INTERNAL CONTROL

SYSTEM

Gambaran Umum
Internal Control adalah proses yang diimplementasikan untuk memberikan jaminan bahwa
tujuan kontrol berikut ini tercapai:
▪ Melindungi aset - mencegah atau mendeteksi akuisisi, penggunaan, atau
disposisi yang tidak sah.
▪ Menyimpan catatan secara terperinci untuk melaporkan aset perusahaan
secara akurat dan adil.
▪ Memberikan informasi yang akurat dan dapat diandalkan.
▪ Menyiapkan laporan keuangan sesuai dengan kriteria yang ditetapkan.
▪ Mempromosikan dan meningkatkan efisiensi operasional.
▪ Dorong kepatuhan terhadap kebijakan manajerial yang ditentukan.
▪ Mematuhi hukum dan peraturan yang berlaku.

3 fungsi utama Internal Control :

1. Pengendalian Preventif (Preventive Control)
Mencegah masalah sebelum timbul. Contohnya, merekrut personal berkualitas,
memisahkan tugas pegawai, dan mengendalikan akses fisik atas asset dan informasi.

2. Pengendalian Detektif (Detective Control)

Menentukan masalah yang belum dicegah. Contohnya menduplikasi
pengecekan kalkulasi dan menyiapkan rekonsiliasi bank serta neraca
saldo bulanan.

3. Pengendalian Korektif (Corrective Control)

Mengidentifikasi dan memperbaiki masalah serta memperbaiki dan
memulihkannya dari kesalahan yang dihasilkan. Contohnya,

menjaga salinan backup dan file, perbaikan kesalahan entri data dan
pengumpulan ulang transaksi-transaksi untuk pemprosesan selanjutnya.

2
Visit us:
Kategori Internal Control :

1. Pengendalian Umum (General Control)

Pengendalian memastikan lingkungan kontrol organisasi stabil dan dikelola dengan
baik, contohnya: pengendalian keamanan data dan jaringan, Infrastruktur TI,
perangkat lunak, perangkat keras, aktivitas administrasi, dan seluruh proses
implementasi sistem.
2. Pengendalian Aplikasi (Application Control)
Kontrol aplikasi mencegah, mendeteksi, dan memperbaiki kesalahan transaksi
dan penipuan dalam program aplikasi. Pengendalian ini fokus dengan
keakuratan, kelengkapan, validitas dan otorisasi data yang didapat,
dimasukkan, diproses, disimpan, dikirim ke orang lain, sistem, dan
dilaporkan.

Kerangka Pengendalian Internal

Sejumlah kerangka kerja telah dikembangkan untuk membantu perusahaan
mengembangkan sistem internal control yang baik. Tiga yang paling penting adalah the
COBIT framework, COSO Internal Control, dan COSO Enterprise Risk Management
(ERM)

The COBIT framework

Juga dikenal sebagai Tujuan Kontrol untuk kerangka kerja Informasi dan Teknologi Terkait.
Dikembangkan oleh Audit dan Control Sistem Informasi Yayasan (ISACF). COBIT
mengkonsolidasikan standar kontrol dari banyak sumber yang berbeda ke dalam satu
kerangka kerja tunggal yang memungkinkan manajemen untuk melakukan tolok ukur
keamanan dan praktik pengendalian lingkungan TI, pengguna diyakinkan bahwa ada
keamanan dan kontrol TI yang memadai, dan auditor untuk mendukung pendapat kontrol
internal mereka dan untuk memberi nasihat tentang masalah keamanan dan kontrol TI.
Kerangka kerja COBIT 5 menjelaskan praktik terbaik untuk tata kelola dan manajemen TI
yang efektif. Prinsip-prinsip ini membantu organisasi membangun tata kelola dan kerangka
kerja manajemen yang efektif yang melindungi investasi para pemangku kepentingan dan
menghasilkan sistem informasi sebaikmungkin
Kerangka kerja membahas masalah kontrol dari empat sudut pandang atau dimensi:
▪ Tujuan bisnis
3
Visit us:
 ▪ informasi perusahaan
▪ Sumber daya IT
▪ Proses TI

