Pentingnya Pengendalian

Internal

Disusun Oleh :

Silviani Afrita (17116010)

Maria Afrina Kartini (17116013)
Linda Francisca Fiani (17116020)
Bayu Andriyanto (16102141)

Jurusan Akuntansi
Universitas Trilogi
2020
 Chapter 3 – Internal Control Framework (COSO Standard)

Pengendalian internal COSO (Committee of Sponsoring Organizations) adalah kerangka

kerja yang menguraikan praktik profesional untuk menetapkan sistem dan proses bisnis yang
disukai yang mendorong efisiensi dan pengendalian internal yang efektif. Bab ini pertama kali
akan membahas pentingnya konsep pengendalian internal dan kemudian akan menjelaskan COSO yang
baru direvisi, kerangka pengendalian internal dan bagaimana auditor internal dapat menggunakannya
untuk meningkatkan tinjauan pengendalian internal mereka.

A. MEMAHAMI KONTROL INTERNAL

Di setiap tingkat, orang melihat kontrol internal di dalam kapasitas dan wewenang
mereka sendiri. Namun, prosedur pengendalian seringkali agak berbeda pada masing-
masing prosedur tersebut terkait tingkat dan komponen organisasi.
Kerangka kerja pengendalian internal COSO yang asli, yang dirilis pada tahun
1992, memberikan gambaran yang sangat baik tentang konsep multidimensi ini, yang
mendefinisikan pengendalian internal sebagai berikut:

Pengendalian internal adalah suatu proses, yang dilakukan oleh dewan direksi,
manajemen, dan personel entitas lainnya yang dirancang untuk memberikan jaminan
yang wajar mengenai pencapaian tujuan dalam kategori berikut:
 Efektivitas dan efisiensi operasi
 Keandalan pelaporan keuangan
 Kepatuhan terhadap hukum dan peraturan yang berlaku
Model COSO dengan cepat diadopsi oleh profesi audit dan akuntansi, pertama
kali di Amerika Serikat dan kemudian di seluruh dunia. Ini menjadi sangat signifikan
setelah Sarbanes ‐ Oxley Act (SOx) menjadi hukum yang mensyaratkan bahwa organisasi
pelaporan publik harus membuktikan kecukupan pengendalian internal mereka,
menggunakan kerangka COSO sebagai ukuran.
Sedangkan konsep dasar pengendalian internal COSO tidak banyak berubah sejak itu,
lingkungan keseluruhan di mana Operasional bisnis dan kinerja auditor internal telah
banyak berubah, termasuk beberapa hal berikut:
1. Munculnya penggunaan layanan kontrak, struktur organisasi baru, dan
peningkatan koneksi internasional,
2. Peningkatan kepatuhan dan persyaratan peraturan lebih dari sekedar tahunan
laporan keuangan,
3. Pengakuan bahwa pencegahan dan deteksi penipuan (Fraud) diperlukan agar
pengendalian internal efektif,
 4. Meningkatnya kebutuhan untuk memahami dan menilai risiko sebagai bagian dari
internal mengontrol operasi di semua tingkatan,
5. Perubahan konstan dalam teknologi TI dan cara kita menggunakan TI untuk
membangun dan mengelola proses,
6. Masalah keamanan yang terus meningkat, terutama keamanan TI di masa kini era
data,
7. Implikasi pengendalian internal terkait dengan media sosial dan nirkabel sistem.
Kerangka kerja pengendalian internal COSO sangat relevan di sini, eksekutif bisnis
serta auditor internal mereka, spesialis TI, staf keuangan dan akuntansi, dan lainnya juga
harus menyadari dan memahami kerangka kerja pengendalian internal COSO. Semua
harus fokus pada lima prinsip dasar yang mendukung pengendalian internal COSO pada
perusahaan:
1. Organisasi harus menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
2. Dewan direksi harus menunjukkan independensi dari manajemen dan melakukan
pengawasan terhadap pengembangan dan kinerja pengendalian internal.
3. Manajemen harus menetapkan, dengan pengawasan dewan, struktur, garis
pelaporan, dan wewenang dan tanggung jawab yang sesuai dalam mencapai
tujuan.
4. Organisasi harus menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten sesuai dengan tujuan.
5. Organisasi harus meminta pertanggungjawaban individu atas pengendalian
internal mereka serta tanggung jawab dalam mengejar tujuan.

B. BISNIS KERANGKA COSO YANG DIREVISI DAN PERUBAHAN

LINGKUNGAN OPERASIONAL

Kerangka kerja kontrol internal COSO baru dan materi panduan pendukungnya berisi
perubahan di bidang-bidang berikut:
1. Ekspektasi yang meningkat untuk pengawasan tata kelola
2. Peningkatan globalisasi pasar dan operasi
3. Perubahan dan kerumitan yang lebih besar dalam operasi bisnis perusahaan
4. Meningkatnya tuntutan dan kompleksitas dalam hukum, aturan, regulasi, dan
standar
5. Penggunaan dan ketergantungan yang terus meningkat pada teknologi yang terus
berkembang
6. Meningkatnya kebutuhan untuk mencegah dan mendeteksi korupsi
C. KERANGKA PENGENDALIAN INTERNAL COSO YANG DIREVISI

Ini adalah area di mana telah terjadi paling banyak perubahan pada kerangka
pengendalian internal COSO baru yang direvisi.

