INTERNAL AUDIT

THE COSO INTERNAL CONTROL FRAMEWORK AND COSO

INTERNAL CONTROL PRINCIPLES

Oleh Kelompok 8 :

1. Tanaya Devi (041611333043)

2. Puspita Ramadhani (041611333244)
3. Febrina Rizkika H.A.S. (041611333261)

DEPARTEMEN AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS AIRLANGGA
SURABAYA
2019
 BAB 3
THE COSO INTERNAL CONTROL FRAMEWORK
Pengendalian internal COSO adalah sebuah kerangka yang memberikan petunjuk
praktis dalam membangun sebuah sistem dan proses bisnis secara efisien dan efektif.
Kerangka ini memberikan petunjuk kepatuhan SOX. Pengendalian Internal COSO pertama
kali digunakan tahun 1992 oleh United Stated lalu kemudian diikuti oleh seluruh dunia.
Perubahan lingkungan dan percepatan teknologi informasi berdampak besar pada
proses bisnis. Pengendalian internal COSO pun ikut mengalami perubahan pada kerangkanya
di tahun 2011, perubahan pada deskripsi komponen di tahun 2014, dan perubahan untuk
memenuhi unsur kepatuhan di awal tahun 2015
3.1 Pengendalian Internal
Pengendalian internal COSO (1992) mendefinisikan pengendalian internal sebagai
suatu proses, dipengaruhi oleh direksi, manajemen, dan personil lainnya, yang didesain untuk
memberikan reasonable assurance untuk menilai efisiensi dan efektivitas operasional,
keandalan laporan keuangan, dan kepatuhan hukum. Pengendalian internal COSO merupakan
ukuran kepatuhan terhadap Sarbanes-Oxley Act sehingga setiap fungsi perusahaan wajib
memahami kerangka ini. Internal auditor dan manajemen juga juga bertanggung jawab dalam
memberikan pengawasan atas pengendalian internal yang telah dirancang dan
diimplementasikan. Agar dapat menjalankan pengendalian internal yang baik, perusahaan
perlu memahami prinsip dasar pengendalian internal COSO;

1 Komitmen terhadap integritas dan nilai etis

2 Independensi dewan direksi dan manajemen dalam mengembangkan dan

menjalankan pengendalian internal

3 Manajemen harus membangun struktur, garis komando, dan fungsi otorisasi yang
tepat dan bertanggung jawab pada tujuan yang telah ditetapkan

4 Komitmen untuk membangun, mengembangkan, dan mempertahankan individu

dalam mencapai tujuan

5 Akuntabilitas pengendalian internal

3.2 Perubahan Bisnis dan Lingkungan yang Memengaruhi Kerangka COSO
Internal auditor perlu mengukur efisiensi dan efektivitas ketika merancang dan
mengimplementasikan program pengendalian internal perusahaan. Kerangka COSO telah
mengalami perbaikan karena aspek bisnis dan lingkungan yang berubah dalam hal;
a. Pengembangan ekspektasi dalam pengawasan tata kelola perusahaan
b. Globalisasi pasar dan operasi
c. Perubahaan besar operasi bisnis perusahaan yang semakin kompleks
d. Peningkatan kebutuhan dan kompleksitas hukum, aturan, kebijakan, dan standard
e. Peningkatan ketergantungan dan pengaruh teknologi
f. Peningkatan kebutuhan dalam mencegah dan mendeteksi korupsi
Internal auditor perlu menilai dan mengevaluasi program pengendalian internal secara
berkala, terutama pada area yang terpengaruh secara signifikan hal-hal diatas

3.3 Perubahan Kerangka COSO

Seiring berjalannya waktu, kerangka COSO mengembangkan pengendalian internal
dari dua perspektif, yaitu komponen pengendalian internal dan faktor organisasi, selain tiga
tujuan awalnya. Kerangka COSO yang semula berbentuk piramida berubah menjadi bentuk
kubus tiga sisi. Sisi depan menggambarkan lima komponen pengendalian internal yang
tersusun sesuai levelnya (dari lingkungan pengendalian hingga aktivitas pengawasan). Sisi
atas kubus memuat tiga tujuan dari pengendalian internal. Sedangkan sisi kanan memuat
tingkatan organisasi, dari entitas hingga unit bisnis. Perubahan kerangka COSO menunjukan
tujuan pengendalian internal bukan tunggal, dilandasi konsep bertingkat dan beragam dengan
masing-masing unit di model COSO yang memiliki hubungan dengan komponen lain di
ketiga dimensi.
3.4 Prinsip Pengendalian Internal COSO
Secara eksplisit revisi COSO mendefinisikan 17 prinsip kontrol internal yang mewakili
konsep dasar terkait dengan 5 komponen kontrol internal. COSO membuat prinsip-prinsip ini
eksplisit untuk meningkatkan pemahaman manajemen tentang efektivitas pengendalian
internal. Prinsip-prinsip ini dibuat untuk menyediakan petunjuk bagi internal auditor dalam
merancang, mengimplementasikan, dan membuat proses internal dalam melakukan penilaian
beberapa prinsip yang relevan telah dilakukan. Intinya, internal auditor harus memahami
kerangka COSO sehingga mampu mengidentifikasi tiga dimensi pengendalian internal dalam
setiap komponen dan hubungan organisasi.