COBIT 5 didasarkan pada lima prinsip Tata Kelola dan pemeliharaan TI:

1. Memenuhi kebutuhan stakeholders.

COBIT 5 membantu pengguna menyesuaikan proses dan prosedur bisnis untuk
menciptakan sistem informasi yang menambah nilai bagi para pemangku
kepentingannya. Juga memungkinkan perusahaan untuk menciptakan keseimbangan
yang tepat antara risiko dan imbalan.
2. Mencakup seluruh aspek perusahaan.
COBIT 5 tidak hanya fokus pada IT operasi, itu mengintegrasikan semua fungsi dan proses TI
ke dalam fungsi dan proses seluruh perusahaan.
3. Menerapkan kerangka kerja tunggal yang terintegrasi.
COBIT 5 dapat disejajarkan pada tingkat tinggi dengan standar dan kerangka kerja lain
sehingga kerangka kerja menyeluruh untuk tata kelola dan manajemen TI dibuat.
4. Mengaktifkan pendekatan holistik.
COBIT 5 memberikan pendekatan holistik yang menghasilkan tata kelola dan manajemen
yang efektif dari semua fungsi TI di perusahaan.
5. Memisahkan tata kelola dari manajemen.
COBIT 5 membedakan antara tata kelola dan manajemen.

4
Visit us:
 Figure 1 COBIT 5 processes

Figure 2 Prinsip COBIT 5

5
Visit us:
Model tersebut mengidentifikasi lima proses tata kelola (Evaluate, Direct, and Monitor -
EDM) dan 32 proses manajemen:
▪ Align, Plan, and Organize (APO)
▪ Build, Acquire, and Implement (BAI)
▪ Deliver, Service and Support (DSS)
▪ Monitor, Evaluate and Assess (MEA)

The COSO internal control framework

The Committee of Sponsoring Organizations (COSO) adalah kelompok sektor swasta yang
terdiri dari:
▪ The American Accounting Association
▪ The AICPA
▪ The Institute of Internal Auditors
▪ The Institute of Management Accountants
▪ The Financial Executives Institute

Tujuan utama dibentuknya COSO adalah untuk mengindentifikasi faktor-faktor yang

menyebabkan kesalahan pelaporan keuangan dan memberikan rekomendasi untuk
mengurangi kesalahan tersebut.

6
Visit us:
Pengendalian Internal secara luas didefinisikan sebagai suatu proses, yang dipengaruhi oleh
dewan direksi, manajemen, dan personel lain dari suatu entitas, yang dirancang untuk
memberikan jaminan yang wajar mengenai pencapaian tujuan dalam kategori berikut:
1. Efektivitas dan efisiensi operasi
2. keandalan pelaporan keuangan.
3. kepatuhan dengan hukum dan peraturan yang berlaku.

Pengendalian internal ini memiliki lima komponen yang saling berkaitan di antaranya:

Figure 4 Prinsip COBIT 5

▪ Control environment
Ini merupakan fondasi dari komponen lainnya.
a. Filosofi manajemen, gaya operasi dan selera risiko
b. Komitmen terhadap integritas, nilai-nilai etika, dan kompetensi
c. Pengawasan kontrol internal oleh dewan direksi
d. Struktur organisasi
e. Metode pemberian wewenang dan tanggungjawab
f. Standar sumber daya manusia yang menarik mengembangkan
dan mempertahankan individu yang kompeten.
g. Pengaruh eksternal

▪ Control activities
Kebijakan dan prosedur pengendalian membantu memastikan bahwa tindakan
yang diidentifikasi oleh manajemen untuk mengatasi risiko dan mencapai tujuan

7
Visit us:
 organisasi dilaksanakan secara efektif.

a. Otorisasi transaksi dan kegiatan yang tepat

b. Pemisahan tugas
c. Pengembangan proyek dan kontrol akuisisi
d. Ubah kontrol manajemen
e. Desain dan penggunaan dokumen dan catatan yang memadai
f. pengamanan aset dan catatan
g. Pemeriksaan independen atas kinerja

