pengendalian internal untuk melindungi pemegang saham, investasi
dan aset perusahaan.

Ketentuan Kode
C.2.1 Dewan harus, setidaknya setiap tahun, melakukan tinjauan terhadap keefektifan kelompok
sistem pengendalian internal dan harus melaporkan kepada pemegang saham mengenai sistem
pengendalian yang dilakukan. Review harus mencakup semua kontrol material, termasuk
keuangan, operasional dan kepatuhan kontrol dan sistem manajemen risiko.

Turnbull menyarankan cara menerapkan bagian dari Kode Etik ini. Turnbull
mendefinisikan kontrol internal sebagai: Sistem pengendalian internal yang mencakup kebijakan,
proses, tugas, perilaku dan aspek perilaku lainnya, untuk:
 memfasilitasi operasi yang efektif dan efisien dengan memberikan respons yang tepat
terhadap risiko bisnis, operasional, keuangan, kepatuhan dan risiko untuk mencapai tujuan
perusahaan. Hal ini juga menyangkut keamanan aset dari penggunaan yang tidak benar
atau dari kerugian dan kecurangan, dan memastikan bahwa kewajiban diidentifikasi dan
dikelola;
 membantu memastikan kualitas pelaporan internal dan eksternal. Pemeliharaan dan proses
dibutuhkan untuk menghasilkan informasi yang relevan dan dapat dipercaya di dalam
maupun di luar organisasi;
 membantu memastikan kepatuhan terhadap hukum dan peraturan yang berlaku, juga
dengan kebijakan internal yang berkaitan dengan pelaksanaan bisnis.

Lampiran Turnbull mengulangi komponen penting pada pengendalian internal COSO, kecuali
penggabungan "lingkungan kontrol dan kegiatan pengendalian".

PARADIGMA 3 : COCO PADA INTERNAL KONTROL

Kerangka kerja pengendalian internal dari Canadian Institute of Chartered Accountants Kriteria
Control Board ("CoCo") kurang "mekanis" dan lebih "behavioral" daripada kerangka
pengendalian internal COSO dan, bisa dibilang, memiliki kelebihan dalam aplikasi organisasi yang
lebih partisipatif dan kurang hierarkis, serta menjadi kerangka kontrol yang berharga untuk
digunakan dalam pengendalian self assessment situasi. CoCo juga mendefinisikan pengendalian
internal secara luas, seperti halnya COSO, untuk menutupi segala sesuatu yang dilakukan
manajemen selain penetapan tujuan. CoCo mendefinisikan pengendalian internal sebagai berikut:
Pengendalian terdiri dari unsur-unsur organisasi (termasuk sumber daya, sistem, proses, budaya,
struktur dan tugas) yang, disatukan, mendukung orang dalam mencapai tujuan dari tujuan
organisasi. Tujuan ini terbagi menjadi satu atau beberapa hal berikut kategori:
 Efektivitas dan efisiensi operasi mencakup tujuan yang berkaitan dengan organisasi tujuan,
seperti layanan pelanggan, pengamanan dan penggunaan yang efisien sumber daya,
profitabilitas dan memenuhi kewajiban sosial. Ini termasuk pengaman sumber daya
organisasi dari penggunaan atau kerugian yang tidak tepat dan memastikan
pengidentifikasian dan pengelolaan kewajiban.
 Keandalan pelaporan internal dan eksternal mencakup tujuan yang berkaitan dengan
masalah seperti pemeliharaan catatan akuntansi yang tepat, keandalan informasi yang
digunakan dalam organisasi dan informasi yang dipublikasikan untuk pihak ketiga.
Termasuk perlindungan catatan terhadap dua jenis penipuan utama: penyembunyian,
pencurian, dan distorsi hasil.
 Kepatuhan terhadap peraturan perundang-undangan dan kebijakan internal yang berlaku
tujuan yang berkaitan dengan memastikan bahwa urusan organisasi dilakukan sesuai
dengan kewajiban hukum dan peraturan dan kebijakan internal.

Refleksi orientasi perilaku kerangka kerja CoCo, komponen kontrol internal terdiri dari empat
bagian seperti pada Gambar 6.3:

Tujuan

Pengawasan dan
pembelajaran
Komitmen

Kapabilitas

Gambar 6.3 Kerangka kerja pengendalian internal CoCo. Dicetak ulang dengan izin dari Pedoman
Pengendalian (The Canadian Institute of Chartered Accountants, 1995, Toronto, Kanada)
CoCo menjelaskan:
Seseorang melakukan sebuah tugas, dipandu oleh pemahaman tentang tujuannya (tujuan untuk
dicapai) dan didukung oleh kemampuan (informasi, sumber daya, persediaan dan keterampilan).
Orang tersebut membutuhkan komitmen untuk melakukan tugas dengan baik sepanjang waktu.
Orang itu akan monitor kinerjanya dan lingkungan eksternal untuk belajar bagaimana melakukan
tugas dengan lebih baik dan belajar tentang perubahan apa yang harus dilakukan. Hal yang sama
berlaku bagi tim atau kelompok kerja manapun. Di setiap organisasi, esensi sebuah kontrol adalah
tujuan, komitmen, kemampuan, dan pemantauan dan pembelajaran.

