AMK-B-R1-G1-JESSICA CHANDRA

CHAPTER 3-5
THE COSO INTERNAL CONTROL FRAMEWORK, AND SOx AND BEYOND

 Pengertian Pengendalian Internal

Kerangka kerja pengendalian internal COSO yang asli, dirilis pada tahun 1992,
memberikan deskripsi yang sangat baik tentang konsep multidimensi ini, dengan
mendefinisikan pengendalian internal sebagai berikut:
Kontrol internal adalah suatu proses, yang dilakukan oleh dewan direksi,
manajemen, dan personel lain dari suatu entitas, yang dirancang untuk
memberikan jaminan yang wajar mengenai pencapaian tujuan dalam
kategori berikut:
 Efektivitas dan efisiensi operasi
 Reliabilitas pelaporan keuangan
 Kepatuhan terhadap hukum dan peraturan yang berlaku
Model COSO dengan cepat diadopsi oleh profesi audit dan akuntansi,
pertama di Amerika Serikat dan kemudian di seluruh dunia. Ini menjadi sangat

penting setelah Sarbanes ‐ Oxley Act (SOx) menjadi hukum. SOx mensyaratkan

bahwa organisasi pelaporan publik harus membuktikan kecukupan kontrol internal

mereka, menggunakan kerangka kerja COSO sebagai ukuran.
Sementara konsep dasar pengendalian internal tidak banyak berubah sejak
kerangka kerja COSO pertama kali dirilis bertahun-tahun yang lalu, lingkungan
keseluruhan tempat bisnis beroperasi dan auditor internal melakukan tinjauannya
telah banyak berubah, termasuk beberapa di antaranya:
 Munculnya penggunaan layanan yang dikontrak, struktur organisasi
baru, dan peningkatan koneksi internasional
 Peningkatan persyaratan kepatuhan dan peraturan di luar pelaporan
keuangan tahunan saja
 Mengakui bahwa pencegahan dan deteksi penipuan diperlukan untuk
kontrol internal yang efektif
 Meningkatnya kebutuhan untuk memahami dan menilai risiko sebagai
bagian dari operasi pengendalian internal di semua tingkatan
 Perubahan konstan dalam teknologi IT dan cara kami menggunakan IT
untuk membangun dan mengelola proses
 Kekhawatiran keamanan yang semakin meningkat, khususnya
keamanan TI di era big data saat ini
 AMK-B-R1-G1-JESSICA CHANDRA

 Implikasi pengendalian internal terkait dengan media sosial dan sistem

nirkabel

 Bisnis Kerangka Kerja COSO yang Direvisi dan Perubahan Lingkungan

yang Beroperasi
Auditor internal harus menyadari bahwa semua program dan proses audit
yang ada sekarang harus mencerminkan kerangka kerja COSO yang direvisi.
Kerangka kerja pengendalian internal COSO yang baru dan materi panduan
pendukungnya mengandung perubahan dalam bidang-bidang berikut:
 Ekspektasi yang diperluas untuk pengawasan tata kelola
 Peningkatan globalisasi pasar dan operasi
 Perubahan dan kompleksitas yang lebih besar dalam operasi bisnis
perusahaan
 Meningkatnya tuntutan dan kompleksitas dalam hukum, peraturan,
regulasi, dan standar
 Penggunaan dan ketergantungan yang terus meningkat pada teknologi
yang berkembang
 Meningkatnya kebutuhan untuk mencegah dan mendeteksi korupsi
Setiap perubahan COSO ini mensyaratkan perusahaan untuk mengevaluasi
implikasi ini pada sistem pengendalian internalnya dengan penekanan pada
pelaporan keuangan eksternalnya dan untuk merancang dan mengimplementasikan
respons yang sesuai sehingga sistem pengendalian internal beradaptasi dan tetap
efektif seiring berjalannya waktu.

 Kerangka Pengendalian Internal COSO yang Direvisi

Tiga kategori tujuan pengendalian internal — operasi, pelaporan, dan
kepatuhan — diwakili oleh kolom yang ditentukan di bagian atas dalam diagram ini.
Sisi depan dari diagram kubus COSO ini mendefinisikan lima komponen utama atau
level kontrol internal:
 Control environment  Information and
 Risk assessment communication
 Internal control activities  Monitoring activities
 AMK-B-R1-G1-JESSICA CHANDRA

Beberapa aktivitas kontrol individu

mungkin berbeda satu sama lain dalam
beberapa detail operasi, tetapi
semuanya harus sesuai dengan
lingkungan kontrol untuk entitas total.
Sebagai contoh, asumsikan bahwa
perusahaan yang berbasis di Uni
Eropa telah meluncurkan usaha
penjualan produk bisnis baru di
Myanmar (Burma), sebuah negara
yang tertutup bagi dunia luar hingga
baru-baru ini. Dengan sumber daya IT yang terbatas dan koneksi telekomunikasi,
kita dapat mengharapkan beberapa proses kontrol yang berbeda di fasilitas
Myanmar daripada yang dapat ditemukan dalam operasi kantor pusat entitas. Namun,
tambahan
proses — seperti penggunaan prosedur kontrol manual yang mendukung — harus
ditetapkan untuk mencapai kontrol internal pada tingkat entitas keseluruhan. Proses
manual ini mungkin telah ditinggalkan.