Gambar 1. COSO Internal Control (Exhibit 3.2) hal.36

Sisi depan dari diagram kubus COSO ini mendefinisikan lima komponen atau
level utama pengendalian internal: Lingkungan pengendalian, penilaian risiko, kegiatan
pengendalian internal, informasi dan komunikasi, kegiatan pemantauan.
Ditunjukkan di sisi kanan model, struktur organisasi perusahaan adalah dimensi
penting ketiga dari pengendalian internal. Ini mewakili internal komponen yang terkait
dengan pengendalian dari keseluruhan struktur organisasi: entitas perusahaan itu sendiri,
divisinya, anak perusahaan, unit operasi, atau fungsinya, termasuk proses bisnis seperti
penjualan, pembelian, produksi, dan pemasaran. Sebagai poin kunci di sini, kami harus
mengingat komponen entitas organisasi secara keseluruhan dimulai dengan keseluruhan
atau total perusahaan secara total dan kemudian diuraikan menjadi semua unit bisnis dan
komponen individu juga. Beberapa aktivitas pengendalian individu mungkin berbeda satu
sama lainnya dalam beberapa detail operasi, tetapi semuanya harus cocok dengan
lingkungan kontrol untuk entitas total.
D. PRINSIP PENGENDALIAN INTERNAL COSO

Kerangka kerja COSO yang telah direvisi sekarang juga dikodifikasi seperangkat
prinsip yang mendukung lima komponen pengendalian internal. Sedangkan tahun 1992
versi secara implisit mencerminkan beberapa prinsip inti pengendalian internal ini, versi
yang direvisi secara eksplisit mendefinisikan 17 prinsip pengendalian internal yang
mewakili konsep dasar yang terkait dengan 5 komponen pengendalian internal. Prinsip-
prinsip ini diuraikan dan dibahas dari auditor internal perspektif dalam Bab 4.

E. KOMPONEN PENGENDALIAN INTERNAL COSO: PENGENDALIAN

LINGKUNGAN

Komponen pengendalian lingkungan COSO dipengaruhi oleh berbagai internal

dan faktor eksternal, termasuk sejarah, nilai, pasar, dan lanskap persaingan dan peraturan
entitas. Kontrol lingkungan yang efektif menciptakan disiplin yang mendukung penilaian
risiko yang diperlukan dalam pencapaian tujuan entitas, kinerja aktivitas pengendalian,
penggunaan sistem informasi dan komunikasi, dan pelaksanaan aktivitas pemantauan.
kerangka pengendalian COSO memperkenalkan empat prinsip lingkungan
pengendalian internal seperti yang dijelaskan selanjutnya dan akan dibahas lebih lanjut di
Bab 4:
1. Perusahaan harus menetapkan tujuan dengan kejelasan yang memadai untuk
memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan.
2. Perusahaan harus mengidentifikasi risiko pencapaian tujuan di seluruh entitas dan
menganalisis risiko sebagai dasar untuk menentukan bagaimana risiko harus
dikelola.
3. Organisasi harus mempertimbangkan potensi kecurangan dalam menilai risiko
terhadap pencapaian tujuan.
4. Organisasi harus mengidentifikasi dan menilai perubahan yang dapat berdampak
signifikan sistem pengendalian internal.

Perusahaan yang menetapkan dan mempertahankan sendiri posisi lingkungan

control yang kuat untuk lebih tangguh dalam menghadapi tekanan internal dan eksternal
yang terus berubah. Lingkungan kontrol ini mungkin merupakan komponen terpenting
dalam COSO kerangka pengendalian internal. Penekanannya pada kalimat di atas
memberikan panduan bagaimana manajemen perusahaan harus memasukkan kesadaran
risiko dan aktivitas pengendalian ke dalam rutinitas kerja sehari-hari di wilayah tanggung
jawab mereka.

F. KOMPONEN PENGENDALIAN INTERNAL COSO: TUGAS BERESIKO

Penilaian risiko adalah elemen kunci dalam kerangka kerja pengendalian internal
COSO, yang terletak sebagai komponen kubus COSO tiga dimensi. Risiko didefinisikan
di sini sebagai kemungkinan bahwa suatu peristiwa dapat terjadi yang akan
mempengaruhi pencapaian tujuan perusahaan. Sedangkan penilaian risiko pengendalian
internal COSO mendefinisikan poin-poin penting untuk umum manajemen untuk
mempertimbangkan, auditor internal harus menjaga masalah manajemen risiko ini dalam
semua aktivitas tinjauan pengendalian internal mereka yang sedang berlangsung.
Materi panduan internal COSO menguraikan serangkaian prinsip penilaian risiko
yang dibahas dalam Bab 5 dengan empat konsep utama berikut:
1. Perusahaan harus menentukan tujuan dengan kejelasan yang cukup untuk
memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan
tersebut.
2. Perusahaan harus mengidentifikasi risiko pencapaian tujuan di seluruh entitas dan
harus menganalisis risiko sebagai dasar untuk menentukan bagaimana risiko
tersebut seharusnya dikelola.
3. Perusahaan harus mempertimbangkan potensi kecurangan dalam menilai risiko
terhadap pencapaian tujuan.
4. Perusahaan harus mengidentifikasi dan menilai perubahan yang dapat berdampak
signifikan sistem pengendalian internalnya.

Prinsip pertama dan kunci pengendalian internal mengharuskan perusahaan untuk

menentukannya tujuan risikonya dengan kejelasan yang cukup untuk memungkinkan
identifikasi dan penilaian risiko yang berkaitan dengan tujuan tersebut.