3.5 Komponen Pengendalian Internal COSO: Lingkungan Pengendalian

Lingkungan pengendalian adalah seperangkat standar, proses, dan struktur organisasi yang
menjadi dasar pengendalian internal perusahaan. Pada dasarnya ada dua faktor yang
memengaruhi lingkungan pengendalain, yaitu faktor internal dan faktor internal (sejarah
perusahaan, nilai, segmen pasar, dan tingkat kompetisi). Dua faktor inilah yang kemudian
membentuk strandar, proses, dan struktur perusahaan dalam mengambil keputusan dan
mencapai tujuan.
3.6 Komponen Pengendalian Internal COSO: Penilaian Risiko
Risiko didefinisikan sebagai segala kemungkinan yang bisa terjadi dan memengaruhi
perusahaan dalam upaya mencapai tujuannya, seperti kesuksesan perusahaan,
mempertahankan citra perusahaan, mempertahankan eksistensi produk, dll. Menurut COSO,
penilaian risiko merupakan proses dalam menentukan risiko pada setiap level entitas, usaha
perusahaan untuk meminimalisirnya, dan hubungannya dengan operasi perusahaan.
Manajemen harus mengidentifikasi setiap risiko yang berhubungan dengan tiga dimensi
pengendalian internal dan menentukan strategi terbaik dalam meresponnya.

Identifikasi dan Perusahaan harus dapat mengidentifikasi risiko yang mungkin terjadi
analisis risiko pada tingkat yang paling signifikan hingga tingkat yang paling rendah.
Identifikasi risiko bertujuan untuk mengetahui risiko yang paling
berdampak besar pada operasi perusahaan pada waktu tertentu.
Agar dapat mengidentifikasi risiko secara efektif, proses penilaian risiko
harus didukung dengan berbagai aktivitas, mekanisme yang relevan, dan
memahami setiap faktor yang dibalik risiko (internal maupun eksternal)
Perusahaan juga perlu menelusuri hubungan dari setiap risiko. Proses
identifikasi risiko yang baik akan berusaha mempertimbangkan semua
risiko dalam suatu perusahaan, termasuk sub-unit dan fungsi
operasionalnya, seperti keuangan, sumber daya manusia, pemasaran,
produksi, pembelian, dan manajemen TI.

Strategi dalam 1. Menghindari

merespon risiko 2. Mengurangi
3. Membagi
4. Menerima

3.7 Komponen Pengendalian Internal COSO: Aktivitas Pengendalian

Mungkin elemen inti dalam kerangka kontrol internal COSO keseluruhan, aktivitas
pengendalian adalah tindakan — ditetapkan melalui kebijakan dan prosedur perusahaan —
yang membantu memastikan bahwa arahan manajemen untuk mengurangi risiko terhadap
pencapaian tujuan telah dilakukan. Aktivitas pengendalian dilakukan di semua tingkatan
perusahaan, di berbagai bidang tahapan dalam unit dan proses bisnis, dan lingkungan
teknologi. Aktivitas ini mungkin bersifat preventif atau detektif dan dapat mencakup
jangkauan kegiatan manual dan otomatis seperti otorisasi dan persetujuan, verifikasi,
rekonsiliasi, dan ulasan kinerja bisnis.
3.8 Komponen Pengendalian Internal COSO: Informasi dan Komunikasi
Informasi diperlukan bagi perusahaan untuk melaksanakan tanggung jawab
pengendalian internal dalam pencapaian tujuan. Manajemen memperoleh atau menghasilkan
dan kemudian menggunakan informasi yang relevan dan berkualitas dari internal dan
eksternal untuk mendukung berfungsinya komponen pengendalian internal lainnya, dan
auditor internal meninjau dan menilai informasi manajemen tersebut. Komunikasi, komponen
lain dari elemen COSO ini, didefinisikan sebagai proses berkelanjutan dan berulang untuk
menyediakan, berbagi, dan memperoleh informasi yang diperlukan, baik secara internal
maupun eksternal.

3.9 COSO Internal Control Components: Monitoring Activities

Kegiatan pemantauan menilai apakah masing-masing dari lima tujuan atau komponen
lain dari kontrol internal COSO, termasuk lingkungan kontrol, penilaian risiko, dan lainnya,
hadir dan berfungsi. Untuk pengendalian internal kegiatan pemantauan komponen:
1. Rumah sakit memilih, mengembangkan, dan melakukan evaluasi yang sedang
berlangsung dan / atau terpisah untuk memastikan apakah komponen-komponen
pengendalian internal ada dan berfungsi.
2. Rumah sakit mengevaluasi dan mengomunikasikan kekurangan kontrol internal tepat
waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan
korektif, termasuk manajemen senior dan dewan direksi, yang sesuai.
Ketika pemantauan dirancang dan diimplementasikan dengan tepat, suatu perusahaan
harus mendapat manfaat karena lebih cenderung untuk:
● Identifikasi dan koreksi masalah kontrol internal tepat waktu
● Menghasilkan informasi yang lebih akurat dan andal untuk digunakan dalam
pengambilan keputusan
● Menyiapkan laporan keuangan yang akurat dan tepat waktu
● Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang
efektivitas kontrol internal