▪ Risk assessment
Organisasi harus mengidentifikasi, menganalisis, dan mengelola risikonya.
Manajemen harus mempertimbangkan perubahan dalam lingkungan eksternal
dan dalam bisnis yang mungkin menjadi penghalang untuk tujuannya.
a. Perkirakan kemungkinan dan dampaknya
b. Identifikasi kontrol
c. Perkirakan Biaya dan Manfaat
d. Tentukan efektivitas biaya /manfaat
e. menerapkan Kontrol atau Terima, bagikan atau hindari risiko

▪ Information and communication

Sistem informasi dan komunikasi menangkap dan bertukar informasi yang
diperlukan untuk melakukan, mengelola, dan mengendalikan operasi organisasi.
Komunikasi harus terjadi secara internal dan eksternal untuk memberikan
informasi yang diperlukan untuk melakukan kegiatan pengendalian internal
sehari-hari.
Akuntan harus memahami caranya:
a. Transaksi dimulai
b. Data ditangkap
c. File komputer diakses dan diperbarui
d. Data diproses
e. Informasi dilaporkan kepada pengguna internal dan pihak eksternal

8
Visit us:
 ▪ Monitoring
Seluruh proses harus dipantau, dan modifikasi dibuat seperlunya sehingga
sistem dapat berubah sesuai kondisi.

Kerangka IC diperbarui pada tahun 2013, untuk menghadapi proses bisnis dan
kemajuan teknologi yang lebih baik dengan menambahkan 17 prinsip yang
membangun dan mendukung konsep.

COSO’s Enterprise Risk Management framework (ERM)

Sembilan tahun setelah COSO menerbitkan kerangka kerja sebelumnya, COSO mulai
menyelidiki cara mengidentifikasi, menilai, dan mengelola risiko secara efektif
sehingga organisasi dapat meningkatkan proses manajemen risiko. Hasilnya
dibuatlah Kerangka Kerja Terintegrasi Kelola Risiko Perusahaan (Enterprise Risk
Management) ERM.

ERM adalah sebuah kerangka COSO yang digunakan oleh dewan direksi dan manajemen
untuk mengatur strategi, mengidentifikasi kejadian yang mungkin memengaruhi entitas,
menilai, dan mengelola resiko, serta menyediakan jaminan memadai bahwa perusahaan
mencapai tujuan dan sasarannya.

Figure 5 COSO ERM Cube

9
Visit us:
Entity Objectives
▪ Strategic - tujuan tingkat tinggi selaras dengan dan mendukung misinya
▪ Operation - penggunaan sumber dayanya secara efektif dan efisien
▪ Reporting - keandalan pelaporan
▪ Compliance - kepatuhan terhadap hukum dan peraturan yang berlaku

ERM mempertimbangkan kegiatan di semua tingkatan dari organisasi:

▪ Tingkat perusahaan
▪ Divisi atau anak perusahaan
▪ Proses unit bisnis

Komponen ERM

1. Internal Environment (Lingkungan Internal)

Budaya perusahaan yang merupakan fondasi dari seluruh elemen ERM lainnya karena ini
memengaruhi cara organisasi menetapkan strategi dan tujuannya, membuat struktur
aktivitas bisnis, menilai, serta merespon resiko. Lingkungan internal yang lemah atau
tidak efesien seringkali menghasilkan kerusakan di dalam manajemen dan pengendalian
risiko. Lingkungan internal mencakup hal – hal berikut :
• Filosofi manajemen, gaya pengoprasian dan selera resiko
Filosofi itu memengaruhi segala hal yang dilakukan organisasi, jangka panjang dan
pendek, dan memengaruhi komunikasi mereka. Filosofi manajemen dan gaya
operasi akan mempengaruhi perilaku karyawan.
Perusahaan juga memiliki selera risiko (risk appetite), yaitu jumlah risiko
yang perusahaan bersedia untuk menerima demi mencapai tujuan dan
sasarannya. Selera risiko itu harus sejalan dengan strategi
perusahaan.

