BAB 6

Pengendalian Internal
TUJUAN PEMBELAJARAN
■ Pahami apa yang dimaksud dengan pengendalian
internal dalam berbagai kerangka kerja.
■ Identifikasi tujuan, komponen, dan prinsip kerangka
pengendalian internal yang efektif.
■ Ketahui peran dan tanggung jawab yang dimiliki setiap grup dalam
organisasi terkait pengendalian internal.
■ Identifikasi berbagai jenis kontrol dan aplikasi yang sesuai untuk
masing-masing kontrol.
■ Dapatkan kesadaran tentang proses untuk mengevaluasi
sistem pengendalian internal.

“Kami dapat memikirkan beberapa aktivitas dalam organisasi yang

lebih penting untuk keberhasilannya daripada mempertahankan
pengendalian internal. Audit internal memberi manajemen jaminan
asli bahwa kontrol yang memadai tersedia, dilakukan sebagaimana
mestinya, dan bahwa setiap kegagalan diinvestigasi dan diperbaiki
pada
tepat waktu. "1

Setiap organisasi memiliki tujuan bisnis yang ingin dicapai, dan setiap
organisasi memiliki risiko yang mengancam pencapaian tujuan tersebut.
Dalam bab ini, kita membahas berbagai komponen
sistem pengendalian internal yang dikembangkan organisasi untuk
memitigasi dan mengelola risiko tersebut. Anda akan keluar dari bab ini
dengan pemahaman tentang apa yang dimaksud dengan pengendalian
internal dan dapat mengidentifikasi berbagai kerangka kerja yang
mempertimbangkan pengendalian internal. Selain itu, Anda akan dapat
mengidentifikasi komponen yang harus ada untuk sistem pengendalian
internal yang dirancang secara memadai dan efektif. Setiap orang
dalam organisasi memiliki tanggung jawab untuk pengendalian internal,
dan bab ini menguraikan peran dan tanggung jawab spesifik yang
dimiliki setiap kelompok orang dalam organisasi dalam hal itu, termasuk
proses manajemen untuk mengevaluasi sistem pengendalian internal
organisasi. Yang terpenting untuk tujuan bab ini, kami menjelaskan
peran spesifik yang dimiliki fungsi audit internal dalam mengevaluasi
sistem pengendalian internal. Ada beberapa jenis pengendalian yang
digunakan untuk memitigasi berbagai jenis risiko yang dihadapi
organisasi. Di akhir bab ini, Anda akan dapat mengidentifikasi berbagai
jenis kontrol yang tersedia, serta aplikasi yang sesuai dari masing-
masing kontrol. Akhirnya, gambaran umum tingkat tinggi dari proses
untuk mengevaluasi sistem pengendalian internal dibahas. Konsep ini
dibahas secara lebih rinci dalam bab Melakukan Keterlibatan Audit
Internal (bab 12 hingga 15), serta studi kasus yang menyertai buku
teks ini. Anda akan dapat mengidentifikasi berbagai jenis kontrol yang
tersedia, serta aplikasi yang sesuai dari masing-masing kontrol.
Akhirnya, gambaran umum tingkat tinggi dari proses untuk
mengevaluasi sistem pengendalian internal dibahas. Konsep ini dibahas
secara lebih rinci dalam bab Melakukan Keterlibatan Audit Internal (bab
12 hingga 15), serta studi kasus yang menyertai buku teks ini. Anda
akan dapat mengidentifikasi berbagai jenis kontrol yang tersedia, serta
aplikasi yang sesuai dari masing-masing kontrol. Akhirnya, gambaran
umum tingkat tinggi dari proses untuk mengevaluasi sistem
pengendalian internal dibahas. Konsep ini dibahas secara lebih rinci
dalam bab Melakukan Keterlibatan Audit Internal (bab 12 hingga 15),
serta studi kasus yang menyertai buku teks ini.

PAMERAN 6-1
PEDOMAN IPPF RELEVAN UNTUK BAB 6

Standar 2100 - Sifat Pekerjaan

Standar 2130 - Kontrol
KERANGKA
Kerangka kerja adalah sekumpulan prinsip panduan yang
membentuk template yang dapat digunakan organisasi untuk
mengevaluasi banyak praktik bisnis. Prinsip-prinsip ini terdiri dari
berbagai konsep, nilai, asumsi, dan praktik yang dimaksudkan untuk
memberikan tolok ukur yang dapat digunakan organisasi untuk
menilai atau mengevaluasi struktur, proses, atau
lingkungan, atau sekelompok praktik atau prosedur. Khusus untuk
praktik audit internal, berbagai kerangka kerja digunakan untuk menilai
kecukupan desain dan efektivitas operasi pengendalian.

Kerangka
Sekumpulan prinsip panduan yang membentuk template yang dapat digunakan
organisasi untuk mengevaluasi banyak praktik bisnis.

Kerangka kerja memberikan struktur di mana tubuh pengetahuan dan

bimbingan cocok satu sama lain. Sistem ini memfasilitasi
pengembangan, interpretasi, dan penerapan konsep, metodologi, dan
teknik yang konsisten yang berguna untuk suatu disiplin atau profesi.

Penting untuk memulai dengan membuat beberapa perbedaan

sehingga tidak ada kebingungan mengenai berbagai kerangka kerja
yang dibahas dalam bab ini — khususnya, kerangka kerja manajemen
risiko perusahaan (ERM) dan kerangka kerja yang lebih khusus
dirancang untuk menangani pengendalian internal. Keduanya
berhubungan dengan mitigasi risiko dan aspek pengendalian internal,
namun kerangka kerja yang berfokus pada pengendalian internal saja
didefinisikan secara lebih sempit dan cenderung kurang strategis.
Meskipun bab ini secara khusus membahas subjek pengendalian
internal dan berfokus pada kerangka pengendalian internal, bab ini
tidak akan lengkap tanpa mengidentifikasi kerangka ERM dan kerangka
kerja lain yang diakui secara global yang berhubungan dengan tata
kelola, manajemen risiko, dan pengendalian internal yang juga telah
dikembangkan atau telah berkembang selama ini. waktu.bagian 3,
"Tata Kelola," membahas tata kelola, manajemen risiko, dan hierarki
pengendalian internal, sementara Bab 4, "Manajemen Risiko," secara
khusus membahas kerangka kerja ERM Committee of Sponsoring
Organizations of the Treadway Commission (COSO), "Menyelaraskan
Risiko dengan Strategi dan Kinerja," secara lebih rinci. Gambar 6-2
menyajikan kerangka kerja ini.

Kerangka Pengendalian Internal

Meskipun kerangka kerja dibahas di bukti 6-2 mengandung elemen
pengendalian internal, saat ini hanya ada tiga kerangka pengendalian
internal yang diakui secara global oleh manajemen, akuntan / auditor
luar independen, dan profesional audit internal: Pengendalian Internal -
Kerangka Terintegrasi, dikeluarkan oleh COSO awalnya pada tahun 1992
dan diperbarui pada tahun 2013; Guidance on Control (sering disebut
sebagai kerangka CoCo), diterbitkan pada tahun 1995 oleh Canadian
Institute of Chartered Accountants (CICA), dan Guidance on Risk
Management, Internal Control dan Related Financial and Business
Reporting (laporan ini menggantikan Internal Control: Revised Guide
untuk Direksi tentang Kode Gabungan, disebut sebagai Laporan
Turnbull), yang diterbitkan oleh Financial Reporting Council pada tahun
2014. COBIT, kerangka kerja pengendalian internal teknologi informasi
(TI) yang dirujuk dalambukti 6-2, secara khusus dirancang untuk
memberikan panduan tentang pengembangan dan penilaian tata kelola
TI yang tepat. Dengan demikian, ini melengkapi COSO, CoCo, dan
Panduan tentang Manajemen Risiko, Pengendalian Internal dan
Pelaporan Keuangan dan Bisnis Terkait dalam hal pengendalian TI,
tetapi ini bukan kerangka kerja pengendalian internal yang
komprehensif itu sendiri.

ICFR
Pengendalian Internal atas Pelaporan Keuangan

Tidak ada perbedaan mendasar antara COSO dan CoCo. Kedua

kerangka kerja tersebut mencakup definisi pengendalian internal
yang menggambarkan proses yang memberikan jaminan yang wajar
untuk mencapai tujuan organisasi dalam tiga kategori spesifik:
efektivitas dan efisiensi operasi, keandalan pelaporan, dan
kepatuhan. Kerangka tersebut juga menyepakati tanggung jawab
atas pengendalian internal, secara khusus menempatkan tanggung
jawab tidak hanya pada dewan direksi, manajemen senior, dan
auditor internal, tetapi juga pada setiap individu dalam organisasi.
Meskipun kerangka menggunakan judul yang berbeda untuk
mereka, komponen dari setiap kerangka pengendalian internal pada
dasarnya sama dan dapat diperiksa menggunakan judul COSO untuk
setiap komponen. Mereka adalah: Lingkungan Pengendalian,
Penilaian Risiko, Aktivitas Pengendalian,

PAMERAN 6-2
KERANGKA YANG DIAKUI SECARA GLOBAL

Kerangka Pengendalian Internal

 Pengendalian Internal - Kerangka Terintegrasi (COSO), Committee of Sponsoring
Organizations of the Treadway Commission, Amerika Serikat, 2013
Guidance on Control (CoCo), Institut Akuntan Chartered Kanada, Kanada, 1995
Panduan Manajemen Risiko, Pengendalian Internal dan Pelaporan Keuangan dan Bisnis
Terkait (FRC Internal Control Guidance), Financial Reporting Council (FRC), Inggris, 2014
COBIT 5, IT Governance Institute, Amerika Serikat, 2012

Kerangka Tata Kelola

Laporan Komite Aspek Keuangan Tata Kelola Perusahaan (Cadbury),
Inggris, 1992
Komite Raja untuk Tata Kelola Perusahaan, Institute of Directors, Afrika Selatan, 2009

Kerangka Kerja Manajemen Risiko Perusahaan

Manajemen Risiko Perusahaan - Menyelaraskan Risiko dengan Strategi dan Kinerja,
Committee of Sponsoring Organizations of the Treadway Commission, Amerika Serikat, 2016
Manajemen Risiko - Prinsip dan Pedoman (ISO 31000) Organisasi Internasional untuk
Standardisasi (ISO), Swiss, 2009

Kerangka Kerja Mitigasi Risiko Lainnya yang Diakui Secara

Global
Konvergensi Internasional Pengukuran Modal dan Standar Modal (Basel Accord),
Komite Basel untuk Pengawasan Perbankan, 1988
Konvergensi Internasional Pengukuran Modal dan Standar Modal: Kerangka yang Direvisi
(Basel II & III), Komite Basel untuk Pengawasan Perbankan, 2005 & 2011

PAMERAN 6-3
TINDAKAN SARBANES-OXLEY AS TAHUN 2002 KEPATUHAN

u domestik, yang ingin mengakses pasar modal Amerika Serikat (AS). SEC juga mengakui kerangka CoCo Kanada dan Laporan Tur
 DETIK. COSO mewakili kerangka kerja utama yang digunakan untuk menilai sistem
pengendalian internal organisasi di Amerika Serikat.

COSO
Komite Organisasi Sponsor dari Treadway Commission, sebuah organisasi
sektor swasta sukarela yang didedikasikan untuk meningkatkan kualitas
pelaporan keuangan melalui etika bisnis, pengendalian internal yang efektif, dan
tata kelola perusahaan.

Di Amerika Serikat, Undang-Undang Sarbanes-Oxley Act of 2002 AS

menempatkan tanggung jawab untuk desain, pemeliharaan, dan
operasi efektif pengendalian internal tepat di pundak manajemen
senior, khususnya, CEO dan kepala keuangan (CFO). Untuk mematuhi
undang-undang ini, Komisi Sekuritas dan Bursa AS (SEC) mewajibkan
CEO dan CFO perusahaan yang diperdagangkan secara publik di atas
ukuran tertentu untuk berpendapat tentang kecukupan desain dan
efektivitas operasi pengendalian internal atas pelaporan keuangan
(ICFR) sebagai bagian dari pengajuan laporan keuangan tahunan
dengan SEC, serta melaporkan perubahan substansial dalam ICFR, jika
ada, setiap tiga bulan. Secara khusus, SEC membutuhkan bukti
kepatuhan, yang memutuskan bahwa ". . . manajemen harus
mendasarkan evaluasinya [atau,
untuk komentar publik. "2 Untuk rincian tentang evaluasi SEC terhadap
kerangka pengendalian internal yang sesuai, lihat pameran 6-3.

SE C selanjutnya memutuskan, “Kerangka COSO memenuhi kriteria

kami dan dapat digunakan sebagai kerangka evaluasi untuk tujuan
evaluasi pengendalian internal tahunan dan persyaratan
pengungkapan. Namun, aturan terakhir tidak mengamanatkan
penggunaan kerangka kerja tertentu, seperti kerangka COSO, sebagai
pengakuan atas fakta bahwa kerangka kerja lain
standar evaluasi ada di luar Amerika Serikat. . . ” 3 SEC, dalam catatan
kaki 67 putusan akhir, secara khusus mengidentifikasi Panduan tentang
Kontrol dan Laporan Turnbull sebagai contoh kerangka kerja lain yang
sesuai (meskipun Panduan FCR yang menggantikan Laporan Turnbull
pada tahun 2014 tidak). Selain tiga kerangka tersebut secara khusus
dimaksud, SEC mengakui ". . . bahwa kerangka kerja selain COSO
dapat dikembangkan di Amerika Serikat di masa depan, yang
memenuhi maksud undang-undang tanpa mengurangi manfaat bagi
investor. Penggunaan ukuran standar yang tersedia untuk umum akan
meningkatkan kualitas laporan pengendalian internal dan akan
mendorong komparabilitas laporan pengendalian internal dari berbagai
perusahaan. Aturan terakhir mengharuskan laporan manajemen untuk
mengidentifikasi kerangka evaluasi yang digunakan oleh manajemen
untuk menilai efektivitas pengendalian internal perusahaan atas
pelaporan keuangan. Secara khusus, kerangka kerja yang sesuai harus:
bebas dari bias; mengizinkan pengukuran kualitatif dan kuantitatif yang
cukup konsisten dari pengendalian internal perusahaan; cukup lengkap
sehingga faktor-faktor relevan yang akan mengubah kesimpulan [atau
opini] tentang efektivitas pengendalian internal perusahaan tidak
dihilangkan; dan relevan dengan evaluasi internal
kontrol atas pelaporan keuangan [ICFR] ”(keputusan akhir SEC 33-
8238).4

Banyak organisasi berhasil menerapkan kerangka kerja ini dalam upaya

mereka untuk mematuhi Bagian 404 Sarbanes-Oxley, meskipun
menghadapi biaya tak terduga yang signifikan. Perusahaan publik yang
lebih kecil (sebagaimana didefinisikan dalampameran 6-4), di sisi lain,
berjuang untuk mematuhinya karena biaya yang mahal serta beberapa
tantangan lain yang unik untuk organisasi yang lebih kecil, termasuk:
■ Memperoleh sumber daya yang cukup untuk mencapai
pemisahan tugas yang memadai,
■ Menyeimbangkan kemampuan manajemen untuk
mendominasi aktivitas, dengan peluang signifikan untuk
proses pengesampingan manajemen yang tidak tepat agar
terlihat bahwa tujuan kinerja bisnis telah terpenuhi
[manajemen override of control],
■ Merekrut individu dengan keahlian yang diperlukan untuk melayani
secara efektif di dewan direksi dan komite,
■ Merekrut dan mempertahankan personel dengan pengalaman
dan keterampilan yang memadai dalam operasi, pelaporan,
kepatuhan, dan disiplin ilmu lainnya,
■ Mengambil perhatian manajemen yang kritis dari menjalankan
bisnis untuk memberikan fokus yang cukup pada pengendalian
internal, [dan]
■ Mengontrol teknologi informasi dan memelihara kontrol umum
dan aplikasi yang sesuai atas sistem informasi komputer dengan
sumber daya teknis yang terbatas. 5

Publikasi Tambahan untuk Pengendalian Internal COSO

- Kerangka Terintegrasi:
— Kontrol Internai Atas Pelaporan Keuangan - Panduan untuk
Perusahaan Publik yang Lebih Kecil
— Pedoman Pemantauan Sistem Pengendalian Internal
— Pengendalian Internal atas Pelaporan Keuangan Eksternal:
Ringkasan Pendekatan dan Contoh

PAMERAN 6-4
KARAKTERISTIK ENTITAS “LEBIH KECIL”

Ada berbagai macam entitas yang dapat diklasifikasikan sebagai "lebih kecil". Banyak
yang memiliki kesamaan karakteristik berikut:

■ Lebih sedikit lini bisnis dan lebih sedikit produk dalam lini.
■ Konsentrasi fokus pemasaran, berdasarkan saluran atau geografi.
■ Kepemimpinan oleh manajemen dengan kepentingan atau hak
kepemilikan yang signifikan.
■ Tingkat manajemen yang lebih sedikit, dengan rentang kendali
yang lebih luas.
■ Sistem dan protokol pemrosesan transaksi yang kurang kompleks.
■ Lebih sedikit personel, banyak yang memiliki jangkauan tugas yang
lebih luas.
■ Kemampuan terbatas untuk mempertahankan sumber
daya yang dalam serta mendukung posisi staf, seperti
hukum, sumber daya manusia, akuntansi, dan audit
internal.

