MAKALAH AUDIT MANAJEMEN DAN KINERJA

KELAS G

Disusun Oleh:

Kelompok 1

Maulidina Alyssa M. 12030115130166

Fahmi Mumtazah 12030115130185

Aulia Safaatun Nisa’ 12030115140204

Departemen Akuntansi

Fakultas Ekonomika dan Bisnis

Universitas Diponegoro

2018
I. Latar Belakang

Profesi auditor sudah tidak asing lagi dalam dunia bisnis. Profesi yang identik dengan
bidang akuntansi ini, secara luas, dikenal bertugas memeriksa laporan keuangan
perusahaan untuk memberikan opini nantinya, yang mana akan dijadikan barometer akan
reliabilitas dan validitas laporan keuangan tersebut. Dengan fungsi tersebut, maka tak
heran apabila profesi auditor sangat penting bagi keberlangsungan sebuah perusahaan.

II. Ruang Bahasan

Terdapat dua jenis dalam profesi auditor, yaitu auditor internal dan eksternal.
Kebanyakan orang hanya mengenal auditor eksternal, yang terkait dengan laporan
keuangan dan opini atas kewajarannya. Lantas, apakah yang membedakan auditor
internal dengan eksternal? Bagaimana perkembangannya? Mengapa posisi tersebut
dibutuhkan dalam perusahaan? Dan dengan dasar apakah auditor internal bekerja?

III. Pembahasan

A. Sejarah dan Tujuan Audit Internal

Auditor eksternal dikelola oleh lembaga independen yang jasanya dipakai untuk
perusahaan-perusahaan, untuk memeriksa performa perusahaan tersebut, terutama dalam
hal keuangan, namun bisa juga mencakup bidang lain. Sedangkan auditor internal
memiliki bidang yang lebih luas dan menarik. Auditor internal merupakan karyawan
dalam suatu perusahaan, yang secara independen, memeriksa dan menilai aktivitas
operasi perusahaan dalam berbagai area. Institute of Internal Auditors (IIA)
mendeskripsikan auditor internal sebagai,

Auditor internal adalah fungsi penilaian independen yang didirikan di dalam perusahaan
untuk menguji dan mengevaluasi aktivitas perusahaan tersebut sebagai bentuk jasa
terhadap perusahaan.

Auditor internal juga dapat disebut sebagai pengendali (control) dalam perusahaan,
dengan fungsi mengukur dan mengevaluasi efektivitas pengendalian lain. Ketika
perusahaan menetapkan rencana operasi dan merealisasikannya, tentu harus ada sistem
pengendalian untuk mengawasi proses tersebut. Auditor internal dapat membantu
mengukur dan mengevaluasi sistem pengendalian tersebut.

Auditor internal mulai dianggap penting pada tahun 1930an. Pada saat itu, U.S. Securities
and Exchange Commision (SEC) mewajibkan bahwa perusahaan yang teregistrasi harus
mengeluarkan laporan keuangan yang telah disertifikasi oleh auditor independen.
Ketetapan ini mendorong perusahaan untuk mendirikan departemen auditor internal.
Namun pada saat itu, tugas auditor internal hanya terbatas membantu fungsi akuntansi
saja.

Pada tahun 1942, dibentuk IIA beranggotakan para auditor internal untuk saling berbagi
pengalaman dan pengetahuan satu sama lain. Di era 1940an inilah, profesi auditor
internal mulai berkembang. Semakin rumitnya sistem operasi di perusahaan juga
menuntut auditor internal untuk menjadi lebih ahli lagi dalam berbagai bidang. Jika
awalnya profesi ini terbilang sempit, namun seiring berjalannya waktu, bisnis operasi
berkembang, dan auditor internal harus dapat mengikuti untuk menjalankan fungsinya.
Auditor internal memanfaatkan kesempatan tersebut dan memperluas bidang jasa mereka,
hingga lebih cenderung berorientasi pada manajemen.

IIA telah memutuskan bahwa auditor internal perlu memiliki pernyataan tujuan (mission
statement) yang mendukung profesinya, yaitu:

Untuk meningkatkan dan melindungi nilai perusahaan dengan memberikan jaminan

objektif yang berbasis risiko dan dapat diandalkan bagi pemangku kepentingan
(stakeholders), dalam bentuk saran dan wawasan.

B. CBOK Audit Internal

Para auditor internal seringkali menghadapi area-area dimana mereka diharuskan untuk
mengetahui bahkan menguasai agar dapat bekerja sesuai fungsi mereka. Hal ini yang
membuat mereka bertanya-tanya, “Apa sajakah yang perlu diketahui untuk menjadi
seorang auditor internal yang berpengalaman, terkualifikasi dan terhormat?” Karena
itulah, dibutuhkan CBOK atau Common Body of Knowledge untuk profesi auditor
internal.

CBOK untuk segala profesi, mendefinisikan tingkatan minimal kecakapan yang

dibutuhkan suatu profesi agar kinerjanya efektif.
Segala jenis CBOK yang telah dipublikasi tidak bisa berdiri sendiri. Contoh diatas
menggambarkan CBOK bagi auditor internal, yang melibatkan pengetahuan minimal
tentang manajemen dan area-area lain yang membutuhkan keterlibatan seorang auditor
internal.

Saat ini, auditor internal bergerak di berbagai macam bidang dalam segala jenis
perusahaan. Dibutuhkan suatu standar dalam profesi yang berlaku secara umum bagi
audit internal. IIA Research Foundation (IIARF) menerbitkan CBOK pada pertengahan
tahun 2007, setelah mengadakan survey dengan tujuan untuk menangkap dan
mendeskripsikan praktik kerja auditor internal profesional seluruh dunia, yang termasuk:

1. Pengetahuan dan skill yang dimiliki auditor

2. Skill dan tingkatan keorganisasian yang digunakan dalam praktik pekerjaan audit
internal
3. Tugas sebenarnya yang dikerjakan auditor internal
4. Struktur organisasi auditor internal
5. Jenis-jenis industri yang membutuhkan audit internal
6. Aturan di berbagai negara

Namun CBOK dari IIARF bukan bertujuan untuk menetapkan standar level tinggi dalam
kinerja audit internal, melainkan untuk memperluas pengetahuan tentang tugas dan
aktivitas terkini dari profesi audit internal maupun yang terkait. Meskipun disebut
CBOK, pendekatan IIARF adalah untuk men-survey apa yang dilakukan oleh auditor
internal pada saat itu. CBOK ini bukan merupakan panduan untuk audit internal, tetapi
mendeskripsikan berbagai aktivitas audit internal dan bagaimana praktiknya.

Jadi, apakah seorang auditor internal harus benar-benar menguasai secara detail bidang-
bidang yang diawasi? Jawaban “tidak” mungkin terasa kurang tepat, karena auditor
minimal harus tahu dan sadar akan berbagai bidang tersebut. Auditor internal minimal
memiliki pengetahuan umum mengenai bidang dimana mereka ditugaskan. Lambat laun
seiring berjalannya waktu pun, seorang auditor internal akan mendapatkan lebih banyak
lagi pengetahuan.

C. COSO Pengendalian Internal

Pengendalian internal adalah salah satu konsep paling penting dan fundamental yang
harus dimengerti oleh pelaku bisnis maupun auditor baik internal maupun eksternal. Para
pelaku bisnis membangun dan menggunakan pengendalian internal; auditor meninjau
area keuangan dan operasi perusahaan dengan tujuan mengevaluasi sistem pengendalian
internal yang ada.
Statement of Auditing Standards (SAS) yang dikeluarkan oleh American Institute of
Certified Public Accountant (AICPA) mendefinisikan pengendalian internal sebagai
berikut:

Pengendalian internal terdiri dari rencana suatu perusahaan dan seluruh metode-metode
dan ukuran yang selaras, diambil dengan sebuah bisnis untuk mengamankan asetnya,
memeriksa keakuratan dan keandalan data akuntansinya, mendorong efisiensi operasional
dan ketaatan terhadap kebijakan manajemen yang telah ditetapkan.

Pengertian atau definisi pengendalian internal terus berubah dan direvisi. Selama era
1970an, SEC dan AICPA beberapa kali merilis definisi yang sedikit berbeda dan firma-
firma audit eksternal mengeluarkan banyak interpretasi dukungan dan panduan.

Periode tahun 1974-1977 terjadi goncangan sosial dan politik di Amerika Serikat.
Beberapa pelanggaran terjadi, yang akhirnya menghasilkan dirilisnya Foreign Corrupt
Practices Act (FCPA) pada tahun 1977. FCPA melarang praktik suap dan mewajibkan
adanya buku, rekaman dan sistem pengendalian akuntansi internal. Hal ini sedikit banyak
berpengaruh terhadap audit internal dan eksternal. Setelah diberlakukan, FCPA membuat
perusahaan-perusahaan mendokumentasi prosedur pengendalian internalnya, termasuk
yang sebelumnya sama sekali tidak pernah melakukannya.

Tetapi, adanya FCPA pun tetap tak menjawab sebenarnya seperti apa pengendalian
internal yang baik. Bertahun-tahun terjadi banyak perubahan dan revisi, hingga
menghasilkan COSO, kerangka pengendalian internal yang akan dibahas selanjutnya.

Kerangka pengendalian internal Committee of Sponsoring Organization (COSO) bukan

merupakan suatu standar atau persyaratan yang detail, melainkan hanya sebuah kerangka
dengan garis besar praktik profesional untuk mendirikan sistem bisnis dan proses yang
membutuhkan pengendalian internal secara efektif dan efisien. Pemahaman akan COSO
pengendalian internal adalah persyaratan dalam CBOK auditor internal. Sejak peluncuran
kerangka COSO pada tahun 1992 lalu, banyak perubahan yang terjadi dalam dunia bisnis,
sehingga mau tak mau COSO pun harus direvisi untuk mengikuti perkembangan zaman.
Pertengahan tahun 2014 pun dikeluarkan kerangka COSO yang telah direvisi.

COSO yang diluncurkan pada tahun 1992 memuat definisi pengendalian internal sebagai
berikut:

Pengendalian internal adalah sebuah proses, dipengaruhi oleh dewan direksi, manajemen
atau personil lain suatu entitas, yang didesain untuk menyediakan jaminan pencapaian
tujuan dalam beberapa kategori:

a. Efektivitas dan efisiensi operasi.

b. Keandalan laporan keuangan.
c. Kepatuhan terhadap regulasi dan hukum yang berlaku.

Meskipun konsep dasar pengendalian internal COSO tidak berubah sejak diluncurkan,
lingkungan operasi bisnis dimana auditor internal bekerja telah banyak berubah, seperti
adanya jasa kontrak, struktur organisasi baru, hubungan internasional, kemudian
bertambahnya persyaratan yang tidak hanya berupa laporan tahunan, pencegahan
penipuan, penilaian risiko, perkembangan teknologi informasi dan keamanannya, juga
media social dan sistem nirkabel, semua harus tercantum dalam pengendalian internal.

Kerangka COSO yang baru dan panduan material dukungannya mencantum perubahan
pada beberapa area seperti meningkatkan ekspektasi akan kemungkinan adanya kelalaian,
globalisasi pasar dan operasi, kompleksitas yang meningkat dalam bisnis operasi, juga
hukum, regulasi dan standar, penggunaan teknologi yang berkembang, dan kebutuhan
untuk mewaspadai korupsi yang meningkat.

Tiga kategori dalam tujuan pengendalian internal terlihat dalam gambar, di bagian atas,
yaitu operasi, pelaporan dan kepatuhan. Sisi depan gambar merupakan lima komponen
atau elemen kunci pengendalian internal, yaitu lingkungan pengendalian, penilaian risiko,
aktivitas pengendalian internal, informasi dan komunikasi serta aktivitas pemantauan.
Area inilah yang paling banyak dirubah dalam revisi COSO. Di bagian kanan, struktur
organisasi perusahaan adalah dimensi ketiga terpenting dalam pengendalian internal.
Menambah elemen tiga dimensi tersebut, COSO memiliki satuan prinsip yang
mendukung 5 komponen pengendalian internal. Setelah direvisi, COSO menjabarkan 17
prinsip yang merepresentasikan konsep fundamental yang berhubungan dengan 5
komponen tersebut, agar manajemen mengerti apa yang membuat sebuah pengendalian
internal efektif. Bagi auditor internal, kuncinya adalah bagaimana mengaplikasikannya
dalam pekerjaan.

a. Lingkungan Pengendalian
 Peran dari Jajaran Direktur

Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan perusahaan

direktur dan komite auditnya, dengan prinsip "Pastikan dewan direksi tanggung jawab
pengawasan.” Pada tahun-tahun sebelum Sarbanes-Oxley Act (SOx), dewan dan
komite audit sering didominasi oleh manajemen senior di dalam direksi, seringkali
dengan keterbatasan perwakilan dari luar, anggota dewan menjadi minoritas. Situasi
ini tercipta dimana tidak sepenuhnya independen dari manajemen. Pelaku usaha
duduk di kantor dan pada dasarnya mengelola diri mereka sendiri, seringkali dengan
sedikit perhatian untuk pihak luar investor. SOx mengubah ini dan mengharuskan
komite audit benar-benar independen. Papan aktif dan independen merupakan
komponen penting dari lingkungan kontrol COSO.