CoCo telah mengidentifikasi 20 kriteria kontrol yang dikelompokkan ke dalam empat

perangkat seperti yang ada pada Gambar 6.3. "Tujuan" berguna untuk mengarahkan organisasi
pada "apa yang harus dilakukan". "Komitmen" merupakan kringinan untuk "ingin melakukan
sesuatu". "Kemampuan" adalah "Alat untuk melakukannya". “Pengawasan dan pembelajaran”
merupakan evolusi organisasi mengenai " Apa yang sedang dilakukan?" Identifikasi dan penilaian
risiko internal dan eksternal merupakan salah satu kriteria yang dimiliki oleh Pengelompokan
"Tujuan". Hal-hal yang berkaitan dengan nilai etika masuk ke dalam pengelompokan "Komitmen".
Informasi dan komunikasi adalah dua kriteria untuk mengelompokkan "Kemampuan". Pembaca
harus mengacu pada publikasi CoCo untuk rincian lebih lanjut, dan kami membahas kerangka
kerja pengendalian internal CoCo lebih lanjut di Bab 18 di mana kita membahas pendekatan
tentang pengendalian diri.

PARADIGMA 4: SEBUAH SISTEM/MODEL SIBERNETIKA PADA PENGENDALIAN

INTERNAL
Paradigma ini melihat bahwa proses organisasi sebagai suatu analog, contohnya pada
sistem pendinginan udara. Dimana kinerja suhu termostat diatur berdasarkan keinginan kita. Jika
terdapat perbedaan yang signifikan antara "apa yang direncanakan" dengan "apa yang terjadi",
maka kontrol sistemnya adalah menyalakan atau mematikan kipas angin sampai suhu di dalam
ruangan sesuai dengan apa yang diinginkan. Jadi sistem kontrol akan terus menafsirkan informasi
yang tersedia untuk itu. Dalam sistem ini pemantauan dan pengambilan keputusan secara otomatis
akan diprogram ke dalam pemrogram atau pengontrol. Dalam sebuah bisnis, pemantauan dan
pengambilan keputusan secara instan sangat baik jika dikaitkan dengan semua variabel dan selama
pelanggan tidak keberatan, maka mereka harus siap berinteraksi dengan sistem impersonal.
Kontrol elektronik cenderung lebih dapat diandalkan daripada kontrol mekanis dan kontrol
mekanik cenderung lebih dapat diandalkan daripada kontrol manual. Dalam prakteknya,
pengendalian internal yang efektif cenderung bergantung pada kombinasi aktivitas manual dan
otomatis.
Hukum cybernetika Ashby tentang variabel yang dibutuhkan memiliki relevansi di sini.
Ini menyatakan bahwa mekanisme kontrol harus dirancang untuk mengakomodasi variasi dari apa
yang dikontrol. Jadi, jika lampu hanya "on" atau "off" saklar harus bisa tangani. Pemrogram sistem
pendingin udara cenderung diperlukan untuk mengakomodasi kelembaban suhu, fungsi jam waktu
dan juga override manual - sebagaiproses kontrol yang cepat dan kompleks. Hukum Ashby juga
menunjukkan bahwa mekanisme kontrol suatu sistem cenderung dimanfaatkan oleh teknologi
yang paling kompleks. Hukum Ashby memiliki implikasi pengendalian bisnis: dimana organisasi
harus mampu berinvestasi pada teknologi yang akan diterapkan pada bisnis mereka; dan organisasi
harus terbuka pada investasi teknologi tersebut dalam menjalankan proses bisnis.

Systems/cybernetics theory has developed its own terminology – lihat Gambar 6.4, 6.5, 6.6
and 6.7.

Input
Proses
Output
Keterbatasan
Sistem Tertutup
Sistem Terbuka
Variabel
Internal
Eksternal
Lingkungan

Gambar 6.4 Ketentuan Umum Sistem

Konsep Dasar Sistem

Sebuah sistem adalah seperangkat elemen terkait dengan suatu tujuan. Sebuah sistem memiliki
tiga utama elemen (Gambar 6.5):
"Proses" mengubah "masukan" menjadi "keluaran". Bagian dari elemen yang bisa berubah disebut
"variabel". Sebuah sistem konseptual memiliki "batas" dimana fungsi sistem [Input> Process>
Output] berlangsung. Subsistem adalah sistem yang lebih kecil dalam sistem yang lebih besar.
Istilah "internal" digunakan untuk merujuk pada apa yang terjadi dalam sebuah sistem, dan
"eksternal" jika variabel masuk dari luar batas sistem, atau keluar ke luar

Input

Proses

Output

Gambar 6.5 Elemen Utama pada Sebuah Sistem

Kontrol objek
Detektor
Referensi objek
Pembanding (analisis)
Aktivator
Feedback
feedforward

Gambar 6.6 Konsep Pengontrolan Sistem

batas sistem Lingkungan suatu sistem adalah apa yang terjadi di luar batas jangkauannya.
Lingkungan yang bergejolak seringkali membutuhkan sistem agar lingkungan lebih "terbuka"
untuk mengatasi perubahan yang cepat. Sama halnya seperti bawang merah atau seperti bawang
putih. Ada sistem (subsistem) dalam sistem Terutama dengan sistem terbuka kita menggunakan
kebijaksanaan kita untuk menentukan batasan tergantung pada fokus perhatian kita. Kita harus
mampu untuk "keluar dari kulit "dan melihat sistem lain yang lebih kecil di luar sebuah sistem.

