Makalah Audit Internal

Kerangka Internal dan Prinsip Pengendalian Internal COSO

Disusun oleh :

1. Lestanova Tricahya Avilya (12030118120100)

2. Ersa Sabila Putri Pratama (12030118120102)
3. Dwi Prasetyo (12030118120105)
4. Tsaniya Nisya Fasha (12030118140272)
5. Nadiya Husna (12030118140273)

FAKULTAS EKONOMIKA DAN BISNIS

UNIVERSITAS DIPONEGORO
SEMARANG
 KERANGKA INTERNAL COSO
3.1 Memahami Pengendalian Internal
Kerangka kerja pengendalian internal COSO yang asli, yang dirilis pada tahun 1992,
memberikan gambaran yang sangat baik tentang konsep multidimensi ini, yang
mendefinisikan pengendalian internal sebagai berikut: Pengendalian internal adalah sebuah
proses, yang dilakukan oleh dewan direksi, manajemen, dan personel entitas lainnya, yang
dirancang untuk memberikan jaminan yang wajar mengenai pencapaian tujuan dalam
kategori berikut:
 Efektivitas dan efisiensi operasi
 Keandalan pelaporan keuangan
 Kepatuhan terhadap hukum dan peraturan yang berlaku
Ini adalah definisi COSO untuk pengendalian internal, dan tidak berubah sejak dirilis.
COSO awalnya menggunakan model tiga dimensi untuk menggambarkan sistem
pengendalian internal di perusahaan.
Meskipun konsep dasar pengendalian internal tidak banyak berubah sejak kerangka
COSO pertama kali dirilis beberapa tahun yang lalu, keseluruhan lingkungan tempat bisnis
beroperasi dan auditor internal melakukan tinjauan mereka telah banyak berubah, termasuk
beberapa hal berikut ini:
 Munculnya penggunaan layanan kontrak, struktur organisasi baru, dan
peningkatan koneksi internasional.
 Pengakuan bahwa pencegahan dan deteksi penipuan diperlukan untuk
pengendalian internal yang efektif.
 Meningkatnya kebutuhan untuk memahami dan menilai risiko sebagai bagian dari
operasi pengendalian internal di semua tingkatan.
 Perubahan konstan dalam teknologi TI dan cara kita menggunakan TI untuk
membangun dan mengelola proses.
 Masalah keamanan yang terus meningkat, terutama keamanan TI di era data besar
saat ini.
 Implikasi pengendalian internal yang terkait dengan media sosial dan sistem
nirkabel.
Kerangka kerja pengendalian internal COSO, para eksekutif bisnis serta auditor
internal, spesialis TI, staf keuangan dan akuntansi, dan lainnya di suatu perusahaan harus
menyadari dan memahami kerangka pengendalian internal COSO. Semua harus fokus pada
lima prinsip dasar yang mendukung pengendalian internal COSO perusahaan:
1. Organisasi harus menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
2. Dewan direksi harus menunjukkan independensi dari manajemen dan melakukan
pengawasan terhadap pengembangan dan kinerja pengendalian internal.
3. Manajemen harus menetapkan, dengan pengawasan dewan, struktur, garis
pelaporan, dan wewenang dan tanggung jawab yang sesuai dalam mencapai
tujuan.
4. Organisasi harus menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten sejalan dengan tujuan.
5. Sebuah organisasi harus meminta pertanggungjawaban individu atas tanggung
jawab pengendalian internalnya dalam mencapai tujuan.
Masing-masing prinsip ini merupakan bagian dari kerangka asli dan dilanjutkan
dengan kerangka baru yang direvisi yang dijelaskan secara lebih rinci di bagian berikut.
Sebagai suatu keharusan CBOK, auditor internal harus selalu mengingat tiga komponen
utama yaitu efektivitas pengendalian internal dan efisiensi operasi, keandalan pelaporan
keuangan, dan kepatuhan terhadap hukum dan peraturan yang berlaku untuk memberikan tiga
dimensi pada model ini. Sama seperti struktur piramida yang menunjukkan struktur
pengendalian internal sebagai lingkungan untuk semua proses pengendalian internal,
pandangan ini menambahkan bobot yang sama untuk masing-masing dari ketiga komponen
ini.

