3.

6 PENILAIAN RISIKO
Memahami dan mengatur lingkup risiko adalah elemen dasar dari fondasi pengendalian internal,
dan perusahaan harus memiliki langkah proses dalam mengevaluasi potensi risiko yang dapat
menghambat tercapainya tujuan perusahaan. Penilaian pengendalian internal COSO harus berupa
proses kedepan yang dilaksanakan di semua level dan aktivitas virtual dalam suatu perusahaan;
langkah penilaian ini sebagai berikut:
1. Mengestimasi signifikansi dari risiko
2. Menilai kemungkinan resiko terjadi
3. Mempertimbangkan bagaimana risiko di atasi dan tindakan apa yang harus dilakukan.
Pengendalian internal COSO menekankan bahwa analisa resiko bukanlah sekadar proses teoritis,
namun penting bagi kesuksesan perusahaan. Dalam menilai risiko yang terjadi, manajemen perlu
menyadari bahwa risiko yang kemungkinan terjadi bervariasi, karena itu COSO melihat dari tiga
perspektif:
 Risiko Perusahaan akibat Faktor Eksternal
Risiko ini termasuk pengembangan teknologi yang dapat mempengaruhi lingkungan dan timing
dari riset produk baru dan pengembangan terhadap perubahan dalam proses pembelian. Faktor
eksternal lain termasuk berubahnya perilaku/ekspektasi konsumen, penetapan harga, jaminan, atau
aktivitas servis. Perubahan peraturan dapat memaksa perubahan pula dalam kebijakan operasi dan
strategi. Lebih lanjut dijelaskan di Chapter 6 mengenai COSO ERM Framework
 Risiko Perusahaan akibat Faktor Internal
Contoh dari risiko ini seperti gangguan IT server perusahaan atau manajemen data yang dapat
secara signifikan mempengaruhi operasi secara keseluruhan. Kualitas pegawai yang di rekrut,
termasuk pelatihan dan motivasi, dapat mempengaruhi pula level kendali di dalam perusahaan.
Sebagai tambahan, keterbatasan akses pegawai terhadap aset dapat menimbulkan misapropriasi
sumber daya.
 Risiko Tingkatan-aktivitas yang Spesifik
Selain dipandang sebagai tingkatan perusahaan, risiko juga harus dipertimbangkan dalam tiap aspek
dan aktivitas bisnis, seperti pemasaran, IT, dan keuangan. Aktivitas ini dinilai berkontribusi
terhadap tingkatan perusahaan dan sudah seharusnya diidentifikasi dalam basis keseharian yang
dapat terpengaruhi oleh risiko pula. Ketika proses penilaian risiko dalam suatu perusahaan tidak
nyata, auditor internal harus menganggap ini sebagai kekurangan proses forma sebagai bagian dari
penilaian internal kontrol secara keseluruhan
Implementasi proses kerap kali menujukkan penilaian risiko, namun inti dari penilaian itu masih
kurang. Contoh, persetujuan otorisasi atas suatu barang baru mungkin melibatkan kotak seleksi
untuk mendeskripsikan risiko terkait produk tersebut. Manajemen lokal mungkin secara konsisten
menilai “rendah”, tanpa analisa lebih jauh sampai akhirnya suatu kegagalan besar terjadi (samsung).
Karena itu, internal auditor disini berperan penting dalam menginvestigasi dan menganalisa alasa
dibalik penilaian setiap manajerial ini.

3.7 KONTROL AKTIVITAS

Kontrol aktivitas ini diarahkan sebagai komponen Informasi dan Komunikasi, merupakan
kebijakan dan prosedur yang membantu memastikan akan tindakan pengendalian risiko terjalan
dengan penuh dan baik, mengikuti cakupan kontrol aktivitas yang luas. Konsep dari pengendalian
aktivitas adalah bagian esensial dari pembangunan kemudian menjalankan kontrol internal yang
efektif sebagai perusahaan. Menurut perspektif internal audit, pengendalian internal COSO
mengidentifikasi aktivitas-aktivitas menurut tipe prosesnya.
(i) Tipe Pengendalian Aktivitas:
 Top-level reviews : Pengendalian oleh manajemen dan auditor internal dari
berbagai level. Manajemen mem-follow up hasil dari top-level review dan mengambil
tindakan yang merepresentasikan pengendalian aktivitas.
 Direct Functional or activity management : Tindakan manajemen yang cepat dalam
pengambilan solusi sebagai bentuk tindakan korektif dari sistem pengendalian.
 Information Processing : Sistem IT yang mengandung banyak kontrol dimana
sistem secara internal mengecek pemenuhan suatu area kemudian melaporkan
adanya permasalahan pengendalian internal. Permasalahan ini kemudian dicari
solusi melalui prosedur otomatis berdasarkan sistem, personel operasi, atau
manajemen.
 Physical Controls : Pemeriksaan fisik (aset fisik, inventori, sekuritas) melalui
program pemeriksaan aktif.
 Performance indicators : Proses penyamaan data secara operasional dan finansial,
sebagai dasar pengambilan tindakan. Proses ini penting dalam pengendalian
pemenuhan kebutuhan pelaporan operasional dan finansial
 Segregation of Duties : Pembagian kerja/tugas yang merata untuk menghindari
risiko error atau pengambilan tindakan yang salah.
Pengendalian aktivitas ini termasuk dalam laporan pengendalian COSO namun hanya
merepresentasikan sedikit angka dari banyak kontrol aktivitas dalam jalan bisnis yang normal. Hal
ini bertujuan untuk menjaga perusahaan dalam jalur pencapaian tujuan perusahaan. Menurut
COSO, pengendalian internal, tidak cukup hanya disalurkan secara oral, namun bagaimana dapat
diterapkan dalam pemikiran, kesadaran, dan konsistensi secara penuh.

