DEPARTEMEN AKUNTANSI
UNIVERSITAS DIPONEGORO
SEMARANG
2020
1
RINGKASAN COSO 2013:
Pendahuluan
Sisi kanan kubus, struktur perusahaan telah berganti agar sesuai dengan ERM Framework dan
juga lebih baik dalam mengilustrasikan bahwa sebuah struktur kontrol internal mengukur
seluruh organisasi pada semua fungsi baik secara independen dan interpenden.
Pengenalan 17 Prinsip
Meskipun ke-17 prinsip ini tercatat dalam kerangka kerja, namun manajer dapat
menyatakan bahwa sebuah prinsip tidak relevan berdasarkan keadaan tertentu. Berikut
merupakan prinsip-prinsip tersebut:
a. Lingkungan Kontrol
(1) Organisasi mendemonstrasikan komitmen untuk integritas dan nilai etikal
2
(2) CEO independen dari manajemen dan melakukan pemantauan perkembangan dan
kinerja kontrol internal
(3) Manajemen membangun, dengan pemantauan CEO, struktur, garis pelaporan,
otorisasi dan tanggung jawab yang layak untuk mencapai tujuan
(4) Organisasi mendemonstrasikan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu kompeten dalam mencapai tujuan
(5) Organisasi mempertahankan individu yang bertanggung jawab untuk tugas kontrol
internal untuk mencapai tujuan
Untuk bisnis ukuran kecil, tentu saja poin 2-3 tidak berlak untuk mereka karena tidak
memiliki CEO. Pemimpin bisnis dapat menentukan apakah prinsip-prinsip tersebut relevan
dengan mereka atau tidak.
b. Pengukuran Risiko
(6) Organisasi merinci tujuan-tujuan dengan kejelasan yang cukup untuk
memungkinkan adanya identifikasi dan pengukuran risiko yang berkaitan dengan
tujuan
(7) Organisasi mengidentifikasi risiko untuk memperoleh tujuannya melewati entitas
dan analisis risiko sebagai dasar menentukan bagaimana risiko harus diolah
(8) Organisasi menyadari potensi fraud di pengukuran risiko dalam mencapai tujuan
(9) Organisasi mengidentifikasi dan mengukur perubahan yang dapat secara signifikan
berdampak pada sistem kontrol internal
Hal yang berbeda adalah pada prinsip ke 8, di mana perusahaan harus menyadari risiko fraud
sejak dini. Pada saat membangun struktur dan prosedur kontril internal, organisasi harus
menyadari dan menindak lanjuti risiko fraud yang ada di perusahaan.
c. Aktivitas Kontrol
(10) Organisasi memilih dan mengembangkan aktivitas kontrol yang berkonstribusi
memitigasi risiko pencapaian tujuan pada tingkat yang diterima
(11) Organisasi memilih dan mengembangkan aktivitas kontrol umum melalui
teknologi untuk mendukung pencapaian tujuan
(12) Organisasi menyebarkan aktivitas kontrol melalui kebijakan yang dibangun
dari apa yang diharapkan dan prosedur yang menyatakan kebijakan melalui suatu
aktivitas
3
Penggunaan teknologi di sini sebagai respon dari perubahan situasi bisnis. Panduan pada
bagian ini juga mengklarifikasi bahwa aktivitas kontrol dibangun oleh kebijakan dan
prosedur.
Perubahan menekankan pentingnya sebuah informasi yang focus dan berkualitas dan dapat
dijabarkan dalam sebuah diskusi dalam kontrol internal.
e. Aktivitas Pemantauan
(16) Organisasia memilih, mengembangkan, dan menjalankan evaluasi
berkelanjutan atau terpisah untuk meyakinkan apakah komponen kontrol internal
ada dan berfungsi
(17) Organisasi mengevaluasi dan mengkomunikasikan kekurangan kontrol internal
pada waktu yang diatur pada pihakyang berkepentingan untuk mengambil
tindakan koreksi, termasuk senior manajer, CEO, dan sewajarnya
Kerangka kerja COSO 2013 menjabarkan diskusi bagaimana teknologi dan pelayanan pihak
ketiga menyediakan dampak pada aktivitas pemantauan perusahaan.
