Chapter-3 en Id

P2: ABC
053-Moeller 25 Februari 2009 8: 0 Nama Pencetak: Hamilton
BAB 3
Kerangka Pengendalian Internal:
Standar COSO
U Memahami danSistem
audit internal. menerapkan pengendalian
pengendalian internalinternal yang
telah dan efektif
akan terusadalah prinsip dasar
berlanjut
dasar untuk proses bisnis operasional dan akuntansi yang efektif, dan aktivitas audit internal utama melibatkan
evaluasi dan penilaian berbagai tingkat pengendalian. Auditor eksternal lebih menyukai istilah tersebut pengendalian
internal, dan auditor internal sering mengacu pada adil kontrol. Konsep tersebut telah menjadi aktivitas dan
perhatian utama bagi auditor internal dan manajer bisnis. Namun, itu adalah salah satu ekspresi yang terdengar
bagus yang tidak memiliki definisi atau penggunaan yang konsisten sebelum tahun 1970-an, ketika serangkaian
peristiwa di Amerika Serikat mengarah pada pengembangan dan pelepasan internal Committee of Sponsoring
Organisations (COSO). kerangka kontrol. Pertama kali diakui untuk menilai pengendalian internal oleh auditor
eksternal AS dan kemudian sebagai standar untuk membangun dan mengukur pengendalian internal di bawah
Sarbanes-Oxley Act (SOx), kerangka pengendalian internal COSO telah menjadi standar di seluruh dunia untuk
membangun dan menilai pengendalian internal. Pemahaman umum tentang kerangka pengendalian internal
COSO dan elemen-elemennya merupakan persyaratan utama dari pengetahuan umum (CBOK) untuk semua
auditor internal.
Bab ini secara singkat membahas "bagaimana kita sampai di sana" —kegiatan auditor, regulator, dan
profesional lainnya selama bertahun-tahun untuk mengembangkan pendekatan yang konsisten untuk
mendefinisikan dan memahami pengendalian internal yang mengarah ke kerangka COSO ini. Kerangka
pengendalian internal COSO adalah alat penting untuk memahami pengendalian internal dan untuk menilai
kepatuhan dengan persyaratan pengendalian akuntansi internal SOx. Perlu dicatat bahwa ada dua framework
COSO yang berbeda. Yang pertama — penekanan pada bab ini — kendali internal COSO memberikan definisi
yang konsisten untuk konsep penting ini, terkadang hanya disebut kerangka COSO. Namun, setelah SOx menjadi
efektif pada tahun 2004, COSO juga merilis kerangka kerja manajemen risiko perusahaan yang disebut COSO
ERM (lihat Bab 6). Meskipun COSO ERM terkadang terlihat mirip dengan kerangka kerja kontrol internal COSO
yang asli, ia menjelaskan area dan tujuan yang berbeda. Di seluruh buku ini, kami menggunakan keduanya COSO
ERM dan Kerangka pengendalian internal COSO.
3.1 Pentingnya Pengendalian Internal yang Efektif
Pengendalian internal adalah salah satu konsep terpenting dan mendasar yang harus dipahami oleh para
profesional bisnis di semua tingkatan dan auditor eksternal dan internal.
P2: ABC
24 Kerangka Pengendalian Internal: Standar COSO
Para profesional bisnis membangun dan menggunakan kontrol internal; auditor meninjau area operasional dan
keuangan di perusahaan dengan tujuan mengevaluasi pengendalian internal mereka. Auditor internal dan
eksternal memiliki banyak tujuan yang berbeda. Sebagian besar referensi auditor dalam bab ini berlaku untuk
auditor internal, yang memiliki tanggung jawab besar untuk memahami dan menilai pengendalian internal COSO.
Meskipun ada banyak definisi pengendalian internal yang sedikit berbeda di masa lalu, definisi kami adalah:
Pengendalian internal adalah proses, yang dilaksanakan oleh manajemen, yang dirancang untuk memberikan
jaminan yang wajar untuk:
Informasi keuangan dan operasional yang andal

Kepatuhan terhadap kebijakan dan prosedur rencana, hukum, aturan, dan regulasi Pengamanan aset
Efisiensi operasional
Pencapaian misi, sasaran, dan sasaran yang ditetapkan untuk operasi dan program perusahaan
Integritas dan nilai-nilai etika
Definisi ini mengakui bahwa pengendalian internal tidak hanya sekedar akuntansi dan masalah keuangan dan
mencakup semua proses perusahaan. Unit atau proses perusahaan memiliki pengendalian internal yang baik jika (1)
menyelesaikan misi yang dinyatakan dengan cara yang etis, (2) menghasilkan data yang akurat dan andal, (3)
mematuhi hukum dan kebijakan perusahaan yang berlaku, (4) menyediakan kebijakan ekonomis dan penggunaan
sumber daya yang efisien, dan (5) menyediakan pengamanan aset yang sesuai. Semua anggota perusahaan
bertanggung jawab atas pengendalian internal di wilayah tanggung jawab mereka dan untuk mengoperasikannya
secara efektif.
Terlepas dari atau mungkin karena definisi pengendalian internal yang luas dan luas ini, banyak profesional
bisnis mengalami masalah dalam memahami dan menerapkan konsep pengendalian internal sepenuhnya.
Konsep pengendalian internal dan proses pengendalian pendukung kembali ke prosedur mekanis dan dokumen
dasar yang pernah ada sepanjang kehidupan sehari-hari. Proses kontrol diperlukan untuk aktivitas di dalam dan
di luar perusahaan saat ini, dan banyak konsep dan prinsip dasar yang sama di mana pun kontrol diterapkan.
Sebuah mobil menyediakan beberapa contoh kendali dasar. Saat akselerator — pengatur kecepatan — ditekan,
mobil melaju lebih cepat. Saat rem — kendali lain — ditekan, mobil melambat atau berhenti. Saat setir diputar,
kendaraan berbelok. Supir kontrol mobil, dan ketiganya mewakili sistem kontrol internal dasar mobil. Jika
pengemudi tidak menggunakan atau menggunakan akselerator, rem, atau roda kemudi dengan tidak benar,
mobil akan beroperasi
lepas kendali.
Memperluas konsep ini sedikit saja, tanda berhenti, tanda arah lalu lintas, atau penghalang lintas gerbang
semuanya mewakili kontrol eksternal ke mobil dan pengemudinya. Pengemudi adalah operator dari proses atau
sistem pengendalian internal berbasis mobil tetapi memiliki otoritas keputusan yang kecil atas pesan yang
disampaikan dari kontrol eksternal lampu lalu lintas.
Dari perspektif pengendalian internal, suatu perusahaan dapat dibandingkan dengan contoh mobil kita
juga. Ada banyak sistem dan proses perusahaan di tempat kerja, seperti operasi akuntansi, proses penjualan,
dan teknologi informasi
P2: ABC
Standar Pengendalian Internal: Latar Belakang 25
(TI) sistem. Jika manajemen tidak mengoperasikan atau mengarahkan proses ini dengan benar, perusahaan dapat
beroperasi di luar kendali. Semua anggota perusahaan harus mengembangkan pemahaman tentang sistem kontrol
yang sesuai di wilayah atau tanggung jawab mereka dan kemudian menentukan apakah mereka beroperasi dengan
benar terhubung di wilayah operasi perusahaan mereka. Ini disebut sebagai perusahaan pengendalian internal sistem.
Untuk menjernihkan titik kecil dari ambiguitas, meskipun literatur profesional untuk auditor eksternal
menggunakan istilah tersebut pengendalian internal, Standar audit internal menyebut konsep yang sama a kontrol.
Untuk tujuan buku ini dan untuk auditor internal secara profesional, keduanya memiliki arti yang sama. Institut
Auditor Internal (IIA) Standar Internasional untuk Praktik Audit Internal, dibahas dalam Bab 8, definisikan kontrol
sebagai:
Segala tindakan yang diambil oleh manajemen, dewan, dan pihak lain untuk mengelola risiko dan meningkatkan
kemungkinan bahwa tujuan dan sasaran yang ditetapkan akan tercapai. Manajemen merencanakan, mengatur,
dan mengarahkan kinerja tindakan yang memadai untuk memberikan jaminan yang wajar bahwa tujuan dan
sasaran akan tercapai. 1
Manajemen bertanggung jawab untuk menetapkan dan mengelola pengendalian tersebut, dan auditor
internal menilai keefektifannya dan membuat rekomendasi yang sesuai.
3.2 Standar Pengendalian Internal: Latar Belakang
Meskipun konsep dan definisi pengendalian internal cukup baik dipahami saat ini dengan kerangka pengendalian
internal COSO, ini tidak benar sebelum akhir 1980-an. Secara khusus, tidak ada kesepakatan yang konsisten
tentang apa yang dimaksud dengan "pengendalian internal yang baik". Definisi awal yang pertama datang dari
Institut Akuntan Publik Bersertifikat Amerika (AICPA) dan digunakan oleh Komisi Sekuritas dan Bursa AS (SEC)
untuk Peraturan Bursa Efek tahun 1934 memberikan titik awal yang baik. Meskipun telah ada perubahan selama
bertahun-tahun, standar pertama AICPA yang dikodifikasi, yang disebut Pernyataan tentang Standar Audit (SAS
No. 1), mendefinisikan praktik audit eksternal laporan keuangan di Amerika Serikat selama bertahun-tahun. Ini
menggunakan definisi ini untuk pengendalian internal:
Pengendalian internal terdiri dari rencana perusahaan dan semua metode koordinasi dan langkah-langkah
yang diadopsi dengan bisnis untuk melindungi asetnya, memeriksa keakuratan dan keandalan data akuntansi,
mempromosikan efisiensi operasional, dan mendorong kepatuhan terhadap kebijakan manajerial yang
ditentukan.
AICPA SAS No. 1 yang asli itu dimodifikasi untuk menambahkan kontrol administratif dan akuntansi ke
definisi pengendalian internal dasar. Pengendalian administratif mencakup, tetapi tidak terbatas pada, rencana
perusahaan dan prosedur serta catatan yang berkaitan dengan proses keputusan yang mengarah pada otorisasi
transaksi oleh manajemen. Otorisasi tersebut adalah fungsi manajemen yang secara langsung terkait dengan
tanggung jawab untuk mencapai tujuan perusahaan dan merupakan titik awal untuk menetapkan pengendalian
akuntansi atas transaksi.
P2: ABC
[Pengendalian akuntansi] terdiri dari rencana perusahaan dan prosedur serta catatan yang berkaitan
dengan pengamanan aset dan keandalan catatan keuangan dan akibatnya dirancang untuk memberikan
jaminan yang wajar bahwa:
Sebuah. Transaksi dilaksanakan sesuai dengan umum atau khusus manajemen.

otorisasi sipil.
b. Transaksi dicatat seperlunya (1) untuk memungkinkan persiapan keuangan
pernyataan sesuai dengan prinsip akuntansi yang berlaku umum atau kriteria lain yang berlaku untuk
pernyataan tersebut dan (2) untuk menjaga akuntabilitas aset.
c. Akses ke aset hanya diizinkan sesuai dengan kewenangan manajemen