Elemen Dasar pada Pengontrolan Sistem

Dengan mengacu pada Gambar 6.6, "objek kontrol" adalah variabel dari sistem perilaku yang
harus dipantau dan dikendalikan. "Detektor" adalah bagian dari sistem yang mengukur (atau
memonitor) objek kontrol. "Titik referensi" adalah standar yang mana kinerja sebenarnya dari
objek kontrol dibandingkan.
Gambar 6.7 Ilustrasi sistem kontrol adaptif terbuka (dari Gleim's CIA Review Buku Bagian III tentang
Pengendalian Manajemen dan Teknologi Informasi (edisi ke 10, Desember 2007) 2001, ISSN: 1099-8837,
ISBN 1-58194-182-X, hal. 35, www.gleim.com)

The "comparator (analyzer)" membuat perbandingan dan menilai apakah atau tidak itu adalah
signifikan. "Aktivator" mengambil keputusan yang dimaksudkan untuk memulihkan keadaan
kinerja seperti yang diinginkan.

Contoh
Bayangkan sebuah sistem pemanas atau sistem pendingin udara. Ini adalah dasar elemen yang
akan kita gunakan pada kontrol:
Objek Kontrol - suhu
Detektor - pengukur suhu pada termostat
Titik Referensi - 22◦C
Komparator (Analyzer) - sensor suhu relatif termostat
Activator - saklar kontrol di termostat

Pengaturan suhu (= "objek kontrol") diletakkan pada keluaran yang diinginkan (misalnya
22◦C = "titik referensi") dengan menyesuaikan pengukur suhu (= "detektor") di termostat
Termostat terus mengukur kinerja aktual (yaitu suhu kamar) dan membandingkannya dengan
kinerja yang direncanakan 22◦C (= "komparator"). Jika varians yang signifikan telah berkembang
antara aktual dan performa yang direncanakan, saklar mikro di termostat (= the "activator")
dibutuhkan sebuah keputusan terprogram untuk mengaktifkan atau mematikan mekanisme utama
agar bisa dibawa kinerja aktual kembali sesuai dengan kinerja yang direncanakan.
Bagian "kontrol" dari sistem ini adalah memastikan bahwa apa yang diinginkan tercapai.
Bagian kontrol dari sistem selalu bergantung pada "umpan balik". "Feedforward"
menyampaikan informasi maju ke aktivator yang kemudian mampu menyesuaikan proses yang
belum terjadi dalam terang output aktual yang telah ada dicapai dari proses sebelumnya.
"Input", "Process" dan "Output" masing-masing perlu dikontrol. Yang lebih rumit Skema
ini ditunjukkan pada Gambar 6.7.
Sistem bisnis, memang semua sistem sosial, adalah sistem terbuka di dalamnya
kinerja sensitif terhadap variabel eksternal. Reaksi kimia sederhana di dalam lingkungan yang
terkendali (pencampuran hidrogen dengan oksigen, misalnya) akan terjadi contoh sistem tertutup.
Definisi ketat sistem tertutup akan dilakukan jadilah sistem yang tidak memiliki input atau output
dari dan ke sistem, tapi ini teoritis dan tidak ada di dunia bisnis yang sebenarnya. Abadi mesin
gerak akan menjadi contohnya. Lebih baik kita menggunakan definisi tersebut bahwa "sistem
tertutup adalah sistem yang tidak menerima input yang tidak terkendali, sedangkan sistem terbuka
tunduk pada input yang tidak terkendali ". Bahkan ini agak teoritis dalam konteks bisnis, menurut
definisi ini, sebagian besar sistem adalah sistem "terbuka". Meski begitu, kita sering bisa
mendapatkan pemahaman awal tentang bisnis yang lebih baik aktivitas dengan
"menyederhanakan" analisis kita tentang bagaimana berperilaku, menggambarkannya, di paling
tidak pada awalnya, dalam persyaratan sistem tertutup.
Ungkapan "pengendalian internal" oleh karena itu dipahami oleh teori sistem
mengacu pada peraturan variabel yang terjadi dalam suatu sistem; karena itu "Kontrol eksternal"
akan menjadi regulasi variabel yang berasal dari luar sistem atau memiliki tujuan di luar sistem.
Sistem terbuka lebih sulit dikendalikan daripada sistem tertutup.
Kontrol terkadang bisa diotomatisasi ("kontrol terprogram"), namun kompleksitasnya
dari proses kontrol mungkin menghalangi ini (yaitu "kontrol diskresioner" adalah terapan).
Kontrol discretionary lebih cenderung penting saat dibutuhkan kontrol input dan output ke dan
dari sistem, seperti dalam kasus sistem terbuka.
Sistem "korektif" adalah sistem yang dapat beradaptasi untuk mencapai keadaan yang
diinginkan. Dengan kata lain bisa mengikuti jalur pemrosesan yang berbeda sesuai aturan yang
ditentukan. Ini mungkin berlaku untuk sistem "terbuka" atau "tertutup". Sistem "adaptif" memiliki
fleksibilitas untuk memodifikasi prosesnya sebagai respons terhadap perubahan lingkungan; Jadi
sistem adaptif selalu merupakan sistem yang terbuka. Ini seperti belajar-ini melampaui cukup ikuti
jalur tertentu sesuai peraturan yang ditentukan.
Sistem kontrol korektif terkadang disebut sistem kontrol orde pertama. Di
tanggapan kontrol ini sepenuhnya dapat diprediksi berdasarkan pada yang telah ditentukan
sebelumnya peraturan sistem dan fungsinya tanpa memperhatikan perubahan lingkungan. Di sisi
lain tangan, sistem kontrol adaptif (kadang disebut sistem kontrol orde kedua) dapat
mengambil langkah-langkah pengendalian dalam menanggapi perubahan lingkungan, dan dapat
belajar dari pengalaman mereka.
PARADIGMA 5: PENGENDALIAN DIVISI DENGAN PENGAWASAN
Model pengendalian internal ini didasarkan pada premis bahwa kontrol yang efektif dapat
dicapai dengan kombinasi yang tepat dari berbagai kesempatan untuk "membagi" ("terpisah dari"
atau "memisahkan"), bersamaan dengan pengawasan. Merancang proses kontrol kita untuk
memanfaatkan peluang dapat dibagi menjadi cara untuk mencapai pengendalian internal yang
efektif karena hanya masalah pengalokasian pekerjaan dengan cara mengurangi kemungkinan
kesalahan dan kerugian, disengaja atau tidak disengaja, akan terjadi. Namun, mungkin ada biaya
tak berwujud yang mungkin: misalnya, jika untuk memperbaiki kontrol, kami merancang proses
kami sehingga siapapun yang secara fisik menangani uang tunai juga tidak memperhitungkannya,
maka kami mungkin mengurangi potensi kepuasan kerja dan bagi mereka yang terlibat dalam
Ambil kepentingan 360 an cerdas dalam proses bisnis. Spesialisasi, oleh beberapa divisi ini, dapat
menghasilkan produktivitas yang lebih besar. Sebaliknya, jika kita mengandalkan pengawasan
untuk mencapai kontrol yang efektif, biaya tambahan akan dilibatkan dan pengawasan mungkin
juga tidak dapat diandalkan.