Identifikasi dan Analisis Risiko

Manajemen perusahaan di semua tingkatan harus berusaha untuk bias

mengidentifikasi semua kemungkinan risiko, hal itu dapat mempengaruhi
keberhasilan perusahaan, mulai dari yang lebih besar atau yang lebih signifikan yaitu
risiko terhadap bisnis secara keseluruhan hingga risiko yang kurang besar yang terkait
dengan individu, proyek atau unit bisnis yang lebih kecil.
Proses identifikasi risiko harus terjadi di berbagai tingkatan dalam suatu
perusahaan. Sebuah risiko yang berdampak pada unit bisnis atau proyek individu
mungkin tidak sebesar itu berdampak pada seluruh perusahaan, tetapi risiko besar
yang berdampak pada seluruh perekonomian akan mengalir ke perusahaan individu
dan unit bisnis terpisah.
Mengidentifikasi dan menganalisis risiko harus menjadi proses berulang yang
berkelanjutan untuk meningkatkan kemampuan perusahaan untuk mencapai
tujuannya.
 Gambar 2. Types of Enterprise Business Risks (Hal:43)

Strategi Respon Risiko

Sebagai bagian dari membangun pengendalian internal COSO yang efektif,
perusahaan juga harus mengembangkan strategi manajemen risiko untuk menangani
bagaimana mereka bermaksud menilai, menanggapi, dan memantau risiko. Hal ini sering
kali melibatkan penilaian berdasarkan asumsi tentang risiko dan analisis biaya yang wajar
terkait dengan pengurangan tingkat risiko. Materi panduan pengendalian internal COSO
mengidentifikasi empat pendekatan strategi respons risiko dasar:
 Penghindaran. Ini adalah strategi untuk menjauh dari risiko, seperti menjual unit
bisnis yang menimbulkan risiko, keluar dari wilayah geografis yang menjadi
perhatian, atau menjatuhkan lini produk.
 Pengurangan. Berbagai keputusan bisnis mungkin dapat mengurangi risiko
tertentu. Diversifikasi lini produk dapat mengurangi risiko ketergantungan yang
terlalu kuat pada satu kunci lini produk. Memisahkan pusat operasi TI menjadi
dua yang terpisah secara geografis lokasi dapat mengurangi risiko beberapa
kegagalan katastropik. Ada berbagai macam strategi yang sering efektif untuk
mengurangi risiko di semua tingkatan misalnya melakukan pelatihan silang
karyawan.
  Berbagi. Hampir semua perusahaan maupun individu secara teratur melakukan
lindung nilai atau berbagi beberapa risiko mereka dengan membeli asuransi.
Banyak teknik lain yang tersedia disini juga. Untuk transaksi keuangan,
perusahaan dapat melakukan operasi lindung nilai untuk melindungi dari
kemungkinan fluktuasi harga. Idenya adalah mengatur agar memiliki pihak lain
menerima sebagian dari risiko potensial, dengan pengakuan bahwa akan ada
menjadi biaya yang terkait dengan aktivitas itu.
 Penerimaan. Ini adalah strategi tanpa tindakan. Sebuah perusahaan dapat
"mengasuransikan diri" sendiri daripada membeli polis asuransi. Pada dasarnya,
perusahaan harus melihat kemungkinan dan dampak risiko mengingat toleransi
risiko yang telah ditetapkan dan kemudian memutuskan apakah menerima risiko
itu atau tidak. Penerimaan seringkali merupakan strategi yang tepat untuk
beberapa risiko.
Keempat strategi umum ini merupakan konsep kunci dalam memahami
manajemen risiko, dan auditor internal harus mengembangkan strategi respons umum
untuk setiap risiko menggunakan pendekatan yang dibangun di sekitar salah satunya.
Dalam melakukannya, biaya versus manfaat tanggapan risiko potensial harus
dipertimbangkan untuk menyelaraskan mereka dengan perusahaan selera risiko secara
keseluruhan atau kesediaan untuk menerima risiko itu.

G. COSO INTERNAL CONTROL COMPONENTS: INTERNAL CONTROL

ACTIVITIES

Aktivitas pengendalian adalah area di mana, di satu sisi, konsep dasar aktivitas
pengendalian internal tidak banyak berubah dari kerangka pengendalian internal COSO
yang asli. Misalnya, pemisahan tugas adalah konsep dasar pengendalian internal itu
masih tetap sebagai pengendalian internal yang penting di banyak bidang. Artinya, orang
atau fungsi otomatis yang memulai transaksi keuangan tidak boleh orang atau proses
yang sama yang menyetujuinya.

