2.

1 PENTINGNYA KONTROL INTERNAL YANG EFEKTIF

Kontrol internal adalah konsep paling penting dan mendasar yang harus
dipahami oleh auditor internal. Auditor internal meninjau area operasional dan
keuangan organisasi dengan tujuan mengevaluasi kontrol internal mereka.
Sebenarnya semua prosedur audit internal fokus pada beberapa bentuk evaluasi
kontrol internal ini. Kontrol internal yang baik berarti semuanya
didokumentasikan dengan baik.
Kontrol internal adalah seperangkat prosedur umum positif yang
diperlukan untuk semua sistem bisnis yang dikelola dengan baik dan berfungsi
dengan baik. Pengendalian internal terdiri dari rencana organisasi dan semua
metode koordinat yang diadopsi dalam bisnis untuk melindungi asetnya,
memeriksa keakuratan dan keandalan data akuntingnya, mendorong efisiensi
operasional, dan mendorong kepatuhan terhadap kebijakan manajerial yang
ditentukan. Definisi ini mengakui bahwa sistem pengendalian internal
melampaui hal-hal yang berhubungan langsung dengan fungsi departemen
akuntansi dan keuangan.
Sistem atau proses memiliki kontrol internal yang baik jika (1) mencapai
misi yang dinyatakannya, (2) menghasilkan data yang akurat dan dapat
diandalkan, (3) mematuhi undang-undang dan kebijakan organisasi yang
berlaku, (4) menyediakan penggunaan sumber daya secara ekonomis dan
efisien, dan (5) memberikan perlindungan aset yang tepat. Semua anggota
organisasi bertanggung jawab untuk kontrol internal di wilayah operasinya dan
untuk membuat kontrol internal berfungsi.
Lawrence (Larry) Sawyer, seorang kontemporer dari Vic Brink dan
seorang pendiri, dengan Brink, dari profesi audit internal, telah memanggil
evaluasi kontrol "open sesame" auditor. Artinya, keterampilan auditor internal
dalam menilai kontrol internal dalam operasi untuk berbagai bidang khusus
organisasi akan membuka pintu bagi auditor internal di seluruh organisasi.
Pemeriksaan dan penilaian pengendalian internal biasanya merupakan
 komponen, baik secara langsung maupun tidak langsung, dari setiap jenis
penugasan audit internal.

2.2 FUNDAMENTAL PENGENDALIAN INTERNAL

Untuk meninjau kontrol internal secara efektif, auditor internal perlu
memiliki pemahaman dasar yang baik tentang sifat kontrol, definisi sistem
kontrol, serta konsep keseluruhan dari jenis dan sifat dari proses kontrol
internal operasi organisasi. Yang pertama dari dua konsep ini, gagasan kontrol
sistem mungkin akan lebih mudah. Konsep ini kembali ke prinsip-prinsip dasar
prosedur mekanis dan dokumen yang ada sepanjang kehidupan sehari-hari.
Sistem kontrol diperlukan untuk semua bidang kegiatan, baik di dalam maupun
di luar organisasi saat ini, dan konsep dan prinsip yang digunakan adalah sama
di mana pun sistem kontrol ditemui.
Auditor internal pertama-tama harus mengembangkan pemahaman
tentang sistem kontrol ini dan kemudian menilai mereka untuk menentukan
apakah komponen sistem terhubung dengan benar dan apakah manajemen
mengoperasikan kontrol dengan benar yang memungkinkannya untuk
mengelola sistem. Jenis sistem atau proses ini sering disebut sebagai sistem
kontrol internal organisasi.
Tujuan dari setiap sistem kontrol adalah untuk mencapai atau
mempertahankan keadaan atau kondisi yang diinginkan. Sistem kontrol internal
harus dapat memenuhi berbagai tujuan yang ditetapkan oleh manajemen untuk
area kontrol tersebut. Sistem kontrol dasar memiliki empat elemen, yakni:
1. Detektor atau Elemen Sensor. Harus ada beberapa jenis alat pengukur
yang mendeteksi apa yang terjadi pada elemen tertentu dari sistem yang
sedang dikendalikan (misalnya, termostat di rumah yang terhubung ke
tungku). Auditor internal sering merupakan sensor yang mengamati
beberapa masalah sebagai bagian dari tinjauan audit normal.
 2. Selektor atau Elemen Standar. Detektor yang melaporkan kondisi saat
ini harus memiliki beberapa jenis standar untuk membandingkan apa
yang sebenarnya terjadi dengan apa yang seharusnya terjadi. Thermostat
diatur ke suhu yang diinginkan dan dihubungkan ke termometer yang
mengukur suhu aktual. Fluktuasi di atas atau di bawah pengaturan suhu
yang disediakan pengguna menyebabkan tungku mengambil tindakan.
3. Elemen Pengendali. Elemen ini mengubah perilaku area yang
dikendalikan berdasarkan perbandingan antara detektor dan hasil standar.
Thermostat mematikan tungku ketika panas mencapai tingkat tertentu
yang telah ditentukan dan me-restart tungku lagi ketika tingkat turun.
4. Elemen Jaringan Komunikasi. Jaringan komunikasi sistem kontrol
hanyalah kendaraan untuk mengirimkan pesan antara sensor kontrol dan
entitas yang sedang dikendalikan. Termostat penghangat rumah memiliki
hubungan antara sensor pada tungku — biasanya jauh dari ruang tamu —
dan unit pengukur di ruang tamu rumah.

Keempat elemen ini dapat disebut sistem kontrol karena mereka

merupakan komponen yang terpisah tetapi saling terkait dari keseluruhan
proses kontrol. Tampilan 4.1 menggambarkan sistem kontrol konseptual seperti
itu.
 Banyak proses bisnis tidak memiliki level sistem kontrol otomatis ini
karena detektor formal dan bahkan kontrol pemilihnya terbatas. Namun
demikian, bahkan sistem manual memiliki beberapa elemen kontrol, dan
auditor internal harus mencari elemen-elemen ini ketika meninjau kontrol
internal. Tentu saja, auditor internal itu sendiri sering berfungsi sebagai jenis
elemen deteksi sistem kontrol dengan membantu memastikan bahwa sistem
kontrol bekerja dengan efektif.
Teknik kontrol dapat dikategorikan lebih lanjut sebagai pencegahan
(preventive), detektif, korektif, atau kombinasi dari ketiganya. Jumlah ketiga
teknik kontrol dasar ini harus memberikan manajemen jaminan yang masuk
akal bahwa proses tertentu beroperasi dengan benar:
 Kontrol pencegahan (preventive controls) dibangun di dalam sistem
untuk mencegah terjadinya kesalahan atau peristiwa yang tidak terdeteksi.
Jenis kontrol pencegahan yang sangat mendasar adalah struktur organisasi
yang menetapkan pemisahan tugas atas fungsi-fungsi tertentu. Lain
adalah pintu yang terkunci untuk mencegah akses tidak sah ke peralatan
penting.
  Kontrol detektif (detective controls) dirancang untuk mengingatkan
manajemen tentang kesalahan atau masalah yang terjadi, atau tidak lama
setelah itu. Penghitungan uang tunai dan rekonsiliasi dari penjualan mesin
kasir pada akhir hari adalah contoh dari kontrol detektif semacam itu.
Alarm yang berbunyi saat pintu yang terkunci dipaksa terbuka adalah
yang lain.
 Kontrol korektif (corrective controls) digunakan bersama dengan
kontrol detektif pulih dari konsekuensi peristiwa yang tidak diinginkan.
Polis asuransi untuk membayar kerugian adalah salah satu jenis kontrol
korektif. Seorang penjaga untuk menangkap penyusup yang memaksa
membuka pintu yang terkunci dan membunyikan alarm adalah teknik
kontrol korektif lainnya.
Teknik kontrol preventif, detektif, dan korektif adalah elemen penting dalam
keseluruhan sistem kontrol. Walaupun seringkali lebih hemat biaya untuk
memasang kontrol preventif dalam suatu sistem, kontrol detektif juga
diperlukan, dan kontrol detektif biasanya bernilai kecil kecuali beberapa bentuk
tindakan korektif atau kontrol juga ada. Audit internal bertindak sebagai jenis
kontrol detektif untuk menentukan, antara lain, bahwa kontrol preventif
berfungsi dengan baik. Karena auditor internal bukan "petugas polisi," namun,
manajemen harus menerapkan tindakan korektif untuk menanggapi setiap
temuan kontrol yang dilaporkan. Karena kontrol ini harus selalu dikaitkan
secara langsung atau tidak langsung dengan tujuan kontrol yang mungkin
sangat bervariasi dalam sifat dan ruang lingkup, cara di mana kontrol dilakukan
juga dapat bervariasi. Kontrol preventif, detektif, dan korektif dapat dianggap
beroperasi pada tiga tingkatan berbeda:
1. Kontrol Kemudi (Steering Controls). Tingkat kontrol ini
mengidentifikasi peristiwa sementara yang cepat untuk membantu dalam
pencapaian tujuan yang lebih besar. Peristiwa sementara ini bisa sangat
 tepat atau luas. Karakteristik umum dari kontrol kemudi adalah bahwa
mereka biasanya bersifat preventif dan memperhatikan kebutuhan untuk
mengambil tindakan manajerial secara tepat waktu. Berbagai jenis alat
pengukur dalam proses pembuatan menunjukkan kondisi yang
memerlukan tindakan pemrosesan tertentu. Penurunan pesanan dealer
dapat menyoroti masalah menurunnya penerimaan pasar dan kebutuhan
terkait untuk menyesuaikan jadwal produksi. Dalam kasus lain, indeks
tren ekonomi yang luas dapat mengingatkan manajemen akan kondisi
yang berubah yang harus memicu tindakan protektif atau berorientasi
peluang lainnya.
2. Kontrol Ya-Tidak. Kontrol ini dirancang agar berfungsi lebih otomatis,
protektif, dan untuk memastikan pencapaian hasil yang diinginkan.
Dalam bentuknya yang paling sederhana, kontrol ya-tidak bisa menjadi
pengukur kontrol kualitas pada jalur perakitan mekanis yang memeriksa
bagian-bagian produk untuk spesifikasi yang tepat. Bagian yang tidak
toleran dialihkan ke area pengerjaan ulang. Kontrol ini juga bisa menjadi
tanda tangan persetujuan yang disyaratkan pada formulir bisnis untuk
membantu memastikan bahwa individu yang berwenang telah meninjau
dokumen. Elemen umum di sini adalah perangkat atau pengaturan kontrol
yang telah ditetapkan sebelumnya yang, dalam kondisi normal, akan lebih
atau kurang secara otomatis memastikan tindakan perlindungan atau
peningkatan yang diinginkan.
3. Kontrol Pasca Tindakan. Kontrol ketiga agak tumpang tindih dengan
dua lainnya yang dibahas, tetapi berbeda karena tindakan manajerial
datang kemudian dan mengambil bentuk tindakan korektif setelah-fakta.
Tindakan tersebut dapat diambil untuk memperbaiki produk yang telah
rusak atau untuk memecat atau menugaskan kembali seorang karyawan.
Bahwa tindakan setelah fakta terjadi segera atau mungkin memerlukan
analisis yang luas. Analisis yang dilakukan oleh auditor internal biasanya
 diarahkan untuk merekomendasikan jenis tindakan setelah fakta yang
paling efektif, meskipun tindakan itu mungkin sangat berorientasi pada
masa depan.