• Komitmen terhadap integritas, nilai-nilai etis dan kompetensi

Manajemen harus menciptakan budaya organisasi yang menekankan integritas dan
komitmen terhadap nilai-nilai etika dan kompetensi untuk membuat bisnis lebih baik.

10
Visit us:
 • Pengawasan pengendalian internal oleh dewan direksi
Dewan direksi yang aktif dan terlibat memainkan peran penting dalam
pengendalian internal, yaitu mengawasi manajemen, meneliti rencana,
kinerja, dan aktivitas manajemen, menyetujui strategi perusahaan, tinjau
hasil keuangan, dll.

• Struktur organisasi
Struktur organisasi perusahaan menetapkan garis wewenang, tanggung jawab, dan
pelaporannya. Memberikan kerangka kerja keseluruhan untuk perencanaan,
pengarahan, pelaksanaan, pengendalian, dan pemantauan operasinya.

• Metode penetapan wewenang dan tanggung jawab

Manajemen harus memastikan karyawan memahami tujuan entitas.
Kepemilikan tanggung jawab mendorong karyawan untuk mengambil inisiatif
dalam memecahkan masalah dan meminta pertanggungjawaban mereka untuk
mencapai tujuan.

• Standar-standar sumber daya manusia yang menarik, mengembangkan

dan mempertahankan individu yang kompeten

• Pengaruh eksternal
Pengaruh eksternal yang memengaruhi lingkungan kontrol mencakup
persyaratan yang diberlakukan oleh IAI, OJK, komisi asuransi, badan pengatur
untuk bank, utilitas, dll.

2. Objective Setting (Penetepan Tujuan)

Manajemen menentukan hal yang ingin dicapai oleh perusahaan sering disebut sebagai visi
dan misi perusahaan. Biasanya manajemen menentukan tujuan pada tingkatan
perusahaannya dan lalu membaginya ke dalam tujuan yang lebih spesifik untuk sub-unit
perusahaan. Objektif yang dibuat harus mudah dipahami dan diukur, diprioritaskan, dan
selaras dengan selera risiko perusahaan

11
Visit us:
 • Operations objectives: Tujuan yang berhubungan dengan efektivitas dan
efisiensi operasi perusahaan dan menentukan bagaimana mengalokasikan
sumber daya
• Reporting objectives: Tujuan untuk membantu memastikan keakuratan,
kelengkapan, dan keandalan laporan perusahaan, meningkatkan pengambilan
keputusan dan memantau kegiatan dan kinerja perusahaan.
• Compliance objectives: Tujuan untuk membantu perusahaan mematuhi semua hukum dan
peraturan yang berlaku

3. Event Identification (Identifikasi Kejadian)

Event merupakan Insiden atau kejadian positif atau negatif dari sumber internal atau
eksternal yang memengaruhi penerapan strategi atau pencapaian tujuan. COSO
mengidentifikasi banyak faktor internal dan eksternal yang dapat memengaruhi
peristiwa dan memengaruhi kemampuan perusahaan untuk menerapkan strategi dan
mencapai tujuan.
• Perusahaan biasanya menggunakan beberapa teknik untuk mengidentifikasi kejadian:
• Penggunaan sebuah daftar komprehensif dari kejadian yang potensial
• Pelaksanaan sebuah analisis internal
• Pengawasan terhadap kejadian-kejadian yang menjadi penyebab dan titik-
titik pemicu
• Pengadaan seminar dan wawancara
• Penggunaan data mining
• Penganalisisan proses-proses bisnis.