Jadi, pandangan tentang pengendalian internal ini menasihati bahwa kita harus berusaha
untuk mencapai kontrol yang efektif melalui pembagian yang bijaksana dari berbagai jenis; Tetapi
jika kita menilai bahwa kontrol yang tidak memadai telah dicapai oleh divisi, maka kita harus
mengandalkan pengawasan yang lebih besar. Dengan demikian, kebutuhan akan pengawasan yang
efektif akan menjadi yang terbaik sepanjang proses terhadap kontrol dan khususnya bila kita tidak
dapat membangun kontrol internal yang memuaskan melalui perpaduan "divisi".

Kami menjelaskan di sini peluang pembagian yang berbeda yang dapat dimanfaatkan,
semata-mata atau kombinasi dan bersamaan dengan pengawasan jika diperlukan, untuk mencapai
pengendalian internal yang efektif.

Divisi Tugas

Pastikan dua atau lebih orang bekerja sama dalam tugas di mana ada risiko kurangnya
kontrol, sehingga mereka bertindak sebagai cross-check satu sama lain. Hal ini juga memiliki
keuntungan untuk menghindari ketergantungan berlebihan pada salah satu anggota staf.
Contohnya termasuk mengeluarkan kata kunci, pemberian dan penyesuaian batas kredit, peran
administrator database, yang mengharuskan dua staf membuka lemari besi, dan seterusnya.

Divisi Tanggung Jawab Yang Tidak Dapat Diatasi Secara Mendasar

Kontrol akan diperkuat jika diperlukan otorisasi dari seseorang yang tidak menjalankan
tugas, dan jika kedua otorisasi dan eksekusi dipisahkan dari akuntansi untuk kegiatan ini. Hal ini
sering bisa diterapkan pada kegiatan kustodian seperti fungsi kasir atau fungsi pergudangan. Kasir
tidak boleh menjadi orang yang memberi otorisasi pelepasan uang tunai atau penambahan arus
kas; Baik kasir maupun pemilik otoriter harus menjaga akun kontrol uang tunai. Contoh lain yang
tidak penting adalah manajer pembelian menempatkan perintah terhadap otorisasi orang lain dan
tidak memiliki tangan dalam akuntansi untuk pembelian.

Divisi Operasi

Beberapa kegiatan bertentangan satu sama lain jika dilakukan oleh orang atau kelompok
yang sama. Misalnya, penjualan harus dibagi dari pengambilan keputusan tentang tingkat kredit
yang diberikan kepada pelanggan; Jika ini tidak dilakukan, maka kelemahan kontrol perlu
dikompensasikan dengan pengawasan - mungkin dengan meninjau keputusan penyesuaian batas
kredit staf penjualan oleh komite kontrol kredit.