2.3 STANDAR PENGENDALIAN INTERNAL: LATAR BELAKANG

PERKEMBANGAN
Definisi pengendalian internal pertama kali diperkenalkan di Amerika
Serikat pada tahun 1992 dan telah diterima oleh hampir semua organisasi audit
dan akuntansi profesional. Definisi ini juga merupakan dasar untuk definisi
kontrol internal Sarbanes-Oxley Act (SOA) dan harus memberi auditor internal
pemahaman umum tentang tujuan dan komponen sistem kontrol internal.
Konsep pengendalian internal ini sangat penting bagi auditor internal modern.
Berikut adalah beberapa latar belakang perkembangan standar pengendalian
internal:

1. Definisi Awal Sistem Kontrol Internal

Menurut Vic Brink bahwa memahami dan mengevaluasi sistem
pengendalian internal dan memberikan definisi pengendalian internal
yang membantu meluncurkan profesi audit internal itu sangat penting.
Pihak-pihak lain yang berkepentingan, termasuk auditor eksternal,
mengembangkan definisi pengendalian internal yang serupa tetapi tidak
sepenuhnya konsisten.
Definisi awal pengendalian internal, yang dikembangkan oleh
American Institute of Certified Public Accountants (AICPA) dan
digunakan oleh Securities and Exchange Commission (SEC) di Amerika
Serikat untuk mengembangkan peraturan yang mencakup Securities
Exchange Act of 1934, memberikan titik awal yang baik . Meskipun telah
ada perubahan selama bertahun-tahun, standar terkodifikasi AICPA yang
pertama disebut Pernyataan Standar Audit (SAS No. 1). Standar ini
mencakup praktik audit laporan keuangan di Amerika Serikat selama
bertahun-tahun dan juga mirip dengan definisi yang digunakan oleh
Institut Akuntan Charter Kanada (CICA). SAS No. 1 menggunakan
definisi berikut untuk kontrol internal:

“Pengendalian internal terdiri dari rencana organisasi dan semua

metode dan langkah-langkah koordinat yang diadopsi dengan bisnis untuk
melindungi asetnya, memeriksa keakuratan dan keandalan data
akuntingnya, mendorong efisiensi operasional, dan mendorong kepatuhan
pada kebijakan manajerial yang ditentukan. “

AICPA SAS No. 1 asli dimodifikasi lebih lanjut untuk

menambahkan kontrol administratif dan kontrol akuntansi ke definisi
kontrol internal dasar. Kontrol administratif mencakup, tetapi tidak
terbatas pada, rencana organisasi dan prosedur serta catatan yang
berkaitan dengan proses pengambilan keputusan yang mengarah pada
otorisasi manajemen atas transaksi. Otorisasi tersebut adalah fungsi
manajemen yang terkait langsung dengan tanggung jawab untuk
mencapai tujuan organisasi dan merupakan titik awal untuk membangun
kontrol akuntansi transaksi.
Pengendalian akuntansi terdiri dari rencana organisasi dan prosedur
serta catatan yang berkaitan dengan pengamanan aset dan keandalan
catatan keuangan dan akibatnya dirancang untuk memberikan jaminan
yang masuk akal bahwa:
a. Transaksi dijalankan sesuai dengan otorisasi umum atau khusus
manajemen.
b. Transaksi dicatat seperlunya (1) untuk memungkinkan persiapan
laporan keuangan sesuai dengan prinsip akuntansi yang berlaku
 umum atau kriteria lain yang berlaku untuk laporan tersebut dan (2)
untuk menjaga akuntabilitas atas aset.
c. Akses ke aset hanya diizinkan sesuai dengan otorisasi manajemen.
d. Pertanggungjawaban dicatat untuk aset dibandingkan dengan aset
yang ada pada interval yang wajar dan tindakan yang tepat diambil
sehubungan dengan perbedaan.

Hubungan yang tumpang tindih dari kedua jenis kontrol internal ini
kemudian diklarifikasi lebih lanjut dalam standar AICPA pra-1988 ini:

“Definisi di atas tidak selalu saling eksklusif karena beberapa

prosedur dan catatan yang dipahami dalam kontrol akuntansi juga dapat
terlibat dalam kontrol administratif. Misalnya, catatan penjualan dan
biaya yang diklasifikasikan berdasarkan produk dapat digunakan untuk
tujuan pengendalian akuntansi dan juga dalam membuat keputusan
manajemen mengenai harga satuan atau aspek operasi lainnya. Namun,
berbagai penggunaan prosedur atau catatan tidak penting untuk keperluan
bagian ini karena ini terutama berkaitan dengan memperjelas batas luar
kendali akuntansi. Contoh catatan yang digunakan hanya untuk kontrol
administratif adalah yang berkaitan dengan pelanggan yang dihubungi
oleh salesman dan untuk pekerjaan yang rusak oleh karyawan produksi
yang dipelihara hanya untuk personil evaluasi per kinerja.”

Auditor internal tidak terpengaruh oleh perubahan definisi ini.

Auditor internal selalu memperluas pekerjaan mereka di luar kendali
akuntansi internal hingga efektivitas sistem total pengendalian internal.
Auditor internal secara historis percaya bahwa kontrol akuntansi internal
adalah bagian dari sistem kontrol yang lebih besar, dengan garis
 demarkasi ke mana kontrol akuntansi internal cocok dalam keseluruhan
sistem tidak pernah benar-benar jelas.

2. Undang-Undang Praktik Korupsi Asing tahun 1977

Periode 1974 hingga 1977 adalah masa kekacauan sosial dan politik
yang ekstrem di Amerika Serikat. Pemilihan presiden tahun 1972
dikelilingi oleh tuduhan serangkaian tindakan ilegal dan dipertanyakan
yang akhirnya menyebabkan pengunduran diri presiden. Peristiwa
pertama kali dipicu oleh pembobolan markas Partai Demokrat, kemudian
terletak di kompleks bangunan yang dikenal sebagai Watergate. Skandal
yang dihasilkan dan investigasi terkait dikenal sebagai urusan Watergate.
Penyelidik menemukan, antara lain, bahwa berbagai suap dan praktik
yang dipertanyakan lainnya telah terjadi yang tidak dicakup oleh undang-
undang.
Pada tahun 1976, SEC menyerahkan kepada Komite Senat AS
tentang Perbankan, Perumahan, dan Urusan Perkotaan laporan investigasi
terkait Watergate ke dalam berbagai pembayaran dan praktik perusahaan
yang dipertanyakan atau berpotensi ilegal. Laporan Senat
merekomendasikan undang-undang federal untuk melarang suap dan
pembayaran yang dipertanyakan lainnya, dan Foreign Corrupt Practices
Act (FCPA) disahkan pada bulan Desember 1977. Undang-undang
tersebut memuat ketentuan yang mensyaratkan pemeliharaan pembukuan
dan pencatatan yang akurat dan penerapan sistem pengendalian akuntansi
internal, dan larangan terhadap penyuapan. Kontrol internal segera
kembali ke layar radar auditor internal dan eksternal. Ketentuan FCPA
berlaku untuk hampir semua perusahaan A.S. dengan sekuritas yang
terdaftar SEC.
Menggunakan terminologi yang diambil langsung dari tindakan,
organisasi yang diatur SEC harus:
  Membuat dan menyimpan pembukuan, catatan, dan akun, yang,
dalam perincian yang masuk akal, secara akurat dan adil
mencerminkan transaksi dan disposisi aset emiten.
 Merancang dan memelihara sistem pengendalian akuntansi internal
yang memadai untuk memberikan jaminan yang masuk akal bahwa:
o Transaksi dijalankan sesuai dengan otorisasi umum atau
khusus manajemen.
o Transaksi dicatat seperlunya untuk memungkinkan
penyusunan laporan keuangan sesuai dengan prinsip
akuntansi yang diterima secara umum atau kriteria lain yang
berlaku untuk laporan tersebut, dan juga untuk menjaga
akuntabilitas atas aset.
 Akses ke aset hanya diizinkan sesuai dengan otorisasi umum atau
khusus manajemen.
 Akuntabilitas tercatat untuk aset dibandingkan dengan yang ada
aset pada interval yang wajar, dan tindakan yang sesuai diambil
sehubungan dengan perbedaan.
Signifikansi khusus persyaratan FCPA adalah bahwa, untuk
pertama kalinya, manajemen bertanggung jawab untuk memelihara sistem
pengendalian akuntansi internal yang memadai. Undang-undang tersebut
mengharuskan organisasi untuk "membuat dan menyimpan pembukuan,
catatan, dan akun, yang dalam perincian yang masuk akal, secara akurat
dan adil mencerminkan transaksi dan disposisi dari aset penerbit." Mirip
dengan SOA hari ini, persyaratan penyimpanan catatan FCPA berlaku
untuk perusahaan publik yang terdaftar di SEC.
Selain itu, FCPA mengharuskan organisasi menyimpan catatan
yang secara akurat mencerminkan transaksi mereka “dengan rincian yang
masuk akal.” Meskipun tidak ada definisi yang pasti di sini, maksud dari
 aturan ini adalah bahwa catatan harus mencerminkan transaksi sesuai
dengan metode yang diterima untuk merekam peristiwa ekonomi,
mencegah "dana tertentu" dan pembayaran suap. FCPA juga
mensyaratkan bahwa perusahaan dengan sekuritas terdaftar memiliki
sistem kontrol akuntansi internal, cukup untuk memberikan jaminan yang
masuk akal bahwa transaksi diotorisasi dan dicatat untuk memungkinkan
penyusunan laporan keuangan sesuai dengan prinsip akuntansi yang
berlaku umum. FCPA juga menyatakan bahwa pertanggungjawaban harus
dipertahankan untuk aset, akses ke aset diizinkan hanya sebagai yang
diotorisasi, dan aset yang dicatat harus diinventarisasi secara fisik dan
berkala, dengan setiap perbedaan yang signifikan dianalisis.