3.10 The COSO Framework’s Other Dimensions

Bagian sebelumnya telah menjelaskan komponen yang lebih penting dari internal
COSO kerangka kerja kontrol, dari lingkungan kontrol hingga pemantauan. Masing-masing
menggambarkan komponen atau elemen penting dari pengendalian internal yang harus efektif
secara individual dan harus bekerja dengan elemen kontrol internal terkait lainnya.
 Dengan cara yang sama, masing-masing kontrol internal ini harus dipertimbangkan
sehubungan dengan sisi ukuran organisasi kubus COSO. Yaitu, kontrol internal harus efektif
dalam unit bisnis individu atau departemen, di bisnis yang lebih besar atau tingkat fungsional,
dan untuk seluruh entitas bisnis.

BAB 4
COSO INTERNAL CONTROL PRINCIPLES

4.1 COSO Internal Control Framework Principles

4.2 Control Environment Principle 1: Integrity and Ethical Values

Menekankan pada pentingnya “tone of the top”, pesan CEO atau manajer senior
kepada seluruh jajaran stakeholder. Pesan tersebut harus disebarluaskan dan menjadi etika
tertinggi dalam seluruh aspek bisnis termasuk dalam cara memperlakukan pegawai dan
pelanggan. Tone of the top penting untuk menciptakan lingkungan pengendalian internal
yang efektif.
 Menegaskan Kepatuhan Terhadap Kode Etik
Kode etik suatu perusahaan harus merupakan living document. Jika kode etik
baru atau bahkan sebuah revisi utama dari kode yang ada, perusahaan harus
melakukan upaya besar untuk melakukan pengiriman salinan kode tersebut kepada
semua karyawan dan pemangku kepentingan. Kode etik baru dapat dikomunikasikan
melalui sebuah video oleh CEO, webcast, sesi pelatihan atau cara lain untuk
menekankan penting dan makna kode tersebut. Metode komunikasi khusus mungkin
digunakan oleh kelompok lain seperti vendor atau kontraktor, namun tetap memiliki
tujuan yang sama. Perusahaan harus memastikan apakah masing-masing stakeholder
menyepakati kode etik tersebut melalui kesepakatan yang tercatat untuk menghindari
ketidaktahuan dan pelanggaran kode etik di masa depan.
Pelanggaran Kode dan Tindakan Korektif
Selain menerbitkan kode etik dan mendapatkan pengakuan dari pemangku
kepentingan, juga dibutuhkan mekanisme untuk melaporkan pelanggaran kode etik,
menyelidiki dan menangani pelanggaran tersebut. Kode etik menggambarkan
serangkaian peraturan untuk tindakan yang diharapkan oleh perusahaan. Saat
pelanggaran ditemukan, masalahnya harus diselidiki dan dilakukan secara konsisten
dengan mengabaikan tingkatan pangkat pelaku.

4.3 Control Environment Principle 2: Role of the Board of Directors

Lingkungan kontrol sangat dipengaruhi oleh tindakan dewan direksi perusahaan dan
komite auditnya, dengan prinsip "Pastikan bahwa dewan menjalankan tanggung jawab
pengawasan."
Pada tahun-tahun sebelum Sarbanes-Oxley Act (SOx), dewan dan komite audit
mereka sering didominasi oleh manajemen senior di dalam direksi, seringkali dengan
perwakilan terbatas dari luar, anggota dewan minoritas. Ini menciptakan situasi di mana
dewan tidak sepenuhnya independen dari manajemen. Pejabat perusahaan duduk di dewan
dan pada dasarnya mengelola diri mereka sendiri, seringkali dengan sedikit perhatian
terhadap investor luar. SOx mengubah ini dan mengharuskan komite audit benar-benar
independen. Papan aktif dan independen adalah komponen penting dari lingkungan kontrol
COSO. Dengan menetapkan kebijakan tingkat tinggi dan dengan meninjau perilaku
perusahaan secara keseluruhan, dewan dan komite auditnya memiliki tanggung jawab utama.
 1. Menetapkan tanggung jawab pengawasan. Dewan direksi harus mengidentifikasi dan
menerima tanggung jawab pengawasannya sehubungan dengan persyaratan hukum
yang ditetapkan dan pemangku kepentingan, investor, dan harapan publik.
2. Terapkan keahlian yang relevan. Dewan direksi harus mendefinisikan,
mempertahankan, dan secara berkala mengevaluasi keterampilan dan keahlian yang
diperlukan di antara para anggotanya untuk memungkinkan mereka mengajukan
pertanyaan menyelidik tentang manajemen senior dan mengambil tindakan sepadan.
3. Beroperasi secara mandiri. Dewan direksi harus memiliki anggota yang memadai
yang independen dari manajemen dan objektif dalam evaluasi dan pengambilan
keputusan.
4. Berikan pengawasan untuk sistem kontrol internal. Jajaran direksi harus
mempertahankan tanggung jawab pengawasan untuk pengembangan dan kinerja
manajemen kontrol internal.

