Pengendalian internal adalah proses yang dijalankan untuk menyediakan jaminan memadai bahwa
tujuan-tujuan pengendalian berikut telah dicapai.
Mengamankan aset - mencegah atau mendeteksi perolehan, penggunaan, atau penempatan yang tidak
sah.
Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara akurat dan wajar.
Pengendalian internal memberikan jaminan memadai-jaminan menyeluruh yang sulit dicapai dan terlalu
mahal. Para akuntan dan pengembang sistem membantu manajemen mencapai tujuan pengendaliannya
dengan, (1) mendesain sistem pengendalian yang efektif dengan menggunakan pendekatan proaktif
untuk mengeliminasi ancaman sistem, serta yang dapat mendeteksi, memperbaiki, dan memulihkan dari
ancaman ketika terjadi; dan (2) membuatnya lebih mudah guna membentuk pengendalian kedalam
sebuah sistem pada tahapan desain awal daripada menambahkannya secara terbentuk.
Robert Simons, menganut empat kaitan pengendalian untuk membantu manajemen menyelesaikan
konflik diantara kreatifitas dan pengendalian.
Sistem kepercayaan (belief system)
Foreign Corrupt Practices Art (FCPA) adalah undang-undang yang dikeluarkan untuk mencegah
perusahaan menyuap pejabat asing agar mendapatkan bisnis; juga mengharuskan semua perusahaan
milik publik untuk memelihara sebuah sistem pengendalian akuntansi internal. Sarbanes-Oxley Act (SOX)
adalah undang-undang yang dimaksudkan untuk mencegah kejahatan laporan keuangan, lebih
transparan, memberikan perlindungan kepada investor, memperkuat pengendalian internal pada
perusahaan publik, dan menghukum eksekutif yang melakukan kejahatan.
menyimpulkan bahwa sebuah perusahaan tidak memiliki pengendalian internal pelaporan keuangan
yang efektif jika terdapat kelemahan material.
2. KERANGKA PENGENDALIAN
Kerangka Control Objective for Information and Related Technology (COBIT) adalah sebuah kerangka
keamanan dan pengedalian yang memungkinkan (1) manajemen untuk membuat tolak ukur praktik-
praktik keamanan dan pengendalian lingkunan TI; (2) para pengguna layana TI dijamin dengan adanya
keamanan dan pengendalian yang memadai; dan (3) para auditor memperkuat opini pengendalian
internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan. COBIT 5
didasarkan pada lima prinsip utama tata kelola dan manajemen TI:
Tata kelola adalah tanggung jawab direksi yang (1) mengevaluasi keperluan pemangku kepentingan
untuk mengidentifikasi tujuan, (2) memberikan arahan bagi manajemen dengan memprioritaskan
tujuan, dan (3) mengawasi kinerja manajemen. tiga puluh dua proses manajemen dibagi ke dalam
empat domain sebagai berikut:
Committe of Sponsoring Organizations (COSO) adalah sebuah kelompok sektor swasta yang terdiri atas
Asosiasi Akuntansi Amerika (American Accounting Association), AICPA, Ikatan Auditor Internal (Institute
of Internal Auditors), Ikatan Akuntan Manajemen (Institute of Management Accountants), dan Ikatan
Eksekutif Keuangan (Financial Executives Institute).
Pengendalian Internal (Internal Control) - Kerangka Terintegrasi - IC adalah sebuah kerangka COSO yang
menjelaskan pengendalian internal dan memberikan panduan untuk mengevaluasi dan meningkatkan
sistem pengendalian internal.
Untuk memperbaiki proses manajemen risiko, COSO mengembangkan kerangka pengendalian kedua
yang disebut Manajemen Risiko Perusahaan (Enterprise Risk Management) - Kerangka Terintegrasi
( Integrated Framework) - ERM. Kerangka ERM adalah sebuah kerangka COSO yang memperbaiki proses
manajemen risiko dengan memperluas (menambahkan tiga elemen tambahan) Pengendalian Internal
COSO - Terintegrasi.
