TUGAS

INTERNAL CONTROL

Diajukan Untuk Memenuhi Tugas Mata Kuliah Pemeriksaan Internal

Magister Akuntansi-Semester Ganjil 2018/2019

OLEH :

HIZKIA PRAYOGA 041724253028

ANNISA RAHMAWATI 041724253030

KELAS A2M

PROGRAM STUDI MAGISTER AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS AIRLANGGA

2019
COSO Internal Control Framework
Ketika Komite Organisasi Sponsoring dari Komisi Treadway (COSO), yang didirikan pada
tahun 1985, melakukan studi tentang pelaporan keuangan yang curang pada tahun 1992, ia
mengembangkan konsep yang menyediakan kerangka kerja yang tidak mengikat, yang secara
umum berlaku untuk mendukung perusahaan dalam membangun, menggunakan, memantau,
dan menilai sistem kontrol internal mereka. Ini menentukan definisi standar dari sistem
pengendalian internal, sehingga memastikan bahwa laporan keuangan dapat dibandingkan dan
berkualitas tinggi.

Di bawah kerangka kerja COSO, sistem kontrol internal memiliki tiga tujuan utama:
• Efektivitas dan efisiensi operasi
• Keandalan pelaporan keuangan, dan
• Kepatuhan terhadap hukum dan peraturan yang berlaku.
Audit Internal juga mengejar tujuan-tujuan ini sebagai bagian dari sistem pemantauan internal.
Diagram berikut menunjukkan versi modifikasi dari kubus COSO. Ini menunjukkan bahwa
sistem kontrol internal dibentuk oleh karakteristik komponen kontrol internal yang berbeda,
yang diperlukan untuk mencapai tujuan utama di atas. Komponennya adalah:
• Kontrol Lingkungan,
• Tugas beresiko,
• Mengontrol Kegiatan,
• Informasi dan Komunikasi, dan
• Pemantauan.
Dimensi ketiga terdiri dari semua proses dan unit perusahaan di mana pencapaian tujuan harus
dipastikan melalui komponen kontrol operasi.
Semua auditor internal harus mengembangkan pemahaman tentang kerangka kerja
pengendalian internal COSO ini. Tidak peduli area apa yang ditinjau, auditor internal selalu
perlu melihat kontrol internal dalam cara bertingkat dan tiga dimensi ini. Walaupun ini berlaku
untuk semua pekerjaan audit internal, konsep ini sangat berharga ketika menilai dan
mengevaluasi kontrol internal menggunakan kerangka kerja kontrol internal COSO. Dimulai
dengan level menghadap ke depan pertama atau bawah, bagian berikut menjelaskan elemen
atau komponen kerangka kerja kontrol internal COSO secara lebih rinci:
(a) Control Environment
Dasar dari setiap struktur kontrol internal adalah apa yang COSO sebut sebagai
lingkungan kontrol internal. COSO menekankan bahwa entitas yayasan lingkungan
pengendalian internal ini memiliki pengaruh luas pada bagaimana semua kegiatan disusun dan
risiko dinilai. Lingkungan kontrol adalah dasar untuk semua komponen lain dari kontrol
internal; ini memiliki pengaruh pada masing-masing dari tiga tujuan dan pada keseluruhan unit
dan kegiatan entitas. Lingkungan kontrol mencerminkan keseluruhan sikap, kesadaran, dan
tindakan oleh dewan direksi, manajemen, dan lainnya mengenai pentingnya kontrol internal
dalam perusahaan. Walaupun ada banyak konsep dasar yang berbeda di sini, masing-masing
perusahaan harus memiliki landasan kendali internal yang unik untuk mendukung struktur
pengendalian internalnya yang lain :
 Integritas dan nilai-nilai etika
 Komitmen terhadap kompetensi
 Dewan direksi dan komite audit
 Filosofi manajemen dan gaya operasi
 Struktur organisasi
 Penugasan wewenang dan tanggung jawab
 Kebijakan dan praktik sumber daya manusia
 Lingkungan kontrol COSO dalam perspektif
Lingkungan kontrol adalah fondasi untuk empat komponen lainnya. Ini mencerminkan