Dengan menetapkan kebijakan tingkat tinggi dan dengan meninjau keseluruhan

perilaku perusahaan, dewan pengurus dan komite auditnya memiliki tanggung jawab
utama untuk menetapkan nada di atas. Dewan independen harus memiliki hubungan
dekat dengan manajemen senior memastikan operasi perusahaan yang efektif dan
sukses dengan lingkungan pengendalian internal yang kuat. Dewan direksi dan
komite audit harus mengidentifikasi dan memahami harapan pemangku kepentingan,
termasuk pelanggan, karyawan, investor, dan masyarakat umum, serta persyaratan
hukum dan peraturan perusahaan. Harapan ini harus membantu membentuk tujuan
perusahaan dan tanggung jawab pengawasan dari dewan. Kegiatan dewan direksi
berikut dapat membantu manajemen dalam menentukan apakah prinsip lingkungan
kontrol COSO ini hadir dan berfungsi.

Dewan direksi harus mengidentifikasi dan menerima tanggung jawab pengawasan

sehubungan dengan persyaratan hukum yang ditetapkan dan stakeholder, investor,
dan harapan masyarakat.

■ Terapkan keahlian yang relevan. Dewan direksi sebaiknya defi ne, maintain, dan
secara berkala mengevaluasi keterampilan dan keahlian yang dibutuhkan di antara
anggotanya untuk memungkinkannya mereka untuk mengajukan pertanyaan
menyelidik tentang manajemen senior dan bersikap sepadan tindakan.
 ■ Beroperasi secara independen. Dewan direksi harus memiliki anggota yang cukup
yang independen dari manajemen dan objektif dalam evaluasi mereka dan
pengambilan keputusan

■ Memberikan pengawasan terhadap sistem pengendalian internal. Jajaran direksi

harus mempertahankan tanggung jawab pengawasan untuk pengembangan dan
kinerja manajemen kontrol internal Dewan direksi harus meninjau dan menyetujui
kebijakan dan praktik yang mendukung kinerja pengendalian internal di seluruh
perusahaan dalam pertemuan rutin antara manajemen dan dewan direksi. Proses dan
struktur sangat relevan kepada komite audit dewan adalah mereka yang memberikan
pengawasan untuk sistem pengendalian internal, dan upaya bersama dewan pengurus
dan manajemen senior dapat menunjukkan bahwa prinsip lingkungan pengendalian
internal ini ada dan berfungsi.

 Kewenangan dan Kebutuhan Tanggung Jawab

Manajemen harus menetapkan, dengan pengawasan dewan, struktur, pelaporan yang

sesuai garis, dan wewenang dan tanggung jawab yang tepat dalam tujuan
pengendalian internalnya. Harus terdapat struktur organisasi untuk merencanakan,
melaksanakan, mengendalikan, dan secara berkala menilai kegiatan perusahaan
secara keseluruhan. Lingkungan kontrol ini bertujuan untuk menyediakan
akuntabilitas dan arus informasi yang jelas di dalam dan di seluruh perusahaan secara
keseluruhan dan semua subunitnya. Untuk menentukan bahwa prinsip pengendalian
internal perusahaan ini berfungsi, manajemen dan dewan direksi harus
mempertimbangkan beberapa operasi unit, badan hukum, lokasi geografis, dan
penyedia layanan alih daya di perusahaan untuk mendukung pencapaian tujuan
pengendalian internal ini. Dengan perusahaan internasional yang kompleks saat ini,
dengan beberapa kesepakatan antara unit operasi dan penyedia luar dapat menjadi
campuran yang kompleks, namun manajemen kemudian harus merancang dan
mengevaluasi garis pelaporan untuk setiap struktur entitas agar memungkinkan
pelaksanaan wewenang dan tanggung jawab dan arus informasi untuk mengelola
aktivitas entitas.

Banyak perusahaan dari semua jenis dan ukuran saat ini telah menyederhanakan
operasi mereka dan mendorong otoritas pengambilan keputusan mereka ke bawah
dan mendekati personil garis depan. Lingkungan kontrol yang kuat mengatakan
bahwa karyawan harus memiliki pengetahuan dan kekuatan untuk membuat
keputusan yang tepat di wilayah operasi mereka sendiri dan bukan diminta untuk
menyampaikan permintaan keputusan melalui saluran perusahaan senior. Tantangan
kritis yang menyertai delegasi atau pemberdayaan ini adalah meskipun demikian
mereka dapat mendelegasikan beberapa kewenangan untuk mencapai tujuan,
 manajemen senior akhirnya bertanggung jawab atas keputusan yang dibuat oleh
bawahan tersebut.

Perusahaan bisa tempatkan diri pada risiko jika terlalu banyak keputusan yang
melibatkan tujuan tingkat tinggi ditetapkan pada tingkat yang kurang tepat tanpa
tinjauan manajemen yang memadai. Selain itu, masing-masing orang di perusahaan
harus memiliki pemahaman yang baik tentang keseluruhan perusahaan tujuan serta
bagaimana tindakan individu saling terkait untuk mencapai tujuan tersebut.
Perusahaan manajemen harus menyadari bahwa komponen lingkungan pengendalian
ini Kerangka kerja COSO sangat dipengaruhi oleh sejauh mana individu
mengenalinya mereka akan dimintai pertanggungjawabannya.
Hal ini berlaku untuk semua anggota perusahaan, dari anggota staf sampai ke kepala
eksekutif, yang memiliki tanggung jawab tertinggi semua kegiatan dalam suatu
entitas, termasuk sistem pengendalian intern.

 Komitmen terhadap Tenaga Kerja yang Kompeten

Perusahaan harus menunjukkan komitmen untuk menarik, mengembangkan, dan

mempertahankan individu yang kompeten sesuai dengan tujuannya. Prinsip
lingkungan pengendalian COSO ini menyerukan kebijakan dan tindakan yang
memenuhi syarat para pemangku kepentingan untuk melaksanakan tanggung jawab
yang ditugaskan, dan memerlukan keahlian dan keahlian yang relevan, yang sebagian
besar diperoleh dari pengalaman profesional, pelatihan, dan sertifikasi. Komitmen
terhadap kompetensi dinyatakan dalam sikap dan perilaku individu dalam
melaksanakan tanggung jawab seseorang. Fungsi sumber daya manusia seringkali
dapat membantu menentukan tingkat kompetensi dan kepegawaian berdasarkan
peran pekerjaan, memfasilitasi pelatihan dan memelihara catatan penyelesaian serta
mengevaluasi relevansi dan kecukupan pengembangan profesional individu
sehubungan dengan kebutuhan perusahaan.

Prinsip COSO ini berjalan sedikit lebih kuat dalam masalah kompetensi individu
daripada fungsi sumber daya manusia perusahaan biasa, yang seringkali lebih
terbungkus dalam masalah keragaman daripada kekhawatiran dengan keterampilan
karyawan. Prinsip lingkungan pengendalian ini meminta perusahaan untuk
menentukan persyaratan kompetensinya sesuai kebutuhan untuk mendukung
tercapainya tujuan pengendalian internal, dengan pertimbangan yang diberikan
kepada: Pengetahuan, keterampilan, dan kebutuhan pengalaman Sifat dan tingkat
penilaian dan keterbatasan wewenang untuk diterapkan pada posisi tertentu Analisis
biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman Trade-off antara
tingkat pengawasan dan tingkat kompetensi yang dipersyaratkan dari masing-masing
 karyawan Topik yang tercantum mengangkat beberapa masalah sulit yang seringkali
tidak benar-benar dipertimbangkan oleh manajemen saat mengevaluasi karyawan
mereka. Lingkungan kontrol ditingkatkan bila kita hanya memiliki orang yang tepat
dalam pekerjaan yang tepat.

Prinsip ini selanjutnya mengatakan bahwa dewan direksi harus mengevaluasi

kompetensi CEO, dan pada gilirannya, manajemen harus mengevaluasi kompetensi
di seluruh perusahaan dan penyedia layanan alih daya sehubungan dengan kebijakan
dan prosedur yang ditetapkan serta bertindak seperlunya untuk menangani
kekurangan atau ekses Panduan COSO yang mendukung menggunakan contoh
bahwa portofolio risiko yang berubah dapat menyebabkan perusahaan mengalihkan
sumber daya ke area bisnis yang memerlukan perhatian lebih besar. Di sini, sebagai
sebuah perusahaan membawa produk baru ke pasar, perusahaan dapat memilih untuk
meningkatkan penempatan staf di tim penjualan dan pemasarannya, atau sebagai
peraturan baru yang berlaku dikeluarkan, mungkin perusahaan tersebut berfokus
pada orang-orang yang bertanggung jawab atas pelaksanaannya. Kekurangan
mungkin timbul berkaitan dengan tingkat kepegawaian, keterampilan, keahlian, atau
kombinasi dari faktor-faktor tersebut. Manajemen bertanggung jawab untuk
bertindak atas kekurangan tersebut pada waktu yang tepat. Kata kunci dalam prinsip
ini dan lainnya menunjukkan. Dalam semua kasus, manajemen harus mengambil
langkah-langkah untuk menerapkan prinsip kontrol. Hal ini penting bagi auditor
internal, yang sebagai bagian dari tinjauan mereka harus mencari apa yang telah
dilakukan unit perusahaan untuk menerapkan beberapa prinsip pengendalian internal.

 Memegang Orang-orang yang Bertanggungjawab

Manajemen dan dewan direksi harus menetapkan mekanisme untuk

mengkomunikasikan dan meminta pertanggungjawaban individu atas kinerja
tanggung jawab pengendalian internal di seluruh organisasi dan melaksanakan
tindakan perbaikan jika diperlukan. Sebagai bagian dari hal ini, mereka harus
menetapkan ukuran kinerja, insentif, dan penghargaan lainnya yang sesuai untuk
tanggung jawab di semua tingkat entitas, yang mencerminkan dimensi kinerja dan
standar perilaku dan kinerja yang diharapkan.

Secara khusus, dewan direksi pada akhirnya meminta CEO bertanggung jawab atas
pengendalian internal dalam pencapaian tujuan perusahaan, dan CEO dan
manajemen senior lainnya pada gilirannya bertanggung jawab untuk merancang,
melaksanakan, melakukan, dan mengevaluasi secara berkala apakah struktur,
wewenang, dan tanggung jawab menetapkan akuntabilitas pengendalian internal di
semua tingkat perusahaan. Akuntabilitas di sini mengacu pada tingkat kepemilikan
dan komitmen terhadap kinerja pengendalian internal dalam mengejar tujuan.
Manajemen dan dewan direksi harus menetapkan mekanisme untuk
mengkomunikasikan dan meminta pertanggungjawaban personil atas kinerjanya
 terhadap tanggung jawab pengendalian internal di seluruh perusahaan dan harus
melakukan tindakan perbaikan yang sesuai seperlunya.

Akuntabilitas untuk pengendalian internal saling terkait dengan kepemimpinan, dan

pesan kepemimpinan atasan yang terbaik serta pesan manajemen terkait di seluruh
perusahaan harus kuat di mana tanggung jawab pengendalian internal dipahami,
dilaksanakan, dan diperkuat. Namun, seperti yang disarankan oleh prinsip COSO ini,
orang harus dimintai pertanggungjawaban atas tindakan mereka. Terlalu sering hari
ini, kita menghadapi situasi di mana tidak ada yang ditunjuk untuk bertanggung
jawab. Manajer senior mungkin melihat masalah pengendalian internal, dan jika hal
itu relatif kecil dampaknya, mereka akan memutar mata mereka dan mengatakan
bahwa ini adalah masalah staf yang tidak berpengalaman dan tidak melakukan apa-
apa tentang hal itu. Demikian pula, personil tingkat staf dapat menyalahkan masalah
yang sama pada manajemen mereka namun tidak mengambil langkah untuk
menunjukkan kekhawatiran mereka kepada manajemen atau petisi untuk revisi atau
perubahan.