Poin fokus secara tipikal adalah karakteristik penting yang dapat digunakan untuk
memfasilitasi perencanaan, implementasi, dan melakukan kontrol internal. Poin fokus adalah
alat manajemen untuk menentukan bahwa prinsip-prinsip ada dan berfungsi. Banyaknya poin
menampilkan banyaknya jumlah dan volume dari perubahan struktur kerangka kerja dan
panduannya yang mengikuti.
4
Untuk entitas kecil dan pemerintah tentu saja aka nada banyak prinsip yang tidak relevan
dalam operasi. Kesadaran faktor untuk entitas kecil dan pemerintah dimasukkan dalam
lampiran kerangka kerja COSO 2013.
Tujuan dari diubahnya kerangka kerja adalah untuk merefleksikan perubahan dalam
lingkungan bisnis dan operasi, untuk meresmikan prinsip-prinsip secara lebih eksplisit yang
tertanam dalam kerangka kerja yang asli dan memfasilitasi pengembangan kontrol internal
yang efektif dan pengukuran keefektivan, dan untuk meningkatkan kemudahan dalam
menggunakan ketika diaplikasikan pada tujuan perusahaan.
Struktur kontrol internal perusahaan relevan pada perikatan audit sebaik pengujian atau
perikatan prosedur yang disepakati berkaitan dengan kontrol internal. Hal ini termasuk
pembaruan pemahaman dari proses evaluasi dari kekurangan yang diidentidikasi selama
transisi.
Implementasi dan transisi membutuhkan waktu dan usaha. Kerangka kerja yang baru
menyediakan sebuah fondasi kuat untuk perusahaan untuk mengevaluasi kembali sistem
kontrol internal mereka dan meyakinkan mereka memperbarui dalam perubahan faktor
internal dan eksternal.
A. PRINSIP 1
Poin Fokus:
a. Mengatur komunikasi di antara para eksekutif
b. Membangun standar perilaku
c. Mengevaluasi ketaatan standar perilaku
d. Membahas penyimpangan pada waktu yang tepat
B. PRINSIP 2
Poin Fokus:
a. Membangun tanggung jawab memantau
b. Menempatkan ahli-ahli praktisi relevan
5
c. Beroperasi secara independen
d. Menyediakan sistem pemantauan untuk sistem kontrol internal
C. PRINSIP 3
Poin Fokus:
a. Menyadari seluruh struktur perusahaan
b. Membangun garis pelaporan
c. Mendefiniskan, menetapkan, dan membatasi otoritas dan tanggung jawab
D. PRINSIP 4
Poin Fokus:
a. Membangun kebijakan dan prosedur
b. Mengevaluasi kekurangan kompetensi dan penempatan
c. Merencanakan dan menyiapkan suksesi
E. PRINSIP 5
Poin Fokus:
a. Menegakkan akuntabilitas melalui struktur, otorisasi, dan tanggung jawab
b. Membangun pengukuran, insentif, dan hadiah kinerja
c. Mengevaluasi pengukuran, insentif, dan hadiah kinerja
d. Menyadari tekanan berlebihan
e. Mengevaluasi kinerja dan hadiah dan pendisiplinan individu
F. PRINSIP 6
Poin Fokus:
Tujuan Operasi:
a. Merefleksikan pilihan manajemen
b. Menyadari risiko toleran
c. Memasukkan tujuan kinerja operasi dan finansial
d. Membentuk dasar untuk komitmen sumber daya
Tujuan Laporan Finansial Eksternal:
a. Sesuai dengan standar akuntansi yang berlaku
b. Menyadari materialitas
6
c. Merefleksikan aktivitas perusahaan
Tujuan Non Laporan Finansial Eksternal:
a. Sesuai dengan standar dan kerangka kerja eksternal
b. Menyadari tingkat preissi yang diminta
c. Merefleksikan aktivitas perusahaan
Tujuan Laporan Internal:
a. Merefleksikan pilihan manajemen
b. Menyadari tingkat preissi yang diminta
c. Merefleksikan aktivitas perusahaan
Tujuan Pemenuhan:
a. Merefleksikan hukum dan regulasi eksternal
b. Meyadari risiko toleransi
G. PRINSIP 7
Poin Fokus:
a. Memasukan perusahaan, anak perusahaan, divisi, unit operasi, dan tingkat fungsional