 Prinsip Pengendalian Internal COSO

Versi 1992 secara implisit mencerminkan beberapa prinsip kontrol internal inti
ini, versi revisi secara eksplisit mendefinisikan 17 prinsip kontrol internal yang
mewakili konsep dasar yang terkait dengan 5 komponen kontrol internal. COSO
membuat prinsip-prinsip ini secara eksplisit untuk meningkatkan pemahaman
manajemen tentang apa yang merupakan kontrol internal yang efektif. Prinsip-prinsip
ini diuraikan dan didiskusikan dari sudut pandang auditor internal dalam Bab 4.
Mereka adalah konsep luas yang dimaksudkan untuk diterapkan pada berbagai
perusahaan, termasuk untuk-laba dan bukan-untuk-laba, diperdagangkan secara
publik dan swasta, baik badan pemerintah dan organisasi lainnya.

 Komponen Pengendalian Internal COSO: Lingkungan Kontrol

Sisi menghadap depan dari model kerangka kontrol internal COSO
menunjukkan lima tingkat kategori kontrol internal. Kategori tingkat atas disebut
 AMK-B-R1-G1-JESSICA CHANDRA

lingkungan kontrol — seperangkat standar, proses, dan struktur yang memberikan

dasar atau struktur untuk melakukan kegiatan pengendalian internal yang efektif di
seluruh perusahaan. Lingkungan kontrol mencakup tindakan dewan direksi dan
manajemen senior yang bertanggung jawab atas keseluruhan pengendalian internal
dan standar perilaku yang diharapkan. Lingkungan kontrol terdiri dari nilai-nilai
integritas dan etika perusahaan; parameter yang memungkinkan dewan direksi untuk
melaksanakan tanggung jawab pengawasannya; struktur organisasi dan penugasan
wewenang dan tanggung jawab; proses untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten; dan kekakuan dalam ukuran kinerja,
insentif, dan penghargaan untuk mendorong akuntabilitas atas kinerja. Lingkungan
kontrol yang dihasilkan memiliki dampak luas pada keseluruhan sistem pengendalian
internal.

 Komponen Pengendalian Internal COSO: Penilaian Risiko

Komponen penilaian risiko pengendalian internal COSO adalah proses untuk
menentukan bagaimana semua tingkat risiko akan dikelola, dan prasyarat untuk
penilaian risiko adalah penetapan tujuan terkait risiko, yang dikaitkan pada berbagai
tingkat operasi perusahaan. Karena jenis dan sifat risiko yang akan dihadapi
perusahaan, manajemen harus mengidentifikasi dan menentukan tujuan risiko
mereka dalam kategori operasi, pelaporan, dan kepatuhan dengan kejelasan yang
cukup untuk dapat mengidentifikasi dan menganalisis risiko terhadap tujuan tersebut.
Manajemen juga harus mempertimbangkan kesesuaian tujuan untuk entitas.
Penilaian risiko juga mengharuskan manajemen untuk mempertimbangkan dampak
dari kemungkinan perubahan di lingkungan eksternal dan dalam model bisnisnya
sendiri yang dapat membuat kontrol internal tidak efektif.

 Komponen Pengendalian Internal COSO: Aktivitas Pengendalian Kontrol

Aktivitas kontrol adalah area di mana, di satu sisi, konsep aktivitas kontrol
internal dasar tidak banyak berubah dari kerangka kontrol internal COSO yang asli.
Misalnya, pemisahan tugas adalah konsep pengendalian internal dasar yang masih
tetap sebagai kendali internal yang penting di banyak bidang. Artinya, orang atau
fungsi otomatis yang memulai transaksi keuangan tidak boleh orang atau proses
yang sama yang menyetujuinya. Di sisi lain, ada perubahan besar dalam panduan
 AMK-B-R1-G1-JESSICA CHANDRA

kegiatan kontrol sejak kerangka COSO asli. Panduan di balik kerangka kerja asli
kembali ke hari-hari yang telah lama hilang dari sistem komputer mainframe dengan
banyak prosedur pemrosesan batch.
Aktivitas kontrol mendukung semua komponen kontrol internal COSO di
dalam kubus COSO, tetapi panduan kerangka kerja kontrol internal COSO yang
telah direvisi khususnya lebih menyelaraskan aktivitas kontrol dengan elemen
penilaian risiko. Seiring dengan penilaian risiko, manajemen harus mengidentifikasi
dan menerapkan tindakan yang diperlukan ketika perusahaan memilih untuk
menerima atau menghindari risiko tertentu dan memilih untuk mengembangkan
kegiatan pengendalian untuk menghindari risiko itu.

