CHAPTER 4

17 PRINSIP KONTROL INTERNAL COSO

Sistem pengendalian intern yang dianut pemerintah Indonesia salah satunya diadopsi dari COSO
(Commitee of Sponsoring Organization of Treadway Commision) yaitu komisi yang bergerak di bidang
manajemen organisasi. Tujuan dari Sistem Pengendalian Intern secara umum akan membantu suatu
organisasi  mencapai tujuan operasional yaitu efektifitas dan efisiensi kegiatan, keterandalan laporan
keuangan, dan kepatuhan pada peraturan yang berlaku. Sistem Pengendaian Intern perlu diketahui oleh
seluruh komponen organisasi karena sistem ini merupakan sistem yang terintegrasi dan merupakan
tanggung jawab bersama untuk mewujudkan tujuan organisasi.

Kerangka Pengendalian Internal-Terpadu COSO 2013 diterbitkan pada tahun 1992 oleh COSO.
Kemudian pada tanggal 14 Mei 2013, COSO merilis versi terbaru dari Kerangka Pengendalian Internal-
Terpadu. Kerangka baru COSO adalah hasil dari proyek multitahunan yang signifikan, termasuk dua
putaran paparan publik untuk meninjau, menyegarkan, dan memodernisasi kerangka asli dengan
memastikannya tetap relevan.
Para regulator dan stakeholder mempunyai ekspektasi tinggi mengenai pengawasan tata kelola,
manajemen risiko, dan pendeteksian serta pencegahan penyelewengan (fraud). Sementara kemajuan
telah dibuat dalam menghubungkan manajemen risiko dan praktik pengendalian internal dalam
mengejar tujuan strategis organisasi. Banyak perubahan sejak tahun 1992, peningkatan risiko bisnis
secara signifikan, sehingga kebutuhan akan kompetensi dan akuntabilitas jauh lebih besar dari
sebelumnya.
Perbedaan dari kerangka tahun 1992 :
Ø  Kerangka asli termasuk diskusi panjang konsep pengendalian internal, yang sekarang pengetahuan
institusional.
Ø  Meskipun konsep prinsip-prinsip pengendalian internal telah tertanam dalam kerangka asli, prinsip
tersebut belum terinci.
Ø  Praktisi telah menggunakan kerangka pengendalian internal atas pelaporan keuangan eksternal, namun
kerangka ini meliputi tiga kategori utama, yaitu : tujuan termasuk operasi, pelaporan secara
keseluruhan, dan tujuan kepatuhan.

Dengan demikian, prinsip-prinsip yang mendasari perampingan kerangka asli yaitu:

1.      meningkatkan fokus pada operasi,
2.      pelaporan keuangan noneksternal, dan
3.      tujuan kepatuhan.

Menurut COSO, “Pengendalian internal adalah suatu proses yang dilakukan oleh dewan entitas
direksi, manajemen, dan personil lainnya; dirancang untuk memberikan keyakinan memadai tentang
pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan.”
            Kerangka pengendalian internal tahun 2013 masih menggunakan tiga kategori tujuan tersebut,
dan terdiri dari lima komponen terpadu : lingkungan pengendalian, penilaian risiko, aktivitas
pengendalian, informasi dan komunikasi, serta pemantauan. Kerangka tersebut terus beradaptasi, dan
memungkinkan kita untuk mempertimbangkan pengendalian internal dari entitas, divisi, unit operasi,
dan/atau tingkat fungsional, misalnya pusat layanan bersama.
Ø  Komponen Pengendalian Internal dalam Kerangka COSO 2013
Ada 17 prinsip-prinsip pengendalian internal dalam komponen pengendalian internal :
I. Lingkungan Pengendalian
1. Menunjukkan komitmen terhadap integritas dan etika nilai-nilai.
2. Tanggung jawab pengawasan pelatihan.
3. Menetapkan struktur, wewenang, dan tanggung jawab.
4. Menunjukkan komitmen untuk berkompetensi
5. Meningkatkan akuntabilitas
II. Penilaian Risiko
6. Menentukan tujuan yang sesuai.
7. Mengidentifikasi dan menganalisis risiko
8. Menilai risiko penyelewengan (fraud)
9. Mengidentifikasi dan menganalisis perubahan yang signifikan.
III.  Aktivitas Pengendalian
10.   Memilih dan mengembangkan kegiatan pengendalian
11.   Memilih dan mengembangkan kontrol umum atas teknologi.
12.   Menyebarkan melalui kebijakan dan prosedur.
IV.   Informasi dan Komunikasi
13.   Menggunakan informasi yang relevan.
14.    Berkomunikasi secara internal
15.    Berkomunikasi eksternal
  V.     Monitoring
16.     Melakukan evaluasi berkelanjutan dan/atau terpisah.
17.     Mengevaluasi dan mengkomunikasikan kelemahan.