budaya perusahaan dan kegiatan pemantauan yang dilakukan oleh badan pengawas untuk
mempengaruhi kesadaran kontrol orang-orang perusahaan. Faktor lingkungan kontrol termasuk
integritas, nilai-nilai etika, gaya operasi manajemen, pendelegasian sistem otoritas, serta proses
untuk mengelola dan mengembangkan orang-orang dalam organisasi.
(b) Risk Assessment
Kemampuan suatu perusahaan untuk mencapai tujuannya dapat berisiko karena berbagai faktor
internal dan eksternal. Pemahaman dan pengelolaan lingkungan risiko adalah elemen dasar dari
yayasan pengendalian internal, dan perusahaan harus memiliki proses untuk mengevaluasi
risiko potensial yang dapat mempengaruhi pencapaian tujuannya. Komponen penilaian risiko
ini berfokus pada kontrol internal dalam suatu perusahaan dan memiliki fokus yang jauh lebih
sempit daripada kerangka kerja ERM COSO.
Kontrol internal COSO penilaian risiko harus menjadi proses berwawasan ke depan yang
dilakukan di semua tingkatan dan untuk hampir semua aktivitas dalam perusahaan. COSO
menggambarkan penilaian risiko sebagai proses tiga langkah:
1. Perkirakan signifikansi risiko.
2. Menilai kemungkinan atau frekuensi risiko yang terjadi.
3. Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa yang harus
diambil.
Proses penilaian risiko COSO ini menempatkan tanggung jawab pada manajemen untuk
menilai apakah risiko itu signifikan dan, jika demikian, untuk mengambil tindakan yang sesuai.
Kontrol internal COSO juga menekankan bahwa analisis risiko bukan proses teoritis; sering
dan sangat penting untuk kesuksesan keseluruhan entitas. Sebagai bagian dari keseluruhan
penilaian pengendalian internal, manajemen harus mengambil langkah-langkah untuk menilai
risiko yang dapat berdampak pada perusahaan secara keseluruhan dan risiko yang berkaitan
dengan berbagai kegiatan atau entitas perusahaan. Berbagai risiko, yang disebabkan oleh
sumber internal atau eksternal, dapat memengaruhi keseluruhan perusahaan. Kerangka kerja
pengendalian internal COSO menunjukkan bahwa risiko harus dipertimbangkan dari tiga
perspektif:
1. Risiko perusahaan karena faktor eksternal. Risiko-risiko ini termasuk perkembangan
teknologi yang dapat mempengaruhi sifat dan waktu penelitian dan pengembangan
produk baru atau menyebabkan perubahan dalam proses pengadaan. Risiko faktor
eksternal lainnya termasuk perubahan kebutuhan atau harapan pelanggan, harga,
jaminan, atau kegiatan layanan. Undang-undang atau peraturan baru dapat memaksa
perubahan dalam kebijakan atau strategi operasi, dan malapetaka, seperti serangan
teroris World Trade Center 9/11, dapat menyebabkan perubahan dalam operasi dan
menyoroti perlunya perencanaan kontinjensi. Faktor-faktor risiko ini sangat dekat
dengan unsur-unsur kerangka kerja ERM COSO yang dibahas pada Bab 6.
2. Risiko perusahaan karena faktor internal. Seperti yang sering disorot oleh auditor
internal dalam tinjauan mereka yang berkelanjutan, mungkin ada banyak jenis risiko
tingkat perusahaan. Misalnya, gangguan pada server TI perusahaan atau fasilitas
pemrosesan manajemen penyimpanan dapat mempengaruhi operasi secara keseluruhan.
Juga, kualitas personel yang dipekerjakan, serta pelatihan atau motivasi mereka, dapat
memengaruhi tingkat kesadaran kontrol di dalam entitas. Selain itu, tingkat aksesibilitas
karyawan ke aset dapat berkontribusi pada penyalahgunaan sumber daya. Meskipun
sekarang lebih baik diatasi oleh SOx, laporan kontrol internal COSO juga mengutip