Prinsip pengendalian internal COSO ini menekankan bahwa manajemen dan semua
tingkat perusahaan harus membuat orang bertanggung jawab atas manajemen
pengendalian internal serta semua kekuatan dan kelemahan terkait. Ini adalah konsep
penting yang sering kita abaikan, dan prinsip pengendalian internal yang penting.

b. Penilaian (Asesmen) Risiko

 Menentukan Tujuan yang Tepat

Penilaian risiko, elemen kunci dalam kerangka pengendalian internal COSO,

didefinisikan di sini sebagai kemungkinan bahwa suatu peristiwa dapat terjadi yang
akan mempengaruhi pencapaian beberapa tujuan perusahaan secara negatif.
Pengelolaan risiko pengendalian internal mempengaruhi kemampuan perusahaan
untuk berhasil, bersaing secara efektif di industrinya, mempertahankan kekuatan
keuangan dan reputasi positifnya, dan menjaga kualitas keseluruhan produk, layanan,
dan orang-orangnya. Selalu ada beberapa risiko dalam aktivitas bisnis dan tidak ada
cara praktis untuk mengurangi semuanya.

Namun, manajemen harus menentukan berapa banyak risiko yang harus diterima
dengan hati-hati dan berusaha untuk mempertahankan risiko di dalam batas-batas ini,
memahami seberapa toleransi yang dimilikinya melebihi tingkat risiko targetnya.
Kita semua menghadapi berbagai risiko, beberapa kemungkinan secara teratur dan
lainnya tidak masuk akal. Yang terakhir ini merujuk pada peristiwa sekali dalam
seribu tahun seperti banjir besar atau gempa bumi. Ya, mereka mungkin terjadi pada
suatu waktu di masa depan, namun menetapkan tujuan dan praktik perbaikan
potensial seringkali tidak bernilai. Sebaliknya, manajemen dan juga audit internal
harus bertanya pada diri sendiri situasi potensial apa yang perlu dikhawatirkan dalam
 waktu yang relatif dekat. Ini bisa menjadi dasar untuk menetapkan satu set tujuan
risiko. Misalnya, produsen produk teknis mungkin memiliki tujuan untuk
meluncurkan produk baru, dengan menggunakan teknologi yang berkembang yang
mungkin menghadapi beberapa pesaing kuat di pasar dengan harga sangat
kompetitif, dan dengan beberapa ketidakpastian mengenai apakah pasar akan
menerima produk tersebut sebagai seperti yang diharapkan. Skenario jenis ini dapat
mengenalkan sejumlah besar risiko potensial dan harus diidentifikasi dan
didokumentasikan

 Mengidentifikasi dan Menganalisis Risiko

Manajemen perusahaan dengan dukungan audit internal harus berusaha untuk

mengidentifikasi semua kemungkinan risiko pengendalian internal yang mungkin
berdampak pada perusahaan, mulai dari risiko yang lebih besar atau lebih signifikan
hingga risiko utama yang kurang terkait dengan proyek individual atau unit bisnis
yang lebih kecil. Proses identifikasi risiko memerlukan pendekatan yang dipelajari
dan disengaja untuk melihat potensi risiko di setiap area operasi dan kemudian
mengidentifikasi area risiko yang lebih signifikan yang dapat mempengaruhi setiap
operasi dalam jangka waktu yang wajar. Idenya adalah tidak hanya mencantumkan
setiap risiko yang mungkin terjadi tetapi untuk mengidentifikasi hal-hal yang
mungkin berdampak pada operasi, dengan tingkat probabilitas tertentu, dalam jangka
waktu yang wajar. Ini bisa menjadi latihan yang sulit karena kita sering tidak
mengetahui probabilitas terjadinya risiko atau sifat konsekuensinya jika perusahaan
harus menghadapi resikonya.

Sementara fokus COSO adalah pada pelaporan keuangan eksternal, proses

identifikasi risiko harus dilakukan pada berbagai tingkatan dalam perusahaan. Risiko
yang mempengaruhi unit usaha atau proyek perorangan mungkin tidak berdampak
besar terhadap keseluruhan perusahaan atau lebih. Sebaliknya, risiko utama yang
mempengaruhi keseluruhan ekonomi akan mengalir ke perusahaan individual dan
unit bisnis yang terpisah.

Sementara mengidentifikasi dan menganalisa risiko harus merupakan proses

berulang yang terus berlanjut yang dilakukan untuk meningkatkan kemampuan
perusahaan untuk mencapai tujuannya, hal ini merupakan area penting yang harus
dipertimbangkan sebagai bagian dari perencanaan audit internal, sebagaimana
dibahas dalam Bab 8. Meskipun perusahaan mungkin tidak secara eksplisit
menyatakan semua tujuan terkait risiko, ini tidak berarti bahwa tujuan tersirat adalah
tanpa risiko internal atau eksternal, dan perusahaan harus mempertimbangkan semua
risiko yang mungkin terjadi.
Agar efektif, proses identifikasi risiko perusahaan harus didukung oleh berbagai
aktivitas, teknik, dan mekanisme, masing-masing relevan dengan penilaian risiko
secara keseluruhan. Manajemen harus mempertimbangkan risiko ini di semua tingkat
dan mengambil langkah-langkah yang diperlukan untuk mengelolanya. Penilaian
risiko harus mempertimbangkan faktor-faktor yang mempengaruhi tingkat
 keparahan, kecepatan, dan ketekunan risiko, kemungkinan hilangnya aset, dan
dampaknya terhadap kegiatan operasi, pelaporan, dan kepatuhan. Selain itu, audit
internal dan keseluruhan perusahaan perlu memahami toleransi perusahaan untuk
menerima risiko dan kemampuannya untuk beroperasi di dalam tingkat risiko
tersebut.

Prinsip identifikasi dan analisis risiko COSO meminta pertimbangan semua risiko di
dalam perusahaan, termasuk subunit dan fungsi operasionalnya, seperti keuangan,
sumber daya manusia, pemasaran, produksi, pembelian, dan manajemen TI. Selain
itu, proses ini harus mempertimbangkan risiko internal dan eksternal yang berasal
dari penyedia layanan outsource, pemasok utama, dan mitra saluran yang secara
langsung atau tidak langsung memengaruhi pencapaian tujuan perusahaan. Dalam
melakukan penilaian risiko ini, manajemen harus mempertimbangkan tingkat
perubahan dalam menentukan frekuensi proses penilaian risiko. Sementara penilaian
risiko adalah proses dinamis, perusahaan harus menggunakan kombinasi penilaian
risiko berkelanjutan dan periodik. Audit internal dapat memainkan peran penting di
sini baik dalam perencanaan audit internal berbasis risiko dan identifikasi
"berbasiskan senjata di darat" untuk area risiko potensial sebagai bagian dari audit
internal di lokasi lapangan.

 Mengevaluasi Risiko Penipuan

Seperti yang telah kita bahas di Bab 3, auditor internal di masa lalu memiliki
keterlibatan minimal dengan isu-isu terkait kecurangan, namun ini sangat banyak
berubah. Auditor internal sering berada dalam posisi yang sangat baik untuk
mengevaluasi risiko penipuan karena kegiatan peninjauan yang sedang berlangsung
di seluruh perusahaan. Proses deteksi dan pencegahan penipuan akan dibahas lebih
teliti di Bab 27, dan merupakan prinsip pengendalian internal COSO yang penting.
Penilaian risiko fraud adalah proses yang harus dilakukan perusahaan untuk
menentukan pemaparan terhadap kecurangan internal dan eksternal. Penilaian harus
meninjau operasi dan pengendalian, termasuk kebijakan dan prosedur, untuk
menentukan di mana kesenjangan ada yang memungkinkan seseorang atau
sekelompok orang melakukan kecurangan terhadap perusahaan tersebut. Penilaian
risiko penipuan kemudian harus melihat bidang utama perusahaan untuk menentukan
apakah tindakan telah dilakukan yang akan mengingatkan manajemen terhadap
kecurangan atau untuk secara efektif mencegah eksekusi kecurangan.

Setiap perusahaan memiliki tingkat risiko dan teknik mitigasi yang berbeda
tergantung pada industri mereka. Sebuah perusahaan manufaktur dengan persediaan
nilai unit tinggi memiliki risiko yang berbeda dari perusahaan teknologi perangkat
lunak dengan kekayaan intelektual yang berharga. Sebuah pendirian ritel dengan
toko memiliki serangkaian risiko yang berbeda dari perusahaan jasa profesional.
Setiap penilaian risiko perlu disesuaikan dengan organisasi dan risiko spesifik yang
dihadapinya. Gambar 4.3 menunjukkan proses penilaian risiko kecurangan umum ini.
Bukti 4.3 Penilaian Risiko Penipuan

Auditor internal mengalami banyak masalah kesadaran dan masalah kecurangan

potensial dalam perjalanan tinjauan terjadwal mereka yang sedang berjalan. Mereka
juga biasanya terlibat dalam ulasan tingkat transaksi yang jauh lebih rinci daripada
rekan audit eksternal mereka dan melihat dokumen atau transaksi yang lebih sering
dipertanyakan. Jika manajemen merasa mungkin ada kecurangan potensial di
perusahaan, langkah pertama hampir selalu menghubungi audit internal, yang juga
akan memiliki hubungan dan komunikasi dengan departemen hukum perusahaan.
Mereka dapat mendiskusikan potensi kekhawatiran di sana dan mendapatkan
pendapat singkat tentang apakah beberapa perhatian memerlukan lebih banyak
perhatian. Jika ada tanda kuat adanya kecurangan aktif, hukum perusahaan hampir
selalu siap untuk terjun ke masalah dan bantuan.

Standar IIA menekankan bahwa audit internal memiliki peran untuk dimainkan
terkait deteksi dan pencegahan kecurangan, namun tanggung jawab utama jatuh pada
manajemen. Meskipun ini terdengar sederhana dalam teori, masalahnya terletak pada
mengkomunikasikan pesan itu kepada manajemen. Evaluasi risiko kecurangan
merupakan prinsip pengendalian internal yang penting.

 Mengidentifikasi Perubahan yang Mempengaruhi Pengendalian Internal

Prinsip penilaian risiko bernilai kecil jika perusahaan berjalan melalui area yang luas
analisis untuk mengidentifikasi risiko tapi pada dasarnya tidak melakukan tindakan
untuk mengurangi risiko mengidentifikasi risiko. Ini benar-benar menuntut rencana
respons risiko dengan prinsip akhir untuk COSO pengendalian internal penilaian
risiko: Identifikasi dan analisis perubahan yang secara signifikan dapat
mempengaruhi pengendalian internal. Perusahaan harus mengembangkan strategi
manajemen risiko sebagai bagian dari manajemen risiko mereka proses. Strategi
manajemen risiko membahas bagaimana perusahaan bermaksud untuk melakukannya
menilai risiko yang teridentifikasi, merencanakan tanggapan, dan memantau
pengambilan risiko tersebut secara eksplisit dan transparan persepsi risiko bahwa
perusahaan secara rutin menggunakan dalam membuat kedua investasi dan
keputusan operasional. Identifikasi risiko dan strategi analisis merupakan bagian
penting manajemen risiko perusahaan. Strategi respon adalah komponen kunci dari
kontrol internal COSO. Sekali potensi risiko yang penting telah dinilai, manajemen
harus mempertimbangkan bagaimana risiko tersebut harus dikelola. Hal ini sering
melibatkan penilaian berdasarkan asumsi tentang risiko dan analisis yang masuk akal
dari biaya yang terkait dengan pengurangan tingkat risiko. Manajemen harus
mempertimbangkan untuk bertindak berdasarkan masing-masing dari empat risiko
dasar strategi respon yang dibahas di Bab 3: penghindaran, pengurangan, pembagian,
dan risiko penerimaan.

