KELAS G
Disusun Oleh:
Kelompok 1
Departemen Akuntansi
Universitas Diponegoro
2018
I. Latar Belakang
Profesi auditor sudah tidak asing lagi dalam dunia bisnis. Profesi yang identik dengan
bidang akuntansi ini, secara luas, dikenal bertugas memeriksa laporan keuangan
perusahaan untuk memberikan opini nantinya, yang mana akan dijadikan barometer akan
reliabilitas dan validitas laporan keuangan tersebut. Dengan fungsi tersebut, maka tak
heran apabila profesi auditor sangat penting bagi keberlangsungan sebuah perusahaan.
Terdapat dua jenis dalam profesi auditor, yaitu auditor internal dan eksternal.
Kebanyakan orang hanya mengenal auditor eksternal, yang terkait dengan laporan
keuangan dan opini atas kewajarannya. Lantas, apakah yang membedakan auditor
internal dengan eksternal? Bagaimana perkembangannya? Mengapa posisi tersebut
dibutuhkan dalam perusahaan? Dan dengan dasar apakah auditor internal bekerja?
III. Pembahasan
Auditor internal adalah fungsi penilaian independen yang didirikan di dalam perusahaan
untuk menguji dan mengevaluasi aktivitas perusahaan tersebut sebagai bentuk jasa
terhadap perusahaan.
Auditor internal juga dapat disebut sebagai pengendali (control) dalam perusahaan,
dengan fungsi mengukur dan mengevaluasi efektivitas pengendalian lain. Ketika
perusahaan menetapkan rencana operasi dan merealisasikannya, tentu harus ada sistem
pengendalian untuk mengawasi proses tersebut. Auditor internal dapat membantu
mengukur dan mengevaluasi sistem pengendalian tersebut.
Auditor internal mulai dianggap penting pada tahun 1930an. Pada saat itu, U.S. Securities
and Exchange Commision (SEC) mewajibkan bahwa perusahaan yang teregistrasi harus
mengeluarkan laporan keuangan yang telah disertifikasi oleh auditor independen.
Ketetapan ini mendorong perusahaan untuk mendirikan departemen auditor internal.
Namun pada saat itu, tugas auditor internal hanya terbatas membantu fungsi akuntansi
saja.
Pada tahun 1942, dibentuk IIA beranggotakan para auditor internal untuk saling berbagi
pengalaman dan pengetahuan satu sama lain. Di era 1940an inilah, profesi auditor
internal mulai berkembang. Semakin rumitnya sistem operasi di perusahaan juga
menuntut auditor internal untuk menjadi lebih ahli lagi dalam berbagai bidang. Jika
awalnya profesi ini terbilang sempit, namun seiring berjalannya waktu, bisnis operasi
berkembang, dan auditor internal harus dapat mengikuti untuk menjalankan fungsinya.
Auditor internal memanfaatkan kesempatan tersebut dan memperluas bidang jasa mereka,
hingga lebih cenderung berorientasi pada manajemen.
IIA telah memutuskan bahwa auditor internal perlu memiliki pernyataan tujuan (mission
statement) yang mendukung profesinya, yaitu:
Para auditor internal seringkali menghadapi area-area dimana mereka diharuskan untuk
mengetahui bahkan menguasai agar dapat bekerja sesuai fungsi mereka. Hal ini yang
membuat mereka bertanya-tanya, “Apa sajakah yang perlu diketahui untuk menjadi
seorang auditor internal yang berpengalaman, terkualifikasi dan terhormat?” Karena
itulah, dibutuhkan CBOK atau Common Body of Knowledge untuk profesi auditor
internal.
Saat ini, auditor internal bergerak di berbagai macam bidang dalam segala jenis
perusahaan. Dibutuhkan suatu standar dalam profesi yang berlaku secara umum bagi
audit internal. IIA Research Foundation (IIARF) menerbitkan CBOK pada pertengahan
tahun 2007, setelah mengadakan survey dengan tujuan untuk menangkap dan
mendeskripsikan praktik kerja auditor internal profesional seluruh dunia, yang termasuk:
Namun CBOK dari IIARF bukan bertujuan untuk menetapkan standar level tinggi dalam
kinerja audit internal, melainkan untuk memperluas pengetahuan tentang tugas dan
aktivitas terkini dari profesi audit internal maupun yang terkait. Meskipun disebut
CBOK, pendekatan IIARF adalah untuk men-survey apa yang dilakukan oleh auditor
internal pada saat itu. CBOK ini bukan merupakan panduan untuk audit internal, tetapi
mendeskripsikan berbagai aktivitas audit internal dan bagaimana praktiknya.
Jadi, apakah seorang auditor internal harus benar-benar menguasai secara detail bidang-
bidang yang diawasi? Jawaban “tidak” mungkin terasa kurang tepat, karena auditor
minimal harus tahu dan sadar akan berbagai bidang tersebut. Auditor internal minimal
memiliki pengetahuan umum mengenai bidang dimana mereka ditugaskan. Lambat laun
seiring berjalannya waktu pun, seorang auditor internal akan mendapatkan lebih banyak
lagi pengetahuan.
Pengendalian internal adalah salah satu konsep paling penting dan fundamental yang
harus dimengerti oleh pelaku bisnis maupun auditor baik internal maupun eksternal. Para
pelaku bisnis membangun dan menggunakan pengendalian internal; auditor meninjau
area keuangan dan operasi perusahaan dengan tujuan mengevaluasi sistem pengendalian
internal yang ada.
Statement of Auditing Standards (SAS) yang dikeluarkan oleh American Institute of
Certified Public Accountant (AICPA) mendefinisikan pengendalian internal sebagai
berikut:
Pengendalian internal terdiri dari rencana suatu perusahaan dan seluruh metode-metode
dan ukuran yang selaras, diambil dengan sebuah bisnis untuk mengamankan asetnya,
memeriksa keakuratan dan keandalan data akuntansinya, mendorong efisiensi operasional
dan ketaatan terhadap kebijakan manajemen yang telah ditetapkan.
Pengertian atau definisi pengendalian internal terus berubah dan direvisi. Selama era
1970an, SEC dan AICPA beberapa kali merilis definisi yang sedikit berbeda dan firma-
firma audit eksternal mengeluarkan banyak interpretasi dukungan dan panduan.