Aktivitas Pengendalian Proses Bisnis

Area penting untuk pemahaman audit internal, proses bisnis ditetapkan di seluruh
perusahaan untuk memungkinkan mereka mencapai tujuan mereka.
Elemen aktivitas pengendalian kerangka pengendalian internal COSO menggunakan
tujuan pemrosesan informasi berikut:
1. Kelengkapan. Transaksi yang terjadi harus dicatat. Misalnya, file perusahaan
dapat mengurangi risiko tidak memproses semua transaksi dengan vendor,
memilih tindakan dan kontrol transaksi yang mendukung pemrosesan semua
faktur transaksi dalam prosedur bisnis yang sesuai.
 2. Akurasi. Transaksi harus dicatat dalam jumlah yang benar di sebelah kanan akun
dan tepat waktu. Misalnya, kontrol transaksi atas sistem kunci elemen, seperti
harga barang atau basis data induk vendor, dapat menunjukkan keakuratan
pemrosesan transaksi pembelian. Akurasi dalam konteks proses operasional dapat
didefinisikan untuk mencakup konsep kualitas yang lebih luas, termasuk akurasi
dan ketepatan bagian yang direkam.
3. Validitas. Transaksi yang tercatat merupakan peristiwa ekonomi yang benar-benar
terjadi dan kemudian dieksekusi sesuai dengan prosedur yang ditentukan.
Validitas umumnya dicapai melalui aktivitas pengendalian yang mencakup
otorisasi transaksi sebagaimana ditentukan oleh kebijakan dan prosedur
perusahaan.
Jenis Aktivitas Pengendalian Transaksi
Terkadang konsep pengendalian internal dasar yang telah bersama kita selama bertahun-
tahun hampir habis dilupakan atau dihilangkan dari dialog sehari-hari kita tentang
merancang dan membangun pengendalian internal yang efektif. Misalnya, materi
pedoman kerangka kerja pengendalian internal COSO menyoroti jenis kegiatan
pengendalian transaksi berikut:
 Verifikasi. Ini adalah jenis kontrol transaksi yang membandingkan dua item atau
lebih satu sama lain atau membandingkan item dengan aturan kebijakan, dan
melakukan tindak lanjut tindakan ketika item yang dibandingkan tidak cocok atau
dianggap tidak konsisten dengan kebijakan. Contoh di sini termasuk aplikasi IT
dengan program, termasuk pencocokan atau tes kewajaran terprogram. Verifikasi
umumnya membahas kelengkapan, akurasi, atau validitas pemrosesan transaksi.
 Rekonsiliasi. Proses transaksi ini membandingkan dua atau lebih elemen data, dan
jika perbedaan teridentifikasi, tindakan diambil untuk menyepakati data.
Rekonsiliasi umumnya membahas kelengkapan dan / atau akurasi pemrosesan
transaksi.
 Otorisasi dan persetujuan. Proses otorisasi menegaskan bahwa transaksi valid,
terutama yang mewakili peristiwa ekonomi yang sebenarnya. Otorisasi biasanya
berbentuk persetujuan oleh tingkat manajemen yang lebih tinggi atau verifikasi
dan penentuan yang dihasilkan sistem transaksi yang valid.
 Kontrol fisik. Persediaan peralatan, sekuritas, uang tunai, dan aset lainnya
biasanya diamankan secara fisik di area penyimpanan yang terkunci atau dijaga.
Kontrol fisik transaksi di sini harus dihitung secara berkala dan dibandingkan
dengan catatan kontrol pendukung.
 Kontrol atas data / Standing data — istilah yang pertama kali diperkenalkan
beberapa tahun lalu oleh salah satu kantor akuntan publik besar adalah elemen
data yang dikembangkan dari luar perusahaan (seringkali dari organisasi standar)
yang mendukung pemrosesan transaksi dalam perusahaan itu. Mengontrol
aktivitas atas proses untuk mengisi, memperbarui, dan menjaga akurasi,
kelengkapan, dan validitas standing data ini harus ditetapkan oleh perusahaan.
  Kontrol pengawasan. Proses kontrol transaksi menilai apakah lainnya aktivitas
kontrol transaksi, seperti verifikasi, persetujuan, kontrol atas standing data, dan
aktivitas kontrol fisik dilakukan secara lengkap, akurat, dan sesuai dengan
kebijakan dan prosedur perusahaan. Manajemen biasanya harus memilih secara
bijak dan mengembangkan kontrol pengawasan atas transaksi berisiko tinggi,
termasuk tinjauan tingkat tinggi, untuk melihat apakah ada item rekonsiliasi yang
telah diikuti di atas atau dikoreksi, atau untuk menentukan apakah penjelasan
sesuai yang diberikan.

H. KOMPONEN PENGENDALIAN INTERNAL COSO: INFORMASI DAN

KOMUNIKASI

Sebagai elemen COSO lainnya, informasi diperlukan bagi perusahaan untuk

melaksanakannya tanggung jawab pengendalian internal untuk mendukung pencapaian
tujuannya. Manajemen memperoleh atau menghasilkan dan kemudian menggunakan
informasi yang relevan dan berkualitas dari keduanya sumber internal dan eksternal
untuk mendukung berfungsinya komponen lain dari pengendalian internal, dan auditor
internal meninjau dan menilai informasi manajemen yang sama.
Komunikasi, komponen lain dari elemen COSO ini didefinisikan di sini sebagai
proses berkelanjutan dan berulang dalam menyediakan, berbagi, dan memperoleh
informasi yang diperlukan. Komunikasi internal adalah sarana penyebaran informasi di
seluruh perusahaan, mengalir ke atas, ke bawah, dan di seluruh entitas. Ini
memungkinkan personel untuk menerima pesan yang jelas dari manajemen senior yang
harus mengendalikan tanggung jawab dianggap serius. Komunikasi eksternal juga
memungkinkan komunikasi masuk informasi eksternal yang relevan dan memberikan
informasi kepada pihak eksternal sebagai tanggapan, persyaratan dan harapan.
Komponen COSO ini menjelaskan pentingnya informasi yang disimpan oleh
perusahaan dan bagaimana itu harus dikomunikasikan ke berbagai pihak. Informasi
bagian sistem dari elemen ini mencatat, memproses, menyimpan, dan melaporkan data.
Sistem komunikasi menentukan bagaimana informasi dilaporkan, siapa yang
mendapatkannya, dan bagaimana ia digunakan dalam pengendalian penipuan. Proses
informasi dan komunikasi ini harus:
 Mencatat transaksi saat terjadi dan memecahnya menjadi beberapa bagian
(tanggal, jumlah, nama, akun, otorisasi, dll).
 Memproses, meringkas, dan melaporkan informasi itu untuk tujuan manajemen
dan tujuan akuntansi murni.
 Menyimpan data yang diambil dan diproses dalam format yang dapat diringkas,
diaudit, ditinjau, dan dilaporkan dengan cepat dan mudah.
 Laporkan informasi itu dalam format yang dapat digunakan untuk analisis
manajemen dan tujuan pengendalian internal.
 Gambar 3. Relevant Source of Information Examples (Hal:51)

Pentingnya Menggunakan Informasi yang Relevan

Dengan banyak informasi, termasuk sistem resmi yang diterbitkan perusahaan dan
prosedur, memo, komunikasi beberapa email, posting berita vendor eksternal, dan
komunikasi dari sumber media sosial, auditor internal sering dibombardir dengan
informasi saat mulai meninjau dan menilai pengendalian internal di beberapa area.
Persyaratan informasi ditetapkan melalui aktivitas yang dilakukan untuk mendukung
komponen pengendalian internal lainnya.