 Komponen Pengendalian Internal COSO: Informasi dan Komunikasi

Sebagai elemen COSO lainnya, informasi diperlukan bagi perusahaan untuk
melaksanakan tanggung jawab pengendalian internalnya untuk mendukung
pencapaian tujuannya. Manajemen memperoleh atau menghasilkan dan kemudian
menggunakan informasi yang relevan dan berkualitas dari sumber internal dan
eksternal untuk mendukung berfungsinya komponen lain dari kontrol internal, dan
auditor internal meninjau dan menilai informasi manajemen yang sama. Komunikasi,
komponen lain dari elemen COSO ini, didefinisikan di sini sebagai proses berulang,
berulang untuk menyediakan, berbagi, dan memperoleh informasi yang diperlukan.
Komunikasi internal adalah cara di mana informasi disebarluaskan ke seluruh
perusahaan, mengalir naik, turun, dan melintasi entitas. Ini memungkinkan personel
untuk menerima pesan yang jelas dari manajemen senior bahwa tanggung jawab
pengendalian harus ditanggapi dengan serius. Komunikasi eksternal juga
memungkinkan komunikasi inbound dari informasi eksternal yang relevan dan
memberikan informasi kepada pihak eksternal dalam menanggapi persyaratan dan
harapan.

 Komponen Pengendalian Internal COSO: Monitoring

Kegiatan pemantauan menilai apakah masing-masing dari lima tujuan atau
komponen lain dari kontrol internal COSO, termasuk lingkungan kontrol, penilaian
risiko, dan lainnya, hadir dan berfungsi. Suatu perusahaan dan auditor internalnya
harus menggunakan proses evaluasi yang sedang berlangsung dan terpisah untuk
 AMK-B-R1-G1-JESSICA CHANDRA

memastikan apakah prinsip-prinsip pengendalian internal yang ditetapkan, baik di

seluruh perusahaan dan subunitnya, berlaku, ada, dan berfungsi. Pemantauan di sini
adalah input utama ke dalam penilaian organisasi tentang efektivitas pengendalian
internal. Kerangka kerja pengendalian internal COSO yang direvisi mengidentifikasi
dua prinsip, yang dibahas dalam Bab 4, untuk komponen kontrol internal kegiatan
pemantauan:
 Organisasi memilih, mengembangkan, dan melakukan evaluasi yang
sedang berlangsung dan/atau terpisah untuk memastikan apakah
komponen-komponen pengendalian internal ada dan berfungsi.
 Organisasi mengevaluasi dan mengomunikasikan kekurangan kontrol
internal tepat waktu kepada pihak-pihak yang bertanggung jawab untuk
mengambil tindakan korektif, termasuk manajemen senior dan dewan
direksi, sebagaimana diperlukan.

 Dimensi Lain Kerangka Kerja COSO

Dengan cara yang sama, masing-masing kontrol internal ini harus
dipertimbangkan sehubungan dengan sisi ukuran organisasi dari kubus COSO.
Artinya, pengendalian internal harus efektif di unit bisnis individu atau departemen,
pada tingkat bisnis atau fungsional yang lebih besar, dan untuk seluruh entitas bisnis.
Karena kami akan menemukan ketika kami mengeksplorasi proses audit internal dan
prosedur pengendalian internal dalam bab-bab berikut, konsep-konsep ini kadang-
kadang sulit untuk diterapkan secara konsisten di seluruh perusahaan secara
keseluruhan. Walaupun ada beberapa variasi kecil dan bahkan dapat dibenarkan,
manajemen harus mencoba menerapkan kontrol internal COSO ini secara konsisten
di seluruh entitas bisnis secara keseluruhan.

 17 Prinsip Pengendalian Internal COSO

Lingkungan Pengendalian
1. Organisasi menunjukkan komitmen terhadap nilai-nilai integritas dan
etika.
2. Dewan menunjukkan kemandirian manajemen dan menjalankan
pengawasan terhadap pengembangan dan bekerjanya pengendalian
internal.
 AMK-B-R1-G1-JESSICA CHANDRA