4.4 Control Environment Principle 3: Authority and Responsibility Needs

Manajemen harus menetapkan, dengan pengawasan dewan yang sesuai, struktur, jalur
pelaporan, dan otoritas serta tanggung jawab yang tepat dalam mengejar tujuan pengendalian
internalnya. Harus ada struktur organisasi untuk merencanakan, melaksanakan,
mengendalikan, dan secara berkala menilai kegiatan perusahaan secara keseluruhan. Tujuan
lingkungan kontrol ini adalah untuk menyediakan arus pertanggungjawaban dan informasi
yang jelas di dalam dan di seluruh perusahaan secara keseluruhan dan semua subunitnya.
Untuk menentukan bahwa prinsip pengendalian internal perusahaan ini berfungsi,
manajemen dan dewan direksi harus mempertimbangkan beberapa unit operasi, badan
hukum, lokasi geografis, dan penyedia layanan outsourcing di perusahaan untuk mendukung
pencapaian tujuan pengendalian internal ini. Saat ini perusahaan internasional yang
kompleks, dengan banyak perjanjian antara unit operasi dan penyedia luar, ini bisa menjadi
campuran yang kompleks, tetapi manajemen kemudian harus merancang dan mengevaluasi
jalur pelaporan untuk setiap struktur entitas untuk memungkinkan pelaksanaan otoritas dan
tanggung jawab dan aliran informasi untuk mengelola aktivitas entitas.
4.5 Control Environment Principle 4: Commitment to a Competent Workforce
Perusahaan harus menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten sesuai dengan tujuannya. Prinsip lingkungan
kontrol COSO ini menyerukan kebijakan dan tindakan yang memenuhi syarat bagi pemangku
kepentingan untuk melaksanakannya tanggung jawab yang ditetapkan, dan itu membutuhkan
keterampilan dan keahlian yang relevan, yang diperoleh sebagian besar dari pengalaman
profesional, pelatihan, dan sertifikasi. Komitmen untuk kompetensi dinyatakan dalam sikap
dan perilaku individu dalam melaksanakan tanggung jawab seseorang.
Prinsip lingkungan kontrol ini meminta perusahaan untuk mendefinisikan persyaratan
kompetensi mereka sebagaimana diperlukan untuk mendukung pencapaian tujuan
pengendalian internal mereka, dengan pertimbangan diberikan kepada:
● Pengetahuan, keterampilan, dan kebutuhan pengalaman
● Sifat dan tingkat penilaian dan batasan wewenang untuk diterapkan posisi spesifik
● Analisis biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman
● Pertukaran antara tingkat pengawasan dan tingkat kompetensi yang disyaratkan
karyawan individu

4.6 Control Environment Principle 5: Holding People Accountable

Manajemen dan dewan direksi harus menetapkan mekanisme untuk
mengkomunikasikan dan meminta pertanggungjawaban individu atas kinerja tanggung jawab
pengendalian internal di seluruh organisasi dan melaksanakan tindakan perbaikan jika
diperlukan. Sebagai bagian dari hal ini, mereka harus menetapkan ukuran kinerja, insentif,
dan penghargaan lainnya yang sesuai untuk tanggung jawab di semua tingkat entitas, dengan
mempertimbangkan kebutuhan. Prinsip pengendalian internal COSO ini menekankan bahwa
manajemen dan semua tingkat perusahaan harus membuat orang bertanggung jawab atas
manajemen pengendalian internal serta semua kekuatan dan kelemahan terkait. Ini adalah
konsep penting yang sering kita abaikan, dan prinsip pengendalian internal yang penting.

4.7 Risk Assessment Principle 6: Specifying Appropriate Objectives

Penilaian risiko, elemen kunci dalam kerangka pengendalian internal COSO,
didefinisikan di sini sebagai kemungkinan bahwa suatu peristiwa dapat terjadi yang akan
mempengaruhi pencapaian beberapa tujuan perusahaan secara negatif. Pengelolaan risiko
pengendalian internal mempengaruhi kemampuan perusahaan untuk berhasil, bersaing secara
efektif di industrinya, mempertahankan kekuatan finansial dan reputasi positifnya, dan
menjaga kualitas keseluruhan produk, layanan, dan orang-orangnya. Kita semua menghadapi
berbagai risiko, beberapa kemungkinan secara teratur dan lainnya tidak masuk akal. Yang
terakhir ini merujuk pada peristiwa sekali dalam seribu tahun seperti banjir besar atau gempa
bumi. Ya, mereka mungkin terjadi pada suatu waktu di masa depan, namun menetapkan
tujuan dan praktik perbaikan potensial seringkali tidak bernilai. Sebaliknya, manajemen dan
juga audit internal harus bertanya pada diri sendiri situasi potensial apa yang perlu
dikhawatirkan dalam waktu yang relatif dekat. Ini bisa menjadi dasar untuk menetapkan satu
set tujuan risiko.