(ii) Integrasi Pengendalian Aktivitas dengan Penilaian Risiko.

Pengendalian internal merupakan suatu proses, dan pengendalian aktivitas yang wajar sudah
sepantasnya ada untuk mengidentifikasi resiko. Pengendalian aktivitas ini harus selalu terpantau
dan selalu ada, bukan hanya ketika suatu kasus muncul. Semua pengendalian aktivitas internal harus
berkontribusi terhadap keseluruhan struktur.

(iii) Kendali atas Sistem Informasi

COSO menekankan bahwa prosedur pengendalian dibutuhkan di seluruh bagian sistem
informasi/IT, terutama yang bersangkutan dengan keuangan, operasi, dan pemenuhan. COSO
memisahkan pengendalian sistem informasi menjadi general dan pengendalian aplikasi.
Pengendalian general mengusung fungsi dari IT untuk membantu pengendalian secara merata di
semua prosedur, sedangkan pengendalian aplikasi spesifik mengatur dalam proses IT (contoh :
pengendalian jam lembur)
COSO perlu mempertimbangkan dampak dari perkembangan teknologi yang cepat ketika
mengevaluasi pengendalian aktivitas sistem informasi, karena muncul risiko perubahan dalam
kontrol IT. Walau begitu, COSO tetap menggaris-bawahi pentingnya kendali IT sebagai suatu
kepentingan dalam lingkungan pengendalian kontrol internal secara keseluruhan.