rization.
d. Akuntabilitas aset yang tercatat dibandingkan dengan aset yang ada
pada interval yang wajar dan tindakan yang tepat diambil sehubungan dengan perbedaan apa pun. 2
Hubungan yang tumpang tindih dari kedua jenis pengendalian internal ini kemudian diperjelas lebih lanjut
dalam standar AICPA pra-1988 ini:
Definisi di atas tidak selalu eksklusif karena beberapa prosedur dan catatan yang dipahami dalam
pengendalian akuntansi mungkin juga terlibat dalam pengendalian administratif. Misalnya, catatan
penjualan dan biaya yang diklasifikasikan berdasarkan produk dapat digunakan untuk tujuan pengendalian
akuntansi dan juga dalam membuat keputusan manajemen mengenai harga unit atau aspek operasi
lainnya. Namun, beberapa penggunaan prosedur atau catatan tersebut tidak penting untuk tujuan bagian
ini karena berkaitan terutama dengan klarifikasi batas luar pengendalian akuntansi. Contoh catatan yang
digunakan hanya untuk kontrol administratif adalah yang berkaitan dengan pelanggan yang dihubungi oleh
penjual dan pekerjaan yang rusak oleh karyawan produksi yang disimpan hanya untuk personel evaluasi
per kinerja.
Maksud kami di sini adalah definisi istilah tersebut pengendalian internal telah berubah tetapi telah
ditafsirkan ulang selama bertahun-tahun. Namun, standar AICPA sebelumnya menekankan bahwa sistem
pengendalian internal melampaui hal-hal yang berkaitan langsung dengan laporan akuntansi dan keuangan,
termasuk pengendalian administratif. Selama bertahun-tahun hingga 1970-an, SEC dan AICPA merilis banyak
definisi pengendalian internal yang seringkali sedikit berbeda dan perusahaan audit eksternal utama
menyediakan banyak sekali interpretasi dan pedoman pendukung.
(a) Definisi Pengendalian Internal: Undang-Undang Praktik Korupsi Asing tahun 1977
Sama seperti skandal akuntansi Enron dan lainnya yang membawa kita SOx pada tahun-tahun awal abad kedua
puluh satu, Amerika Serikat mengalami situasi yang sama sekitar 30 tahun yang lalu. Periode 1974 hingga 1977
adalah masa gejolak sosial dan politik yang ekstrem di Amerika Serikat. Serangkaian tindakan ilegal ditemukan
pada saat pemilihan presiden AS tahun 1972, termasuk perampokan markas besar partai Demokrat di kompleks
bangunan yang dikenal sebagai Watergate. Acara akhirnya
P2: ABC
Standar Pengendalian Internal: Latar Belakang 27
menyebabkan pengunduran diri Presiden Richard Nixon. Investigasi terkait menemukan praktik meragukan lainnya
telah terjadi yang tidak tercakup oleh undang-undang. Mirip dengan bagaimana kegagalan Enron membawa kita
SOx, hasilnya di sini adalah pengesahan Undang-Undang Praktik Korupsi Asing (FCPA) 1977.
FCPA melarang suap kepada pejabat asing — non-AS — dan juga berisi ketentuan yang mewajibkan
pemeliharaan pembukuan dan pencatatan yang akurat serta sistem kontrol akuntansi internal. Dengan ketentuan
yang berlaku untuk hampir semua
Perusahaan AS dengan sekuritas terdaftar SEC, aturan kontrol internal FCPA secara khusus berdampak pada
auditor internal dan eksternal. Menggunakan terminologi yang diambil langsung dari undang-undang, FCPA
mensyaratkan bahwa perusahaan yang diatur SEC harus:
Membuat dan menyimpan pembukuan, catatan, dan akun, yang, dengan detail yang wajar, secara
akurat dan wajar, mencerminkan transaksi dan disposisi aset penerbit.
Merancang dan memelihara sistem kontrol akuntansi internal yang memadai untuk memberikan jaminan
yang wajar bahwa:
Transaksi dilakukan sesuai dengan otorisasi umum atau khusus dari manajemen.
Transaksi dicatat seperlunya untuk memungkinkan penyusunan laporan keuangan sesuai dengan
prinsip akuntansi yang berlaku umum (GAAP) atau kriteria lain yang berlaku untuk pernyataan
tersebut, dan juga untuk menjaga akuntabilitas aset.
Akses ke aset hanya diperbolehkan sesuai dengan otorisasi umum atau khusus dari manajemen.
Akuntabilitas aset yang tercatat dibandingkan dengan aset yang ada pada interval yang wajar, dan
tindakan yang tepat diambil sehubungan dengan perbedaan apa pun.
FCPA penting karena, untuk pertama kalinya, manajemen bertanggung jawab atas sistem kontrol
akuntansi internal yang memadai. Undang-undang tersebut mengharuskan perusahaan untuk "membuat dan
menyimpan pembukuan, catatan, dan akun, yang secara detail wajar, akurat dan wajar mencerminkan transaksi
dan disposisi aset penerbit." Mirip dengan dan bahkan lebih luas dari aturan SOx saat ini yang dibahas di Bab 4,
persyaratan penyimpanan catatan FCPA diterapkan ke semua perusahaan publik yang terdaftar di SEC.
Selain itu, FCPA mewajibkan perusahaan ini menyimpan catatan yang secara akurat mencerminkan
transaksi mereka “dengan detail yang wajar”. Meskipun tidak ada definisi khusus di sini, maksud dari aturan
tersebut adalah bahwa pencatatan harus mencerminkan transaksi sesuai dengan metode pencatatan peristiwa
ekonomi yang diterima, mencegah “dana gelap” yang tidak tercatat dan pembayaran suap. FCPA mewajibkan
perusahaan memelihara sistem kontrol akuntansi internal yang memadai untuk memberikan jaminan yang wajar
bahwa transaksi diotorisasi dan dicatat untuk memungkinkan penyusunan laporan keuangan sesuai dengan
GAAP. Selain itu, aturan FCPA menyatakan bahwa akuntabilitas harus dipertahankan untuk aset perusahaan,
dan akses ke aset tersebut hanya diizinkan jika diizinkan dengan inventaris fisik berkala. Lulus lebih dari 30
tahun yang lalu, FCPA adalah seperangkat aturan tata kelola perusahaan yang kuat. Karena FCPA, banyak
papan
P2: ABC
direksi dan komite audit mereka kemudian mulai secara aktif meninjau pengendalian internal di perusahaan
mereka.
(b) Akibat FCPA: Apa yang Terjadi?
Ketika diberlakukan, FCPA menghasilkan upaya besar untuk menilai dan mendokumentasikan sistem kontrol
internal di perusahaan besar AS. Perusahaan yang tidak pernah secara resmi mendokumentasikan prosedur
pengendalian internalnya memulai upaya kepatuhan yang besar. Seringkali tanggung jawab dokumentasi FCPA
ini diberikan kepada departemen audit internal, yang menggunakan upaya terbaik mereka untuk mematuhi
ketentuan pengendalian internal FCPA. Ingatlah bahwa ini terjadi pada akhir 1970-an dan awal 1980-an; pada
saat itu, kebanyakan sistem otomatis adalah proses berorientasi batch mainframe, dan alat dokumentasi yang
tersedia tidak lebih dari templat diagram alur plastik dan pensil No. 2. Mirip dengan hari-hari pertama SOx
Bagian 404 (lihat Bab 4), perusahaan melakukan banyak upaya untuk mencapai kepatuhan FCPA.
Banyak profesional bisnis mengantisipasi gelombang peraturan tambahan setelah pemberlakuan FCPA.
Namun, ini tidak terjadi. Tindakan hukum pada dasarnya tidak ada, tidak ada yang datang untuk memeriksa file
dokumentasi yang dikumpulkan yang diamanatkan dalam undang-undang FCPA, dan hari ini FCPA telah
melepaskan layar radar kami tentang topik manajemen "panas" saat ini. FCPA masih berlaku tetapi hari ini lebih
merupakan undang-undang antikorupsi, anti penyuapan. Pencarian Web akan menghasilkan sedikit jika ada
referensi ke ketentuan kontrol internal FCPA. Undang-undang tersebut diamandemen pada tahun 1990-an tetapi
hanya untuk memperkuat dan meningkatkan ketentuan antikorupsinya.
Ketika diberlakukan pada tahun 1977, FCPA menekankan pentingnya pengendalian internal yang efektif
meskipun tidak ada definisi pengendalian internal yang konsisten pada saat itu. Namun, FCPA mempertinggi
pentingnya pengendalian internal, dan ketentuan anti penyuapannya tetap penting. FCPA adalah langkah
pertama yang penting untuk membantu perusahaan memikirkan perlunya pengendalian internal yang efektif,
meskipun tidak ada pedoman atau standar atas persyaratan dokumentasi sistem FCPA. Namun demikian, jika
ada lebih banyak upaya pada dokumentasi kepatuhan kontrol internal FCPA, kami mungkin tidak pernah
memiliki SOx.
3.3 Peristiwa yang Menuju Komisi Treadway
Terlepas dari persyaratan FCPA untuk mendokumentasikan pengendalian internal, segera menjadi jelas bahwa
tidak ada pemahaman yang jelas dan konsisten tentang apa yang dimaksud dengan "pengendalian internal yang
baik". Pada akhir 1970-an, auditor eksternal hanya melaporkan bahwa laporan keuangan perusahaan “disajikan
secara wajar”; tidak disebutkan kecukupan prosedur pengendalian internal yang mendukung laporan keuangan
yang diaudit tersebut. FCPA mewajibkan perusahaan pelapor untuk mendokumentasikan pengendalian internal
mereka tetapi tidak meminta auditor eksternal untuk membuktikan apakah suatu perusahaan telah mematuhi
persyaratan pelaporan pengendalian internal FCPA.
P2: ABC
Acara yang Menuju Komisi Treadway 29
Pada tahun 1974, AICPA membentuk Komisi Tanggung Jawab Auditor tingkat tinggi. Kelompok ini, yang lebih dikenal kemudian sebagai
Komisi Cohen, merekomendasikan pada tahun 1978 bahwa pernyataan tentang kondisi pengendalian internal perusahaan harus diperlukan bersama
dengan laporan keuangan mereka. Meskipun rekomendasi Komisi Cohen ini muncul pada waktu yang hampir bersamaan dengan peluncuran FCPA,
namun mendapat banyak kritik. Secara khusus, rekomendasi laporan tidak tepat tentang apa yang dimaksud dengan "pelaporan tentang
pengendalian internal," dan auditor eksternal menyatakan keprihatinan yang kuat mengenai peran mereka dalam proses ini. Auditor eksternal prihatin
tentang potensi kewajiban jika laporan mereka tentang pengendalian internal memberikan sinyal yang tidak konsisten karena kurangnya pemahaman
tentang definisi standar pengendalian internal. Meskipun auditor terbiasa untuk membuktikan kewajaran laporan keuangan, laporan Komisi Cohen
meminta pendapat audit atas kewajaran asersi pengendalian manajemen dalam usulan surat pengendalian internal laporan keuangan. Sekali lagi
muncul masalah bahwa manajemen tidak memiliki definisi yang konsisten tentang pengendalian internal. Perusahaan yang berbeda mungkin
menggunakan istilah yang sama mengenai kualitas pengendalian internal mereka, dengan arti masing-masing yang sedikit berbeda. Jika suatu
perusahaan melaporkan bahwa pengendaliannya "memadai" dan jika auditornya menerima asersi tersebut dalam laporan pengendalian tersebut,
auditor eksternal dapat dikritik atau bahkan menghadapi litigasi jika beberapa masalah pengendalian yang signifikan muncul kemudian. laporan Komisi
Cohen meminta opini audit atas kewajaran asersi pengendalian manajemen dalam usulan surat pengendalian internal laporan keuangan. Sekali lagi
menggunakan istilah yang sama mengenai kualitas pengendalian internal mereka, dengan arti masing-masing yang sedikit berbeda. Jika suatu
perusahaan melaporkan bahwa pengendaliannya "memadai" dan jika auditornya menerima asersi tersebut dalam laporan pengendalian tersebut,
auditor eksternal dapat dikritik atau bahkan menghadapi litigasi jika beberapa masalah pengendalian yang signifikan muncul kemudian. laporan Komisi
Cohen meminta opini audit atas kewajaran asersi pengendalian manajemen dalam usulan surat pengendalian internal laporan keuangan. Sekali lagi
menggunakan istilah yang sama mengenai kualitas pengendalian internal mereka, dengan arti masing-masing yang sedikit berbeda. Jika suatu perusahaan melaporkan bahwa pengendaliannya "memadai
The Financial Executives International (FEI), 3 organisasi profesional, terlibat dalam kontroversi pelaporan
pengendalian internal ini. Sebagaimana IIA adalah perusahaan profesional untuk auditor internal dan AICPA
mewakili akuntan publik di Amerika Serikat, FEI mewakili para pejabat keuangan senior perusahaan. Pada akhir
1970-an, FEI mengesahkan rekomendasi pengendalian internal Komisi Cohen dan setuju bahwa perusahaan
harus melaporkan status pengendalian akuntansi internal mereka. Akibatnya, banyak perusahaan AS mulai
membahas kecukupan pengendalian internal sebagai bagian dari surat manajemen laporan tahunan mereka.
Surat pengendalian internal ini sepenuhnya sukarela dan tidak mengikuti format standar apa pun. Mereka
biasanya memasukkan komentar yang menyatakan bahwa manajemen, melalui auditor internalnya, secara
berkala menilai kualitas pengendalian internalnya.
Istilah ini jaminan negatif akan kembali dalam diskusi kami tentang kontrol internal. Karena auditor eksternal
tidak dapat mendeteksi semua masalah dan menghadapi risiko litigasi potensial, laporan auditor eksternal pra-SOx
sering dinyatakan sebagai jaminan negatif. Artinya, daripada mengatakan bahwa mereka "tidak menemukan
masalah" di area yang sedang ditinjau, laporan akan menyatakan bahwa auditor tidak menemukan apa pun yang
akan membuat mereka percaya bahwa ada masalah. Ini adalah perbedaan yang halus namun penting.
Dengan menggunakan rekomendasi Komisi Cohen dan FEI, SEC kemudian mengeluarkan aturan yang
diusulkan wajib laporan manajemen pada sistem pengendalian akuntansi internal suatu entitas. SEC
menyatakan bahwa informasi tentang efektivitas sistem pengendalian internal suatu entitas diperlukan untuk
memungkinkan investor mengevaluasi kinerja manajemen dan integritas laporan keuangan yang diterbitkan
dengan lebih baik. Proposal SEC ini kembali menimbulkan badai kontroversi; banyak chief executive officer
(CEO) dan chief financial officer (CFO) merasa bahwa ini terlalu berat, terutama di atas peraturan FCPA yang
baru dirilis.
Pertanyaan datang dari berbagai arah mengenai definisi pengendalian akuntansi internal. Sementara
perusahaan mungkin setuju untuk pelaporan sukarela, mereka setuju
P2: ABC
tidak ingin tunduk pada diri mereka sendiri — pada hari-hari sebelum SOx — ke hukuman yang terkait dengan
pelanggaran peraturan SEC. SEC segera membatalkan persyaratan untuk laporan terpisah tentang kontrol akuntansi
internal sebagai bagian dari laporan tahunan kepada pemegang saham tetapi berjanji untuk merilis kembali peraturan
di kemudian hari.
(a) Standar AICPA Sebelumnya: SAS No.55
Sebelum SOx, AICPA bertanggung jawab untuk merilis standar audit eksternal melalui Statements on Auditing
Standards (SASs). Sebagaimana dibahas untuk SAS No. 1, standar ini membentuk dasar tinjauan auditor
eksternal atas kecukupan dan kewajaran laporan keuangan yang dipublikasikan. Meskipun mereka mengalami
beberapa perubahan selama bertahun-tahun, pada 1970-an dan 1980-an, AICPA sering dikritik karena standar
auditnya tidak memberikan panduan yang memadai baik bagi auditor eksternal maupun pengguna laporan
mereka. Masalah ini disebut “kesenjangan ekspektasi,” karena standar akuntan publik yang ada tidak memenuhi
ekspektasi investor.
Untuk menjawab kritik ini, AICPA merilis serangkaian SAS baru tentang standar audit pengendalian internal
antara tahun 1980 dan 1985. Ini termasuk SAS No. 30, Pelaporan tentang Pengendalian Akuntansi Internal, yang
memberikan panduan untuk terminologi yang akan digunakan dalam laporan pengendalian akuntansi internal. SAS
tidak memberikan banyak bantuan, bagaimanapun, dalam mendefinisikan konsep yang mendasari pengendalian
internal dan dipandang oleh kritikus profesi akuntan publik terlalu terlambat. SAS No. 55, Pertimbangan Struktur
Pengendalian Internal dalam Audit Laporan Keuangan, adalah standar baru lainnya yang mendefinisikan
pengendalian internal dalam tiga elemen utama:
1. Lingkungan pengendalian
2. Sistem akuntansi
3. Prosedur pengendalian
SAS No. 55 menyajikan pendekatan yang berbeda untuk memahami pengendalian internal daripada yang
telah digunakan di masa lalu, dan telah memberikan dasar bagi banyak pemahaman kami tentang pengendalian
internal. Sebelum SAS No. 55, kebijakan dan prosedur struktur pengendalian internal perusahaan seringkali
tidak dipertimbangkan secara formal oleh auditor eksternal. Contoh proses pengendalian internal ini mencakup
kebijakan dan prosedur mengenai efektivitas, ekonomi, dan efisiensi proses pengambilan keputusan manajemen
atau prosedur tertentu yang mencakup kegiatan penelitian dan pengembangan. Meskipun tentu saja penting
bagi perusahaan, setiap masalah pengendalian internal yang terkait biasanya tidak terkait dengan audit laporan
keuangan auditor eksternal.
SAS No. 55 mendefinisikan pengendalian internal dengan cara yang jauh lebih luas daripada yang biasa
dilakukan oleh auditor eksternal dan memberikan dasar untuk definisi istilah laporan COSO. SAS No. 55 menjadi
efektif pada tahun 1990 dan merupakan langkah besar dalam menyediakan auditor eksternal definisi yang tepat
tentang pengendalian internal.
(b) Laporan Komite Treadway
Selama akhir 1970-an dan awal 1980-an, banyak perusahaan besar AS gagal karena inflasi yang tinggi dan akibatnya
tingkat bunga yang tinggi. Sering kali perusahaan melaporkan pendapatan yang memadai dalam laporan keuangan yang
diaudit, hanya untuk mengalami kebangkrutan keuangan tidak lama setelah laporan tersebut dikeluarkan. Beberapa dari
kegagalan ini disebabkan oleh
P2: ABC
Kerangka Pengendalian Internal COSO 31
pelaporan keuangan yang mengandung kecurangan, meskipun banyak lainnya disebabkan oleh inflasi tinggi atau masalah
ketidakstabilan perusahaan lainnya. Namun demikian, beberapa anggota Kongres mengusulkan undang-undang untuk
"mengoreksi" potensi kegagalan bisnis dan audit ini. RUU dirancang, dengar pendapat kongres diadakan, tetapi tidak ada
undang-undang yang disahkan.
Untuk menanggapi keprihatinan ini serta kurangnya tindakan legislatif, Komisi Nasional Pelaporan
Keuangan Penipuan dibentuk. Ini terdiri dari lima organisasi profesional: IIA, AICPA, dan FEI, semuanya
disebutkan sebelumnya, serta American Accounting Association (AAA) dan Institute of Management Accountants
(IMA). AAA adalah organisasi profesional untuk akuntan akademik. IMA adalah organisasi profesional untuk
akuntan manajerial atau biaya.
Komisi Nasional Pelaporan Keuangan Penipuan kemudian disebut Komisi Treadway setelah nama
ketuanya. Tujuan utamanya adalah untuk mengidentifikasi faktor penyebab yang memungkinkan pelaporan
keuangan yang curang dan membuat rekomendasi untuk mengurangi insiden tersebut. Laporan terakhir Komisi
Treadway dikeluarkan pada tahun 1987 4 dan termasuk rekomendasi kepada manajemen, dewan direksi, profesi
akuntan publik, dan lain-lain. Ini sekali lagi meminta laporan manajemen tentang keefektifan sistem pengendalian
internal dan menekankan elemen kunci dalam apa yang dirasa seharusnya menjadi sistem pengendalian
internal, termasuk lingkungan pengendalian yang kuat, kode etik, komite audit yang kompeten dan terlibat, dan
internal yang kuat. fungsi audit. Laporan Treadway Commission sekali lagi menunjukkan kurangnya definisi yang
konsisten tentang pengendalian internal, yang menunjukkan bahwa pekerjaan lebih lanjut diperlukan. COSO
yang sama yang mengelola laporan Treadway kemudian membuat kontrak dengan spesialis dari luar dan
memulai proyek baru untuk mendefinisikan konsep pengendalian internal. Meski tidak mengeluarkan standar,
Upaya pelaporan pengendalian internal yang dibahas di sini disajikan seolah-olah itu adalah rangkaian
peristiwa berurutan. Pada kenyataannya, banyak dari upaya ini terjadi hampir secara paralel. Upaya 20 tahun ini
mendefinisikan kembali pengendalian internal sebagai metodologi dasar dan menguraikan terminologi standar
untuk profesional bisnis dan auditor. Hasilnya adalah kerangka pengendalian internal COSO, yang dibahas di
bagian selanjutnya dan dirujuk di seluruh buku ini.
3.4 Kerangka Pengendalian Internal COSO
Lima organisasi audit dan akuntansi profesional yang membentuk sebuah komite — COSO — kemudian merilis
laporan pengendalian internal, dengan judul resmi Pengendalian Internal - Kerangka Terintegrasi. 5 Di seluruh
buku ini, ini disebut sebagai laporan atau kerangka kerja pengendalian internal COSO. Organisasi sponsor ini
membuat kontrak dengan perusahaan akuntan publik dan menggunakan sejumlah besar sukarelawan untuk
mengembangkan laporan, merilis draf pada tahun 1990 untuk eksposur publik dan komentar. Lebih dari 40.000
salinan versi draf pengendalian internal COSO telah dikirim ke pejabat perusahaan, auditor internal dan
eksternal, legislator, akademisi, dan pihak berkepentingan lainnya dengan permintaan komentar formal. Review
prosedur dalam draf, dibahas dalam Bagian 3.04, lapangan diuji oleh perusahaan akuntan publik besar.
Setelah beberapa penyesuaian, laporan terakhir pengendalian internal COSO dirilis pada bulan September
1992. Meskipun bukan standar wajib, laporan tersebut mengusulkan kerangka umum untuk definisi pengendalian
internal serta prosedur
P2: ABC
untuk mengevaluasi kontrol tersebut. Hanya beberapa, kerangka pengendalian internal COSO telah menjadi
standar yang diakui di seluruh dunia untuk memahami dan menetapkan pengendalian internal yang efektif di
hampir semua sistem bisnis. Paragraf berikutnya memberikan penjelasan yang cukup rinci tentang kerangka
pengendalian internal COSO dan penggunaannya oleh auditor internal dan profesional bisnis untuk penilaian dan
evaluasi pengendalian internal.
Hampir setiap perusahaan publik memiliki struktur prosedur pengendalian yang kompleks. Mengikuti format
bagan organisasi klasik, mungkin ada level manajemen senior dan menengah di beberapa unit operasi atau
dalam aktivitas yang berbeda. Selain itu, prosedur pengendalian mungkin agak berbeda pada setiap level dan
komponen ini. Misalnya, satu unit operasi dapat beroperasi dalam lingkungan bisnis yang diatur di mana proses
pengendaliannya sangat terstruktur, sementara unit lain dapat beroperasi hampir seperti permulaan wirausaha
dengan struktur yang kurang formal. Tingkat manajemen yang berbeda di perusahaan ini akan memiliki
perspektif perhatian pengendalian yang berbeda. Pertanyaan "Bagaimana Anda menggambarkan sistem kontrol
internal Anda?" mungkin menerima jawaban yang berbeda dari orang-orang di tingkat atau unit yang berbeda di
masing-masing komponen perusahaan ini.
COSO memberikan deskripsi yang sangat baik tentang konsep multidimensi pengendalian internal ini, yang
mendefinisikan pengendalian internal sebagai berikut:
Pengendalian internal adalah a proses, dipengaruhi oleh dewan direksi, manajemen, dan personel entitas
lainnya, yang dirancang untuk memberikan keyakinan memadai terkait pencapaian tujuan dalam kategori
berikut:
Efektivitas dan efisiensi operasi Keandalan pelaporan