b. Analisis faktor internal dan ekstrenal
c. Melibatkan tingkat manajemen sewajarnya
d. Mengestimasi risiko signifikan yang diidentifikasi
e. Mennentukan bagaimana merespon risiko
H. PRINSIP 8
Poin Fokus:
a. Menyadari berbagai tipe fraud
b. Mengukur insentif dan tekanan
c. Mengukur kesempatan
d. Mengukur perilaku dan rasionalisasi
I. PRINSIP 9
Poin Fokus:
a. Mengukur perubahan dalam lingkungan eksternal
b. Mengukur perubahan dalam model bisnis
c. Mengukur perubahan dalam kepemimpinan
7
KOMPONEN: AKTIVITAS KONTROL
J. PRINSIP 10
Poin Fokus:
a. Berintegrasi dengan pengukuran risiko
b. Menyadari faktor spesifik perusahaan
c. Menentukan proses bisnis relevan
d. Mengevaluasi campuran berbagai jenis aktivitas kontrol
e. Membahas pemisahan tugas
K. PRINSIP 11
Poin Fokus:
a. Menentukan dependensi antara penggunaan teknologi dalam proses bisnis dan
teknologi dalam kontrol umum
b. Membangun teknologi infrastruktur yang relevan dalam aktivitas kontrol
c. Membangun proses manajemen yang relevan dalam aktivitas kontrol
d. Membangun teknologi proses akuisisi, pengembangan, dan perawatan yang relevan
L. PRINSIP 12
Poin Fokus:
a. Membangun kebijakan dan prosedur yang mendukung penerapan manajemen direktif
b. Membangun tanggung jawab dan akuntabilitas untuk mengeksekusi kebijakan dan
prosedur
c. Melakukan dalam waktu yang tepat
d. Melakukan aksi koresi
e. Melakukan mengunakan personel yan kompeten
f. Pengukuran kembali kebijakan dan prosedur
M. PRINSIP 13
Poin Fokus:
a. Identifikasi permintaan informasi
b. Menangkap sumber data internal dan eksternal
8
c. Memproses data yang relevan menjadi informasi
d. Mempertahankan kualitas selama proses
e. Menyadari harga dan keuntungan
N. PRINSIP 14
Poin Fokus:
a. Mengkomunikasikan informasi kontrol internal
b. Mengkomunikasikan dengan CEO
c. Menyediakan garis komunikasi terpisah
d. Memilih metode komunikasi relevan
O. PRINSIP 15
Poin Fokus:
a. Mengkomunikasikan dengan pihak eksternal
b. Memungkinkan masuknya komunikasi
c. Mengkomunikasikan dengan CEO
d. Menyediakan garis komunikasi terpisah
e. Memilih metode komunikasi yang relevan
P. PRINSIP 16
Poin Fokus:
a. Menyadari campuran evaluasi berjalan dan evaluasi terpisah
b. Menyadari tingkat perubahan
c. Membangun pemahaman garis dasar
d. Mengunakan pemahaman personel
e. Mengintegrasikan proses bisnis
f. Menyesuaikan skala dan frekuensi
g. Mengevaluasi tujuan
Q. PRINSIP 17
Poin Fokus:
a. Mengukur hasil
b. Mengkomunikasikan kelemahan
9
c. Memantau aktivitas koreksi
Lampiran B
COSO untuk mengevaluasi kontrol internal mereka atas pelaporan keuangan (ICFR)
untuk kepatuhan dengan persyaratan Sarbanes-Oxley Act (SOX). Sebagaimana dibahas
sebelumnya, penting untuk pertama-tama menyadari bahwa Kerangka 2013 tidak secara
fundamental berbeda dari versi lama yang telah Anda adopsi, jadi membuat transisi ke
Kerangka 2013 mungkin tidak seburuk yang dibayangkan. Namun, karena perbedaan antara
kedua versi ini tidak penting, penting untuk memulai proses perencanaan sekarang.
Kerangka kerja 1992 ditetapkan akan berakhir untuk tahun fiskal yang berakhir setelah
15 Desember 2014, sehingga bagi banyak organisasi, 2013 akan menjadi tahun terakhir yang
dapat digunakan untuk penilaian ICX ICFR. Mulai sekarang dalam menilai perbedaan yang
relevan antara Kerangka 1992, Kerangka 2013 akan memberi pemahaman tentang waktu dan
sumber daya yang dibutuhkan untuk organisasi untuk mengatasi perbedaan-perbedaan ini.