4. Risk Assessment (Penilaian Resiko)

Risiko-risiko sebuah kejadian yang teridentifikasi dinilai dalam beberapa cara yang
berbeda yaitu kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan
kategori, dampak pada unit organisasi yang lain, serta berdasarkan pada sifat bawaan
(kelemahan dari sebuah penetapan akun atau transaksi pada masalah penegndalian
yang signifikan tanpa adanya pengendalian internal) dan residual (risiko yang tersisa
setelah manajemen mengimplementasikan pengendalian internal atau beberapa respon
lainya terhadap resiko). Adapun tahapan dalampenilaian resiko diantaranya :

12
Visit us:
 • Memeperkirakan kemungkinan dan dampak
• Mengidentifikasi Pengendalian
• Memperkirakan biaya/manfaat
• Melakukan Respon terhadap resiko

Peran seorang akuntan ialah membantu manajemen merancang kontrol yang efektif
untuk mengurangi risiko yang melekat, mengevaluasi sistem kontrol internal untuk
memastikan mereka beroperasi secara efektif, dan enilai dan mengurangi risiko yang
melekat dengan menggunakan penilaian risiko dan strategi respons.

Figure 6 Kemungkinan da dampak Risk

Assessment

5. Risk Response (Respon terhadap Resiko)

Untuk meyelaraskan risiko yang teridentifikasi, maka manajemen harus

mengambil pandangan entitas yang luas pada risiko dengan menilai kemungkinan
bahkan dampak yang ditimbulkannya. Oleh karena itu manajemen dapat merespon resiko
dengan salah satu dari empat cara berikut :

13
Visit us:
 • Mengurangi • Membagikan
• Menerima • Menghindari

6. Control Activities (Aktivitas Pengendalian)

Merupakan tanggung jawab manajemen untuk mengembangkan sistem yang aman dan
terkontrol secara memadai. Kontrol jauh lebih efektif ketika dibangun di ujung depan.
Akibatnya, analis sistem, perancang, dan pengguna akhir harus dilibatkan dalam merancang
sistem kontrol berbasis komputer yang memadai.
Manajemen juga harus menetapkan serangkaian prosedur untuk memastikan kepatuhan dan
penegakan kontrol. Biasanya, ruang lingkup petugas keamanan informasi dan staf operasi.
Secara umum, prosedur kontrol termasuk dalam salah satu kategori berikut:
• Otorisasi transaksi dan kegiatan yang tepat
Otorisasi sering didokumentasikan dengan menandatangani inisialisasi, atau
memasukkan kode otorisasi. Biasanya setidaknya dua tingkat otorisasi:
Otorisasi umum : Manajemen memberi wewenang kepada karyawan untuk
menangani transaksi rutin tanpa persetujuan khusus.
Otorisasi khusus : Untuk aktivitas atau transaksi yang memiliki konsekuensi signifikan,
tinjauan dan persetujuan manajemen diperlukan. Misalnya untuk penjualan,
pengeluaran modal, atau penghapusan lebih dari batas dolar tertentu.

• Pemisahan tugas
Kontrol internal yang baik mensyaratkan bahwa tidak ada satu pun karyawan yang
diberikan tanggung jawab terlalu besar atas transaksi atau proses bisnis.
Pemisahan tugas akuntansi yang efektif dicapai ketika fungsi-fungsi berikut
dipisahkan:
AUTHorization — Menyetujui transaksi dan keputusan.
Recording — Mempersiapkan dokumen sumber; memelihara jurnal, buku besar,
atau file lain; menyiapkan rekonsiliasi; dan menyiapkan laporan kinerja.
CUStody — Menangani uang tunai, mengelola gudang persediaan, menerima cek
pelanggan yang masuk, menulis cek pada rekening bank organisasi.