4.8 Risk Assessment Principle 7: Identifying and Analyzing Risks

Manajemen perusahaan dengan dukungan audit internal harus berusaha untuk
mengidentifikasi semua kemungkinan risiko pengendalian internal yang mungkin berdampak
pada perusahaan, mulai dari risiko yang lebih besar atau lebih signifikan hingga risiko utama
yang terkait dengan proyek individual atau unit bisnis yang lebih kecil. Proses identifikasi
risiko memerlukan pendekatan yang dipelajari dan disengaja untuk melihat potensi risiko di
setiap area operasi dan kemudian mengidentifikasi area risiko yang lebih signifikan yang
dapat mempengaruhi setiap operasi dalam jangka waktu yang wajar.
Prinsip identifikasi dan analisis risiko COSO meminta pertimbangan semua orang
risiko dalam perusahaan, termasuk subunit dan fungsi operasionalnya sebagai sumber
keuangan, sumber daya manusia, pemasaran, produksi, pembelian, dan manajemen TI. Selain
itu, proses ini harus mempertimbangkan risiko internal dan eksternal yang berasal dari
penyedia layanan outsource, pemasok utama, dan mitra saluran yang secara langsung atau
tidak langsung memengaruhi pencapaian tujuan perusahaan.
Dalam melakukan penilaian risiko ini, manajemen harus mempertimbangkan tingkat
perubahan dalam menentukan frekuensi proses penilaian risiko. Sementara penilaian risiko
adalah proses dinamis, perusahaan harus menggunakan kombinasi penilaian risiko
berkelanjutan dan periodik. Audit internal dapat memainkan peran penting di sini baik dalam
perencanaan audit internal berbasis risiko dan batuan di darat mengidentifikasi area risiko
potensial sebagai bagian dari audit internal di lokasi lapangan.

4.9 Risk Assessment Principle 8: Evaluating Fraud Risks

Penilaian risiko kecurangan adalah proses yang harus digunakan perusahaan untuk
menentukan eksposurnya terhadap kecurangan internal dan eksternal. Penilaian harus
meninjau operasi dan kontrol, termasuk kebijakan dan prosedur, untuk menentukan di mana
ada celah yang memungkinkan seseorang atau sekelompok orang untuk melakukan penipuan
terhadap perusahaan. Penilaian risiko penipuan kemudian harus melihat bidang-bidang utama
perusahaan untuk menentukan apakah tindakan telah diambil yang akan mengingatkan
manajemen terhadap penipuan atau untuk secara efektif menghalangi pelaksanaan penipuan.
Setiap perusahaan memiliki tingkat risiko dan teknik mitigasi yang berbeda tergantung pada
industrinya
Proses penilaian risiko kecurangan

.
4.10 Risk Assessment Principle 9: Identifying Changes Affecting Internal Controls
Identifikasi dan analisis perubahan yang secara signifikan dapat mempengaruhi
kontrol internal. Perusahaan harus mengembangkan strategi manajemen risiko sebagai bagian
dari proses manajemen risiko mereka. Strategi manajemen risiko membahas bagaimana
perusahaan bermaksud menilai risiko yang teridentifikasi, merencanakan respons, dan
memantau risiko itu — membuat secara eksplisit dan transparan persepsi risiko yang
digunakan perusahaan secara rutin dalam membuat keputusan investasi dan operasional.
Identifikasi risiko dan strategi analisis adalah bagian penting dari manajemen risiko
perusahaan.
Strategi respons adalah komponen kunci dari kontrol internal COSO. Setelah potensi
signifikansi risiko telah dinilai, manajemen harus mempertimbangkan bagaimana risiko
tersebut harus dikelola. Manajemen harus mengembangkan strategi respons risiko umum
untuk masing-masing risiko menggunakan pendekatan yang dibangun di sekitar salah satu
dari empat strategi umum ini. Dalam melakukan hal itu, harus dipertimbangkan biaya versus
manfaat dari setiap respons risiko potensial untuk menyelaraskannya dengan selera risiko
perusahaan secara keseluruhan.
4.11 Control Activities Principle 10: Selecting Control Activities That Mitigate Risks
Prinsip aktivitas kontrol COSO yang penting ini menyatakan bahwa, sebagai bagian
dari lingkungan pengendalian intern secara keseluruhan, perusahaan harus memilih dan
mengembangkan kegiatan pengendalian yang berkontribusi terhadap mitigasi risiko
pengendalian internal terhadap pencapaian tujuan mereka ke tingkat yang dapat diterima.
Kegiatan pengendalian mencakup tindakan yang memastikan bahwa tanggapan terhadap
risiko yang dinilai, serta arahan manajemen lainnya - seperti menetapkan kode etik
perusahaan - dilakukan dengan benar dan tepat waktu. Karena setiap perusahaan memiliki
serangkaian tujuan dan pendekatan penerapannya sendiri, akan selalu ada perbedaan dalam
tujuan, risiko, tanggapan, dan aktivitas pengendalian terkait mereka.
Faktor-faktor yang spesifik perusahaan dapat mempengaruhi aktivitas pengendalian
yang diperlukan untuk mendukung sistem pengendalian internal mereka:
● Lingkungan dan kompleksitas perusahaan serta sifat dan ruang lingkup operasinya,
baik fisik maupun fisik, semuanya dapat mempengaruhi aktivitas pengendalian
perusahaan.
● Perusahaan yang sangat teratur umumnya memiliki respon risiko dan aktivitas
pengendalian yang lebih kompleks daripada entitas yang kurang diatur.
● Ruang lingkup dan sifat respons risiko dan aktivitas pengendalian untuk perusahaan
multinasional dengan operasi beragam umumnya membahas struktur pengendalian
internal yang lebih kompleks daripada perusahaan domestik yang aktivitasnya kurang
bervariasi.
● Perusahaan dengan sistem perencanaan sumber daya perusahaan yang cukup canggih.
● Perusahaan dengan operasi desentralisasi dan penekanan pada otonomi daerah dan
inovasi menghadirkan lingkungan kontrol yang berbeda daripada yang lain yang
operasinya konstan dan sangat terpusat.
Pemilihan dan pengembangan kegiatan pengendalian perusahaan yang kuat yang
mengurangi risiko keseluruhan merupakan prinsip pengendalian internal COSO yang penting.
Bagi auditor internal, ini akan mengarah pada pengembangan dan pelaksanaan audit internal
yang efektif.