keuangan
Kepatuhan terhadap hukum dan peraturan yang berlaku 6
Berdasarkan definisi pengendalian internal yang sangat umum ini, COSO menggunakan model tiga
dimensi untuk menggambarkan sistem pengendalian internal dalam suatu perusahaan. Exhibit 3.1 menyajikan
kerangka kerja pengendalian internal COSO ini sebagai model tiga dimensi dengan lima tingkat di sisi yang
menghadap ke depan dan tiga komponen utama pengendalian internal di atas diagram - pengendalian internal,
pelaporan keuangan, kepatuhan, dan operasi - mewakili efektivitas dan efisiensi operasi, keandalan pelaporan
keuangan, dan kepatuhan terhadap hukum dan peraturan yang berlaku. Sisi kanan pameran menunjukkan
segmen, tetapi mungkin ada kelipatannya tergantung pada struktur perusahaan.
Setiap level kerangka kerja pengendalian internal COSO, dari pemantauan dari atas ke bawah hingga
lingkungan pengendalian internal, dibahas secara lebih rinci di bagian selanjutnya. Idenya di sini adalah bahwa
ketika kita melihat lapisan aktivitas pengendalian internal menengah — seperti penutupan keuangan akhir
periode — kita harus mempertimbangkan pengendalian tersebut dalam hal unit bisnis atau entitas atau beberapa
divisi di sisi kerangka kerja di mana itu kontrol telah dipasang. Namun, dalam model tiga dimensi ini, setiap
kontrol terkait satu sama lain dalam baris, tumpukan, atau kolom yang sama.
Inti dari model atau kerangka pengendalian internal COSO adalah bahwa kita harus selalu
mempertimbangkan setiap pengendalian internal yang teridentifikasi dalam kaitannya dengan pengendalian internal
terkait lainnya. Sebagai contoh pengendalian internal keuangan dekat akhir periode, perusahaan harus memiliki
hubungan informasi dan komunikasi yang dilampirkan ke proses tutup keuangan dan pengendalian tersebut harus
dipantau. Menjatuhkan
P2: ABC
PAMERAN 3.1 Kerangka Pengendalian Internal COSO
Pada tingkat tertentu, harus ada penilaian risiko yang terkait dengan proses pengendalian keuangan tersebut, dan
harus beroperasi dalam lingkungan pengendalian internal yang sesuai. Masalah kepatuhan dan operasi mungkin juga
memiliki faktor pada pengendalian khusus yang dapat berfungsi di setiap tingkat dalam organisasi perusahaan.
Semua auditor internal harus mengembangkan pemahaman tentang kerangka pengendalian internal COSO
ini. Tidak peduli area apa yang sedang ditinjau, auditor internal selalu perlu melihat pengendalian internal dengan
cara multilevel dan tiga dimensi ini. Meskipun hal ini berlaku untuk semua pekerjaan audit internal, konsep tersebut
sangat berharga ketika menilai dan mengevaluasi pengendalian internal menggunakan kerangka pengendalian
internal COSO. Dimulai dengan level menghadap depan pertama atau bawah, bagian berikut menjelaskan elemen
atau komponen kerangka kerja kontrol internal COSO secara lebih rinci:
(a) Lingkungan Pengendalian
Fondasi dari setiap struktur pengendalian internal adalah apa yang disebut COSO sebagai lingkungan pengendalian
internal. COSO menekankan bahwa lingkungan pengendalian internal ini
P2: ABC
entitas yayasan memiliki pengaruh yang sangat besar terhadap bagaimana semua aktivitas disusun dan risiko
dinilai. Lingkungan pengendalian merupakan dasar untuk semua komponen pengendalian internal lainnya; ini
memiliki pengaruh pada masing-masing dari tiga tujuan dan pada aktivitas unit dan entitas secara keseluruhan.
Lingkungan pengendalian mencerminkan keseluruhan sikap, kesadaran, dan tindakan dewan direksi, manajemen,
dan pihak lain mengenai pentingnya pengendalian internal dalam perusahaan. Meskipun terdapat banyak konsep
dasar yang berbeda di sini, setiap perusahaan harus memiliki landasan pengendalian internalnya yang unik untuk
mendukung struktur pengendalian internalnya yang lain.
Sejarah dan budaya perusahaan seringkali memainkan peran utama dalam membentuk lingkungan
pengendalian internal. Ketika suatu perusahaan secara historis memiliki penekanan manajemen yang kuat pada
produksi produk bebas kesalahan, ketika manajemen senior terus menekankan pentingnya produk berkualitas
tinggi, dan ketika pesan ini dikomunikasikan ke semua tingkatan, itu menjadi faktor lingkungan pengendalian
perusahaan utama. Misalnya, pesan dari CEO atau manajer sangat senior lainnya dikenal sebagai nada di
puncak — pesan manajemen kepada semua pemangku kepentingan. Namun, jika manajemen senior memiliki
reputasi berpaling dari pelanggaran kebijakan, pesan negatif ini akan dikomunikasikan ke tingkat lain di
perusahaan.
Bagian selanjutnya menguraikan beberapa elemen utama dari komponen lingkungan pengendalian COSO
pengendalian internal. Saat melakukan hampir semua tinjauan, auditor internal harus selalu mencoba untuk
memahami dan mengevaluasi lingkungan pengendalian secara keseluruhan. Ketika lingkungan pengendalian
internal lemah, auditor internal hampir pasti akan menemukan bidang pengendalian internal tambahan. Dalam
perusahaan yang lebih kecil, faktor lingkungan pengendalian akan lebih informal, tetapi fokus tetap harus pada
faktor lingkungan pengendalian yang tepat di seluruh entitas, sebagai komponen penting dari pengendalian
internal. Paragraf berikutnya menjelaskan komponen lingkungan pengendalian. Suatu perusahaan harus
menerapkan elemen masing-masing.
(i) INTEGRITAS DAN NILAI ETIS Integritas kolektif dan nilai-nilai etika suatu perusahaan merupakan elemen
lingkungan pengendalian yang penting. Nilai-nilai ini sering ditentukan oleh pesan nada-di-the-top yang dikomunikasikan
oleh manajemen senior. Jika perusahaan telah mengembangkan kode etik yang kuat yang menekankan integritas dan
nilai-nilai etika, dan jika pemangku kepentingan tampaknya mengikuti kode tersebut, semua pemangku kepentingan
akan memiliki jaminan bahwa perusahaan memiliki seperangkat nilai yang baik.
Kode etik merupakan komponen penting dari tata kelola organisasi dan dibahas lebih lanjut dalam Bab 24.
Namun, meskipun perusahaan mungkin memiliki kode etik yang kuat, seringkali prinsip-prinsipnya dilanggar
karena ketidaktahuan dan bukan karena penyimpangan yang disengaja. Dalam banyak kasus, karyawan
mungkin tidak tahu bahwa mereka melakukan sesuatu yang salah atau mungkin percaya bahwa tindakan
mereka adalah untuk kepentingan terbaik perusahaan. Ketidaktahuan ini sering kali disebabkan oleh bimbingan
moral manajemen senior yang buruk daripada oleh niat karyawan untuk menipu, dan kebijakan serta nilai
perusahaan harus dikomunikasikan ke semua tingkat organisasi. Meskipun selalu ada apel buruk dalam usaha
apa pun, pesan moral yang kuat akan mendorong setiap orang untuk bertindak dengan benar.
Semua pemangku kepentingan, dan tentunya auditor internal, harus memiliki pemahaman yang baik tentang
kode etik perusahaan mereka dan cara penerapannya. Jika kode yang ada sudah kadaluwarsa, jika tampaknya tidak
mengatasi masalah etika penting yang dihadapi
P2: ABC
perusahaan, atau jika manajemen tampaknya tidak mengkomunikasikan kode kepada semua pemangku
kepentingan secara berulang, manajemen perlu bangun dan memperbaiki kekurangan ini. Jika perusahaan tidak
mempunyai kantor etika formal, permulaan fungsi tersebut dapat membantu dalam penyebaran kode etik
perusahaan.
Kode etik menjelaskan aturan perilaku etis. Manajemen senior harus mengirimkan pesan etika yang tepat
ke seluruh perusahaan. Insentif dan godaan lain, bagaimanapun, dapat mengikis lingkungan kendali secara
keseluruhan. Individu mungkin tergoda untuk melakukan tindakan tidak jujur, ilegal, atau tidak etis jika usaha
mereka memberi mereka insentif atau godaan yang kuat untuk melakukannya. Misalnya, perusahaan dapat
menetapkan target kinerja yang sangat tinggi dan tidak realistis untuk penjualan atau kuota produksi. Jika ada
penghargaan yang kuat untuk pencapaian tujuan kinerja ini — atau lebih buruk lagi, ancaman kuat untuk target
yang terlewat — karyawan mungkin didorong untuk terlibat dalam praktik curang atau meragukan untuk
mencapai tujuan tersebut. Jenis godaan yang mendorong pemangku kepentingan untuk terlibat dalam akuntansi
yang tidak tepat atau tindakan serupa meliputi:
Kontrol yang tidak ada atau tidak efektif, seperti pemisahan pengaturan tugas yang buruk di area sensitif, yang
menawarkan godaan untuk mencuri atau menyembunyikan kinerja yang buruk
Desentralisasi tinggi yang membuat manajemen puncak tidak menyadari tindakan yang diambil di tingkat perusahaan yang
lebih rendah dan dengan demikian mengurangi kemungkinan tertangkap
Fungsi audit internal yang lemah yang tidak memiliki kemampuan maupun kewenangan untuk mendeteksi dan melaporkan
perilaku yang tidak pantas; ini adalah area di mana audit internal dapat memperbaiki dirinya sendiri dengan melakukan audit
internal yang efektif (lihat Bab 7)
Hukuman untuk perilaku tidak pantas yang tidak penting atau tidak dipublikasikan, menyebabkan mereka kehilangan
nilainya sebagai pencegah
Untuk membangun integritas dan nilai-nilai etika, fungsi audit internal yang kuat harus menjadi komponen
utama lingkungan pengendalian COSO. Jika audit internal menemukan bahwa manajemen menempatkan
batasan pada fungsi audit, audit internal dan chief audit executive (CAE) harus mengingatkan manajemen
tentang pentingnya hal tersebut sebagai bagian dari keseluruhan struktur pengendalian internal perusahaan dan,
yang lebih penting, mengomunikasikan masalah ini kepada dewan. komite audit direksi. Hubungan komite audit
yang penting ini dibahas di Bab 23.
(ii) KOMITMEN TERHADAP KOMPETENSI Lingkungan kendali perusahaan dapat terkikis secara serius jika sejumlah
besar posisi diisi dengan orang-orang yang tidak memiliki keterampilan kerja yang dibutuhkan. Auditor internal, khususnya,
akan menghadapi situasi ini dari waktu ke waktu dalam ulasan mereka, mewawancarai seseorang yang ditugaskan untuk
pekerjaan tertentu yang tampaknya tidak memiliki keterampilan, pelatihan, atau bahkan kecerdasan yang sesuai untuk
melakukan pekerjaan itu. Karena semua manusia memiliki tingkat keterampilan dan kemampuan yang berbeda, pengawasan
dan pelatihan yang memadai harus tersedia untuk membantu orang-orang ini sampai staf ditingkatkan atau keterampilan
yang tepat diperoleh.
Perusahaan perlu menentukan tingkat kompetensi yang diperlukan untuk berbagai tugas pekerjaannya dan menerjemahkan
persyaratan tersebut ke dalam tingkat pengetahuan dan keterampilan yang diperlukan. Dengan menempatkan orang yang tepat
dalam pekerjaan yang sesuai dan memberikan pelatihan yang memadai bila diperlukan, perusahaan memenuhi komponen
lingkungan pengendalian COSO yang penting ini.
P2: ABC
Penilaian kompetensi staf merupakan bagian penting dari lingkungan pengendalian, dan ini bisa sulit.
Bagaimana auditor internal menentukan kompetensi staf area audit? Fungsi sumber daya manusia yang kuat,
dengan prosedur penilaian yang memadai, itu penting. Namun, terkait dengan tugas kerja yang diberikan, Bab 7
sampai 11 harus memberikan beberapa panduan.
(iii) DIREKSI DAN KOMITE AUDIT Lingkungan kontrol sangat