3.2 Revisi Kerangka Bisnis COSO dan Perubahan Lingkungan Operasional

Kerangka kerja kontrol internal COSO yang baru dan materi panduan pendukungnya
berisi perubahan di bidang-bidang berikut:
 Ekspektasi yang meningkat untuk pengawasan tata kelola.
 Peningkatan globalisasi pasar dan operasi.
 Perubahan dan kerumitan yang lebih besar dalam operasi bisnis perusahaan.
 Meningkatnya tuntutan dan kerumitan dalam hukum, aturan, regulasi, dan
standar.
 Penggunaan dan ketergantungan yang terus meningkat pada teknologi yang terus
berkembang.
 Meningkatnya kebutuhan untuk mencegah dan mendeteksi korupsi.
 Setiap perubahan COSO ini mengharuskan perusahaan untuk mengevaluasi implikasi
ini pada sistem pengendalian internalnya dengan penekanan pada pelaporan keuangan
eksternal, dan untuk merancang serta menerapkan tanggapan yang sesuai sehingga sistem
pengendalian internal beradaptasi dan tetap efektif dari waktu ke waktu. Auditor internal
memiliki peran kunci di sini dalam pemahaman dan evaluasi mereka terhadap sistem
pengendalian internal organisasi mereka. Sistem pengendalian internal seperti itu tidak
mengacu pada serangkaian prosedur yang berdiri sendiri, seperti yang mungkin ditemukan
dalam aplikasi ponsel cerdas, tetapi keseluruhan proses dan prosedur yang diperlukan untuk
menjalankan beberapa fungsi bisnis reguler yang berkelanjutan. Contohnya mungkin proses
yang diperlukan untuk mengevaluasi, memperoleh, dan membeli barang produksi. Banyak
orang dan fungsi mungkin terlibat dalam proses pembelian ini, tetapi itu harus dilakukan
dengan kontrol internal yang konsisten dan memadai. Pengendalian internal tersebut harus
telah dievaluasi dan dinilai sebagai bagian dari kerangka pengendalian internal COSO
mengikuti versi asli tahun 1992

3.3 Revisi Kerangka Pengendalian Internal COSO

Selain tiga kategori tujuan pengendalian internal operasi, pelaporan, dan kepatuhan
yang baru saja dijelaskan, kerangka kerja COSO mendefinisikan pengendalian internal dari
dua dimensi atau perspektif lain: komponen terpisah dari pengendalian internal dan faktor
organisasi. Tampak serupa tetapi sedikit berbeda dari kerangka pengendalian internal COSO
asli yang diperkenalkan pada tahun 1992. Kerangka kerja pengendalian internal COSO tiga
dimensi memiliki tiga kategori tujuan pengendalian internal — operasi, pelaporan, dan
kepatuhan —diwakili oleh kolom yang ditentukan di bagian atas diagram ini. Sisi depan dari
diagram kubus COSO ini mendefinisikan lima komponen utama atau tingkat pengendalian
internal:
1. Lingkungan pengendalian
2. Penilaian risiko
3. Kegiatan pengendalian internal
4. Informasi dan komunikasi
5. Kegiatan pemantauan