Periode tahun 1974-1977 terjadi goncangan sosial dan politik di Amerika Serikat.
Beberapa pelanggaran terjadi, yang akhirnya menghasilkan dirilisnya Foreign Corrupt
Practices Act (FCPA) pada tahun 1977. FCPA melarang praktik suap dan mewajibkan
adanya buku, rekaman dan sistem pengendalian akuntansi internal. Hal ini sedikit banyak
berpengaruh terhadap audit internal dan eksternal. Setelah diberlakukan, FCPA membuat
perusahaan-perusahaan mendokumentasi prosedur pengendalian internalnya, termasuk
yang sebelumnya sama sekali tidak pernah melakukannya.
Tetapi, adanya FCPA pun tetap tak menjawab sebenarnya seperti apa pengendalian
internal yang baik. Bertahun-tahun terjadi banyak perubahan dan revisi, hingga
menghasilkan COSO, kerangka pengendalian internal yang akan dibahas selanjutnya.
COSO yang diluncurkan pada tahun 1992 memuat definisi pengendalian internal sebagai
berikut:
Pengendalian internal adalah sebuah proses, dipengaruhi oleh dewan direksi, manajemen
atau personil lain suatu entitas, yang didesain untuk menyediakan jaminan pencapaian
tujuan dalam beberapa kategori:
Meskipun konsep dasar pengendalian internal COSO tidak berubah sejak diluncurkan,
lingkungan operasi bisnis dimana auditor internal bekerja telah banyak berubah, seperti
adanya jasa kontrak, struktur organisasi baru, hubungan internasional, kemudian
bertambahnya persyaratan yang tidak hanya berupa laporan tahunan, pencegahan
penipuan, penilaian risiko, perkembangan teknologi informasi dan keamanannya, juga
media social dan sistem nirkabel, semua harus tercantum dalam pengendalian internal.
Kerangka COSO yang baru dan panduan material dukungannya mencantum perubahan
pada beberapa area seperti meningkatkan ekspektasi akan kemungkinan adanya kelalaian,
globalisasi pasar dan operasi, kompleksitas yang meningkat dalam bisnis operasi, juga
hukum, regulasi dan standar, penggunaan teknologi yang berkembang, dan kebutuhan
untuk mewaspadai korupsi yang meningkat.
Tiga kategori dalam tujuan pengendalian internal terlihat dalam gambar, di bagian atas,
yaitu operasi, pelaporan dan kepatuhan. Sisi depan gambar merupakan lima komponen
atau elemen kunci pengendalian internal, yaitu lingkungan pengendalian, penilaian risiko,
aktivitas pengendalian internal, informasi dan komunikasi serta aktivitas pemantauan.
Area inilah yang paling banyak dirubah dalam revisi COSO. Di bagian kanan, struktur
organisasi perusahaan adalah dimensi ketiga terpenting dalam pengendalian internal.
Menambah elemen tiga dimensi tersebut, COSO memiliki satuan prinsip yang
mendukung 5 komponen pengendalian internal. Setelah direvisi, COSO menjabarkan 17
prinsip yang merepresentasikan konsep fundamental yang berhubungan dengan 5
komponen tersebut, agar manajemen mengerti apa yang membuat sebuah pengendalian
internal efektif. Bagi auditor internal, kuncinya adalah bagaimana mengaplikasikannya
dalam pekerjaan.
a. Lingkungan Pengendalian
Peran dari Jajaran Direktur
■ Terapkan keahlian yang relevan. Dewan direksi sebaiknya defi ne, maintain, dan
secara berkala mengevaluasi keterampilan dan keahlian yang dibutuhkan di antara
anggotanya untuk memungkinkannya mereka untuk mengajukan pertanyaan
menyelidik tentang manajemen senior dan bersikap sepadan tindakan.
■ Beroperasi secara independen. Dewan direksi harus memiliki anggota yang cukup
yang independen dari manajemen dan objektif dalam evaluasi mereka dan
pengambilan keputusan
Banyak perusahaan dari semua jenis dan ukuran saat ini telah menyederhanakan
operasi mereka dan mendorong otoritas pengambilan keputusan mereka ke bawah
dan mendekati personil garis depan. Lingkungan kontrol yang kuat mengatakan
bahwa karyawan harus memiliki pengetahuan dan kekuatan untuk membuat
keputusan yang tepat di wilayah operasi mereka sendiri dan bukan diminta untuk
menyampaikan permintaan keputusan melalui saluran perusahaan senior. Tantangan
kritis yang menyertai delegasi atau pemberdayaan ini adalah meskipun demikian
mereka dapat mendelegasikan beberapa kewenangan untuk mencapai tujuan,
manajemen senior akhirnya bertanggung jawab atas keputusan yang dibuat oleh
bawahan tersebut.
Perusahaan bisa tempatkan diri pada risiko jika terlalu banyak keputusan yang
melibatkan tujuan tingkat tinggi ditetapkan pada tingkat yang kurang tepat tanpa
tinjauan manajemen yang memadai. Selain itu, masing-masing orang di perusahaan
harus memiliki pemahaman yang baik tentang keseluruhan perusahaan tujuan serta
bagaimana tindakan individu saling terkait untuk mencapai tujuan tersebut.
Perusahaan manajemen harus menyadari bahwa komponen lingkungan pengendalian
ini Kerangka kerja COSO sangat dipengaruhi oleh sejauh mana individu
mengenalinya mereka akan dimintai pertanggungjawabannya.
Hal ini berlaku untuk semua anggota perusahaan, dari anggota staf sampai ke kepala
eksekutif, yang memiliki tanggung jawab tertinggi semua kegiatan dalam suatu
entitas, termasuk sistem pengendalian intern.