Divisi Staf

Sadarilah kelemahan kontrol yang mungkin timbul bila pengaruh divisi lain dinegasikan
karena hubungan pribadi. Misalnya, ketika dua anggota staf melakukan tugas terpisah berbagi
kantor yang sama dan saling menggantikan secara informal, atau saat mereka menjalin hubungan
pribadi di luar pekerjaan.
Divisi Data

Database IT modern berarti data hanya sekali dimiliki oleh database TI, agar dapat diakses
oleh semua pengguna dari berbagai bagian organisasi yang perlu mengakses data tersebut. Dinding
artistik perlu dibangun ke dalam sistem TI. Pada tahap perancangan, untuk setiap kategori data
harus ditentukan siapa yang memiliki wewenang untuk menambahkan, mengubah, menghapus dan
hanya untuk melihat kategori data tersebut. Kontrol kemudian harus dibangun ke dalam perangkat
lunak untuk membatasi aktivitas dengan cara yang diinginkan. Misalnya dengan cara kontrol
password Auditor internal harus memiliki wewenang yang tidak terbatas untuk melihat data namun
tidak ada kesempatan untuk menambahkan, mengubah atau menghapus data apapun.

Divisi Entri Data dan Postingan Akun

Pertimbangkan apakah kontrol dapat ditingkatkan jika kegiatan "pembukuan" tertentu

terbagi. Misalnya, posting debit dari pos kredit ke rekening pribadi; posting penyesuaian entri dari
posting entri asli; penyerahan koreksi terhadap data masukan yang ditolak dari penyampaian
masukan masukan asli, dll.

Divisi Wewenang

Ada berbagai cara di mana wewenang untuk melakukan organisasi dapat dialokasikan
dengan berbagai tingkat efektivitas pengendalian. Ini bisa dialokasikan untuk satu orang; atau
kepada satu orang dengan ulasan oleh orang lain; atau oleh dua orang bersama-sama, atau ke
komite, atau tidak kepada siapa pun. Siapa individu ini, dan tingkat kemandirian mereka satu sama
lain, juga berdampak pada efektivitas pengendalian otorisasi.

Divisi Waktu

Seringkali "waktu adalah esensi" dalam bisnis modern. Untuk menyelesaikan transaksi
segera cenderung mempercepat waktu siklus bisnis dan meningkatkan volume bisnis sambil
menurunkan biaya. Tapi kadang-kadang bisa masuk akal untuk membangun penundaan waktu
yang disengaja ke dalam transaksi dan memanfaatkan waktu lain untuk memperbaiki kontrol.
Contohnya termasuk menunda pengiriman sampai pembayaran selesai, kunci waktu pada kubah,
"log off after time out", dll. Kontrol dapat diperbaiki jika sistem menyediakan setelah kejadian
bukti aktivitas sensitif kontrol, dan juga jika setelah otorisasi dilakukan diperlukan sebelum
perubahan bisa diimplementasikan. Misalnya jika batas kredit pelanggan berubah, sistem mungkin
diprogram untuk meminta setelah otorisasi acara oleh supervisor sebelum batas kredit yang diubah
dapat digunakan.

PARADIGMA 6: PENGENDALIAN DENGAN KATEGORI

Tipe kontrol tertentu mungkin sesuai dalam keadaan tertentu, dan memang lebih dari satu
jenis kontrol mungkin diperlukan untuk menurunkan risiko secara tepat. Beberapa kategori kontrol
seperti ditunjukkan pada tabel. Seperti kebanyakan kategorisasi, ada tumpang tindih antara
beberapa di antaranya.

Kategori dari Target risiko Sifat Contoh Referensi

pengendalian

1.Pencegahan Sebab Dirancang untuk Pemisahan tugas, UK HM

membatasi dimana tidak ada Treasury,14
orang yang
kemungkinan memiliki Gleim15
hasil yang tidak wewenang untuk
bertindak tanpa
diinginkan
persetujuan orang
direalisasikan. lain (seperti orang
Kontrol yang memberi
otorisasi atas
'Pencegahan' pembayaran
(Pengarah) faktur yang
terpisah dari
mengantisipasi
orang yang
konsekuensi memesan barang
yang tidak mencegah
seseorang
diinginkan dan mendapatkan
melakukan barang dengan
biaya publik
tindakan korektifuntuk keuntungan
sebelum proses mereka sendiri);
atau pembatasan
sistem selesai tindakan kepada
untuk mencegah orang yang
berwenang
konsekuensi
(seperti hanya
yang tidak mereka yang
diinginkan. Yang terlatih dan
berwenang
lebih penting diizinkan untuk
adalah bahwa menangani
pertanyaan media
hasil yang tidak
mencegah
diinginkan komentar yang
seharusnya tidak tidak pantas
diajukan ke media
muncul, semakin pers).
penting
penerapan
kontrol
pencegahan yang
tepat. Mayoritas
kontrol yang
diterapkan dalam
organisasi
cenderung
termasuk dalam
kategori ini.
 Kategori dari Target risiko Sifat Contoh Referensi
pengendalian

2. Pre-emptive Sebab Ya / Tidak ada Otorisasi untuk Gleim15

kontrol yang menaikkan batas
memerlukan kredit, menerima
persetujuan pesanan,
sebelum diproses melakukan
dapat dilanjutkan pembayaran - dan
seterusnya.

