Internal Kontrol Menurut COSO

Oleh :
I D G Dwiki Pradipta M MAT81681
Dimas Harjoko MAT81682

FAKULTAS EKONOMIKA DAN BISNIS

UNIVERSITAS GADJAH MADA
2018
 Internal Kontrol Menurut COSO

Definisi dan Komponen

Laporan COSO mendefinisikan pengendalian intern sebagai suatu proses yang dilaksanakan
oleh dewan direksi, manajemen, dan personil lainnya dalam suatu entitas, yang dirancang untuk
menyediakan keyakinan yang memadai berkenaan dengan pencapaian tujuan dalam kategori
berikut:

a. Keandalan pelaporan keuangan

b. Kepatuhan terhadap hukum dan peraturan yang berlaku
c. Efektivitas dan efisiensi operasi

Untuk menyediakan suatu struktur dalam mempertimbangkan banyak kemungkinan

pengendalian yang berhubungan dengan tujuan entitas, laporan COSO (dan AU 319.07)
mengidentifikasikan lima komponen pengendalian intern (components of internal control) yang
saling berhubungan, yaitu:

a. Lingkungan pengendalian (control environment) merupakan fondasi dari semua

komponen pengendalian intern lainnya, yang menyediakan disiplin dan struktur.
b. Penilaian resiko (risk assesment) merupakan pengidentifikasian dan analisis entitas
mengenai risiko yang relevan terhadap pencapaian tujuan entitas, yang membentuk suatu
dasar mengenai bagaimana resiko harus dikelola.
c. Aktivitas pengendalian (control activities) merupakan kebijakan dan prosedur yang
membantu meyakinkan bahwa perintah manajemen telah dilaksanakan.
d. Informasi dan komunikasi (information and communication) merupakan
pengidentifikasian, penangkapan dan pertukaran informasi dalam suatu bentuk dan
kerangka waktu yang membuat orang mampu melaksanakan tanggung jawabnya.
e. Pemantauan (monitoring) merupakan suatu proses yang menilai kualitas kinerja
pengendalian intern pada suatu waktu.

Tujuan Entitas dan Pengendalian Intern yang Relevan dengan Suatu Audit
 Manajemen mengadopsi pengendalian intern untuk menyediakan keyakinan yang memadai
dalam mencapai tiga kategori tujuan, yaitu: (1) kendalan dari informasi keuangan, (2) kepatuhan
terhadap hukum dan peraturan yang berlaku, dan (3) efektivitas dan efisiensi dari operasi.
Karena tidak semua dari tujuan tersebut dan pengendalian yang berhubungan relevan dengan
suatu audit laporan keuangan, tugas auditor untuk memenuhi standar pekerjaan lapangan adalah
mengidentifikasi tujuan tersebut dan pengendalian yang relevan. Secara umum, hal ini berkaitan
dengan keandalan dan pelaporan keuangan.

Tujuan dan pengendalian yang berhubungan lainnya juga dapat relevan jika berkaitan
dengan data yang digunakan auditor dalam menerapkan prosedur audit. Contohnya yang
berhubungan dengan:

a. Data nonkeuangan yang digunakan dalam prosedur analisis, seperti jumlah karyawan,
kapasitas manufaktur entitas dan volume barang yang diproduksi, serta statistik produksi
dan pemasaran lainnya.

b. Data keuangan tertentu yang dikembangkan terutama untuk tujuan internal, seperti
anggaran dan data kinerja, yang digunakan oleh auditor untuk memperoleh bukti
mengenai jumlah yang dilaporkan dalam laporan keuangan.

Peran dan Tanggung Jawab

Laporan COSO menyimpulkan bahwa setiap orang dalam organisasi memiliki tanggung
jawab terhadap pengendalian intern organisasi, dan sebenarnya merupakan suatu bagian dari
pengendalian intern organisasi. Selain itu, beberapa pihak eksternal, seperti auditor independen
dan pembuat aturan, dapat mengkontribusikan informasi yang berguna kepada organisasi dalam
mengefektifkan pengendalian, tetapi mereka tidak bertanggung jawab atas efektivitas
pengendalian intern. Beberapa pihak yang bertanggung jawab dan peran mereka adalah sebagai
berikut:

a. Manajemen.
 Manajemen memiliki tanggung jawab untuk menciptakan pengendalian intern
yang efektif. Secara khusus, chief executive officer harus merancang “suasana di
puncak” untuk kesadaran akan pengendalian di seluruh organisasi, dan melihat
bahwa semua komponen pengendalian intern telah ditempatkan. Lingkungan
pengendalian yang efektif dapat mengurangi kemungkinan kekeliruan atau
kecurangan dalam suatu entitas.