4.12 Control Activities Principle 11: Selecting and Developing Technology Controls
COSO menggunakan istilah teknologi dalam prinsip ini, dan itu bisa mencakup
bidang-bidang seperti pembuatan robotika, instrumen pengujian farmasi, dan pengembangan
produk video elektronik yang berorientasi konsumen. Semua produk teknologi ini dan banyak
lagi melampaui apa yang biasa kita sebut sistem TI, dan banyak masalah dan masalah kontrol
internal mereka benar-benar di luar jangkauan banyak auditor internal.
Ada banyak jenis kontrol TI yang terkait dengan teknis, manajemen, dan tata kelola
yang mencakup segala sesuatu mulai dari kebijakan TI manajemen tingkat tinggi hingga
proses kontrol untuk aplikasi tertentu dan bahkan berjalan pada perangkat genggam. Maksud
kami di sini adalah bahwa ada satu prinsip pengendalian internal COSO yang berbicara
tentang pentingnya kontrol TI, tetapi perusahaan menghadapi tantangan untuk memilih dan
mengembangkan kontrol TI yang sesuai.

4.13 Control Activities Principle 12: Policies and Procedures

Yang ketiga dari prinsip-prinsip kegiatan pengendalian COSO mengharuskan
perusahaan melakukan kegiatan pengendaliannya melalui kebijakan dan prosedur. Kebijakan
aktivitas pengendalian menentukan dan menetapkan apa yang diharapkan, dan prosedur
memasukkan kebijakan tersebut ke dalam tindakan. Sementara perusahaan biasanya memiliki
banyak kebijakan dan prosedur untuk mencapai tujuannya, kegiatan pengendalian harus
dimulai yang secara khusus berkaitan dengan kebijakan dan prosedur tersebut dan
berkontribusi terhadap mitigasi risiko untuk pencapaian tujuan pada tingkat yang dapat
diterima.
Kebijakan yang diterbitkan perusahaan harus memiliki elemen berikut:
● Tujuan kebijakan. Harus ada pernyataan tingkat tinggi yang menguraikan maksud
atau tujuan kebijakan tingkat tinggi.
● Lokasi dan penerapan. Harus ada definisi apakah kebijakan tersebut hanya berlaku
untuk beberapa unit atau bersifat global.
● Peran dan tanggung jawab. Deskripsi harus mencakup semua orang yang terlibat
dalam polis. Sebuah prosedur tidak akan berguna jika dilakukan dengan cara hafalan,
tanpa fokus yang tajam dan terus berlanjut terhadap risiko kebijakan yang diarahkan.
Elemen kunci dari prinsip aktivitas pengendalian ini adalah bahwa perusahaan harus
menerapkan kebijakan yang menetapkan prosedur yang diharapkan dan relevan untuk
mencerminkan kebijakan ini.
Prinsip kegiatan pengendalian ini menuntut langkah-langkah tindakan sebagai berikut:
● Menetapkan kebijakan dan prosedur untuk mendukung penerapan arahan manajemen.
● Menetapkan tanggung jawab dan akuntabilitas untuk melaksanakan kebijakan dan
prosedur.
 ● Lakukan dengan menggunakan personil yang kompeten.
● Lakukan pada waktu yang tepat.
● Lakukan tindakan perbaikan bila sesuai.
● Menilai ulang kebijakan dan prosedur.