Ditunjukkan di sisi kanan model, struktur organisasi perusahaan adalah dimensi

penting ketiga dari pengendalian internal. Ini mewakili komponen terkait pengendalian
internal dari keseluruhan struktur organisasi: entitas perusahaan itu sendiri, divisinya, anak
perusahaan, unit operasi, atau fungsinya, termasuk proses bisnis seperti penjualan, pembelian,
produksi, dan pemasaran. Sebagai poin kunci di sini, kita harus mengingat komponen entitas
organisasi secara keseluruhan dimulai dengan keseluruhan atau total perusahaan secara
keseluruhan dan kemudian memecah ke semua unit bisnis dan komponen individu juga.
Beberapa aktivitas pengendalian individu mungkin berbeda satu sama lain dalam beberapa
rincian operasi, tetapi mereka semua harus cocok dengan lingkungan pengendalian untuk
entitas total.
Manajemen perusahaan harus jelas tentang tujuan pengendalian internalnya, seperti
menentukan tujuan pelaporan eksternal yang sesuai yang berkaitan dengan penyusunan
laporan keuangan. Beberapa dari tujuan ini dapat menjadi sangat spesifik berdasarkan pada
beberapa aktivitas bisnis yang direncanakan perusahaan. Orang lain harus mendefinisikan
tujuan yang dipahami atau diasumsikan dengan baik. Manajemen juga harus menetapkan sub-
tujuan yang sesuai untuk divisi perusahaan, anak perusahaan, unit operasi, dan fungsi dengan
kejelasan yang memadai untuk mendukung tujuan tingkat entitas. Auditor internal harus
memahami kerangka baru yang direvisi ini dan menggunakannya sebagai dasar untuk
tinjauan pengendalian internal mereka.

3.4 Prinsip Pengendalian Internal COSO

Selain elemen tiga dimensinya, kerangka kerja COSO yang telah direvisi
mengkodifikasi serangkaian prinsip yang mendukung lima komponen pengendalian internal.
Sementara versi 1992 secara implisit mencerminkan beberapa prinsip pengendalian internal
inti ini, versi revisi secara eksplisit mendefinisikan 17 prinsip pengendalian internal yang
mewakili konsep fundamental yang terkait dengan 5 komponen pengendalian internal.
COSO membuat prinsip-prinsip ini eksplisit untuk meningkatkan pemahaman manajemen
tentang pengendalian internal yang efektif. Mereka adalah konsep luas yang dimaksudkan
untuk diterapkan pada berbagai perusahaan, termasuk untuk profit dan nirlaba, publik dan
swasta, baik badan pemerintah dan organisasi lain. Mendukung setiap prinsip COSO adalah
titik fokus, yang mewakili karakteristik penting yang terkait dengan masing-masing. Titik
fokus ini dimaksudkan untuk memberikan panduan yang berguna untuk membantu
manajemen dalam merancang, menerapkan, dan menjalankan proses pengendalian internal
mereka dan dalam menilai apakah prinsip yang relevan ada dan berfungsi. Namun, kerangka
COSO yang direvisi tidak memerlukan evaluasi terpisah tentang apakah kerangka tersebut
sudah ada.
 Manajemen memiliki kebebasan untuk melakukan pertimbangan dalam menentukan
kesesuaian atau relevansi dari titik fokus yang diberikan dalam kerangka COSO yang telah
direvisi dan dapat mengidentifikasi serta mempertimbangkan karakteristik penting lainnya
yang terkait dengan prinsip tertentu berdasarkan keadaan khusus perusahaan. Secara
bersama-sama, komponen pengendalian internal COSO dan prinsip COSO merupakan
kriteria dan titik fokus untuk memberikan panduan yang akan membantu manajemen serta
auditor internal dalam menilai apakah komponen pengendalian internal ini ada, berfungsi,
dan beroperasi bersama dalam suatu perusahaan. Setiap titik fokus dipetakan langsung pada
17 prinsip, dan masing-masing juga dipetakan langsung ke salah satu dari lima komponen
pengendalian internal.
Konsep ini akan menjadi lebih jelas saat kita membahas kerangka COSO. Kunci bagi
auditor internal untuk memahami penggunaan kerangka COSO dengan mengingat sifat
kerangka kerja tiga dimensi di mana setiap elemen pengendalian internal, atas dan bawah dan
di sisi lain dari kubus COSO, harus dipertimbangkan dalam hal hubungannya dengan
komponen lain.