3. Dengan pengawasan Dewan, manajemen menetapkan struktur, garis

pelaporan, serta wewenang dan tanggung jawab yang sesuai dalam
pencapaian tujuan.
4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan,
dan mempertahankan individu yang kompeten dalam keselarasan
dengan tujuan.
5. Organisasi mempertahankan individu dalam tanggung jawab
pengendalian internal mereka dalam mengejar tujuan.
Penilaian Risiko
6. Organisasi menetapkan tujuan dengan cukup jelas sehingga
memungkinkan identifikasi dan penilaian risiko terkait.
7. Organisasi mengidentifikasi risiko pencapaian tujuan di seluruh penjuru
organisasi dan menganalisisnya sebagai dasar penentuan pengelolaan
risiko.
8. Organisasi tersebut memperhitungkan potensi kecurangan (fraud)
dalam menilai risiko pencapaian tujuan.
9. Organisasi mengidentifikasi dan menilai perubahan-perubahan yang
secara signifikan dapat mempengaruhi sistem pengendalian internal.
Aktivitas Pengendalian
10. Organisasi memilih dan mengembangkan aktivitas pengendalian yang
turut memitigasi risiko pencapaian tujuan pada tingkat yang dapat
diterima.
11. Organisasi memilih dan mengembangkan aktivitas pengendalian umum
(general control) atas teknologi untuk mendukung pencapaian tujuan.
12. Organisasi menerapkan aktivitas pengendalian sebagaimana
dimanifestasikan dalam kebijakan untuk menetapkan apa yang
diharapkan, dan prosedur yang relevan untuk menjalankan kebijakan.
Informasi dan Komunikasi
13. Organisasi memperoleh atau menghasilkan serta menggunakan
informasi yang relevan dan berkualitas untuk mendukung berfungsinya
komponen lain dari pengendalian internal.
14. Organisasi mengomunikasikan informasi secara internal, termasuk
komunikasi atas tujuan dan tanggung jawab pengendalian internal,
 AMK-B-R1-G1-JESSICA CHANDRA

yang diperlukan untuk mendukung berfungsinya komponen lain dari

pengendalian internal.
15. Organisasi berkomunikasi dengan pihak eksternal tentang hal-hal yang
mempengaruhi berfungsinya komponen lain dari pengendalian internal.
Pemantauan Kegiatan
16. Organisasi memilih, mengembangkan, dan melakukan evaluasi yang
terus-menerus (ongoing) dan/atau terpisah untuk memastikan apakah
komponen-komponen pengendalian internal ada dan berfungsi.
17. Organisasi mengevaluasi dan mengomunikasikan kelemahan
pengendalian internal secara tepat waktu kepada pihak-pihak yang
sesuai dan bertanggung jawab untuk mengambil tindakan korektif,
termasuk manajemen senior dan Dewan.

 Sox and Beyond

Sarbanes-Oxley atau kadang disingkat SOx atau SOA adalah hukum federal
Amerika Serikat yang ditetapkan pada 30 Juli 2002. ). Undang-undang ini merupakan
suatu terobosan dan sebagai reformasi terbesar di USA khususnya dan dunia pada
umumnya bagi penilaian corporate governance sejak diterbitkannya Securities Acts
of 1933 and 1934, diprakarsai oleh Senator Paul Sarbanes (Maryland) dan
Representative Michael Oxley (Ohio) yang disetujui oleh Dewan dengan suara 423-
3dan oleh Senat dengan suara 99-0 serta disahkan menjadi hukum oleh Presiden
George W. Bush.Undang-undang ini dikeluarkan sebagai respons dari Kongres
Amerika Serikat terhadap berbagai skandal pada beberapa perusahaan besar
seperti: Enron, Tyco International, Adelphia, PeregrineSystems, WorldCom (MCI),
AOL TimeWarner, Aura Systems, Citigroup, Computer Associates International, CMS
Energy, Global Crossing, HealthSouth, Quest Communication, Safety-Kleen dan
Xerox, yang juga melibatkan beberapa KAP yang termasuk dalam “the big five”
seperti: Arthur Andersen, KPMG dan PWC.
Skandal-skandal yang menyebabkan kerugian bilyunan dolar bagi investor
karena runtuhnya harga saham perusahaan-perusahaan yang terpengaruh ini
mengguncang kepercayaan masyarakat terhadap pasar saham. Perundang-
undangan ini menetapkan suatu standar baru dan lebih baik bagi semua dewan dan
manajemen perusahaan publik serta kantor akuntan publik walaupun tidak berlaku
bagiperusahaan tertutup. Akta ini terdiri dari 11 bab atau bagian yang menetapkan
 AMK-B-R1-G1-JESSICA CHANDRA

hal-hal mulai dari tanggung jawab tambahan Dewan Perusahaan hingga hukuman
pidana. SOx juga menuntut Securities and Exchange Commission (SEC) untuk
menerapkan aturan persyaratan baru untuk menaati hukum ini. Penerapan undang-
undang tersebut dilatarbelakangi oleh bangkrutnya sejumlah korporasi di Amerika
Serikat.