4.14 Information and Communication Principle 13: Using Relevant, Quality

Information
Suatu perusahaan harus memperoleh dan menggunakan informasi yang relevan dan
berkualitas untuk mendukung fungsi komponen pengendalian internalnya. Informasi
diperlukan bagi perusahaan untuk melaksanakan tanggung jawab pengendalian internalnya
dalam mendukung tercapainya tujuan. Mendapatkan informasi yang relevan memerlukan
manajemen untuk mengidentifikasi dan menentukan persyaratan informasi pada tingkat detail
dan spesifik kota yang kuat. Mengidentifikasi kebutuhan informasi adalah proses yang
berulang dan berulang yang terjadi selama kinerja sistem pengendalian internal yang efektif.
Persyaratan informasi ditetapkan melalui kegiatan yang dilakukan untuk mendukung
unsur atau komponen pengendalian internal lainnya. Persyaratan ini memudahkan dan
mengarahkan manajemen dan personil lainnya untuk mengidentifikasi sumber informasi dan
data dasar yang relevan dan andal.
● Informasi dari Sumber yang Relevan
Dengan meningkatnya penggunaan video, suara, dan komunikasi melalui Internet dan
sumber nirkabel, selain laporan cetak yang lebih tradisional, informasi internal dan eksternal
diterima dari berbagai sumber dan dalam berbagai bentuk dan format. Dalam mengelola
informasi mereka dari sumber eksternal, manajemen harus mempertimbangkannya dalam
kerangka cakupan kegiatan, aktivitas, dan sumber data yang komprehensif yang tersedia
secara internal dan dari sumber terpercaya, dan memilih yang paling relevan dan berguna
bagi struktur organisasi saat ini, bisnis model, atau tujuan.
● Pengolahan Data melalui Sistem Informasi
Sistem informasi mencakup kombinasi antara orang, proses, dan teknologi yang
mendukung proses dasar bisnis atau fundamental yang dikelola secara internal maupun yang
didukung melalui hubungan dengan penyedia layanan outsource dan pihak eksternal lainnya.
Informasi dapat diperoleh melalui berbagai bentuk, termasuk input manual atau kompilasi,
atau melalui penggunaan proses TI seperti antarmuka pemrograman aplikasi link otomatis.
Volume informasi yang dapat diakses oleh perusahaan menyajikan peluang dan risiko. Akses
yang lebih besar terhadap informasi umumnya akan meningkatkan kontrol internal. Sifat dan
tingkat kebutuhan informasi, kompleksitas dan volume informasi ini, dan ketergantungan
pada pihak eksternal memengaruhi rentang kecanggihan sistem informasi, termasuk tingkat
penyebaran teknologi.
Sistem informasi yang dikembangkan dengan terintegrasi, proses yang
memungkinkan teknologi memberi peluang bagi perusahaan untuk meningkatkan efisiensi,
kecepatan, dan aksesibilitas informasi kepada pengguna. Selain itu, sistem informasi
semacam itu dapat meningkatkan kontrol internal atas risiko keamanan dan privasi yang
terkait dengan informasi yang diperoleh dan dihasilkan oleh perusahaan. Mencapai
keseimbangan yang tepat antara keuntungan dan biaya untuk mendapatkan dan mengelola
informasi dan sistem pendukung merupakan pertimbangan utama dalam membangun sistem
informasi yang sesuai dengan kebutuhan perusahaan.