3.5 Komponen Pengendalian Internal Coso: Lingkungan Pengendalian

Sisi depan model kerangka kerja pengendalian internal COSO menunjukkan lima
tingkat kategori pengendalian internal. Kategori tingkat atas disebut lingkungan pengendalian
— serangkaian standar, proses, dan struktur yang memberikan dasar atau struktur untuk
melaksanakan aktivitas pengendalian internal yang efektif di seluruh perusahaan. Komponen
lingkungan pengendalian COSO dipengaruhi oleh berbagai faktor internal dan eksternal,
termasuk sejarah, nilai, pasar, dan lanskap persaingan dan peraturan entitas. Hal ini
ditentukan oleh standar, proses, dan struktur yang memandu orang di berbagai tingkatan
dalam melaksanakan tanggung jawab mereka untuk pengendalian internal dan membuat
keputusan untuk mencapai tujuan entitas. Kerangka kerja pengendalian COSO
memperkenalkan empat prinsip lingkungan pengendalian internal:

1. Perusahaan harus menetapkan tujuan dengan kejelasan yang memadai untuk

memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan.

2. Perusahaan harus mengidentifikasi risiko terhadap pencapaian tujuannya di

seluruh entitas dan menganalisis risiko sebagai dasar untuk menentukan
bagaimana risiko tersebut harus dikelola.
 3. Organisasi harus mempertimbangkan potensi kecurangan dalam menilai risiko
untuk pencapaian tujuan.

4. Organisasi harus mengidentifikasi dan menilai perubahan yang dapat berdampak

signifikan pada sistem pengendalian internal.

Lingkungan pengendalian suatu perusahaan juga identik dengan budaya pengendalian

internalnya. Unsur budaya yang kuat, seperti integritas dan nilai-nilai etika, pengawasan,
akuntabilitas, dan evaluasi kinerja, juga memperkuat lingkungan pengendalian. Auditor
internal harus menyadari bahwa budaya organisasinya dipengaruhi oleh lingkungan
pengendalian yang telah dipasang dan ditetapkan serta komponen pengendalian internal
lainnya. Kerangka lingkungan pengendalian COSO meminta manajemen perusahaan untuk
mempertimbangkan pertanyaan-pertanyaan berikut:

1. Apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk

mencapai tujuan? Apakah itu mendorong pengambilan risiko atau sikap
"mencapai dengan segala cara"?
2. Apakah manajemen berupaya memanipulasi ukuran kinerja agar tampak lebih
menguntungkan? Apakah itu membengkokkan kebenaran?
3. Apakah manajemen menekan karyawan untuk mencapai hasil apapun metodenya
atau dengan sedikit perhatian terhadap metode tersebut? Apakah mereka percaya
bahwa tujuan finansial membenarkan caranya?
4. Apakah manajemen terbuka dan jujur dengan karyawan tentang kinerja dan hasil?

3.6 Komponen Pengendalian Internal Coso: Penilaian Risiko

Penilaian risiko merupakan elemen kunci dalam kerangka kerja pengendalian internal
COSO, yang terletak sebagai komponen dari kubus COSO tiga dimensi. Risiko didefinisikan
di sini sebagai kemungkinan bahwa suatu peristiwa dapat terjadi yang akan berdampak buruk
terhadap pencapaian tujuan perusahaan.
Empat konsep utama prinsip penilaian risiko berikut:

1. Perusahaan harus menetapkan tujuan dengan kejelasan yang memadai untuk

memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan
tersebut.
 2. Perusahaan harus mengidentifikasi risiko terhadap pencapaian tujuannya di
seluruh entitas dan harus menganalisis risiko sebagai dasar untuk menentukan
bagaimana risiko tersebut harus dikelola.