Oleh karena itu, anda sendiri akan ingin melibatkan orang-orang yang terbiasa dengan
lingkungan teknologi informasi organisasi anda, hubungan vendor pihak ketiga, dan program
dan kontrol anti-penipuan dalam penilaian transisi. Selama proses transisi dari struktur kontrol
internal anda saat ini ke Kerangka 2013, pertimbangan harus diberikan untuk melibatkan
auditor eksternal nda. Sebagai dasar untuk melibatkan auditor eksternal nda, kami sarankan:
1. Pada awal penilaian terhadap Kerangka 2013, sampaikan kepada auditor eksternal anda
rencana organisasi untuk menentukan kesenjangan yang relevan antara struktur kontrol
internal saat ini dan Kerangka 2013. Ini memungkinkan input auditor eksternal anda ke dalam
proses dan area potensial yang perlu difokuskan oleh organisasi anda selama penilaian.
10
2. Setelah menyelesaikan prinsip-prinsip dan poin-poin analisis kesenjangan fokus,
sampaikan hasil anda, serta rencana dan jadwal terperinci untuk mengatasi kesenjangan yang
diidentifikasi kepada auditor eksternal anda. Poin pertimbangan utama adalah
mendokumentasikan untuk auditor eksternal anda proses pemikiran organisasi yang
mendukung penilaian yang dibuat dalam menentukan prinsip-prinsip yang relevan dan titik
fokus yang sesuai.
Lampiran C
Pemisahan tugas :
- Manajer dapat meninjau laporan transaksi terperinci secara teratur dan tepat waktu.
- Manajer dapat melakukan penghitungan inventaris, peralatan, atau aset fisik lainnya secara
berkala dan membandingkannya dengan catatan akuntansi.
- Manajer dapat meninjau rekonsiliasi saldo akun atau secara berkala melaksanakannya secara
independen.
Manajemen menimpa :
Jajaran direktur :
11
-Untuk menemukan anggota dewan yang memenuhi syarat, perusahaan dapat memperluas
pencarian mereka ke populasi yang lebih luas dengan keuangan dan akuntansi dan keahlian
bernilai lainnya.
Teknologi Informasi :
Kegiatan pemantauan :
-Entitas yang lebih kecil mungkin memiliki proses pemantauan yang kurang formal, tetapi
harus tetap mengambil kredit untuk pemantauan yang dilakukan.
- Tercantum dalam Kerangka Kerja bahwa entitas yang lebih kecil sering membutuhkan
dokumentasi yang kurang formal karena ada lebih sedikit orang yang bekerja lebih dekat
bersama. Konsekuensinya, manajemen dapat melakukan pemantauan melalui pengamatan
langsung.
Kerangka kerja yang diperbarui, yang dikeluarkan pada tanggal 14 Mei 2013,
mempertahankan unsur-unsur dasar dari yang asli: lima komponen dari sistem pengendalian
internal — lingkungan pengendalian, penilaian risiko, kegiatan pengendalian, informasi dan
komunikasi — dan kegiatan pemantauan yang mendukung tiga kategori tujuan: efektivitas
12
dan efisiensi operasi, keandalan pelaporan, dan kepatuhan terhadap hukum dan peraturan
yang berlaku, terstruktur melalui penilaian manajemen.
Prinsip-prinsip wajib telah diperbarui untuk mencerminkan lingkungan bisnis saat ini
— lingkungan dengan tata kelola yang meningkat, tuntutan peraturan dan kepatuhan, serta
peningkatan penggunaan teknologi dan model bisnis yang kompleks.
Latar Belakang
Diterima oleh Komisi Sekuritas dan Bursa (SEC), kerangka kerja ini telah diadopsi
secara luas sejak penerbitan aslinya pada tahun 1992 untuk mendukung persyaratan
pengendalian internal pelaporan keuangan eksternal. Bagian 404 dari Sarbanes-Oxley Act
(SOX) mensyaratkan manajemen perusahaan publik dan auditor eksternalnya untuk
membuktikan keefektifan desain dan operasi pengendalian internal perusahaan atas pelaporan
keuangan eksternal (ICEFR).