Kerangka ERM yang lebih komprehensif menggunakan pendekatan berbasis risiko daripada berbasis
pengendalian. ERM menambahkan tiga elemen tambahan ke kerangka IC COSO: penetapan tujuan,
pengidentifikasian kejadian yang mungkin memengaruhi perusahaan, dan pengembangan sebuah
respons untuk resiko yang dinilai. Hasilnya, pengendalian bersifat fleksibel dan relevan. Jika seseorang
dapat memahami model ERM, maka akan lebih mudah untuk memahami model IC karena model IC
adalah 5 dari 8 komponen model ERM.
3. LINGKUNGAN INTERNAL
Lingkungan internal (internal environment), adalah budaya perusahaan yang merupakan fondasi dari
seluruh elemen ERM lainnya karena ini memengaruhi cara organisasi menetapkan strategi dan
tujuannya; membuat struktur aktivitas bisnis; dan mengidentifikasi, menilai, serta merespon risiko.
Struktur organisasi.
Standar-standar sumber daya manusia yang menarik, mengembangkan, dan mempertahankan individu
yang kompeten.
Pengaruh eksternal.
Perusahaan juga memiliki selera risiko (risk appetite), yaitu jumlah risiko yang bersedia diterima oleh
sebuah perusahaan untuk mencapai tujuan dan sasarannya. Untuk menghindari risiko yang tidak
semestinya, selera risiko harus selaras dengan strategi perusahaan.
memberikan penghargaan atas kejujuran serta memberikan label verbal pada perilaku jujur dan tidak
jujur secara konsisten.
mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit perilaku-perilaku jujur dan
tidak jujur.
mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan mendisiplinkan pegawai
yang diketahui tidak melaporkannya.
SOX mensyaratkan perusahaan publik untuk memiliki sebuah komite audit (Audit Committee) dari
dewan luar dan independen. Komite audit bertanggung jawab atas pelaporan keuangan, kepatuhan
terhadap peraturan, pengendalian internal, serta perekrutan dan pengawasan baik auditor internal
maupun eksternal, yang melaporkan seluruh kebijakan dan praktik akuntansi penting kepada komite
tersebut.
D. Struktur Organisasi
Organisasi dan garis wewenang untuk akuntansi, pengauditan, dan fungsi sistem informasi.
Kebijakan dan prosedur manual adalah sebuah dokumen yang menjelaskan praktik bisnis yang sesuai,
mendiskripsikan pengetahuan dan pengalaman yang dibutuhkan, menjelaskan prosedur dokumen,
menjelaskan cara menangani transaksi, serta mendata sumber daya yang tersedia untuk melaksanakan
tugas-tugas tertentu.
F. Standar Sumber Daya Manusia yang Menarik, Mengembangkan, dan Mempertahankan Individu
yang Kompeten
Kebijakan SDM harus berisi tingkatan keahlian yang diperlukan, perilaku etis, dan integritas yang
diperlukan. Berikut ini merupakan kebijakan dan prosedur SDM yang penting.
Perekrutan. Para pegawai seharusnya dipekerjakan berdasarkan latar belakang pendidikan, pengalaman,
pencapaian, kejujuran dan integritas, serta persyaratan kerja yang sesuai. Kualifikasi pelamar dapat
dievaluasi menggunakan resume, surat referensi, wawancara, dan pengecekan latar belakang.
Pengecekan latar belakang yang teliti memuat pembicaraan berdasarkan referensi, pengecekan catatan
kriminal, pemeriksaan catatan kredit, dan melakukan verifikasi pendidikan, serta pengalaman kerja.
Pengelolaan Para Pegawai yang Tidak Puas. Perusahaan membutuhkan prosedur untuk mengidentifikasi
pegawai yang tidak puas dan membantu mereka mengatasi perasaan itu atau memindahkan mereka
dari pekerjaan yang sensitif.
Pemberhentian. Para pegawai yang diberhentikan harus segera dipindahkan dari pekerjaan yang sensitif
dan ditolak aksesnya ke sistem informasi.