3. Petunjuk Sebab Dirancang untuk Persyaratan UK HM

memastikan bahwa pakaian pelindung Treasury,14
hasil tertentu dikenakan selama Gleim15
tercapai. Mereka pelaksanaan tugas
sangat penting bila berbahaya, atau
acara yang tidak staf dilatih dengan
diinginkan keterampilan yang
dihindari - dibutuhkan
biasanya terkait sebelum diizinkan
dengan Kesehatan untuk bekerja
dan Keselamatan tanpa pengawasan.
atau dengan
keamanan.

4. Kinerja Sebab Dirancang untuk Target untuk This Handbook

mengorientasikan mengirim semua
dan memotivasi pesanan pada hari
masyarakat diterimanya
organisasi untuk pesanan, atau
fokus pada dalam waktu 24
pencapaian target jam. Target untuk
yang sesuai menanggapi semua
dengan pencapaian e-mail atau surat
tujuan entitas. pos pada hari
penerimaan.
Target yang
kurang dari 2%
produksi harus
gagal dalam
pemeriksaan
kontrol kualitas
 Kategori dari Target risiko Sifat Contoh Referensi
pengendalian

5. Detektif Efek Kontrol 'Post- Pemeriksaan UK HM

action' 'atau' post- saham atau aset Treasury,14
event '', yang (yang mendeteksi Gleim15
terjadi setelah apakah saham atau
proses sistem lain aset telah dihapus
selesai dan tanpa otorisasi),
mendeteksi rekonsiliasi (yang
konsekuensi yang dapat mendeteksi
tidak diinginkan transaksi yang
yang telah terjadi. tidak sah), '' Post
Implementation
Review '' yang
mendeteksi
pelajaran yang
dapat dipelajari
dari proyek untuk
aplikasi di masa
depan, dan
pemantauan
kegiatan yang
mendeteksi
perubahan yang
harus ditanggapi.

6. Korektif Efek Dirancang untuk Desain UK HM

memperbaiki hasil persyaratan Treasury;14,15
yang tidak kontrak untuk
diinginkan yang memungkinkan
telah terjadi dan pemulihan
telah terdeteksi. kelebihan bayar.
Asuransi juga
dapat dianggap
sebagai bentuk
kontrol korektif
karena
memfasilitasi
pemulihan
keuangan terhadap
realisasi risiko.
 Kategori dari Target risiko Sifat Contoh Referensi
pengendalian

Perencanaan
kontinjensi
merupakan elemen
penting dalam
pengendalian
korektif karena ini
adalah cara
dimana organisasi
merencanakan
kelangsungan /
pemulihan bisnis
setelah kejadian
yang tidak dapat
mereka kontrol.
7. Investigasi Sebab dan Akibat Untuk mencoba IIA16
memahami
bagaimana hasil
yang tidak
diinginkan terjadi,
untuk memastikan
hal itu tidak
terjadi di lain
waktu, dan untuk
menyediakan jalur
jalan lain untuk
mencapai
pemulihan
terhadap
kehilangan atau
kerusakan.

TUJUAN PENGENDALIAN INTERNAL

Sebelumnya di bab ini kami menunjukkan bahwa tujuan pengendalian internal dapat dipecah
menjadi sejumlah sub-tujuan. Ini hanya masalah bagaimana seseorang mengkategorikan tujuan
manajemen. Hal ini berkisar dari satu tujuan (dua indikator (UK Corporate Governance Code),
tiga tujuan (COSO, 1992 dan 2004), empat tujuan (Institut Standar Auditor Internal ' ), lima tujuan
(Institut Standar Internal Auditor yang lama, 1978-2001) dan enam tujuan (The King Report on
Corporate Governance for South Africa, 2002).

The Institute of Internal Auditors’ Standards Glossary Definition of Control

Setiap tindakan yang diambil oleh manajemen, dewan, dan pihak lain untuk mengelola
risiko dan meningkatkan kemungkinan bahwa tujuan dan sasaran yang telah ditetapkan akan
tercapai. Manajemen merencanakan, mengatur, dan mengarahkan kinerja tindakan yang memadai
untuk memberikan keyakinan memadai bahwa tujuan dan sasaran akan tercapai.

The UK's Combined Code on Corporate Governance (2008), C.2 on Internal Control

Prinsip Utama:

Dewan harus menjaga sistem pengendalian internal yang baik untuk:

• melindungi investasi pemegang saham, dan

• melindungi aset perusahaan.

Ketentuan Kode

C.2.1 Dewan sebaiknya, setidaknya setiap tahun, melakukan tinjauan terhadap keefektifan
sistem pengendalian internal kelompok tersebut dan harus melaporkan kepada pemegang saham
bahwa mereka telah melakukannya. Kajian tersebut harus mencakup semua kontrol material,
termasuk pengendalian keuangan, operasional dan kepatuhan serta sistem manajemen risiko.

COSO (Integrated Control-Integrated Framework, (1992), dan Enterprise Risk

Management, (2004)
 Pengendalian internal didefinisikan secara luas sebagai proses, yang dilakukan oleh dewan
direksi, manajemen dan personil lainnya, yang dirancang untuk memberikan keyakinan memadai
mengenai pencapaian tujuan dalam kategori berikut:

• Efektivitas dan efisiensi operasi.