4.15 Information and Communication Principle 14: Internal Communications

Suatu perusahaan harus secara internal mengkomunikasikan informasi pengendalian
internal, termasuk tujuan dan tanggung jawabnya, untuk mendukung berfungsinya komponen
pengendalian internal lainnya. Disahkan oleh manajemen senior, komunikasi informasi ini
harus disampaikan ke semua elemen di seluruh perusahaan dan meliputi:
● Pentingnya, relevansi, dan manfaat pengendalian internal yang efektif
● Peran dan tanggung jawab manajemen dan personil lainnya dalam melakukan proses
pengendalian internal tersebut
● Harapan perusahaan untuk berkomunikasi atas, bawah, dan melintasi hal-hal yang
signifikan terkait dengan pengendalian internal, termasuk contoh kelemahan,
kemunduran, atau ketidakpatuhan
Komunikasi Pengendalian Internal
Komunikasi pengendalian internal dimulai dengan penyampaian dan komunikasi
tujuan. Semua personil juga harus menerima pesan yang jelas dari manajemen senior bahwa
tanggung jawab pengendalian internal mereka harus ditangani secara serius. Melalui
komunikasi tujuan dan sub-tujuan, personil harus memahami bagaimana peran, tanggung
jawab, dan tindakan mereka berhubungan dengan pekerjaan orang lain di perusahaan,
tanggung jawab mereka untuk pengendalian internal, dan apa yang dianggap sebagai perilaku
yang dapat diterima dan tidak dapat diterima.
Selain itu, informasi yang dibagikan melalui komunikasi internal membantu
manajemen dan personil lainnya untuk mengenali masalah atau masalah potensial,
menentukan penyebabnya, dan melakukan tindakan korektif. Komunikasi antara manajemen
dan dewan direksi memberikan informasi yang dibutuhkan kepada dewan pengawas untuk
pengendalian internal.
Komunikasi Internal di luar Normal Channels
Agar informasi mengalir, turun, dan melintasi perusahaan, harus ada saluran
komunikasi terbuka dan kemauan yang jelas untuk dilaporkan dan didengarkan. Manajemen
dan personil lainnya harus percaya bahwa atasan mereka benar-benar ingin mengetahui
masalah pengendalian internal dan mereka akan menangani hal tersebut jika diperlukan.
Dalam beberapa keadaan, diperlukan jalur komunikasi yang terpisah untuk membentuk
mekanisme kegagalan-aman untuk komunikasi anonim atau rahasia bila saluran normal
tidak berfungsi atau tidak efektif.
Pemangku kepentingan perusahaan harus sepenuhnya memahami bagaimana saluran
komunikasi ini beroperasi dan bagaimana mereka secara sadar dilindungi untuk
penggunaannya. Kebijakan dan prosedur harus dilakukan agar semua komunikasi melalui
saluran ini dinilai, diprioritaskan, dan diselidiki. Prosedur eskalasi harus dilakukan untuk
memastikan bahwa komunikasi yang diperlukan akan dilakukan kepada anggota dewan yang
ditunjuk, kepala audit internal, atau kepala etika, jika ada fungsi semacam itu, siapa yang
bertanggung jawab untuk memastikan bahwa penilaian tepat waktu dan tepat , investigasi,
dan tindakan yang tepat dilakukan.
Metode Komunikasi
Kejelasan dan keefektifan informasi yang dikomunikasikan penting untuk
memastikan agar pesan-pesan ini diterima sebagaimana mestinya. Bentuk komunikasi aktif
seperti pertemuan tatap muka sering kali lebih efektif daripada bentuk pasif seperti mengirim
e-mail atau posting Web. Evaluasi berkala terhadap efektivitas praktik komunikasi
perusahaan membantu memastikan bahwa metode ini berhasil. Hal ini dapat dilakukan
melalui berbagai proses yang ada, seperti evaluasi kinerja karyawan, review manajemen
tahunan, dan program umpan balik.
Manajemen harus memilih metode komunikasi yang tepat, dengan
mempertimbangkan khalayak, sifat persyaratan komunikasi, ketepatan waktu, biaya, dan
keamanan dan privasi serta persyaratan hukum atau peraturan. Saat memilih metode atau
format untuk komunikasi, manajemen harus mempertimbangkan lingkungan tempat pesan
dikirim, persyaratan mereka untuk menyampaikan komunikasi kepada pihak internal
terutama pihak eksternal dimana pesan terkait dengan kepatuhan terhadap undang-undang
dan peraturan.
4.16 Information and Communication Principle 15: External Communications
Prinsip COSO penting yang harus ditetapkan dan diterapkan perusahaan adalah
kebijakan dan prosedur yang memfasilitasi komunikasi eksternal yang efektif. Komunikasi
dengan pihak eksternal memungkinkan orang lain untuk memahami kejadian, aktivitas, dan
keadaan lain yang mungkin mempengaruhi bagaimana mereka berinteraksi dengan
perusahaan.
Masalah kompleksitas komunikasi dapat timbul antara perusahaan dan pihak eksternal
melalui penyedia layanan dan pengaturan outsourcing lainnya, usaha patungan dan aliansi,
dan transaksi lainnya yang menciptakan saling ketergantungan antara kedua belah pihak.
Serupa dengan komunikasi internal manajemen harus mempertimbangkan banyak
bentuk dan metode komunikasi yang digunakan, dengan mempertimbangkan khalayak, sifat
komunikasi, ketepatan waktu, dan persyaratan hukum atau peraturan lainnya. Komunikasi
informasi pengendalian internal dan data ke pihak eksternal merupakan prinsip yang penting
namun sering diabaikan.

4.17 Monitoring Principle 16: Internal Control Evaluations

Kegiatan pemantauan menilai apakah tujuan pengendalian internal COSO ada dan
berfungsi. Suatu perusahaan harus menggunakan proses evaluasi yang berkelanjutan dan
terpisah untuk memastikan apakah prinsip pengendalian internal yang ditetapkan, baik di
seluruh perusahaan dan sub unitnya, berlaku, sekarang, dan berfungsi. Pemantauan
merupakan faktor kunci dalam penilaian efektivitas pengendalian internal. Ketika
pemantauan dirancang dan dilaksanakan dengan tepat, perusahaan harus diuntungkan karena
lebih mungkin untuk:
● Mengidentifikasi dan memperbaiki masalah pengendalian internal secara tepat waktu
● Menghasilkan informasi yang lebih akurat dan andal untuk digunakan dalam
pengambilan keputusan
● Menyiapkan laporan keuangan yang akurat dan tepat waktu
● Berada dalam posisi untuk memberikan kodifikasi atau pernyataan berkala mengenai
efektivitas pengendalian internal
Seiring waktu, pemantauan yang efektif dapat menyebabkan efisiensi organisasi dan
mengurangi biaya yang
Terkait dengan pelaporan publik mengenai pengendalian internal, karena masalah
terkait pemantauan diidentifikasi dan ditangani secara proaktif dan bukan reaktif.
4.18 Monitoring Principle 17: Communicating Internal Control Deficiencies
Perusahaan harus mengkomunikasikan defisiensi pengendalian internalnya pada
waktu yang tepat kepada semua pihak yang bertanggung jawab untuk mengambil tindakan
perbaikan, termasuk manajemen senior dan dewan direksi. Perusahaan harus
mengidentifikasi hal-hal yang berkaitan dengan pemantauan yang layak mendapat perhatian
baik yang mewakili kelemahan potensial maupun nyata dalam beberapa aspek sistem kontrol
internal perusahaan dan yang berpotensi mempengaruhi kemampuan perusahaan untuk
mencapai tujuannya secara negatif. Selain itu, perusahaan harus berusaha untuk
mengidentifikasi peluang untuk meningkatkan efisiensi pengendalian internalnya