3. Akibat FCPA: Apa yang Terjadi?

Ketika diberlakukan, FCPA menghasilkan kesibukan di antara
perusahaan-perusahaan besar AS. Banyak organisasi kemudian
memprakarsai upaya besar untuk menilai dan mendokumentasikan sistem
pengendalian internal mereka. Organisasi yang tidak pernah secara formal
mendokumentasikan prosedur, meskipun memiliki rantai panjang laporan
audit internal yang menunjukkan kelemahan itu, sekarang memulai upaya
dokumentasi utama. Tanggung jawab ini untuk dokumentasi FCPA sering
diberikan kepada departemen audit internal yang menggunakan upaya
terbaik mereka untuk mematuhi ketentuan pengendalian internal undang-
undang tersebut. Hal ini terjadi pada akhir 1970-an dan awal 1980-an
ketika sebagian besar sistem otomatis adalah perangkat berorientasi batch
mainframe, dan alat-alat grafis sering kali tidak lebih dari template
flowchart plastik dan pensil.
Upaya yang cukup besar dikeluarkan dalam upaya ini, dan banyak
konsultan dan presenter seminar menjadi lebih kaya dalam proses
tersebut. Salah satu kantor akuntan publik besar pada waktu itu
 menjalankan serangkaian iklan di publikasi bisnis utama yang
memperlihatkan template flowchart kecil dengan pesan bahwa firma ini
dapat menggunakan template flowchart plastik ini untuk membantu
organisasi klien menyelesaikan masalah FCPA mereka. Meskipun sistem
dan proses sering berubah secara relatif, banyak organisasi besar
mengembangkan set lengkap dokumentasi sistem berbasis kertas tanpa
ketentuan, begitu mereka selesai, untuk memperbaruinya. Sebagai hasil
dari FCPA, banyak organisasi juga memperkuat departemen audit internal
mereka secara signifikan.
Ketika diberlakukan pada tahun 1977, FCPA menekankan
pentingnya kontrol internal yang efektif untuk banyak perusahaan A.S.
Meskipun tidak ada definisi yang konsisten pada saat itu, undang-undang
tersebut meningkatkan pentingnya kontrol internal dalam perusahaan.
Ketentuan antibriberinya terus menjadi penting. Itu adalah langkah
pertama yang penting untuk membantu organisasi membangun kontrol
internal yang efektif. Meskipun tanggal kembali ke era otomatisasi
minimal dan banyak proses manual, itu memberikan pendahulu yang baik
untuk persyaratan SOA hari ini. Mungkin, jika ada lebih banyak upaya
untuk mencapai kepatuhan kontrol internal FCPA, kita tidak akan pernah
memiliki SOA.

2.4 UPAYA MENUJU KOMISI TREADWAY

Pada akhir 1970-an, auditor eksternal hanya melaporkan bahwa laporan
keuangan organisasi "disajikan dengan adil." Tidak disebutkan kecukupan
prosedur pengendalian internal yang mendukung laporan keuangan yang diaudit
tersebut. FCPA telah menetapkan persyaratan pada organisasi pelapor untuk
mendokumentasikan kontrol internal mereka tetapi tidak meminta auditor
eksternal untuk membuktikan apakah suatu organisasi yang diaudit memenuhi
persyaratan pelaporan kontrol internal. SEC, yang mengatur perusahaan publik
di Amerika Serikat, memulai penelitian tentang apakah laporan audit eksternal
memadai. Akibatnya, serangkaian penelitian dan laporan diselesaikan selama
sekitar 10 tahun untuk mendefinisikan lebih baik arti dari pengendalian internal
dan tanggung jawab auditor eksternal untuk melaporkan kecukupan kontrol
tersebut.

1. Komisi AICPA dan CICA tentang Tanggung Jawab Auditor.

AICPA telah membentuk Komisi tingkat tinggi tentang Tanggung
Jawab Auditor pada tahun 1974 untuk mempelajari tanggung jawab
auditor eksternal untuk melaporkan kontrol internal. Kelompok ini, yang
lebih dikenal sebagai Komisi Cohen, merilis laporannya pada tahun 1978,
merekomendasikan bahwa manajemen perusahaan diharuskan untuk
menyajikan pernyataan tentang kondisi kontrol internal perusahaan
mereka bersama dengan laporan keuangan. Inisiatif Komisi Cohen ini
terjadi bersamaan dengan pengembangan dan publikasi awal FCPA. Pada
waktu yang hampir bersamaan, Komisi CICA tentang Harapan Auditor
merilis sebuah laporan pada tahun 1978 dengan kesimpulan yang sama.

Di Amerika Serikat, laporan Komisi Cohen awalnya mendapat banyak

kritik. Secara khusus, rekomendasi laporan tidak tepat tentang apa yang
dimaksud dengan "pelaporan kontrol internal," dan auditor eksternal
sangat menyatakan keprihatinan tentang peran mereka dalam proses ini.
Banyak auditor eksternal khawatir tentang kewajiban potensial jika
laporan mereka tentang kontrol internal memberikan sinyal tidak
konsisten karena kurangnya pemahaman tentang standar kontrol internal.
Meskipun auditor terbiasa untuk membuktikan kewajaran laporan
keuangan, laporan Komisi Cohen menyarankan agar mereka harus
menyatakan pendapat audit tentang kewajaran pernyataan pengendalian
 manajemen dalam surat kontrol internal laporan keuangan yang
diusulkan.
The Financial Executive Institute (FEI) kemudian terlibat dalam
kontrol internal ini melaporkan kontroversi. FEI mewakili pejabat
keuangan senior dalam organisasi. FEI merilis surat kepada anggotanya di
akhir tahun 1970-an yang mendukung rekomendasi Komisi Cohen
tentang laporan pengendalian internal. Mereka menyarankan agar
organisasi yang dimiliki publik harus melaporkan status kontrol akuntansi
internal mereka. Akibatnya, perusahaan publik mulai membahas
kecukupan kontrol internal mereka sebagai bagian dari surat manajemen
yang biasanya dimasukkan sebagai bagian dari laporan tahunan.. Mereka
biasanya memasukkan komentar yang menyatakan bahwa manajemen,
melalui auditor internal, secara berkala menilai kualitas pengendalian
internalnya.

2. SEC 1979 Proposal Pelaporan kontrol internal

Menggunakan rekomendasi Komisi Cohen dan FEI, SEC kemudian
mengeluarkan aturan yang diusulkan yang meminta laporan manajemen
wajib tentang sistem pengendalian akuntansi internal suatu entitas. SEC
menyatakan bahwa informasi tentang efektivitas sistem pengendalian
internal suatu entitas diperlukan untuk memungkinkan investor
mengevaluasi lebih baik kinerja manajemen dan integritas laporan
keuangan yang dipublikasikan. Banyak CEO dan CFO merasa bahwa ini
adalah persyaratan berat di atas peraturan FCPA yang baru dirilis.
Organisasi mungkin setuju untuk pelaporan sukarela, mereka tidak
ingin dikenakan hukuman perdata dan hukum yang terkait dengan
pelanggaran peraturan SEC. SEC segera membatalkan proposal pelaporan
pengendalian internal 1979 ini, tetapi berjanji akan merilis kembali
peraturan di kemudian hari. Namun, proposal SEC penting karena
 menekankan perlunya laporan manajemen yang terpisah tentang kontrol
akuntansi internal sebagai bagian dari laporan tahunan kepada pemegang
saham dan pengajuan SEC yang diperlukan. Peraturan sementara ini
menyebabkan perusahaan publik yang lebih besar mulai mengeluarkan
komentar atau surat kontrol internal sukarela dalam laporan tahunan
mereka.