Prinsip COSO ini berjalan sedikit lebih kuat dalam masalah kompetensi individu
daripada fungsi sumber daya manusia perusahaan biasa, yang seringkali lebih
terbungkus dalam masalah keragaman daripada kekhawatiran dengan keterampilan
karyawan. Prinsip lingkungan pengendalian ini meminta perusahaan untuk
menentukan persyaratan kompetensinya sesuai kebutuhan untuk mendukung
tercapainya tujuan pengendalian internal, dengan pertimbangan yang diberikan
kepada: Pengetahuan, keterampilan, dan kebutuhan pengalaman Sifat dan tingkat
penilaian dan keterbatasan wewenang untuk diterapkan pada posisi tertentu Analisis
biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman Trade-off antara
tingkat pengawasan dan tingkat kompetensi yang dipersyaratkan dari masing-masing
karyawan Topik yang tercantum mengangkat beberapa masalah sulit yang seringkali
tidak benar-benar dipertimbangkan oleh manajemen saat mengevaluasi karyawan
mereka. Lingkungan kontrol ditingkatkan bila kita hanya memiliki orang yang tepat
dalam pekerjaan yang tepat.
Secara khusus, dewan direksi pada akhirnya meminta CEO bertanggung jawab atas
pengendalian internal dalam pencapaian tujuan perusahaan, dan CEO dan
manajemen senior lainnya pada gilirannya bertanggung jawab untuk merancang,
melaksanakan, melakukan, dan mengevaluasi secara berkala apakah struktur,
wewenang, dan tanggung jawab menetapkan akuntabilitas pengendalian internal di
semua tingkat perusahaan. Akuntabilitas di sini mengacu pada tingkat kepemilikan
dan komitmen terhadap kinerja pengendalian internal dalam mengejar tujuan.
Manajemen dan dewan direksi harus menetapkan mekanisme untuk
mengkomunikasikan dan meminta pertanggungjawaban personil atas kinerjanya
terhadap tanggung jawab pengendalian internal di seluruh perusahaan dan harus
melakukan tindakan perbaikan yang sesuai seperlunya.
Prinsip pengendalian internal COSO ini menekankan bahwa manajemen dan semua
tingkat perusahaan harus membuat orang bertanggung jawab atas manajemen
pengendalian internal serta semua kekuatan dan kelemahan terkait. Ini adalah konsep
penting yang sering kita abaikan, dan prinsip pengendalian internal yang penting.
Namun, manajemen harus menentukan berapa banyak risiko yang harus diterima
dengan hati-hati dan berusaha untuk mempertahankan risiko di dalam batas-batas ini,
memahami seberapa toleransi yang dimilikinya melebihi tingkat risiko targetnya.
Kita semua menghadapi berbagai risiko, beberapa kemungkinan secara teratur dan
lainnya tidak masuk akal. Yang terakhir ini merujuk pada peristiwa sekali dalam
seribu tahun seperti banjir besar atau gempa bumi. Ya, mereka mungkin terjadi pada
suatu waktu di masa depan, namun menetapkan tujuan dan praktik perbaikan
potensial seringkali tidak bernilai. Sebaliknya, manajemen dan juga audit internal
harus bertanya pada diri sendiri situasi potensial apa yang perlu dikhawatirkan dalam
waktu yang relatif dekat. Ini bisa menjadi dasar untuk menetapkan satu set tujuan
risiko. Misalnya, produsen produk teknis mungkin memiliki tujuan untuk
meluncurkan produk baru, dengan menggunakan teknologi yang berkembang yang
mungkin menghadapi beberapa pesaing kuat di pasar dengan harga sangat
kompetitif, dan dengan beberapa ketidakpastian mengenai apakah pasar akan
menerima produk tersebut sebagai seperti yang diharapkan. Skenario jenis ini dapat
mengenalkan sejumlah besar risiko potensial dan harus diidentifikasi dan
didokumentasikan
Prinsip identifikasi dan analisis risiko COSO meminta pertimbangan semua risiko di
dalam perusahaan, termasuk subunit dan fungsi operasionalnya, seperti keuangan,
sumber daya manusia, pemasaran, produksi, pembelian, dan manajemen TI. Selain
itu, proses ini harus mempertimbangkan risiko internal dan eksternal yang berasal
dari penyedia layanan outsource, pemasok utama, dan mitra saluran yang secara
langsung atau tidak langsung memengaruhi pencapaian tujuan perusahaan. Dalam
melakukan penilaian risiko ini, manajemen harus mempertimbangkan tingkat
perubahan dalam menentukan frekuensi proses penilaian risiko. Sementara penilaian
risiko adalah proses dinamis, perusahaan harus menggunakan kombinasi penilaian
risiko berkelanjutan dan periodik. Audit internal dapat memainkan peran penting di
sini baik dalam perencanaan audit internal berbasis risiko dan identifikasi
"berbasiskan senjata di darat" untuk area risiko potensial sebagai bagian dari audit
internal di lokasi lapangan.
Seperti yang telah kita bahas di Bab 3, auditor internal di masa lalu memiliki
keterlibatan minimal dengan isu-isu terkait kecurangan, namun ini sangat banyak
berubah. Auditor internal sering berada dalam posisi yang sangat baik untuk
mengevaluasi risiko penipuan karena kegiatan peninjauan yang sedang berlangsung
di seluruh perusahaan. Proses deteksi dan pencegahan penipuan akan dibahas lebih
teliti di Bab 27, dan merupakan prinsip pengendalian internal COSO yang penting.
Penilaian risiko fraud adalah proses yang harus dilakukan perusahaan untuk
menentukan pemaparan terhadap kecurangan internal dan eksternal. Penilaian harus
meninjau operasi dan pengendalian, termasuk kebijakan dan prosedur, untuk
menentukan di mana kesenjangan ada yang memungkinkan seseorang atau
sekelompok orang melakukan kecurangan terhadap perusahaan tersebut. Penilaian
risiko penipuan kemudian harus melihat bidang utama perusahaan untuk menentukan
apakah tindakan telah dilakukan yang akan mengingatkan manajemen terhadap
kecurangan atau untuk secara efektif mencegah eksekusi kecurangan.
Setiap perusahaan memiliki tingkat risiko dan teknik mitigasi yang berbeda
tergantung pada industri mereka. Sebuah perusahaan manufaktur dengan persediaan
nilai unit tinggi memiliki risiko yang berbeda dari perusahaan teknologi perangkat
lunak dengan kekayaan intelektual yang berharga. Sebuah pendirian ritel dengan
toko memiliki serangkaian risiko yang berbeda dari perusahaan jasa profesional.