banyak dipengaruhi oleh tindakan dewan direksi perusahaan dan komite auditnya. Pada tahun-tahun sebelum
SOx, dewan dan komite audit mereka sering didominasi oleh manajemen senior dalam direksi, dengan
perwakilan terbatas dari luar, anggota dewan minoritas. Ini menciptakan situasi di mana dewan tidak
sepenuhnya independen dari manajemen. Para pejabat perusahaan duduk di dewan dan, pada dasarnya,
mengelola diri mereka sendiri, sering kali dengan perhatian yang kurang terhadap investor luar. Seperti yang
akan dibahas di Bab 4, SOx telah mengubahnya dan sekarang membutuhkan komite audit untuk benar-benar
independen. Papan aktif dan independen merupakan komponen penting dari lingkungan kendali COSO. Dengan
menetapkan kebijakan tingkat tinggi dan dengan meninjau perilaku perusahaan secara keseluruhan, dewan dan
komite auditnya memiliki tanggung jawab akhir untuk mengatur nada ini di puncak. Bab 23 membahas
komunikasi audit internal dengan komite audit.
(iv) FILOSOFI MANAJEMEN DAN GAYA OPERASI Filsafat dan operasi

Gaya manajemen senior memiliki pengaruh yang besar terhadap lingkungan pengendalian perusahaan. Beberapa manajer
tingkat atas mengambil risiko tingkat perusahaan yang signifikan dalam bisnis baru atau usaha produk mereka; yang lain
sangat berhati-hati atau konservatif. Beberapa manajer tampaknya beroperasi di tempat duduk celana mereka sementara
yang lain bersikeras bahwa segala sesuatu harus disetujui dan didokumentasikan dengan benar. Beberapa mungkin
mengambil pendekatan yang sangat agresif dalam penafsiran mereka tentang pajak dan aturan pelaporan keuangan; yang
lain membaca buku itu. Komentar-komentar ini tidak selalu berarti bahwa satu pendekatan selalu baik dan pendekatan
lainnya buruk. Perusahaan wirausaha kecil mungkin dipaksa untuk mengambil risiko bisnis tertentu agar tetap kompetitif,
sementara perusahaan dalam industri yang diatur dengan ketat akan menghindari risiko. Konsep ini, yang disebut selera
akan risiko, dibahas dalam Bab 6.
Filosofi manajemen dan pertimbangan gaya operasional ini semuanya merupakan bagian dari lingkungan
pengendalian perusahaan. Auditor internal yang bertanggung jawab untuk menilai pengendalian internal harus
memahami faktor-faktor ini dan mempertimbangkannya saat mengevaluasi efektivitas pengendalian internal. Tidak ada
satu set gaya dan filosofi yang terbaik untuk semua perusahaan, tetapi faktor-faktor ini penting ketika
mempertimbangkan komponen lain dari pengendalian internal dalam suatu perusahaan.
(v) STRUKTUR ORGANISASI Komponen pengendalian internal ini memberikan kerangka kerja untuk
perencanaan, pelaksanaan, pengendalian, dan pemantauan kegiatan untuk membantu mencapai tujuan secara
keseluruhan. Faktor lingkungan pengendalian ini berkaitan dengan bagaimana fungsi dikelola dan diatur,
mengikuti bagan organisasi klasik. Beberapa perusahaan sangat tersentralisasi; yang lainnya terdesentralisasi
berdasarkan produk, geografi, atau faktor lainnya. Yang lain lagi diatur dalam cara matriks tanpa satu jalur
pelaporan langsung. Struktur organisasi merupakan aspek penting dari lingkungan pengendalian perusahaan,
tetapi tidak ada struktur yang menyediakan lingkungan pengendalian internal yang disukai.
P2: ABC
Struktur organisasi adalah cara atau pendekatan upaya kerja individu untuk ditugaskan dan terintegrasi
untuk pencapaian tujuan keseluruhan. Meskipun konsep ini dapat diterapkan pada cara di mana seorang individu
mengatur upaya, ini lebih dapat diterapkan pada unit atau usaha kelompok. Untuk perusahaan modern yang
lebih besar, rencana organisasi yang kuat merupakan komponen penting dari sistem pengendalian internalnya.
Individu dan subkelompok harus memiliki pemahaman tentang tujuan dan sasaran total dari kelompok atau
entitas di mana mereka menjadi bagiannya. Tanpa pemahaman seperti itu, mungkin ada kelemahan
pengendalian internal yang signifikan.
Setiap perusahaan atau entitas — baik bisnis, pemerintah, atau nirlaba — membutuhkan rencana organisasi yang
efektif. Seringkali kelemahan dalam pengendalian organisasi dapat berdampak luas di seluruh lingkungan pengendalian
total. Terlepas dari garis kewenangan yang jelas, perusahaan terkadang memiliki inefisiensi yang tertanam di dalamnya
yang dapat menjadi lebih besar seiring dengan berkembangnya waktu, menyebabkan prosedur kontrol menjadi rusak.
(vi) PENUGASAN OTORITAS DAN TANGGUNG JAWAB Definisi kerangka kerja COSO ini
Aspek lingkungan pengendalian mirip dengan komponen struktur organisasi. Struktur organisasi suatu perusahaan
menentukan penugasan dan integrasi dari total upaya kerjanya. Pemberian wewenang pada dasarnya adalah cara
tanggung jawab didefinisikan dalam istilah deskripsi pekerjaan dan terstruktur dalam bagan perusahaan. Meskipun
penugasan pekerjaan tidak pernah bisa sepenuhnya lepas dari beberapa tanggung jawab yang tumpang tindih
atau bersama, semakin tepat tanggung jawab ini dapat dinyatakan, semakin baik. Kegagalan untuk secara jelas
mendefinisikan otoritas dan tanggung jawab tempat kerja sering menyebabkan kebingungan dan konflik antara
upaya kerja individu dan kelompok.
Saat ini banyak perusahaan dari semua jenis dan ukuran telah merampingkan operasi mereka dan mendorong
otoritas pengambilan keputusan mereka ke bawah dan lebih dekat ke personel garis depan. Lingkungan kontrol yang
kuat mengatakan bahwa karyawan lini depan harus memiliki pengetahuan dan kekuatan untuk membuat keputusan
yang tepat di wilayah operasi mereka sendiri daripada diminta untuk meneruskan permintaan keputusan melalui
saluran perusahaan. Tantangan kritis yang menyertai pemberdayaan ini adalah bahwa meskipun manajemen senior
dapat mendelegasikan beberapa wewenang untuk mencapai tujuan, pada akhirnya manajemen senior bertanggung
jawab atas keputusan yang dibuat oleh bawahan. Perusahaan dapat menempatkan dirinya pada risiko jika terlalu
banyak keputusan yang melibatkan tujuan tingkat yang lebih tinggi didelegasikan ke tingkat yang tidak tepat tanpa
tinjauan manajemen yang memadai. Tambahan, Setiap orang dalam perusahaan harus memiliki pemahaman yang
baik tentang tujuan keseluruhan perusahaan dan bagaimana tindakan individu saling terkait untuk mencapai tujuan
tersebut. Bagian kerangka kerja laporan pengendalian internal COSO menjelaskan area lingkungan pengendalian yang
sangat penting ini:
Lingkungan pengendalian sangat dipengaruhi oleh sejauh mana individu menyadari bahwa mereka akan
dimintai pertanggungjawaban. Ini berlaku sampai ke kepala eksekutif, yang memiliki tanggung jawab akhir
untuk semua aktivitas dalam suatu entitas, termasuk sistem pengendalian internal.
(vii) KEBIJAKAN DAN PRAKTIK SUMBER DAYA MANUSIA Praktik sumber daya manusia mencakup
area seperti perekrutan, orientasi, pelatihan, evaluasi, konseling, promosi, kompensasi, dan mengambil tindakan
perbaikan yang sesuai. Sementara fungsi sumber daya manusia harus memiliki kebijakan yang diterbitkan dan
materi panduan yang memadai, praktik aktualnya mengirimkan pesan yang kuat kepada karyawan mengenai tingkat
kepatuhan pengendalian internal yang diharapkan, perilaku etis, dan kompetensi. Karyawan dengan level yang lebih
tinggi
P2: ABC
yang secara terbuka menyalahgunakan kebijakan sumber daya manusia, seperti larangan merokok di pabrik, dengan
cepat mengirim pesan ke level lain di perusahaan. Pesan itu tumbuh semakin keras ketika karyawan tingkat bawah
didisiplinkan karena melanggar larangan merokok yang sama sementara pelanggar tingkat tinggi tidak.
Bidang di mana kebijakan dan praktik sumber daya manusia ini sangat penting meliputi:
Rekrutmen dan perekrutan. Perusahaan harus mengambil langkah-langkah untuk merekrut kandidat
terbaik dan paling berkualitas. Latar belakang calon karyawan harus diverifikasi, dan wawancara harus
diatur dengan baik dan mendalam. Wawancara juga harus menyampaikan pesan tentang nilai, budaya,
dan gaya operasi perusahaan.
Orientasi karyawan baru. Karyawan baru harus diberi sinyal yang jelas mengenai sistem nilai perusahaan
dan konsekuensi dari tidak mematuhi nilai-nilai tersebut. Ini adalah waktu ketika karyawan baru
diperkenalkan dengan kode etik dan diminta untuk secara resmi mengakui penerimaan kode tersebut.
Tanpa pesan ini, karyawan baru dapat bergabung dengan perusahaan tanpa pemahaman yang tepat
tentang nilai-nilainya.
Evaluasi, promosi, dan kompensasi. Harus ada yang adil