Pentingnya Komunikasi Internal

COSO menyarankan bahwa perusahaan harus mengkomunikasikan secara internal tujuan

dan tanggung jawab pengendalian internal yang baik. Komunikasi terkait informasi ini
harus dimulai dan didukung oleh manajemen senior dan disampaikan ke semua elemen di
seluruh organisasi perusahaan, termasuk:
 Pentingnya, relevansi, dan manfaat pengendalian internal yang efektif
 Peran dan tanggung jawab manajemen dan personel lainnya dalam melakukan
proses pengendalian internal tersebut
  Harapan perusahaan untuk mengomunikasikan ke atas, ke bawah, dan di semua
hal penting yang berkaitan dengan pengendalian internal, termasuk contoh
kelemahan, kerusakan, atau ketidakpatuhan.

I. KOMPONEN PENGENDALIAN INTERNAL COSO: KEGIATAN

MONITORING

Kegiatan pemantauan menilai apakah masing-masing dari lima tujuan atau

komponen lainnya Pengendalian internal COSO, termasuk lingkungan pengendalian,
penilaian risiko, dan lainnya, hadir dan berfungsi. Untuk pengendalian internal kegiatan
pemantauan komponen:
1. Organisasi memilih, mengembangkan, dan melakukan evaluasi yang sedang
berlangsung dan / atau terpisah untuk memastikan apakah komponen
pengendalian internal ada dan berfungsi.
2. Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian
internal dalam a secara tepat waktu kepada pihak-pihak yang bertanggung jawab
untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan
direksi, jika sesuai.
Kontrol yang tidak terpantau cenderung memburuk seiring waktu. Kerangka COSO
mendefinisikan pemantauan sebagai proses untuk membantu memastikan bahwa
pengendalian internal terus beroperasi secara efektif. Ketika pemantauan dirancang dan
dilaksanakan dengan tepat, suatu perusahaan seharusnya lebih cenderung mendapat
manfaat karena:
 Mengidentifikasi dan mengoreksi masalah pengendalian internal secara tepat
waktu
 Menghasilkan informasi yang lebih akurat dan andal untuk digunakan dalam
pengambilan keputusan
 Siapkan laporan keuangan yang akurat dan tepat waktu
 Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala
tentang keefektifan pengendalian internal.
 Gambar 4. COSO Monitoring Activities (Hal:55)
J. DIMENSI LAIN KERANGKA COSO
Bagian sebelumnya telah menjelaskan komponen yang lebih penting dari internal
COSO kerangka kerja pengendalian, dari lingkungan pengendalian hingga pemantauan.
Masing-masing menjelaskan komponen penting atau elemen pengendalian internal yang
harus efektif secara individual dan harus bekerja dengan elemen pengendalian internal
terkait lainnya.
Dengan cara yang sama, masing-masing pengendalian internal ini harus
dipertimbangkan dengan sehubungan dengan sisi ukuran organisasi dari kubus COSO.
Artinya, pengendalian internal harus efektif dalam unit bisnis atau departemen individu,
di bisnis yang lebih besar atau tingkat fungsional, dan untuk seluruh entitas sebuah bisnis.
Chapter 5

THE SARBANES - OXLEY ACT (SOX) ADALAH undang-undang AS yang diberlakukan pada
tahun 2002 untuk diperbaiki proses audit pelaporan keuangan dan untuk mengoreksi serangkaian dewan
direktur, akuntan publik, dan praktik lainnya. Ini berdampak besar pada bisnis pertama di Amerika
Serikat dan sekarang di seluruh dunia. Sementara banyak audit baru SOx dan Aturan pengendalian
internal secara langsung mengubah banyak pelaporan keuangan dan auditor eksternal praktik, SOx juga
berdampak besar pada auditor internal. Pemahaman umum tentang SOx, dengan penekanan pada aturan
kontrol akuntansi internal Bagian 404, adalah CBOK utama persyaratan untuk semua auditor internal.
SOx menjadi hukum di Amerika Serikat sebagai tanggapan terhadap serangkaian kesalahan akuntansi dan
kegagalan finansial di beberapa perusahaan besar seperti Enron dan WorldCom. Komponen utama SOx
adalah Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB), sebuah entitas independen yang
menetapkan standar audit eksternal A.S. dan mengatur publik industri akuntansi. Standar auditing tersebut
ditetapkan pada level yang sangat tinggi. Sebagai contoh, bagian berikut ini akan memperkenalkan
Auditing Standard No. 5, atau AS5 dari PCAOB. SOx memperkenalkan perubahan besar yang berdampak
pada tata kelola perusahaan, akuntansi, dan proses audit pelaporan keuangan. SOx adalah serangkaian
persyaratan yang luas mendefinisikan ulang baik bagaimana kita mengatur perusahaan publik dan
bagaimana kita membuktikan bahwa mereka dilaporkan hasil keuangan dinyatakan secara wajar.
Sebagian besar perhatian bisnis dan auditor terhadap persyaratan SOx telah difokuskan padanya Bagian
404 aturan pengesahan pengendalian internal. Auditor internal harus menyadari persyaratan ini untuk
tinjauan SOx Bagian 404 serta apa yang disebut Bagian 302 aturan, membuat manajemen bertanggung
jawab atas laporan keuangan yang dilaporkan. Kedua dari aturan ini telah menyebabkan banyak usaha
dan perhatian ketika perusahaan mulai didirikan kepatuhan dengan SOx. Bagian lain dari undang-undang
tersebut belum mendapat banyak perhatian atau menyebabkan masalah kepatuhan yang besar. Contohnya
adalah persyaratan SOx bahwa komite audit menetapkan apa yang disebut program whistleblower,
dibahas di Bab 26, untuk melaporkan akuntansi yang curang secara anonim.
Bab ini akan memberikan gambaran umum tentang SOx hari ini, dengan penekanan pada Bagian 404 dan
area lain yang paling penting bagi auditor internal dan perusahaan. Dengan penekanan pada kebutuhan
CBOK auditor internal, bab ini akan fokus pada tiga aspek SOx:

1. Elemen SOx kunci: gambaran umum undang-undang. Kami akan meringkas aturan Sox di
bidang-bidang seperti prosedur komite audit dan peraturan auditor eksternal yang baru. Ini
harus membantu auditor internal untuk lebih memahami aturan SOx ini.
 2. Bagian 404 tinjauan pengendalian akuntansi internal. Persyaratan SOx untuk tinjauan kontrol
akuntansi internal telah menyebabkan banyak kerja keras dan kekacauan di perusahaan sejak
undang-undang tersebut berlaku. Kami akan menjelaskan proses ini dan mengapa demikian
penting bagi auditor internal.
3. Pendekatan berbasis risiko AS5 SOx. Rangkaian standar audit PCAOB yang sebelumnya
disebut AS5 telah menyarankan pendekatan audit berbasis risiko yang lebih banyak. Lebih
Penting di sini, AS5 menekankan pentingnya pekerjaan audit internal dalam melakukan tinjauan
pengendalian internal pelaporan keuangan.

Sebagian besar dampak SOx bergantung pada aturan rinci yang dikeluarkan oleh PCAOB untuk
menafsirkan undang-undang tersebut. Undang-undang SOx dirancang dengan cara satu ukuran untuk
semua, menyarankan bahwa aturan SOx dan SEC diterapkan ke entitas apa pun, terlepas dari ukuran atau
negara asalnya, yang memilikinya keamanan yang terdaftar di SEC. Praktik-praktik tersebut berubah, dan
kami juga akan melihat tentang bagaimana SOx berkembang menjadi standar global di seluruh dunia.
Pengetahuan umum tentang Sox harus menjadi bagian dari CBOK setiap auditor internal.

1. KUNCI SARBANES ‐ OXLEY ACT (SOx) ELEMEN

Nama resmi untuk undang-undang federal AS ini adalah Reformasi Akuntan Publik dan Investor
Undang-Undang Perlindungan. Itu menjadi undang-undang pada Agustus 2002, dengan sebagian
besar aturan rinci akhir dan peraturan yang dikeluarkan pada akhir tahun berikutnya. Judulnya
agak sedikit, bisnis para profesional menyebutnya sebagai Sarbanes ‐ Oxley Act, dari nama
sponsor utama kongres. Karena nama ini masih terlalu panjang, umumnya menyebutnya sebagai
SOx, SOX, atau bahkan Sarbox, di antara banyak variasi lainnya.

SOx memperkenalkan serangkaian proses yang benar-benar berubah untuk audit eksternal dan
memberikan tanggung jawab tata kelola baru kepada eksekutif senior dan anggota dewan. Juga
mendirikan PCAOB, sebagai otoritas pengaturan aturan di bawah SEC yang menerbitkan
keuangan standar audit dan memantau tata kelola auditor eksternal. Seperti yang terjadi dengan
semua hukum federal yang komprehensif, serangkaian peraturan dan administrasi khusus aturan
telah dikembangkan oleh Securities and Exchange Commission (SEC) berdasarkan
undang-undang SOx.

Undang-undang federal A.S. diatur dan dikeluarkan sebagai bagian undang-undang yang terpisah
disebut judul, dengan bagian bernomor dan subbagian di bawah masing-masing. Sebagian besar
Sox undang-undang berisi aturan yang tidak terlalu signifikan untuk sebagian besar auditor
internal dan profesional bisnis. Misalnya, Bagian 602 (d) Judul I menyatakan bahwa SEC “Akan
menetapkan” standar atau aturan perilaku profesional minimum untuk praktik pengacara SEC.
Meskipun mungkin baik untuk diketahui, ini tidak memiliki audit internal dampak. Tampilan 5.1
merangkum bagian-bagian utama SOx, dan diskusi tentang kunci Judul SOx mengikuti. Maksud
kami bukan untuk mereproduksi teks lengkap dari undang-undang ini — itu dapat ditemukan di
Web 1 —tetapi untuk menyoroti bagian-bagian dari hukum yang penting audit internal dan
profesional bisnis. Menarik, meskipun pengendalian internal proses sangat bergantung pada
auditor eksternal dan internal, SOx asli undang-undang membuat hampir tidak ada referensi
langsung ke peran dan tanggung jawab penting auditor internal. Pentingnya audit internal dalam
pengendalian internal Sox review kemudian disorot dalam aturan AS5, dirilis pada pertengahan
2007 dan dibahas nanti. Penekanan di seluruh bab ini akan menjadi peran internal audit di
lingkungan SOx saat ini.