3. Komite Minahan dan Yayasan Penelitian Eksekutif Keuangan

Sejalan dengan aturan yang diusulkan SEC tentang pelaporan
pengendalian internal, AICPA membentuk komite lain, Komite Penasihat
Khusus untuk Pengendalian Internal, juga disebut Komite Minahan.
Laporan mereka tahun 1979 menunjukkan kurangnya pedoman
manajemen mengenai prosedur pengendalian internal dan diketahui
bahwa sebagian besar panduan yang diterbitkan tentang pengendalian
internal ditemukan dalam literatur akuntansi dan audit. Bimbingan ini
tidak perlu menjadi perhatian agar sepenuhnya relevan bagi manajer
bisnis di area lain dalam organisasi, seperti operasi, yang memiliki
kebutuhan untuk memahami konsep pengendalian internal.
Pada waktu yang hampir bersamaan, Yayasan Riset FEI (FERF)
menetapkan dua studi di bidang ini. Literatur yang diterbitkan pertama
yang diteliti dan dipertimbangkan definisi yang digunakan untuk
karakteristik, kondisi, praktik, dan prosedur yang menentukan sistem
kontrol internal. Laporan yang diterbitkan pada tahun 1980 ini,
menunjukkan perbedaan besar dalam definisi berbagai kelompok
penetapan standar profesional dalam apa yang merupakan sistem
pengendalian internal yang efektif. FERF juga merilis studi penelitian
terkait pada 1980 yang berusaha untuk mendefinisikan kriteria konseptual
yang luas untuk mengevaluasi pengendalian internal.
4. Sebelum Adanya Standar AICPA: SAS No. 55
Sebelum SOA, AICPA bertanggung jawab atas standar audit
eksternal termasuk Pernyataan tentang Standar Audit (SAS) yang dirilis
dari waktu ke waktu dan dikodifikasi dalam satu set standar profesional
keseluruhan. Mereka membentuk dasar dari tinjauan auditor eksternal dan
evaluasi laporan keuangan. Selama periode yang sama tahun 1970-an dan
1980-an, profesi akuntan publik, secara umum, dan AICPA dikritik
bahwa standar mereka tidak memberikan panduan yang memadai baik
untuk auditor eksternal atau pengguna laporan ini. masalah ini disebut
"kesenjangan harapan," di mana standar akuntansi publik tidak memenuhi
harapan investor.
Untuk menjawab kebutuhan ini, AICPA merilis serangkaian SAS
baru di internal mengendalikan standar audit selama periode 1980 sampai
1985. Ini termasuk, SAS No. 30, Pelaporan tentang Pengendalian
Akuntansi Internal, yang memberikan panduan untuk terminologi yang
akan digunakan dalam laporan pengendalian akuntansi internal. SAS
tidak memberikan banyak bantuan, namun dapat mendefinisikan konsep-
konsep internal yang mendasarinya kontrol. Banyak dari standar ini
dilihat oleh para kritikus akuntansi publik profesi terlalu terlambat.
AICPA kemudian merilis serangkaian baru standar audit yang lebih
baik mendefinisikan banyak bidang masalah yang dihadapi auditor
eksternal. Salah satunya, SAS No. 55, mendefinisikan pengendalian
internal dari perspektif auditor eksternal dan mendefinisikan kontrol
internal dalam tiga elemen, yakni: (1) Lingkungan kontrol, (2) Sistem
akuntansi, dan (3) Prosedur kontrol.
SAS No. 55 mendefinisikan pengendalian internal dalam ruang
lingkup yang lebih luas daripada yang biasanya diambil oleh auditor
eksternal. Namun, ini masih pandangan yang lebih sempit daripada ruang
lingkup tradisional yang diambil oleh auditor internal. Kepentingan
 auditor internal melampaui kontrol akuntansi internal hingga efektivitas
sistem total kontrol internal, dan bahwa kontrol akuntansi internal adalah
bagian dari sistem yang lebih besar. SAS No. 55 menjadi efektif pada
tahun 1990 dan mewakili langkah besar menuju penyediaan auditor
eksternal dengan definisi pengendalian internal yang tepat.

5. Laporan Komite Treadway

Akhir 1970-an dan awal 1980-an adalah periode kegagalan banyak
organisasi besar di Amerika Serikat karena faktor-faktor seperti inflasi
tinggi, tingkat bunga yang tinggi, dan biaya energi yang tinggi karena
peraturan pemerintah yang luas. Beberapa kegagalan ini disebabkan oleh
pelaporan keuangan yang curang, meskipun banyak yang lain disebabkan
oleh inflasi yang tinggi atau faktor-faktor lain yang menyebabkan
ketidakstabilan organisasi. Beberapa anggota Kongres mengusulkan
undang-undang untuk "memperbaiki" potensi bisnis dan kegagalan audit
ini. RUU disusun dan audiensi kongres diadakan, tetapi tidak ada undang-
undang yang disahkan.
Sebagai tanggapan atas keprihatinan ini, Komisi Nasional tentang
Pelaporan Keuangan Palsu dibentuk. Lima organisasi profesional
mensponsori Komisi IIA, AICPA, dan FEI, semua dibahas sebelumnya
serta American Accounting Association (AAA) dan Institute of Manage-
ment Accountants (IMA). AAA adalah organisasi akuntan profesional
akademik. IMA adalah organisasi profesional untuk akuntan manajerial
atau biaya. Organisasi ini, sebelumnya bernama National Association of
Accountants, mensponsori Certificate in Management Accounting
(CMA).
Komisi Nasional Pelaporan Penipuan, yang disebut Komisi
Treadway memiliki tujuan utama untuk identifikasi faktor-faktor
penyebab yang memungkinkan pelaporan keuangan penipuan dan
 pembuatan rekomendasi untuk mengurangi insiden mereka. Laporan
akhir Komisi Treadway dikeluarkan pada tahun 1987 dan termasuk
rekomendasi untuk manajemen, dewan direksi, profesi akuntan publik,
dan lainnya. Treadway.
Upaya pelaporan kontrol internal disajikan seolah-olah merupakan
serangkaian peristiwa berurutan. Pada kenyataannya, banyak upaya
terkait kontrol internal terjadi hampir secara paralel. Upaya besar selama
hampir 20 tahun ini mendefinisikan kembali kontrol internal, konsep
dasar untuk semua auditor, dan meningkatkan tanggung jawab banyak
peserta lain dalam struktur kontrol internal organisasi. Hasilnya adalah
kerangka kerja pengendalian internal COSO, yang dibahas pada bagian
berikut dan di bagian lain buku ini. Kerangka kerja COSO untuk
pengendalian internal adalah konsep penting bagi auditor internal
modern.

2.5 KERANGKA PENGENDALIAN INTERNAL COSO

Seperti disebutkan, akronim COSO adalah singkatan dari lima organisasi
audit dan akuntansi profesional yang mengembangkan laporan pengendalian
internal ini dengan judul resminya adalah Integrated Control-Integrated
Framework. Laporan COSO akhir dirilis pada September 1992. Laporan ini
mengusulkan kerangka kerja umum untuk definisi pengendalian internal, serta
prosedur untuk mengevaluasi kontrol-kontrol tersebut. Dalam waktu yang
sangat singkat, kerangka kerja COSO telah menjadi kerangka kerja yang diakui
atau standar untuk memahami dan membangun kontrol internal yang efektif di
hampir semua organisasi bisnis.

1. Model Kerangka COSO

Hampir setiap perusahaan publik memiliki struktur prosedur kontrol
yang kompleks. Selain itu, prosedur kontrol mungkin agak berbeda di
setiap level dan komponen ini. Tingkat manajemen yang berbeda dalam
organisasi ini akan memiliki perspektif kepedulian kontrol yang berbeda.
COSO memberikan deskripsi yang sangat baik tentang konsep kontrol
internal multidimensi ini. Ini mendefinisikan kontrol internal sebagai
berikut
Pengendalian internal adalah suatu proses, dipengaruhi oleh dewan
direksi, manajemen, dan personel lainnya dari entitas, yang dirancang
untuk memberikan jaminan yang wajar mengenai pencapaian tujuan
dalam kategori: (1) Efektivitas dan efisiensi operasi, (2) Keandalan
pelaporan keuangan, dan (3) Kepatuhan terhadap hukum dan peraturan
yang berlaku.
Ini adalah definisi pengendalian internal COSO. Definisi tersebut
harus sangat akrab dengan auditor internal. Ini mengikuti tema yang sama
yang digunakan Vic Brink sebagai definisi audit internal dalam edisi
pertama 1943 tentang Audit Internal Modern dan semua edisi berikutnya.
Dia mendefinisikan audit internal sebagai fungsi penilaian independen
yang didirikan dalam suatu organisasi untuk memeriksa dan
mengevaluasi kegiatannya sebagai layanan untuk organisasi.
Menggunakan definisi kontrol internal yang sangat umum ini,
COSO menggunakan model tiga dimensi untuk menggambarkan sistem
kontrol internal dalam suatu organisasi. Tampilan 4.2 mendefinisikan
model COSO kontrol internal sebagai piramida dengan lima komponen
berlapis atau saling berhubungan menyusun sistem kontrol internal
keseluruhan. Ini ditunjukkan dengan komponen yang disebut lingkungan
kontrol yang berfungsi sebagai fondasi untuk seluruh struktur. Empat
komponen internal ini digambarkan sebagai lapisan horisontal, dengan
komponen lain dari kontrol internal, yang disebut komunikasi dan
informasi, bertindak sebagai saluran antarmuka untuk empat lapisan
lainnya.
 Auditor dan manajer harus mempertimbangkan dan memahami
kontrol internal mereka dengan cara bertingkat dan tiga dimensi ini.
Meskipun ini berlaku untuk semua pekerjaan audit internal, konsep ini
sangat berharga ketika menilai dan mengevaluasi kontrol internal
menggunakan kerangka kerja COSO. Paragraf berikut menjelaskan
kerangka kerja COSO ini secara lebih rinci.
a. Elemen Kontrol Internal COSO Lingkungan Kontrol. Dasar
dari setiap struktur kontrol internal untuk organisasi apa pun adalah
apa yang disebut COSO sebagai lingkungan kontrol internal. COSO
menekankan bahwa yayasan lingkungan pengendalian internal
entitas ini memiliki pengaruh luas pada bagaimana aktivitas bisnis
disusun dan risiko dinilai dalam organisasi mana pun. Lingkungan
kontrol berfungsi sebagai dasar untuk semua komponen lain dari
kontrol internal dan memiliki pengaruh pada masing-masing dari
tiga tujuan dan semua kegiatan. Lingkungan kontrol mencerminkan
keseluruhan sikap, kesadaran, dan tindakan dewan direksi,
manajemen, dan lainnya mengenai pentingnya kontrol internal
dalam organisasi. Bagian berikut menguraikan beberapa elemen
utama dari komponen lingkungan kontrol COSO dari kontrol
internal. Auditor internal harus selalu berusaha memahami
lingkungan kontrol keseluruhan ini ketika melakukan peninjauan
terhadap berbagai kegiatan atau unit organisasi. Mengikuti panduan
SOA, jika lingkungan kontrol tampaknya memiliki kekurangan
utama, audit internal harus membahas masalah ini dengan komite
audit.
1) Integritas dan nilai-nilai etis. Integritas kolektif dan nilai-
nilai etika organisasi adalah elemen penting dari lingkungan
kontrolnya. Faktor-faktor ini sering ditentukan oleh nada pada
pesan teratas yang dikomunikasikan oleh manajemen senior.
Jika organisasi telah mengembangkan kode perilaku yang
kuat yang menekankan integritas dan nilai-nilai etika, dan jika
semua pemangku kepentingan tampaknya mengikuti kode itu,
audit internal akan memiliki jaminan bahwa organisasi
memiliki seperangkat nilai yang baik. Auditor internal harus
memiliki pemahaman yang baik tentang kode etik organisasi
dan bagaimana penerapannya di seluruh organisasi. Jika kode
tersebut kedaluwarsa, jika tampaknya tidak mengatasi
masalah etika penting yang dihadapi organisasi, atau jika
manajemen tampaknya tidak mengkomunikasikan kode
tersebut kepada semua pemangku kepentingan secara
berulang, audit internal harus mengingatkan manajemen
tentang pentingnya kekurangan ini baik dalam proses audit di
bidang lain dan sebagai pesan khusus kepada manajemen.
2) Komitmen terhadap kompetensi. Lingkungan kontrol
organisasi dapat terkikis secara serius jika signifikan sejumlah
posisi diisi oleh orang-orang yang kurang memiliki
keterampilan kerja yang dibutuhkan. Intern auditor akan
 menghadapi situasi dari waktu ke waktu ketika seseorang
telah ditugaskan untuk pekerjaan tertentu tetapi tampaknya
tidak memiliki keterampilan yang sesuai, pelatihan, atau
kecerdasan untuk melakukan pekerjaan itu. Karena semua
manusia memiliki tingkat keterampilan dan kemampuan yang
berbeda, pengawasan dan pelatihan yang memadai harus
tersedia untuk membantu orang tersebut hingga keterampilan
yang tepat diperoleh. Organisasi perlu menetapkan tingkat
kompetensi yang diperlukan untuk berbagai tugas
pekerjaannya dan menerjemahkan persyaratan tersebut ke
tingkat pengetahuan dan keterampilan yang diperlukan.
Dengan menempatkan orang yang tepat dalam pekerjaan yang
sesuai dan memberi pelatihan yang memadai ketika
dibutuhkan, suatu organisasi membuat komitmen keseluruhan
kompetensi, elemen penting dalam keseluruhan lingkungan
kontrol organisasi.
3) Dewan direksi dan komite audit. Lingkungan kontrol sangat
dipengaruhi oleh tindakan dewan direksi organisasi dan
komite auditnya. Pada tahun-tahun sebelum SOA, dewan dan
komite audit mereka sering didominasi oleh manajemen
organisasi senior, dengan hanya perwakilan minoritas yang
terbatas dari direktur luar. Ini menciptakan situasi di mana
dewan tidak sepenuhnya independen dari manajemen.
Pejabat-pejabat perusahaan duduk di dewan dan, pada
dasarnya, mengelola diri mereka sendiri, sering kali dengan
lebih sedikit perhatian terhadap investor luar. Dewan yang
aktif dan independen adalah komponen penting dari
lingkungan kontrol organisasi.
(c.) Dewan Direksi dan Komite Audit
Lingkungan kontrol sangat dipengaruhi oleh tindakan dewan direksi organisasi dan
komite auditnya. Pada tahun-tahun sebelum SOA, dewan dan komite audit mereka
sering didominasi oleh manajemen organisasi senior, dengan hanya perwakilan
minoritas yang terbatas dari direktur luar. Hal ini menciptakan situasi di mana dewan
tidak sepenuhnya independen dari manajemen. Pejabat perusahaan yang duduk di
dewan dan, pada dasarnya, mengatur diri mereka sendiri, sering kali dengan kurang
memperhatikan investor luar. Sebagaimana dibahas dalam Bab 3, SOA telah
mengubah semua itu. Dewan sekarang memiliki peran tata kelola perusahaan yang
lebih penting, dan komite audit dituntut untuk benar-benar independen.
Dewan yang aktif dan independen adalah komponen penting dari lingkungan kontrol
organisasi. Anggota dewan independen ini harus mengajukan pertanyaan yang tepat
kepada manajemen puncak dan harus memberikan semua aspek pengawasan
terperinci kepada semua aspek organisasi. Dengan menetapkan kebijakan tingkat
tinggi dan dengan meninjau perilaku organisasi secara keseluruhan, dewan dan
komite auditnya memiliki tanggung jawab utama untuk menetapkan prinsip "tone at
the top" ini. Bahkan jika tidak diharuskan oleh SOA, prinsip yang sama ini berlaku
untuk dewan direktur organisasi swasta atau dewan pengawas untuk organisasi
nirlaba dan publik lainnya.