Manajemen harus mengembangkan strategi respons risiko umum untuk setiap

risikonya menggunakan pendekatan yang dibangun di sekitar salah satu dari empat
strategi umum ini. Dengan melakukannya, itu harus mempertimbangkan biaya versus
manfaat dari masing-masing respons risiko potensial agar sesuai mereka dengan
keseluruhan risk appetite perusahaan. Misalnya, pengakuan perusahaan bahwa
dampak dari suatu risiko yang diberikan relatif rendah akan seimbang terhadap yang
rendah toleransi risiko yang menunjukkan bahwa asuransi harus dibeli untuk
memberikan potensi respon risiko Untuk banyak risiko, tanggapan yang tepat sangat
jelas dan hampir secara universal dipahami. Operasi TI, misalnya, menghabiskan
waktu dan sumber daya buat kembali file data utamanya dan lakukan rencana
kesinambungan bisnis. Seharusnya ada Tidak ada pertanyaan mengenai pendekatan
dasar ini, namun berbagai tingkat manajemen mungkin Pertanyaan frekuensi proses
backup atau seberapa sering rencana kontinuitas kebutuhan untuk diuji.

Suatu perusahaan pada saat ini harus kembali ke beberapa tujuan risiko yang
dimilikinya telah ditetapkan serta rentang toleransi untuk tujuan tersebut. Maka
seharusnya readdress baik kemungkinan dan dampak yang terkait dengan masing-
masing diidentifikasi risiko dalam tujuan risiko tersebut untuk mengembangkan
penilaian terhadap kedua kategori risiko tersebut serta penilaian keseluruhan
terhadap respons risiko yang direncanakan dan bagaimana risikonya akan selaras
dengan toleransi risiko keseluruhan perusahaan. Pesan dasar di sini adalah bahwa a
perusahaan membutuhkan rencana respons risiko secara keseluruhan agar dapat
dikeluhkan dengan COSO-nya kerangka pengendalian internal.
c. Kegiatan Pengendalian
 Pilihan Kegiatan Pengendalian yang Menggunakan Risiko

Prinsip aktivitas pengendalian COSO yang penting ini menyatakan bahwa, sebagai
bagian dari keseluruhannya lingkungan pengendalian internal, perusahaan harus
memilih dan mengembangkan kegiatan pengendalian yang berkontribusi terhadap
mitigasi risiko pengendalian internal terhadap pencapaian tujuan mereka sampai
tingkat yang dapat diterima Kegiatan pengendalian meliputi tindakan yang
memastikan bahwa tanggapan terhadap risiko yang dinilai, serta arahan manajemen
lainnya - seperti membuat kode etik perusahaan-dilakukan dengan benar dan tepat
waktu cara. Karena setiap perusahaan memiliki seperangkat tujuan dan
implementasinya sendiri Pendekatan, akan selalu ada perbedaan dalam tujuan, risiko,
tanggapan, dan kegiatan pengendalian terkait. Setiap perusahaan dikelola oleh orang
yang berbeda Keterampilan yang berbeda yang menggunakan teknik masing-masing
dalam mempengaruhi pengendalian internal. Selain itu, kontrol mencerminkan
lingkungan dan industri di mana perusahaan beroperasi serta kompleksitas
organisasinya, sejarah, budaya, dan ruang lingkupnya operasi.

Faktor perusahaan-spesifik dapat mempengaruhi aktivitas pengendalian yang

diperlukan untuk mendukung strategi mereka sistem pengendalian internal:

■ Lingkungan dan kompleksitas perusahaan serta sifat dan ruang lingkupnya

operasi, baik secara fisik maupun logika, semuanya dapat mempengaruhi aktivitas
pengendalian perusahaan.

■ Perusahaan yang sangat diatur umumnya memiliki respons dan kontrol risiko yang
lebih kompleks kegiatan dari entitas yang kurang diatur.

■ Ruang lingkup dan sifat respon risiko dan aktivitas pengendalian untuk
multinasional perusahaan dengan beragam operasi umumnya menangani internal
yang lebih kompleks struktur kontrol daripada perusahaan domestik dengan aktivitas
yang kurang bervariasi.

■ Perusahaan dengan sistem perencanaan sumber daya perusahaan yang cukup

canggih, seperti dibahas lebih lanjut di bagian berikut, akan memiliki aktivitas
kontrol yang berbeda dari satu menggunakan sistem TI yang kurang canggih.

■ Perusahaan dengan operasi desentralisasi dan penekanan pada otonomi daerah dan
inovasi menghadirkan lingkungan kontrol yang berbeda dari yang lain operasinya
konstan dan sangat terpusat. Poin sebelumnya menyoroti masalah yang jelas
mengenai kontrol internal COSO kerangka. Saat membuat proses pengendalian
 internal, perusahaan selalu membutuhkan untuk memikirkan ukuran relatif dan
kompleksitas perusahaan. Satu ukuran tidak cocok untuk semua, dan manajemen
harus mempertimbangkan ukuran relatif perusahaan dan harus membuat akomodasi
kontrol internal berdasarkan ukuran relatif dan lingkungan operasi lainnya
pertimbangan. Pemilihan dan pengembangan kegiatan pengendalian perusahaan
yang kuat itu mengurangi risiko keseluruhan adalah prinsip pengendalian internal
COSO yang penting.

Untuk internal auditor, hal ini akan menghasilkan pengembangan dan pelaksanaan
audit internal yang efektif, seperti dibahas di Bab 8, serta kegiatan audit internal
lainnya ditemukan di tempat lain bab.

 Pemilihan dan Mengembangkan Pengendalian Teknologi

COSO menggunakan istilah teknologi dalam prinsip ini, dan bisa mencakup bidang
manufaktur robotika, instrumen pengujian farmasi, dan pengembangan berorientasi
konsumen produk video elektronik Semua produk teknologi ini dan lebih banyak lagi
melampaui apa yang biasanya kita sebut sistem TI, dan banyak masalah
pengendalian internal mereka dan isu-isu benar-benar berada di luar jangkauan
banyak auditor internal. Mengingat keterbatasan ruang, di sini, ketika COSO
mereferensikan kontrol teknologi, kami akan mereferensikan sistem TI aplikasi dan
kontrol umum.

Ada banyak jenis teknis, manajemen, dan tata kelola yang terkait. Kontrol TI
mencakup segala hal mulai dari kebijakan manajemen TI tingkat tinggi hingga
kontrol proses untuk aplikasi spesifik dan bahkan berjalan pada perangkat genggam.
Poin kami di sini adalah bahwa ada satu prinsip pengendalian internal COSO
berbicara tentang pentingnya kontrol TI, namun perusahaan memiliki tantangan
untuk melakukannya pilih dan kembangkan kontrol TI yang sesuai.

 Kebijakan dan Prosedur

Yang ketiga dari prinsip-prinsip kegiatan pengendalian COSO meminta perusahaan

untuk menerapkan kontrolnya kegiatan melalui kebijakan dan prosedur. Kebijakan
aktivitas pengendalian menentukan dan menetapkan apa yang diharapkan, dan
prosedur memasukkan kebijakan tersebut ke dalam tindakan. Sementara perusahaan
biasanya akan memiliki banyak kebijakan dan prosedur untuk mencapai tujuannya,
pengendaliannya kegiatan harus dimulai yang secara khusus berhubungan dengan
kebijakan dan prosedur tersebut dan berkontribusi terhadap mitigasi risiko untuk
pencapaian tujuan pada tingkat yang dapat diterima. Sebuah kebijakan harus lebih
dari sekadar CEO yang mengatakan bahwa dia biasanya ingin melakukannya sesuatu
atau mengambil tindakan tanpa rincian lebih spesifik c. Dalam melewati a proses
review dan persetujuan formal, perusahaan harus menerbitkan laporan yang
menguraikan niat manajemen untuk menerapkan beberapa kebijakan atau mengambil
tindakan. Sering dipublikasikan pada database layanan pelanggan, kebijakan yang
diterbitkan perusahaan harus memiliki yang berikut elemen:
■ Tujuan kebijakan. Harus ada pernyataan tingkat tinggi yang menguraikan maksud
atau tujuan kebijakan tingkat tinggi.
■ Lokasi dan penerapan. Harus ada definisi apakah kebijakan itu hanya berlaku
untuk beberapa unit atau bersifat global.
■ Peran dan tanggung jawab. Deskripsi harus mencakup semua orang yang terlibat
dalam kebijakan.

Ada banyak gaya dan format pernyataan kebijakan perusahaan, dan beberapa di
antaranya Kasus kebijakan bahkan dapat dikomunikasikan secara lisan asalkan pesan
pendukungnya dimengerti. Kebijakan yang tidak tertulis bisa efektif dimana saluran
komunikasi melibatkan lapisan manajemen yang terbatas dan interaksi yang erat
dengan pengawasan personil. Tapi apakah ditulis, atau tidak, harus ada tanggung
jawab individu yang jelas dan akuntabilitas dan dikerahkan dengan tekun dan
konsisten oleh personil yang kompeten. Sebuah prosedur tidak akan berguna jika
dilakukan dengan cara hafalan, tanpa tajam, terus fokus pada risiko kebijakan yang
diarahkan. Elemen kunci dari prinsip aktivitas pengendalian ini adalah bahwa
perusahaan harus menerapkannya kebijakan yang menetapkan prosedur yang
diharapkan dan relevan untuk mencerminkan kebijakan ini. Prinsip kegiatan
pengendalian ini menuntut langkah-langkah tindakan sebagai berikut:

■ Menetapkan kebijakan dan prosedur untuk mendukung penerapan manajemen

arahan Manajemen harus menetapkan kegiatan pengendalian yang dibangun ke
dalam proses bisnis dan aktivitas karyawan sehari-hari melalui penetapan kebijakan
apa yang diharapkan dan prosedur yang relevan yang menentukan tindakan
tersebut.
■ Menetapkan tanggung jawab dan akuntabilitas untuk melaksanakan kebijakan dan
prosedur. Manajemen harus menetapkan tanggung jawab dan akuntabilitas untuk
semua kegiatan pengendalian yang relevan dari perusahaan.
■ Lakukan dengan menggunakan personil yang kompeten. Proses seleksi dan
pelatihan harus dilakukan berada di tempat sedemikian rupa sehingga personil yang
kompeten ditugaskan untuk melakukan aktivitas pengendalian dengan ketekunan dan
focus
■ Lakukan pada waktu yang tepat. Personel yang bertanggung jawab harus
melakukan kontrol kegiatan yang tepat waktu sesuai dengan kebijakan dan prosedur
perusahaan.
■ Lakukan tindakan perbaikan bila sesuai. Personil yang bertanggung jawab harus
menyelidiki dan bertindak atas hal-hal yang diidentifikasi sebagai hasil pelaksanaan
kegiatan pengendalian.
■ Menilai ulang kebijakan dan prosedur. Manajemen harus ditinjau secara berkala
mengendalikan aktivitas untuk menentukan relevansinya yang berkelanjutan dan
harus menyegarkannya bila perlu.
d. Informasi dan Komunikasi
 Menggunakan Informasi yang Relevan dan Berkualitas

Suatu perusahaan harus memperoleh dan menggunakan informasi yang relevan dan
berkualitas untuk mendukung fungsi tersebut komponen kontrol internalnya.
Informasi diperlukan untuk perusahaan melaksanakan tanggung jawab pengendalian
internalnya dalam mendukung tercapainya tujuan. Informasi tentang tujuan
perusahaan harus dikumpulkan dari dewan direksi dan kegiatan manajemen senior
dan dirangkum sedemikian rupa sehingga manajemen lini dan yang lainnya dapat
memahami tujuan dan peran mereka dalam pencapaian mereka. Ini Masalah
komunikasi seringkali merupakan tipe masalah "Management 101", di mana kita
Harus selalu diingat bahwa informasi yang relevan merupakan komponen kunci
internal yang efektif kontrol. Manajemen senior, spesialis IT, auditor internal, dan
pihak lain, bekerja sebagai tim, harus melakukan survei masukan informasi
operasional dan manajemen masa lalu dan sumber output untuk mengidentifikasi dan
menetapkan persyaratan informasi yang lebih baik. Mendapatkan informasi yang
relevan, sebagaimana tercantum dalam materi panduan COSO, memerlukan
manajemen untuk mengidentifikasi dan menentukan persyaratan informasi pada
tingkat detail yang kuat dan kota yang spesifik. Mengidentifikasi kebutuhan
informasi adalah proses yang berulang dan berulang yang terjadi sepanjang kinerja
sistem pengendalian internal yang efektif. Persyaratan informasi ditetapkan melalui
kegiatan yang dilakukan dalam dukungan dari elemen atau komponen kontrol
internal lainnya.