Setiap penilaian risiko perlu disesuaikan dengan organisasi dan risiko spesifik yang
dihadapinya. Gambar 4.3 menunjukkan proses penilaian risiko kecurangan umum ini.
Bukti 4.3 Penilaian Risiko Penipuan
Standar IIA menekankan bahwa audit internal memiliki peran untuk dimainkan
terkait deteksi dan pencegahan kecurangan, namun tanggung jawab utama jatuh pada
manajemen. Meskipun ini terdengar sederhana dalam teori, masalahnya terletak pada
mengkomunikasikan pesan itu kepada manajemen. Evaluasi risiko kecurangan
merupakan prinsip pengendalian internal yang penting.
Prinsip penilaian risiko bernilai kecil jika perusahaan berjalan melalui area yang luas
analisis untuk mengidentifikasi risiko tapi pada dasarnya tidak melakukan tindakan
untuk mengurangi risiko mengidentifikasi risiko. Ini benar-benar menuntut rencana
respons risiko dengan prinsip akhir untuk COSO pengendalian internal penilaian
risiko: Identifikasi dan analisis perubahan yang secara signifikan dapat
mempengaruhi pengendalian internal. Perusahaan harus mengembangkan strategi
manajemen risiko sebagai bagian dari manajemen risiko mereka proses. Strategi
manajemen risiko membahas bagaimana perusahaan bermaksud untuk melakukannya
menilai risiko yang teridentifikasi, merencanakan tanggapan, dan memantau
pengambilan risiko tersebut secara eksplisit dan transparan persepsi risiko bahwa
perusahaan secara rutin menggunakan dalam membuat kedua investasi dan
keputusan operasional. Identifikasi risiko dan strategi analisis merupakan bagian
penting manajemen risiko perusahaan. Strategi respon adalah komponen kunci dari
kontrol internal COSO. Sekali potensi risiko yang penting telah dinilai, manajemen
harus mempertimbangkan bagaimana risiko tersebut harus dikelola. Hal ini sering
melibatkan penilaian berdasarkan asumsi tentang risiko dan analisis yang masuk akal
dari biaya yang terkait dengan pengurangan tingkat risiko. Manajemen harus
mempertimbangkan untuk bertindak berdasarkan masing-masing dari empat risiko
dasar strategi respon yang dibahas di Bab 3: penghindaran, pengurangan, pembagian,
dan risiko penerimaan.
Suatu perusahaan pada saat ini harus kembali ke beberapa tujuan risiko yang
dimilikinya telah ditetapkan serta rentang toleransi untuk tujuan tersebut. Maka
seharusnya readdress baik kemungkinan dan dampak yang terkait dengan masing-
masing diidentifikasi risiko dalam tujuan risiko tersebut untuk mengembangkan
penilaian terhadap kedua kategori risiko tersebut serta penilaian keseluruhan
terhadap respons risiko yang direncanakan dan bagaimana risikonya akan selaras
dengan toleransi risiko keseluruhan perusahaan. Pesan dasar di sini adalah bahwa a
perusahaan membutuhkan rencana respons risiko secara keseluruhan agar dapat
dikeluhkan dengan COSO-nya kerangka pengendalian internal.
c. Kegiatan Pengendalian
Pilihan Kegiatan Pengendalian yang Menggunakan Risiko
Prinsip aktivitas pengendalian COSO yang penting ini menyatakan bahwa, sebagai
bagian dari keseluruhannya lingkungan pengendalian internal, perusahaan harus
memilih dan mengembangkan kegiatan pengendalian yang berkontribusi terhadap
mitigasi risiko pengendalian internal terhadap pencapaian tujuan mereka sampai
tingkat yang dapat diterima Kegiatan pengendalian meliputi tindakan yang
memastikan bahwa tanggapan terhadap risiko yang dinilai, serta arahan manajemen
lainnya - seperti membuat kode etik perusahaan-dilakukan dengan benar dan tepat
waktu cara. Karena setiap perusahaan memiliki seperangkat tujuan dan
implementasinya sendiri Pendekatan, akan selalu ada perbedaan dalam tujuan, risiko,
tanggapan, dan kegiatan pengendalian terkait. Setiap perusahaan dikelola oleh orang
yang berbeda Keterampilan yang berbeda yang menggunakan teknik masing-masing
dalam mempengaruhi pengendalian internal. Selain itu, kontrol mencerminkan
lingkungan dan industri di mana perusahaan beroperasi serta kompleksitas
organisasinya, sejarah, budaya, dan ruang lingkupnya operasi.
■ Perusahaan yang sangat diatur umumnya memiliki respons dan kontrol risiko yang
lebih kompleks kegiatan dari entitas yang kurang diatur.
■ Ruang lingkup dan sifat respon risiko dan aktivitas pengendalian untuk
multinasional perusahaan dengan beragam operasi umumnya menangani internal
yang lebih kompleks struktur kontrol daripada perusahaan domestik dengan aktivitas
yang kurang bervariasi.
■ Perusahaan dengan operasi desentralisasi dan penekanan pada otonomi daerah dan
inovasi menghadirkan lingkungan kontrol yang berbeda dari yang lain operasinya
konstan dan sangat terpusat. Poin sebelumnya menyoroti masalah yang jelas
mengenai kontrol internal COSO kerangka. Saat membuat proses pengendalian
internal, perusahaan selalu membutuhkan untuk memikirkan ukuran relatif dan
kompleksitas perusahaan. Satu ukuran tidak cocok untuk semua, dan manajemen
harus mempertimbangkan ukuran relatif perusahaan dan harus membuat akomodasi
kontrol internal berdasarkan ukuran relatif dan lingkungan operasi lainnya
pertimbangan. Pemilihan dan pengembangan kegiatan pengendalian perusahaan
yang kuat itu mengurangi risiko keseluruhan adalah prinsip pengendalian internal
COSO yang penting.
Untuk internal auditor, hal ini akan menghasilkan pengembangan dan pelaksanaan
audit internal yang efektif, seperti dibahas di Bab 8, serta kegiatan audit internal
lainnya ditemukan di tempat lain bab.