EXHIBIT 5.1 Sarbanes‐Oxley Act Key Provisions Summary

Section Subject Aturan atau Persyaratan
(Bagian
)
101 Pendirian PCAOB Aturan keseluruhan untuk pembentukan PCAOB,
termasuk persyaratan keanggotaannya.
104 Kantor Akuntan Inspeksi Jadwal inspeksi PCAOB publik terdaftar
rms akuntansi.
108 Standar Audit PCAOB akan menerima saat ini tetapi akan
mengeluarkannya sendiri
standar audit baru
201 Praktek Di Luar Ruang Menguraikan praktik perusahaan akuntansi yang
Lingkup dilarang seperti outsourcing audit internal,
pembukuan, dan keuangan desain sistem.
203 Rotasi Mitra Audit Mitra audit dan mitra peninjau harus bergilir
dari tugas setiap lima tahun.
301 Komite AuditIndependen Semua anggota komite audit harus independen
direktur.
302 Corp Tanggung jawab untuk CEO dan CFO harus secara pribadi mengesahkan
Laporan keuangan periodik laporan keuangan
305 Bar Petugas dan Direktur Jika kompensasi diterima sebagai bagian dari
penipuan / akuntansi ilegal, pejabat atau direktur
 yang diuntungkan adalah diperlukan untuk secara
pribadi mengganti dana yang diterima.
404 Laporan Pengendalian Internal Manajemen bertanggung jawab atas penilaian
tahunan pengendalian internal.
407 Ahli Keuangan Seorang direktur komite audit harus ditunjuk
ahli keuangan.
408 Review yang Disempurnakan SEC dapat menjadwalkan tinjauan diperpanjang
dari atas laporan informasi berdasarkan faktor-faktor
Pengungkapan Keuangan tertentu.
409 Pengungkapan Real-Time Laporan keuangan harus didistribusikan secara
cepat dan cara saat ini.
1105 Larangan Pejabat atau SEC dapat melarang seorang pejabat atau direktur
Direktur untuk melayani di perusahaan publik lain jika
terbukti melakukan pelanggaran.

Bagian 404: Penilaian Manajemen terhadap Pengendalian Internal

SOx mensyaratkan bahwa semua laporan tahunan 10 ‐K harus berisi laporan kontrol internal yang
menyatakan tanggung jawab manajemen untuk membangun dan memelihara sistem kontrol internal yang
memadai serta penilaian manajemen, pada tanggal akhir tahun fiskal, pada efektivitas prosedur kontrol
internal yang diinstal. Inilah yang secara populer dikenal sebagai aturan Pasal 404. Audit internal,
konsultan luar, atau bahkan tim manajemen—tetapi bukan auditor eksternal—memiliki tanggung jawab
untuk meninjau dan menilai efektivitas kontrol internal mereka, dan auditor eksternal kemudian
membuktikan kecukupan tinjauan kontrol internal ini yang dibangun dan dikendalikan oleh manajemen.
Dari perspektif audit internal, Bagian 404 mungkin adalah elemen yang paling penting dari SOx, dan
pemahaman umum tentang persyaratannya harus menjadi bagian dari setiap CBOK auditor internal.
Bagian 404 tinjauan kontrol internal dijelaskan secara lebih rinci dan didukung oleh standar AS5
dibahas kemudian dalam bab ini. Aturan AS5 ini sangat penting bagi auditor internal karena standar
menentukan bahwa auditor eksternal dapat memilih untuk menggunakan pekerjaan auditor internal dalam
tinjauan kontrol internal mereka. Sebagai bagian berikut menjelaskan, auditor internal dapat bertindak
sebagai konsultan untuk perusahaan mereka dalam membantu membangun kontrol akuntansi internal ini,
atau mereka dapat mendukung auditor eksternal mereka dengan mengaudit kontrol akuntansi internal.

MELAKUKAN BAGIAN 404 ULASAN DI BAWAH AS5

 Bagian sebelumnya merangkum konten dan persyaratan yang signifikan dalam undang-undang SOx.
Ini adalah hukum penting, dan setiap auditor internal harus memiliki pemahaman CBOK umum tentang
isinya. Melampaui hanya pemahaman umum ini, SOx's Bagian 404 pada tinjauan kontrol akuntansi
internal harus menerima perhatian audit yang paling internal dan pemahaman. Bagian 404
mengamanatkan bahwa perusahaan bertanggung jawab untuk meninjau, mendokumentasikan, dan
menguji kontrol akuntansi internalnya sendiri, dengan hasilnya kemudian diteruskan kepada auditor
eksternal perusahaan, yang ditugaskan untuk meninjau dan membuktikan bahwa pekerjaan itu sebagai
bagian dari tinjauan mereka terhadap laporan keuangan yang dilaporkan. Ketika SOx pertama kali
menjadi hukum, Bagian 404 ulasan adalah titik sakit utama bagi banyak perusahaan karena auditor
eksternal mengikuti serangkaian prosedur audit akuntansi keuangan yang sangat rinci di bawah SOx,
yang disebut Auditing Standard No.2 (AS2). Standar audit ini memerlukan ulasan yang sangat rinci yang
tidak meninggalkan ruang untuk kesalahan kecil atau kelalaian.
Pada tahun 2007, aturan audit Bagian 404 ini diubah dengan rilis AS5, pendekatan audit yang lebih
berbasis risiko yang juga memungkinkan auditor eksternal untuk lebih menggunakan pekerjaan auditor
internal dalam penilaian mereka. Bagian ini akan memberikan ringkasan Bagian 404 aturan hari ini dan
akan membahas pendekatan untuk melakukan ulasan tersebut menggunakan pendekatan AS5 yang lebih
berbasis risiko. Selain itu, kami akan melihat pendekatan untuk terus mendukung dokumentasi SOx
Section 404 terbaru. Aturan SOx mengharuskan dokumentasi kontrol internal harus diperbarui secara
berkelanjutan, tetapi persyaratan penting ini terlalu sering tergelincir di antara celah-celah. Para
profesional bisnis dan auditor internal perlu memahami aturan Pasal 404 dan mengambil langkah-langkah
yang tepat untuk menjaga perusahaan mereka tetap mematuhinya. Aturan ini berdampak pada perusahaan
yang telah mencapai kepatuhan SOx pada periode sebelumnya serta yang sekarang berada di bawah
persyaratan pendaftaran.
Bagian 404 Penilaian Pengendalian Internal