Persyaratan ini memudahkan dan manajemen langsung dan personil lainnya untuk
mengidentifikasi sumber yang relevan dan dapat dipercaya informasi dan data yang
mendasarinya. Jumlah informasi dan data yang mendasarinya Tersedia untuk
manajemen mungkin sering lebih dari yang dibutuhkan karena meningkat sumber
informasi dan kemajuan dalam pengumpulan data, pengolahan, dan penyimpanan. Di
kasus lain, data mungkin sulit didapat di tingkat yang sesuai atau kota tertentu yang
sesuai. Oleh karena itu, pemahaman yang jelas tentang persyaratan informasi COSO
mengarahkan manajemen dan personil lainnya untuk mengidentifikasi sumber yang
relevan dan dapat diandalkan informasi dan data informasi dari Sumber yang
Relevan Dengan meningkatnya penggunaan video, suara, dan komunikasi melalui
Internet dan nirkabel sumber, selain laporan cetak yang lebih tradisional, informasi
internal dan eksternal diterima dari berbagai sumber dan dalam berbagai bentuk dan
format.

Dalam mengelola informasi dari sumber eksternal, manajemen harus

mempertimbangkannya mereka dalam hal cakupan kegiatan, aktivitas, dan data
potensial yang komprehensif sumber yang tersedia secara internal dan dari sumber
terpercaya, dan pilih yang paling banyak relevan dan berguna untuk struktur
organisasi saat ini, model bisnis, atau tujuan. Seiring perubahan pada perusahaan
terjadi, persyaratan informasinya juga berubah. Misalnya, perusahaan yang
beroperasi di lingkungan bisnis atau ekonomi yang sangat dinamis Mungkin
mengalami perubahan terus-menerus, seringkali disebabkan oleh aktivitas yang
sangat pesaing inovatif dan cepat bergerak yang mengubah harapan pelanggan.
Sebagai tambahan, jenis perusahaan ini mungkin menghadapi masalah peraturan
yang berkembang, isu globalisasi, dan tantangan dari inovasi teknologi. Dengan
demikian manajemen harus mengevaluasi ulang secara berkala persyaratan
informasinya dan menyesuaikan diri dengan sifat, luas, dan sumber informasi dan
data yang mendasari untuk memenuhi kebutuhannya yang sedang
berlangsung. Pengolahan Data melalui Sistem Informasi COSO menggunakan
sistem informasi frase dalam arti yang agak luas, artinya keduanya sistem teknologi
informasi (TI) dan keseluruhan proses terkait lainnya - keduanya manual dan
berbasis IT-untuk menangkap, menganalisis, menyimpan, dan mendistribusikan
semua jenis informasi bisnis Usaha mengembangkan sistem informasi ke sumber,
menangkap, dan memproses sejumlah besar data dari sumber internal dan eksternal
menjadi bermakna, informasi yang bisa ditindaklanjuti untuk memenuhi persyaratan
informasi yang ditetapkan. Informasi Sistem mencakup kombinasi antara orang,
proses, dan teknologi itu mendukung proses dasar atau fundamental bisnis yang
dikelola secara internal maupun mereka didukung melalui hubungan dengan
penyedia layanan outsource dan lainnya. Informasi bisa didapat melalui berbagai
bentuk, termasuk input manual atau kompilasi, atau melalui penggunaan proses TI
seperti pemrograman aplikasi antarmuka link otomatis Percakapan dengan
pelanggan, pemasok, regulator, dan karyawan juga merupakan sumber data dan
informasi penting yang diperlukan untuk mengidentifikasi dan menilai baik risiko
maupun peluang. Dalam beberapa kasus, informasi dan data yang mendasari
ditangkap membutuhkan spesifisitas. Dalam kasus lain, informasi dapat diperoleh
secara langsung dari sumber internal atau eksternal.

Volume informasi yang dapat diakses oleh suatu perusahaan menyajikan kedua
peluang tersebut dan risiko. Akses informasi yang lebih besar pada umumnya akan
meningkatkan kontrol internal. Itu peningkatan volume informasi dan data yang
mendasarinya, bagaimanapun, dapat menciptakan tambahan risiko seperti risiko
operasional yang disebabkan oleh inefisiensi karena kelebihan data, atau kepatuhan
risiko yang terkait dengan hukum dan peraturan seputar perlindungan data, retensi,
privasi, dan keamanan yang timbul dari sifat data yang disimpan oleh atau atas nama
perusahaan. Sifat dan luasnya kebutuhan informasi, kompleksitas dan volume
Informasi ini, dan ketergantungan pada pihak luar memengaruhi rentang kecanggihan
sistem informasi, termasuk tingkat penyebaran teknologi. Apapun dari tingkat
kecanggihan yang diadopsi, semua jenis sistem informasi mendukung end-to-end
pengolahan transaksi dan data yang memungkinkan perusahaan untuk
 mengumpulkan, menyimpan,dan meringkas kualitas dan informasi yang konsisten di
seluruh proses yang relevan, apakah manual, otomatis, atau kombinasi keduanya.

Sistem informasi yang dikembangkan dengan terintegrasi, memungkinkan proses

teknologi diaktifkan kesempatan bagi perusahaan untuk meningkatkan efisiensi,
kecepatan, dan aksesibilitas informasi kepada pengguna Selain itu, sistem informasi
semacam itu dapat meningkatkan internal kontrol atas risiko keamanan dan privasi
yang terkait dengan informasi yang diperoleh dan dihasilkan oleh perusahaan. Sistem
informasi harus dirancang dan diimplementasikan untuk membatasi akses terhadap
informasi hanya kepada mereka yang membutuhkannya dan untuk mengurangi
jumlahnya titik akses untuk meningkatkan efektivitas risiko migrasi yang terkait
dengan keamanan dan privasi informasi. Mencapai keseimbangan yang tepat antara
manfaat dan biaya untuk mendapatkan dan mengelola informasi dan sistem
pendukung merupakan pertimbangan utama dalam membangun sebuah sistem
informasi yang memenuhi kebutuhan perusahaan. Kontrol internal COSO ini prinsip
mengangkat pentingnya semua sistem informasi perusahaan - baik TI maupun proses
lainnya - dalam membangun pengendalian internal yang efektif. Manajemen
perusahaan harus memikirkan pentingnya sistem informasi tidak hanya dalam hal
Proses, seringkali terutama dikelola oleh fungsi atau departemen TI, namun di istilah
arus informasi perusahaan secara keseluruhan sebagai wahana peningkatan
perusahaan kontrol internal.

 Komunikasi Internal

Perusahaan harus secara internal mengkomunikasikan informasi pengendalian

internal, termasuk tujuan dan tanggung jawabnya, untuk mendukung berfungsinya
komponen lain dari kontrol internal Disahkan oleh manajemen senior, komunikasi
informasi ini harus disampaikan ke semua elemen di perusahaan dan meliputi:
■ Pentingnya, relevansi, dan manfaat pengendalian internal yang efektif
■ Peran dan tanggung jawab manajemen dan personil lainnya dalam melakukan
proses pengendalian internal tersebut
■ Harapan perusahaan untuk berkomunikasi atas, bawah, dan lintas hal signifikansi
yang berkaitan dengan pengendalian internal, termasuk contoh kelemahan,
kemunduran, atau ketidakpatuhan Suatu perusahaan harus menetapkan dan
menerapkan kebijakan dan prosedur yang memudahkan komunikasi internal yang
efektif Ini termasuk spesifik dan mengarahkan komunikasi itu alamat otoritas
individu, tanggung jawab, dan standar perilaku di seluruh perusahaan. Manajemen
senior harus mengkomunikasikan tujuan perusahaan dengan jelas sehingga
manajemen dan personil lainnya, termasuk orang - orang yang tidak bekerja sebagai
kontraktor, memahami peran masing-masing dalam organisasi. Komunikasi
semacam itu terjadi terlepas dari mana personil berada, tingkat kewenangannya, atau
kemampuan mereka tanggung jawab fungsional.
Komunikasi Pengendalian Internal
Komunikasi pengendalian internal dimulai dengan pengiriman dan komunikasi
tujuan. Sebagai manajemen kaskade komunikasi tujuan spesifik perusahaan. Di
seluruh organisasi, penting agar sub-tujuan atau spesifik yang terkait persyaratan
dikomunikasikan kepada personil dengan cara yang memungkinkan mereka untuk
mengerti bagaimana peran dan tanggung jawab mereka mempengaruhi pencapaian
perusahaan tujuan tingkat tinggi. Semua personil juga harus menerima pesan yang
jelas dari manajemen senior. Tanggung jawab pengendalian internal harus
diperhatikan secara serius. Melalui komunikasi dari tujuan dan sub-tujuan, personil
harus memahami bagaimana peran, tanggung jawab, dan tindakan berhubungan
dengan pekerjaan orang lain di perusahaan, tanggung jawab mereka pengendalian
internal, dan apa yang dianggap sebagai perilaku yang dapat diterima dan tidak dapat
diterima. Dengan membangun struktur kontrol, otoritas, dan tanggung jawab yang
tepat, komunikasi dengan personil atas harapan mereka untuk berlatih dan
menerapkan pengendalian internal yang efektif terpengaruh Namun, komunikasi
tentang tanggung jawab pengendalian internal mungkin tidak sesuai Anda cukup
yakin untuk memastikan bahwa manajemen dan personil lainnya menerima
pertanggungjawaban mereka tanggung jawab dan respon sebagaimana dimaksud.
Seringkali manajemen harus mengambil tindakan tepat waktu yang konsisten dengan
komunikasi semacam itu untuk memberlakukan pesan yang disampaikan.

Selain itu, informasi yang dibagikan melalui komunikasi internal membantu

manajemen dan personil lainnya untuk mengenali masalah atau masalah potensial,
menentukan penyebabnya, dan mengambil tindakan korektif. Misalnya, departemen
audit internal melakukan audit atas komisi yang dibayarkan kepada distributor dalam
satu internasional lokasi Jika audit ini mengungkapkan contoh pelaporan penjualan
yang tidak benar melalui yang pasti distributor dan penyelidikan lebih lanjut
menghadapkan pembayaran oleh distributor kepada perwakilan penjualan yang
bertanggung jawab atas distributor terkait, informasi ini akan diterbitkan oleh
departemen audit internal dalam sebuah laporan yang ditujukan ke dewan direksi dan
manajemen senior. Begitu temuan audit internal telah dikonfirmasi, kontrolnya
Kelemahan harus dibagi dengan manajemen penjualan di lokasi lain, memungkinkan
mereka untuk menganalisis informasi secara lebih kritis untuk menentukan apakah
isu tersebut lebih meresap dan mengambil tindakan yang diperlukan. Komunikasi
antara manajemen dan dewan direksi menyediakan board dengan informasi yang
dibutuhkan untuk melaksanakan tanggung jawab pengawasannya terhadap internal
kontrol. Informasi yang berkaitan dengan pengendalian internal yang
dikomunikasikan kepada dewan umumnya harus mencakup hal-hal penting tentang
kepatuhan terhadap, perubahan in, atau masalah yang timbul dari sistem
pengendalian internal. Frekuensi dan tingkat rincian komunikasi kepada manajemen
dan dewan direksi harus cukup untuk memungkinkan anggota dewan memahami
hasil pengelolaannya penilaian terpisah dan berkelanjutan dan dampak dari hasil
tersebut terhadap pencapaian tersebut tujuan. Selain itu, frekuensi dan tingkat
detailnya sudah mencukupi untuk memungkinkan dewan direksi merespons indikasi
pengendalian internal yang tidak efektif pada waktu yang tepat.
Komunikasi Internal di luar Saluran Normal

Agar informasi mengalir, turun, dan melintasi perusahaan, harus ada saluran terbuka
komunikasi dan kemauan yang jelas untuk dilaporkan dan didengarkan. Pengelolaan
dan personil lainnya harus percaya bahwa atasan mereka benar-benar ingin tahu
tentang internal masalah terkait kontrol dan mereka akan menangani mereka jika
diperlukan. Di sebagian besar kasus, garis pelaporan yang ditetapkan normal, seperti
bagan organisasi tradisional di Indonesia perusahaan adalah saluran komunikasi yang
sesuai. Namun, personel biasanya cepat mengambil sinyal jika manajemen tidak
punya waktu atau minat menghadapi masalah yang telah mereka temukan. Peracikan
masalah ini, yang tidak mau menerima Manajer mungkin yang terakhir mengetahui
bahwa saluran komunikasi normal tidak beroperasi atau tidak efektif Dalam beberapa
keadaan, jalur komunikasi terpisah diperlukan untuk dibangun mekanisme gagal-
aman untuk komunikasi anonim atau rahasia saat normal saluran tidak beroperasi
atau tidak efektif Beberapa perusahaan kecil telah menyediakan dan membuat
karyawan menyadari adanya saluran komunikasi semacam itu agar bisa diterima oleh
anggota dewan, atau anggota komite audit. Banyak perusahaan besar punya
menetapkan fungsi etika dan beberapa jenis fungsi hotline dimana personil di semua
tingkat dapat meminta perhatian mereka secara 24/7, dan melaporkannya,
mengajukan pertanyaan, atau bahkan bertindak sebagai whistleblower untuk
melaporkan beberapa masalah. Penulis ini memainkan peran penting dalam
meluncurkan fungsi etika dan menetapkan hotline etika untuk perusahaan A.S. utama
beberapa tahun yang lalu, dan sejumlah konsep ini dijelaskan dalam bukunya Kontrol
internal SOx.