COSO menggunakan istilah teknologi dalam prinsip ini, dan bisa mencakup bidang
manufaktur robotika, instrumen pengujian farmasi, dan pengembangan berorientasi
konsumen produk video elektronik Semua produk teknologi ini dan lebih banyak lagi
melampaui apa yang biasanya kita sebut sistem TI, dan banyak masalah
pengendalian internal mereka dan isu-isu benar-benar berada di luar jangkauan
banyak auditor internal. Mengingat keterbatasan ruang, di sini, ketika COSO
mereferensikan kontrol teknologi, kami akan mereferensikan sistem TI aplikasi dan
kontrol umum.
Ada banyak jenis teknis, manajemen, dan tata kelola yang terkait. Kontrol TI
mencakup segala hal mulai dari kebijakan manajemen TI tingkat tinggi hingga
kontrol proses untuk aplikasi spesifik dan bahkan berjalan pada perangkat genggam.
Poin kami di sini adalah bahwa ada satu prinsip pengendalian internal COSO
berbicara tentang pentingnya kontrol TI, namun perusahaan memiliki tantangan
untuk melakukannya pilih dan kembangkan kontrol TI yang sesuai.
Ada banyak gaya dan format pernyataan kebijakan perusahaan, dan beberapa di
antaranya Kasus kebijakan bahkan dapat dikomunikasikan secara lisan asalkan pesan
pendukungnya dimengerti. Kebijakan yang tidak tertulis bisa efektif dimana saluran
komunikasi melibatkan lapisan manajemen yang terbatas dan interaksi yang erat
dengan pengawasan personil. Tapi apakah ditulis, atau tidak, harus ada tanggung
jawab individu yang jelas dan akuntabilitas dan dikerahkan dengan tekun dan
konsisten oleh personil yang kompeten. Sebuah prosedur tidak akan berguna jika
dilakukan dengan cara hafalan, tanpa tajam, terus fokus pada risiko kebijakan yang
diarahkan. Elemen kunci dari prinsip aktivitas pengendalian ini adalah bahwa
perusahaan harus menerapkannya kebijakan yang menetapkan prosedur yang
diharapkan dan relevan untuk mencerminkan kebijakan ini. Prinsip kegiatan
pengendalian ini menuntut langkah-langkah tindakan sebagai berikut:
Suatu perusahaan harus memperoleh dan menggunakan informasi yang relevan dan
berkualitas untuk mendukung fungsi tersebut komponen kontrol internalnya.
Informasi diperlukan untuk perusahaan melaksanakan tanggung jawab pengendalian
internalnya dalam mendukung tercapainya tujuan. Informasi tentang tujuan
perusahaan harus dikumpulkan dari dewan direksi dan kegiatan manajemen senior
dan dirangkum sedemikian rupa sehingga manajemen lini dan yang lainnya dapat
memahami tujuan dan peran mereka dalam pencapaian mereka. Ini Masalah
komunikasi seringkali merupakan tipe masalah "Management 101", di mana kita
Harus selalu diingat bahwa informasi yang relevan merupakan komponen kunci
internal yang efektif kontrol. Manajemen senior, spesialis IT, auditor internal, dan
pihak lain, bekerja sebagai tim, harus melakukan survei masukan informasi
operasional dan manajemen masa lalu dan sumber output untuk mengidentifikasi dan
menetapkan persyaratan informasi yang lebih baik. Mendapatkan informasi yang
relevan, sebagaimana tercantum dalam materi panduan COSO, memerlukan
manajemen untuk mengidentifikasi dan menentukan persyaratan informasi pada
tingkat detail yang kuat dan kota yang spesifik. Mengidentifikasi kebutuhan
informasi adalah proses yang berulang dan berulang yang terjadi sepanjang kinerja
sistem pengendalian internal yang efektif. Persyaratan informasi ditetapkan melalui
kegiatan yang dilakukan dalam dukungan dari elemen atau komponen kontrol
internal lainnya.
Persyaratan ini memudahkan dan manajemen langsung dan personil lainnya untuk
mengidentifikasi sumber yang relevan dan dapat dipercaya informasi dan data yang
mendasarinya. Jumlah informasi dan data yang mendasarinya Tersedia untuk
manajemen mungkin sering lebih dari yang dibutuhkan karena meningkat sumber
informasi dan kemajuan dalam pengumpulan data, pengolahan, dan penyimpanan. Di
kasus lain, data mungkin sulit didapat di tingkat yang sesuai atau kota tertentu yang
sesuai. Oleh karena itu, pemahaman yang jelas tentang persyaratan informasi COSO
mengarahkan manajemen dan personil lainnya untuk mengidentifikasi sumber yang
relevan dan dapat diandalkan informasi dan data informasi dari Sumber yang
Relevan Dengan meningkatnya penggunaan video, suara, dan komunikasi melalui
Internet dan nirkabel sumber, selain laporan cetak yang lebih tradisional, informasi
internal dan eksternal diterima dari berbagai sumber dan dalam berbagai bentuk dan
format.
Volume informasi yang dapat diakses oleh suatu perusahaan menyajikan kedua
peluang tersebut dan risiko. Akses informasi yang lebih besar pada umumnya akan
meningkatkan kontrol internal. Itu peningkatan volume informasi dan data yang
mendasarinya, bagaimanapun, dapat menciptakan tambahan risiko seperti risiko
operasional yang disebabkan oleh inefisiensi karena kelebihan data, atau kepatuhan
risiko yang terkait dengan hukum dan peraturan seputar perlindungan data, retensi,
privasi, dan keamanan yang timbul dari sifat data yang disimpan oleh atau atas nama
perusahaan. Sifat dan luasnya kebutuhan informasi, kompleksitas dan volume
Informasi ini, dan ketergantungan pada pihak luar memengaruhi rentang kecanggihan
sistem informasi, termasuk tingkat penyebaran teknologi. Apapun dari tingkat
kecanggihan yang diadopsi, semua jenis sistem informasi mendukung end-to-end
pengolahan transaksi dan data yang memungkinkan perusahaan untuk
mengumpulkan, menyimpan,dan meringkas kualitas dan informasi yang konsisten di
seluruh proses yang relevan, apakah manual, otomatis, atau kombinasi keduanya.
