Metodologi Ilustratif COSO

Studi COSO mencakup satu volume berjudul ‘Evaluation Tools’ (perangkat

evaluasi). Dalam pendahuluan volume ini terdapat pernyataan ini:
“Perangkat-perangkat ini disajikan hanya untuk kepentingan ilustrasi.
Perangkat tersebut bukan merupakan bagian yang integral dari kerangka
kerja, dan penyajiannya di sini tidaklah untuk menyarankan semua hal yang
perlu dipertimbangkan dalam mengevaluasi suatu sistem kontrol internal,
atau bahwa semua masalah harus disajikan dalam rangka untuk
menyimpulkan bahwa suatu sistem adalah efektif. Demikian pula, tidak
terdapat saran bahwa perangkat-perangkat tersebut merupakan metode yang
lebih disukai dilakukan dan mendokumentasikan sebuah evaluasi. (semua
penekanan berasal dari studi COSO)”.
Perangkat evaluasi berisi dua jenis umum perangkat. Perangkat pertama adalah
perangkat komponen; yang kedua adalah Lembar Kerja penentuan Risiko dan
Aktivitas Kontrol. Perangkat komponen merujuk pada analisis komponen-
komponen sistem kontrol. Untuk mengingatkan, dari studi COSO, definisi kontrol
adalah:
Kontrol internal adalah sebuah proses yang dipengaruhi oleh dewan direksi
perusahaan, manajemen, dan karyawan lainnya untuk memberikan keyakinan
yang wajar mengenai pencapaian tujuan dalam kategori-kategori berikut ini:
 Efektivitas dan efisiensi operasi
 Keandalan pelaporan keuangan
 Ketaatan dengan hukum dan aturan yang berlaku
Selanjutnya studi tersebut menyatakan:
Kontrol internal terdiri atas lima komponen yang saling berkaitan. Komponen-
komponen ini berasal dari cara manajemen menjalankan bisnis, dan
diintegrasikan dengan proses manajemen. Komponen-komponen tersebut
adalah:
 Lingkungan Kontrol˗˗inti suatu biasnis adalah orang-
orangnya˗˗karakteristiknya masing-masing, termasuk integritas, nilai-nilai
etika, dan kompetensi˗˗dan lingkungan tempat mereka bekerja. Hal-hal
 tersebut merupakan mesin penggerak perusahaan dan merupakan fondasi
segala sesuatunya ditempatkan.
 Penentuan Risiko˗˗perusahaan harus mewaspadai dan mengelola risiko yang
dihadapinya. Perusahaaan harus menetapkan tujuan, terintegrasi dengan
penjualan, produksi, pemasaran, keuangan, dan aktivitas-aktivitas lainnya
sehingga organisasi beroperasi secara harmonis. Perusahaan juga harus
menetapkan mekanisme untuk mengidentifikasi, menganalisis, dan
mengelola risiko-risiko terkait.
 Aktivitas-aktivitas kontrol˗˗kebijakan dan prosedur kontrol harus ditetapkan
dan dilaksanakan untuk membantu memastikan bahwa tindakan-tindakan
yang diidentifikasi oleh manajemen diperlukan untuk menghadapi risiko
terhadap pencapaian tujuan entitas secara efektif dilakukan.
 Informasi dan komunikasi˗˗di sekitar aktivitas-aktivitas ini terdapat sistem
informasi dan komunikasi. Hal ini memungkinkan karyawan perusahaan
mendapatkan dan menukar informasi yang diperlukan untuk melaksanakan,
mengelola, dan mengendalikan operasinya.
 Pengawasan˗˗keseluruhan proses harus dimonitor, dan dibuat perubahan
bila diperlukan. Dengan cara ini, sistem dapat bereaksi secara dinamis,
berubah seiring dengan perubahan kondisi.
Perangkat komponen dirancang untuk mengevaluasi setiap komponen di atas
dalam struktur entitas.
Tahap pertama dari lembar kerja perangkat komponen lingkungan kontrol berisi
masalah-masalah substantif (komitmen terhadap kompetensi dan fokus perhatian
adalah sarana-sarana yang digunakan untuk mengukur pencapaian masalah-
masalah substantif). Lembar kerja tersebut tampak sebagai berikut:
 Tampilan 3-4
Komitmen pada Kompetensi
Manajemen harus menspesifikasikan tingkat kompetensi yang
diperlukan untuk pekerjaan tertentu dan menerjemahkan
tingkat kompetensi yang diinginkan tersebut ke dalam
pengetahuan dan keahlian yang dibutuhkan.
 Deskripsi pekerjaan formal atau informal atau sarana
lain untuk mendefinisikan tugas yang melibatkan
beberapa pekerjaan. Sebagai contoh, pertimbangkan
apakah:
 Manajemen telah menganalisis, secara formal maupun
informal, tugas-tugas yang terdiri atas pekerjaan-
pekerjaan tertentu, dengan mempertimbangkan faktor-
faktor tersebut yang masing-masing individu harus
memiliki pertimbangan dan cakupan pengawasan yang dibutuhkan.
 Analisis pengetahuan dan keahlian yang diperlukan
untuk melaksanakan pekerjaan dengan layak. Sebagai
contoh, pertimbangkan apakah:
 Manajemen telah menentukan pengetahuan dan
keahlian yang dibutuhkan untuk melaksanakan
pekerjaan-pekerjaan tertentu.
 Terdapat bukti yang mengindikasikan bahwa karyawan
Memiliki pengetahuan dan keahlian yang dibutuhkan.