Pelaporan keuangan eksternal juga diperlukan oleh entitas swasta, nirlaba dan
pemerintah
Entitas swasta memberikan pelaporan eksternal kepada bank dan pihak ketiga lainnya
untuk mendapatkan modal atau memenuhi kewajiban kontraktual. Entitas nirlaba menyiapkan
laporan keuangan untuk donor, lembaga pemerintah atau pihak ketiga lainnya. Kerangka kerja
ini terus membahas tiga tujuan umum untuk hampir semua entitas: tujuan operasi (berkaitan
dengan efisiensi dan efektivitas operasi), tujuan pelaporan (berkaitan dengan keandalan
pelaporan eksternal dan internal) dan tujuan kepatuhan (berkaitan dengan kepatuhan terhadap
undang-undang yang berlaku dan peraturan).
13
diamati, dapat dicapai, relevan dan terikat waktu. Ini mencakup tujuan atas semua proses yang
relevan dengan pemrosesan transaksi keuangan yang signifikan, termasuk, misalnya,
penutupan buku besar dan teknologi informasi, berdasarkan penilaian materialitas
manajemen.
Di bawah kerangka kerja, kontrol dipilih dan digunakan untuk mempengaruhi satu
atau lebih prinsip dalam masing-masing lima komponen: Lingkungan Kontrol, Penilaian
Risiko, Kegiatan Kontrol, Informasi & Komunikasi dan Kegiatan Pemantauan. Kelima
komponen ini menyebar, mempengaruhi empat komponen lainnya, dan diperlukan untuk
sistem kontrol internal yang dirancang secara efektif.
Prinsip adalah konsep dasar yang terkait dengan lima komponen COSO yang saling
terkait. Suatu prinsip yang tidak terpenuhi di bawah satu komponen dapat secara langsung
mempengaruhi berfungsinya suatu prinsip dalam komponen lain. Karena keterkaitan antar
komponen, prinsip yang tidak ada atau tidak berfungsi di bawah satu komponen memiliki
efek meresap pada komponen lainnya.
Diskusi Lebih Lanjut: Pertimbangkan situasi di mana dibawah Lingkungan Kontrol tidak
terpenuhi dan dewan direksi tidak menunjukkan independensi dari manajemen atau
melakukan pengawasan untuk pengembangan dan kinerja kontrol internal. Manajemen
memilih dan mengembangkan kontrol dalam setiap komponen untuk menghasilkan prinsip
yang relevan — atau dengan kata lain, untuk mengurangi risiko, prinsip tersebut tidak ada dan
berfungsi. Pendekatan COSO adalah contoh cara untuk mempengaruhi prinsip.
Lingkungan Kontrol
Lingkungan kontrol yang dirancang dan dioperasikan dengan baik dianggap oleh
banyak komponen yang paling penting dari sistem kontrol internal yang efektif, terutama
karena dampak yang meluas pada semua komponen lain yang mungkin dimiliki oleh
defisiensi kontrol dalam komponen.
14
Lingkungan kontrol mencakup kegiatan tata kelola dan nada etis individu di bagian
atas organisasi, termasuk dewan direksi. Lingkungan kontrol mencakup proses mengelola
risiko melalui tanggung jawab pengawasan, penugasan tanggung jawab yang sesuai, dan
akuntabilitas kinerja.
Tugas beresiko
Analisis Resiko
Pengaturan Tujuan
Sebuah system ICEFR di gunakan untuk mengurangi resiko dalam mencapai tujuan
entitas secara spesifik pada pelaporan keuangan eksternal. Tujuan ini berhubungan pada
penggunaan standar akuntansi untuk entitas dan kewajiban yang terkandung didalamnya,
seperti keberadaan dan kelengkapan transaksi.
15
Melakukan penilaian dengan resiko tinggi untuk ICEFR adalah sebuah proses dalam
mengidentifikasi resiko pada waktu yang tepat. Kelalaian yang material atau salah saji pada
laporan keuangan entitas harus dipertimbangkan sebagai potensi untuk fraud. Sub-objective
harus termasuk didalamnya detail yang cukup untuk mengidentifikasi dimana resiko spesifik
Kegiatan Kontrol
Manajemen menggunakan control aktivitas untuk mengelola resiko yang tidak dierima
atau di pindahkan. Sebuah control tunggal bisa mempengaruhi banyak prinsip dan
mendukung pencapaian dari beragam komponen, yang mungkin akan mendukung beragam
tujuan prinsip control dan sub-tujuan.