Sumber: Hak Cipta 2006 oleh Komite Organisasi Sponsor dari Treadway Commission.
Direproduksi dengan izin dari AICPA yang bertindak sebagai administrator resmi untuk
COSO.
Untuk membantu organisasi dalam mematuhi Bagian 404 Sarbanes-
Oxley, termasuk perusahaan publik yang lebih kecil, COSO
mengeluarkan Pengendalian Internal atas Pelaporan Keuangan
Eksternal - Kompendium Pendekatan dan Contoh (Kompendium) pada
tahun 2013 sebagai pelengkap kerangka COSO. “Fokus dari publikasi ini
adalah kategori tujuan pelaporan keuangan eksternal, bagian dari
kategori pelaporan. Tujuan pelaporan keuangan eksternal membahas
penyusunan laporan keuangan untuk pihak eksternal, termasuk:
■ Laporan keuangan untuk tujuan eksternal, dan
■ Pelaporan keuangan eksternal lainnya yang berasal dari
pembukuan dan catatan keuangan dan akuntansi entitas. " 6

Terutama dirancang untuk memberikan panduan kepada perusahaan

dari semua ukuran dengan cara hemat biaya untuk mematuhi Bagian
404 dari Sarbanes-Oxley, Kompendium memberikan manfaat tambahan
dalam memberikan arahan kepada perusahaan publik yang lebih kecil
tentang penerapan kerangka COSO ketika mengevaluasi efektivitas
ICFR .

Selain itu, kerangka kerja COSO yang diperbarui memberikan rincian

yang jauh lebih rinci mengenai penggunaan kegiatan pemantauan
untuk mendukung kesimpulan tentang efektivitas pengendalian
internal, termasuk ICFR, yang sangat penting bagi perusahaan publik
kecil yang bekerja untuk mematuhi Pasal 404 Sarbanes-Oxley. Seperti
prinsip-prinsip yang terkait dengan komponen lain dari pengendalian
internal, kerangka kerja yang diperbarui menguraikan dua prinsip yang
berhubungan dengan kegiatan pemantauan (lihatpameran 6-9 untuk
semua 17 prinsip):
■ Organisasi memilih, mengembangkan, dan melakukan evaluasi
yang sedang berlangsung dan / atau terpisah untuk memastikan
apakah komponen pengendalian internal ada dan berfungsi
(prinsip 16).7
■ Organisasi mengevaluasi dan mengkomunikasikan kekurangan
pengendalian internal secara tepat waktu kepada pihak-pihak yang
bertanggung jawab untuk mengambil tindakan korektif, termasuk
manajemen senior dan dewan direksi, sebagaimana mestinya
(prinsip 17).8

Komponen kegiatan pemantauan dari kerangka kerja COSO yang

diperbarui adalah
dibahas lebih rinci nanti di bab ini.

Sebagai hasil dari pengawasan publik yang meningkat atas ICFR yang
dilakukan oleh Sarbanes-Oxley, subjek pengendalian internal telah
diangkat ke posisi yang sebelumnya diperuntukkan untuk topik seperti
penjualan, pemasaran, laba (EPS), dan kecukupan modal di banyak
organisasi. Selain menggunakan COSO, CoCo, dan FRC Internal Control
Guidance sebagai sarana untuk menilai ICFR, banyak organisasi juga
menggunakan kerangka kerja ini untuk mengevaluasi secara lebih luas
keseluruhan sistem pengendalian internal.

IIA mengakui bagaimana kerangka kerja ini berkontribusi pada

pergeseran pemikiran tentang pengendalian dalam hal keselarasannya
dengan tujuan organisasi: “Kontrol telah lama menjadi komponen dari
'unik' dari audit internal. Munculnya kerangka pengendalian manajemen
yang luas seperti Pengendalian Internal - Kerangka Terintegrasi dari
Komite Organisasi Sponsoring dari Komisi Treadway (COSO) dan
Kriteria Pengendalian dari Institut Akuntan Chartered Kanada (CoCo)
telah meningkatkan fokus auditor internal dari keuangan dan
pengendalian berorientasi kepatuhan terhadap pengendalian
manajemen dan proses tata kelola yang menangani risiko organisasi
yang luas.
membuat proses. "9

Seperti yang ditunjukkan sebelumnya, dua kerangka kerja ini

mencakup definisi serupa dari pengendalian internal yang
menggambarkan proses yang memberikan keyakinan memadai untuk
mencapai tujuan entitas dari suatu
organisasi dalam tiga kategori spesifik: operasi, pelaporan, dan
kepatuhan. Sekali lagi, mereka disebut dengan judul yang berbeda di
antara kerangka kerja, tetapi komponen dari setiap kerangka kerja
pengendalian internal pada dasarnya sama. Oleh karena itu, di
sepanjang sisa bab ini, kerangka kerja COSO akan digunakan untuk
mempelajari berbagai komponen sistem pengendalian internal secara
lebih mendalam, karena kerangka ini mencerminkan konsep dari ketiga
kerangka kerja.

Kerangka COSO dan CoCo

Digunakan oleh semakin banyak organisasi untuk mengevaluasi seluruh sistem
pengendalian internal, tidak hanya pengendalian internal atas pelaporan keuangan.

DEFINISI PENGENDALIAN INTERNAL

COSO secara luas mendefinisikan pengendalian internal sebagai:

. . . sebuah proses, yang dilakukan oleh dewan direksi, manajemen,

dan personel entitas lainnya, yang dirancang untuk memberikan
jaminan yang wajar terkait pencapaian tujuan yang berkaitan dengan
operasi, pelaporan, dan kepatuhan.

Definisi tersebut menekankan bahwa pengendalian internal adalah:

■ Ditujukan untuk pencapaian tujuan dalam satu atau lebih kategori
terpisah tetapi tumpang tindih — operasi, pelaporan, dan
kepatuhan.
■ Sebuah proses terdiri dari tugas dan aktivitas yang sedang
berlangsung — sarana untuk mencapai tujuan, bukan tujuan itu
sendiri.
■ Dipengaruhi oleh orang-orang—Tidak hanya tentang kebijakan
dan manual prosedur, sistem, dan formulir, tetapi tentang
orang-orang dan tindakan yang mereka ambil di setiap tingkat
organisasi untuk mempengaruhi pengendalian internal.
■ Mampu memberikan jaminan yang wajar, tetapi bukan jaminan
mutlak, kepada manajemen senior dan dewan direksi entitas.
■ Beradaptasi dengan struktur entitas—Fleksibel dalam aplikasi
untuk seluruh entitas atau untuk anak perusahaan, divisi, unit
operasi, atau proses bisnis tertentu. 10
 Pengendalian Internal (Definisi COSO)
Sebuah proses, yang dilakukan oleh dewan direksi, manajemen, dan personel entitas
lainnya, yang dirancang untuk memberikan jaminan yang wajar terkait pencapaian
tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan.

Meskipun definisi ini mungkin tampak sangat umum, definisi

pengendalian internal secara luas mengakomodasi eksplorasi
kategorinya secara individual atau diambil secara keseluruhan. Ketika
kategori pengendalian internal dilihat secara keseluruhan, mereka
secara kolektif disebut sebagai sistem pengendalian internal. COSO
menunjukkan, “Definisi pengendalian internal ini sengaja dibuat luas
karena dua alasan. Pertama, ia menangkap konsep-konsep penting
yang mendasar tentang bagaimana organisasi merancang,
menerapkan, dan melakukan pengendalian internal dan menilai
efektivitas sistem pengendalian internal mereka, memberikan dasar
untuk penerapan di berbagai jenis organisasi, industri, dan wilayah
geografis. Kedua,
definisi mengakomodasi subset dari pengendalian internal. " 11 COSO
juga menunjukkan, “Mereka yang ingin dapat fokus secara terpisah,
misalnya, pada pengendalian internal atas pelaporan atau pengendalian
yang berkaitan dengan kepatuhan terhadap hukum dan peraturan.
Demikian pula, fokus langsung pada kontrol dalam unit atau aktivitas
tertentu dari suatu entitas dapat diakomodasi. " 12 Demikian juga,
sebuah
organisasi dapat memilih untuk fokus pada keseluruhan sistem
pengendalian internalnya. Gambar 6-6 mengilustrasikan komponen
pengendalian internal dengan penekanan pada bagaimana mereka
saling berhubungan.

Perhatikan bahwa meskipun COSO mendefinisikan pencapaian tujuan

kepatuhan secara ketat sebagai "kepatuhan terhadap hukum dan
peraturan yang tunduk pada entitas,"13 Kerangka Kerja Praktik
Profesional Internasional (IPPF) IIA mendefinisikannya secara lebih luas
sebagai "kepatuhan terhadap kebijakan, rencana, prosedur, undang-
undang, peraturan, kontrak, atau persyaratan lainnya." COSO
menganggap kepatuhan dengan persyaratan terkait tata kelola
tambahan tersebut sebagai bagian dari pencapaian tujuan operasi,
bukan tujuan kepatuhan. Klasifikasi jauh lebih penting daripada
pencapaian tujuan sebenarnya tidak peduli bagaimana organisasi
memilih untuk mengklasifikasikannya. Perbedaan ini, bagaimanapun,
menjadi pertimbangan penting ketika fungsi audit internal
merencanakan dan menentukan ruang lingkup perikatan asurans.
Untuk tinjauan rinci tentang perencanaan perikatan asurans,
pengaturan ruang lingkup, dan
komunikasi, lihat Bab 12, "Pengantar Proses Keterlibatan," Bab 13,
"Melakukan Perikatan Assurance", dan Bab 14, "Mengkomunikasikan
Hasil Keterlibatan Jaminan dan Melakukan Prosedur Tindak Lanjut."

TUJUAN, KOMPONEN, DAN PRINSIP PENGENDALIAN

INTERNAL
COSO menjelaskan, “Ada hubungan langsung antara tujuan, yaitu apa
yang ingin dicapai oleh entitas, komponen [dan prinsip], yang mewakili
apa yang diperlukan untuk mencapai tujuan, dan struktur entitas (unit
operasi, entitas hukum, dan struktur lainnya. ). Hubungannya bisa
digambarkan dalam bentuk kubus. "14 Lihat pameran 6-5.

Komponen Pengendalian Internal:

— Lingkungan Kontrol
— Tugas beresiko
— Aktivitas Pengendalian
— Informasi dan Komunikasi
— Kegiatan Pemantauan

Selain lima komponen terintegrasi tersebut, COSO juga menetapkan 17

prinsip pendukung yang merepresentasikan konsep fundamental yang
terkait dengan setiap komponen pengendalian internal. 17 prinsip ini
diuraikan dalampameran 6-9 dan dibahas lebih lanjut nanti dalam bab
ini.

PAMERAN 6-5
COSO CUBE
 Sumber: Hak Cipta 2013 oleh Komite Organisasi Sponsor dari Treadway Commission. Direproduksi dengan izin da

Tujuan
Pekerjaan kerja [COSO] [f] menetapkan tiga kategori tujuan, yang
memungkinkan organisasi untuk fokus pada berbagai aspek
pengendalian internal:
■ Tujuan Operasi — Ini berkaitan dengan efektivitas dan efisiensi
operasi entitas, termasuk tujuan kinerja operasional dan keuangan,
dan melindungi aset dari kerugian.
■ Tujuan Pelaporan — Ini berkaitan dengan pelaporan keuangan dan
non-keuangan internal dan eksternal dan dapat mencakup
keandalan, ketepatan waktu, transparansi, atau istilah lain
sebagaimana ditetapkan oleh regulator, pembuat standar, atau
kebijakan entitas.
■ Tujuan Kepatuhan — Ini berkaitan dengan kepatuhan
terhadap hukum dan peraturan yang menjadi subjek entitas. 15

COSO melanjutkan, “Sebuah sistem pengendalian internal

diharapkan dapat memberikan organisasi dengan jaminan yang
wajar bahwa tujuan yang berkaitan dengan pelaporan eksternal dan
kepatuhan terhadap hukum dan peraturan akan tercapai.
tercapai. Pencapaian tujuan tersebut, yang sebagian besar
didasarkan pada undang-undang, peraturan, regulasi, atau standar
yang ditetapkan oleh legislator, pembuat peraturan, dan pembuat
standar, bergantung pada bagaimana aktivitas dalam kendali
organisasi dilakukan. Secara umum, manajemen dan / atau dewan
memiliki keleluasaan yang lebih besar dalam menetapkan tujuan
pelaporan internal yang tidak didorong terutama oleh pihak
eksternal tersebut. Namun, organisasi dapat memilih untuk
menyelaraskan tujuan pelaporan internal dan eksternal untuk
memungkinkan pelaporan internal untuk lebih mendukung
pelaporan eksternal entitas. "16

PAMERAN 6-6
KOMPONEN PENGENDALIAN INTERNAL

Lingkungan pengendalian menyediakan suasana di mana orang

melakukan aktivitasnya dan melaksanakan tanggung jawab
pengendaliannya. Ini berfungsi sebagai fondasi untuk komponen
lainnya. Dalam lingkungan ini, manajemen menilai risiko terhadap
pencapaian tujuan yang ditentukan. Kegiatan pengendalian
dilaksanakan untuk membantu memastikan bahwa arahan
manajemen untuk mengatasi risiko telah dilaksanakan. Sementara
itu, informasi yang relevan ditangkap dan dikomunikasikan
 di seluruh organisasi. Seluruh proses dipantau dan dimodifikasi
sesuai ketentuan.

Sumber: Hak Cipta 2013 oleh Komite Organisasi Sponsor dari Treadway Commission.
Direproduksi dengan izin dari AICPA yang bertindak sebagai administrator resmi untuk
COSO.