3.8 Komunikasi dan Informasi

Informasi dan komunikasi berdasarkan tabel piramida komponen COSO, menunjukkan adalah
sebagai elemen samping yang berhubungan, namun berbeda komponen dengan kerangka
pengendalian internal. Informasi yang wajar, didukung oleh sistem IT, harus dikomunikasikan
dalam perusahaan baik secara keatas maupun kebawah dalam suatu tata cara dan waktu agar orang-
orang dapat menjalankan tanggung jawabnya dengan baik; maka prosedur yang efektif harus dibuat
agar komunikasi terhadap pihak internal maupun eksternal dapat tercipta.
 (i) Hubungan dari Informasi dengan Pengendalian Internal
 Perusahaan membutuhkan semua level informasi untuk mencapai tujuan
operasional, finansial, dan pemenuhan; karena itu COSO mengambil pendekatan
luas terhadap konsep sistem informasi dimana sistem dapat berupa manual,
otomatis, maupun konseptual, yang kemudian digunakan untuk memahami
kebutuhan yang dibutuhkan perusahaan dalam mencapai tujuannya.
 Sistem yang strategis dan terintegrasi dibutuhkan agar perusahaan dapat
menyesuaikan dan menyokong supporting process agar seimbang dengan proses
aktivitas lainnya. Peran COSO, dalam sistem strategis, adalah menyarankan
manajemen untuk mempertimbangkan perencanaan, desain, dan implementasi
dari sistem informasi sebagai bagian dari strategi perusahaan; yang kemudian
membawa misi perusahaan secara keseluruhan.
 Kualitas informasi juga masuk dalam laporan COSO, dimana informasi yang
penuh dengan kesalahan dan ketidaklengkapan, akan mempengaruhi
pengambilan keputusan manajemen yang jelek, yang berarti tingginya risiko yang
mungkin terjadi. Untuk menentukan kualitas dari suatu informasi, seorang harus
menilai apakah:
 Informasi yang dilaporkan wajar dan pantas
 Informasi sesuai waktu dan ada ketika diperlukan
 Informasi tergolong baru
 Data dan Informasi benar
 Informasi dapat diakses oleh pihak-pihak yang berkewenangan.
(ii) Aspek Komunikasi dari Pengendalian Internal.
Komunikasi didefinisikan sebagai elemen terpisah dalam kerangka COSO. COSO menekankan
bahwa komunikasi harus berada dalam level luas, agar tiap individu dapat menjalakan
tanggungjawab pemenuhan keuangan dan operasi. Walau komunikasi memiliki banyak dimensi,
COSO membagi komponen menjadi komunikasi internal dan komunikasi eksternal.
 Internal : menurut COSO, komponen terpenting dari komunikasi sebagai elemen adalah
dimana stakeholders menerima pesan dari manajemen senior mengingatkan tanggung
jawab mereka dalam pengendalian internal. Semua stakeholder harus mengetahui batasan
ketika tindakan mereka dapat tidak etis, ilegal, atau tidak pantas. Karena itu menurut COSO
komunikasi harus berjalan dua arah, dan menekankan bahwa stakeholder harus memiliki
mekanisme tersendiri untuk melapor keatas dalam perusahaan. Pelaporan ini memiliki dua
 komponen, yaitu komunikasi melalui proses normal, dan proses spesial dan rahasia.
Pelaporan normal mengacu pada proses dimana stakeholder melapor adanya kesalahan
atau permasalahan melalui supervisor.
 Eksternal : Perusahaan perlu menjalin hubungan kepada pihak luar sebagai bentuk
pertanggungjawaban publik. Seperti komunikasi Internal, harus berjalan dua arah.
Informasi yang diberikan kepada pihak luar ini harus relevan dengan yang dibutuhkan
untuk membangun pemahaman perusahaan terhadap tantangan yang akan dihadapi. Selain
itu, komunikasi eksternal dapat menjadi langkah penting untuk mengidentifikasi masalah
pengendalian.
Pada akhirnya, COSO menyimpulkan elemen komunikasi : Sebuah entitas dengan sejarah operasi yang
panjang dan kaya, dan budaya mana yang dimengerti oleh orang, akan menjumpai sedikit masalah dalam
mengkomunikasikan pesan. Entitas tanpa tradisi tersebut akan memiliki kesusahan dalam penyampaian pesan.
3.9 Monitoring
Pada dasarnya setiap tindakan aktivitas pengendalian internal harus ada yang mengawasi agar sesuai
dengan jalannya. COSO mengambil pandangan yang lebih luas mengenai pengawasan, karena
COSO menyadari bahwa prosedur pengendalian dan sistem lainnya berubah dari waktu ke waktu.
Suatu perusahaan perlu menjalani fungsi pengawasan yang variatif agar dapat mengukur
keefektivan dari pengendalian internal, dan hal ini dapat dicapai melalui evaluasi berjalan dan
pengambilan tindakan saat dibutuhkan.
(i) Pengawasan Aktivitas Berjalan, contoh menurut COSO:
 Fungsi normal manajemen operasi
 Komunikasi dari pihak eksternal
 Struktur perusahaan dan aktivitas supervisor
 Inventori fisik dan rekonsiliasi aset
(ii) Evaluasi Pengendalian Internal Terpisah
 COSO menekankan bahwa walaupun manajemen ingin melakukan perubahan
dalam lingkungan pengendalian internal secara periodik, internal audit harus
melakukan banyak ulasan untuk menilai kontrol area yang spesifik, dan ulasan ini
dapat dilakukan oleh manajemen secara langsung melalui self-assessment reviews
berdasarkan basis reguler. Ulasan berbasis internal dapat memunculkan potensi
permasalahan kendali dan membuat manajemen operasi mengambil tindakan
korektif. Adapun ulasan ini tidak sekomprehensif ulasan internal audit, maka perlu
dilakukan follow up dengan pihak internal audit.
  Panduan COSO terhadap proses evaluasi sistem kontrol (proses internal audit),
adalah evaluator harus: (1) mengembangkan pemahaman mengenai desain sistem,
(2) Tes kunci pengendalian, (3) menghasilkan kesimpulan berdasarkan hasil tes.
Pendekatan alternatif lainnya adalah melalui benchmarking.
 COSO menyadari banyak prosedur yang efektif bersifat informal dan tidak
terdokumentasikan, namun dapat di tes dan dievaluasi selayaknya yang
terdokumentasi. Apabila suatu proses yang telah ada bersifat informal, tidak
terdokumentasikan, namun diakui efektif, tim pengulas perlu menyiapkan
dokumentasi evaluasi tersendiri untuk menjelaskan bagaimana proses tersebut
bekerja dan dasar dari pengendalian internalnya.
(iii) Kekurangan dalam Pelaporan Pengendalian Internal
Ketika terdapat kekurangan kendali internal setelah melalui proses identifikasi, pada hakekatnya
perlu dilaporkan kepada pihak perusahaan yang berwenang. COSO menyarankan bahwa
keseluruhan proses audit internal perlu diidentifikasi dan dilaporkan sedetail-detailnya untuk
diinvestigasi lebih lanjut untuk memahami apakah kesalahan identifikasi selama ini disebabkan oleh
kontrol itu sendiri. Panduan COSO kemudian menyimpulkan dan menyediakan panduan yang
berguna untuk evaluasi dalam satu paragraf:
“Penemuan dari kekurangan pengendalian internal biasanya dilaporkan kepada tidak hanya mereka yang
bertanggungjawab terhadap fungsi atau aktivitas yang terkait untuk pengambilan tindakan korektif, namun juga
setidaknya pada satu level manajemen diatas pihak langsung yang bertanggung jawab. Proses ini memungkinkan
pihak tersebut untuk menyediakan bantuan yang dibutuhkan atau pantauan untuk mengambil tindakan korektif,
dan untuk mengkomunikasikan dengan yang lainnya di perusahaan yang aktivitasnya terpengaruhi. Dimana
penemuan memotong batasan organisasi, pelaporannya sendiri harus memotong dan disampaikan kepada pihak
yang lebih tinggi untuk menjamin tindakan yang lebih benar.”