16
Kontrol Aktivitas melalui ICEFR adalah sebuah aksi yang diarahkan oleh
managemen, termasuk dewan komisaris, untuk mencegah resiko dari salah saji atau kelalaian
material untuk pelaporan keuangan eksternal. Managemen memproses control aktivitas yang
terpilih dengan dimulai membentuk materialitas laporan keuangan. Disimpulkan Penilaian
Managemen pada control harus berhubungan dengan tujuan mereka dalam menangkap dan
memproses data mengenai transaksi keuangan hingga pelaporan.
Kegiatan Monitoring
Desain awal system pengedalian internal menjadi baseline entitas untuk monitoring lebih
lanjut pada system tersebut. Metrik sering digunakan sebagai kegiatan monitoring untuk
17
menentukan apakah pengendalian internal atas pelaporan keuangan didesain dengan baik dan
dioperasikan sesuai desain.
Coso telah megklarifikasi persyaratan untuk system pengendalian yang efektif. Sebuah
system pengendalian yang efektif akan mengurangi tingkat penerimaan pada resiko
ketidaktercapaian pada suatu tujuan.
Definisi Deficiency
Kerangka menjelaskan bahwa defisiensi control internal sebagai kekurangan pada satu
atau lebih komponen dan prinsip relevan yang mengurangi kemungkinan ketercapaian tujuan
entitas
Kesimpulan
Kerangka COSO 2013 harus dibaca oleh semua Dewan dan manajer. Kerangka kerja
berbasis prinsip ini dapat diadopsikan pada setiap system pengendalian internal pada setiap
jenis entitas terlepas dari ukuran, industry dan struktur. Untuk mengevaluasi sebuah system
pengendalian internal, komponen dan prinsipnya harus dievaluasi secara bersamaan.
Pengguna Kerangka Kerja COSO, harus memonitor secara berkala petunjuk dari regulator
terhadap penerbitan kerangka kerja terbaru.
Definisi ini dibuat secara luas agar dapat menangkap konsep yang penting mengenai
bagaimana suatu organisasi merancang, mengimplementasikan, melaksanakan IC, dan menilai
efektivitas dari sistem pengendalian internal, serta memberikan dasar dalam
pengaplikasiannya di berbagai tipe organisasi. Selain itu definisi ini juga mengakomodasi
bagian-bagian dari IC.
B. Tujuan
1. Operations Objectives, Tujuan ini terkait dengan peningkatan financial
performance, produktivitas, kualitas, enviromental practices, return of assets, dan
likuiditas. Salah satu tujuan yang terkait dengan tujuan operasional adalah
Pengamanan aset. Entitas dapat menentukan tujuan yang terkait dengan pencegahan
kehilangan aset serta secara periodik mendeteksi dan melaporkan kehilangan aset.
2. Reporting Objectives, tujuan pelaporan berkaitan dengan penyusunan laporan untuk
digunakan oleh organisasi dan stakeholders dalam hubungannya dengan pelaporan
finansial/non-finansial serta pelaporan eksternal/internal.
3. Compliance Objectives, aturan dan hukum merupakan standar minimal dari perilaku
organisasi. Organisasi diharapkan akan menggabungkan standar tersebut ke dalam
tujuan dari entitas, bahkan organisasi dapat menetapkan standar yang lebih tinggi
daripada yang ditetapkan oleh hukum dan peraturan.
C. Komponen dalam Internal Control
19
1. Control Environment, adalah rangkaian standar, proses dan struktur yang menjadi
dasar dalam pelaksanaan IC di seluruh organisasi.
2. Risk Asessment, melibatkan proses yang dinamis dan berulang untuk
mengidentifikasi dan menganalisis risiko untuk mencapai tujuan, serta membentuk
dasar mengenai bagaimana risiko harus dikelola.