(d.) Filosofi Manajemen dan Gaya Operasi

Filosofi dan gaya operasi manajemen puncak memiliki pengaruh yang cukup besar
terhadap lingkungan kontrol organisasi. Beberapa manajer tingkat atas sering
mengambil risiko organisasi yang signifikan dalam bisnis atau usaha produk baru
mereka, sementara yang lain sangat berhati-hati atau konservatif. Beberapa manajer
tampaknya beroperasi dengan "seat of the pants" yang artinya dilakukan hanya
dengan menggunakan pengalaman Anda sendiri dan memercayai penilaian Anda
sendiri sementara yang lain bersikeras bahwa semuanya harus disetujui dan
didokumentasikan dengan baik. Yang lain lagi mengambil pendekatan yang sangat
agresif dalam interpretasi mereka atas peraturan pelaporan pajak dan keuangan,
sementara yang lain membaca buku ini. Komentar-komentar ini tidak selalu berarti
bahwa satu pendekatan selalu baik dan yang lainnya buruk. Organisasi wirausaha
kecil mungkin terpaksa mengambil risiko bisnis tertentu agar tetap kompetitif,
sedangkan yang berada di industri yang sangat diatur akan menolak risiko. Disebut
selera organisasi akan risiko, konsep ini dibahas di Bab 5.
Filosofi manajemen dan pertimbangan gaya operasional ini adalah bagian dari
lingkungan kontrol untuk suatu organisasi. Auditor internal dan pihak lain yang
bertanggung jawab untuk menilai kontrol internal harus memahami faktor-faktor ini
dan mempertimbangkannya ketika mengevaluasi efektivitas kontrol internal.
Sementara tidak ada satu set gaya dan filosofi selalu yang terbaik untuk semua
organisasi, faktor-faktor ini penting ketika mempertimbangkan komponen lain dari
kontrol internal dalam suatu organisasi.

(e.) Struktur Organisasi

Komponen struktur organisasi menyediakan kerangka kerja untuk merencanakan,
melaksanakan, mengendalikan, dan memantau kegiatan untuk mencapai tujuan
keseluruhan. Ini adalah aspek dari lingkungan kontrol yang berhubungan dengan cara
berbagai fungsi dikelola dan diatur, mengikuti bagan organisasi klasik. Beberapa
organisasi sangat tersentralisasi, sementara yang lain didesentralisasi oleh produk,
geografi atau faktor lainnya. Yang lain diorganisasikan dalam bentuk matriks tanpa
garis pelaporan langsung. Struktur organisasi adalah aspek yang sangat penting dari
lingkungan kontrol organisasi. Tidak ada struktur yang menyediakan lingkungan
yang disukai untuk kontrol internal.
Ada banyak cara di mana berbagai komponen organisasi dapat dirakit. Kontrol
organisasi adalah bagian dari proses kontrol yang lebih besar. Istilah organisasi sering
digunakan secara bergantian dengan istilah pengorganisasian dan berarti hal yang
sama bagi banyak orang. Organisasi kadang-kadang merujuk pada hubungan
hierarkis antara orang-orang tetapi juga digunakan secara luas untuk memasukkan
semua masalah manajemen. Buku ini dan sumber-sumber lain umumnya
menggunakan istilah organisasi untuk merujuk pada entitas organisasi, seperti
korporasi, asosiasi nirlaba, atau kelompok terorganisir mana pun. Bagian ini
menganggap organisasi sebagai seperangkat pengaturan organisasi yang
dikembangkan sebagai hasil dari proses pengorganisasian
Suatu organisasi dapat digambarkan sebagai cara upaya kerja individu ditugaskan dan
selanjutnya diintegrasikan untuk pencapaian tujuan keseluruhan. Sementara dalam
arti konsep ini dapat diterapkan pada cara di mana seorang individu mengatur upaya
individu, itu lebih berlaku ketika sejumlah orang terlibat dalam upaya kelompok.
Untuk perusahaan modern besar, rencana kontrol organisasi yang kuat adalah
komponen penting dari sistem kontrol internal. Individu dan subkelompok harus
memiliki pemahaman tentang tujuan dan sasaran total kelompok atau entitas yang
menjadi bagiannya. Tanpa pemahaman seperti itu, akan ada kelemahan kontrol yang
signifikan.
Setiap organisasi atau entitas — baik bisnis, pemerintah, filantropi, atau jenis unit
lainnya — membutuhkan rencana organisasi yang efektif. Auditor internal perlu
memiliki pemahaman yang baik tentang struktur organisasi ini dan hubungan
pelaporan yang dihasilkan, apakah struktur organisasi fungsional, desentralisasi atau
matriks. Seringkali, kelemahan dalam kontrol organisasi dapat memiliki efek meresap
di seluruh lingkungan kontrol total. Terlepas dari garis wewenang yang jelas,
organisasi kadang-kadang telah membangun inefisiensi yang menjadi lebih besar
seiring dengan meningkatnya ukuran organisasi. Ketidakefisienan ini sering dapat
menyebabkan prosedur kontrol rusak, dan auditor harus menyadarinya ketika
mengevaluasi lingkungan kontrol organisasi dalam organisasi fungsional.

(f.) Penugasan Otoritas dan Tanggung Jawab

Area lingkungan kontrol ini, sebagaimana didefinisikan oleh COSO, mirip dengan
area struktur organisasi yang telah dibahas sebelumnya. Struktur organisasi
mendefinisikan penugasan dan integrasi dari seluruh upaya kerja. Penugasan
wewenang pada dasarnya adalah cara tanggung jawab didefinisikan dalam hal
deskripsi pekerjaan dan terstruktur dalam hal bagan organisasi. Meskipun penugasan
pekerjaan tidak dapat sepenuhnya lepas dari beberapa tanggung jawab yang tumpang
tindih atau bersama, semakin tepatnya tanggung jawab ini dapat dinyatakan, semakin
baik. Keputusan tentang bagaimana tanggung jawab akan diberikan seringkali
bersamaan dengan menghindari kebingungan dan konflik di antara upaya kerja
individu dan kelompok.
Banyak organisasi dari semua jenis dan ukuran saat ini telah merampingkan operasi
dan mendorong otoritas pengambilan keputusan mereka ke bawah dan lebih dekat
dengan personel garis depan. Idenya adalah bahwa karyawan garis depan ini harus
memiliki pengetahuan dan kekuatan untuk membuat keputusan penting dalam bidang
operasi mereka sendiri daripada diminta untuk meneruskan permintaan pengambilan
keputusan melalui saluran organisasi. Tantangan kritis yang terjadi pada
pendelegasian atau pemberdayaan ini adalah bahwa meskipun dapat mendelegasikan
beberapa wewenang untuk mencapai tujuan organisasi, manajemen senior pada
akhirnya bertanggung jawab atas setiap keputusan yang dibuat oleh bawahan tersebut.
Suatu organisasi dapat menempatkan dirinya dalam risiko jika terlalu banyak
keputusan yang melibatkan tujuan tingkat yang lebih tinggi ditugaskan pada tingkat
yang lebih rendah secara tidak tepat tanpa tinjauan manajemen yang memadai. Selain
itu, setiap orang dalam organisasi harus memiliki pemahaman yang baik tentang
tujuan keseluruhan organisasi serta bagaimana tindakan individu mereka saling
terkait untuk mencapai tujuan tersebut. Bagian kerangka kerja dari laporan COSO
aktual menggambarkan area yang sangat penting dari lingkungan kontrol ini sebagai
berikut:
Lingkungan kontrol sangat dipengaruhi oleh sejauh mana individu mengenali otoritas
mereka yang akan dimintai pertanggungjawaban. Ini berlaku sampai ke kepala
eksekutif, yang memiliki tanggung jawab utama untuk semua aktivitas dalam suatu
entitas, termasuk sistem kontrol internal.
(g.) Kebijakan dan Praktik Sumber Daya Manusia
Praktek sumber daya manusia mencakup bidang-bidang seperti perekrutan, orientasi,
pelatihan, evaluasi, konseling, promosi, kompensasi, dan mengambil tindakan
perbaikan yang sesuai. Sementara fungsi sumber daya manusia harus memiliki
kebijakan yang dipublikasikan yang memadai di bidang-bidang ini, praktik aktual
mereka mengirimkan pesan yang kuat kepada karyawan mengenai tingkat perilaku
dan kompetensi etis yang diharapkan. Karyawan tingkat tinggi yang secara terbuka
menyalahgunakan kebijakan sumber daya manusia, seperti larangan merokok di
pabrik, dengan cepat mengirim pesan ke tingkat lain di organisasi. Pesan itu semakin
keras ketika seorang karyawan tingkat bawah didisiplinkan untuk rokok yang tidak
sah yang sama, sementara semua orang memandang sebaliknya pada pelanggar
tingkat yang lebih tinggi.
Yang termasuk area di mana kebijakan dan praktik sumber daya manusia ini sangat
penting yaitu:
• Rekrutmen dan Perekrutan. Organisasi harus mengambil langkah-langkah
untuk merekrut kandidat terbaik dan paling berkualitas. Latar belakang karyawan
potensial harus diperiksa untuk memverifikasi pendidikan dan pengalaman kerja
mereka sebelumnya. Wawancara harus diatur dengan baik dan mendalam. Mereka
juga harus mengirimkan pesan kepada calon kandidat tentang nilai-nilai, budaya, dan
gaya operasi organisasi.
• Orientasi Karyawan Baru. Sinyal yang jelas harus diberikan kepada karyawan
baru mengenai sistem nilai organisasi dan konsekuensi dari tidak mematuhi nilai-nilai
itu. Ini terjadi ketika karyawan baru diperkenalkan dengan kode etik dan diminta
untuk secara resmi mengakui penerimaan kode etik itu. Tanpa pesan-pesan ini,
karyawan baru akan bergabung dengan organisasi yang kurang memahami nilai-nilai
organisasinya.
• Evaluasi, Promosi, dan Kompensasi. Harus ada program evaluasi kinerja yang
adil di tempat yang tidak tunduk pada kebijaksanaan manajerial yang berlebihan.
Karena masalah-masalah seperti evaluasi dan kompensasi dapat melanggar
kerahasiaan karyawan, sistem keseluruhan harus ditetapkan dengan cara yang
tampaknya adil bagi semua anggota organisasi. Program insentif bonus seringkali
merupakan alat yang berguna untuk memotivasi dan memperkuat kinerja yang luar
biasa oleh semua karyawan.
• Tindakan Disiplin. Kebijakan yang konsisten dan dipahami dengan baik untuk
tindakan disipliner harus ada. Semua karyawan harus tahu bahwa jika mereka
melanggar aturan tertentu, mereka akan mengalami perkembangan tindakan disipliner
yang mengarah ke pemecatan. Organisasi harus berhati-hati untuk memastikan bahwa
tidak ada standar ganda untuk tindakan disipliner - atau, jika ada standar ganda
seperti itu ada, bahwa karyawan tingkat yang lebih tinggi dikenakan tindakan
disipliner yang lebih parah.

Kebijakan dan prosedur sumber daya manusia yang efektif adalah komponen penting
dalam lingkungan kontrol keseluruhan. Pesan dari puncak struktur organisasi yang
kuat hanya akan mencapai sedikit hal jika organisasi tidak memiliki kebijakan dan
prosedur sumber daya manusia yang kuat. Audit internal harus selalu
mempertimbangkan elemen lingkungan pengendalian ini ketika melakukan
peninjauan terhadap elemen-elemen lain dari kerangka kerja pengendalian internal.

(h.) Lingkungan Kontrol COSO Dalam Perspektif

Gambar 4.2 menunjukkan komponen-komponen kontrol internal sebagai piramida,
dengan lingkungan kontrol sebagai komponen terendah, atau fondasi. Konsep
lingkungan kontrol yang bertindak sebagai fondasi ini sangat tepat. Sama seperti
fondasi yang kuat diperlukan untuk bangunan bertingkat, lingkungan kontrol
menyediakan fondasi untuk komponen lain dari kontrol internal. Suatu organisasi
yang membangun struktur kontrol internal yang kuat harus memberikan perhatian
khusus untuk menempatkan batu bata fondasi yang kuat dalam fondasi lingkungan
kontrol ini.
Auditor internal harus selalu menyadari komponen lingkungan kontrol yang ada saat
melakukan peninjauan terhadap organisasi mereka. Dalam banyak kasus, audit
internal dapat menemukan pengecualian kontrol internal di bidang lain dari tinjauan
mereka yang disebabkan oleh kurangnya fondasi lingkungan kontrol yang kuat.
Misalnya, mereka mungkin menemukan bahwa karyawan di unit tertentu melanggar
beberapa aturan biaya perjalanan yang didefinisikan dalam pernyataan kebijakan
perusahaan. Alasan manajemen lokal mungkin karena aturan tersebut tidak berlaku
untuk mereka atau bahwa semua orang melakukan apa yang ditemukan oleh auditor.
Tergantung pada sifat masalah, ini mungkin situasi di mana audit internal harus
berbicara dengan orang yang tepat dalam manajemen senior dan menunjukkan
masalah lingkungan kontrol di sini.

(ii) Elemen Kontrol Internal COSO: Penilaian Risiko. Dengan merujuk kembali ke
piramida COSO Gambar 4.2, tingkat selanjutnya atau lapisan di atas Control
Foundation adalah Penilaian Risiko. Kemampuan organisasi untuk mencapai
tujuannya dapat berisiko karena berbagai faktor internal dan eksternal. Sebagai
bagian dari keseluruhan struktur kontrolnya, organisasi harus memiliki proses untuk
mengevaluasi potensi risiko yang dapat berdampak pada pencapaian berbagai
sasarannya. Sementara jenis proses penilaian risiko ini tidak perlu menjadi proses
penilaian risiko kuantitatif formal seperti yang dibahas dalam Bab 5, harus ada
pemahaman minimum tentang proses penilaian risiko untuk suatu entitas. Organisasi
yang memiliki tujuan informal “no changes” dalam rencana pemasarannya mungkin
ingin menilai risiko tidak mencapai tujuan itu karena masuknya pesaing baru yang
dapat memberikan tekanan pada tujuan melakukan hal yang sama seperti pada tahun
sebelumnya. Penilaian risiko harus menjadi proses berwawasan ke depan. Artinya,
banyak organisasi telah menemukan bahwa waktu dan tempat terbaik untuk menilai
berbagai tingkat risiko mereka adalah selama proses perencanaan tahunan atau
berkala. Proses penilaian risiko ini harus dilakukan di semua tingkatan dan untuk
hampir semua kegiatan dalam organisasi. COSO menjelaskan Penilaian Risiko
sebagai proses tiga langkah:
1. Perkirakan signifikansi risiko.
2. Menilai kemungkinan atau frekuensi risiko yang terjadi.
3. Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa
yang harus diambil.
Proses penilaian risiko COSO menempatkan tanggung jawab pada manajemen
melalui langkah-langkah untuk menilai apakah risiko itu signifikan dan jika iya,
manajemen akan mengambil tindakan yang tepat. Proses ini harus dekat dengan
auditor internal. Misalnya, Bab 18, “Perencanaan Kesinambungan Bisnis dan
Pemulihan Bencana,” membahas masalah penilaian risiko keamanan komputer
sebagai bagian dari perencanaan kesinambungan bisnis. Ini adalah proses di mana
auditor dapat menilai apakah aplikasi yang terkomputerisasi sangat penting bagi
organisasi dan apakah ia memiliki rencana cadangan pemulihan bencana yang
memadai. Audit internal dapat membantu anggota manajemen yang tidak terbiasa
dengan jenis proses penilaian risiko ini.
COSO menekankan bahwa analisis risiko bukan proses teoretis, tetapi seringkali
dapat menjadi penting untuk keberhasilan keseluruhan entitas. Sebagai bagian dari
keseluruhan penilaian pengendalian internal, manajemen harus mengambil langkah-
langkah untuk menilai risiko yang dapat memengaruhi organisasi secara keseluruhan
serta risiko terhadap berbagai kegiatan atau entitas organisasi. Berbagai risiko, yang
disebabkan oleh sumber internal atau eksternal, dapat mempengaruhi keseluruhan
organisasi.