3. Perusahaan harus mempertimbangkan potensi kecurangan dalam menilai risiko

untuk pencapaian tujuan.

4. Perusahaan harus mengidentifikasi dan menilai perubahan yang secara signifikan

dapat mempengaruhi sistem pengendalian internalnya.

Identifikasi dan Analisis Risiko

Manajemen perusahaan di semua tingkatan harus berusaha untuk mengidentifikasi

semua kemungkinan risiko yang dapat mempengaruhi keberhasilan perusahaan, mulai dari
risiko yang lebih besar atau lebih signifikan hingga keseluruhan bisnis hingga risiko yang
kurang besar yang terkait dengan proyek individu atau bisnis kecil unit.

Strategi Respon Risiko

Panduan pengendalian internal COSO mengidentifikasi empat pendekatan strategi

respons risiko dasar:
1. Penghindaran
2. Pengurangan
3. Berbagi
4. Penerimaan

3.7 Komponen Pengendalian Internal COSO : Aktivitas Pengendalian (Control

Activities)
Aktivitas pengendalian adalah tindakan-tindakan yang ditetapkan melalui kebijakan
dan prosedur perusahaan-yang membantu memastikan bahwa arahan manajemen untuk
mengurangi risiko terhadap pencapaian tujuan itu dilakukan. Aktivitas pengendalian
dilakukan di semua tingkat perusahaan, di berbagai tahap dalam unit dan proses bisnis, dan di
atas lingkungan teknologi.
Aktivitas pengendalian mendukung semua komponen pengendalian internal COSO
dalam kubus COSO, tetapi pedoman kerangka kerja pengendalian internal COSO yang telah
direvisi secara khusus lebih menyelaraskan aktivitas pengendalian dengan elemen penilaian
risiko. Sejalan dengan menilai risiko. manajemen harus mengidentifikasi dan melaksanakan
tindakan yang diperlukan ketika perusahaan memilih untuk menerima atau menghindari
risiko tertentu, dan memilih untuk mengembangkan aktivitas pengendalian untuk
menghindari risiko itu. Tindakan untuk mengurangi atau membagi beberapa risiko ini
berfungsi sebagai titik fokus untuk mengembangkan dan memilih aktivitas pengendalian
untuk elemen risiko tersebut. Sifat dan luas respons risiko dan aktivitas pengendalian terkait
akan bergantung, setidaknya sebagian, pada tingkat mitigasi risiko yang diinginkan yang
dapat diterima oleh manajemen perusahaan.
Ketika menentukan tindakan yang direkomendasikan untuk dilakukan untuk
memitigasi risiko, auditor internal harus mempertimbangkan semua aspek dari sistem
pengendalian internal perusahaan serta proses bisnis yang relevan, sistem TI, dan lokasi di
mana aktivitas pengendalian diperlukan. Ini mungkin termasuk mempertimbangkan aktivitas
pengendalian di luar unit operasi, termasuk layanan bersama, pusat data, atau proses yang
dilakukan oleh penyedia layanan outsourcing.