Pemangku kepentingan perusahaan harus sepenuhnya memahami bagaimana saluran

komunikasi ini beroperasi dan bagaimana mereka akan dilindungi secara sadar untuk
penggunaannya. Kebijakan dan prosedur harus ada yang mengharuskan semua
komunikasi melalui saluran ini dinilai, diprioritaskan, dan diselidiki. Prosedur hemat
harus dilakukan untuk memastikan bahwa komunikasi yang diperlukan akan
dilakukan kepada anggota dewan yang ditunjuk, kepala audit internal, atau kepala
etika, jika ada fungsi seperti itu, siapa yang akan melakukannya bertanggung jawab
untuk memastikan bahwa penilaian, investigasi, dan penyelidikan tepat waktu dan
tepat waktu tindakan yang tepat dilakukan. Mekanisme terpisah ini mendorong
karyawan dan meminta pemangku kepentingan untuk melaporkan dugaan
pelanggaran kode etik perusahaan tanpa takut pembalasan, dan mengirim pesan yang
jelas bahwa manajemen senior berkomitmen untuk membuka saluran komunikasi
dan akan bertindak berdasarkan informasi yang ada melaporkan hal itu.

Metode Komunikasi
Kejelasan dan keefektifan informasi yang dikomunikasikan penting untuk dipastikan
bahwa pesan ini diterima sebagaimana mestinya. Bentuk komunikasi aktif seperti itu
Sebagai pertemuan tatap muka seringkali lebih efektif daripada bentuk pasif seperti
siaran e-mail atau posting Web. Evaluasi berkala terhadap efektivitas komunikasi
perusahaan Praktik membantu memastikan bahwa metode ini berhasil. Hal ini bisa
dilakukan Melalui berbagai proses yang ada, seperti evaluasi kinerja karyawan,
review manajemen tahunan, dan program umpan balik. Manajemen harus memilih
metode komunikasi yang tepat, mengambil alih Anggap audiens, sifat komunikasi,
ketepatan waktu, biaya, dan keamanan dan persyaratan privasi serta persyaratan
hukum atau peraturan. Bagan 4.6 menunjukkan contoh berbagai format komunikasi
yang berhubungan dengan kontrol internal. Tidak satu Ini tentu lebih baik dari yang
lain asalkan metode yang dipilih dengan tepat mengkomunikasikan pesan yang
diinginkan ke penerima yang dituju. Saat memilih metode atau format untuk
komunikasi, manajemen harus mempertimbangkannya lingkungan tempat pesan
dikirim. Misalnya, budaya, etnis, dan perbedaan generasi dapat mempengaruhi
bagaimana pesan diterima, dan metodenya Komunikasi harus disesuaikan
berdasarkan faktor-faktor tersebut. Apapun metodenya Dari komunikasi yang
digunakan, manajemen harus mempertimbangkan kebutuhan mereka untuk
menyampaikannya komunikasi ke pihak internal terutama pihak eksternal dimana
pesan berhubungan dengan kepatuhan terhadap hukum dan peraturan.

Mengingat potensi volume dan kemampuan untuk menyimpan dan mengambil

informasi tersebut, persyaratan komunikasi ini mungkin menantang ketika
manajemen bergantung pada massa e-mail yang terkait dengannya komunikasi
teknologi real-time. Prinsip - prinsip kegiatan pengendalian atas Retensi informasi
pengendalian internal harus mempertimbangkan tantangan kemajuan di tahun 2008
teknologi, termasuk teknologi komunikasi dan kolaborasi yang digunakan untuk
mendukungnya kontrol internal Komunikasi informasi yang berkaitan dengan
pengendalian internal saja mungkin tidak cukup untuk memastikan bahwa
manajemen dan personil lainnya menerima dan menanggapi sebagaimana dimaksud
Tindakan tepat waktu yang diambil oleh manajemen terkait Komunikasi semacam itu
memperkuat pesan yang disampaikan. Dengan selalu berubah Teknologi, manajemen
saat ini memiliki banyak pilihan pilihan mereka dalam memberikan yang efektif
pesan kepada semua personil terkait mengenai masalah pengendalian internal.
Namun, manajemen harus mempertimbangkan lingkungan dan penerima yang
dimaksud pesan, dan gunakan apa yang mereka anggap sebagai metode yang lebih
efektif penerima yang direncanakan.
 Komunikasi Eksternal

Prinsip COSO penting yang harus ditetapkan dan diterapkan perusahaan adalah
kebijakan dan prosedur yang memudahkan komunikasi eksternal yang efektif. Ini
termasuk mekanisme untuk mendapatkan atau menerima informasi dari pihak luar
dan untuk berbagi informasi tersebut secara internal, memungkinkan manajemen dan
personil lainnya untuk mengidentifikasi tren, kejadian, atau keadaan yang dapat
mempengaruhi pencapaian tujuan pengendalian internal mereka. Komunikasi
dengan pihak eksternal memungkinkan orang lain untuk segera memahami acara,
kegiatan, dan keadaan lain yang mungkin mempengaruhi bagaimana mereka
berinteraksi dengan perusahaan. Komunikasi manajemen ke pihak eksternal harus
mengirim pesan tentang pentingnya pengendalian internal di perusahaan dengan
menunjukkan jalur terbuka komunikasi. Komunikasi dengan pemasok eksternal dan
pelanggan sangat penting membangun lingkungan pengendalian yang tepat dan
untuk membantu pihak-pihak eksternal ini memahami nilai dan budaya perusahaan.
Mereka harus diberitahu tentang hal-hal seperti itu sebagai kode etik organisasi dan
mengenali tanggung jawab mereka dalam membantu pastikan kepatuhan terhadap
nilai ini dan nilai lainnya. Misalnya, manajemen boleh mendistribusikan kebijakan
dan praktik mereka untuk urusan bisnis dengan vendor setelah mendapat persetujuan
baru vendor dan mungkin meminta vendor untuk mengakui kepatuhannya sebelum
mendapat persetujuan dari pesanan pembelian awal dengan vendor. Masalah
kompleksitas komunikasi mungkin timbul antara perusahaan dan eksternal pihak
melalui penyedia layanan dan pengaturan outsourcing lainnya, usaha patungan dan
aliansi, dan transaksi lainnya yang menciptakan saling ketergantungan antara
keduanya pesta. Kompleksitas semacam itu dapat menimbulkan kekhawatiran
mengenai bagaimana bisnis dijalankan antara para pihak.

Dalam hal ini, perusahaan harus mempertimbangkan untuk membuat

terpisah saluran komunikasi yang tersedia bagi penyedia layanan eksternal yang
memungkinkan mereka untuk melakukan komunikasi langsung dengan manajemen
dan personil lainnya. Misalnya, pelanggan Produk yang dikembangkan melalui usaha
patungan dapat mengetahui bahwa salah satu sendi Mitra usaha menjual produk di
sebuah negara yang tidak disepakati di bawah joint pengaturan usaha Pelanggaran
semacam itu dapat mempengaruhi kemampuan pelanggan untuk menggunakan atau
menjual kembali produk, berdampak pada bisnis pelanggan. Perusahaan harus
memfasilitasi saluran di mana ia dapat mengkomunikasikan kekhawatiran orang lain
di perusahaan tanpa mengganggu operasi yang sedang berlangsung Serupa dengan
komunikasi internal, sarana yang harus dimiliki oleh manajemen
mengkomunikasikan secara eksternal dampak kemampuannya untuk memperoleh
informasi yang dibutuhkan dan juga pastikan bahwa pesan utama tentang perusahaan
diterima dan dipahami. Pengelolaan harus mempertimbangkan banyak bentuk dan
 metode komunikasi yang digunakan, ambil memperhitungkan penonton, sifat
komunikasi, ketepatan waktu, dan apapun persyaratan hukum atau peraturan.
Komunikasi informasi pengendalian internal dan data ke pihak eksternal merupakan
prinsip yang penting namun sering diabaikan.

e. Monitoring
 Pengendalian Internal Evaluasi

Kegiatan pemantauan menilai apakah tujuan pengendalian internal COSO ada dan
berfungsi. Perusahaan harus menggunakan proses evaluasi yang berkelanjutan dan
terpisah memastikan apakah prinsip pengendalian internal yang ditetapkan, baik di
seluruh perusahaan dan subunitnya, berlaku, sekarang, dan berfungsi. Pemantauan
merupakan faktor kunci dalam penilaian terhadap efektivitas pengendalian internal.
Suatu perusahaan, sering dengan dukungan audit internal, harus melakukan kegiatan
pemantauan pengendalian yang terus menerus dan mengidentifikasi dan
mengkomunikasikan defisiensi pengendalian internal yang diketahui dalam lingkaran
penuh proses pengendalian internal Idenya di sini adalah bahwa perusahaan harus
melalui masing-masing dari komponen kontrol COSO, dan saat siklus ini beralih ke
aktivitas pemantauan, mereka bertindak sebagai faktor peninjau atas semua
komponen pengendalian internal lainnya. Sebagai prinsip pengendalian kunci,
perusahaan harus memilih, mengembangkan, dan melakukan yang berkelanjutan dan
/ atau evaluasi terpisah untuk memantau atau memastikan apakah pengendalian
internalnya komponen hadir dan berfungsi. Pemantauan bisa dilakukan melalui
beberapa kombinasi evaluasi terpisah atau proses pemantauan berkelanjutan.

Sebuah independen, Audit internal satu kali atas beberapa area operasi atau
pengendalian internal adalah sebuah contoh dari kegiatan pemantauan terpisah. Audit
internal mungkin menjadwalkan review tunggal suatu area, berdasarkan penilaian
risiko mereka, dan kemudian dapat kembali meninjau daerah yang sama lagi,
berdasarkan defisiensi pengendalian internal yang ditemukan dalam tinjauan
pertama. Evaluasi terpisah harus dilakukan secara berkala oleh manajemen, audit
internal, atau pihak eksternal, diantara yang lain.

Proses pemantauan terus menerus serupa dengan proses audit internal yang
berkesinambungan dibahas di Bab 11. Mereka seperti lampu peringatan dalam
ukuran produksi perangkat yang hanya flash jika beberapa pengukuran berada di luar
batas. Evaluasi yang sedang berjalan umumnya operasi rutin dibangun ke dalam
proses bisnis dan dilakukan secara real-time, bereaksi terhadap perubahan kondisi.
Dimana evaluasi yang sedang berlangsung adalah Dibangun dalam proses bisnis,
komponen pengendalian internalnya biasanya terstruktur untuk memantau diri
mereka secara berkelanjutan.
 Kontrol yang tidak terpantau cenderung memburuk seiring berjalannya waktu, dan
perusahaan harus menerapkannya proses pemantauan untuk membantu memastikan
pengendalian internal terus beroperasi efektif. Saat pemantauan dirancang dan
dilaksanakan dengan tepat, perusahaan harus diuntungkan karena lebih mungkin
untuk:
■ Mengidentifikasi dan memperbaiki masalah pengendalian internal secara tepat
waktu
■ Menghasilkan informasi yang lebih akurat dan andal untuk digunakan dalam
pengambilan keputusan
■ Menyiapkan laporan keuangan yang akurat dan tepat waktu
■ Berada dalam posisi untuk memberikan kodifikasi atau pernyataan berkala
mengenai keefektifannya dari kontrol internal. Seiring waktu, pemantauan yang
efektif dapat menyebabkan efisiensi organisasi dan mengurangi biaya yang terkait
dengan pelaporan publik mengenai pengendalian internal, karena pemantauan terkait.
Masalah diidentifikasi dan ditangani secara proaktif daripada reaktif cara.