Komponen
COSO menunjukkan, “Mendukung organisasi dalam upayanya
mencapai tujuan adalah lima komponen pengendalian internal:
■ Lingkungan Kontrol
■ Tugas beresiko
■ Aktivitas Pengendalian
■ Informasi dan Komunikasi
■ Kegiatan Pemantauan
Komponen ini relevan dengan seluruh entitas dan dengan tingkat
entitas, anak perusahaan, divisinya, atau setiap unit operasi, fungsi,
atau subkumpulan lainnya dari entitas tersebut. ” 17 Komponen,
seperti yang didefinisikan oleh COSO, dijelaskan di bawah ini.

Lingkungan Kontrol
Lingkungan pengendalian organisasi menembus semua area organisasi
dan memengaruhi cara individu mendekati pengendalian internal.
Komponen dasar pengendalian internal ini menciptakan konteks di
mana terdapat komponen pengendalian internal lainnya.

COSO menunjukkan bahwa “lingkungan pengendalian adalah

sekumpulan standar, proses, dan struktur yang memberikan dasar
untuk melaksanakan pengendalian internal di seluruh organisasi.
Dewan direksi dan manajemen senior menetapkan nada di atas
mengenai pentingnya pengendalian internal termasuk standar perilaku
yang diharapkan. Manajemen memperkuat ekspektasi di berbagai
tingkat organisasi. Lingkungan pengendalian terdiri dari integritas dan
nilai-nilai etika
organisasi, parameter yang memungkinkan dewan direksi untuk
melaksanakan tanggung jawab pengawasan tata kelola, struktur
organisasi dan penugasan wewenang dan tanggung jawab, proses
untuk menarik, mengembangkan, dan mempertahankan individu
yang kompeten, dan ketelitian seputar ukuran kinerja, insentif, dan
penghargaan untuk mendorong akuntabilitas kinerja. Lingkungan
pengendalian yang dihasilkan memiliki dampak yang meluas pada
keseluruhan sistem pengendalian internal. " 18

Faktor Sukses Kritis

Keberhasilan yang harus dicapai untuk mencapai tujuan.

Sejarah dan budaya organisasi secara langsung mempengaruhi

lingkungan pengendaliannya. Sasaran organisasi dicapai, sebagian,
melalui lingkungan pengendalian yang, jika diterapkan secara
efektif, menghasilkan budaya organisasi yang mendorong integritas
dan memprioritaskan kesadaran pengendalian. Lingkungan
pengendalian seperti itu biasanya mencakup nada positif di bagian
atas, kebijakan dan prosedur yang sesuai, dan, seringkali, kode etik
tertulis. Aspek-aspek lingkungan pengendalian ini memupuk nilai-
nilai bersama dan sering kali menghasilkan upaya kolaboratif untuk
mencapai tujuan entitas.

Tugas beresiko
Semua organisasi menghadapi risiko, yaitu ancaman terhadap
pencapaian tujuan. Semua risiko, baik internal maupun eksternal, perlu
dinilai. Menurut COSO, “Setiap entitas menghadapi berbagai risiko dari
sumber eksternal dan internal. Risiko didefinisikan sebagai
kemungkinan bahwa suatu peristiwa akan terjadi dan berdampak
negatif terhadap pencapaian tujuan. Penilaian risiko melibatkan proses
yang dinamis dan berulang untuk mengidentifikasi dan menilai risiko
untuk pencapaian tujuan. Risiko pencapaian tujuan ini dari seluruh
entitas dianggap relatif terhadap tingkat toleransi yang ditetapkan.
Dengan demikian, penilaian risiko menjadi dasar untuk menentukan
bagaimana risiko akan dikelola. Prasyarat untuk penilaian risiko adalah
penetapan tujuan, terkait pada berbagai tingkat entitas. Manajemen
menetapkan tujuan dalam kategori yang berkaitan dengan operasi,
pelaporan, dan kepatuhan dengan kejelasan yang memadai untuk
dapat mengidentifikasi dan menganalisis risiko terhadap tujuan
tersebut. Manajemen juga
mempertimbangkan kesesuaian tujuan untuk entitas. Penilaian risiko
juga mengharuskan manajemen untuk mempertimbangkan dampak
dari kemungkinan perubahan dalam lingkungan eksternal dan dalam
model bisnisnya sendiri yang dapat membuat pengendalian internal
tidak efektif. ”19 Identifikasi dan analisis risiko, yang keduanya penting
untuk penilaian risiko yang efektif, akan dibahas lebih rinci nanti di bab
ini.

Menetapkan tujuan yang jelas adalah prasyarat untuk identifikasi,

penilaian, dan respons terhadap risiko yang efektif. Pertama-tama
harus ada tujuan, yang ditetapkan dalam lingkungan pengaturan
strategi, sebelum manajemen dapat mengidentifikasi risiko yang
mungkin menghalangi pencapaian tujuan dan mengambil tindakan
yang diperlukan untuk mengelola risiko tersebut. Seperti yang dibahas
diBab 4, penetapan tujuan, identifikasi peristiwa, penilaian risiko, dan
respons risiko adalah elemen kunci dari proses manajemen risiko.
Dengan demikian, penetapan tujuan merupakan prasyarat untuk, dan
memungkinkan, pengendalian internal.

Proses untuk menetapkan tujuan dapat berkisar dari yang sangat

terstruktur hingga sangat informal. Pernyataan misi organisasi sering
kali mendorong tujuan tingkat entitas. Bersama dengan penilaian
kekuatan, kelemahan, risiko, dan peluang, tujuan menetapkan konteks
untuk menentukan strategi organisasi. Biasanya, rencana strategis yang
dihasilkan bersifat umum.

Dari rencana strategis umum, tujuan diidentifikasi yang lebih

spesifik daripada tujuan tingkat entitas yang dibahas di atas.
Sasaran tingkat entitas kemudian ditautkan ke tujuan spesifik yang
telah ditetapkan untuk berbagai aktivitas dalam organisasi. Tujuan
spesifik dari aktivitas tersebut harus selaras dengan tujuan tingkat
entitas yang diidentifikasi oleh organisasi.

Menetapkan tujuan di tingkat entitas dan proses penting bagi

organisasi untuk dapat mengidentifikasi faktor penentu keberhasilan
(keberhasilan yang harus dicapai untuk tujuan yang akan dicapai).
Faktor penentu keberhasilan hadir di semua tingkat organisasi dan
memfasilitasi pembuatan kriteria yang dapat diukur yang menjadi dasar
penilaian kinerja.
Aktivitas Pengendalian
Aktivitas pengendalian adalah tindakan yang diambil oleh
manajemen, dewan, dan pihak lain untuk memitigasi risiko dan
meningkatkan kemungkinan tercapainya tujuan dan sasaran yang
ditetapkan. Manajemen merencanakan, mengatur, dan
mengarahkan kinerja tindakan yang memadai untuk memberikan
jaminan yang wajar bahwa tujuan dan sasaran akan tercapai.
Seperti faktor penentu keberhasilan yang dijelaskan di atas, aktivitas
pengendalian hadir di semua tingkat organisasi. Dan, seperti tujuan
yang dirancang untuk membantu mereka capai, aktivitas
pengendalian dapat dipisahkan menjadi tiga kategori operasi,
pelaporan, dan kepatuhan. Namun, aktivitas pengendalian sering
kali dirancang untuk mengurangi berbagai risiko yang dapat
mengancam tujuan di lebih dari satu kategori.

Pemisahan tugas
Membagi aktivitas pengendalian di antara orang-orang yang berbeda untuk
mengurangi risiko kesalahan atau tindakan yang tidak tepat yang dilakukan oleh satu
individu.

Setiap organisasi memiliki tujuan entitas dan strategi implementasi

sendiri. Karena setiap organisasi dikelola oleh orang-orang berbeda
yang menggunakan penilaian individu dalam lingkungan operasi
yang unik dengan kompleksitas yang berbeda-beda, tidak ada dua
organisasi yang memiliki rangkaian aktivitas kontrol yang sama,
meskipun mereka mungkin memiliki strategi bisnis yang sangat
mirip. Oleh karena itu, aktivitas pengendalian berperan penting
dalam proses manajemen organisasi dengan memastikan bahwa
risiko yang diidentifikasi secara unik dimitigasi, memungkinkan
organisasi untuk mencapai tujuan entitasnya.

Seperti yang ditunjukkan oleh COSO, “Aktivitas pengendalian dilakukan

di semua tingkat [organisasi], di berbagai tahapan dalam proses bisnis,
dan di atas lingkungan teknologi. Mereka mungkin bersifat pencegahan
atau detektif dan dapat mencakup berbagai aktivitas manual dan
otomatis, seperti otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan
ulasan kinerja bisnis. ”20
COSO melanjutkan dengan mengeksplorasi tinjauan kinerja bisnis
dengan menyatakan, “Kontrol pengawasan menilai apakah aktivitas
kontrol transaksi lainnya ([yaitu], verifikasi tertentu, rekonsiliasi,
otorisasi dan persetujuan, kontrol atas data yang berdiri, dan
aktivitas kontrol fisik) dilakukan secara lengkap, akurat , dan sesuai
dengan kebijakan dan prosedur. Manajemen biasanya menggunakan
pertimbangan untuk memilih dan mengembangkan kontrol
pengawasan atas transaksi berisiko tinggi. Misalnya, seorang
supervisor dapat meninjau apakah juru tulis akuntansi melakukan
rekonsiliasi sesuai dengan kebijakan. Ini bisa berupa tinjauan tingkat
tinggi [aktivitas pemantauan] ([misalnya], memeriksa apakah
spreadsheet rekonsiliasi telah selesai), atau tinjauan yang lebih
detail [aktivitas kontrol] ([misalnya], memeriksa apakah ada item
rekonsiliasi yang telah
ditindaklanjuti dan dikoreksi atau diberikan penjelasan yang sesuai). ” 21

COSO lebih lanjut menjelaskan, “Ketika membedakan antara

aktivitas pemantauan dan aktivitas kontrol, organisasi perlu
mempertimbangkan detail yang mendasari aktivitas, terutama di
mana aktivitas tersebut melibatkan beberapa tingkat tinjauan
pengawasan. Tinjauan pengawasan tidak secara otomatis
diklasifikasikan sebagai aktivitas pemantauan dan mungkin menjadi
masalah penilaian apakah tinjauan diklasifikasikan sebagai aktivitas
kontrol atau aktivitas pemantauan. Misalnya, maksud dari aktivitas
kontrol kelengkapan bulanan adalah untuk mendeteksi dan
memperbaiki kesalahan, di mana aktivitas pemantauan akan
menanyakan mengapa ada kesalahan di tempat pertama dan
menugaskan manajemen untuk memperbaiki proses untuk
mencegah kesalahan di masa mendatang. Secara sederhana,
aktivitas kontrol merespons risiko tertentu, sedangkan aktivitas
pemantauan menilai apakah kontrol dalam masing-masing
lima komponen pengendalian internal beroperasi sebagaimana mestinya.
"22

Satu konsep penting yang umum untuk semua aktivitas

pengendalian adalah konsep yang didefinisikan COSO sebagai
pemisahan tugas. Pemisahan tugas adalah konsep membagi, atau
memisahkan, aktivitas pengendalian yang terkait dengan otorisasi
transaksi dari pemrosesan transaksi tersebut dari akses fisik ke aset
yang terkait dengan transaksi yang mendasarinya. Tujuan utama
pemisahan tugas (membagi aktivitas kontrol) di antara orang-orang
yang berbeda adalah untuk mengurangi risiko kesalahan atau
tindakan yang tidak tepat yang dilakukan oleh setiap individu.
Selain pemisahan tugas, ada banyak aktivitas pengendalian yang
secara umum diketahui ada dalam sistem pengendalian internal yang
dirancang dengan baik, termasuk:
■ Review kinerja dan kegiatan tindak lanjut.
■ Otorisasi (persetujuan).
■ Aktivitas kontrol akses TI.
■ Dokumentasi (ketat dan komprehensif).
■ Aktivitas kontrol akses fisik.
■ Aktivitas pengendalian aplikasi TI (masukan, pemrosesan, keluaran).
■ Verifikasi dan rekonsiliasi independen.

Informasi dan Komunikasi

Informasi berkualitas tinggi harus dikomunikasikan dengan tepat.
Saling ketergantungan inilah yang menyebabkan COSO
menggabungkan informasi dan komunikasi dalam komponen ini.
Informasi yang relevan, akurat, dan tepat waktu harus tersedia bagi
individu di semua tingkat organisasi yang membutuhkan informasi
tersebut untuk menjalankan bisnis secara efektif. Informasi harus
diberikan kepada personel tertentu yang sesuai untuk mendukung
pencapaian tanggung jawab operasi, pelaporan, dan kepatuhan
mereka. Selain itu, komunikasi harus berlangsung lebih luas
dibandingkan dengan harapan, tanggung jawab individu dan kelompok,
dan hal-hal penting lainnya. Komunikasi dengan pihak eksternal juga
penting dan dapat memberikan informasi penting tentang fungsi
kontrol. Pihak-pihak ini termasuk, namun tidak terbatas pada,
pelanggan, pemasok, penyedia layanan, regulator,

Tindakan Berbicara Lebih Keras Dari Kata-kata

Selain format komunikasi hardcopy, elektronik, dan lisan, tindakan manajemen dengan
kuat mengkomunikasikan apa yang penting bagi organisasi.

Sangat penting untuk memastikan informasi tetap selaras dengan

kebutuhan bisnis saat ini selama periode perubahan. Itu sama
pentingnya
untuk memastikan bahwa informasi ini dikomunikasikan tepat waktu
kepada semua pihak yang berkepentingan.

Ada banyak cara yang dapat dipilih organisasi untuk berkomunikasi.

Bentuk komunikasi hardcopy termasuk manual, memoranda, dan
papan buletin yang terletak di daerah di mana individu berkumpul.
Komunikasi juga dapat dilakukan dalam pertemuan tatap muka atau
secara elektronik melalui email, situs intranet, konferensi video, atau
papan buletin elektronik. Budaya organisasi, serta konten informasi
yang dibagikan, akan menentukan metode komunikasi terbaik.
Karena individu menerima dan memproses informasi secara
berbeda, sebagian besar organisasi akan menggunakan kombinasi
media untuk memastikan semua individu dapat memproses dan
memahami informasi yang diberikan kepada mereka. Tindakan
manajemen dengan kuat mengomunikasikan apa yang penting bagi
organisasi karena tindakan berbicara lebih keras daripada kata-kata.

Jelas, budaya organisasi memainkan peran penting dalam

mengkomunikasikan prioritasnya. Biasanya, organisasi yang telah
membangun budaya integritas dan transparansi lebih mudah
berkomunikasi daripada organisasi lain.

Kegiatan Pemantauan
Agar tetap dapat diandalkan, sistem pengendalian internal harus
dimonitor. Seperti yang ditunjukkan COSO, aktivitas pemantauan terdiri
dari "evaluasi berkelanjutan yang dibangun ke dalam proses bisnis di
berbagai tingkat entitas [yang] memberikan informasi tepat waktu.
Evaluasi terpisah, yang dilakukan secara berkala, akan bervariasi dalam
ruang lingkup dan frekuensi tergantung pada penilaian risiko,
efektivitas evaluasi yang sedang berlangsung, dan pertimbangan
manajemen lainnya. Temuan dievaluasi berdasarkan kriteria yang
ditetapkan oleh regulator, badan atau manajemen penetapan standar
dan dewan direksi, dan kekurangan dikomunikasikan kepada
manajemen dan
dewan direksi yang sesuai. "23 Meskipun bukan bagian dari operasi
sehari-hari organisasi itu sendiri, aktivitas pemantauan dilakukan secara
bersamaan dengan operasi tersebut secara berkelanjutan. Semakin
kuat dan komprehensif prosedur pengawasan dan verifikasi, semakin
yakin manajemen dapat menempatkan efektivitas prosedur tersebut
untuk memastikan operasi berkelanjutan yang konsisten dan andal.
Dengan
kegiatan pemantauan berkelanjutan yang efektif, ditambah dengan
penilaian risiko yang akurat dan dapat diandalkan, frekuensi evaluasi
terpisah dapat dikurangi.