I. Lingkungan Pengendalian
Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan dalam suatu organisasi
yang akan mempengaruhi efektivitas pengendalian. Kondisi lingkungan kerja dipengaruhi oleh
beberapa hal, yaitu  adanya penegakan integritas dan etika seluruh anggota organisasi,
omitmen pimpinan manajemen atas kometensi, kepemimpinan manajemen yang kondusif,
pembentukan struktur organisasi yang sesuai dengan kebutuhan, pendelegasian wewenang
dan tanggung jawab yang tepat, penyusunan dan penerapan kebijakan yang sehat tentang
pembinaan sumber daya manusia, perwujudan peran aparat pengawasan yang efektif, dan
hubungan kerja yang baik dengan pihak ekstern.
II. Penilaian Risiko
Risiko merupakan hal-hal yang berpotensi menghambat tercapainya tujuan. Identifikasi
terhadap risiko (risk identification) diperlukan untuk mengetahui potensi-potensi kejadian
yang dapat menghambat dan menghalangi terwujudnya tujuan organisasi. Setelah dilakukan
identifikasi maka dilakukan analisis terhadap risiko meliputi analisis secara kuantitatif
(quantitative risk analysis) dan kualitatif (qualitative risk analysis). Analisis risiko akan
menentukan dampak kejadian, serta merupakan input untuk mendapatkan cara mengelola
risiko tersebut.
III. Aktivitas Pengendalian
 Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko, menetapkan
dan melaksanakan kebijakan serta prosedur, serta memastikan bahwa tindakan tersebut telah
dilaksanakan secara efektif. Tindakan-tindakan yang dilakukan untuk mengatasi risiko dapat
dibagi menjadi 2 jenis tindakan yaitu tindakan preventif dan tindakan mitigasi. Tindakan
preventif adalah tindakan yang dilakukan sebelum kejadian yang berisiko berlangsung,
sedangkan tindakan mitigasi adalah tindakan yang dilakukan setelah kejadian berisiko
berlangsung, dalam hal ini tindakan mitigasi berfungsi untuk mengurangi dampak yang terjadi.
Tindakan-tindakan tersebut juga harus dilakukan evaluasi sehingga dapat dinilai keefektifan
serta keefisienan tindakan tersebut.
IV. Informasi dan Komunikasi
Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan keputusan dalam
rangka penyelenggaraan tugas dan fungsi organisasi. Informasi yang berkualitas tentunya
harus dikomunikasikan kepada pihak-pihak yang terkait. Penyampaian informasi yang tidak
baik dapat mengakibatkan kesalahan interpretasi penerima informasi.
V. Pemantauan Pengendalian Intern
Pemantauan (monitoring) adalah tindakan pengawasan yang dilakukan oleh pimpinan
manajemen dan pegawai lain yang ditunjuk dan bertanggung jawab dalam pelaksanaan tugas
sebagai penilai terhadap kualitas dan efektivitas sistem pengendalian intern. Pemantauan
dapat dilakukan dengan 3 cara yaitu pemantauan berkelanjutan (on going monitoring),
evaluasi yang terpisah (separate evaluation), dan tindak lanjut atas temuan audit.