 Berkomunikasi Defisiensi Pengendalian Internal

Suatu perusahaan harus mengkomunikasikan defisiensi pengendalian internalnya
pada waktu yang tepat kepada semua pihak yang bertanggung jawab untuk
melakukan tindakan perbaikan, termasuk manajemen senior dan dewan direksi.
Perusahaan harus mengidentifikasi hal-hal yang berkaitan dengan pemantauan layak
mendapat perhatian yang mewakili baik potensi maupun kekurangan nyata dalam
beberapa aspek dari sistem kontrol internal perusahaan dan berpotensi menimbulkan
kerugian mempengaruhi kemampuan perusahaan untuk mencapai tujuannya. Selain
itu, perusahaan harus berusaha untuk mengidentifikasi peluang untuk meningkatkan
efisiensi pengendalian internalnya. Hasil evaluasi pemantauan yang sedang
berlangsung dan terpisah harus dinilai terhadap kriteria manajemen untuk
menentukan kepada siapa melaporkan dan apa yang akan dibahas, dan semua
defisiensi pengendalian internal yang teridentifikasi harus dikomunikasikan kepada
mereka anggota manajemen perusahaan dalam posisi untuk mengambil tindakan
perbaikan tepat waktu. Setelah beberapa defisiensi diidentifikasi dievaluasi,
manajemen harus menentukan itu Upaya remediasi dilakukan secara tepat
waktu. Defisiensi pengendalian internal, seperti yang diidentifikasi oleh audit
internal, seharusnya melaporkan kepada pihak yang bertanggung jawab atas tindakan
perbaikan dan setidaknya satu tingkat manajemen atas. Tindakan ini dibahas dalam
Bab 18 tentang pelaporan hasil audit internal Dimana temuan melintasi batas-batas
organisasi, defi - harus dilaporkan ke semua pihak terkait dan tingkat yang cukup
tinggi untuk dikendarai tindakan yang tepat. Artinya, defisiensi yang berkaitan
dengan dewan direksi dimana dewan direksi tidak independen sejauh diperlukan atau
di mana dewan tidak memberikan cukup pengawasan harus dilaporkan sebagaimana
ditentukan oleh protokol pelaporan yang ditetapkan secara lengkap papan, ketua
dewan, dan komite pelaporan dewan yang sesuai.
 Proses untuk melaporkan defisiensi pengendalian internal merupakan komponen
kunci untuk memastikan hal tersebut perusahaan memiliki kontrol internal yang
efektif. Manajemen perlu merancang, mengembangkan, dan Meluncurkan proses
pengendalian internal yang efektif, namun perlu ada beberapa bentuk pemantauan
proses di tempat untuk memberikan jaminan bahwa kontrol internal berada di
tempat. Ke 17 prinsip pengendalian internal COSO tidak termasuk dalam kerangka
awal namun sekarang merupakan panduan penting untuk membantu manajemen dan
fokus audit internal pada panduan pengendalian internal yang terdapat dalam
framework COSO tiga dimensi. Kita akan berkonsentrasi pada prinsip-prinsip ini di
berbagai bab ke depan, dan a Pengetahuan umum tentang 17 prinsip pengendalian
internal COSO ini harus menjadi bagian dari setiap kegiatan operasional CBOK
auditor internal.

D. SOx

Undang-undang Sarbanes-Oxley (SOx) adalah undang-undang A.S. yang diberlakukan

pada tahun 2002 untuk memperbaiki standar proses audit laporan keuangan. Undang-
undang ini memiliki dampak dampak besar pada bisnis pertama di Amerika Serikat dan
sekarang di seluruh dunia. Audit baru SOx dan peraturan pengendalian internal telah
banyak mengubah banyak praktik auditor eksternal, SOx juga memiliki dampak besar
pada auditor internal. Terdapat dua bagian yang menjadi focus yaitu pada Bagian 404 dan
Bagian 302. Elemen kunci SOx yaitu :

1. Judul 1 : Badan Pengawas Akuntansi Perusahaan Publik

Badan ini mendefinisikan praktik audit untuk auditor eksternal dan mengubah bagaimana
auditor internal mengkoordinasikan pekerjaan mereka dengan auditor eksternal serta
mengeluarkan peraturan untuk mendukung undang-undang dasar SOx. PCAOB dikelola
melalui dewan lima anggota yang ditunjuk oleh SEC dengan tiga anggota diharuskan
menjadi anggota publik non-CPA. Sesuai bagian 103, PCAOB memiliki otoritas untuk
menetapkan standar pengesahan, pengendalian mutu, dan etika. Pada setiap tahunnya
PCAOB melakukan inspeksi perusahaan perkantoran untuk menilai kepatuhan terhadap
peraturan SOx dan standar professional.
2. Judul II : Independensi Auditor
Auditor internal dan eksternal merupakan sumber daya yang terpisah dan independen,
dengan auditor eksternal bertanggung jawab untuk menilai kewajaran laporan keuangan
perusahaan yang dipublikasikan dan auditor internal yang melayani manajemen di
berbagai wilayah lainnya. Judul ini menjelaskan batasan pada layanan auditor eksternal
bahwa perusahaan akuntan publik terdaftar untuk melakukan layanan audit dan nonaudit
secara bersamaan. Hubungan mitra selama lebih dari lima tahun dianggap sebagai
pelanggaran hukum sehingga harus melakukan rotasi auditor eksternal. Bagian 206,
melarang auditor eksternal untuk memberikan layanan audit kepada firma di mana chief
 executive officer (CEO), chief financial officer (CFO), atau chief accounting officer
berpartisipasi sebagai anggota dari perusahaan audit eksternal pada audit yang sama.
3. Judul III : Tanggung Jawab Perusahaan
Auditor internal harus memiliki tingkat kepentingan dan peran yang lebih tinggi. Semua
perusahaan yang terdaftar harus memiliki komite audit yang hanya terdiri dari direksi
independen. Perusahaan audit eksternal melapor langsung kepada komite audit tersebut,
yang bertanggung jawab atas kompensasi perusahaan, pengawasan terhadap pekerjaan
audit, dan resolusi dari setiap ketidaksetujuan audit.
4. Judul IV : Pengungkapan Keuangan yang Disempurnakan
Judul IV SOX dirancang untuk memperbaiki beberapa masalah pengungkapan pelaporan
keuangan, untuk memperketat peraturan benturan kepentingan bagi pejabat perusahaan
dan direktur, untuk mengamanatkan penilaian manajemen terhadap pengendalian internal,
untuk meminta kode etik perwira senior, dan hal-hal lain.
5. Judul lain yang diwajibkan pengungkapan
Semua entitas SEC-terdaftar diwajibkan untuk membentuk 10k laporan tahunan serta
laporan keuangan SEC lainnya. Perusahaan menerbitkan laporan yang berisi antisipasi
tinjauan SEC secara rinci, siding pimpinan untuk Sox, bagaimanapun menungkapkan
bahwa tinjauan SEC tidak selalu tepat waktu atau komperehensif.
6. Judul V: Analisis Konflik Kepentingan
Judul V dirancang untuk memperbaiki bebrapa pelanggaran efek analis. Investor telah
mengandalkan rekomendasi dari analis sekuritas selama bertahun-tahun, namun sering
para analis menyerah pada broker besar, dan menganalisis dan merekomendasikan efek
kepada kalangan investor dan pengusaha lembaga keuangan mereka. Title V adalah
upaya untuk memperbaiki pelanggaran analis. Sox telah direformasi dan diatur berdasar
praktek-prakter analis sekuritas. Aturan perilaku telah membentuk hukuman terhadap
pelanggaran dan hasilnya investor haruslebih informat.
7. Judul VI sampai X: Akuntabilitas Penipuan dan Kejahatan Kerah Putih
Judul SOx ini mencakup isu-isu mulai dari pendanaan alokasi SEC sampai rencana untuk
studi masa depan, dan ini termasuk peraturan baru untuk memperketat apa yang telah
terjadi dipandang sebagai celah peraturan masa lalu. Di antaranya, SEC sekarang bisa
melarang orang dari mempromosikan atau memperdagangkan saham penny karena
kesalahan SEC yang lalu atau dapat melakukan bar seseorang dari berlatih sebelum SEC
karena perilaku profesional yang tidak semestinya. Aturan yang terakhir memberi SEC
wewenang untuk secara efektif melarang sebuah firma akuntan publik dari bertindak
sebagai auditor eksternal untuk korporasi. Larangan pelanggaran profesional SEC ini bisa
menjadi hukuman besar bagi publik manapun kantor akuntan atau CPA individu yang
ternyata telah melanggar profesional atau standar akuntansi publik yang etis. Meski SOX
menguraikan proses dengar pendapat sebelum tindakan diambil, CPA individual atau
keseluruhan perusahaan dapat dilarang untuk sementara atau selamanya. Judul SOx VIII
dan IX nampaknya sangat bereaksi terhadap kegagalan Enron dan kematian Arthur
 Andersen berikutnya. Kami telah menyoroti beberapa acara sekitar keruntuhan Enron,
termasuk keyakinan awal Arthur Andersen untuk penghancuran catatan akuntansi Enron.
Saat itu, meski Andersen tampak sangat bersalah karena usahanya yang besar untuk
memecahkan rekor akuntansi perusahaan, Andersen awalnya berpendapat bahwa itu
hanya mengikuti prosedur yang telah ditetapkan dan tidak ada salahnya Pengadilan
akhirnya menemukan Andersen bersalah melakukan kejahatan konspirasi, tapi
perusahaan sudah tidak ada lagi. Judul VIII dari SOx telah menjadi spesifik peraturan dan
hukuman atas penghancuran catatan audit perusahaan.

Kata-kata dalam undang-undang berlaku untuk semua auditor dan akuntan, termasuk
auditor internal. Mereka sangat kuat mengenai penghancuran, perubahan, atau pemalsuan
catatan yang terlibat dalam penyelidikan federal atau kebangkrutan: "Siapa pun dengan
sadar mengubah, menghancurkan, memutilasi, menyembunyikan, menutupi, memalsukan
atau membuat kesalahan masuk dalam rekaman, dokumen, atau benda berwujud dengan
maksud untuk menghalangi, ob-struct, atau mempengaruhi penyelidikan ... harus didenda
... atau dipenjara tidak lebih dari 20 tahun, atau keduanya. "Kata-kata kuat diambil
langsung dari undang-undang! Dengan kata lain, setiap perusahaan harus memiliki
kebijakan penyimpanan catatan yang kuat. Sementara catatan bisa jadi hancur dalam
siklus bisnis normal, ada petunjuk penyelidikan federal atau pengajuan surat
kebangkrutan untuk beberapa unit afiliasi harus memicu aktivasi dari kebijakan retensi
catatan itu.
8. Judul XI: Akuntabilitas Penipuan Perusahaan

SOx terakhir meliputi tanggung jawab perusahaan untuk penipuan laporan keuangan.
Title ini ditetapkan untuk memperbaiki pelanggaran yang dilaporkan dimana beberapa
perusahaan sedang diselidiki untuk penipuan keuangan tersebut secara bersamaan
mengeluarkan pembayaran kas besar untuk individu.

Melakukan Bagian 404 Tinjauan di bawah AS 5

Pada section 404, perusahaan bertanggungjawab untuk melakukan review, mendokumentasi, dan
menguji pengendalian internalnya. Awal pertengahan 2007, section 404 ini diubah menjadi AS
5, yang merupakan pendekatan auditlebih berisiko yang lebih baik penggunaannya oleh internal
auditor dalam melakukan penilaian.