Komunikasi Internal
Agar informasi mengalir, turun, dan melintasi perusahaan, harus ada saluran terbuka
komunikasi dan kemauan yang jelas untuk dilaporkan dan didengarkan. Pengelolaan
dan personil lainnya harus percaya bahwa atasan mereka benar-benar ingin tahu
tentang internal masalah terkait kontrol dan mereka akan menangani mereka jika
diperlukan. Di sebagian besar kasus, garis pelaporan yang ditetapkan normal, seperti
bagan organisasi tradisional di Indonesia perusahaan adalah saluran komunikasi yang
sesuai. Namun, personel biasanya cepat mengambil sinyal jika manajemen tidak
punya waktu atau minat menghadapi masalah yang telah mereka temukan. Peracikan
masalah ini, yang tidak mau menerima Manajer mungkin yang terakhir mengetahui
bahwa saluran komunikasi normal tidak beroperasi atau tidak efektif Dalam beberapa
keadaan, jalur komunikasi terpisah diperlukan untuk dibangun mekanisme gagal-
aman untuk komunikasi anonim atau rahasia saat normal saluran tidak beroperasi
atau tidak efektif Beberapa perusahaan kecil telah menyediakan dan membuat
karyawan menyadari adanya saluran komunikasi semacam itu agar bisa diterima oleh
anggota dewan, atau anggota komite audit. Banyak perusahaan besar punya
menetapkan fungsi etika dan beberapa jenis fungsi hotline dimana personil di semua
tingkat dapat meminta perhatian mereka secara 24/7, dan melaporkannya,
mengajukan pertanyaan, atau bahkan bertindak sebagai whistleblower untuk
melaporkan beberapa masalah. Penulis ini memainkan peran penting dalam
meluncurkan fungsi etika dan menetapkan hotline etika untuk perusahaan A.S. utama
beberapa tahun yang lalu, dan sejumlah konsep ini dijelaskan dalam bukunya Kontrol
internal SOx.
Metode Komunikasi
Kejelasan dan keefektifan informasi yang dikomunikasikan penting untuk dipastikan
bahwa pesan ini diterima sebagaimana mestinya. Bentuk komunikasi aktif seperti itu
Sebagai pertemuan tatap muka seringkali lebih efektif daripada bentuk pasif seperti
siaran e-mail atau posting Web. Evaluasi berkala terhadap efektivitas komunikasi
perusahaan Praktik membantu memastikan bahwa metode ini berhasil. Hal ini bisa
dilakukan Melalui berbagai proses yang ada, seperti evaluasi kinerja karyawan,
review manajemen tahunan, dan program umpan balik. Manajemen harus memilih
metode komunikasi yang tepat, mengambil alih Anggap audiens, sifat komunikasi,
ketepatan waktu, biaya, dan keamanan dan persyaratan privasi serta persyaratan
hukum atau peraturan. Bagan 4.6 menunjukkan contoh berbagai format komunikasi
yang berhubungan dengan kontrol internal. Tidak satu Ini tentu lebih baik dari yang
lain asalkan metode yang dipilih dengan tepat mengkomunikasikan pesan yang
diinginkan ke penerima yang dituju. Saat memilih metode atau format untuk
komunikasi, manajemen harus mempertimbangkannya lingkungan tempat pesan
dikirim. Misalnya, budaya, etnis, dan perbedaan generasi dapat mempengaruhi
bagaimana pesan diterima, dan metodenya Komunikasi harus disesuaikan
berdasarkan faktor-faktor tersebut. Apapun metodenya Dari komunikasi yang
digunakan, manajemen harus mempertimbangkan kebutuhan mereka untuk
menyampaikannya komunikasi ke pihak internal terutama pihak eksternal dimana
pesan berhubungan dengan kepatuhan terhadap hukum dan peraturan.
Prinsip COSO penting yang harus ditetapkan dan diterapkan perusahaan adalah
kebijakan dan prosedur yang memudahkan komunikasi eksternal yang efektif. Ini
termasuk mekanisme untuk mendapatkan atau menerima informasi dari pihak luar
dan untuk berbagi informasi tersebut secara internal, memungkinkan manajemen dan
personil lainnya untuk mengidentifikasi tren, kejadian, atau keadaan yang dapat
mempengaruhi pencapaian tujuan pengendalian internal mereka. Komunikasi
dengan pihak eksternal memungkinkan orang lain untuk segera memahami acara,
kegiatan, dan keadaan lain yang mungkin mempengaruhi bagaimana mereka
berinteraksi dengan perusahaan. Komunikasi manajemen ke pihak eksternal harus
mengirim pesan tentang pentingnya pengendalian internal di perusahaan dengan
menunjukkan jalur terbuka komunikasi. Komunikasi dengan pemasok eksternal dan
pelanggan sangat penting membangun lingkungan pengendalian yang tepat dan
untuk membantu pihak-pihak eksternal ini memahami nilai dan budaya perusahaan.
Mereka harus diberitahu tentang hal-hal seperti itu sebagai kode etik organisasi dan
mengenali tanggung jawab mereka dalam membantu pastikan kepatuhan terhadap
nilai ini dan nilai lainnya. Misalnya, manajemen boleh mendistribusikan kebijakan
dan praktik mereka untuk urusan bisnis dengan vendor setelah mendapat persetujuan
baru vendor dan mungkin meminta vendor untuk mengakui kepatuhannya sebelum
mendapat persetujuan dari pesanan pembelian awal dengan vendor. Masalah
kompleksitas komunikasi mungkin timbul antara perusahaan dan eksternal pihak
melalui penyedia layanan dan pengaturan outsourcing lainnya, usaha patungan dan
aliansi, dan transaksi lainnya yang menciptakan saling ketergantungan antara
keduanya pesta. Kompleksitas semacam itu dapat menimbulkan kekhawatiran
mengenai bagaimana bisnis dijalankan antara para pihak.
e. Monitoring
Pengendalian Internal Evaluasi
Kegiatan pemantauan menilai apakah tujuan pengendalian internal COSO ada dan
berfungsi. Perusahaan harus menggunakan proses evaluasi yang berkelanjutan dan
terpisah memastikan apakah prinsip pengendalian internal yang ditetapkan, baik di
seluruh perusahaan dan subunitnya, berlaku, sekarang, dan berfungsi. Pemantauan
merupakan faktor kunci dalam penilaian terhadap efektivitas pengendalian internal.