b. Dewan direksi dan komite audit

Anggota dewan, sebagai bagian dari pengaturan umum dan tanggung jawab
terhadap kekeliruan, harus menentukan bahwa manajemen telah memenuhi tanggung
jawabnya untuk menciptakan dan memelihara pengendalian intern. Komite audit
(bila tidak ada, dewan direksi sendiri) harus waspada dalam mengidentifikasi
keberadaan penolakan manajemen atas pengendalian atau pelaporan keuangan yang
curang, dan segera mengambil tidakan yang diperlukan untuk membatasi tindakan
yang tidak sesuai oleh manajemen.

c. Auditor internal

Auditor internal harus memeriksa dan mengevaluasi kecukupan pengendalian

intern suatu entitas secara periodik dan membuat rekomendasi untuk perbaikan,
tetapi mereka tidak memiliki tanggung jawab utama untuk menciptakan dan
memelihara pengendalian intern.

d. Personel entitas lainnya

Peran dan tanggung jawab dari semua personel lain yang menyediakan informasi
kepada, atau menggunakan informasi yang disediakan oleh, sistem yang mencakup
pengendalian intern, harus memahami bahwa mereka memiliki tanggung jawab
untuk mengkomunikasikan masalah apapun yang tidak sesuai dengan pengendalian
atau tindakan melawan hukum yang mereka temui kepada tingkat yang lebih tinggi
dalam organisasi.

e. Auditor independen
 Sebagai hasil dari prosedur audit laporan keuangan, seorang auditor eksternal
mungkin akan menemukan kekurangan dalam pengendalian intern yang akan
dikomunikasikan kepada manajemen, komite audit, atau dewan direksi, bersamaan
dengan rekomendasi perbaikan. Hal ini diterapkan terutama pada pengendalian
pelaporan keuangan, dan pada pengendalian ketaatan serta operasi dalam cakupan
yang lebih sempit. Akan tetapi, karena studi auditor mengenai sistem pengendalian
intern klien dalam audit laporan keuangan dilaksanakan terutama agar auditor dapat
secara tepat mrencanakan suatu audit, baik akan menyatakan suatu pendapat atas
efektivitas pengendalian intern, maupun dapat digunakan untuk mengidentifikasi
semua, atau bahkan kelemahan yang paling signifikan dalam pengendalian intern.

f. Pihak eksternal lainnnya

Pembuat aturan menetapkan persyaratan minimum untuk pengadaan

pengendalian intern oleh entitas-entitas tertentu. Foreign Corrupt Practices Act tahun
1977 merupakan suatu contoh. Contoh lain adalah Federal Deposit Insurance
Corporation Improvement Act tahun 1991, yang mensyaratkan bank-bank tertentu
melaporkan efektivitas pengendalian intern mereka mengenai pelaporan keuangan
dan laporan tersebut disertai dengan laporan atestasi akuntan independen atas asersi
manajemen mengenai efetivitas.

Komponen Pengendalian Intern

Laporan COSO dan AU319, Consideration of Control in the Financial Statement Audit
(SAS78) mengidentifikasi lima komponen pengendalian intern yang saling berhubungan, yaitu:
lingkungan pengendalian, penilaian risiko, informasi dan komunikasi, aktivitas pengendalian dan
pemantauan. Setiap komponen tersebut mencakup sejumlah kebijakan dan prosedur
pengendalian yang diperlukan untuk mencapai tujuan entitas dalam masing-masing tiga kategori
dari tujuan yang sebelumnya diidentifikasikan pelaporan keuangan, kepatuhan dan operasi.

a. Lingkungan Pengendalian
 Lingkungan pengendalian (control environment) menetapkan suasana dari suatu
organisasi yang mempengaruhi kesadaran akan pengendalian dari orang-orangnya.
Lingkungan pengendalian merupakan pondasi dari semua komponen pengendalian intern
lainnya yang menyediakan disiplin dan struktur. Sejumlah faktor membentuk lingkungan
pengendalian dalam suatu entitas yang di antaranya adalah sebagai berikut:

1. Integritas dan nilai etika

2. Komitmen terhadap kompetensi

3. Dewan direksi dan komite audit

4. Filosofi dan gaya operasi manajemen

5. Struktur organisasi

6. Penetapan wewenang dan tanggung jawab

7. Kebijakan dan praktik sumberdaya manusia

b. Penilaian Resiko

Penilaian resiko (risk assesment) untuk tujuan pelaporan keuangan adalah

identifikasi, analisis, dan pengelolaan resiko suatu entitas yang relevan dengan
penyusunan laporan keuangan yang disajikan secara wajar sesuai dengan prinsip-prinsip
akuntansi berlaku umum (AU 319.28). penilaian resiko oleh manajemen harus meliputi
pertimbanagan mengenai resiko yang dihubungkan dengan teknologi informasi. Sebagai
contoh, manajemen harus merancang sistem informasi dan pengendalian yang
mengurangi masalah-masalah yang berhubungan dengan dampak dari teknologi
informasi dalam mengurangi pemisahan tugas tradisional. Jika manajemen merancang
dan mengimplementasikan suatu sistem pengendalian umum komputer yang baik, maka
resiko menyeluruh tersebut akan dikurangi hingga tingkat yang dapat dikelola.