3. Control Activities, merupakan tindakan yang ditetapkan dengan prosedur dan
kebijakan untuk meyakinkan bahwa manajemen telah mengarah untuk memitigasi
risiko dalam rangka pencapaian tujuan.
4. Information and Communication, diperlukan dalam rangka pelaksanaan tanggung
jawab IC nya dalam rangka pencapaian tujuan. Sedangkan komunikasi terjadi baik
secara internal maupun eksternal dengan menyediakan informasi yang diperlukan
dalam rangka pelaksanaan IC sehari-hari.
5. Monitoring Activities, merupakan evaluasi berkelanjutan, terpisah, atau kombinasi
keduanya untuk memastikan seluruh komponen IC ada dan berfungsi.
D. Hubungan antara Tujuan dan Komponen
Adapun hubungan diantara kelima tujuan dan komponen komponen pengendalian
internal tersebut digambarkan oleh COSO dalam bentuk kubus sebagai berikut:
Berdasarkan gambar tersebut menjelaskan bahwa ada suatu hubungan langsung antara
tujuan, sebagai apa yang hendak dicapai entitas dengan komponen-komponen pengendalian
internal yang mewakili apa yang diperlukan untuk mencapai tujuan-tujuan itu, serta struktur
organisasi entitas pada setiap tingkatan (divisi, unit, operasi, fungsi, dan lainnya). Ketiga
kategori tujuan tersebut (operasi, pelaporan, dan ketaatan) diwakili oleh kolom, kemudian
kelima komponen pengendalian internal diwakili oleh baris, sedangkan struktur organisasi
entitas direpresentasikan oleh ketiga dimensinya.
E. Atribut dan Prinsip
20
Berikut akan dijelaskan lebih medalam mengenai 5 komponen pengendalian internal
menurut COSO:
1. Control Environment
a. Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika,
b. Dewan Direksi menunjukkan independensi dari manajemen dan melaksanakan
pengawasan terhadap pengembangan dan pelaksanaan IC.
c. Dengan pengawasan Dewan, manajemen menetapkan struktur, bentuk
pelaporan, tanggung jawab dan otoritas yang diperlukan dalam rangka
pencapaian tujuan.
d. Organisasi menetapkan komitmen dalam menarik, mengembangkan, dan
mempertahankan individu yang kompeten dalam rangka pencapaian tujuan.
e. Organisasi memegang individu yang bertanggungjawab dalam IC dalam rangka
pencapaian tujuan.
2. Risk Asessment
a. Organisasi menentukan tujuan yang spesifik sehingga memungkinkan untuk
dilakukan identifikasi dan penilaian risiko yang terkait dengan tujuan,
b. Organisasi mengidentifikasi risiko yang terkait dengan pencapaian tujuan di
seluruh entitas dan menganalisis risiko untuk menjadi dasar bagaimana risiko
akan diperlakukan,
c. Organisasi mempertimbangkan potensi fraud dalam penilaian risiko,
d. Organisasi mengidentifikasi dan menilai perubahan yang akan memengaruhi
sistem pengendalian internal secara signifikan.
3. Control Activities
a. Organisasi memilih dan mengembangkan aktivitas pengendalian yang
berkontribusi terhadap mitigasi risiko sampai pada tingkat yang dapat diterima
dalam rangka pencapaian tujuan,
b. Organisasi memilih dan mengembangkan aktivitas pengendalian secara umum
terkait teknologi dalam rangka pencapaian tujuan,
c. Organisasi menyebarkan aktivitas pengendalian melalui kebijakan dan prosedur
dalam pengimplementasiannya.
4. Information and Communication
a. Organisasi memperoleh dan menggunakan informasi yang berkualitas dan
relevan dalam rangka mendukung fungsi dari komponen lain dalam IC,
21
b. Organisasi secara internal mengomunikasikan informasi, termasuk tujuan dan
tanggung jawab IC dalam rangka mendukung fungsi dari komponen lain dari IC.
c. Organisasi berkomunikasi dengan pihak eksternal terkait hal yang
mempengaruhi fungsi dari komponen lain dalam IC.
5. Monitoring Activities
a. Organisasi memilih, mengembangkan, dan melaksanakan evaluasi berkelanjutan
dan/atau terpisah untuk memastikan seluruh komponen IC ada dan berfungsi,
b. Organisasi mengevaluasi dan mengomunikasikan defisiensi IC pada pihak yang
bertanggung jawab agar diambil tindakan korektif, termasuk manajemen senior,
dewan direksi.