• Keandalan pelaporan keuangan.

• Kepatuhan terhadap hukum dan peraturan yang berlaku.

The Institute of Internal Auditors’ Standards (post 2001)

2130-Pengendalian Kegiatan audit internal harus membantu organisasi dalam menjaga

kontrol yang efektif dengan mengevaluasi efektivitas dan efisiensi mereka dan dengan
mempromosikan perbaikan terus-menerus. 2130.A1 - Kegiatan audit internal harus mengevaluasi
kecukupan dan efektivitas pengendalian dalam menanggapi risiko di dalam sistem tata kelola,
operasi, dan informasi organisasi mengenai:

• Kehandalan dan integritas informasi keuangan dan operasional.

• Efektivitas dan efisiensi operasi.

• Melindungi aset.

• Kepatuhan terhadap hukum, peraturan, dan kontrak.

The Old Standards of The Institute of Internal Auditors (1978–2001), in the Superseded
Statement on Internal Auditing Standards

Tujuan utama pengendalian internal adalah memastikan:

• Keandalan dan integritas informasi.

• Kepatuhan terhadap kebijakan, rencana, prosedur, undang-undang, peraturan, dan
kontrak.
• Pengamanan aset.
• Penggunaan sumber daya yang ekonomis dan efisien.
 • Tercapainya tujuan dan sasaran yang telah ditetapkan untuk operasi dan program.

The King Report on Corporate Governance for South Africa, 2002

Dewan harus menggunakan model pengelolaan dan pengendalian risiko dan pengendalian
risiko yang umumnya diakui secara umum untuk menjaga sistem manajemen risiko dan
pengendalian internal yang sehat guna memberikan keyakinan memadai mengenai pencapaian
tujuan organisasi berkenaan dengan:

• Efektivitas dan efisiensi operasi;

• Melindungi aset perusahaan (termasuk informasi);

• Kepatuhan terhadap hukum, peraturan dan persyaratan pengawasan yang berlaku;

• Mendukung keberlanjutan usaha di bawah kondisi operasi normal dan buruk;

• Keandalan pelaporan; dan

• Berperilaku bertanggung jawab terhadap semua pemangku kepentingan.

MENENTUKAN APAKAH PENGENDALIAN INTERNAL EFEKTIF

Program CoCo dari Canadian Institute of Chartered Accountants telah menyatakan bahwa
pengendalian efektif sejauh ia memberikan keyakinan memadai bahwa sebuah organisasi akan
mencapai tujuannya dengan andal; atau, kontrol efektif sejauh risiko (yang tidak terkendali) yang
tersisa dari organisasi tersebut gagal memenuhi tujuannya dapat diterima.

Petunjuk otoritatif, misalnya Laporan Turnbull atau peraturan SEC tentang penerapan s.
404 dari Sarbanes-Oxley Act, jelaskan bahwa dua pertanyaan harus dijawab sebelum sebuah
kesimpulan dapat dibuat mengenai efektivitas pengendalian internal.

1.Apakah ada hasil yang menunjukkan bahwa pengendalian internal tidak efektif?

2.Apakah proses pengendalian internal cukup kuat untuk memberikan keyakinan memadai
terhadap pencapaian tujuan manajemen?
 Kami tidak berhak untuk menyimpulkan bahwa ada pengendalian internal yang efektif
(keseluruhan bisnis atau proses yang menjadi subyek tinjauan kami) hanya karena setelah
penyelidikan yang cermat, kami tidak menemukan apa-apa yang salah. Organisasi mungkin tidak
menyadari adanya kegagalan signifikan yang telah terjadi. Tetapi jika kita telah menemukan
sesuatu yang tidak penting, kemungkinan besar berarti kita harus menyimpulkan bahwa
pengendalian internal belum efektif.

Pendekatan yang tepat untuk menjawab pertanyaan kedua adalah meninjau ketahanan
komponen penting pengendalian internal COSO (lingkungan pengendalian, informasi dan
komunikasi, penilaian risiko, aktivitas pengendalian, pemantauan) sehingga dapat disimpulkan
bahwa pengendalian internal dapat diharapkan. untuk menjadi efektif Ini termasuk memastikan
bahwa komponen kontrol ini diterapkan dengan cara yang telah mereka rancang. Kesalahan yang
sering terjadi adalah berfokus hanya pada penilaian aktivitas pengendalian, namun mengabaikan
kekritisan dari empat komponen penting lainnya dari pengendalian internal

Lebih disukai pertanyaan kedua (di atas) ditangani dengan mengacu pada delapan
komponen manajemen risiko COSO (lihat Bab 5) karena ini memperluas kepastian yang dapat
diberikan auditor untuk merangkul baik manajemen risiko maupun pengendalian internal.

KONTAK BIAYA EFEKTIVITAS KONTROL

Terlepas dari apakah kegagalan mahal dicegah, sebuah proses dengan kontrol yang baik,
misalnya melalui pemisahan tugas, mungkin tidak memerlukan biaya lebih banyak daripada yang
memiliki kontrol lemah. Mungkin ada peluang untuk mencapai kontrol yang efektif dengan cara
yang lebih ekonomis. Kontrol duplikat mungkin berarti beberapa kontrol bersifat berlebihan dan
dapat dihilangkan.