Liburan dan Rotasi Tugas. Skema penipuan yang mensyaratkan perhatian pelaku yang berkelanjutan
terungkap ketika pelaku beristirahat. Melakukan rotasi tugas pegawai secara periodik dan membuat
pegawai mengambil liburan dapat mencapai hasil yang sama.
Perjanjian Kerahasiaan dan Asuransi Ikatan Kesetiaan. Seluruh pegawai harus menandatangani dan
mematuhi sebuah perjanjian kerahasiaan. Asuransi ikatan kesetiaan melingkupi para pegawai kunci yang
melindungi perusahaan terhadap kerugiaan yang timbul dari tindakan penipuan yang disengaja.
Menuntut dan Memenjarakan Pelaku. Sebagian besar penipuan tidak dilaporkan atau dituntut karena
beberapa alasan:
Perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah bencana hubungan publik.
Penegak hukum dan pengadilan sibuk dengan kriminal kekerasan serta memiliki sedikit waktu dan
ketertarikan pada penipuan komputer.
Menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan waktu.
Banyak petugas penegak hukum, pengacara, dan hakim kurang memiliki kecakapan komputer yang
diperlukan untuk menyelidiki dan menuntut kejahatan komputer.
Hukuman untuk penipuan biasanya ringan.
Pengaruh Eksternal. Pengaruh eksternal meliputi persyaratan-persyaratan oleh bursa efek dan Financial
Accounting Standards Board (FASB), PCAOB, dan SEC.
4. PENETAPAN TUJUAN
Penetapan tujuan adalah komponen ERM yang kedua. Tujuan strategis (strategic objective) merupakan
sasaran tingkat tinggi yang disejajarkan dengan misi perusahaan, mendukungnya, serta menciptakan
nilai pemegang saham. Tujuan operasi (operation objective) yaitu tujuan yang berhubungan dengan
efektifitas dan efisiensi operasi perusahaan serta menentukan cara mengalokasikan sumber daya.
Tujuan pelaporan (reporting objective) membantu memastikan ketelitian, kelengkapan, dan
keterandalan laporan perusahaan; meningkatkan pembuatan keputusan; dan mengawasi aktivitas serta
kinerja perusahaan. Tujuan kepatuhan (compliance objective) membantu perusahaan mematuhi seluruh
hukum dan peraturan yang berlaku.
5. IDENTIFIKASI KEJADIAN
"Committee of Sponsoring Organization (COSO) mendefinisikan kejadian sebagai sebuah insiden atau
peristiwa positif atau negatif dari sumber-sumber internal dan eksternal yang memengaruhi
implementasi strategi atau pencapaian tujuan. Sebuah kejadian menunjukan ketikdakpastian; mungkin
atau tidak mungkin terjadi.
Risiko bawaan adalah kelemahan dari sebuah penetapan akun atau transaksi pada masalah
pengendalian yang signifikan tanpa adanya pengendalian internal. Risiko residual adalah risiko yang
tersisa setelah manajemen mengimplementasikan pengendalian internal atau beberapa respons lainnya
terhadap risiko. Manajemen dapat merespons risiko dengan salah satu dari empat cara berikut:
Mengurangi
Menerima
Membagikan
Menghindari
7. AKTIVITAS PENGENDALIAN
Aktivitas pengendalian adalah kebijakan, prosedur, dan aturan yang memberikan jaminan memadai
bahwa tujuan pengendalian telah dicapai dan respons risiko dilakukan. Manajemen harus memastikan
bahwa:
pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level yang dapat
diterima.
aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan prosedur
perusahaan yang telah ditentukan.
Tujuan utama dari sistem informasi akuntasi (SIA) adalah untuk mengumpulkan, mencatat, memproses,
menyimpan, meringkas, dan mengkomunikasikan informasi mengenai sebuah organisasi.
Kerangka IC yang diperbarui merinci bahwa tiga prinsip berikut berlaku di dalam proses informasi dan
komunikasi:
Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk mendukung
pengendalian internal.
Mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab yang diperlukan
untuk mendukung komponen-komponen lain dari pengendalian internal.
9. PENGAWASAN