Kesimpulan/Tindakan yang Diperlukan

Setelah auditor menyelesaikan evaluasi dari setiap fokus perhatian, kemudian

dimasukkan temuan-temuan. Temuan-temuan dimasukkan pada setiap fokus
perhatian dan sebuah ringkasan kesimpulan dan rekomendasi pada keseluruhan
masalah substansi.
Lembar kerja penilaian risiko dan aktivitas kontrol digunakan untuk menilai
tujuan-tujuan khusus, risiko, dan kontrol. Tata letak lembar kerja tersebut
menuntun pembuatnya melalui proses analitis. Hal ini mencakup langkah-langkah
berikut ini:
Tampilan 3-6
Tujuan Sebuah pernyataan tujuan yang jelas yang cukup
spesifik untuk dianalsis.
O.F.K Kategori-kategori dari tujuan-tujuan umum:
Operasional,finansial, atau ketaatan yang berlaku untuk
tujuan-tujuan rinci ini.
Analisis Risiko
Faktor-faktor risiko Risiko-risiko khusus yang dapat menghambat
pencapaian tujuan-tujuan rinci.
Kemungkinan Kemungkinan terjadinya risiko dalam skala rendah,
sedang, dan tinggi
Tindakan/Aktivitas Aktivitas kontrol yang yang spesifik yang dapat
Kontrol/Tanggapan mencegah pendeteksian risiko jika benar terjadi.
Tujuan-tujuan lain yang Sebuah rujukan silang ke setiap tujuan-tujuan lain yang
dipengaruhi akan dipengaruhi oleh risiko atau aktivitas kontrol ini.
Evaluasi dan Sebuah pertimbangan efektivitas kontrol dalam
Kesimpulan berhubungan dengan risiko yang mengancam
pencapaian tujuan.

Penerapan sistem analisis ini paling dapat dipahami dengan sebuah contoh.
Berikut ini contoh yang diambil dari volume perangkat evaluasi COSO.
Tampilan 3-6
Tujuan Semua bahan baku yang diterima dicatat dengan akurat.
Operasional, finansial, ketaatan.
Analisis Risiko
Faktor-faktor risiko Kuantitas aktual yang diterima bisa jadi tidak sama
dengan kuantitas yang tertera pada pesanan pembelian
atau dokumen pengiriman dari pemasok.
Kemungkinan Sedang Tinggi
Tindakan/Aktivitas Barang yang diterima dihitung, ditimbang, atau
Kontrol/Tanggapan diperiksa kuantitasnya.
Penerimaan dihitung dua kali secara acak oleh
supervisor departemen penerimaan.
Kuantitas yang diterima menurut laporan penerimaan
dibandingkan dengan dokumen pengiriman pemasok
dan dengan pesanan pembelian.
Kekurangan bahan baku dicatat pada dokumen
penerimaan dan setiap kelebihan bahan baku ditolak.
Jika terjadi kelebihan bahan baku, dokumen
ditandatangani oleh perusahaan transportasi untuk
dikembalikan ke pemasok.
Dokumen diberikan ke bagian utang dagang untuk
pemrosesan dan aktivitas kontrol selanjutnya.
Tujuan-tujuan lain yang Tujuan Produksi.
dipengaruhi
Evaluasi dan Kontrol cukup memadai untuk mencapai tujuan.
Kesimpulan

Bila analisi tujuan, risiko, dan aktivitas kontrol telah dilakukan, program audit
diterapkan bersama-sama untuk menguji aktivitas kontrol. Efektivitas aktivitas
kontrol ditentukan dalam analisis risiko. Audit merupakan pengujian kinerja:
yaitu, apakah aktivitas kontrol memang diterapkan seperti yang dirancang.
Kesimpulan audit akan menjadi sebuah ukuran kualitas kerja.

Metode Courtney

Metode Courtney Adalah metode yang dikembangkan oleh robert courtney saat ia
bergabung dengan Divisi Sistem Komunikasi IBM. Teknik tersebut melibatkan
perhitungan yang menempatkan nilai uang ke risiko-risiko potensial, dan estimasi
terbuat dari frekuensi yang bersama dengan risiko bisa menciptakan kesulitan.
Jika pendekatan ini dilakukan, auditor internal harus berupaya mencapai
kesepakatan dengan manajemen tentang nilai-nilai yang diberikan dan frekuensi-
frekuensi yang diestimasi. Hal ini bisa jadi subjektif, tapi sebuah konsensus dapat
menghasilkan tingkat keandalan yang dapat diterima.

Metode Lain Pemberian Nilai

Metode pemberian nilai yang lain dan lebih sederhana hanya memasukkan
estimasi kerugian, bukan risiko keterjadian. Hal ini disebut nilai yang diharapkan.

Sistem Evaluasi Risiko

Untuk mengurangi risiko dan meningkatkan efisiensi, beberapa organisasi telah

mengembangkan sistem evaluasi risiko berdasarkan jawaban-jawaban atas
pertanyaan-pertanyaan yang dapat mereka simpulkan merupakan risiko penentu
yang signifikan. Pertanyaan-pertanyaan tersebut divalidasi melalui pengalaman
lampau dan melalui pembahasan dengan manajemen dan pegawai audit internal.

Pertimbangan Pengungkapan Risiko

Risiko organisasional harus dibagi menjadi:

 Risiko operasi, terkait dengan risiko-risiko yang terjadi pada produksi,

penjualan, dan pengadministrasian organisasi. Risiko tersebut mencakup
risiko internal dan eksternal.
 Risiko estimasi, terkait dengan estimasi yang digunakan dalam penyiapan
laporan keuangan (dan operasi).
 Risiko konsentrasi, terkait dengan konsentrasi pelanggan, pemasok, lini
produk, dan pasar.