Pengendalian internal adalah proses yang diterapkan untuk menghasilkan tingkat keyakinan
yang memadai agar tujuan pengendalian berikut dapat terpenuhi:
Pengendalian internal merupakan suatu proses, karena melekat ke dalam aktivitas operasional
organisasi dan merupakan bagian yang tak terpisahkan dari aktivitas manajemen. Pengendalian
internal hanya mampu memberikan tingkat keyakinan yang memadai; keyakinan absolut sangat
sulit untuk dicapai dan memerlukan biaya yang sangat tinggi. Selain itu, sistem pengendalian
internal juga memiliki keterbatasan yang melekat, seperti misalnya kemungkinan terjadinya
kesalahan-kesalahan kecil, pertimbangan dan pengambilan keputusan yang tidak tepat, dominasi
manajemen, dan bahkan kolusi.
Mengembangkan sistem pengendalian internal memerlukan pemahaman yang menyeluruh
atas kapabilitas dan risiko dari teknologi informasi (IT), demikian pula halnya dengan bagaimana
menggunakan TI utuk mencapai pengendalian internal organisasi. Akuntan dan pengembangan
sistem sistem membantu manajemen dalam mecapai tujuan pengendalian dengan cara : (1)
merancang sistem pengendalian yang efektif sehingga dapat mengambil pendekatan proaktif untuk
menghilangkan ancaman terhadap sistem serta medeteksi, mengoreksi dan memulihkan dari
ancaman tersebut ketika terjadi; dan (2) memudahkan manajemen untuk membangun
pengendalian ke dalam suatu sistem pada tahap perancangan awal dibandingkan dengan
menambahkannya setelah ancaman tersebut terjadi.
Pengendalian internal menjalankan tiga fungsi penting :
1. Pengendalian preventif untuk mencegah masalah sebelum terjadi. Misalnya
mempekerjakan personil yang memiliki keahlian, membagi wewenang karyawan, dan
mengendalikan akses fisik atas aset dan informasi.
2. Pengendalian detektif untuk menemukan masalah yang tidak dapat dicegah. Misalnya
pengecekan ulang atas penghitungan dan penyusunan rekonsiliasi bank dan neraca saldo
bulanan.
3. Pengendalian korektif untuk mengidentifikasi dan memperbaiki masalah serta
memperbaiki dan memulihkannya dari kesalahan yang terjadi. Misalnya mengarsip
salinan dokumen, mengoreksi input data yang salah, dan memasukkan ulang transaksi
untuk pemrosesan berikutnya.
Pengendalian internal dikategorikan dalam dua kategori :
1. Pengendalian umum untuk memastikan lingkungan pengendalian dari suatu organisasi
stabil dan dikelola dengan baik. Contohnya termasuk keamanan, infrastruktur TI, serta
perolehan, pengembangan dan perawatan piranti lunak.
2. Pengendalian internal untuk memastikan transaksi telah diproses dengan benar.
Pengendalian aplikasi untuk memastikan transaksi telah diproses dengan benar.
Pengendalian aplikasi menekan pada akurasi, kelengkapan, validitas, dan otorisasi data
yang diperoleh, dimasukkan, diproses, disimpan, dipindahkan ke sistem lain, serta
dilaporkan.
Robert Simons dalam Romney dan Steinbart (2012), mengemukakan empat level
pengendalian untuk membantu manajemen dalammengatasi konflik antara kreativitas dan
pengendalian. Keempat level tersebut adalah :
1. Sasaran bisnis. Untuk memenuhi sasaran-sasaran bisnis, informasi harus sesuai dengan
tujuh kategori kriteria pengendalian yang ditetapkan oleh Committee of Sponsoring
Organization (COSO);
2. Sumber daya TI. Hal ini mencakup orang, system aplikasi, teknologi, fasilitas, dan data;
3. Proses TI. Terbagi ke dalam empat aspek, yakni perencanaan dan organisasi, akuisisi dan
implementasi, pelaksanaan dan dukungan, serta monitoring dan evaluasi.
Kerangka pengadilan COBIT digambarkan sebagai berikut :