Kegiatan pemantauan paling efektif jika pendekatan berlapis

diterapkan. Lapisan pertama mencakup aktivitas sehari-hari yang
dilakukan oleh pengelolaan suatu kawasan seperti yang dijelaskan di
atas. Lapisan kedua adalah evaluasi terpisah (tidak bergantung) atas
pengendalian internal kawasan yang dilakukan oleh manajemen secara
teratur untuk memastikan bahwa setiap kekurangan yang ada
diidentifikasi dan diselesaikan tepat waktu. Lapisan ketiga adalah
penilaian independen oleh area atau fungsi luar, seringkali fungsi audit
internal, yang dilakukan untuk memvalidasi hasil (akurasi dan
keandalan) penilaian mandiri manajemen atas efektivitas pengendalian
di area mereka. Meskipun fungsi audit internal memberikan bentuk
jaminan yang berharga, seperti dijelaskan di atas, sebagian besar
organisasi memiliki kelompok lain yang juga memberikan beberapa
bentuk jaminan (misalnya, departemen lingkungan dan keselamatan,
kelompok jaminan kualitas, atau aktivitas pengendalian perdagangan).
Kelompok ini dapat memberikan jaminan langsung kepada dewan, atau
mereka dapat berkomunikasi dengan anggota manajemen yang
memberikan jaminan kepada dewan. Pendekatan berlapis ini memberi
organisasi tingkat keyakinan yang lebih tinggi bahwa sistem
pengendalian internal tetap efektif dan membantu memastikan
kekurangan pengendalian internal diidentifikasi dan ditangani tepat
waktu. Seringkali strategi ini disebut sebagai model "garis pertahanan
ganda". Salah satu contoh umum dari strategi ini adalah model
Pertahanan Tiga Garis. Model ini dibahas lebih detail di atau mereka
dapat berkomunikasi dengan anggota manajemen yang memberikan
jaminan kepada dewan. Pendekatan berlapis ini memberi organisasi
tingkat keyakinan yang lebih tinggi bahwa sistem pengendalian internal
tetap efektif dan membantu memastikan kekurangan pengendalian
internal diidentifikasi dan ditangani tepat waktu. Seringkali strategi ini
disebut sebagai model "garis pertahanan ganda". Salah satu contoh
umum dari strategi ini adalah model Pertahanan Tiga Garis. Model ini
dibahas lebih detail di atau mereka dapat berkomunikasi dengan
anggota manajemen yang memberikan jaminan kepada dewan.
Pendekatan berlapis ini memberi organisasi tingkat keyakinan yang
lebih tinggi bahwa sistem pengendalian internal tetap efektif dan
membantu memastikan kekurangan pengendalian internal diidentifikasi
dan ditangani tepat waktu. Seringkali strategi ini disebut sebagai model
"garis pertahanan ganda". Salah satu contoh umum dari strategi ini
adalah model Pertahanan Tiga Garis. Model ini dibahas lebih detail di
Salah satu contoh umum dari strategi ini adalah model Pertahanan Tiga
Garis. Model ini dibahas lebih detail di Salah satu contoh umum dari
strategi ini adalah model Pertahanan Tiga Garis. Model ini dibahas lebih
detail dibagian 3, yang juga mencakup penggambaran visual model.

Defisiensi (Definisi COSO)

"Suatu kondisi dalam sistem pengendalian internal yang patut diperhatikan" yang
mungkin mewakili kekurangan yang dirasakan, potensial, atau nyata, atau
peluang untuk memperkuat sistem pengendalian internal untuk memberikan
kemungkinan yang lebih besar bahwa tujuan entitas akan tercapai.

Perlu diperhatikan bahwa kegiatan pemantauan terjadi di masing-

masing dari lima komponen pengendalian internal (Lingkungan
Pengendalian, Penilaian Risiko, Kegiatan Pengendalian, Informasi
dan Komunikasi, dan Kegiatan Pemantauan), tidak hanya sebagai
komponen yang berdiri sendiri. Menyematkan pemantauan
aktivitas menjadi proses yang dilakukan selama operasi bisnis sehari-
hari memungkinkan aktivitas pemantauan terjadi secara teratur,
menangkap masalah sebelum menjadi tidak dapat dikelola. Evaluasi
terpisah tidak memiliki keuntungan ini karena waktu pelaksanaannya,
yang kemudian dalam proses, dan karena dilakukan lebih jarang.
Evaluasi terpisah memberikan tampilan tambahan pada sistem kontrol
internal, menangkap masalah yang mungkin terlewatkan selama
aktivitas pemantauan yang sedang berlangsung, dan mengevaluasi
efektivitas aktivitas pemantauan yang sedang berlangsung yang
tertanam dalam aktivitas sehari-hari di area tersebut. Terlepas dari
berbagai keuntungan dari dua metode pemantauan yang berbeda,
keduanya diperlukan untuk proses pemantauan yang kuat.Gambar 6-7
memberikan contoh berbagai jenis kegiatan pemantauan.

Seperti yang ditunjukkan sebelumnya, manajemen memiliki

tanggung jawab utama atas keefektifan sistem pengendalian
internal organisasi, termasuk aktivitas pemantauan. Karena
tanggung jawab untuk melakukan pengendalian tertentu meningkat
dalam organisasi ke tingkat manajemen yang lebih tinggi,
pemantauan pengawasan tradisional menjadi lebih menantang.
Kegiatan pemantauan yang dilakukan oleh bawahan dalam suatu
organisasi jauh kurang efektif dibandingkan dengan yang dilakukan
oleh atasan. Dalam situasi di mana manajemen senior melakukan
pengendalian, mungkin tepat bagi anggota manajemen senior
lainnya untuk memantau pengendalian tersebut. Dalam kasus yang
membawa risiko pengabaian manajemen, pemantauan tingkat
dewan mungkin diperlukan.

Pada akhirnya, dewan direksi bertanggung jawab untuk mengawasi

apakah manajemen telah menerapkan sistem pengendalian internal
yang efektif. Tanggung jawab ini dipenuhi oleh dewan melalui
pemahaman tentang risiko bagi organisasi dan dengan memahami
bagaimana manajemen memitigasi risiko tersebut ke tingkat yang
dapat diterima.

PAMERAN 6-7
CONTOH PEMANTAUAN
Kekurangan dalam sistem pengendalian internal organisasi mungkin
dapat diidentifikasi selama pelaksanaan aktivitas pemantauan yang
sedang berlangsung atau evaluasi terpisah. COSO secara luas
mendefinisikan defisiensi sebagai "kekurangan dalam komponen dan
prinsip relevan yang mengurangi kemungkinan entitas dapat
mencapai tujuannya." COSO menjelaskan:

Ada banyak sumber potensial untuk mengidentifikasi defisiensi

pengendalian internal, termasuk aktivitas pemantauan entitas,
lainnya
komponen, dan pihak eksternal yang memberikan masukan terkait
keberadaan dan berfungsinya komponen dan prinsip terkait.

Defisiensi pengendalian internal atau kombinasi defisiensi yang

sangat mengurangi kemungkinan entitas dapat mencapai tujuannya
disebut sebagai "defisiensi mayor". [A] defisiensi mayor adalah
bagian dari defisiensi pengendalian internal. Dengan demikian,
defisiensi mayor menurut definisi juga merupakan defisiensi
pengendalian internal.

Manajemen melakukan pertimbangan untuk menilai tingkat keparahan

defisiensi pengendalian internal, atau kombinasi defisiensi, dalam
menentukan apakah komponen dan prinsip yang relevan ada dan
berfungsi, dan komponen tersebut beroperasi bersama, dan pada
akhirnya dalam menentukan efektivitas sistem pengendalian internal
entitas. Selanjutnya, penilaian ini dapat bervariasi tergantung pada
kategori tujuan.

Regulator, badan penetapan standar, dan pihak ketiga terkait lainnya

dapat menetapkan kriteria untuk menentukan tingkat keparahan,
evaluasi, dan pelaporan defisiensi pengendalian internal. Kerangka ini
mengakui dan mengakomodasi kewenangan dan tanggung jawab
mereka sebagaimana ditetapkan melalui undang-undang, peraturan,
regulasi, dan standar eksternal.

Dalam kasus di mana entitas menerapkan hukum, aturan, regulasi,

atau standar eksternal, manajemen harus menggunakan hanya kriteria
relevan yang terkandung dalam dokumen tersebut untuk
mengklasifikasikan tingkat keparahan defisiensi pengendalian internal,
daripada mengandalkan klasifikasi yang ditetapkan dalam Kerangka .
Kerangka ini mengakui bahwa setiap defisiensi pengendalian internal
yang mengakibatkan sistem pengendalian internal tidak efektif sesuai
dengan kriteria tersebut juga akan menghalangi manajemen untuk
menyimpulkan bahwa entitas telah memenuhi persyaratan untuk
pengendalian internal yang efektif sesuai dengan Kerangka (mis.
ketidaksesuaian terkait dengan operasi atau tujuan kepatuhan, atau
kelemahan material
terkait dengan kepatuhan atau tujuan pelaporan eksternal). 24

Kekurangan yang diidentifikasi sebagai hasil dari kegiatan

pemantauan yang sedang berlangsung dan evaluasi terpisah harus
dilaporkan tepat waktu kepada pihak yang sesuai di dalam
organisasi. Tergantung pada dampaknya, kekurangan tertentu
mengenai potensi efektivitas sistem pengendalian internal, hal itu
harus dilaporkan kepada manajemen unit bisnis, manajemen senior,
dan / atau dewan direksi. Defisiensi yang dilaporkan merupakan
pertimbangan penting dalam evaluasi sistem pengendalian internal.
Mengevaluasi sistem pengendalian internal akan dieksplorasi lebih
rinci nanti di bab ini. Komunikasi formal terkait dengan perikatan
asurans yang diselesaikan oleh fungsi audit internal dibahas secara
rinci diBab 14.

Seperti disebutkan sebelumnya dalam bab ini, beberapa organisasi

kurang memanfaatkan kegiatan pemantauan, terutama yang berkaitan
dengan persyaratan pelaporan keuangan. Pemantauan dapat menjadi
alat yang efektif untuk memvalidasi pernyataan pengendalian internal
ketika dirancang dengan tujuan tersebut. Organisasi di seluruh dunia
yang harus melaporkan keefektifan sistem pengendalian internal
mereka kepada pihak eksternal dapat merancang jenis, waktu, dan
tingkat kegiatan pemantauan yang dilakukan untuk memberikan
dukungan untuk pernyataan bahwa pengendalian internal beroperasi
secara efektif pada titik waktu tertentu atau lebih. periode waktu
tertentu.Gambar 6-8 adalah representasi COSO dari proses
pemantauan relatif terhadap kesimpulan pendukung mengenai
efektivitas pengendalian.

PAMERAN 6-8
PROSES MONITORING
 Kesimpulan yang Didukung Mengenai Efektivitas Kontrol

Sumber: Hak Cipta 1992 oleh Komite Organisasi Sponsor dari Treadway Commission. Direproduksi dengan izin da

Prinsip
Selain lima komponen terintegrasi, COSO juga mendefinisikan 17
prinsip yang merepresentasikan konsep fundamental yang terkait
dengan setiap komponen pengendalian internal. COSO menunjukkan,
“[b] karena prinsip-prinsip ini diambil langsung dari komponen, suatu
entitas dapat mencapai pengendalian internal yang efektif dengan
menerapkan semua prinsip. Semua prinsip berlaku
untuk tujuan operasi, pelaporan dan kepatuhan. " 25 Prinsip-prinsip yang
mendukung lima komponen pengendalian internal diuraikan dalam
pameran 6-9.
 Chief Executive Officer (CEO)
CEO memiliki tanggung jawab utama untuk menetapkan "nada di puncak" dan
membangun lingkungan kontrol yang positif.

PERAN DAN TANGGUNG JAWAB PENGENDALIAN

INTERNAL
Setiap orang dalam organisasi memiliki tanggung jawab untuk
pengendalian internal:

Pengelolaan
CEO mengemban tanggung jawab utama atas sistem pengendalian
internal. "Nada di atas" (seberapa etis atau seberapa besar integritas
yang dimiliki organisasi) ditetapkan oleh CEO dan diturunkan dari sana
ke manajemen senior, manajemen lini, dan akhirnya ke semua individu
dalam sebuah organisasi. CEO kurang lebih terlihat dan memiliki
dampak langsung yang lebih atau kurang tergantung pada ukuran
organisasi. Dalam organisasi yang lebih kecil, CEO secara langsung
mempengaruhi sistem pengendalian internal. Dalam organisasi yang
lebih besar, CEO memiliki pengaruh terbesar pada manajemen senior
yang pada gilirannya memengaruhi bawahan mereka. Dengan cara ini,
manajer senior dan manajer lini bertindak sebagai "CEO" di wilayah
tanggung jawab mereka.

Nada di Atas
Sikap integritas dan kesadaran kontrol seluruh entitas, seperti yang ditunjukkan
oleh sebagian besar eksekutif senior organisasi.

PAMERAN 6-9
17 PRINSIP UNTUK MENCAPAI PENGENDALIAN INTERNAL YANG EFEKTIF

ngan Kontrol
menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
ksi menunjukkan independensi dari manajemen dan melakukan pengawasan terhadap pengembangan dan kinerja pengendalian inte
n menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan wewenang serta tanggung jawab yang sesuai untuk menca
4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten sejalan dengan tujuan.

5. Organisasi meminta pertanggungjawaban individu atas tanggung jawab

pengendalian internal mereka dalam mencapai tujuan.

Tugas beresiko
6. Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk
memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan.

7. Organisasi mengidentifikasi risiko pencapaian tujuannya di seluruh entitas dan

menganalisis risiko sebagai dasar untuk menentukan bagaimana risiko harus
dikelola.

8. Organisasi mempertimbangkan potensi kecurangan dalam menilai risiko untuk

pencapaian tujuan.

9. Organisasi mengidentifikasi dan menilai perubahan yang dapat berdampak

signifikan pada sistem pengendalian internal.

Aktivitas Pengendalian
10. Organisasi memilih dan mengembangkan aktivitas
pengendalian yang berkontribusi pada mitigasi risiko
untuk pencapaian tujuan ke tingkat yang dapat diterima.
11. Organisasi memilih dan mengembangkan aktivitas
pengendalian umum atas teknologi untuk mendukung
pencapaian tujuan.
12. Organisasi menerapkan aktivitas pengendalian melalui
kebijakan yang menetapkan apa yang diharapkan dan
prosedur yang menerapkan kebijakan.

Informasi dan Komunikasi

13. Organisasi memperoleh atau menghasilkan dan menggunakan
informasi yang relevan dan berkualitas untuk mendukung
berfungsinya komponen lain dari pengendalian internal.
14. Organisasi mengkomunikasikan informasi secara internal,
termasuk tujuan dan tanggung jawab pengendalian internal,
yang diperlukan untuk mendukung berfungsinya komponen
pengendalian internal lainnya.
15. Organisasi berkomunikasi dengan pihak eksternal mengenai
hal-hal yang mempengaruhi fungsi pengendalian internal.