Penilaian resiko oleh manajemen juga harus mencakup pertimbangan khusus atas
resiko yang dapat muncul dari perubahan kondisi seperti:

1. Perubahan dalam lingkungan operasi

2. Personel baru
 3. Sisten informasi yang baru atau dimodifikasi

4. Pertumbuhan yang cepat

5. Teknologi baru

6. Lini, produk atau aktivitas baru

7. Restrukturisasi perusahaan

8. Operasi di luar negeri

9. Pernyataan akuntansi

c. Informasi dan komunikasi

Informasi diperlukan dalam rangka pelaksanaan tanggung jawab Internal Controlnya

dalam rangka pencapaian tujuan. Sedangkan komunikasi terjadi baik secara internal
maupun eksternal dengan menyediakan informasi yang diperlukan dalam rangka
pelaksanaan Internal Control sehari-hari. Terdapat tiga prinsip dalam komponen ini,
yaitu:

1. Organisasi memperoleh dan menggunakan informasi yang berkualitas dan relevan

dalam rangka mendukung fungsi dari komponen lain dalam Internal Control.

2. Organisasi secara internal mengomunikasikan informasi, termasuk tujuan dan

tanggung jawab Internal Control dalam rangka mendukung fungsi dari komponen
lain dari Internal Control.

3. Organisasi berkomunikasi dengan pihak eksternal terkait hal yang mempengaruhi

fungsi dari komponen lain dalam Internal Control.

d. Aktivitas Pengendalian

Aktivitas Pengendalian merupakan tindakan yang ditetapkan dengan prosedur dan

kebijakan untuk meyakinkan bahwa manajemen telah mengarah untuk memitigasi risiko
dalam rangka pencapaian tujuan. Terdapat tiga prinsip dalam komponen ini yaitu:
 Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi
terhadap mitigasi risiko sampai pada tingkat yang dapat diterima dalam rangka
pencapaian tujuan.

a. Organisasi memilih dan mengembangkan aktivitas pengendalian secara umum terkait

teknologi dalam rangka pencapaian tujuan.

b. Organisasi menyebarkan aktivitas pengendalian melalui kebijakan dan prosedur

dalam pengimplementasiannya.

e. Monitoring Activity

Evaluasi berkelanjutan, terpisah, atau kombinasi keduanya untuk memastikan seluruh

komponen Internal Control ada dan berfungsi. Terdapat dua prinsip dalam komponen ini,
yaitu

1. Organisasi memilih, mengembangkan dan melaksanakan evaluasi berkelanjutan

dan/atau terpisah untuk memastikan seluruh komponen Internal Control ada dan
berfungsi

2. Organisasi mengevaluasi dan mengomunikasikan defisiensi Internal Control pada

pihak yang bertanggung jawab agar diambil tindakan korektif.

Internal Control memberikan keyakinan yang memadai , bukan mutlak, akan tetapi
terdapat keterbatasan yang berasal dari:

1. Preconditions of Internal Control.

Keterbatasan yang pertama adalah kondisi awal sebelum dibangunnya IC. IC tidak
bisa mencakup seluruh kegiatan yang dilakukan oleh organisasi. Salah satu hal yang
tidak dicakup adalah pra-kondisi entitas sebelum IC diterapkan. Kelemahan entitas
dalam memilih, mengembangkan, dan mengevaluasi manajemen dapat membatasi
kemampuannya dalam melakukan pengawasan terhadap IC. Selain itu tidak tepatnya
proses penetapan strategi dan tujuan akan mengakibatkan pemilihan tujuan yang tidak
realistis, tidak tepat, dan tidak spesifik.

2. Judgement.
 Keterbatasan kedua adalah fakta bahwa penilaian manusia dalam pengambilan
keputusan bisa keliru. Manusia memiliki kelemahan dalam mengambil keputusan
bisnis yang berdasarkan pada waktu, informasi yang terbatas, serta di bawah tekanan,
sehingga bisa menghasilkan keputusan (penilaian) yang tidak tepat dan perlu diubah.

3. Breakdowns.

Keterbatasan ketiga adalah kerusakan yang dapat terjadi karena kesalahan pegawai.
Sistem IC yang baik bisa mengalami kerusakan. Personel mungkin dapat salah
memahami instruksi, melakukan kesalahan, atau memiliki terlalu banyak tugas

4. Management Override.

Keterbatasan keempat adalah kemampuan manajemen untuk mengabaikan IC. Entitas

dengan sistem pengendalian internal yang efektif masih mungkin untuk memiliki
manajer yang mengesampingkan IC.

5. Collusion

Keterbatasan kelima adalah kemampuan manajemen, personel lain, dan pihak ketiga
untuk melakukan kolusi. Kolusi dapat mengakibatkan defisiensi dalam IC. Individu
yang beraksi secara bersama-sama dapat menyembunyikan tindakan kecurangan dan
mengubah informasi keuangan atau lainnya sehingga tidak dapat dicegah dan
dideteksi oleh IC.