Saat ini Manajemen memiliki tanggung jawab berkelanjutan untuk merancang dan menerapkan
kontrol internal atas operasi perusahaannya. Meskipun standar untuk apa yang merupakan kontrol internal
yang baik tidak selalu didefinisikan dengan baik di masa lalu, mereka tetap menjadi konsep manajemen
mendasar. SOx Section 404 memerlukan penyusunan laporan kontrol internal tahunan sebagai bagian dari
laporan tahunan SEC‐mandat 10‐K perusahaan. Selain laporan keuangan dan pengungkapan 10 ‐K
lainnya, persyaratan Pasal 404 meminta dua elemen informasi di masing-masing 10 ‐Ks ini:
1. Pernyataan manajemen formal yang mengakui tanggung jawab mereka untuk membangun dan
memelihara struktur dan prosedur pengendalian internal yang memadai untuk pelaporan keuangan
2. Penilaian, pada akhir tahun fiskal terbaru, tentang efektivitas struktur pengendalian internal
perusahaan dan prosedur pelaporan keuangan

Selain itu, perusahaan audit eksternal yang mengeluarkan laporan audit pendukung diperlukan untuk
meninjau dan melaporkan penilaian manajemen terhadap kontrol keuangan internalnya. Sederhananya,
manajemen diharuskan untuk melaporkan kualitas kontrol internal mereka, dan kantor akuntan publik
mereka harus mengaudit atau membuktikan bahwa laporan kontrol internal yang dikembangkan
manajemen selain audit laporan keuangan normal mereka. Manajemen selalu bertanggung jawab untuk
menyiapkan laporan keuangan berkala mereka, dan auditor eksternal kemudian mengaudit nomor
keuangan tersebut dan menyatakan bahwa mereka dinyatakan secara adil. Dengan SOx Section 404,
manajemen sekarang bertanggung jawab untuk mendokumentasikan dan menguji kontrol keuangan
internalnya serta melaporkan efektivitasnya. Auditor eksternal kemudian meninjau materi pendukung
yang mengarah pada laporan pengendalian keuangan internal tersebut untuk menegaskan bahwa laporan
tersebut merupakan deskripsi yang akurat tentang lingkungan kontrol internal.
Bagi non auditor, ini mungkin tampak sebagai persyaratan yang tidak jelas atau hampir sepele.
Bahkan beberapa auditor internal yang terutama melakukan audit operasional mungkin bertanya-tanya
tentang nuansa dalam proses ini. Namun, laporan audit tentang status kontrol internal telah menjadi
masalah yang sedang berlangsung dan mendidih antara komunitas akuntansi publik, SEC, dan pihak lain
yang berkepentingan akan kembali ke setidaknya 1974. Sebagian besar masalah kemudian adalah bahwa
tidak ada definisi yang diakui untuk apa yang dimaksud dengan kontrol internal. Rilis kerangka kerja
kontrol internal COSO baru, yang dirilis pada tahun 2014 dan dibahas dalam Bab 3, menetapkan standar
yang diterima untuk memahami kontrol. Berdasarkan SOx Section 404, manajemen diharuskan untuk
melaporkan kecukupan kontrol internal mereka dengan auditor eksternal mereka yang membuktikan
laporan kontrol internal yang dikembangkan manajemen. Proses ini mengikuti kontrol internal dasar
tentang pentingnya mempertahankan pemisahan tugas di mana orang yang mengembangkan transaksi
tidak boleh menjadi orang yang menyetujuinya. Berdasarkan prosedur Pasal 404, perusahaan membangun
dan mendokumentasikan proses pengendalian internalnya sendiri, kemudian pihak independen seperti
tinjauan audit internal dan menguji kontrol internal tersebut, dan akhirnya auditor eksternal meninjau dan
membuktikan kecukupan proses keseluruhan ini. Prosedur audit keuangan mereka akan didasarkan pada
kontrol internal ini. Proses Bagian 404 ini meningkatkan hal-hal dari hari-hari pra-SOx ketika auditor
eksternal sering membangun, mendokumentasikan, dan kemudian mengaudit kontrol internal mereka
sendiri— kekurangan pemisahan tugas. Meluncurkan Tinjauan Kepatuhan Bagian 404: Mengidentifikasi
Proses Utama Setiap perusahaan menggunakan serangkaian proses untuk melakukan aktivitas bisnis
normalnya. Beberapa mungkin diwakili oleh sistem otomatis, yang lain terutama prosedur manual yang
dilakukan secara teratur, sementara yang lain adalah kombinasi dari otomatis dan manual. Proses ini
biasanya dipertimbangkan dalam hal siklus akuntansi dasar dan termasuk:
 Siklus pendapatan. Proses yang berhubungan dengan penjualan atau pendapatan lainnya kepada
perusahaan.
 Siklus pengeluaran langsung. Mencakup pengeluaran biaya produksi material atau langsung.
 Siklus pengeluaran tidak langsung. Biaya operasi yang tidak dapat langsung terkait dengan
kegiatan produksi tetapi diperlukan untuk operasi bisnis secara keseluruhan.
 Siklus penggajian. Mencakup semua kompensasi personil.
 Siklus inventaris. Meskipun persediaan pada akhirnya akan diterapkan pada produksi sebagai
pengeluaran langsung, proses khusus diperlukan karena sifat kepemilikan persediaan berbasis
waktu sampai diterapkan pada produksi.
 Siklus aset tetap. Properti dan peralatan memerlukan proses akuntansi terpisah, seperti
penyusutan akuntansi periodik dari waktu ke waktu.
 Siklus IT umum. Serangkaian proses ini mencakup kontrol teknologi informasi (IT) yang ber
umum atau berlaku untuk semua operasi IT.
 Daftar Pustaka
Moeller, R Robert N. 2016. Brink’s Modern Internal Auditing, Eight Edition. United States: The
Wiley Corporate F&A.
MEMAHAMI KONTROL INTERNAL