program evaluasi kinerja di tempat. Karena masalah seperti evaluasi dan kompensasi dapat melanggar
kerahasiaan karyawan, keseluruhan sistem harus dibuat dengan cara yang adil bagi semua pemangku
kepentingan di perusahaan.
Tindakan disipliner. Kebijakan yang konsisten dan dipahami dengan baik untuk tindakan disipliner harus
ada. Karyawan di semua tingkatan harus tahu bahwa jika mereka melanggar aturan tertentu, mereka akan
dikenakan tindakan disipliner yang berlanjut hingga pemecatan. Perusahaan harus berhati-hati untuk
memastikan bahwa tidak ada standar ganda untuk tindakan disipliner — atau, jika ada standar ganda
seperti itu, bahwa karyawan tingkat yang lebih tinggi akan dikenakan tindakan disipliner yang lebih berat.
Kebijakan dan prosedur sumber daya manusia yang efektif merupakan komponen penting dalam lingkungan
pengendalian secara keseluruhan. Pesan dari puncak struktur perusahaan yang kuat tidak akan banyak membantu
jika perusahaan tidak memiliki kebijakan dan prosedur sumber daya manusia yang kuat. Audit internal harus selalu
mempertimbangkan elemen ini saat melakukan review terhadap elemen lain dari kerangka pengendalian internal.
(viii) PERSPEKTIF PENGENDALIAN COSO Sedikit berbeda

tampilan, Tampilan 3.2 menunjukkan pengendalian internal COSO sebagai piramida, dengan lingkungan
pengendalian sebagai fondasinya. Di sini, komponen informasi dan komunikasi tidak ditampilkan sebagai lapisan
individu dalam model tetapi komponen samping yang mencakup lapisan Penilaian Risiko dan Aktivitas
Pengendalian. Pandangan ini lebih umum ketika kerangka kerja pengendalian internal COSO pertama kali
dirancang, tetapi versi Tampilan 3.1 jauh lebih umum saat ini. Pandangan ini tidak benar-benar mendeskripsikan
komponen yang dipisahkan entitas demi entitas yang ditunjukkan di sisi kanan Tampilan 3.1.
Meskipun bukan pandangan umum kerangka pengendalian internal COSO, konsep ini penting. Sebagaimana
fondasi yang kuat diperlukan untuk gedung bertingkat, lingkungan pengendalian menyediakan fondasi bagi
komponen pengendalian internal lainnya. Perusahaan yang sedang membangun struktur pengendalian internal
yang kuat harus memberikan perhatian khusus pada penempatan batu bata pondasi yang kokoh. Tentu saja,
auditor internal
P2: ABC
PAMERAN 3.2 Komponen Fondasi Pengendalian Internal COSO
juga harus mengingat konsep ini saat menilai pengendalian internal. Audit internal adalah bagian penting dari
fondasi ini, tetapi komponen lainnya juga penting.
Mengevaluasi lingkungan pengendalian internal COSO tidak hanya memerlukan serangkaian "apakah debit
sama dengan kredit?" jenis aturan atau ukuran, tetapi menunjukkan perlunya kebijakan keseluruhan yang kuat
yang fundamental tetapi mungkin masih berbeda di banyak perusahaan. Misalnya, tidak ada seperangkat aturan
untuk mendefinisikan apa yang dimaksud dengan nada di atas; pesan setiap eksekutif mungkin berbeda. Namun,
CEO dan manajer kunci lainnya harus mengkomunikasikan pesan penting perusahaan ini secara memadai,
biasanya mengikuti arahan CEO.
(b) Penilaian Risiko
Tampilan 3.1 menunjukkan tingkat berikutnya di atas fondasi pengendalian sebagai penilaian risiko. Kemampuan
perusahaan untuk mencapai tujuannya dapat berisiko karena berbagai faktor internal dan eksternal. Pemahaman
dan pengelolaan lingkungan risiko merupakan elemen dasar dari fondasi pengendalian internal, dan perusahaan
harus memiliki proses untuk mengevaluasi risiko potensial yang dapat berdampak pada pencapaian tujuannya.
Komponen penilaian risiko ini berfokus pada pengendalian internal dalam suatu perusahaan dan memiliki fokus
yang jauh lebih sempit daripada kerangka COSO ERM yang dibahas dalam Bab 6.
Penilaian risiko pengendalian internal COSO harus menjadi proses berwawasan ke depan yang dilakukan di
semua tingkatan dan untuk hampir semua aktivitas dalam perusahaan. COSO menggambarkan penilaian risiko
sebagai proses tiga langkah:
1. Perkirakan signifikansi risiko.

2. Menilai kemungkinan atau frekuensi risiko yang terjadi.
3. Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa yang harus dilakukan
diambil.
Proses penilaian risiko COSO ini menempatkan tanggung jawab pada manajemen untuk menilai apakah suatu
risiko signifikan dan, jika demikian, untuk mengambil tindakan yang sesuai. Pengendalian internal COSO juga
menekankan bahwa analisis risiko bukanlah proses teoritis; sering
P2: ABC
ini penting untuk kesuksesan entitas secara keseluruhan. Sebagai bagian dari penilaian pengendalian internal secara keseluruhan,
manajemen harus mengambil langkah-langkah untuk menilai baik risiko yang dapat berdampak pada perusahaan secara
keseluruhan dan yang berkaitan dengan berbagai aktivitas atau entitas perusahaan. Berbagai risiko, yang disebabkan oleh sumber
internal atau eksternal, dapat mempengaruhi perusahaan secara keseluruhan. Kerangka pengendalian internal COSO menyarankan
bahwa risiko harus dipertimbangkan dari tiga perspektif:
1. Risiko perusahaan karena faktor eksternal. Risiko ini termasuk teknologi

perkembangan yang dapat mempengaruhi sifat dan waktu penelitian dan pengembangan produk baru atau
menyebabkan perubahan dalam proses pengadaan. Risiko faktor eksternal lainnya termasuk perubahan
kebutuhan atau harapan pelanggan, harga, jaminan, atau aktivitas layanan. Legislasi atau peraturan baru
dapat memaksa perubahan dalam kebijakan atau strategi operasi, dan bencana alam, seperti serangan
teroris World Trade Center 9/11, dapat menyebabkan perubahan dalam operasi dan menyoroti kebutuhan
perencanaan darurat. Faktor risiko ini sangat dekat dengan elemen kerangka COSO ERM yang dibahas di
Bab 6.
2. Risiko perusahaan karena faktor internal. Seperti yang sering disoroti oleh auditor internal
dalam tinjauan berkelanjutan mereka, mungkin terdapat banyak jenis risiko tingkat perusahaan. Misalnya,
gangguan pada server TI perusahaan atau fasilitas pemrosesan manajemen penyimpanan dapat
mempengaruhi operasi secara keseluruhan. Selain itu, kualitas personel yang dipekerjakan, serta pelatihan
atau motivasi mereka, dapat memengaruhi tingkat kesadaran kendali di dalam entitas. Selain itu, tingkat
akses karyawan ke aset dapat berkontribusi pada penyalahgunaan sumber daya. Meskipun sekarang lebih
baik diperbaiki oleh SOx, laporan pengendalian internal COSO juga menyebutkan risiko dewan atau komite
audit yang tidak tegas atau tidak efektif yang dapat memberikan peluang untuk perselingkuhan.
3. Risiko tingkat aktivitas spesifik. Selain dilihat di tingkat perusahaan,

risiko juga harus dipertimbangkan untuk setiap unit bisnis yang signifikan dan aktivitas utama, seperti
pemasaran, TI, dan keuangan. Perhatian tingkat aktivitas ini berkontribusi pada risiko di seluruh perusahaan
dan harus diidentifikasi secara berkelanjutan, dipertimbangkan dalam berbagai proses perencanaan di
seluruh perusahaan. Jika tidak ada proses penilaian risiko di suatu perusahaan, auditor internal harus
mempertimbangkan kurangnya proses formal ini sebagai bagian dari penilaian pengendalian internal secara
keseluruhan.
Terlalu sering, manajemen mungkin memiliki proses di tempat yang memberikan kesan penilaian risiko
tetapi kekurangan substansi. Misalnya, formulir persetujuan otorisasi produk baru dapat menyertakan kotak
pilihan bagi pemohon untuk menjelaskan risiko yang terkait dengan produk yang diusulkan. Manajemen lokal
mungkin secara konsisten menggambarkan mereka sebagai "rendah", tanpa analisis lebih lanjut hingga ada
beberapa jenis kegagalan besar. Saat melakukan tinjauan di area ini, auditor internal harus meninjau analisis ini
dan mendiskusikan alasan di balik jenis penilaian berisiko rendah ini.
Ada banyak kesalahpahaman dan kebingungan mengenai elemen penilaian risiko dari pengendalian
internal COSO karena kerangka kerja COSO ERM yang mirip. Komponen penilaian risiko dari kerangka kerja
mencakup penilaian risiko untuk dalam perusahaan individu. Kerangka COSO ERM mencakup seluruh entitas
dan seterusnya. Ini adalah dua masalah terpisah; yang satu bukanlah pengganti yang lain.
P2: ABC
(c) Aktivitas Pengendalian
Lapisan berikutnya di Tampilan 3.1 kerangka kerja pengendalian internal COSO disebut aktivitas pengendalian.
Lapisan ini juga muncul sebagai lapisan horizontal terpisah di atas Aktivitas Pengendalian dalam Tampilan 3.2,
tetapi di sini dicakup oleh komponen Informasi dan Komunikasi. Kegiatan Pengendalian adalah kebijakan dan
prosedur yang membantu memastikan bahwa tindakan yang diidentifikasi untuk mengatasi risiko dilaksanakan,
mengikuti berbagai sub-proses kegiatan pengendalian. Aktivitas pengendalian ada di semua tingkatan dalam
suatu perusahaan dan, dalam banyak kasus, mungkin tumpang tindih satu sama lain. Konsep aktivitas
pengendalian merupakan bagian penting dalam membangun dan kemudian menetapkan pengendalian internal
yang efektif dalam suatu perusahaan. Kerangka pengendalian internal COSO mengidentifikasi serangkaian
aktivitas ini berdasarkan jenis proses. Dari perspektif audit internal,
(i) JENIS KEGIATAN PENGENDALIAN Pengendalian internal umumnya diklasifikasikan sebagai pengendalian manual,
TI, atau manajemen, dan mereka juga dijelaskan dalam kaitannya dengan kegiatan pengendalian preventif, korektif, atau
detektif. Meskipun tidak ada satu set definisi pengendalian internal yang benar untuk semua situasi, pengendalian internal
COSO menyarankan cara untuk mengklasifikasikan aktivitas pengendalian ini dalam suatu perusahaan. Meskipun ini jelas
bukan daftar yang mencakup semua, poin berikutnya mewakili beberapa aktivitas pengendalian internal yang
direkomendasikan COSO ini untuk perusahaan:
Ulasan tingkat atas. Manajemen dan auditor internal, di berbagai tingkatan, harus meninjau hasil kinerja
mereka, membandingkan hasil tersebut dengan anggaran, statistik persaingan, dan pengukuran tolok ukur
lainnya. Tindakan manajemen untuk menindaklanjuti hasil tinjauan tingkat atas ini dan mengambil tindakan
korektif merupakan aktivitas kontrol.
Manajemen fungsional atau aktivitas langsung. Manajer di berbagai tingkatan harus