Manajemen membuat banyak pertimbangan untuk menilai investasi berharga dalam

pengendalian yang lebih baik untuk memberikan kepastian yang lebih besar terhadap pencapaian
tujuan. Tentunya kontrol harus cukup memadai untuk mengurangi risiko sehingga sisa risiko tetap
berada dalam risk appetite organisasi. Sekali lagi, itu melibatkan penilaian mengenai potensi
efektivitas pengendalian dan juga mengenai apa yang seharusnya risk appetite.
 Hal ini diinginkan untuk membuat kontrol kedap air seperti yang praktis. Peristiwa yang
dinilai tidak mungkin terjadi atau sedikit konsekuensi jika terjadi, dapat berubah menjadi dampak
utama organisasi. Adalah bijaksana untuk mempertimbangkan kembali keefektifan pendekatan
bisnis yang menerima kontrol tersebut tidak sempurna, katakanlah untuk mencegah kecurangan,
melainkan dengan sinis berusaha untuk menciptakan biaya rutin penipuan yang sedang
berlangsung ke dalam harga produk atau layanan organisasi. Tidaklah mungkin untuk menilai
potensi biaya top-side dari kerusakan yang terkendali. Penipuan dapat dianggap sebagai jenis
gangguan tertentu dalam sistem pengendalian internal. Lalu ada tantangan bisnis yang etis dan
praktis dari bahaya moral yang diizinkan oleh organisasi dengan membiarkan proses bisnisnya
tidak terkendali dengan baik

ISU UNTUK PROSES PENGENDALIAN INTERNAL

Tujuan Proses Pengendalian Internal

Memberikan kepastian memadai untuk:

(a) keandalan dan integritas informasi keuangan dan operasional.

(b) Efektivitas dan efisiensi operasi.

(c) Pengamanan aset.

(d) Kepatuhan terhadap hukum, peraturan, kebijakan dan kontrak.

1 Isu Utama

1.1 Apakah kerangka pengendalian diterapkan pada disain dan penilaian pengendalian
internal dalam organisasi?

1.2 Apakah ada kesalahan dan / atau kerugian yang signifikan karena kelemahan
pengendalian yang belum diperbaiki?

1.3 Seiring waktu, apakah semua proses bisnis yang signifikan ditinjau untuk efektivitas
pengendalian mereka?
 1.4 Apakah manajemen memahami bahwa mereka bertanggung jawab atas efektivitas
pengendalian internal?

1.5 Apakah komite audit dewan melaporkan kepada dewan komite secara keseluruhan
mengenai efektivitas pengendalian internal?

1.6 Apakah eksekutif audit utama diminta untuk melapor kepada komite audit, atau kepada
dewan, pendapat keseluruhan audit internal mengenai efektivitas pengendalian internal?

1.7 Apakah proses kunci didokumentasikan, menyoroti kontrol utama mereka; dan apakah
kecukupan desain kontrol kunci ini dievaluasi?

1.8 Apakah ada program yang memuaskan untuk menguji pengoperasian kontrol kunci,
yang dilakukan oleh manajemen dan oleh audit internal?

1.9 Berapakah tingkat risiko dimana manajemen dapat mengesampingkan kontrol, dan jika
hal ini terjadi, apakah akan dilaporkan ke tingkat independen?

2 Isus Terperinci

2.1 Apakah kerangka kontrol yang digunakan sesuai dengan ukuran COSO, CoCo atau
Turnbull?

2.2 Bila perlu, apakah pengendalian internal proses alih daya dalam lingkup desain dan
penilaian internal organisasi?

2.3 Apakah manajemen dan staf dilatih untuk memahami makna pengendalian internal dan
bagaimana pencapaiannya?

2.4 Apakah ada bukti bahwa kontrol disfungsional karena menghambat pencapaian tujuan?

2.5 Apakah pengendalian internal dicapai dengan cara yang hemat biaya?

2.6 Apakah ada kontrol berlebihan melalui proses pengendalian yang tidak perlu mahal,
atau melalui kontrol duplikat?

2.7 Apakah manajemen diminta untuk menilai secara teratur, dan memastikan, efektivitas
pengendalian bidang tanggung jawab mereka?
2.8 Ketika eksekutif audit utama percaya bahwa manajemen senior telah menerima tingkat
risiko residual yang mungkin tidak dapat diterima oleh organisasi, dan belum
menyelesaikan masalah ini melalui diskusi, apakah chief executive audit melaporkan
smasalah tersebut kepada dewan pengurus atau audit panitia, untuk resolusi?

2.9 Apakah kurangnya pengendalian internal yang efektif akan menimbulkan bahaya moral
bagi manajemen, staf, kontraktor, pelanggan, pemasok atau pihak lain?

2.10 Apakah kesalahan, kecurangan atau kerugian yang dapat dihindari lainnya dapat
dideteksi?

2.11 Apakah tanggung jawab untuk pencegahan, deteksi dan investigasi kecurangan secara
jelas ditetapkan dalam uraian tugas staf yang tepat?