Monitoring
 16. Organisasi memilih, mengembangkan, dan melakukan evaluasi
yang sedang berlangsung dan / atau terpisah untuk
memastikan apakah komponen pengendalian internal ada dan
berfungsi.
17. Organisasi mengevaluasi dan mengkomunikasikan
kekurangan pengendalian internal secara tepat waktu
kepada pihak-pihak yang bertanggung jawab untuk
mengambil tindakan korektif, termasuk manajemen senior
dan dewan direksi, sebagaimana mestinya.
Jajaran direktur
Dewan direksi mengawasi manajemen, memberikan arahan mengenai
pengendalian internal, dan pada akhirnya memiliki tanggung jawab
untuk mengawasi sistem pengendalian internal. COSO menggambarkan
anggota dewan yang efektif sebagai "obyektif, cakap, dan ingin
tahu. . . ” dengan “pengetahuan tentang aktivitas dan lingkungan
[organisasi], dan [yang] berkomitmen waktu yang diperlukan untuk
memenuhi tata kelola mereka
tanggung jawab. "26 Anggota dewan yang efektif penting untuk
sistem pengendalian internal yang efektif karena manajemen
memiliki kemampuan untuk mengesampingkan pengendalian dan
menekan bukti perilaku tidak etis atau kecurangan. Perilaku seperti
itu memiliki kemungkinan lebih besar untuk ditemukan atau dicegah
ketika organisasi memiliki dewan yang terlibat secara aktif. Seperti
yang disebutkan sebelumnya, dewan direksi memiliki tanggung
jawab tertinggi untuk memastikan manajemen telah menetapkan
sistem pengendalian internal yang efektif.

Peran dan tanggung jawab dewan direksi seperti yang dijelaskan oleh
COSO membentuk “payung” tata kelola yang efektif untuk sebuah
organisasi. Untuk gambaran visual dari proses ini, lihatpameran 3-3 di
bagian 3. bagian 3 menggambarkan tata kelola sebagai proses yang
dilakukan oleh dewan direksi untuk memberi wewenang, mengarahkan,
dan mengawasi manajemen menuju pencapaian tujuan bisnis
organisasi.

Auditor Internal
Sementara manajemen, di bawah kepemimpinan CEO, memiliki
tanggung jawab akhir untuk desain yang memadai dan operasi yang
efektif dari sistem pengendalian internal, auditor internal memainkan
peran penting dalam
memverifikasi bahwa manajemen telah memenuhi tanggung
jawabnya. Awalnya, manajemen melakukan penilaian utama atas
sistem pengendalian internal, dan kemudian fungsi audit internal
secara independen memvalidasi asersi manajemen. Fungsi audit
internal memberikan jaminan yang memadai bahwa sistem
pengendalian internal dirancang secara memadai dan beroperasi
secara efektif, meningkatkan kemungkinan bahwa tujuan dan
sasaran bisnis organisasi akan tercapai. Kerangka COSO
mendefinisikan peran auditor internal dengan cara yang sama,
meskipun dalam istilah yang lebih umum: "... auditor internal
memberikan dukungan asurans dan nasehat kepada manajemen
tentang pengendalian internal ... [fungsi] audit internal termasuk
mengevaluasi kecukupan dan efektivitas pengendalian dalam
menanggapi risiko dalam pengawasan organisasi, operasi,
dan sistem informasi… ”27 “[Selain itu,] [t] ruang lingkup audit internal
biasanya diharapkan untuk mencakup pengawasan, manajemen risiko,
dan pengendalian internal, dan membantu organisasi dalam
mempertahankan pengendalian yang efektif dengan mengevaluasi
efektivitas dan efisiensinya dan dengan mempromosikan perbaikan
berkelanjutan. Audit internal mengkomunikasikan temuan dan
berinteraksi langsung dengan manajemen, komite audit, dan / atau
jajaran direktur."28 Karena posisi organisasi dan wewenangnya
dalam suatu entitas, fungsi audit internal sering kali memainkan
peran pemantauan yang signifikan. Hubungan antara manajemen
dan fungsi audit internal yang berkaitan dengan evaluasi sistem
pengendalian internal dan pelaporannya akan dibahas lebih lanjut di
bab ini dan selanjutnya.Bab 9, "Mengelola Fungsi Audit Internal".

Personil Lainnya
COSO dengan jelas menunjukkan bahwa setiap orang dalam
organisasi memiliki tanggung jawab untuk pengendalian internal:
“Pengendalian internal adalah tanggung jawab semua orang dalam
suatu entitas dan oleh karena itu merupakan bagian eksplisit atau
implisit dari uraian tugas setiap orang. Personel lini depan
merupakan lini pertahanan pertama dalam pelaksanaan
pengendalian intern
tanggung jawab. "29 Hampir semua karyawan menghasilkan
informasi yang digunakan dalam sistem pengendalian internal atau
mengambil tindakan lain yang diperlukan untuk menjalankan
pengendalian. COSO juga dengan jelas menunjukkan bahwa semua
rekan memikul tanggung jawab untuk mengkomunikasikan masalah
dalam operasi, pelanggaran kode etik, atau pelanggaran kebijakan
lain atau aktivitas ilegal kepada manajemen atau lainnya.
tubuh yang sesuai.

COSO menunjukkan bahwa pihak eksternal dapat menjadi faktor

penting yang berhubungan dengan kemampuan organisasi untuk
mencapai tujuannya. Misalnya, auditor luar yang independen,
meskipun tidak bertanggung jawab atas sistem pengendalian
internal organisasi, memberikan kontribusi independensi dan
objektivitas melalui opini mereka yang mencakup kewajaran laporan
keuangan dan efektivitas pengendalian internal atas pelaporan
keuangan. Pihak eksternal lain yang bukan merupakan bagian dari
pengendalian internal organisasi, seperti pembuat undang-undang
dan regulator, pelanggan dan orang lain yang bertransaksi bisnis
dengan perusahaan, analis keuangan, penilai obligasi, dan media
berita dapat memberikan informasi yang berguna bagi organisasi
dalam mempengaruhi pengendalian internal.

Dalam banyak kasus, vendor luar digunakan untuk menjalankan elemen

sistem pengendalian internal. Namun, dalam kasus tersebut,
kepemilikan dan akuntabilitas untuk elemen-elemen yang dialihdayakan
tersebut tetap berada pada manajemen internal, yang memiliki
tanggung jawab akhir untuk menguji dan mensertifikasi kontrol kunci
yang dialihdayakan. Aktivitas yang biasanya dialihdayakan mencakup,
misalnya, pemrosesan data, penggajian, atau bahkan fungsi audit
internal itu sendiri. Proses bisnis outsourcing dibahas lebih lanjut diBab
5, "Proses dan Risiko Bisnis".

BATASAN PENGENDALIAN INTERNAL

Pengendalian internal diterapkan untuk memitigasi risiko yang
mengancam pencapaian tujuan organisasi atau memungkinkan
organisasi untuk berhasil mengejar peluang. Meskipun manajemen,
dewan
direksi, auditor internal, dan personel lainnya bekerja sama untuk
memfasilitasi pengendalian internal, tidak ada sistem pengendalian
internal yang dapat memastikan bahwa tujuan akan tercapai. Hal ini
disebabkan oleh batasan inheren pengendalian internal. Secara khusus,
COSO “… mengakui bahwa meskipun pengendalian internal
memberikan jaminan yang wajar untuk mencapai tujuan entitas,
terdapat batasan. Pengendalian internal tidak dapat mencegah
penilaian atau keputusan yang buruk, atau kejadian eksternal yang
dapat menyebabkan organisasi gagal mencapai tujuan operasionalnya.
Dengan kata lain, bahkan sistem pengendalian internal yang efektif pun
dapat mengalami kegagalan. Keterbatasan mungkin diakibatkan dari:
■ Kesesuaian tujuan yang ditetapkan sebagai prasyarat untuk
pengendalian internal.
■ Realitas bahwa penilaian manusia dalam pengambilan
keputusan bisa saja salah dan bias.
■ Kerusakan yang dapat terjadi karena kegagalan manusia seperti
kesalahan sederhana.
■ Kemampuan manajemen untuk mengesampingkan pengendalian
internal.
■ Kemampuan manajemen, personel lain, dan / atau pihak
ketiga untuk menghindari kontrol melalui kolusi.
■ Peristiwa eksternal di luar kendali organisasi. 30

Jaminan yang Wajar

Tingkat jaminan yang didukung oleh prosedur dan penilaian audit yang diterima
secara umum.

Meskipun sistem pengendalian internal yang dirancang dengan baik

dapat memberikan jaminan yang memadai kepada manajemen relatif
terhadap pencapaian tujuan organisasi, tidak ada sistem pengendalian
internal yang dapat memberikan jaminan mutlak untuk alasan yang
disebutkan di atas. Ini benar terlepas dari apakah tujuan termasuk
dalam kategori operasi, pelaporan, atau kepatuhan. Seperti yang
ditunjukkan sebelumnya, menetapkan tujuan entitas merupakan
prasyarat untuk merancang sistem pengendalian internal yang efektif.
Sasaran entitas memberikan target terukur yang digunakan organisasi
untuk menjalankan operasinya. Kunci untuk memahami konsep
keterbatasan inheren
dan jaminan yang wajar juga terletak pada pemahaman keterkaitan
dan saling ketergantungan antara tujuan bisnis dan risiko yang secara
langsung atau tidak langsung mempengaruhi kemampuan organisasi
untuk mencapai tujuan entitasnya. Hanya dengan demikian organisasi
dapat merancang dan menerapkan sistem pengendalian internal yang
efektif.

Risiko Inheren, Risiko Terkendali, dan Risiko Residual

Kemampuan organisasi untuk mencapai tujuan entitas yang ditetapkan
dipengaruhi oleh risiko internal dan eksternal. Kombinasi risiko internal
dan eksternal dalam keadaan murni dan tidak terkendali disebut
sebagai risiko inheren. Dengan kata lain, risiko inheren adalah risiko
kotor yang timbul dengan asumsi tidak ada pengendalian internal.
Pengakuan akan adanya risiko inheren dan bahwa peristiwa atau
kondisi tertentu berada di luar kendali manajemen (risiko eksternal)
sangat penting untuk mengenali batasan inheren pengendalian internal.

Batasan Inheren Pengendalian Internal

Batasan yang terkait dengan batasan penilaian manusia, batasan sumber daya
dan kebutuhan untuk mempertimbangkan biaya pengendalian dalam kaitannya
dengan manfaat yang diharapkan, kenyataan bahwa kerusakan dapat terjadi,
dan kemungkinan kolusi atau pengabaian manajemen.

Mengidentifikasi risiko eksternal dan internal pada tingkat entitas dan

aktivitas (proses dan transaksi) sangat penting untuk penilaian risiko
yang efektif. Seperti yang dibahas diBab 5, setelah risiko utama
teridentifikasi, manajemen dapat mengaitkannya dengan tujuan bisnis
dan proses bisnis terkait.

Setelah risiko tingkat entitas dan tingkat aktivitas diidentifikasi,

mereka harus dinilai dalam hal dampak dan kemungkinannya.
Proses analisis risiko bervariasi tergantung pada banyak faktor yang
spesifik untuk suatu organisasi, tetapi biasanya mencakup:
■ Memperkirakan dampak (atau tingkat keparahan) suatu risiko.
■ Menilai kemungkinan (atau frekuensi) risiko yang terjadi
(probabilitas).
■ Mempertimbangkan bagaimana mengelola risiko — yaitu menilai
tindakan apa
 untuk mengambil.

Hasil analisis risiko memungkinkan manajemen untuk

mempertimbangkan cara terbaik dalam menanggapi risiko yang
mengancam pencapaian tujuan organisasi. Risiko yang tidak
signifikan dan tidak memiliki kemungkinan besar untuk terjadi akan
mendapat sedikit perhatian. Risiko yang signifikan dan / atau
kemungkinan besar terjadi akan mendapat perhatian yang jauh
lebih besar. Risiko yang berada di tengah-tengah, bagaimanapun,
umumnya membutuhkan analisis lebih lanjut karena kehati-hatian
dalam penilaian diperlukan untuk memitigasi risiko ini secara
memadai tanpa menggunakan sumber daya secara tidak efisien.

Risiko bawaan
Kombinasi faktor risiko internal dan eksternal dalam keadaan murni, tidak
terkontrol, atau risiko kotor yang timbul dengan asumsi tidak ada pengendalian
internal yang diterapkan.

Pengendalian adalah respons risiko yang diambil manajemen untuk

mengurangi dampak dan / atau kemungkinan ancaman terhadap
pencapaian tujuan. Manajemen harus mempertimbangkan selera risiko
dan tingkat toleransi secara keseluruhan. Manajemen Risiko
Perusahaan COSO - Menyelaraskan Risiko dengan Strategi dan Kinerja
menggambarkan selera risiko sebagai jenis dan jumlah risiko, pada
tingkat yang luas, organisasi bersedia menerima dalam mengejar nilai,
dan toleransi sebagai variasi yang dapat diterima dalam kinerja, yang
merupakan batasan hasil yang dapat diterima terkait dengan
pencapaian tujuan bisnis (baik batas melebihi target dan batas
mengikuti target). Batasan tersebut harus sejalan dengan selera risiko.

Risk Appetite
Jenis dan jumlah risiko, pada tingkat yang luas, organisasi bersedia
menerimanya dalam mengejar nilai.

Selain itu, jumlah variasi dalam kinerja yang dapat diterima

mempertimbangkan jumlah risiko yang secara sadar diterima
manajemen setelah menyeimbangkan biaya dan manfaat penerapan
pengendalian untuk mengelola variasi tersebut ke tingkat yang
diinginkan. Penting untuk diketahui bahwa ada hubungan langsung
antara jumlah risiko yang dimitigasi dan biaya yang terkait dengan
penerapan pengendalian yang dirancang untuk dicapai.
tingkat mitigasi itu. Akibatnya, organisasi harus memastikan tidak ada
risiko yang berlebihan atau pengendalian internal yang
berlebihan.Gambar 6-10 mencantumkan beberapa kemungkinan
konsekuensi dari menerima risiko yang berlebihan atau menerapkan
pengendalian internal yang berlebihan. Keseimbangan yang mampu
dicapai oleh manajemen untuk mencapai hasil dalam organisasi yang
menerima tingkat risiko yang lebih tinggi atau lebih rendah dan
bergantung pada sifat risiko, lingkungan peraturan di mana organisasi
beroperasi, jumlah variasi kinerja yang bersedia diterima, dan filosofi
manajemen.

PAMERAN 6-10
MENIMBANGKAN RISIKO DAN KONTROL

Dengan demikian, ada banyak faktor yang harus dipertimbangkan oleh

manajemen saat menentukan tindakan spesifik (kontrol) yang harus
mereka ambil untuk mengelola risiko inheren ke tingkat rendah yang
dapat diterima dan menetapkan parameter toleransi. Untuk
memulainya, manajemen harus mempertimbangkan risiko yang dapat
dikendalikan.

Resiko terkendali adalah bagian dari risiko inheren yang dapat secara
langsung dipengaruhi dan dikurangi oleh manajemen melalui aktivitas
bisnis sehari-hari. Setelah manajemen menerapkan pengendalian
hemat biaya untuk mengatasi risiko yang dapat dikendalikan, barulah
mereka dapat menentukan apakah
organisasi beroperasi dalam keseluruhan risk appetite yang
ditetapkan oleh manajemen senior dan dewan direksi. Porsi risiko
inheren yang tersisa setelah memitigasi semua risiko yang dapat
dikendalikan didefinisikan sebagai risiko residual. Jika risiko yang
tersisa tidak terkontrol (risiko residual) kurang dari selera risiko yang
ditetapkan, maka sistem pengendalian internal beroperasi pada
tingkat yang dapat diterima dan dalam selera risiko yang ditentukan
organisasi.