risiko dewan yang tidak tegas atau tidak efektif atau komite audit yang dapat
memberikan peluang bagi kecerobohan.
3. Menentukan risiko tingkat aktivitas. Selain dilihat pada tingkat perusahaan, risiko juga
harus dipertimbangkan untuk setiap unit bisnis dan aktivitas utama, seperti untuk
pemasaran, TI, dan keuangan. Kekhawatiran tingkat aktivitas ini berkontribusi pada
risiko di seluruh perusahaan dan harus diidentifikasi secara berkelanjutan,
dipertimbangkan dalam berbagai proses perencanaan di seluruh perusahaan. Jika tidak
ada proses penilaian risiko di perusahaan, auditor internal harus mempertimbangkan
kurangnya proses formal ini sebagai bagian dari keseluruhan penilaian pengendalian
internal.
Prasyarat untuk penilaian risiko adalah identifikasi dan penetapan tujuan internal yang
konsisten. Semua risiko yang dapat mempengaruhi pencapaian target bisnis harus
diidentifikasi, didokumentasikan, dan dievaluasi selama penilaian risiko, dan tindakan yang
tepat untuk mitigasi harus ditentukan. konsep penilaian risiko yang komprehensif adalah
prasyarat untuk menentukan bagaimana risiko harus dikelola.
(c) Control Activities
Kerangka kerja kontrol internal COSO disebut kegiatan kontrol. Lapisan ini juga muncul
sebagai lapisan horizontal terpisah di atas Kegiatan kontrol, tetapi di sini dicakup oleh
komponen Informasi dan Komunikasi. Aktivitas Kontrol adalah kebijakan dan prosedur yang
membantu memastikan bahwa tindakan yang diidentifikasi untuk mengatasi risiko dilakukan,
mengikuti berbagai sub-proses kegiatan kontrol. Aktivitas pengendalian ada di semua tingkatan
dalam suatu perusahaan dan, dalam banyak kasus, dapat tumpang tindih satu sama lain. Konsep
kegiatan kontrol adalah bagian penting dari membangun dan kemudian membangun kontrol
internal yang efektif dalam suatu perusahaan. Kerangka kerja kontrol internal COSO
mengidentifikasi serangkaian kegiatan ini berdasarkan jenis proses. Dari perspektif audit
internal, mereka harus bersama-sama membantu membangun kontrol internal yang efektif
secara keseluruhan.
 Jenis kegiatan pengendalian
 Integrasi aktivitas pengendalian dengan penilaian risiko
 Mengendalikan lebih dari sistem informasi
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan
arahan manajemen terkait dengan identifikasi dan pengendalian risiko dipahami dan dilakukan
di dalam perusahaan. Implementasi aktual dan dokumentasi kontrol-kontrol ini merupakan
prasyarat untuk respons yang efektif terhadap risiko dan juga berfungsi sebagai bukti nyata dari
aktivitas kontrol untuk auditor eksternal. Untuk alasan ini, kegiatan kontrol adalah komponen
kunci dari ketentuan SOX 404.
(d) Communications and Information
Model kerangka kontrol internal COSO, menggambarkan komponennya sebagai lapisan,
satu di atas yang lain, dimulai dengan Lingkungan Kontrol Internal sebagai fondasi. Model
tersebut menggambarkan komponen informasi dan komunikasi bukan sebagai lapisan
horizontal tetapi elemen samping yang melintasi komponen lain. Informasi dan komunikasi
terkait tetapi komponen yang berbeda dari kerangka kontrol internal. Informasi yang tepat,
didukung oleh sistem TI, harus dikomunikasikan ke atas dan ke bawah perusahaan dengan cara
dan waktu yang memungkinkan orang untuk melaksanakan tanggung jawab mereka. Selain
sistem komunikasi formal dan informal, perusahaan harus memiliki prosedur yang efektif untuk
berkomunikasi dengan pihak internal dan eksternal. Informasi dan arus komunikasi di