Titik Fokus Selain mengenalkan prinsip-prinsip sebagai hal baru, COSO IC 2013 juga
mengenalkan 81 titik fokus (points of focus). Titik fokus tersebut mencerminkan ciri khas
penting dari masing-masing prinsip dan dapat digunakan untuk memfasilitasi proses
merancang, menerapkan, dan mengarahkan pengendalian intern. Titik fokus menjadi sarana
manajemen untuk memastikan bahwa prinsip-prinsip telah ada dan berfungsi dengan baik.
Mirip dengan hubungan antara prinsip dengan komponen, titik fokus ini memiliki hubungan
yang sifatnya mendukung tiap prinsip yang ada. Artinya, di dalam masing-masing prinsip
terdapat beberapa titik fokus yang mendukungnya. Mengingat jumlahnya yang banyak, saya
tidak akan menguraikan satu per satu titik fokus tersebut. Sebagai contoh saja, prinsip
"Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika" pada komponen
"Lingkungan Pengendalian" didukung oleh empat titik fokus yaitu: set the tone at the top;
penetapan standar perilaku; evaluasi kepatuhan terhadap standar perilaku; penanganan
deviasi/penyimpangan tepat waktu. Keterbatasan Pengendalian Intern Sebagaimana
termaktub di dalam definisi, keberadaan pengendalian intern dirancang untuk memberikan
keyakinan memadai, bukan keyakinan mutlak. COSO IC 2013 mengungkapkan keterbatasan
pengendalian intern yang mungkin terjadi karena: penetapan tujuan sebagai prasyarat
pengendalian intern tidak tepat;  pengambilan keputusan oleh manusia yang salah atau bias; 
kegagalan/kesalahan faktor manusia sebagai pelaksana pengendalian;  kemampuan
manajemen mengesampingkan pengendalian;  kemampuan manajemen, personil lain, atau
pihak ketiga untuk berkolusi; atau  peristiwa eksternal di luar kendali organisasi. Masih banyak
hal tentang COSO IC 2013 yang dapat dieksplorasi. Jika Anda berkesempatan membaca sendiri
kerangka kerja tersebut, mungkin Anda akan menemukan hal-hal lain yang lebih menarik.
 CHAPTER 5

SARBAN-OXLEY

A. Elememen Kunci Sarban-Oxley Act (SOx)

SOx memperkenalkan serangkaian proses yang sepenuhnya berubah untuk audit
eksternal dan memberikan tanggung jawab tata kelola baru kepada eksekutif senior dan
anggota dewan. Ini juga menetapkan PCAOB, sebagai otoritas penentu aturan di bawah SEC
yang mengeluarkan standar audit keuangan dan memantau tata kelola auditor eksternal.
Sebagian besar undang-undang SOx berisi aturan yang tidak terlalu signifikan bagi
sebagian besar auditor internal dan profesional bisnis. Tampilan 5.1 merangkum bagian utama
SOx, dan diskusi tentang judul SOx utama berikut. Maksud kami adalah untuk tidak
mereproduksi teks lengkap dari undang-undang ini - dapat ditemukan di Web 1 - tetapi untuk
menyoroti bagian-bagian hukum yang penting bagi audit internal dan profesional bisnis.
B. Kinerja Bagian 404 Ulasan AS5
Bagian sebelumnya meringkas isi dan persyaratan penting dalam undang-undang SOx.
Ini adalah hukum yang penting, dan setiap auditor internal harus memiliki pemahaman CBOK
umum tentang isinya. Melampaui hanya pemahaman umum ini, Bagian 404 SOx tentang
tinjauan kontrol akuntansi internal harus menerima perhatian dan pemahaman audit paling
internal. Selain laporan keuangan dan pengungkapan 10-K lainnya, persyaratan 404 memerlukan
dua elemen informasi dalam masing-masing 10-K ini:
1. Pernyataan manajemen formal yang mengakui tanggung jawab mereka untuk menetapkan
dan memelihara struktur dan prosedur pengendalian internal yang memadai untuk
pelaporan keuangan
2. Penilaian, pada akhir tahun fiskal terbaru, mengenai efektivitas struktur dan prosedur
pengendalian internal perusahaan untuk pelaporan keuangan