meninjau laporan operasional dari sistem kendali mereka dan mengambil tindakan korektif yang sesuai.
Banyak sistem manajemen telah dibangun untuk menghasilkan laporan pengecualian yang mencakup
aktivitas pengendalian ini. Misalnya, sistem keamanan TI akan memiliki mekanisme untuk melaporkan
upaya akses yang tidak sah. Aktivitas pengendalian di sini adalah proses manajemen untuk
menindaklanjuti peristiwa yang dilaporkan ini dan mengambil tindakan korektif yang sesuai. Beberapa dari
aktivitas ini terkait erat dengan praktik terbaik Perpustakaan Infrastruktur Teknologi Informasi (ITIL) yang
dibahas dalam Bab 18.
Memproses informasi. Sistem TI berisi banyak kontrol di mana sistem secara internal memeriksa
kepatuhan di area tertentu dan kemudian melaporkan pengecualian kontrol internal apa pun. Item
pengecualian yang dilaporkan tersebut harus menerima tindakan korektif dengan prosedur sistem
otomatis, oleh personel operasional, atau oleh manajemen. Aktivitas kontrol lainnya termasuk kontrol atas
pengembangan sistem baru atau akses ke data dan file program.
Kontrol fisik. Perusahaan harus memiliki kendali yang tepat atas aset fisiknya, termasuk perlengkapan,
persediaan, dan sekuritas yang dapat dinegosiasikan. Program aktif persediaan fisik berkala merupakan
aktivitas pengendalian utama di sini, dan auditor internal dapat memainkan peran utama dalam memantau
kepatuhan.
Indikator kinerja. Manajemen harus menghubungkan sekumpulan data, baik operasional dan keuangan,
satu sama lain dan mengambil analisis, investigasi,
P2: ABC
atau tindakan korektif. Proses ini merupakan aktivitas pengendalian perusahaan penting yang juga dapat
memenuhi persyaratan pelaporan keuangan dan operasional.
Pemisahan tugas. Tugas harus dipisahkan di antara orang yang berbeda untuk mengurangi risiko
kesalahan atau tindakan yang tidak tepat. Prosedur pengendalian internal dasar ini harus ada di hampir
setiap layar radar auditor internal.
Aktivitas pengendalian ini termasuk dalam laporan pengendalian internal COSO tetapi hanya mewakili sebagian
kecil dari banyak aktivitas pengendalian yang dilakukan dalam kegiatan bisnis normal. Ini dan yang lainnya menjaga
perusahaan tetap pada jalurnya untuk mencapai banyak tujuannya. Kegiatan pengendalian biasanya melibatkan
kebijakan yang menetapkan apa yang harus dilakukan dan prosedur untuk mempengaruhi kebijakan tersebut. Meskipun
aktivitas pengendalian internal ini terkadang dapat dikomunikasikan hanya secara lisan, menurut pengendalian internal
COSO, tidak peduli bagaimana kegiatan tersebut dikomunikasikan, masalah tersebut harus dilaksanakan "dengan
bijaksana, hati-hati, dan konsisten." Ini adalah pesan yang kuat untuk auditor internal yang meninjau aktivitas
pengendalian internal. Meskipun suatu perusahaan mungkin memiliki kebijakan yang diterbitkan mencakup area
tertentu, harus ada prosedur pengendalian internal yang ditetapkan untuk mendukung kebijakan itu. Prosedur tidak
banyak gunanya kecuali ada fokus yang tajam pada kondisi yang diarahkan padanya. Terlalu sering, perusahaan dapat
membuat laporan pengecualian pelanggaran kontrol, sebagai bagian dari sistem TI, namun pelanggaran kontrol yang
dilaporkan menerima sedikit lebih dari tinjauan sepintas oleh penerima laporan. Namun, bergantung pada jenis kondisi
yang dilaporkan, pengecualian tersebut harus menerima tindakan tindak lanjut yang sesuai.
(ii) INTEGRASI AKTIVITAS PENGENDALIAN DENGAN PENILAIAN RISIKO Aktivitas pengendalian

harus terkait erat dengan risiko yang teridentifikasi dari komponen penilaian risiko pengendalian internal COSO.
Pengendalian internal adalah suatu proses, dan kegiatan pengendalian yang tepat harus dipasang untuk
mengatasi risiko yang teridentifikasi. Aktivitas pengendalian tidak boleh dipasang hanya karena tampaknya
merupakan hal yang benar untuk dilakukan meskipun tidak ada risiko yang signifikan di area tempat aktivitas
kontrol akan dipasang. Kadang-kadang aktivitas pengendalian di tempat setelah melayani beberapa masalah
pengendalian-risiko, meskipun kekhawatiran sebagian besar telah hilang. Suatu aktivitas atau prosedur
pengendalian tidak boleh dibuang hanya karena tidak ada insiden pelanggaran pengendalian dalam beberapa
tahun terakhir, tetapi manajemen perlu mengevaluasi kembali risiko relatifnya secara berkala. Semua aktivitas
pengendalian internal harus berkontribusi pada struktur pengendalian secara keseluruhan.
(iii) PENGENDALIAN SISTEM INFORMASI Kerangka kontrol internal COSO-

Pekerjaan menekankan bahwa prosedur pengendalian diperlukan atas semua TI atau sistem informasi yang
signifikan — yang terkait dengan keuangan, operasional, dan kepatuhan. Kontrol internal COSO memecah
kontrol sistem informasi menjadi kontrol umum dan aplikasi yang diakui dengan baik. Pengendalian umum
berlaku untuk banyak fungsi sistem informasi untuk membantu memastikan prosedur pengendalian yang
memadai atas semua aplikasi. Kunci keamanan fisik di pintu ke pusat server TI adalah kontrol umum untuk
semua aplikasi yang berjalan di server dalam fasilitas itu. Kepatuhan dengan praktik terbaik ITIL Bab 18 akan
membantu bagian atas memastikan kontrol umum TI yang kuat.
Syarat kontrol aplikasi mengacu pada proses TI tertentu. Kontrol dalam program IT penggajian mingguan
yang mencegah karyawan dibayar selama lebih dari 80 jam dalam satu minggu adalah contoh kontrol kewajaran
aplikasi.
P2: ABC
Orang mungkin bekerja lembur, tetapi diragukan banyak yang akan merekam lebih dari 80 jam dalam seminggu.
Kerangka kerja pengendalian internal COSO menyoroti serangkaian area pengendalian TI untuk mengevaluasi
kecukupan keseluruhan pengendalian internal. Kontrol umum mencakup semua pusat server terpusat atau kontrol
manajemen penyimpanan data, termasuk penjadwalan pekerjaan, manajemen database, dan perencanaan
kelangsungan bisnis. Kontrol ini biasanya merupakan tanggung jawab spesialis di server komputer terpusat atau
pusat manajemen penyimpanan. Namun, dengan sistem yang lebih baru dan lebih modern yang terhubung satu
sama lain melalui telekomunikasi dan tautan jaringan, kontrol ini dapat didistribusikan ke seluruh web besar sistem
berbasis server.
Dokumen kerangka pengendalian internal COSO diakhiri dengan diskusi tentang perlunya mempertimbangkan
dampak teknologi yang berkembang saat mengevaluasi aktivitas pengendalian sistem informasi. Karena pengenalan
teknologi baru yang cepat, apa yang baru saat ini akan segera digantikan oleh sesuatu yang lain. Pengendalian
internal COSO belum memperkenalkan sesuatu yang baru berkenaan dengan pengendalian TI tetapi menyoroti
kepentingannya dalam lingkungan pengendalian internal secara keseluruhan.
(d) Komunikasi dan Informasi
Tampilan 3.1, model kerangka kerja pengendalian internal COSO, menjelaskan komponennya sebagai lapisan,
satu di atas yang lain, dimulai dengan Lingkungan Pengendalian Internal sebagai fondasinya. Model piramida
pada Tampilan 3.2 menjelaskan komponen informasi dan komunikasi bukan sebagai lapisan horizontal tetapi
elemen samping yang melintasi komponen lain. Informasi dan komunikasi terkait tetapi merupakan komponen
yang berbeda dari kerangka pengendalian internal. Informasi yang sesuai, yang didukung oleh sistem TI, harus
dikomunikasikan ke atas dan ke bawah perusahaan dengan cara dan waktu yang memungkinkan orang untuk
melaksanakan tanggung jawab mereka. Selain sistem komunikasi formal dan informal, perusahaan harus
memiliki prosedur yang efektif untuk berkomunikasi dengan pihak internal dan eksternal.
(i) HUBUNGAN INFORMASI DAN PENGENDALIAN INTERNAL Sebuah perusahaan membutuhkan

pembentukan di semua tingkatan untuk mencapai tujuan operasional, keuangan, dan kepatuhannya. Misalnya,
perusahaan membutuhkan informasi untuk menyiapkan laporan keuangan yang dikomunikasikan kepada
investor luar serta informasi biaya internal dan preferensi pasar eksternal untuk membuat keputusan pemasaran
yang benar. Informasi ini harus mengalir baik dari tingkat teratas perusahaan ke tingkat yang lebih rendah
maupun dari tingkat yang lebih rendah ke tingkat atas. Pengendalian internal COSO mengambil pendekatan luas
terhadap konsep sistem informasi, dengan menyadari bahwa sistem dapat manual, otomatis, atau konseptual.
Salah satu dari sistem ini bisa formal atau informal. Percakapan rutin dengan pelanggan atau pemasok dapat
menjadi sumber informasi yang sangat penting dan merupakan jenis sistem informasi informal.
Pengendalian internal sistem TI COSO harus menekankan pentingnya menjaga informasi dan sistem pendukung
konsisten dengan kebutuhan perusahaan secara keseluruhan. Sistem informasi yang efektif beradaptasi untuk
mendukung perubahan di banyak tingkatan. Namun, auditor internal sering menghadapi kasus di mana aplikasi TI
diimplementasikan bertahun-tahun yang lalu untuk mendukung kebutuhan yang berbeda. Meskipun kontrolnya
mungkin bagus, file
P2: ABC
aplikasi mungkin tidak mendukung kebutuhan perusahaan saat ini. Pengendalian internal COSO mengambil
pandangan luas dari jenis situasi ini dan menunjukkan kebutuhan untuk memahami persyaratan saat ini dari
proses manual dan teknologi otomatis.
Sistem Strategis dan Terintegrasi Proses akuntansi dan keuangan adalah sistem otomatis atau TI
perusahaan pertama, dimulai dengan pencatatan unit atau mesin akunting kartu IBM pada 1950-an dan
kemudian pindah ke sistem komputer paling awal. Sebagian besar perusahaan saat ini telah meningkatkan
sistem TI mereka berkali-kali, tetapi terkadang campuran dasar proses pendukung mereka mungkin tidak
berubah secara signifikan. Suatu perusahaan akan memiliki buku besar, penggajian, inventaris, piutang, hutang
dagang, dan sistem informasi inti terkait, tanpa terlalu banyak lagi. Pengendalian internal COSO menyarankan
bahwa perusahaan yang efektif harus melampaui aplikasi inti ini untuk mengimplementasikan sistem informasi
yang strategis dan terintegrasi.
Oleh a sistem strategis, laporan pengendalian internal COSO menyarankan bahwa manajemen harus
mempertimbangkan perencanaan, desain, dan implementasi sistem informasinya sebagai bagian dari strategi
perusahaan secara keseluruhan. Sistem strategis ini kemudian mendukung bisnis perusahaan dan membantunya
menjalankan misi bisnis secara keseluruhan. Banyak perusahaan mengembangkan sistem informasi strategis untuk
mendukung strategi bisnis mereka — sistem yang memungkinkan mereka merespons dengan lebih baik terhadap
perubahan di pasar dan lingkungan kontrol mereka.
Pengendalian internal COSO juga menekankan pentingnya mengintegrasikan sistem informasi otomatis
dengan operasi lain. Contohnya adalah sistem manufaktur otomatis yang mengontrol mesin produksi dan
inventaris peralatan atau sistem distribusi yang sangat otomatis yang mengontrol inventaris dan menjadwalkan
pengiriman. Pengendalian internal COSO menegaskan, bagaimanapun, bahwa hanya karena sebuah sistem
baru, ia tidak akan selalu memberikan kontrol yang lebih baik. Aplikasi yang lebih lama telah dicoba dan diuji
melalui penggunaan; sistem baru dapat memiliki kelemahan kontrol yang tidak diketahui atau belum teruji.
Kualitas Informasi Laporan pengendalian internal COSO memiliki bagian singkat tentang pentingnya kualitas
informasi. Sistem informasi yang berkualitas buruk, penuh dengan kesalahan dan kelalaian, mempengaruhi
kemampuan manajemen untuk membuat keputusan yang tepat. Laporan harus berisi data dan informasi yang cukup
untuk mendukung kegiatan pengendalian internal yang efektif. Untuk menentukan kualitas informasi, seseorang
harus memastikan apakah:
Isi informasi yang dilaporkan sudah sesuai. Informasi tersebut tepat waktu
dan tersedia bila diperlukan. Informasi tersebut terkini atau setidaknya yang
terbaru. Data dan informasinya benar.
Informasi tersebut dapat diakses oleh pihak yang sesuai.
Poin-poin ini semuanya kembali ke banyak masalah pengendalian audit internal dan persyaratan SOx
Bagian 404 yang diuraikan dalam Bab 4. Sementara kerangka COSO memegang kualitas informasi sebagai
tujuan pengendalian internal, SOx secara efektif membuat kebutuhan akan kualitas sebagai persyaratan. Di luar
masalah audit internal dan kontrol klasik, perhatian harus diberikan pada kualitas informasi yang dihasilkan oleh
semua sistem manual dan otomatis (dibahas dalam Bab 31).
P2: ABC
(ii) ASPEK KOMUNIKASI PENGENDALIAN INTERNAL Komunikasi de-