Suatu perusahaan, sering dengan dukungan audit internal, harus melakukan kegiatan
pemantauan pengendalian yang terus menerus dan mengidentifikasi dan
mengkomunikasikan defisiensi pengendalian internal yang diketahui dalam lingkaran
penuh proses pengendalian internal Idenya di sini adalah bahwa perusahaan harus
melalui masing-masing dari komponen kontrol COSO, dan saat siklus ini beralih ke
aktivitas pemantauan, mereka bertindak sebagai faktor peninjau atas semua
komponen pengendalian internal lainnya. Sebagai prinsip pengendalian kunci,
perusahaan harus memilih, mengembangkan, dan melakukan yang berkelanjutan dan
/ atau evaluasi terpisah untuk memantau atau memastikan apakah pengendalian
internalnya komponen hadir dan berfungsi. Pemantauan bisa dilakukan melalui
beberapa kombinasi evaluasi terpisah atau proses pemantauan berkelanjutan.
Sebuah independen, Audit internal satu kali atas beberapa area operasi atau
pengendalian internal adalah sebuah contoh dari kegiatan pemantauan terpisah. Audit
internal mungkin menjadwalkan review tunggal suatu area, berdasarkan penilaian
risiko mereka, dan kemudian dapat kembali meninjau daerah yang sama lagi,
berdasarkan defisiensi pengendalian internal yang ditemukan dalam tinjauan
pertama. Evaluasi terpisah harus dilakukan secara berkala oleh manajemen, audit
internal, atau pihak eksternal, diantara yang lain.
Proses pemantauan terus menerus serupa dengan proses audit internal yang
berkesinambungan dibahas di Bab 11. Mereka seperti lampu peringatan dalam
ukuran produksi perangkat yang hanya flash jika beberapa pengukuran berada di luar
batas. Evaluasi yang sedang berjalan umumnya operasi rutin dibangun ke dalam
proses bisnis dan dilakukan secara real-time, bereaksi terhadap perubahan kondisi.
Dimana evaluasi yang sedang berlangsung adalah Dibangun dalam proses bisnis,
komponen pengendalian internalnya biasanya terstruktur untuk memantau diri
mereka secara berkelanjutan.
Kontrol yang tidak terpantau cenderung memburuk seiring berjalannya waktu, dan
perusahaan harus menerapkannya proses pemantauan untuk membantu memastikan
pengendalian internal terus beroperasi efektif. Saat pemantauan dirancang dan
dilaksanakan dengan tepat, perusahaan harus diuntungkan karena lebih mungkin
untuk:
■ Mengidentifikasi dan memperbaiki masalah pengendalian internal secara tepat
waktu
■ Menghasilkan informasi yang lebih akurat dan andal untuk digunakan dalam
pengambilan keputusan
■ Menyiapkan laporan keuangan yang akurat dan tepat waktu
■ Berada dalam posisi untuk memberikan kodifikasi atau pernyataan berkala
mengenai keefektifannya dari kontrol internal. Seiring waktu, pemantauan yang
efektif dapat menyebabkan efisiensi organisasi dan mengurangi biaya yang terkait
dengan pelaporan publik mengenai pengendalian internal, karena pemantauan terkait.
Masalah diidentifikasi dan ditangani secara proaktif daripada reaktif cara.
D. SOx
Kata-kata dalam undang-undang berlaku untuk semua auditor dan akuntan, termasuk
auditor internal. Mereka sangat kuat mengenai penghancuran, perubahan, atau pemalsuan
catatan yang terlibat dalam penyelidikan federal atau kebangkrutan: "Siapa pun dengan
sadar mengubah, menghancurkan, memutilasi, menyembunyikan, menutupi, memalsukan
atau membuat kesalahan masuk dalam rekaman, dokumen, atau benda berwujud dengan
maksud untuk menghalangi, ob-struct, atau mempengaruhi penyelidikan ... harus didenda
... atau dipenjara tidak lebih dari 20 tahun, atau keduanya. "Kata-kata kuat diambil
langsung dari undang-undang! Dengan kata lain, setiap perusahaan harus memiliki
kebijakan penyimpanan catatan yang kuat. Sementara catatan bisa jadi hancur dalam
siklus bisnis normal, ada petunjuk penyelidikan federal atau pengajuan surat
kebangkrutan untuk beberapa unit afiliasi harus memicu aktivasi dari kebijakan retensi
catatan itu.
8. Judul XI: Akuntabilitas Penipuan Perusahaan
SOx terakhir meliputi tanggung jawab perusahaan untuk penipuan laporan keuangan.
Title ini ditetapkan untuk memperbaiki pelanggaran yang dilaporkan dimana beberapa
perusahaan sedang diselidiki untuk penipuan keuangan tersebut secara bersamaan
mengeluarkan pembayaran kas besar untuk individu.
Pada section 404, perusahaan bertanggungjawab untuk melakukan review, mendokumentasi, dan
menguji pengendalian internalnya. Awal pertengahan 2007, section 404 ini diubah menjadi AS
5, yang merupakan pendekatan auditlebih berisiko yang lebih baik penggunaannya oleh internal
auditor dalam melakukan penilaian.
AS 5 benar-benar merupakan seperangkat standar bagi auditor eksternal yang mengkaji dan
mengesahkan laporan keuangan yang diterbitkan, peraturan baru ini juga penting bagi auditor
internal dan manajer keuangan. AS 5 memperkenalkan peraturan berbasis risiko dengan
penekanan pada efektivitas kontrol tingkat perusahaan yang lebih berorientasi untuk fakta dan
keadaan perusahaan. Selain itu, standar auditing panggilan untuk auditor eksternal untuk
mempertimbangkan termasuk kajian sesuai dengan laporan audit internal di review audit laporan
keuangan mereka. AS 5 memungkinkan auditor eksternal untuk lebih menekankan pada
kemampuan manajemen untuk membangun dan mendokumentasikan kunci pengendalian
internal. Auditor keuangan internal managemen perlu memahami risiko dan aturan baru
berdasarkan scalable untuk audit keuangan perusahan mereka.