F. Efektivitas
Untuk memiliki sistem pengendalian internal yang efektif yang berkaitan dengan
tujuan-tujuan tersebut, masing-masing dari kelima komponen harus ada dan saling beroperasi
bersama dalam penerapannya dengan cara mengurangi risiko tidak mencapai tujuan ke tingkat
yang dapat diterima. Hal ini dapat didukung dengan cara:
a. Memahami sejauh mana operasi dikelola secara efektif dan efisien,
b. Menyiapkan laporan yang dapat diandalkan,
c. Mematuhi hukum dan peraturan yang berlaku.
G. Keterbatasan
Disamping memberi manfaat yang penting, internal kontrol juga memiliki beberapa
keterbatasan. Keterbatasan ini membuat dewan direksi tidak memiliki jaminan yang absolut
terhadap pencapaian tujuan suatu entitas tetapi memberikan jaminan yang masuk akal.
Keterbatasan tersebut dapat timbul akibat dari:
1. Kualitas dan kesesuaian tujuan yang ditetapkan sebagai prasyarat untuk kontrol
internal,
2. Kenyataan bahwa penilaian manusia dalam pengambilan keputusan bisa saja terjadi
kesalahan,
3. Kerusakan yang dapat terjadi akibat kegagalan manusia,
4. Kontrol yang dapat dielakkan dengan kolusi yang dilakukan oleh dua orang atau
lebih,
5. Kemampuan manajemen untuk mengesampingkan keputusan pengendalian internal.
H. Aturan dan Tanggung Jawab
Setiap orang dalam suatu organisasi memiliki tanggung jawab untuk pengendalian
internal. Manajemen bertanggung jawab atas pembentukan dan kinerja sistem pengendalian
22
internal suatu perusahaan dengan CEO didukung oleh manajemen senior. Berbagai fungsi
yang memungkinkan bisnis berkomunikasi, mengaktifkan, dan mengevaluasi kepatuhan
terhadap persyaratan yang ditentukan oleh hukum eksternal, peraturan, standar, kebijakan
internal, dan kode etik. Auditor internal mengevaluasi efektivitas pengendalian internal dan
merekomendasikan adanya perbaikan. Sedangkan auditor eksternal dan reviewers tidak
bertanggung jawab atas keefektifan sistem pengendalian internal, mereka memberikan
padangan independen pada keandalan pelaporan entitas kepada pihak eksternal.
I. Pengguna Laporan
Laporan ini digunakan tergantung pada posisi dan peran pihak-pihak yang terlibat:
1. Dewan Direksi, dewan direksi harus membahas mengenai kondisi sistem
pengendalian internal entitas dengan manajemen senior dan memberikan
pengawasan sesuai dengan kebutuhan.
2. Manajemen Senior, harus menilai sistem pengendalian internal suatu entitas
sehubungan dengan kerangka ini, dengan berfokus pada bagaiman organisasi telah
menerapkan 17 prinsip dan mengembangkan atribut untuk mendukung komponen-
komponen pengendalian internal.
3. Personil lainnya, manajer dan personel lainnya berdiskusi dengan ide-ide personel
yang lebih senior untuk memperkuat internal control.
4. Auditor Internal, meninjau rencana audit internal mereka, mengevaluasi, dan
melaporkan mengenai sistem pengendalian internal suatu entitas.
5. Auditor Eksternal, dalam beberapa yuridiksi, auditor dilibatkan dalam mengaudit
atau memeriksa efektivitas pengendalian internal atas pelaporan keuangan eksternal.
6. Regulator, dapat membantu mempertahankan pemahaman yang berkelanjutan
tentang pengendalian internal, termasuk apa yang dapat dilakukannya dan
batasannya.
7. Organisasi Profesional lainnya, menyediakan panduan tentang operasi, pelaporan,
dan kepatuhan dapat mempertimbangkan standar dan panduan mereka lalu
dibandingkan dengan framework ini.
8. Pendidik, dengan anggapan bahwa framework ini diterima secara luas, konsep dan
istilahnya harus dimasukan dalam kurikulum universitas.
23