didefinisikan sebagai elemen pengendalian internal terpisah dalam kerangka pengendalian internal COSO.
Saluran komunikasi memungkinkan individu untuk melaksanakan tanggung jawab pelaporan keuangan,
operasional, dan kepatuhan mereka. COSO menekankan bahwa komunikasi harus berlangsung pada tingkat
yang luas, termasuk berurusan dengan individu atau kelompok dan dengan harapan mereka. Saluran
komunikasi yang tepat merupakan elemen penting dalam keseluruhan kerangka pengendalian internal, dan
perusahaan perlu menetapkan saluran ini di berbagai tingkat dan aktivitas organisasi serta dengan pihak luar
yang berminat. Meskipun saluran komunikasi dapat memiliki banyak dimensi, pengendalian internal COSO
menyoroti komponen terpisah dari komunikasi internal dan eksternal. Auditor internal selalu fokus pada saluran
komunikasi formal, seperti aplikasi TI, manual prosedur, atau dokumentasi yang diterbitkan. Meskipun
dokumentasi tersebut merupakan elemen komunikasi yang sangat penting, COSO mengambil pandangan yang
lebih luas di sini saat mempertimbangkan pengendalian internal.
Komunikasi: Komponen Internal Menurut pengendalian internal COSO, mungkin komponen terpenting dari
elemen komunikasi adalah bahwa pemangku kepentingan harus menerima pesan dari manajemen senior yang
mengingatkan mereka tentang tanggung jawab pengendalian internal mereka. Kejelasan pesan ini penting untuk
memastikan bahwa perusahaan akan mengikuti prinsip pengendalian internal yang efektif. Pesan ini adalah bagian
dari nada di atas, dibahas sebagai bagian dari lingkungan kontrol. Selain pesan keseluruhan ini, semua pemangku
kepentingan perlu memahami bagaimana tugas dan tindakan khusus mereka sesuai dengan sistem kontrol internal
total. Jika pemahaman ini tidak ada, beberapa orang mungkin membuat keputusan yang berisiko atau bahkan buruk.
Semua pemangku kepentingan perlu mengetahui batasan dan batasan dan kapan tindakan mereka mungkin
tidak etis, ilegal, atau tidak pantas. Orang juga perlu mengetahui bagaimana menanggapi kesalahan atau kejadian
tak terduga lainnya selama menjalankan tugas mereka, dan mereka biasanya membutuhkan pesan dari manajemen,
dokumentasi prosedur, dan pelatihan yang memadai. Auditor internal sering menghadapi situasi di mana perusahaan
tidak secara tepat mendokumentasikan tantangan pengendalian internal tersebut selama tinjauan mereka.
Sementara auditor secara historis telah berkomentar tentang kurangnya dokumentasi, terkadang memperlakukannya
sebagai poin yang cukup kecil, baik pengendalian internal COSO dan SOx menekankan bahwa kurangnya
dokumentasi dapat berarti saluran komunikasi pengendalian internal yang buruk.
Komunikasi harus mengalir ke dua arah, dan pengendalian internal COSO menekankan bahwa pemangku
kepentingan juga harus memiliki mekanisme untuk melapor ke atas di seluruh perusahaan. Komunikasi ke atas
ini memiliki dua komponen: komunikasi melalui saluran pelaporan normal dan khusus. Pelaporan normal mengacu
pada proses di mana pemangku kepentingan diharapkan melaporkan status, kesalahan, atau masalah melalui
pengawas mereka. Komunikasi ini harus didorong secara bebas, dan perusahaan harus menghindari
"menembak pembawa pesan" ketika berita buruk dilaporkan. Jika tidak, pemangku kepentingan cenderung
hanya melaporkan kabar baik, dan manajer mungkin tidak menyadari masalah yang signifikan. Karena personel
terkadang enggan melaporkan masalah kepada atasan langsung mereka, program whistleblower sangat penting.
Ini adalah mekanisme di mana orang dapat secara anonim melaporkan kekhawatiran ke tingkat yang lebih tinggi
di perusahaan untuk diselesaikan. SOx mensyaratkan bahwa komite audit membuat program whistleblower
untuk memungkinkan pelaporan kesalahan pengendalian internal atau tindakan yang tidak pantas.
P2: ABC
Bagian kerangka pengendalian internal COSO ini diakhiri dengan diskusi tentang pentingnya saluran
komunikasi antara manajemen puncak dan dewan direksi. Meskipun kerangka pengendalian internal COSO
sekarang telah diterapkan selama lebih dari 30 tahun, pedomannya mengenai manajemen yang
menginformasikan kepada dewan tentang perkembangan utama, risiko, dan kejadian tidak mendapat perhatian
yang cukup sampai SOx diberlakukan.
Komunikasi Eksternal Perusahaan perlu membangun saluran komunikasi dengan pihak luar, termasuk
pelanggan, pemasok, pemegang saham, bankir, regulator, dan lainnya. Komunikasi ini harus melampaui fungsi
PR - jenis fungsi yang sering dibangun oleh perusahaan besar untuk membicarakan diri mereka sendiri. Seperti
saluran komunikasi internal, informasi eksternal harus mengalir dalam dua arah. Informasi yang diberikan
kepada pihak luar harus relevan dengan kebutuhan pihak tersebut, membangun pemahaman yang lebih baik
tentang perusahaan dan tantangan yang dihadapinya. Mengirimkan laporan yang sangat optimis kepada pihak
luar ketika banyak orang di dalam perusahaan menyadari ada masalah juga memberikan pesan internal yang
tidak tepat.
Komunikasi eksternal dapat menjadi cara yang sangat penting untuk mengidentifikasi potensi masalah
pengendalian. Keluhan pelanggan mengenai layanan, tagihan, atau kualitas produk sering menunjukkan masalah
pengoperasian dan kontrol yang signifikan. Mekanisme independen harus dibentuk untuk menerima pesan-pesan ini dan
menindaklanjutinya, termasuk mengambil tindakan korektif bila perlu. Komunikasi dua arah yang terbuka dan terus terang
dapat mengingatkan perusahaan akan potensi masalah komunikasi atau memungkinkannya membahas dan memecahkan
masalah apa pun sebelum terjadi publisitas yang merugikan.
Sarana dan Metode Komunikasi Tidak ada cara yang benar untuk mengkomunikasikan informasi
pengendalian internal dalam perusahaan. Perusahaan modern dapat mengkomunikasikan pesannya melalui
pengumuman papan buletin, manual prosedur, Webcast, presentasi rekaman video, atau pidato oleh anggota
manajemen. Namun, tindakan yang diambil sebelum atau sesudah pesan akan memberikan sinyal yang lebih
kuat kepada penerima komunikasi. Kontrol internal COSO merangkum elemen komunikasi ini:
Sebuah entitas dengan sejarah panjang dan kaya dalam beroperasi dengan integritas, dan yang budayanya
dipahami dengan baik oleh orang-orang melalui perusahaan, kemungkinan akan menemukan sedikit kesulitan
dalam mengkomunikasikan pesannya. Entitas tanpa tradisi seperti itu mungkin perlu lebih memahami cara pesan
dikomunikasikan.
(e) Pemantauan
Tampilan piramida dari kontrol internal COSO Exhibit 3.2 menunjukkan Monitoring sebagai batu penjuru dan
tingkat atas dari komponen kontrol internal COSO. Sementara sistem pengendalian internal akan bekerja secara
efektif dengan dukungan yang tepat dari manajemen, prosedur pengendalian, dan hubungan informasi dan
komunikasi, proses harus ada untuk memantau kegiatan ini. Pemantauan telah lama menjadi peran auditor
internal, yang melakukan tinjauan untuk menilai kepatuhan terhadap prosedur yang ditetapkan; namun, COSO
sekarang mengambil pandangan yang lebih luas tentang pemantauan. Pengendalian internal COSO mengetahui
bahwa prosedur pengendalian dan sistem lain berubah seiring waktu. Apa yang tampak efektif saat pertama kali
dipasang mungkin tidak akan efektif di masa mendatang.
P2: ABC
Proses pemantauan harus dilakukan untuk menilai efektivitas komponen pengendalian internal yang telah
ditetapkan dan untuk mengambil tindakan korektif bila diperlukan. Meskipun proses pemantauan semacam itu
tentunya menunjukkan peran penting audit internal, komponen pengendalian internal ini tidak dapat diserahkan
hanya kepada auditor internal ketika manajemen tetap tidak menyadari potensi masalah pengendalian lainnya.
Suatu perusahaan perlu menetapkan berbagai aktivitas pemantauan untuk mengukur efektivitas pengendalian
internalnya. Ini dapat dilakukan melalui evaluasi terpisah serta dengan aktivitas yang sedang berlangsung untuk
memantau kinerja dan mengambil tindakan korektif bila diperlukan.
(i) KEGIATAN MONITOR YANG BERLANGSUNG Banyak fungsi bisnis rutin dapat dicirikan sebagai aktivitas
pemantauan. Meskipun auditor internal sering tidak selalu memikirkan fungsinya seperti itu, pengendalian internal
COSO memberikan contoh komponen pemantauan pengendalian internal yang sedang berlangsung berikut ini:
Fungsi normal manajemen operasi. Tinjauan manajemen normal

operasi dan laporan keuangan merupakan aktivitas pemantauan berkelanjutan yang penting. Namun, perhatian
khusus harus diberikan pada pengecualian yang dilaporkan dan kemungkinan penyimpangan pengendalian
internal. Pengendalian internal ditingkatkan jika laporan ditinjau secara teratur dan tindakan korektif dimulai
untuk setiap pengecualian yang dilaporkan.
Komunikasi dari pihak luar. Elemen pemantauan ini adalah

terkait erat dengan komponen komunikasi dari pihak eksternal yang dibahas sebelumnya. Monitor
pengukur komunikasi eksternal, seperti nomor telepon pengaduan pelanggan, adalah penting; namun,
perusahaan perlu memantau dengan cermat seruan ini dan kemudian memulai tindakan korektif bila perlu.
Struktur perusahaan dan kegiatan pengawasan. Sedangkan manajemen senior

harus selalu meninjau laporan ringkasan dan mengambil tindakan korektif, pengawasan tingkat pertama dan
struktur perusahaan yang terkait seringkali memainkan peran yang lebih signifikan dalam pemantauan.
Pengawasan langsung terhadap kegiatan klerikal, misalnya, harus secara rutin meninjau dan memperbaiki
kesalahan pada tingkat yang lebih rendah dan memastikan peningkatan kinerja pegawai klerikal. Ini juga
merupakan area di mana COSO menekankan pentingnya pemisahan tugas yang memadai. Membagi tugas di
antara karyawan memungkinkan mereka berfungsi sebagai pemeriksaan pemantauan satu sama lain.
Persediaan fisik dan rekonsiliasi aset. Persediaan fisik berkala,

apakah stok gudang, sekuritas yang dapat dinegosiasikan, atau aset lainnya, merupakan aktivitas pemantauan yang
penting. Persediaan tahunan di toko eceran, misalnya, dapat menunjukkan kerugian barang dagangan yang signifikan.
Pencurian yang dicurigai dapat menjadi kemungkinan penyebab kerugian ini, menunjukkan perlunya kontrol keamanan
yang lebih baik.
Ini hanyalah beberapa contoh dari laporan kontrol internal COSO. Mereka menggambarkan prosedur yang
sering ada tetapi tidak dianggap sebagai kegiatan pemantauan yang sedang berlangsung. Setiap fungsi atau
proses yang meninjau aktivitas perusahaan secara teratur dan kemudian menyarankan tindakan korektif
potensial dapat dianggap sebagai aktivitas pemantauan.
(ii) EVALUASI PENGENDALIAN INTERNAL TERPISAH Sedangkan poin pengendalian internal COSO
Mengesampingkan pentingnya aktivitas pemantauan yang berkelanjutan untuk mendukung kerangka pengendalian
internal, hal ini juga menunjukkan bahwa "mungkin berguna untuk melihat secara segar dari waktu ke waktu" tentang
efektivitas pengendalian internal melalui evaluasi terpisah. Itu
P2: ABC
Frekuensi dan sifat tinjauan terpisah ini sebagian besar bergantung pada sifat perusahaan dan signifikansi risiko
yang harus dikendalikan. Manajemen mungkin ingin memulai evaluasi terhadap seluruh lingkungan
pengendalian internalnya secara berkala, tetapi audit internal harus memulai banyak tinjauan semacam itu untuk
menilai bidang pengendalian tertentu. Tinjauan ini sering kali dimulai ketika telah terjadi akuisisi, perubahan
dalam bisnis, atau aktivitas penting lainnya.
COSO juga menekankan bahwa evaluasi ini dapat dilakukan oleh manajemen lini langsung melalui tinjauan
penilaian mandiri. Audit internal tidak diharuskan untuk melakukan tinjauan ini kecuali jika diminta, dan waktu
yang cukup lama dapat berlalu sebelum audit internal dapat menjadwalkan tinjauan normal di beberapa area
operasi. Namun, manajemen yang bertanggung jawab harus mempertimbangkan penjadwalan dan melakukan
penilaian sendiri secara lebih teratur. Tinjauan yang dibuat secara internal dapat menunjukkan potensi masalah
pengendalian dan menyebabkan manajemen operasi menerapkan aktivitas tindakan korektif. Karena tinjauan
penilaian mandiri ini biasanya tidak sekomprehensif audit internal normal, tinjauan tindak lanjut oleh auditor
internal atau pihak lain dapat diluncurkan jika potensi masalah yang signifikan ditemui selama tinjauan penilaian
mandiri terbatas.
Proses Evaluasi Pengendalian Internal Materi panduan pengendalian internal COSO menguraikan proses
evaluasi untuk meninjau pengendalian internal. Pengevaluasi harus: (1) mengembangkan pemahaman tentang
desain sistem, (2) menguji kontrol kunci, dan (3) mengembangkan kesimpulan berdasarkan hasil pengujian. Ini
benar-benar proses audit internal. Pengendalian internal COSO juga menyebutkan pembandingan sebagai
pendekatan alternatif. Benchmarking adalah proses membandingkan proses perusahaan dan prosedur kontrol
dengan perusahaan peer. Perbandingan dilakukan dengan perusahaan serupa atau dengan statistik industri
yang dipublikasikan. Pendekatan ini cocok untuk beberapa tindakan tetapi penuh dengan bahaya bagi yang lain.
Misalnya, cukup mudah untuk membandingkan ukuran, tingkat staf, dan kompensasi rata-rata dari suatu fungsi
penjualan dengan perusahaan sejenis dalam industri umum yang sama; namun, penilai mungkin menemui
kesulitan dalam mencoba membandingkan faktor-faktor lain karena banyaknya perbedaan kecil yang membuat
semua perusahaan unik. Proses audit internal atas penilaian diri pengendalian, yang dibahas dalam Bab 11,
memberikan panduan di sini.
Rencana Tindakan Evaluasi Pengendalian internal COSO menyadari bahwa banyak prosedur yang sangat efektif
bersifat informal dan tidak berdokumen. Namun, banyak dari kontrol yang tidak terdokumentasi ini dapat diuji dan
dievaluasi dengan cara yang sama seperti yang didokumentasikan. Meskipun tingkat dokumentasi yang sesuai
membuat evaluasi pengendalian internal menjadi lebih efisien dan memfasilitasi pemahaman karyawan tentang
bagaimana proses tersebut bekerja, dokumentasi tersebut tidak selalu penting. Auditor internal yang meninjau sistem
pengendalian keuangan internal perusahaan pasti akan meminta untuk melihat beberapa tingkat dokumentasi sistem
sebagai bagian dari pekerjaan tinjauan mereka. Jika proses yang ada bersifat informal, tidak berdokumen, tetapi
dianggap efektif, tim peninjau perlu menyiapkan dokumentasi evaluasinya sendiri untuk menjelaskan bagaimana
proses tersebut bekerja dan sifat pengendalian internalnya.
(iii) PELAPORAN KONTROLDEFISIENSI INTERNAL Apakah definisi pengendalian internal-