perusahaan ini harus dipahami untuk setiap evaluasi pengendalian internal, seperti untuk
evaluasi SOx Bagian 404.
Kerangka kerja Kontrol Internal COSO (IC COSO) memberikan pandangan
komprehensif tentang dimensi sistem kontrol internal dan aktivitas implementasinya. COSO
IC merupakan standar global untuk sistem kontrol internal yang akan didirikan di bawah SOX
dan memastikan bahwa sistem yang diinstal konsisten, terukur, dan dapat dibandingkan. Model
yang diperluas, kerangka COSO Enterprise Risk Management (COSO ERM) sejak itu telah
dikembangkan, secara spesifik didefinisikan untuk kepentingan sistem manajemen risiko yang
komprehensif di perusahaan. Tambahan utama terkait dengan tujuan organisasi (mis., sasaran
strategis telah ditambahkan) dan komponen kontrol internal (mis., penetapan tujuan, penentuan
selera risiko, dan identifikasi peristiwa telah ditambahkan).
Impact of SOX on Internal Audit
Tugas Audit Internal telah mengalami transformasi besar dalam beberapa tahun terakhir
dan signifikansi keseluruhannya telah meningkat. Persyaratan ketat yang ditempatkan SOX
pada sistem kontrol internal telah mempercepat pengembangan ini karena Audit Internal,
sebagai bagian dari sistem pemantauan internal dan bertindak atas nama manajemen
perusahaan, juga bertanggung jawab untuk memantau sistem kontrol internal.
Pada akhirnya merupakan tanggung jawab manajemen puncak untuk memastikan
kepatuhan dengan bagian SOX 302 dan 404, dan tanggung jawab ini tidak dapat ditransfer.
Manajemen perusahaan harus memuaskan dirinya sendiri setidaknya sekali dalam setahun
bahwa kontrol internal yang memadai atas proses pelaporan keuangan sudah ada dan bekerja
secara efektif dengan melakukan tes kontrol internal. ini adalah satu-satunya cara untuk
memastikan bahwa sertifikasi laporan keuangan yang disyaratkan dalam SOX dapat dibuat
dengan keyakinan yang diperlukan tentang konten dan bentuknya. Tetapi manajemen
perusahaan juga dapat mendelegasikan tugas kontrol yang diperlukan oleh SOX ke tingkat
manajemen berikutnya dan, dengan menurunkannya, menggambarkan tanggung jawab semua
manajer yang terlibat dalam sistem kontrol internal. Audit Internal dapat memberikan bantuan
kepada manajemen perusahaan pada dasarnya dua cara: dengan menawarkan layanan dukungan
dan dengan menyediakan layanan audit yang sebenarnya. Namun, faktor kritisnya adalah
bahwa CEO dan CFO pada akhirnya harus menyatakan bahwa kontrol internal bekerja secara
efektif, dan SOX pasal 904 menentukan hukuman hukum yang ketat yang mungkin menimpa
para eksekutif ini jika sertifikasi tersebut tidak jujur, termasuk denda uang dalam jumlah besar
dan hukuman penjara.
Terdapat konsensus umum bahwa Audit Internal harus melindungi independensi dan
obyektivitasnya setiap saat. Dengan demikian, tidak dapat memikul tanggung jawab yang
terpisah dan final untuk apa pun selain audit - dalam hal ini berkaitan dengan proses
menyediakan dan menyimpan bukti sesuai dengan SOX. Akibatnya, Audit Internal harus
menemukan keseimbangan yang cermat antara mandat auditnya dan fungsi pendukungnya.
Dalam konteks ini, IIA telah mengembangkan solusi yang mungkin dan mengevaluasinya
berkenaan dengan prinsip-prinsip audit objektivitas dan independensi. Adalah setiap
perusahaan untuk memutuskan apakah akan menganggap proposal ini sebagai pedoman yang
bermanfaat dan untuk menerapkan dan menerapkannya sesuai dengan kemungkinan in-house-
nya.