Toleransi
Batasan hasil yang dapat diterima terkait dengan pencapaian tujuan bisnis.

Namun, jika risiko residual melebihi selera risiko yang ditetapkan

organisasi, maka perlu untuk mengevaluasi kembali sistem
pengendalian internal untuk menentukan apakah pengendalian
hemat biaya tambahan dapat diterapkan untuk lebih mengurangi
risiko residual ke tingkat dalam selera risiko manajemen. Jika tidak,
manajemen harus mempertimbangkan pilihan lain seperti membagi
atau mentransfer sebagian dari risiko yang tidak terkendali kepada
pihak ketiga yang independen melalui asuransi atau outsourcing.
Jika risiko yang tidak terkendali tidak dapat ditransfer atau dibagi
secara efektif, manajemen dapat menerima tingkat risiko yang lebih
tinggi (dan menyesuaikan selera risiko mereka sesuai), atau
organisasi harus memutuskan apakah ingin tetap terlibat dalam
aktivitas yang menyebabkan risiko. Mengacu padaBab 4 untuk
diskusi mendalam tentang manajemen risiko dan teknik mitigasi
terkait.

Resiko Terkendali
Porsi risiko inheren yang dapat dikurangi oleh manajemen melalui operasi sehari-
hari dan aktivitas manajemen.

Resiko Sisa
Porsi risiko inheren yang tersisa setelah manajemen menjalankan respons risikonya
(terkadang disebut sebagai risiko bersih).

Sistem pengendalian internal yang dirancang secara memadai dan

efektif, menurut definisi, dirancang untuk mengelola risiko dalam
risk appetite organisasi yang telah ditetapkan. Ini harus mengurangi
risiko yang melekat terkait dengan tiga kategori tujuan COSO
(operasi, pelaporan,
dan kepatuhan) dalam risk appetite manajemen.

MELIHAT KONTROL INTERNAL DARI

PERSPEKTIF YANG BERBEDA
Karena setiap orang dalam organisasi memiliki tanggung jawab atas
pengendalian internal, secara alami akan ada perspektif yang
berbeda dari pendekatan pengendalian internal individu dalam
organisasi. Tidaklah tidak diinginkan untuk memiliki perspektif yang
berbeda tentang pengendalian internal. Sasaran entitas adalah
perhatian utama dari pengendalian internal dan terdapat alasan
yang sah bagi kelompok yang berbeda untuk tertarik pada tujuan
yang berbeda. Demikian pula, kelompok yang berbeda, karena
perspektif mereka yang berbeda, akan merasakan manfaat dan
biaya terkait pengendalian internal dengan sangat berbeda, yang
berharga bagi organisasi ketika menilai desain yang memadai dan
operasi pengendalian internal yang efektif.

Pengelolaan
Karena manajemen bertanggung jawab untuk menetapkan tujuan
organisasi, mereka secara alami memandang pengendalian internal
dari perspektif itu. Manajemen harus mempertimbangkan
pengendalian internal dalam kaitannya dengan biaya dan manfaat
terkait dan mengalokasikan sumber daya yang diperlukan untuk
mencapai tujuan tersebut.

Dari perspektif manajemen, pengendalian internal mencakup

sejumlah aktivitas yang dirancang untuk memitigasi risiko atau
memungkinkan peluang yang mempengaruhi pencapaian tujuan
organisasi. Keterlibatan manajemen dengan sistem pengendalian
internal memungkinkan mereka untuk bereaksi dengan cepat ketika
kondisi memungkinkan. Ini juga membantu manajemen dalam hal
mematuhi hukum dan peraturan nasional, lokal, dan khusus industri.

Auditor Internal
Seperti halnya manajemen, auditor internal melihat pengendalian
internal dalam kaitannya dengan perannya dalam pencapaian tujuan
organisasi. Jika manajemen bertanggung jawab atas sistem
pengendalian internal itu sendiri, auditor internal bertanggung jawab
untuk memverifikasi secara independen bahwa
Pengendalian organisasi dirancang secara memadai dan beroperasi
secara efektif sesuai maksud manajemen. Validasi independen ini, yang
memperhitungkan semua sistem, proses, operasi, fungsi, dan aktivitas
suatu entitas, meningkatkan kemungkinan pencapaian tujuan
organisasi. Selain itu, auditor internal memiliki posisi yang baik untuk
menawarkan perspektif mereka tentang biaya versus manfaat dari
aktivitas pengendalian tertentu dan dapat memberikan wawasan
kepada manajemen tentang pengendalian internal yang dapat
dipertimbangkan untuk dieliminasi karena berlebihan atau karena
manfaat yang mereka berikan tidak melebihi biaya penerapannya.

Auditor Luar Independen

Tanggung jawab utama auditor luar organisasi yang independen
adalah untuk membuktikan kewajaran laporan keuangan dan, di
negara tertentu, keefektifan pengendalian internal atas pelaporan
keuangan. Untuk alasan ini, perspektif mereka difokuskan pada
pengendalian internal relatif terhadap bagaimana pengaruhnya
terhadap pelaporan keuangan organisasi. Sementara auditor luar
independen mempertimbangkan tujuan dan strategi organisasi
ketika memenuhi peran mereka, mereka tidak mengambil perspektif
luas yang sama dari pengendalian internal yang diambil oleh
manajemen dan auditor internal.

Pihak Eksternal Lainnya

Pihak eksternal yang memiliki kepentingan dalam pengendalian
internal organisasi antara lain legislator, regulator, investor, dan
kreditor. Karena kepentingan mereka berbeda-beda, demikian pula
perspektif mereka tentang pengendalian internal. Akibatnya,
berbagai definisi pengendalian internal telah dikembangkan oleh
pembuat undang-undang dan badan pengatur agar sesuai dengan
tanggung jawab khusus mereka terkait dengan jenis kegiatan yang
mereka pantau. Definisi pengendalian internal mereka dapat
mencakup pencapaian sasaran dan sasaran organisasi, persyaratan
pelaporan, penggunaan sumber daya sesuai dengan hukum dan
peraturan, dan menjaga sumber daya dari pemborosan, kehilangan,
dan penyalahgunaan. Investor dan kreditor, di sisi lain, terutama
membutuhkan jenis informasi keuangan yang divalidasi oleh auditor
luar organisasi yang independen.
JENIS KONTROL
Kerangka COSO mengakui bahwa aktivitas pengendalian ada di
semua tingkat organisasi dan secara umum dapat diklasifikasikan
sebagai aktivitas pengendalian seluruh entitas atau aktivitas
pengendalian proses bisnis. Kerangka kerja pengendalian internal
COSO juga mencakup pengendalian transaksi atau aplikasi sebagai
bagian dari aktivitas pengendalian proses bisnis, yang mewakili "...
aktivitas pengendalian paling fundamental dalam sebuah
[organisasi] karena mereka secara langsung menangani respons
risiko dalam bisnis.
proses di tempat untuk memenuhi tujuan manajemen. "31

Ada banyak jenis kontrol yang digunakan oleh organisasi untuk

meningkatkan kemungkinan pencapaian tujuan. Penting untuk dicatat
bahwa kontrol khusus dapat dirujuk oleh organisasi yang berbeda (dan
bahkan individu yang berbeda dalam suatu organisasi) dengan nama
yang berbeda. Yang lebih penting daripada nama yang digunakan
untuk mendeskripsikan kontrol tertentu adalah jenis kontrolnya. Ini
dapat menimbulkan kebingungan karena banyak kontrol yang cocok
dengan lebih dari satu kategori secara bersamaan. Ini dibahas lebih
rinci nanti di bab ini.

Bergantung pada aplikasi spesifik dari kontrol ini, kontrol ini dapat
diklasifikasikan dengan berbagai cara dan dapat mengambil
beberapa klasifikasi secara bersamaan. Bagian berikut menguraikan
berbagai jenis kontrol dan tujuannya masing-masing.

Kontrol Tingkat Entitas, Tingkat Proses, dan

Tingkat Transaksi
Semua pengendalian dirancang untuk memitigasi risiko baik di tingkat
perusahaan atau di tingkat operasional dalam suatu organisasi. Seperti
yang ditunjukkan di atas, kerangka COSO menggunakan istilah aktivitas
pengendalian "seluruh entitas" dan "proses bisnis" untuk
menggambarkan pengendalian ini secara umum. Meskipun tidak jarang
organisasi dalam profesi audit internal menggunakan istilah yang
berbeda seperti "seluruh perusahaan" atau "seluruh entitas," istilah
yang lebih umum "tingkat entitas" digunakan dalam bab ini. Bab ini
juga menjelaskan kontrol tingkat proses dan kontrol tingkat transaksi,
yang bersama-sama terdiri dari aktivitas kontrol proses bisnis dalam
kerangka COSO. Lebih penting daripada istilah spesifik yang digunakan
saat
membahas jenis-jenis pengendalian ini, bagaimanapun, adalah tujuan
pengendalian dan efektivitas operasinya. Untuk gambaran visual dari
kontrol ini, yang dibahas di bawah, lihat corong dipameran 4-3.

Kontrol Tingkat Entitas

Kontrol yang beroperasi di seluruh entitas dan, dengan demikian, tidak

terikat oleh, atau terkait dengan, proses individu.

Pengendalian tingkat entitas difokuskan secara luas dan sering kali

berhubungan dengan lingkungan atau atmosfer organisasi. Mereka
dirancang untuk secara langsung memitigasi risiko yang ada di
tingkat organisasi secara keseluruhan, termasuk yang muncul secara
internal maupun eksternal, dan dapat secara tidak langsung
memitigasi risiko pada tingkat proses dan transaksi. Pengendalian ini
memiliki efek yang meluas pada pencapaian banyak tujuan secara
keseluruhan. Dewan Pengawas Akuntansi Perusahaan Publik AS
(PCAOB) menyatakan dalam Standar Audit No. 5, “Kontrol tingkat
entitas meliputi:

Kontrol Tingkat Proses

Suatu aktivitas yang beroperasi dalam proses tertentu untuk tujuan
mencapai tujuan tingkat proses.

■ Pengendalian yang terkait dengan lingkungan pengendalian;

■ Kontrol atas pengesampingan manajemen;
■ Proses penilaian risiko perusahaan;
■ Pemrosesan dan kontrol terpusat, termasuk lingkungan
layanan bersama; Kontrol untuk memantau hasil operasi;
■ Pengendalian untuk memantau pengendalian lain, termasuk
aktivitas fungsi audit internal, komite audit, dan program penilaian
mandiri;
■ Kontrol atas proses pelaporan keuangan akhir periode; dan
■ Kebijakan yang membahas pengendalian bisnis yang signifikan dan
praktik manajemen risiko. "32
 Kontrol Tingkat Transaksi
Suatu aktivitas yang mengurangi risiko relatif terhadap sekelompok atau berbagai
tugas atau transaksi tingkat operasional dalam suatu organisasi.

Kontrol tingkat entitas dapat dibagi menjadi dua kategori: kontrol tata
kelola dan kontrol pengawasan manajemen. Kontrol tata kelola
ditetapkan oleh dewan dan manajemen eksekutif untuk melembagakan
budaya kontrol organisasi dan memberikan panduan yang mendukung
tujuan strategis. Pengendalian pengawasan manajemen ditetapkan oleh
manajemen pada unit bisnis dan tingkat lini organisasi untuk
mengurangi risiko pada unit bisnis dan meningkatkan kemungkinan
pencapaian tujuan unit bisnis.

Kontrol tingkat proses lebih detail dalam fokusnya daripada kontrol

tingkat entitas. Mereka ditetapkan oleh pemilik proses untuk
mengurangi risiko yang mengancam pencapaian tujuan proses.
Meskipun pada dasarnya konsisten, pengendalian ini mungkin berbeda
dalam pelaksanaannya di antara proses. Contoh kontrol tingkat proses
meliputi:
■ Rekonsiliasi akun utama.
■ Verifikasi fisik aset (seperti jumlah inventaris).
■ Proses pengawasan karyawan dan evaluasi kinerja.
■ Penilaian risiko tingkat proses.
■ Pemantauan / pengawasan transaksi tertentu.
Kontrol tingkat transaksi bahkan lebih detail dalam fokusnya
daripada kontrol tingkat proses dan mengurangi risiko relatif
terhadap kelompok atau berbagai kegiatan tingkat operasional
(tugas) atau transaksi dalam suatu organisasi. Mereka dirancang
untuk memastikan bahwa aktivitas, tugas, atau transaksi
operasional individu, serta kelompok terkait kegiatan operasional
(tugas) atau transaksi, diproses secara akurat tepat waktu. Contoh
kontrol tingkat transaksi meliputi:
■ Otorisasi.
■ Dokumentasi (seperti dokumen sumber).
■ Pemisahan tugas.
■ Kontrol aplikasi TI (masukan, pemrosesan, keluaran).
Kontrol tingkat entitas, tingkat proses, dan tingkat transaksi yang
dirancang secara memadai dan efektif bekerja bersama-sama dan
berfungsi sebagai pertahanan organisasi terhadap risiko yang
mengancam pencapaian tujuan bisnis. Pengendalian tingkat entitas,
tingkat proses, dan tingkat transaksi dibahas secara lebih rinci dalam
studi kasus 1, "Pengendalian Tingkat Entitas Pengauditan," yang
menyertai buku teks ini.

Kontrol Kunci dan Kontrol Sekunder

Kontrol juga dapat dikategorikan berdasarkan kepentingannya. Dengan
demikian, kontrol dapat dikategorikan sebagai kontrol kunci atau
sebagai kontrol sekunder.

Kontrol Kunci
Suatu aktivitas yang dirancang untuk mengurangi risiko yang terkait dengan tujuan bisnis
penting.

Kontrol kunci (sering disebut sebagai kontrol "utama") dirancang

untuk mengurangi risiko utama yang terkait dengan tujuan bisnis.
Kegagalan untuk menerapkan pengendalian kunci yang dirancang
secara memadai dan efektif dapat mengakibatkan kegagalan
organisasi tidak hanya untuk mencapai tujuan bisnis penting tetapi
juga untuk bertahan hidup.

Pengendalian sekunder adalah pengendalian yang dirancang untuk 1)

memitigasi risiko yang bukan merupakan kunci tujuan bisnis, atau 2)
mengurangi sebagian tingkat risiko ketika pengendalian kunci tidak
beroperasi secara efektif. Pengendalian sekunder mengurangi tingkat
risiko sisa ketika pengendalian kunci tidak beroperasi secara efektif,
tetapi pengendalian itu sendiri tidak memadai untuk memitigasi risiko
utama tertentu ke tingkat yang dapat diterima. Mereka biasanya
merupakan bagian dari kontrol kompensasi.

Kontrol Sekunder
Suatu aktivitas yang dirancang untuk mengurangi risiko yang terkait dengan
tujuan bisnis yang tidak penting bagi kelangsungan atau kesuksesan organisasi
atau berfungsi sebagai cadangan untuk pengendalian kunci.
Kontrol Kompensasi
Pengendalian kompensasi dirancang untuk melengkapi pengendalian
kunci yang tidak efektif atau tidak dapat sepenuhnya memitigasi risiko
atau kelompok risiko sendiri ke tingkat yang dapat diterima dalam
selera risiko yang ditetapkan oleh manajemen dan dewan. Misalnya,
pengawasan ketat dalam kasus ketika pemisahan tugas yang memadai
tidak dapat dicapai dapat menjadi kontrol kompensasi. Kontrol tersebut
juga dapat mencadangkan atau menduplikasi beberapa kontrol dan
dapat beroperasi di berbagai proses dan risiko.