• Pengembangan proyek dan kontrol akuisisi

• Pengubahan kontrol manajemen
Organisasi terus-menerus mengubah sistem informasi mereka untuk

14
Visit us:
 mencerminkan praktik bisnis baru dan memanfaatkan kemajuan
teknologi informasi.
Manajemen perubahan adalah proses memastikan bahwa perubahan tidak
berdampak negative untuk keandalan system, keamanan, kerahasiaan, Integritas,
dan ketersediaan
• Desain dan penggunaan dokumen dan catatan
• Melindungi aset, catatan, dan data
• Pemeriksaan independen atas kinerja

7. Information and Communication (Informasi dan Komunikasi)

Akuntan juga harus memahami catatan dan prosedur akuntansi, dokumen pendukung, dan
akun laporan keuangan spesifik yang terlibat dalam pemrosesan dan pelaporan
transaksi. Item-item sebelumnya memfasilitasi jejak audit yang memungkinkan untuk
transaksi ditelusuri dari asal ke laporan keuangan dan sebaliknya.
Kerangka kerja IC yang diperbarui menetapkan tiga prinsip berikut yang berlaku
untuk proses informasi dan komunikasi:
1) Dapatkan atau hasilkan informasi yang relevan dan berkualitas tinggi
untuk mendukung kontrol internal
2) Mengkomunikasikan informasi secara internal
3) mengomunikasikan masalah kontrol internal yang relevan ke eksternal

Menurut AICPA, AIS memiliki lima tujuan utama:

• Identifikasi dan catat semua transaksi yang valid.
• Klasifikasi transaksi dengan benar.
• Catat transaksi pada nilai moneter yang tepat.
• Catat transaksi dalam periode akuntansi yang tepat.
• Transaksi dengan benar dan pengungkapan terkait dalam laporan keuangan.

15
Visit us:
8. Monitoring (Pengawasan)

Metode kunci untuk memantau kinerja meliputi:

• Lakukan evaluasi pengendalian internal
• Melaksanakan pengawasan yang efektif
• Gunakan sistem akuntansi tanggung jawab
• termasuk anggaran, jadwal, kuota, biaya standar, dan standar kualitas, laporan
yang membandingkan kinerja aktual dan yang direncanakan.
• Memantau aktivitas sistem
• Analisis risiko dan perangkat lunak manajemen meninjau komputer dan
ukuran keamanan jaringan, mendeteksi akses ilegal.
• Lacak perangkat lunak dan perangkat seluler yang dibeli
• Melakukan audit berkala
• Mempekerjakan petugas keamanan komputer, Kepala Staf Kepatuhan, dan
konsultan keamanan
• Libatkan spesialis forensik
• penyelidikforensik dan spesialis forensik komputer
• Instal perangkat lunak pendeteksi penipuan
• perangkat lunak jaringan saraf dapat mengidentifikasi penipuan.
• Terapkan hotline penipuan

16
Visit us:
Kerangka ERM Baru (2017)
ERM - Integrasi dengan Strategi dan Kinerja.
Menyoroti pentingnya mempertimbangkan risiko baik dalam proses penetapan strategi
maupun dalam mendorong kinerja. Manajemen risiko perusahaan adalah tentang
memahami implikasi dari strategi dan kemungkinan strategi tidak selaras dengan
manajemen risiko untuk menetapkan tujuan. Manajemen risiko perusahaan meningkatkan
pemilihan strategi.

Figure 7 Kemungkinan da dampak Risk Assessment

Terdiri dari lima komponen dan 20 prinsip, Kerangka kerja baru sekarang memiliki lima
komponen yang saling terkait:
1) Pemerintahan dan Budaya;
2) Strategi dan Penetapan Tujuan;
3) Kinerja;
4) Ulasan dan Revisi;
5) Informasi, Komunikasi dan Pelaporan.

Figure 8 Komponen ERM

17
Visit us:
 Figure 9 Prinsip kunci ERM

Hubungan dengan Internal Control Framework:

ERM 2004: Memperluas dan menguraikan unsur-unsur Kontrol Internal COSO 1992
- Kerangka Kerja Terintegrasi
ERM 2017: Memuji Kontrol Internal COSO 2013 - Kerangka Kerja Terintegrasi

18
Visit us:
 Daftar Pustaka

Romney, M. B., & Steinbart, P. J. (2014). In Accounting Information System (pp. 189-213).
New York: Pearson.

19
Visit us: