Makalah Kelompok 4
Makalah Kelompok 4
Hubungan yang tumpang tindih dari kedua jenis kontrol internal ini
kemudian diklarifikasi lebih lanjut dalam standar AICPA pra-1988 ini:
Kebijakan dan prosedur sumber daya manusia yang efektif adalah komponen penting
dalam lingkungan kontrol keseluruhan. Pesan dari puncak struktur organisasi yang
kuat hanya akan mencapai sedikit hal jika organisasi tidak memiliki kebijakan dan
prosedur sumber daya manusia yang kuat. Audit internal harus selalu
mempertimbangkan elemen lingkungan pengendalian ini ketika melakukan
peninjauan terhadap elemen-elemen lain dari kerangka kerja pengendalian internal.
(ii) Elemen Kontrol Internal COSO: Penilaian Risiko. Dengan merujuk kembali ke
piramida COSO Gambar 4.2, tingkat selanjutnya atau lapisan di atas Control
Foundation adalah Penilaian Risiko. Kemampuan organisasi untuk mencapai
tujuannya dapat berisiko karena berbagai faktor internal dan eksternal. Sebagai
bagian dari keseluruhan struktur kontrolnya, organisasi harus memiliki proses untuk
mengevaluasi potensi risiko yang dapat berdampak pada pencapaian berbagai
sasarannya. Sementara jenis proses penilaian risiko ini tidak perlu menjadi proses
penilaian risiko kuantitatif formal seperti yang dibahas dalam Bab 5, harus ada
pemahaman minimum tentang proses penilaian risiko untuk suatu entitas. Organisasi
yang memiliki tujuan informal “no changes” dalam rencana pemasarannya mungkin
ingin menilai risiko tidak mencapai tujuan itu karena masuknya pesaing baru yang
dapat memberikan tekanan pada tujuan melakukan hal yang sama seperti pada tahun
sebelumnya. Penilaian risiko harus menjadi proses berwawasan ke depan. Artinya,
banyak organisasi telah menemukan bahwa waktu dan tempat terbaik untuk menilai
berbagai tingkat risiko mereka adalah selama proses perencanaan tahunan atau
berkala. Proses penilaian risiko ini harus dilakukan di semua tingkatan dan untuk
hampir semua kegiatan dalam organisasi. COSO menjelaskan Penilaian Risiko
sebagai proses tiga langkah:
1. Perkirakan signifikansi risiko.
2. Menilai kemungkinan atau frekuensi risiko yang terjadi.
3. Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa
yang harus diambil.
Proses penilaian risiko COSO menempatkan tanggung jawab pada manajemen
melalui langkah-langkah untuk menilai apakah risiko itu signifikan dan jika iya,
manajemen akan mengambil tindakan yang tepat. Proses ini harus dekat dengan
auditor internal. Misalnya, Bab 18, “Perencanaan Kesinambungan Bisnis dan
Pemulihan Bencana,” membahas masalah penilaian risiko keamanan komputer
sebagai bagian dari perencanaan kesinambungan bisnis. Ini adalah proses di mana
auditor dapat menilai apakah aplikasi yang terkomputerisasi sangat penting bagi
organisasi dan apakah ia memiliki rencana cadangan pemulihan bencana yang
memadai. Audit internal dapat membantu anggota manajemen yang tidak terbiasa
dengan jenis proses penilaian risiko ini.
COSO menekankan bahwa analisis risiko bukan proses teoretis, tetapi seringkali
dapat menjadi penting untuk keberhasilan keseluruhan entitas. Sebagai bagian dari
keseluruhan penilaian pengendalian internal, manajemen harus mengambil langkah-
langkah untuk menilai risiko yang dapat memengaruhi organisasi secara keseluruhan
serta risiko terhadap berbagai kegiatan atau entitas organisasi. Berbagai risiko, yang
disebabkan oleh sumber internal atau eksternal, dapat mempengaruhi keseluruhan
organisasi.
(iii) Elemen Kontrol Internal COSO: Aktivitas Kontrol. Lapisan berikutnya dalam
model kontrol internal COSO disebut kegiatan kontrol. Ini adalah kebijakan dan
prosedur yang membantu memastikan bahwa tindakan yang diidentifikasi untuk
mengatasi risiko dilakukan. Komponen kontrol internal ini mencakup berbagai
kegiatan dan prosedur, mulai dari menetapkan standar organisasi dengan pemisahan
tugas yang tepat hingga meninjau dan menyetujui laporan operasi utama dengan
benar. Kegiatan kontrol harus ada di semua tingkatan dalam organisasi, dan dalam
banyak kasus, mereka mungkin tumpang tindih satu sama lain.
Konsep kegiatan pengendalian harus dekat dengan auditor internal yang
mengembangkan prosedur untuk mengambil sampel catatan faktur dari sistem A / P
untuk menguji apakah faktur dikode dengan benar dan diskon dihitung dengan benar.
Aktivitas kontrol di sini adalah untuk menentukan apakah faktur ditangani dengan
benar. Prosedur audit mungkin menggunakan teknik pengambilan sampel untuk
memilih set perwakilan dari catatan faktur ini, dan kemudian untuk memeriksa setiap
item yang dipilih untuk kepatuhan dengan kriteria kontrol yang dipilih. Sama seperti
auditor internal yang melakukan kegiatan pengendalian tersebut, tingkat manajemen
lainnya harus memiliki kegiatan pengendalian yang sama untuk memastikan bahwa
tujuan pengendalian mereka di berbagai bidang sedang dicapai.
(iv) Elemen Kontrol Internal COSO: Komunikasi dan Informasi. Model piramida
Gambar 3.2 kerangka kontrol internal COSO menggambarkan sebagian besar
komponen sebagai lapisan, satu di atas yang lain dimulai dengan lingkungan kontrol
sebagai lapisan atau fondasi pertama. Komponen informasi dan komunikasi,
bagaimanapun, bukan lapisan horisontal tetapi mencakup semua komponen lainnya.
Dalam draft asli COSO, informasi dan komunikasi diperlakukan sebagai dua
komponen terpisah, untuk membuat kerangka kerja lebih kompleks, mereka
digabungkan dalam draft akhir. Informasi dan komunikasi saling terkait, tetapi
merupakan komponen kontrol internal yang sangat berbeda. Keduanya merupakan
bagian penting dari kerangka kontrol internal. Informasi yang tepat, didukung oleh
sistem otomatis, harus dikomunikasikan ke atas dan ke bawah organisasi dengan cara
dan kerangka waktu yang memungkinkan orang untuk melaksanakan tanggung jawab
mereka. Selain sistem komunikasi formal dan informal, organisasi harus memiliki
prosedur yang efektif untuk berkomunikasi dengan pihak internal dan eksternal.
Sebagai bagian dari evaluasi kontrol internal, ada kebutuhan untuk memiliki
pemahaman yang baik tentang arus informasi dan komunikasi atau proses dalam
organisasi.