(a) Bagian 404 Penilaian Pengendalian Internal Hari Ini

Manajemen memiliki tanggungjawab untuk merancang dan mengimplementasikan pengendalian

internal dalam operasi perusahaan. Section 404 mensayaratkan persiapan laporan pengendalian
internal tahunan sebagai bagian dari mandate SEC 10k laporan tahunan perusahaan.
(b) Meluncurkan Kajian Kepatuhan Bagian 404
(i) Kunci mengidentifikasi proses
Setiap perusahaan menggunakan serangkaian proses untuk menjalankan kegiatan usahanya
secara normal. Beberapa mungkin diwakili oleh sistem teknologi otomatis atau teknologi
informasi (TI), yang lain terutama prosedur manual yang dilakukan secara reguler, sementara
yang lain adalah kombinasi otomatis dan manual.
Proses ini umumnya dipertimbangkan dalam hal siklus akuntansi dasar , meliputi:
 Siklus pendapatan Proses yang berhubungan dengan penjualan atau pendapatan lainnya
ke perusahaan.
 Siklus pengeluaran langsung Meliputi pengeluaran biaya produksi material atau
langsung.
 Siklus pengeluaran tidak langsung Meliputi biaya operasional yang tidak bisa langsung
terkait dengan kegiatan produksi namun diperlukan untuk keseluruhan operasi bisnis.
 Siklus penggajian Meliputi semua kompensasi personil.
 Siklus persediaan Meski persediaan akhirnya akan diterapkan pada produksi Sebagai
pengeluaran langsung, dibutuhkan proses khusus karena berbasis waktu memegang sifat
persediaan sampai diterapkan pada produksi.
 Siklus aktiva tetap Properti dan peralatan memerlukan akuntansi terpisah pro- cesses,
seperti akuntansi penyusutan periodik dari waktu ke waktu.
 Siklus TI Umum Meliputi kontrol TI yang bersifat umum atau berlaku untuk semua TI
operasi.
(ii) Peran audit internal
Aturan pengendalian internal dalam section yaitu antara lain auditor internal dapat
bertindak sebagai konsultan internal dalam perusahaan untuk mengidentifikasi
dokumentasi, mereka dapat mereview dan menguji proses pengendalian internal, serta
dapat membantu sumberdaya perusahaan baik internal maupun eksternal namun tidak
langsung terlibat melakukan review.
(iii) Memasang proyek
Usaha yang diperlukan untuk pendaftar baru didasarkan pada kekuatan dan
kecanggihan dari pemrosesan pengendalian internal suatu perusahaan dan harus
mengikuti delapan langkah:
Langkah 1: mengatur pendekatan proyek seksi kepatuhan 404
Menetapkan satu tim proyek untuk memimpin usaha. Seorang eksekutif senior,
seperti CFO harus bertindak sebagai pendukung proyek dengan tim dari kedua
sumberdaya internal eksternal untuk berpartisipasi dalam usaha
Langkah 2: mengembangkan rencana proyek
Pengendalian internal kepatuhan proyek seharusnya baik dalam proses sebelum akhir
tahun keuangan. Rencana tersebut harus focus pada bidang yang signifikan dari
operasi perusahaan dan mencakup semua unit bisnis yang signifikan.
 Langkah 3: memilih kunci proses untuk tinjauan
Audit internal dapat membantu dalam mengembangkan prosedur terdokumentasi
untuk membenarkan mengapa satu proses yang lebih layak atau signifikan untuk
ditinjau rinci dibandingkan dengan yang lain. Namun, perusahaan harus
mengembangkan beberapa risiko berdasarkan kriteria mengapa beberapa proses
belum dipilih untuk ditinjau. Pendekatan tersebut kemudian harus diterapkan secara
konsisten.
Langkah 4: dokumen yang dipilih untuk memproses arus transaksi
menyiapkan dokumentasi arus transaksi untuk proses kunci yang dipilih. Perusahaan
harus menetapkan prosedur untuk memastikan bahwa dokumentasi terbaharui atas
semua perubahan system sebelumnya jika dokumen diperlukan. Dokumentasi dapat
dilakukan secara deskripsi verbal, tetapi biasanya lebih baik bila menggunakan
beberapa jenis teknik flowchart.
Langkah 5: menilai risiko proses yang dipilih
Idenya adalah untuk bertanya tentang risiko potensial disekitar setiap proses review.
Tim review Sox harus melalui setiap proses yang dipilih dan menyorot potensi risiko
menggunakan pernyataan terbuka dan kemudian focus pada control pendukung yang
diharapkan.
Langkah 6: menilai efektifitas control melalui prosedur uji yang sesuai
System control memiliki nilai kecil jika mereka tidak bekerja secara efektif.
Wawancara dan persiapan dokumentasi proses kadang bisa menetukan apakah control
yang tepat tidak pada tempatnya atau tidak efektif. Kesimpulannya dari penilaian
harus di dokumentasikan dan didiskusikan dengan pemilik proses, dan rencana harus
dikembangkan untuk mengambil tindakan korektif untuk meningkatkan control.
Langkah 7: tinjauhan hasil kepatuhan atas stakeholder kunci. Tim proyek harus
meninjau kemajuan manajer senior, menyoroti tinjauan pendekatan dan tindakan
perbaikan jangka pendek yang diprakarsai. Koordinasi dengan para pemangku
kepentingan kunci adalah penting disini.
Langkah 8: melengkapi laporan mengenai efektivitas struktur pengendalian internal
Laporan ini, bersama dengan kerja pembuktian auditor eksternal, akan diajukan ke
SEC sebagai bagian dari laporan tahunan 10k perusahaan. Semua pekerjaan harus
didokumentasikan mirip dengan kertas kerja audit internal.

Aturan dan audit internal AS 5

AS 5 benar-benar merupakan seperangkat standar bagi auditor eksternal yang mengkaji dan
mengesahkan laporan keuangan yang diterbitkan, peraturan baru ini juga penting bagi auditor
internal dan manajer keuangan. AS 5 memperkenalkan peraturan berbasis risiko dengan
penekanan pada efektivitas kontrol tingkat perusahaan yang lebih berorientasi untuk fakta dan
keadaan perusahaan. Selain itu, standar auditing panggilan untuk auditor eksternal untuk
mempertimbangkan termasuk kajian sesuai dengan laporan audit internal di review audit laporan
keuangan mereka. AS 5 memungkinkan auditor eksternal untuk lebih menekankan pada
kemampuan manajemen untuk membangun dan mendokumentasikan kunci pengendalian
internal. Auditor keuangan internal managemen perlu memahami risiko dan aturan baru
berdasarkan scalable untuk audit keuangan perusahan mereka.
1. Focus Audit pengendalian internal pada hal yang paling penting
AS 5 panggilan pada auditor eksternal untuk memfokuskan tinjauan mereka pada area
yang menyajikan risiko terbesar bahwa pengendalian internal akan gagal mencegah atau
mendeteksi salah saji material di laporan keuangan. Pendekatan ini meminta auditor
eksternal untuk fokus mengidentifikasi kelemahan material dalam pengendalian internal
dalam audit mereka, sebelum mereka mengakibatkan salah saji material atas laporan
keuangan. AS 5 juga menekankan pentingnya mengaudit daerah berisiko tinggi, seperti
laporan keuangan Proses dan kontrol penutupan akhir periode yang dirancang untuk
mencegah kecurangan pengelolaan. Pada saat yang sama, standar baru tersebut
memberikan auditor eksternal a berbagai alternatif untuk mengatasi area berisiko rendah,
seperti dengan lebih jelas menunjukkan bagaimana mengkalibrasi sifat, waktu, dan
tingkat pengujian berdasarkan risiko, serta bagaimana menggabungkan pengetahuan yang
terkumpul di tahun-tahun sebelumnya ' audit terhadap penilaian risiko auditor. Juga dan
sangat penting bagi internal Auditor CBOK, AS 5 juga mengizinkan auditor eksternal
untuk menggunakan pekerjaan yang dilakukan oleh auditor internal perusahaan atau staf
keuangan, bila sesuai.
2. Menghilangkan prosedur audit yang diperlukan untuk mencapai manfaat yang
dimaksudkan
AS 5 tidak memasukkan persyaratan rinci standar AS 2 sebelumnya untuk mengevaluasi
proses evaluasi manajemen sendiri dan mengklarifikasi bahwa audit pengendalian
internal tidak memerlukan pendapat mengenai kecukupan proses manajemen Sebagai
contoh, AS 5 berfokus pada dimensi multilokasi risiko di perusahaan dan mengurangi
persyaratan bahwa auditor eksternal harus menguji "sebagian besar" operasi perusahaan
atau posisi keuangan. Ini harus mengurangi pekerjaan audit keuangan.
3. Membuat audit jelas scalable agar sesuai dengan ukuran dan kompleksitas perubahan
apapun
Untuk memberikan panduan untuk audit perusahaan yang lebih kecil dan kurang
kompleks, AS 5 meminta penyesuaian audit pengendalian internal agar sesuai dengan
ukuran dan kompleksitas perusahaan yang diaudit. Standar ini memiliki panduan
bagaimana menerapkan prinsip AS 5 kepada perusahaan yang lebih kecil dan kurang
kompleks serta untuk unit usaha kecil yang kurang kompleks
4. Sederhanakan teks standar
AS 5 yang baru lebih pendek dan mudah dibaca daripada pendahulunya AS 2, sebagian
karena standarnya telah disederhanakan. Ini juga telah direorganisasi untuk memulai
audit itu sendiri, dengan definisi dan informasi latar belakang lainnya yang disajikan
 hanya sebagai lampiran. Sebagai contoh, AS 5 menghilangkan pembahasan standar
material AS 2 sebelumnya tentang materialitas, menekankan bahwa evaluasi materialitas
auditor didasarkan pada prinsip-prinsip lama yang berlaku yang berlaku untuk audit
laporan keuangan

Dampak Tindakan Sarbanes-Oxley

Bagian sebelumnya telah memberikan gambaran umum tentang SOx. Meskipun diskusi ini tidak
mencakup semua bagian atau rincian undang-undang, maksud kami adalah untuk memberikan
pemahaman menyeluruh kepada auditor internal mengenai bagian-bagian kunci yang akan
berdampak pada audit tahunan audit terhadap perusahaan dan komite auditnya. Entah perusahaan
besar yang berbasis di Fortune 100, perusahaan kecil yang bahkan tidak diperdagangkan di
NASDAQ, atau perusahaan swasta yang menerbitkan obligasi yang terdaftar melalui SEC,
semua akan sekarang atau segera berada di bawah SOx dan badan pengatur akuntansi publiknya,
PCAOB . Auditor internal akan melihat perubahan ini dalam hubungan mereka dengan eksternal
auditor.

SOx telah menyebabkan banyak perubahan pada perusahaan, baik di Amerika Serikat maupun di
seluruh dunia. Peran dan tanggung jawab auditor eksternal dan internal telah berubah, dan
perusahaan tentu saja melihat pengendalian internal dan etika bisnis dari perspektif yang jauh
berbeda. Pengetahuan umum SOx dan prosedurnya untuk melakukan Bagian 404 tinjauan
pengendalian internal adalah elemen penting yang harus ada di setiap gudang CBOK auditor
internal.
IV. Kesimpulan
Profesi auditor terbagi menjadi dua, yaitu auditor eksternal dan internal. Auditor
eksternal lebih berfokus dalam bidang keuanngan, dimana tujuan dari profesi tersebut
adalah memberikan opini untuk laporan keuangan perusahaan-perusahaan yang
menggunakan jasa mereka, apakah disajikan secara wajar atau tidak. Sedangkan
auditor internal sedikit banyak berbeda. Auditor internal merupakan bagian dari
sebuah perusahaan yang bekerja untuk perusahaan itu sendiri. Cakupan auditor
internal lebih luas daripada eksternal, tidak hanya keuangan, namun juga sistem
manajemen perusahaan. Auditor internal dibutuhkan untuk mengawasi, mengukur
dan mengevaluasi kinerja perusahaan, sehingga perusahaan dapat mencapai tujuan.

Adanya profesi auditor internal juga didorong oleh perlunya perusahaan memiliki
laporan keuangan yang andal. Untuk mencapai suatu keandalan tersebut, tentu
perusahaan harus memiliki sebuah sistem yang memadai secara internal. Oleh karena
itu, muncul auditor internal dengan tugas dan tujuan sedemikian rupa untuk kinerja
perusahaan yang efektif dan efisien.

V. Referensi

Mueller, Robert R. (2009). Brink’s Modern Internal Auditing 7th Edition.