( A ) Risiko Organisasi dari Faktor Eksternal

Perkembangan teknologi dapat mempengaruhi sifat dan waktu penelitian dan
pengembangan, atau menyebabkan perubahan dalam proses pengadaan. Risiko faktor
eksternal lainnya termasuk perubahan kebutuhan atau harapan pelanggan yang dapat
memengaruhi pengembangan produk, produksi, penetapan harga, garansi, atau
persaingan yang dapat mengubah kegiatan pemasaran atau layanan. Undang-undang
atau peraturan baru dapat memaksa perubahan dalam kebijakan atau strategi operasi,
dan malapetaka, seperti serangan teroris World Trade Center 9/11, dapat
menyebabkan perubahan dalam operasi dan menyoroti perlunya perencanaan
kontinjensi.

( B ) Risiko Organisasi dari Faktor Internal

Gangguan dalam fasilitas pemrosesan sistem informasi organisasi dapat berdampak
buruk pada keseluruhan operasi entitas. Juga, kualitas personel yang dipekerjakan dan
metode pelatihan dan motivasi dapat memengaruhi tingkat kesadaran pengendalian di
dalam entitas, dan tingkat aksesibilitas karyawan ke aset, dapat berkontribusi pada
penyalahgunaan sumber daya. Meskipun sekarang diatasi oleh SOA, laporan COSO
juga mengutip risiko dewan yang tidak tegas atau tidak efektif atau komite audit yang
dapat memberikan peluang untuk ketidakpedulian.

( C ) Risiko Tingkat Aktivitas Khusus

Selain risiko di seluruh organisasi, pertimbangan juga harus diberikan pada risiko di
setiap unit bisnis dan kegiatan utama, seperti pemasaran atau sistem informasi.
Kekhawatiran di tingkat aktivitas ini berkontribusi terhadap risiko di seluruh
organisasi dan harus diidentifikasi secara berkelanjutan, dibangun ke dalam berbagai
proses perencanaan di seluruh organisasi. Auditor internal harus mengetahui proses
penilaian risiko yang berlaku untuk berbagai kegiatan dan harus menilai
efektivitasnya ketika melakukan tinjauan atas kegiatan ini. Jika tidak ada proses
penilaian risiko seperti itu, audit internal harus menyoroti kebutuhan ini sebagai
temuan dan rekomendasi laporan audit.
Sering kali, manajemen mungkin memiliki proses yang memberikan penampilan
penilaian risiko tetapi tidak memiliki substansi apa pun. Misalnya, formulir
persetujuan otorisasi produk baru akan memiliki persetujuan bagi pemohon untuk
menggambarkan tingkat risiko yang terkait dengan produk yang diusulkan.
Manajemen lokal dapat secara konsisten menggambarkan mereka sebagai "rendah,"
tanpa analisis lebih lanjut. Penilaian ini bahkan mungkin tidak dipertanyakan sampai
ada beberapa jenis kegagalan besar-besaran. Saat melakukan tinjauan di bidang-
bidang ini, auditor internal harus meminta untuk melihat analisis atau untuk
membahas alasan di balik penilaian risiko "rendah". Jika tidak ada, auditor akan
memiliki masalah untuk dilaporkan kepada manajemen senior.
Elemen penilaian risiko COSO adalah bidang di mana baru-baru ini banyak terjadi
kesalahpahaman dan kebingungan. COSO baru-baru ini merilis kerangka kerja baru
yang disebut Enterprise Risk Model (ERM) sebagai cara bagi perusahaan secara
keseluruhan untuk memahami dan mengevaluasi risiko ERM "big picture" yaitu
melihat situasi secara menyeluruh, agar kita mengetahui duduk permasalahan yang
sebenarnya. Ketika buku ini mulai dicetak, ERM baru saja selesai setelah
rancangannya dirilis; itu akan dibahas secara terperinci dalam Bab 5. Karena kedua
kerangka dirilis oleh organisasi COSO yang sama dan karena model kerangka terlihat
serupa, beberapa telah salah mengira ERM untuk pengganti COSO. Ini bukan
kasusnya. Kerangka kerja COSO yang dijelaskan di sini mencakup kontrol internal
untuk entitas individu dalam perusahaan dengan penilaian risiko menjadi salah satu
faktor. Kerangka kerja ERM baru mencakup seluruh entitas dan seterusnya. Ini benar-
benar dua masalah yang terpisah dan satu bukan pengganti yang lain. Menilai risiko
dan kerangka kerja ERM baru akan dibahas pada Bab 5.

(iii) Elemen Kontrol Internal COSO: Aktivitas Kontrol. Lapisan berikutnya dalam
model kontrol internal COSO disebut kegiatan kontrol. Ini adalah kebijakan dan
prosedur yang membantu memastikan bahwa tindakan yang diidentifikasi untuk
mengatasi risiko dilakukan. Komponen kontrol internal ini mencakup berbagai
kegiatan dan prosedur, mulai dari menetapkan standar organisasi dengan pemisahan
tugas yang tepat hingga meninjau dan menyetujui laporan operasi utama dengan
benar. Kegiatan kontrol harus ada di semua tingkatan dalam organisasi, dan dalam
banyak kasus, mereka mungkin tumpang tindih satu sama lain.
Konsep kegiatan pengendalian harus dekat dengan auditor internal yang
mengembangkan prosedur untuk mengambil sampel catatan faktur dari sistem A / P
untuk menguji apakah faktur dikode dengan benar dan diskon dihitung dengan benar.
Aktivitas kontrol di sini adalah untuk menentukan apakah faktur ditangani dengan
benar. Prosedur audit mungkin menggunakan teknik pengambilan sampel untuk
memilih set perwakilan dari catatan faktur ini, dan kemudian untuk memeriksa setiap
item yang dipilih untuk kepatuhan dengan kriteria kontrol yang dipilih. Sama seperti
auditor internal yang melakukan kegiatan pengendalian tersebut, tingkat manajemen
lainnya harus memiliki kegiatan pengendalian yang sama untuk memastikan bahwa
tujuan pengendalian mereka di berbagai bidang sedang dicapai.

( A ) Jenis-jenis Kegiatan Pengendalian

Banyak definisi kontrol yang berbeda digunakan, termasuk manual, sistem komputer,
atau kontrol manajemen, atau preventif, korektif, dan detektif. Sementara tidak ada
satu set definisi kontrol yang benar untuk semua situasi manajemen atau untuk semua
organisasi, COSO menyarankan serangkaian kegiatan kontrol yang mungkin
dilaksanakan oleh suatu organisasi. Meskipun tentu saja bukan daftar semua-inklusif,
daftar berikut ini mewakili berbagai dan variasi kegiatan kontrol dalam organisasi
modern:
• Ulasan Tingkat Atas. Manajemen di berbagai tingkatan harus meninjau hasil
kinerjanya, membandingkan hasil tersebut dengan anggaran, statistik kompetitif, dan
pengukuran tolok ukur lainnya. Tindakan manajemen untuk menindaklanjuti hasil
tinjauan tingkat atas ini dan untuk mengambil tindakan korektif mewakili aktivitas
kontrol.
• Manajemen Fungsional atau Aktivitas Langsung. Manajer di berbagai
tingkatan harus meninjau laporan operasional dari sistem kontrol mereka dan
mengambil tindakan korektif yang sesuai. Banyak sistem manajemen telah dibangun
untuk menghasilkan serangkaian laporan pengecualian yang mencakup berbagai
kegiatan. Misalnya, sistem keamanan komputer akan memiliki mekanisme untuk
melaporkan upaya akses yang tidak sah. Aktivitas kontrol di sini adalah proses
manajemen untuk menindaklanjuti peristiwa yang dilaporkan ini dan mengambil
tindakan korektif yang tepat.
• Memproses Informasi. Sistem informasi mengandung banyak kontrol di mana
sistem memeriksa kepatuhan di berbagai bidang dan kemudian melaporkan
pengecualian apa pun. Item pengecualian yang dilaporkan tersebut harus menerima
tindakan korektif dengan prosedur otomatis sistem, oleh personel operasional atau
oleh manajemen. Aktivitas kontrol lain di sini termasuk kontrol atas pengembangan
sistem baru atau akses ke data dan file program.
• Kontrol Fisik. Organisasi harus memiliki kontrol yang tepat atas aset fisiknya,
termasuk perlengkapan, inventaris, dan sekuritas yang dapat dinegosiasikan. Program
aktif inventaris fisik berkala merupakan aktivitas kontrol utama.
• Indikator Kinerja. Manajemen harus menghubungkan set data, baik
operasional dan keuangan, satu sama lain dan mengambil tindakan analitis,
investigatif, atau korektif yang tepat. Proses ini merupakan aktivitas pengendalian
organisasi yang penting yang juga dapat memenuhi persyaratan pelaporan keuangan
dan operasional.
• Pemisahan Tugas. Tugas harus dibagi atau dipisahkan di antara orang yang
berbeda untuk mengurangi risiko kesalahan atau tindakan yang tidak pantas. Ini
adalah prosedur pengendalian internal dasar.
Item-item ini, termasuk dalam laporan COSO, hanya mewakili sejumlah kecil dari
banyak aktivitas kontrol yang dilakukan sebagai bagian dari kegiatan bisnis normal.
Kegiatan-kegiatan ini dan lainnya menjaga organisasi tetap pada jalur menuju
pencapaian banyak tujuannya. Kegiatan pengendalian biasanya melibatkan kebijakan
yang menetapkan apa yang harus dilakukan dan prosedur untuk mempengaruhi
kebijakan tersebut. Sementara kegiatan kontrol ini kadang-kadang hanya dapat
dikomunikasikan secara lisan oleh tingkat manajemen yang sesuai, COSO
menunjukkan bahwa tidak peduli bagaimana kebijakan dikomunikasikan, itu harus
dilaksanakan "secara serius, hati-hati, dan konsisten." Ini adalah pesan yang kuat
untuk auditor internal yang meninjau kegiatan pengendalian. Meskipun organisasi
mungkin memiliki kebijakan yang dipublikasikan yang mencakup area tertentu,
auditor internal harus meninjau prosedur pengendalian yang ditetapkan yang
mendukung kebijakan tersebut. Prosedur tidak banyak berguna kecuali ada fokus
yang tajam pada kondisi kebijakan itu diarahkan. Terlalu sering, suatu organisasi
dapat membuat laporan pengecualian sebagai bagian dari sistem otomatis yang
menerima sedikit lebih dari tinjauan sekilas oleh penerima laporan. Namun,
tergantung pada jenis kondisi yang dilaporkan, pengecualian tersebut harus menerima
tindakan tindak lanjut yang sesuai, yang dapat bervariasi tergantung pada ukuran
organisasi dan aktivitas yang dilaporkan dalam laporan pengecualian.