Kies diidentifikasi melalui proses dalam sistem pengendalian internal itu sendiri, melalui kegiatan pemantauan,
atau melalui peristiwa eksternal lainnya, mereka harus dilaporkan ke tingkat manajemen perusahaan yang
sesuai. Pertanyaan kunci untuk audit internal
P2: ABC
evaluator menentukan apa yang harus dilaporkan, mengingat banyaknya rincian yang mungkin ditemukan, dan
kepada siapa laporan harus diarahkan. Pengendalian internal COSO menyatakan bahwa "semua defisiensi
pengendalian internal yang dapat memengaruhi pencapaian tujuan entitas harus dilaporkan kepada mereka
yang dapat mengambil tindakan yang diperlukan." Meskipun pernyataan ini masuk akal, namun seringkali sulit
untuk diterapkan. Perusahaan modern, tidak peduli seberapa baik terorganisir, akan bersalah atas berbagai
kesalahan atau kelalaian pengendalian internal. Pengendalian internal COSO menyarankan bahwa semua ini
harus diidentifikasi dan dilaporkan dan bahkan kesalahan yang paling kecil pun harus diselidiki untuk memahami
jika kesalahan tersebut disebabkan oleh defisiensi pengendalian secara keseluruhan. Laporan pengendalian
internal COSO menggunakan contoh karyawan yang mengambil beberapa dolar dari dana kas kecil.
Meskipun jumlah moneternya mungkin tidak signifikan, pengendalian internal COSO mendesak agar
masalah tersebut diselidiki daripada diabaikan, karena "penggunaan uang entitas secara pribadi yang
memaafkan dapat mengirimkan pesan yang tidak diinginkan kepada karyawan." Sebelum SOx, auditor eksternal
secara teratur menerapkan konsep materialitas saat melakukan review. Artinya, mereka sering memutuskan
bahwa beberapa kesalahan dan penyimpangan sangat kecil sehingga tidak material bagi kesimpulan
keseluruhan auditor eksternal. Pada tahun-tahun pertama penilaian Section 404 dan mengikuti standar audit
AS2 asli, pesan dari banyak auditor eksternal adalah bahwa materialitas tidak boleh dipertimbangkan —
kesalahan adalah kesalahan. Pendekatan ini membuat frustrasi banyak manajer yang bertanya-tanya mengapa
auditor eksternal mereka mengangkat masalah dengan apa yang mereka rasakan sebagai masalah kecil.
Panduan pengendalian internal COSO diakhiri dengan mendiskusikan kepada siapa kekurangan pengendalian
internal di perusahaan harus dilaporkan. Dalam satu paragraf, pengendalian internal COSO memberikan panduan
yang berguna untuk evaluasi:
Temuan tentang defisiensi pengendalian internal biasanya harus dilaporkan tidak hanya kepada individu yang
bertanggung jawab atas fungsi atau aktivitas yang terlibat, yang berada dalam posisi untuk mengambil tindakan
korektif, tetapi juga kepada setidaknya satu tingkat manajemen di atas orang yang bertanggung jawab langsung.
Proses ini memungkinkan individu tersebut untuk memberikan dukungan atau pengawasan yang diperlukan untuk
mengambil tindakan korektif, dan untuk berkomunikasi dengan orang lain dalam perusahaan yang kegiatannya
mungkin terpengaruh. Jika temuan melintasi batas organisasi, pelaporan juga harus diseberangi dan diarahkan ke
tingkat yang cukup tinggi untuk memastikan tindakan yang sesuai.
Auditor internal harus menyadari bahwa aturan SOx telah memperketat pedoman pelaporan pengendalian
internal COSO ini. Hal-hal yang tampaknya bersifat material segera menjadi CFO dan masalah pelaporan komite
audit. Perusahaan juga harus mengembangkan prosedur pelaporan sedemikian rupa sehingga semua defisiensi
pengendalian keuangan internal, baik yang ditemui melalui tinjauan SOx Section 404 atau tinjauan audit internal
atas operasi yang sedang berjalan, dilaporkan ke tingkat perusahaan yang sesuai. Pelaporan dan pemantauan
manajemen merupakan aspek yang sangat penting dari pengendalian internal. Audit internal memiliki peran
utama dalam proses tersebut melalui tinjauan audit internal dan harus menyadari perlunya proses pemantauan
lainnya saat meninjau dan mengevaluasi pengendalian internal.
P2: ABC
3.5 Dimensi Lain Kerangka Pengendalian Internal COSO
Kami terkadang lupa bahwa kerangka kerja kontrol internal COSO adalah model tiga dimensi, seperti yang
ditunjukkan pada Tampilan 3.1. Selain dimensi yang menghadap ke depan pada model yang mencakup aktivitas
pengendalian, dimensi sisi kanan mencakup entitas atau aktivitas, sedangkan bagian atas kerangka kubus
mencakup tiga dimensi dari semua pengendalian internal:
Keandalan pelaporan keuangan

Kepatuhan terhadap hukum dan peraturan yang berlaku
Efektivitas dan efisiensi operasi
Setiap area kendali yang baru saja didiskusikan — dari lingkungan kendali hingga pemantauan — harus
dipertimbangkan sehubungan dengan dua dimensi COSO lainnya.
Dengan pertimbangan diberikan pada dimensi sisi kanan, pengendalian internal harus dipasang dan
dievaluasi di semua unit di perusahaan. Ini tidak berarti bahwa aktivitas pengendalian, seperti proses
persetujuan biaya, harus identik di semua unit organisasi, baik di kantor pusat perusahaan atau kantor penjualan
di lokasi geografis yang terpencil. Namun, harus ada serangkaian proses pengendalian yang konsisten di
seluruh perusahaan dengan pertimbangan yang diberikan pada risiko relatif dan ruang lingkup operasi.
Pengendalian internal harus konsisten, tetapi harus diterapkan dengan tepat di masing-masing unit operasi.
Dimensi ketiga atau teratas dari kerangka pengendalian internal COSO bahkan lebih signifikan. Dikatakan
bahwa aktivitas pengendalian internal harus dipasang di semua unit operasi dan harus mencakup tiga faktor
pengendalian internal: efektivitas, keandalan pelaporan keuangan, dan kepatuhan terhadap peraturan. Melihat
pengendalian internal dari sudut pandang tiga dimensi ini, mungkin ada beberapa variasi, tetapi ada kerangka
kerja pengendalian internal yang dasar dan konsisten. Pertimbangkan fasilitas tambahan di negara bagian Afrika
Barat, jauh dari markas besar AS. Prosedur persetujuan pengeluaran negara mungkin tunduk pada
undang-undang setempat, dan proses lain mungkin agak berbeda karena jarak komunikasi atau perbedaan
dalam sistem TI lokal. Namun,
Tidak peduli di mana mereka dipasang di perusahaan, semua kontrol internal COSO harus
dipertimbangkan dalam bentuk kubus tiga dimensi COSO. Artinya, pengendalian harus dipertimbangkan dalam
hal di mana ia cocok dalam keseluruhan perusahaan dan hubungannya dengan tiga bidang tujuan pengendalian.
Ketika ini dilakukan, auditor internal memiliki cara yang ampuh untuk melihat pengendalian internal dari
perspektif total dan tentu saja SOx. Kerangka kerja pengendalian internal COSO terus menjadi standar penting
dan seperangkat bahan panduan untuk mengukur dan mengevaluasi pengendalian internal.
Kerangka kerja pengendalian internal COSO, seperti yang ditunjukkan pada Tampilan 3.1, menjadi standar dunia
untuk membangun dan mengembangkan pengendalian internal yang efektif. Ini adalah proses berkelanjutan di
masing-masing dari tiga dimensinya. Di sisi model yang menghadap ke depan, komponen pemantauan di atas memiliki
nilai yang kecil kecuali proses pengendalian internal diterapkan sepenuhnya di bawah fondasi lingkungan pengendalian
internal. Demikian pula, pengendalian internal yang efektif harus dipasang di semua tingkat unit organisasi, dan
masing-masing kontrol tersebut harus peka terhadap tiga elemen pengendalian internal yang dihadapi teratas.
P2: ABC
Catatan 51
3.6 Kebutuhan Internal Audit CBOK
Dimulai dengan bab ini, setiap bab akan diakhiri dengan penjelasan singkat tentang bagaimana isinya harus
menjadi bagian dari CBOK auditor internal.
Pengendalian internal COSO berbeda dari perspektif CBOK audit internal. Kerangka kerja ini menjadi
standar dunia untuk membangun dan mengevaluasi semua tingkat pengendalian internal. Semua auditor internal
harus memahami pendekatan tiga dimensi ini untuk melihat dan mengevaluasi pengendalian internal. Bab ini telah
meringkas laporan COSO, Pengendalian Internal - Kerangka Terintegrasi, deskripsi resmi dari kerangka
pengendalian internal COSO. Sebuah studi yang lebih rinci dari laporan tersebut dapat membantu auditor internal
mendapatkan lebih banyak pengetahuan tentang pengendalian internal COSO, audit internal CBOK penting.
Catatan
1. Lembaga Auditor Internal, Standar Profesional Internasional untuk Praktek

Audit Internal, Bagian 2120 — Kontrol ( Altamonte Springs, FL: Penulis, ND). Lihat www.theiia.org.
2. AICPA, Pernyataan tentang Standar Audit No 1, Kodifikasi Standar Auditing dan

Prosedur, Standar Profesional. www.aicpa.org.
3. Financial Executives International sebelumnya dikenal sebagai Financial Executives Institute.
4. Komisi Nasional tentang Penipuan Pelaporan Keuangan, Laporan, 1987.

5. Pengendalian Internal — Kerangka Terintegrasi, www.coso.org/ Catatan: Referensi ini untuk
laporan pengendalian internal COSO yang dapat dipesan melalui AICPA di www.cpa2biz.com.
6. Standar pengendalian internal COSO yang diterbitkan AICPA dijelaskan dalam Pernyataan tentang Standar Audit ini:
nomor 103, 105, 106, 107, 109, 110, dan 112. www.aicpa.org.

Chapter-3 en Id

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Chapter-3 en Id

Diunggah oleh

Hak Cipta:

Format Tersedia

P2: ABC

053-Moeller 25 Februari 2009 8: 0 Nama Pencetak: Hamilton

3.1 Pentingnya Pengendalian Internal yang Efektif

24 Kerangka Pengendalian Internal: Standar COSO

Informasi keuangan dan operasional yang andal

Integritas dan nilai-nilai etika

Standar Pengendalian Internal: Latar Belakang 25

3.2 Standar Pengendalian Internal: Latar Belakang

26 Kerangka Pengendalian Internal: Standar COSO

Sebuah. Transaksi dilaksanakan sesuai dengan umum atau khusus manajemen.

c. Akses ke aset hanya diizinkan sesuai dengan kewenangan manajemen

Standar Pengendalian Internal: Latar Belakang 27

28 Kerangka Pengendalian Internal: Standar COSO

(b) Akibat FCPA: Apa yang Terjadi?

3.3 Peristiwa yang Menuju Komisi Treadway

Acara yang Menuju Komisi Treadway 29

30 Kerangka Pengendalian Internal: Standar COSO

(a) Standar AICPA Sebelumnya: SAS No.55

(b) Laporan Komite Treadway

Kerangka Pengendalian Internal COSO 31

3.4 Kerangka Pengendalian Internal COSO

32 Kerangka Pengendalian Internal: Standar COSO

Efektivitas dan efisiensi operasi Keandalan pelaporan

Kerangka Pengendalian Internal COSO 33

PAMERAN 3.1 Kerangka Pengendalian Internal COSO

(a) Lingkungan Pengendalian

34 Kerangka Pengendalian Internal: Standar COSO

Kerangka Pengendalian Internal COSO 35

36 Kerangka Pengendalian Internal: Standar COSO

(iii) DIREKSI DAN KOMITE AUDIT Lingkungan kontrol sangat

(iv) FILOSOFI MANAJEMEN DAN GAYA OPERASI Filsafat dan operasi

Kerangka Pengendalian Internal COSO 37

38 Kerangka Pengendalian Internal: Standar COSO

Evaluasi, promosi, dan kompensasi. Harus ada yang adil

(viii) PERSPEKTIF PENGENDALIAN COSO Sedikit berbeda

Kerangka Pengendalian Internal COSO 39

PAMERAN 3.2 Komponen Fondasi Pengendalian Internal COSO

(b) Penilaian Risiko

1. Perkirakan signifikansi risiko.

40 Kerangka Pengendalian Internal: Standar COSO

1. Risiko perusahaan karena faktor eksternal. Risiko ini termasuk teknologi

3. Risiko tingkat aktivitas spesifik. Selain dilihat di tingkat perusahaan,

Kerangka Pengendalian Internal COSO 41

(c) Aktivitas Pengendalian

Manajemen fungsional atau aktivitas langsung. Manajer di berbagai tingkatan harus

42 Kerangka Pengendalian Internal: Standar COSO

(ii) INTEGRASI AKTIVITAS PENGENDALIAN DENGAN PENILAIAN RISIKO Aktivitas pengendalian

(iii) PENGENDALIAN SISTEM INFORMASI Kerangka kontrol internal COSO-

Kerangka Pengendalian Internal COSO 43

(d) Komunikasi dan Informasi

(i) HUBUNGAN INFORMASI DAN PENGENDALIAN INTERNAL Sebuah perusahaan membutuhkan

44 Kerangka Pengendalian Internal: Standar COSO

Informasi tersebut dapat diakses oleh pihak yang sesuai.

Kerangka Pengendalian Internal COSO 45

(ii) ASPEK KOMUNIKASI PENGENDALIAN INTERNAL Komunikasi de-

46 Kerangka Pengendalian Internal: Standar COSO

Kerangka Pengendalian Internal COSO 47

Fungsi normal manajemen operasi. Tinjauan manajemen normal

Komunikasi dari pihak luar. Elemen pemantauan ini adalah

Struktur perusahaan dan kegiatan pengawasan. Sedangkan manajemen senior

Persediaan fisik dan rekonsiliasi aset. Persediaan fisik berkala,

48 Kerangka Pengendalian Internal: Standar COSO

(iii) PELAPORAN KONTROLDEFISIENSI INTERNAL Apakah definisi pengendalian internal-