1. Focus Audit pengendalian internal pada hal yang paling penting
AS 5 panggilan pada auditor eksternal untuk memfokuskan tinjauan mereka pada area
yang menyajikan risiko terbesar bahwa pengendalian internal akan gagal mencegah atau
mendeteksi salah saji material di laporan keuangan. Pendekatan ini meminta auditor
eksternal untuk fokus mengidentifikasi kelemahan material dalam pengendalian internal
dalam audit mereka, sebelum mereka mengakibatkan salah saji material atas laporan
keuangan. AS 5 juga menekankan pentingnya mengaudit daerah berisiko tinggi, seperti
laporan keuangan Proses dan kontrol penutupan akhir periode yang dirancang untuk
mencegah kecurangan pengelolaan. Pada saat yang sama, standar baru tersebut
memberikan auditor eksternal a berbagai alternatif untuk mengatasi area berisiko rendah,
seperti dengan lebih jelas menunjukkan bagaimana mengkalibrasi sifat, waktu, dan
tingkat pengujian berdasarkan risiko, serta bagaimana menggabungkan pengetahuan yang
terkumpul di tahun-tahun sebelumnya ' audit terhadap penilaian risiko auditor. Juga dan
sangat penting bagi internal Auditor CBOK, AS 5 juga mengizinkan auditor eksternal
untuk menggunakan pekerjaan yang dilakukan oleh auditor internal perusahaan atau staf
keuangan, bila sesuai.
2. Menghilangkan prosedur audit yang diperlukan untuk mencapai manfaat yang
dimaksudkan
AS 5 tidak memasukkan persyaratan rinci standar AS 2 sebelumnya untuk mengevaluasi
proses evaluasi manajemen sendiri dan mengklarifikasi bahwa audit pengendalian
internal tidak memerlukan pendapat mengenai kecukupan proses manajemen Sebagai
contoh, AS 5 berfokus pada dimensi multilokasi risiko di perusahaan dan mengurangi
persyaratan bahwa auditor eksternal harus menguji "sebagian besar" operasi perusahaan
atau posisi keuangan. Ini harus mengurangi pekerjaan audit keuangan.
3. Membuat audit jelas scalable agar sesuai dengan ukuran dan kompleksitas perubahan
apapun
Untuk memberikan panduan untuk audit perusahaan yang lebih kecil dan kurang
kompleks, AS 5 meminta penyesuaian audit pengendalian internal agar sesuai dengan
ukuran dan kompleksitas perusahaan yang diaudit. Standar ini memiliki panduan
bagaimana menerapkan prinsip AS 5 kepada perusahaan yang lebih kecil dan kurang
kompleks serta untuk unit usaha kecil yang kurang kompleks
4. Sederhanakan teks standar
AS 5 yang baru lebih pendek dan mudah dibaca daripada pendahulunya AS 2, sebagian
karena standarnya telah disederhanakan. Ini juga telah direorganisasi untuk memulai
audit itu sendiri, dengan definisi dan informasi latar belakang lainnya yang disajikan
hanya sebagai lampiran. Sebagai contoh, AS 5 menghilangkan pembahasan standar
material AS 2 sebelumnya tentang materialitas, menekankan bahwa evaluasi materialitas
auditor didasarkan pada prinsip-prinsip lama yang berlaku yang berlaku untuk audit
laporan keuangan
Bagian sebelumnya telah memberikan gambaran umum tentang SOx. Meskipun diskusi ini tidak
mencakup semua bagian atau rincian undang-undang, maksud kami adalah untuk memberikan
pemahaman menyeluruh kepada auditor internal mengenai bagian-bagian kunci yang akan
berdampak pada audit tahunan audit terhadap perusahaan dan komite auditnya. Entah perusahaan
besar yang berbasis di Fortune 100, perusahaan kecil yang bahkan tidak diperdagangkan di
NASDAQ, atau perusahaan swasta yang menerbitkan obligasi yang terdaftar melalui SEC,
semua akan sekarang atau segera berada di bawah SOx dan badan pengatur akuntansi publiknya,
PCAOB . Auditor internal akan melihat perubahan ini dalam hubungan mereka dengan eksternal
auditor.
SOx telah menyebabkan banyak perubahan pada perusahaan, baik di Amerika Serikat maupun di
seluruh dunia. Peran dan tanggung jawab auditor eksternal dan internal telah berubah, dan
perusahaan tentu saja melihat pengendalian internal dan etika bisnis dari perspektif yang jauh
berbeda. Pengetahuan umum SOx dan prosedurnya untuk melakukan Bagian 404 tinjauan
pengendalian internal adalah elemen penting yang harus ada di setiap gudang CBOK auditor
internal.
IV. Kesimpulan
Profesi auditor terbagi menjadi dua, yaitu auditor eksternal dan internal. Auditor
eksternal lebih berfokus dalam bidang keuanngan, dimana tujuan dari profesi tersebut
adalah memberikan opini untuk laporan keuangan perusahaan-perusahaan yang
menggunakan jasa mereka, apakah disajikan secara wajar atau tidak. Sedangkan
auditor internal sedikit banyak berbeda. Auditor internal merupakan bagian dari
sebuah perusahaan yang bekerja untuk perusahaan itu sendiri. Cakupan auditor
internal lebih luas daripada eksternal, tidak hanya keuangan, namun juga sistem
manajemen perusahaan. Auditor internal dibutuhkan untuk mengawasi, mengukur
dan mengevaluasi kinerja perusahaan, sehingga perusahaan dapat mencapai tujuan.
Adanya profesi auditor internal juga didorong oleh perlunya perusahaan memiliki
laporan keuangan yang andal. Untuk mencapai suatu keandalan tersebut, tentu
perusahaan harus memiliki sebuah sistem yang memadai secara internal. Oleh karena
itu, muncul auditor internal dengan tugas dan tujuan sedemikian rupa untuk kinerja
perusahaan yang efektif dan efisien.
V. Referensi