Kontrol Kompensasi
Suatu aktivitas yang, jika pengendalian kunci tidak sepenuhnya beroperasi
secara efektif, dapat membantu mengurangi risiko terkait. Kontrol kompensasi
tidak akan, dengan sendirinya, mengurangi risiko ke tingkat yang dapat diterima.

Seperti yang disebutkan sebelumnya, kontrol sekunder dan kontrol

kompensasi diperlukan ketika kontrol kunci yang efektif tidak dapat
dibuat atau dirancang untuk memitigasi risiko atau kelompok risiko
secara memadai dalam risk appetite manajemen yang telah ditetapkan.
Ini mungkin akibat dari kendala ekonomi atau kompleksitas operasional
atau keduanya. Apa pun alasannya, kontrol sekunder dan kompensasi
diperlukan yang tidak memiliki kontrol kunci yang efektif. Seringkali,
kontrol kompensasi bekerja secara bersamaan dengan kontrol kunci
yang terkait atau tumpang tindih, sekaligus berfungsi sebagai kontrol
sekunder untuk kontrol kunci tertentu.

Kontrol Pencegahan dan Detektif

Seringkali, banyak kontrol berbeda yang ada dirujuk oleh label yang
menjelaskan apa yang dimaksudkan untuk dilakukan dalam upaya
untuk membedakannya. Yang termasuk di sini adalah daftar singkat
dari jenis kontrol ini dan definisinya.

Kontrol pencegahan dirancang untuk mencegah kejadian yang tidak

diinginkan terjadi di tempat pertama. Karena sifat dinamis dan
kompleksitas operasi bisnis sehari-hari, sulit untuk merancang
pengendalian pencegahan yang ekonomis dan efisien. Akibatnya,
sebagian besar organisasi menggunakan kombinasi kontrol pencegahan
dan kontrol detektif saat merancang sistem yang efektif dan efisien
pengendalian internal. Contoh kontrol pencegahan termasuk kontrol
akses fisik dan logis, seperti pintu terkunci dan ID pengguna dengan
sandi unik.

Sebaliknya, kontrol detektif dirancang untuk menemukan peristiwa

yang tidak diinginkan yang telah terjadi. Pengendalian detektif harus
dilakukan tepat waktu (sebelum kejadian yang tidak diinginkan
berdampak negatif yang tidak dapat diterima pada organisasi) agar
dianggap efektif. Contoh kontrol detektif termasuk kamera keamanan
untuk mengidentifikasi akses fisik yang tidak sah dan meninjau log
komputer yang mencantumkan upaya akses yang tidak sah.

Kontrol Sistem Informasi (Teknologi)

Karena ketergantungan yang lazim pada sistem informasi,
pengendalian harus diterapkan untuk mengurangi risiko yang terkait
dengan sistem otomatis yang diperlukan untuk menjalankan bisnis inti
organisasi.

Terkadang secara umum disebut sebagai kontrol "teknologi", ada dua

jenis kontrol sistem informasi yang dapat digunakan untuk mengurangi
risiko ini:
1. Kontrol komputasi umum. Ini "berlaku untuk banyak, jika
tidak semua sistem aplikasi dan membantu memastikan
kelanjutan operasi yang tepat."
2. Kontrol aplikasi. Ini "termasuk langkah-langkah terkomputerisasi
dalam perangkat lunak aplikasi dan prosedur manual terkait untuk
mengontrol pemrosesan berbagai jenis transaksi." 33

Kedua jenis kontrol ini bekerja sama "untuk memastikan kelengkapan,

akurasi, dan validitas informasi keuangan dan lainnya dalam sistem. " 34

Kontrol komputasi umum dianggap sebagai kontrol tingkat entitas

karena diterapkan di seluruh organisasi dan banyak aplikasi
komputernya. Kontrol aplikasi, di sisi lain, paling sering dianggap
sebagai kontrol tingkat proses atau tingkat transaksi. Diskusi tambahan
dan contoh komputasi umum dan kontrol aplikasi dapat ditemukan
diBab 7, “Risiko dan Kontrol Teknologi Informasi,” dan studi kasus 1.

Kategorisasi Kontrol Secara Bersamaan

Seperti yang telah disinggung sebelumnya di bab ini, kontrol tertentu
dapat masuk ke dalam beberapa kategori pada waktu yang bersamaan.
Misalnya, kontrol dapat menjadi kontrol tingkat entitas pada saat yang
sama sebagai kontrol kunci. Kontrol yang sama juga bisa menjadi
kontrol detektif. Akan tetapi, ini tidak dapat menjadi kontrol sekunder
atau kontrol tingkat transaksi pada saat yang sama sebagai kontrol
kunci dan kontrol tingkat entitas. Meskipun nuansa ini dapat
membingungkan pada awalnya, waktu yang dihabiskan untuk
mengerjakan kontrol akan mengarah pada pemahaman yang lebih baik
tentang bagaimana berbagai kategori dapat muncul dalam satu kontrol.

MENGEVALUASI SISTEM PENGENDALIAN INTERNAL:

GAMBARAN UMUM
Seperti yang disebutkan sebelumnya, manajemen, di bawah
kepemimpinan CEO, memiliki tanggung jawab utama atas desain yang
memadai dan pengoperasian sistem pengendalian internal yang efektif.
Dengan demikian, manajemen bertanggung jawab untuk menempatkan
kontrol yang dirancang secara memadai dan secara efektif
mengoperasikan tingkat entitas dan pengendalian tingkat aktivitas
untuk memitigasi risiko yang terkait dengan pencapaian tujuan bisnis di
masing-masing dari tiga kategori yang ditentukan COSO: operasi,
pelaporan, dan kepatuhan.

Auditor internal memainkan peran penting dalam verifikasi bahwa

manajemen telah memenuhi tanggung jawabnya. Awalnya, manajemen
melakukan penilaian utama atas pengendalian internal menggunakan
proses formal yang dikembangkan untuk tujuan tersebut. Fungsi audit
internal kemudian
secara independen memvalidasi hasil manajemen. Selain itu,
laporan biasanya diserahkan kepada komite audit baik oleh
manajemen senior atau kepala eksekutif audit (CAE) yang
menguraikan hasil penilaian manajemen mengenai kecukupan
desain dan efektivitas operasi sistem pengendalian internal
organisasi.

Seperti yang ditunjukkan dalam Standar Internasional Praktik

Profesional Audit Internal IIA, fungsi audit internal bertanggung jawab
untuk menilai pengendalian organisasi (baik elemen, atau keseluruhan,
sistem pengendalian internal). IPPF memberikan panduan tentang
tanggung jawab fungsi audit internal untuk menilai kecukupan proses
pengendalian organisasi dengan menunjukkan bahwa CAE harus
mempertimbangkan apakah perbedaan signifikan (kelemahan)
diidentifikasi (dan oleh siapa), jika koreksi atau perbaikan dilakukan
setelah ditemukannya ketidaksesuaian, dan jika penemuan dan potensi
konsekuensinya menunjukkan bahwa terdapat kondisi yang menyebar,
yang mengakibatkan tingkat risiko yang tidak dapat diterima atau
operasi yang tidak efektif.

Sarbanes-Oxley juga mewajibkan manajemen organisasi yang terdaftar

di SEC untuk secara terbuka melaporkan keandalan ICFR. Seperti yang
telah disebutkan sebelumnya, di Amerika Serikat, Sarbanes-Oxley
menempatkan tanggung jawab untuk desain, pemeliharaan, dan
operasi efektif ICFR tepat di pundak manajemen senior, khususnya,
CEO dan CFO. Untuk mematuhi undang-undang ini, SEC mengharuskan
CEO dan CFO perusahaan publik untuk berpendapat tentang keandalan
pelaporan keuangan (yaitu, desain yang memadai dan operasi ICFR
yang efektif) sebagai bagian dari pengarsipan tahunan laporan
keuangan dengan SEC , serta melaporkan setiap perubahan
substansial, jika ada, di ICFR setiap tiga bulan. Banyak negara lain
memiliki persyaratan serupa.

Untuk kepentingan pelaporan keuangan yang andal, "[m] anajemen

membuat asersi tentang pengakuan, pengukuran, penyajian, dan
pengungkapan akun, transaksi, dan peristiwa yang termasuk dalam
laporan keuangan entitas."35 Lima pernyataan dasar laporan keuangan
adalah:
■ Keberadaan atau kejadian. Aktiva, kewajiban, dan kepentingan
kepemilikan ada pada tanggal tertentu, dan transaksi yang dicatat
mewakili peristiwa yang sebenarnya terjadi selama periode tertentu.
■ Kelengkapan. Semua transaksi dan peristiwa serta keadaan lain yang
terjadi selama periode tertentu, dan yang seharusnya diakui dalam
periode tersebut, sebenarnya telah dicatat.
■ Hak dan kewajiban. Aset adalah hak, dan kewajiban adalah
kewajiban, entitas pada tanggal tertentu.
■ Penilaian atau alokasi. Komponen aset, kewajiban, pendapatan, dan
beban dicatat dalam jumlah yang sesuai sesuai dengan prinsip
akuntansi yang relevan dan tepat. Transaksi benar secara matematis
dan diringkas serta dicatat dengan tepat dalam pembukuan dan
catatan entitas.
■ Presentasi dan pengungkapan. Item dalam pernyataan
dijelaskan, diurutkan, dan diklasifikasikan dengan benar. 36

Seluruh entitas dan aktivitas pengendalian proses bisnis yang secara

khusus dirancang untuk memberikan jaminan yang wajar bahwa
tujuan pelaporan eksternal tercapai dan mendukung asersi terkait
manajemen memiliki elemen umum tertentu. Untuk dirancang
secara memadai dan beroperasi secara efektif, pengendalian ini
harus membahas konsep inisiasi, otorisasi, pencatatan, pemrosesan,
dan pelaporan. Seperti disebutkan sebelumnya dalam bab ini,
pengendalian ini secara kolektif disebut sebagai ICFR.

PCAOB
Dewan Pengawas Akuntansi Perusahaan Publik AS

PCAOB dibuat untuk menetapkan pedoman yang harus dipatuhi oleh

auditor luar yang independen dan, secara tidak langsung, manajemen
untuk memenuhi persyaratan pelaporan ini. Menanggapi hal tersebut,
pada tanggal 12 Juni 2007, PCAOB mengeluarkan Standar Audit No. 5,
Audit Pengendalian Internal atas Pelaporan Keuangan yang Terintegrasi
dengan Audit atas Laporan Keuangan. Untuk pedoman khusus
tambahan, lihat Standar Audit No. 5 itu sendiri.

PELUANG UNTUK MEMBERIKAN WAWASAN

Karena auditor internal melakukan perikatan audit di semua area
organisasi, mereka diposisikan secara unik untuk memberikan
wawasan tentang efektivitas sistem pengendalian internal
organisasi. Gambar 6- 11 memberikan 10 contoh peluang spesifik
auditor internal harus memberikan wawasan seperti itu.

PAMERAN 6-11
10 PELUANG UNTUK FUNGSI AUDIT INTERNAL UNTUK
MEMBERIKAN WAWASAN MENGENAI PENGENDALIAN
INTERNAL YANG EFEKTIF

1. Membantu organisasi mengembangkan kerangka kerja yang komprehensif untuk

menilai desain yang memadai dan operasi pengendalian internal yang efektif.
2. Membantu manajemen menetapkan struktur logis untuk menganalisis,
mendokumentasikan, dan menilai desain dan operasi pengendalian internal
organisasi.
3. Membantu organisasi mengembangkan proses untuk mengidentifikasi,
mengevaluasi, dan memulihkan kekurangan pengendalian internal.
4. Memberikan jaminan independen atas desain yang memadai dan operasi
pengendalian internal yang efektif.
5. Bertindak tegas ketika potensi signifikan atau material perubahan atau
kekurangan pengendalian internal teridentifikasi.
6. Membantu dalam analisis postmortem ketika terjadi defisiensi pengendalian internal.
7. Menginformasikan manajemen tentang potensi kerusakan dalam pengendalian
internal yang menimbulkan peningkatan risiko bagi organisasi.
8. Membantu manajemen dalam mengembangkan budaya perilaku etis ("nada di
atas") dan toleransi yang rendah terhadap pengendalian internal yang tidak efektif.
9. Tetap mengikuti dan menginformasikan manajemen tentang masalah, peraturan, dan
undang-undang yang muncul terkait dengan efektivitas pengendalian internal.
10. Memberikan pelatihan kesadaran pengendalian internal di seluruh organisasi.

RINGKASAN
Bab ini membahas pengendalian yang dikembangkan organisasi untuk
mengurangi risiko yang berpotensi mengancam pencapaian tujuan
bisnis. Dimulai dengan definisi pengendalian internal, bab ini
melanjutkan untuk menjelaskan apa itu kerangka kerja dan bagaimana
konsep-konsep seperti pengendalian internal dan ERM dipraktikkan
secara lebih efektif ketika diterapkan dengan menggunakan metode
yang dikembangkan dengan baik dan diterima secara umum.
kerangka kerja. Selain itu, berbagai kerangka kerja yang
mempertimbangkan pengendalian internal sekarang harus dapat
dengan mudah diidentifikasi. Dari sana, komponen yang harus ada
untuk sistem operasi pengendalian internal yang dirancang secara
memadai dan efektif diidentifikasi dan ditentukan. Setiap orang di
dalam organisasi memiliki tanggung jawab atas pengendalian
internal dan bab ini menguraikan peran dan tanggung jawab spesifik
yang dimiliki setiap kelompok orang dalam organisasi dalam hal itu,
termasuk proses manajemen untuk mengevaluasi sistem
pengendalian internal organisasi secara keseluruhan. Selain itu,
peran dan tanggung jawab spesifik yang dimiliki fungsi audit internal
relatif terhadap sistem pengendalian internal telah dibahas. Berbagai
jenis pengendalian yang digunakan untuk memitigasi berbagai jenis
risiko yang dihadapi organisasi telah ditangani dan sekarang harus
dapat dengan mudah diidentifikasi. Penerapan yang sesuai masing-
masing juga harus dipahami dengan baik. Akhirnya, gambaran
umum dari proses untuk mengevaluasi sistem pengendalian internal
disajikan dalam bab ini, yang akan dikembangkan nanti dalam buku
teks.
 TINJAU PERTANYAAN

1. Apa itu kerangka kerja? Apa kerangka pengendalian internal

yang diakui secara global oleh manajemen, akuntan / auditor
luar independen, dan profesional audit internal?

2. Apa yang harus dilakukan oleh CEO dan CFO perusahaan

publik untuk mematuhi Undang-Undang Sarbanes-Oxley AS
tahun 2002?

3. Bagaimana COSO mendefinisikan pengendalian internal?

4. Apa tujuan itu? Tiga kategori tujuan apa yang ditetapkan

dalam kerangka COSO?

5. Apa lima komponen pengendalian internal yang tercakup

dalam kerangka COSO?

6. Terdiri dari apa lingkungan pengendalian?

7. Apa yang tercakup dalam penilaian risiko?

8. Apakah aktivitas pengendalian itu? Jenis aktivitas

pengendalian apa yang ada dalam sistem pengendalian
internal yang dirancang dengan baik?

9. Apakah informasi berkualitas tinggi itu? Mengapa

informasi berkualitas tinggi harus dikomunikasikan?