3.8 Komponen Pengendalian Internal COSO : Informasi dan Komunikasi

(Information and Communication)
Sebagai elemen COSO lainnya, informasi diperlukan bagi perusahaan untuk
melaksanakan tanggung jawab pengendalian internalnya guna mendukung pencapaian yang
diperoleh atau dihasilkannya dan kemudian menggunakan informasi yang relevan dan
berkualitas baik dari sumber internal maupun eksternal untuk mendukung fungsi komponen
lain dari pengendalian internal, dan auditor internal meninjau dan menilai informasi
manajemen yang sama. Manajemen. Komunikasi, komponen lain dari elemen COSO ini, di
sini didefinisikan sebagai proses yang terus menerus dan berulang dalam menyediakan,
berbagi, dan mendapatkan informasi yang diperlukan.
Komponen COSO ini menjelaskan pentingnya informasi yang disimpan oleh
perusahaan dan bagaimana itu harus dikomunikasikan kepada berbagai pihak. Bagian sistem
informasi dari elemen ini merekam, memproses, menyimpan, dan melaporkan data. Sistem
komunikasi menentukan bagaimana informasi dilaporkan, siapa yang mendapatkannya, dan
bagaimana digunakan dalam pengendalian penipuan. Proses informasi dan komunikasi ini
harus:
 Mencatat transaksi saat terjadi, memecahnya menjadi beberapa bagian (tanggal,
jumlah, nama, akun, otorisasi, dll.).
  Memproses, meringkas, dan melaporkan informasi itu untuk tujuan manajemen
dan tujuan akuntansi murni.
 Menyimpan data yang diambil dan diproses dalam format yang dapat diringkas,
diaudit. ditinjau, dan dilaporkan dengan cepat dan mudah.
 Laporkan informasi itu dalam format yang dapat digunakan untuk analisis
manajemen dan tujuan pengendalian internal.
Komponen informasi dan komunikasi dari kerangka COS0 terutama mendukung
berfungsinya komponen pengendalian internal lainnya, termasuk tujuan yang relevan dengan
pelaporan internal dan eksternal. Auditor internal yang meninjau pengendalian internal yang
terkait dengan kerangka pengendalian internal COSO harus membedakan tujuan pelaporan
mereka dari komponen informasi dan komunikasi yang agak terpisah dari elemen
pengendalian internal ini dalam menilai sistem pengendalian internal.