3.10 OTHER DIMENSIONS OF THE COSO INTERNAL CONTROLS

FRAMEWORK
Seperti yang kita ketahui dalam penjelasan sebelumnya bahwa kerangka kerja pengendalian
internal COSO mempunyai tiga dimensi. Dimensi yang pertama adalah dimensi bagian depan
kubik yang meliputi aktivitas pengendalian. Dimensi yang kedua adalah dimensi kubik sisi kanan
yang meliputi entitas atau kegiatannya, dan yang ketiga adalah dimensi kubik bagian atas yang
meliputi tiga dimensi dari pengendalian internal yaitu , keuangan kehandalan pelaporan, dan
kepatuhan terhadap peraturan.
 Masing-masing dari aktivitas pengendalian yang ada pada dimensi kubik bagian depan
haruslah dipertimbangkan dengan dua dimensi lainnya. Dengan melakukan pertimbangan dengan
dimensi sebelah kanan kubik, maka pengendalian internal harus dipasang dan dievaluasi di seluruh
unit dalam perusahaan. Namun, ini tidak berarti bahwa aktivitas pengendalian, seperti proses
persetujuan pengeluaran, harus seluruhnya identik dalam semua unit organisasi, seperti antara
kantor pusat perusahaan dengan kantor penjualan di lokasi terpencil. Akan tetapi harus ada satu
set proses pengendalian yang konsisten di seluruh bagian perusahaan dengan pertimbangan yang
ditentukan oleh risiko relative dan lingkup operasi. Pengendalian internal ini selain harus konsisten,
juga harus dapat diterapkan secara tepat di unit operasi individu.
Dimensi bagian atas dari kerangka pengendalian internal COSO bahkan lebih signifikan.
Dimensi ini mengatakan bahwa kegiatan pengendalian internal harus dipasang di semua unit
operasi dan harus mencakup tiga faktor pengendalian internal: efektifitas, keuangan kehandalan
pelaporan, dan kepatuhan terhadap peraturan. Melihat kontrol internal dari sudut pandang tiga
dimensi ini, mungkin kita melihat terdapat beberapa variasi, namun terdapat kerangka
pengendalian yang mendasar dan konsisten di situ. Seperti yang kita ketahui bahwa terdapat
beberapa perbedaan antara kantor cabang perusahaan dengan kantor pusat, terutama pada
perusahaan besar yang mempunyai kantor cabang dengan jarak yang jauh dan bahkan berada di
belahan bumi yang lain dari kantor pusat. Perbedaan tersebut seperti fasilitas di daerah sekitar,
regulasi negara yang bersangkutan dan lain sebagainya. Namun, pengendalian internal tetap harus
dilaksanakan dengan cara yang tentunya akan menjamin kehandalan dari laporan keuangan sebagai
bentuk pelaporan kepada kantor pusat.
Semua pengendalian internal COSO harus dipertimbangkan dalam tiga dimensi COSO
yang ada pada kubus COSO, di mana pun mereka diterapkan di suatu perusahaan. Kerangka
pengendalian internal COSO ini telah menjadi standar penting untuk membangun dan
mengembangkan pengendalian internal yang efektif. Ini merupakan proses yang
berkesinambungan di masing-masing tiga dimensi.Pengendalian internal yang efektif harus
dipasang di semua tingkat unit organisasi, dan masing-masing kontrol harus peka terhadap tiga
unsur pengendalian yang ada.