10. Kapan aktivitas pemantauan paling efektif? Siapa yang

melakukan kegiatan pemantauan? Apa yang membedakan
evaluasi terpisah dari aktivitas pemantauan yang sedang
berlangsung?

11. Apa 17 prinsip pengendalian internal yang didefinisikan oleh

COSO?

12. Tanggung jawab apa yang dimiliki kelompok orang

berikut ini terkait pengendalian internal?
■ Pengelolaan.

■ Jajaran direksi.

■ Auditor internal.

■ Orang lain dalam organisasi.

■ Auditor luar independen.

13. Apa yang dimaksud dengan "batasan pengendalian internal"?
Berikan contoh batasan yang melekat pada pengendalian internal.

14. Apa risiko inheren? Apakah risiko yang dapat dikontrol? Apa
risiko residual?

15. Bagaimana perspektif auditor internal tentang pengendalian

internal berbeda dari perspektif manajemen?

16. Bagaimana kontrol tingkat entitas berbeda dari kontrol

tingkat proses dan tingkat transaksi?

17. Apa itu kontrol kunci? Apa yang dimaksud dengan kontrol
sekunder? Apa yang dimaksud dengan kontrol kompensasi?

18. Apa perbedaan antara Kontrol Pencegahan dan Detektif?

19. Apakah dua tipe luas dari kendali sistem informasi (teknologi)?

20. Bagaimana sistem pengendalian internal dievaluasi?

 SOAL PILIHAN GANDA

Pilih jawaban terbaik untuk setiap pertanyaan berikut.

1. Manakah dari berikut ini yang paling tepat menggambarkan

tujuan auditor internal dalam meninjau proses tata kelola,
manajemen risiko, dan pengendalian organisasi yang ada?

a. Untuk membantu menentukan sifat, saat, dan luas

pengujian yang diperlukan untuk mencapai tujuan
perikatan.
b. Untuk memastikan bahwa kelemahan pada sistem
pengendalian internal diperbaiki.
c. Untuk memberikan jaminan yang wajar bahwa proses tersebut
akan memungkinkan tujuan dan sasaran organisasi tercapai
secara efisien dan ekonomis.
d. Untuk menentukan apakah proses tersebut memastikan bahwa
catatan akuntansi benar dan laporan keuangan disajikan secara
wajar.

2. Apa risiko residual?

a. Dampak risiko.
b. Risiko yang terkendali.
c. Risiko yang tidak dikelola.
d. Risiko yang mendasari di lingkungan.

3. Persyaratan bahwa pembelian dilakukan dari pemasok pada

daftar vendor yang disetujui adalah contoh dari:

a. Pengendalian preventif.
b. Kontrol detektif.
 c. Kontrol kompensasi.
d. Kontrol pemantauan.

4. Sistem pengendalian internal yang efektif kemungkinan besar

akan mendeteksi kecurangan yang dilakukan oleh:

a. Sekelompok karyawan berkolusi.

b. Karyawan lajang.
c. Sekelompok manajer berkolusi.
d. Manajer tunggal.

5. Kontrol yang kemungkinan besar akan memastikan bahwa cek

penggajian ditulis hanya untuk jumlah yang diotorisasi adalah
dengan:

a. Lakukan verifikasi lantai berkala karyawan di daftar gaji.

b. Mewajibkan pengembalian cek yang tidak terkirim ke kasir.
c. Memerlukan persetujuan pengawasan kartu waktu karyawan.
d. Saksikan secara berkala distribusi cek gaji.

6. Auditor internal berencana untuk melakukan audit atas kecukupan

pengendalian atas investasi dalam instrumen keuangan baru.
Manakah dari berikut ini yang tidak diperlukan sebagai bagian dari
perikatan seperti itu?

a. Tentukan apakah ada kebijakan yang menggambarkan

risiko yang mungkin diambil bendahara dan jenis instrumen
yang dapat digunakan bendahara untuk berinvestasi.
b. Tentukan tingkat pengawasan manajemen atas investasi dalam
instrumen canggih.
c. Tentukan apakah bendahara mendapatkan tingkat pengembalian
investasi yang lebih tinggi atau lebih rendah daripada bendahara
di organisasi yang sebanding.
d. Tentukan sifat kegiatan pemantauan yang terkait dengan
portofolio investasi.
7. Pengendalian internal yang tepat untuk kantor cabang perusahaan
multinasional yang memiliki departemen yang bertanggung jawab
atas pengiriman uang mensyaratkan bahwa:

a. Individu yang memulai transfer kawat tidak merekonsiliasi

laporan bank.
b. Manajer cabang harus menerima semua transfer kawat.
c. Nilai tukar mata uang asing harus dihitung secara terpisah
oleh dua karyawan yang berbeda.
d. Manajemen perusahaan menyetujui perekrutan karyawan di
departemen ini.

8. Siapa yang memiliki tanggung jawab utama untuk

komponen pemantauan pengendalian internal?

a. Auditor luar organisasi yang independen.

b. Fungsi audit internal organisasi.
c. Manajemen organisasi.
d. Dewan direksi organisasi.

9. Jaminan yang wajar, karena berkaitan dengan pengendalian

internal, berarti:

a. Tujuan pengendalian internal berbeda-beda tergantung pada

metode pengolahan data yang digunakan.
b. Sistem kontrol internal yang dirancang dengan baik akan
mencegah atau mendeteksi semua kesalahan dan penipuan.
c. Keterbatasan yang melekat pada pengendalian internal
menghalangi sistem pengendalian internal untuk memberikan
jaminan mutlak bahwa tujuan akan tercapai.
d. Manajemen tidak dapat mengesampingkan kontrol, dan
karyawan tidak dapat menghindari kontrol melalui kolusi.

10. Manakah dari berikut ini yang paling mencontohkan aktivitas

kontrol yang disebut sebagai verifikasi independen?
 a. Rekonsiliasi rekening bank oleh seseorang yang tidak
menangani kas atau mencatat transaksi tunai.
b. Lencana identifikasi dan kode keamanan yang digunakan
untuk membatasi masuk ke fasilitas produksi.
c. Catatan dan dokumen akuntansi yang menyediakan jejak
transaksi penjualan dan penerimaan kas.
d. Memisahkan penyimpanan fisik persediaan dari akuntansi
persediaan.

11. Komponen penilaian risiko dari pengendalian internal meliputi:

a. Penilaian risiko residual dari auditor luar yang independen.

b. Penilaian fungsi audit internal atas defisiensi pengendalian.
c. Identifikasi organisasi dan analisis risiko yang mengancam
pencapaian tujuannya.
d. Pemantauan organisasi atas informasi keuangan untuk
potensi salah saji material.

12. Kerangka Pengendalian Internal COSO terdiri dari lima

komponen pengendalian internal dan 17 prinsip untuk
mencapai pengendalian internal yang efektif. Manakah dari
berikut ini yang merupakan prinsip / are (a)?
I. Organisasi menunjukkan komitmen terhadap integritas dan
nilai-nilai etika.
II. Kegiatan pemantauan.
III. Tingkat jaminan yang didukung oleh prosedur dan
penilaian audit yang diterima secara umum.
IV. Sekumpulan prinsip panduan yang membentuk template yang
dapat digunakan organisasi untuk mengevaluasi banyak
praktik bisnis.
V. Organisasi memilih, mengembangkan, dan melakukan evaluasi
yang sedang berlangsung dan / atau terpisah untuk
memastikan apakah komponen pengendalian internal ada dan
berfungsi.

a. II saja.
 b. I dan V saja.
c. II dan IV saja.
d. I, II, III, IV, dan V.

13. Saat menilai risiko yang terkait dengan suatu aktivitas, auditor
internal harus:

a. Tentukan bagaimana risiko sebaiknya dikelola.

b. Memberikan jaminan atas pengelolaan risiko.
c. Memperbaharui proses manajemen risiko berdasarkan eksposur
risiko.
d. Rancang kontrol untuk memitigasi risiko yang teridentifikasi.

14. Menentukan bahwa tujuan keterlibatan telah tercapai

pada akhirnya menjadi tanggung jawab:

a. Auditor internal.
b. Komite Audit.
c. Pengawas audit internal.
d. CAE.

15. Sistem pengendalian internal yang memadai kemungkinan besar

dapat mendeteksi penyimpangan yang dilakukan oleh:

a. Sekelompok karyawan berkolusi.

b. Karyawan lajang.
c. Sekelompok manajer berkolusi.
d. Manajer tunggal.
 PERTANYAAN DISKUSI

1. Laporan audit berisi observasi berikut:

a. Lokasi departemen layanan tidak sesuai untuk

memungkinkan layanan yang memadai ke unit lain.
b. Karyawan yang dipekerjakan untuk posisi sensitif tidak
akan menjalani pemeriksaan latar belakang.
c. Manajer tidak memiliki akses ke laporan yang
menggambarkan kinerja keseluruhan dalam kaitannya
dengan organisasi lain yang dijadikan tolok ukur.
d. Manajemen belum mengambil tindakan korektif untuk
menyelesaikan observasi perikatan di masa lalu terkait
dengan pengendalian inventaris.

Manakah dari dua observasi berikut yang paling mungkin menunjukkan

adanya kelemahan pengendalian atas pengamanan aset? Mengapa?

2. Untuk memenuhi standar pembuangan limbah, pabrik menerapkan

sistem kontrol yang dirancang untuk mencegah keluarnya air
limbah yang tidak memenuhi standar tersebut. Salah satu
pengendalian memerlukan analisis kimiawi air, sebelum dibuang,
untuk komponen yang ditentukan dalam izin. Apakah ini kontrol
yang tepat? Mengapa atau mengapa tidak?

3. Suatu organisasi mempunyai tujuan untuk mencegah

pemesanan jumlah persediaan yang melebihi kebutuhannya.
Satu individu dalam organisasi ingin merancang kontrol yang
memerlukan peninjauan semua daftar permintaan pembelian
oleh supervisor di departemen pengguna sebelum
mengirimkannya ke departemen pembelian. Individu lain ingin
menerapkan kebijakan yang memerlukan persetujuan laporan
penerimaan dan slip pengepakan sebelum penyimpanan
penerimaan inventaris baru. Manakah dari kontrol berikut
yang relevan dalam mencapai tujuan yang ditetapkan?
Jelaskan jawabanmu.
4. COSO dikutip dalam bab ini sebagai berikut: “… auditor internal
memberikan asurans dan dukungan nasehat kepada
manajemen tentang pengendalian internal ... fungsi audit
internal termasuk mengevaluasi kecukupan dan efektivitas
pengendalian dalam menanggapi risiko dalam pengawasan,
operasi, dan sistem informasi organisasi… [Selain itu,] [t]
lingkup audit internal biasanya diharapkan mencakup
pengawasan, manajemen risiko, dan pengendalian internal, dan
membantu organisasi dalam memelihara pengendalian yang
efektif dengan mengevaluasi efektivitas dan efisiensinya dan
dengan mendorong peningkatan berkelanjutan. Audit internal
mengkomunikasikan temuan dan berinteraksi langsung dengan
manajemen, komite audit, dan / atau dewan direksi. " Jawab
pertanyaan berikut terkait kutipan ini.

a. Apakah fungsi audit internal organisasi merupakan bagian

dari sistem pengendalian internalnya? Jika jawaban Anda
adalah ya, jelaskan bagaimana fungsi audit internal dapat
mengevaluasi kecukupan desain dan efektivitas operasi
pengendalian internal dan pada saat yang sama tetap
independen dari sistem pengendalian internal organisasi.
Jika jawaban Anda adalah tidak, jelaskan peran fungsi audit
internal relatif terhadap sistem pengendalian internal
organisasi.
b. Jika pemantauan, menurut definisi, merupakan komponen
pengendalian internal yang menjadi tanggung jawab
manajemen, apakah tepat bagi fungsi audit internal untuk
melakukan aktivitas pemantauan? Jelaskan jawabanmu.
 KASUS

KASUS 137
Pengendalian mengurangi risiko yang mengancam tujuan dan dengan
demikian memberikan jaminan yang wajar bahwa tujuan akan tercapai.
Resiko mencakup ancaman hal-hal buruk yang terjadi dan ancaman
hal-hal baik yang tidak terjadi. Beberapa kontrol terlihat dan oleh
karena itu dapat difoto.
A. Pilih satu atau dua teman sekelas yang ingin Anda ajak
mengerjakan tugas ini.
B. Sebagai sebuah tim, potret lima kontrol berbeda yang Anda
amati di sekitar kampus dan / atau komunitas sekitar. Gunakan
imajinasi dan kecerdikan Anda. Setiap tim harus bekerja secara
independen untuk menghasilkan serangkaian gambar yang unik.
Setidaknya dua dari kontrol yang difoto harus merupakan kontrol
yang dirancang untuk mengurangi risiko terjadinya sesuatu yang
baik (yaitu, kontrol yang dirancang untuk membantu sesuatu
yang baik terjadi).
C. Untuk setiap kontrol yang difoto:
1. Tunjukkan dengan jelas apakah kontrol dirancang untuk
mengurangi ancaman terjadinya hal-hal buruk atau ancaman
hal-hal baik tidak terjadi.
2. Kemudian jelaskan secara singkat dan terpisah:
a. Tujuan yang dirancang untuk dibantu dicapai oleh kontrol.
b. Risiko yang dirancang untuk dimitigasi oleh kontrol. (Catatan:
Risiko yang Anda gambarkan haruslah sesuatu yang bukan
sekadar kebalikan dari tujuan.)
c. Bagaimana kendali dimaksudkan untuk beroperasi (yaitu,
bagaimana kendali itu bekerja).
d. Bagaimana Anda akan menguji kontrol untuk
menentukan apakah itu beroperasi secara efektif.
Untuk diserahkan:
A. Set lima gambar.
B. Deskripsi dari lima kontrol yang diwakili oleh gambar, seperti yang
disebutkan dalam persyaratan C.

KASUS 2
Latihan Kasus Praktik TeamMate 2: TeamEWP dan
Pengendalian Internal
Selesaikan Latihan 2: TeamEWP dan Pengendalian Internal dalam Buku
Kerja Kasus Praktek TeamMate.

KASUS 3
Kasus Praktik KnowledgeLeader: Pendekatan Hemat
Biaya untuk Memvalidasi ICFR
Informasi latar belakang
Di Amerika Serikat, undang-undang Sarbanes-Oxley menempatkan
tanggung jawab untuk desain, pemeliharaan, dan operasi pengendalian
internal yang efektif tepat di pundak manajemen senior, khususnya,
CEO dan CFO. Untuk mematuhi undang-undang ini, SEC mewajibkan
CEO dan CFO perusahaan publik dengan ukuran tertentu untuk
berpendapat tentang kecukupan desain dan efektivitas operasi ICFR
sebagai bagian dari pengajuan laporan keuangan tahunan dengan SEC,
serta melaporkan substansial. perubahan ICFR, jika ada, setiap tiga
bulan. Organisasi telah berhasil menerapkan kerangka COSO dalam
upaya mereka untuk mematuhi Bagian 404 dari Sarbanes-Oxley,
meskipun menghadapi biaya tak terduga yang signifikan. Dalam upaya
untuk mengurangi biaya untuk mematuhi Pasal 404 Sarbanes-Oxley,

Manfaatkan situs KnowledgeLeader dan lakukan hal berikut:

A. Otentikasi ke situs web KnowledgeLeader menggunakan nama
pengguna dan kata sandi Anda.
B. Lakukan penelitian dan identifikasi pendekatan alternatif untuk
memvalidasi efektivitas operasi ICFR organisasi secara lebih hemat
biaya.
C. Kirimkan tulisan singkat yang menunjukkan hasil penelitian
Anda kepada instruktur Anda.