Meluncurkan Bagian 404 Tinjauan Kepatuhan: Mengidentifikasi Proses-Proses Utama Setiap

perusahaan menggunakan serangkaian proses untuk melakukan aktivitas bisnis normalnya.
Proses-proses ini biasanya dipertimbangkan dalam hal siklus akuntansi dasar dan mencakup:
 Siklus pendapatan.
Proses berurusan dengan penjualan atau pendapatan lain untuk perusahaan.
 Siklus pengeluaran langsung.
Meliputi pengeluaran bahan atau biaya produksi langsung.
 Siklus pengeluaran tidak langsung. Biaya operasi yang tidak dapat secara langsung
dikaitkan dengan kegiatan produksi tetapi diperlukan untuk operasi bisnis secara
keseluruhan.
 Siklus penggajian.
Meliputi semua kompensasi personil.
 Siklus inventaris.
Walaupun inventaris pada akhirnya akan diterapkan pada produksi sebagai pengeluaran
langsung, proses khusus diperlukan karena sifat penahanan persediaan yang berbasis
waktu sampai diterapkan pada produksi.
 Siklus aset tetap.
Properti dan peralatan memerlukan proses akuntansi yang terpisah, seperti akuntansi
penyusutan berkala dari waktu ke waktu.
 Siklus TI umum.
Serangkaian proses ini mencakup kontrol teknologi informasi (TI) yang bersifat umum
atau berlaku untuk semua operasi TI.

C. Aturan AS5 dan Audit Internal

Tak lama setelah SOx menjadi undang-undang di Amerika Serikat, PCAOB merilis
Auditing Standard No. 2 (AS2), pedoman baru yang menyerukan auditor eksternal untuk
mengambil pendekatan konservatif dan terperinci dalam audit mereka terhadap laporan
keuangan. AS5 memiliki empat tujuan luas:
 1. Fokus audit kontrol internal pada hal-hal yang paling penting. AS5 meminta auditor
eksternal untuk memfokuskan tinjauan mereka pada bidang-bidang yang menghadirkan
risiko terbesar bahwa pengendalian internal akan gagal untuk mencegah atau
mendeteksi salah saji material dalam laporan keuangan.
2. Hilangkan prosedur audit yang tidak perlu untuk mencapai manfaat yang diharapkan.
AS5 tidak termasuk persyaratan rinci standar AS2 sebelumnya untuk mengevaluasi
proses evaluasi manajemen sendiri dan menjelaskan bahwa audit kontrol internal tidak
memerlukan pendapat tentang kecukupan proses manajemen.
3. Jadikan audit dapat diskalakan agar sesuai dengan ukuran dan kompleksitas perusahaan
mana pun. Untuk memberikan panduan bagi audit perusahaan yang lebih kecil dan
kurang kompleks, AS5 menyerukan menyesuaikan audit pengendalian internal agar
sesuai dengan ukuran dan kompleksitas perusahaan yang diaudit.
4. Sederhanakan teks standar. AS5 lebih pendek dan lebih mudah dibaca daripada
pendahulunya AS2. Ini sebagian karena standar telah disederhanakan dan direorganisasi
untuk mulai dengan audit itu sendiri; definisi dan informasi latar belakang lainnya hanya
dimasukkan sebagai lampiran.

D. Dampak Terhadap Aksi Sarban-Oxley

SOx adalah hukum yang penting, dan setiap auditor internal harus memiliki pemahaman
umum tentang kontennya sebagai persyaratan CBOK. Melampaui hanya pemahaman umum ini,
Bagian 404 SOx tentang tinjauan kontrol akuntansi internal harus menerima perhatian dan
pemahaman audit paling internal. Dalam Bagian 404, suatu perusahaan bertanggung jawab
untuk meninjau, mendokumentasikan, dan menguji kontrol akunting internalnya sendiri, dengan
hasil review tersebut kemudian diteruskan ke auditor eksternal perusahaan, yang ditugasi untuk
meninjau dan membuktikan pekerjaan tersebut sebagai bagian dari mereka. penelaahan atas
laporan keuangan yang dilaporkan.
SOx telah menyebabkan banyak perubahan pada perusahaan, terutama di Amerika
Serikat, dan juga di seluruh dunia. Peran dan tanggung jawab auditor eksternal dan internal
telah berubah, dan perusahaan tentu saja melihat kontrol internal dan etika bisnis dari
perspektif yang jauh berbeda.