( B ) Integrasi Aktivitas Kontrol dengan Penilaian Risiko

Kegiatan pengendalian harus terkait erat dengan risiko yang diidentifikasi yang
dibahas sebelumnya sebagai bagian dari komponen penilaian risiko COSO. Kontrol
internal adalah suatu proses, dan kegiatan kontrol yang sesuai harus dipasang untuk
mengatasi risiko yang teridentifikasi. Kegiatan kontrol tidak boleh dipasang hanya
karena mereka tampaknya menjadi "hal yang benar untuk dilakukan" jika manajemen
tidak mengidentifikasi risiko signifikan di area di mana kegiatan kontrol akan
dipasang. Terlalu sering, manajemen mungkin masih memiliki kegiatan pengendalian
atau prosedur di tempat yang mungkin pernah melayani beberapa kekhawatiran risiko
kontrol, meskipun kekhawatiran sebagian besar telah hilang. Kegiatan atau prosedur
pengendalian tidak boleh dibuang karena belum ada kejadian pelanggaran kontrol
dalam beberapa tahun terakhir, tetapi manajemen perlu secara berkala untuk
mengevaluasi kembali risiko relatifnya. Semua kegiatan kontrol harus berkontribusi
pada struktur kontrol keseluruhan.
Komentar sebelumnya merujuk pada apa yang bisa disebut kegiatan kontrol "bodoh"
yang dulu punya tujuan tetapi saat ini mencapai sedikit. Sebagai contoh, pusat
pengolahan data bisnis operasi komputer, hingga tahun 1970-an, memiliki pegawai
input-output yang secara manual memeriksa laporan jumlah catatan file dari berbagai
program dalam sistem otomatis. Fasilitas sistem operasi komputer secara otomatis
mengotomatiskan prosedur kontrol tersebut sejak lama, tetapi beberapa organisasi
terus menggunakan prosedur ini lama setelah mereka diperlukan. Jika ada
pengecualian jumlah catatan, sistem operasi akan menandai masalah dan memulai
tindakan korektif jauh sebelum laporan disampaikan. Ini adalah kontrol "bodoh"
karena sekarang hanya mencapai sedikit atau tidak sama sekali dalam lingkungan
kontrol saat ini. Sementara beberapa kontrol tidak lagi penting, kontrol dasar lainnya,
seperti pemisahan tugas yang kuat antara fungsi yang tidak kompatibel, harus selalu
tetap berlaku.

( C ) Kontrol atas Sistem Informasi

COSO menekankan bahwa prosedur pengendalian diperlukan untuk semua sistem
informasi yang signifikan — yang terkait dengan keuangan, operasional, dan
kepatuhan. Dengan sistem informasi mengontrol aktivitas utama dalam lingkungan
kontrol keseluruhan, COSO memecah kontrol sistem informasi menjadi kontrol
umum dan aplikasi. Kontrol umum berlaku untuk sebagian besar fungsi sistem
informasi untuk membantu memastikan prosedur kontrol yang memadai atas semua
aplikasi. Kunci keamanan fisik di pintu ke pusat komputer adalah kontrol sedemikian
rupa sehingga sebagai kontrol umum untuk semua aplikasi yang berjalan di pusat data
itu.
Kontrol aplikasi merujuk ke aplikasi sistem informasi tertentu. Kontrol dalam
program aplikasi penggajian mingguan yang ditandai sebagai potensi kesalahan
karyawan mana pun yang dibayar selama lebih dari 80 jam dalam satu minggu
tertentu adalah contoh dari kontrol kewajaran aplikasi. Orang mungkin bekerja
lembur, tetapi diragukan banyak yang akan mencatat lebih dari 80 jam dalam
seminggu. COSO menyoroti serangkaian area kontrol sistem informasi untuk
mengevaluasi kecukupan keseluruhan kontrol internal. Kontrol umum mencakup
semua pusat data terpusat atau kontrol sistem komputer, termasuk penjadwalan
pekerjaan, manajemen penyimpanan, dan perencanaan pemulihan bencana. Kontrol
ini biasanya adalah tanggung jawab spesialis operasi data di pusat komputer atau
server terpusat. Namun, dengan sistem yang lebih baru dan lebih modern yang
terhubung satu sama lain melalui tautan telekomunikasi, kontrol ini dapat
didistribusikan di seluruh jaringan sistem berbasis server.
COSO menyimpulkan dengan diskusi tentang perlunya mempertimbangkan dampak
dari teknologi yang berkembang yang dampaknya harus selalu dipertimbangkan
ketika mengevaluasi kegiatan pengendalian sistem informasi. Karena pengenalan
cepat teknologi baru di banyak bisnis, apa yang baru hari ini akan dianggap matang
besok dan akan segera digantikan oleh yang lain. COSO belum memperkenalkan
sesuatu yang baru sehubungan dengan kontrol sistem informasi, tetapi telah
menyoroti pentingnya subjek ini dalam lingkungan kontrol internal keseluruhan.
Sekali lagi, auditor internal yang efektif perlu memiliki pemahaman yang kuat
tentang pengendalian sistem informasi seperti yang akan dibahas dalam Bagian Lima
buku ini, Bab 18 hingga 23.

(iv) Elemen Kontrol Internal COSO: Komunikasi dan Informasi. Model piramida
Gambar 3.2 kerangka kontrol internal COSO menggambarkan sebagian besar
komponen sebagai lapisan, satu di atas yang lain dimulai dengan lingkungan kontrol
sebagai lapisan atau fondasi pertama. Komponen informasi dan komunikasi,
bagaimanapun, bukan lapisan horisontal tetapi mencakup semua komponen lainnya.
Dalam draft asli COSO, informasi dan komunikasi diperlakukan sebagai dua
komponen terpisah, untuk membuat kerangka kerja lebih kompleks, mereka
digabungkan dalam draft akhir. Informasi dan komunikasi saling terkait, tetapi
merupakan komponen kontrol internal yang sangat berbeda. Keduanya merupakan
bagian penting dari kerangka kontrol internal. Informasi yang tepat, didukung oleh
sistem otomatis, harus dikomunikasikan ke atas dan ke bawah organisasi dengan cara
dan kerangka waktu yang memungkinkan orang untuk melaksanakan tanggung jawab
mereka. Selain sistem komunikasi formal dan informal, organisasi harus memiliki
prosedur yang efektif untuk berkomunikasi dengan pihak internal dan eksternal.
Sebagai bagian dari evaluasi kontrol internal, ada kebutuhan untuk memiliki
pemahaman yang baik tentang arus informasi dan komunikasi atau proses dalam
organisasi.

( A ) Hubungan Informasi dan Pengendalian Internal

Berbagai jenis informasi diperlukan di semua tingkatan organisasi untuk mencapai
tujuan operasional, pelaporan keuangan, dan kepatuhan. Rumah sakit memerlukan
informasi yang tepat untuk menyiapkan laporan keuangan yang dikomunikasikan
kepada investor luar. Ini juga membutuhkan informasi biaya internal dan informasi
preferensi pasar eksternal untuk membuat keputusan pemasaran yang benar.
Informasi ini harus mengalir baik dari tingkat atas organisasi ke tingkat yang lebih
rendah. COSO mengambil pendekatan luas terhadap konsep sistem informasi; itu
mengakui pentingnya sistem otomatis, tetapi membuat titik bahwa sistem informasi
dapat menjadi manual, otomatis, atau konseptual. Sistem informasi ini dapat bersifat
formal atau informal. Percakapan reguler dengan pelanggan atau pemasok dapat
menjadi sumber informasi yang sangat penting dan merupakan tipe informal dari
suatu sistem informasi. Organisasi yang efektif harus memiliki sistem informasi
untuk mendengarkan permintaan atau keluhan pelanggan dan untuk meneruskan
informasi yang diprakarsai pelanggan tersebut kepada personel yang tepat.
Kerangka kerja COSO juga menekankan pentingnya menjaga informasi dan sistem
pendukung yang konsisten dengan kebutuhan organisasi secara keseluruhan. Sistem
informasi beradaptasi untuk mendukung perubahan di banyak tingkatan. Auditor
internal sering menghadapi kasus di mana sistem informasi dilaksanakan bertahun-
tahun sebelumnya untuk mendukung berbagai kebutuhan. Meskipun kontrol
aplikasinya mungkin baik, sistem informasi mungkin tidak mendukung kebutuhan
organisasi saat ini. COSO mengambil pandangan luas tentang sistem informasi, baik
otomatis dan manual, dan menunjukkan perlunya memahami proses sistem manual
dan teknologi sistem otomatis.
Sistem Strategis dan Terpadu. Proses akuntansi dan keuangan adalah sistem otomatis
pertama dalam organisasi, dimulai dengan unit catatan atau mesin akuntansi "kartu
IBM" pada 1950-an dan kemudian pindah ke sistem komputer paling awal. Sebagian
besar organisasi telah meningkatkan sistem otomatis mereka dari waktu ke waktu,
tetapi campuran dasar mereka mendukung aplikasi otomatis mungkin tidak berubah
secara signifikan. Suatu organisasi akan memiliki buku besar, penggajian, inventaris,
piutang, hutang, dan proses berbasis keuangan terkait sebagai sistem informasi inti,
tanpa terlalu banyak yang lain. COSO menyarankan agar organisasi yang efektif
harus melangkah lebih jauh dan mengimplementasikan sistem informasi strategis dan
terintegrasi.