3.9 Komponen Pengendalian Internal COSO : Aktivitas Pemantauan (Monitoring

Activities)
Kegiatan pemantauan/monitoring berperan menilai apakah masing-masing dari lima
tujuan atau komponen pengendalian internal COSO, termasuk lingkungan pengendalian,
penilaian risiko, dan yang lainnya ada dan berfungsi. Perusahaan dan auditor internalnya
harus menggunakan proses sedang berjalan dan yang terpisah untuk memastikan apakah
pengendalian internal telah ditetapkan sesuai prinsip, baik di seluruh perusahaan dan sub
unitnya masih berpengaruh, ada, dan berfungsi. pemantauan/monitoring di sini adalah
masukan utama ke dalam penilaian organisasi tentang efektivitas pengendalian internal.
Revisi COSO pengendalian internal kerangka mengidentifikasi itu, dua prinsip dibahas
dalam Bab 4, untuk pengendalian intern kegiatan komponen pemantauan/monitoring:
 Organisasi menyeleksi, mengembangkan, dan melakukan evaluasi secara terus
menerus dan / atau terpisah untuk memastikan apakah komponen pengendalian
internal ada dan berfungsi.
 Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian
internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk
mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi, yang
sesuai.
Sistem pengendalian internal suatu perusahaan akan sering berubah, dan tujuan entitas
serta komponen pengendalian internalnya juga dapat berubah seiring waktu. Selain itu,
prosedur mungkin menjadi kurang efektif atau usang, mungkin tidak lagi ada dan berfungsi,
atau mungkin dianggap tidak cukup untuk mendukung pencapaian internal yang baru atau
tujuan pengendalian diperbarui. Kegiatan pemantauan/monitoring harus dipilih,
dikembangkan, dan dilakukan untuk memastikan apakah setiap komponen pengendalian atau
prinsip dari lima pengendalian internal komponen ada dan berfungsi, dan bahwa beberapa
bentuk defisiensi pengendalian internal ada. Manajemen juga perlu menentukan apakah
sistem pengendalian internal tetap relevan dan mampu menangani risiko baru.
Jika sesuai, aktivitas pemantauan/monitoring mengidentifikasi dan memeriksa
kesenjangan yang berkaitan dengan anomali dan ketidaknormalan pengendalian internal,
yang dapat mengindikasikan bahwa satu atau lebih komponen pengendalian internal,
termasuk pengendalian yang mempengaruhi prinsip-prinsip di seluruh perusahaan dan sub
unitnya, tidak ada dan tidak berfungsi. Kegiatan pemantauan/monitoring umumnya akan
mengidentifikasi akar penyebab kerusakan tersebut dan dapat beroperasi dalam berbagai
proses bisnis di seluruh perusahaan dan sub unitnya. Kata-kata ini diadaptasi dari materi
panduan pengendalian internal COSO yang mendukung. Itu berarti bahwa proses
pemantauan/monitoring yang tepat membantu menggali dan mengidentifikasi potensi
masalah yang terabaikan, dan audit internal yang terjadwal seringkali menunjukkan peran ini.
Pengaplikasian kegiatan pemantauan/monitoring yang tepat menyelesaikan satu
lingkaran penuh proses pengendalian internal dimana bahwa ketika suatu perusahaan
mengembangkan dan mengimplementasikan tujuan perusahaan, tindakan tersebut harus
melalui masing-masing komponen kontrol COSO. Secara melingkar, bergerak dari
membangun atau membangun lingkungan pengendalian yang tepat, siklus ini beralih ke
kegiatan pemantauan/monitoring, dan kegiatan pemantauan/monitoring tersebut bertindak
sebagai faktor peninjau atas semua komponen pengendalian internal lainnya
Kontrol yang tidak terpantau cenderung memburuk seiring waktu. Kerangka COSO
mendefinisikan pemantauan/monitoring sebagai proses untuk membantu memastikan bahwa
pengendalian internal terus beroperasi secara efektif. Ketika pemantauan/monitoring
dirancang dan diterapkan dengan tepat, perusahaan harus mendapatkan keuntungan karena
lebih mungkin untuk:
 Mengidentifikasi dan memperbaiki masalah pengendalian internal secara tepat
waktu
 Menghasilkan informasi yang lebih akurat dan dapat diandalkan untuk digunakan
dalam pengambilan keputusan
  Mempersiapkan laporan keuangan yang akurat dan tepat waktu
 Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala
tentang efektivitas pengendalian internal
Proses pemantauan/monitoring yang efektif merupakan komponen kunci untuk
memastikan bahwa perusahaan memiliki pengendalian internal yang efektif dan audit internal
memiliki tanggung jawab utama dalam membantu melakukan banyak proses
pemantauan/monitoring. Manajemen perlu merancang, mengembangkan, dan meluncurkan
pengendalian internal yang efektif, tetapi proses pemantauan/monitoring diperlukan untuk
memberikan jaminan kepada manajemen senior dan pihak lain bahwa pengendalian internal
tersebut sudah ada.
Seiring kemajuan mereka dalam mencapai efektivitas dalam pemantauan/monitoring,
perusahaan kemungkinan besar akan memiliki kesempatan untuk lebih meningkatkan proses
melalui penggunaan alat seperti alat pemantauan/monitoring atau audit berkelanjutan dan
pengecualian dan laporan disesuaikan dengan proses mereka. Seiring waktu, proses
pemantauan/monitoring COSO yang efektif harus mengarah pada efisiensi organisasi dan
pengurangan biaya yang terkait dengan publik pelaporan tentang pengendalian internal
karena masalah pengendalian internal dapat diidentifikasi dan ditangani secara proaktif
daripada reaktif.

3.10 Dimensi Lain Kerangka COSO

Pada poin-poin sebelumnya telah dijelaskan komponen mana yang lebih penting dari
internal COSO kerangka kerja pengendalian, lingkungan pengendalian hingga pemantauan.
Masing-masing menjelaskan komponen penting atau elemen pengendalian internal yang
harus secara efektif bekerja dengan elemen pengendalian internal terkait lainnya. Misalnya,
elemen COSO penilaian risiko harus mendorong dan membantu mengelola aktivitas
pengendalian. Namun, fitur utama dari kerangka COSO yang terkadang diabaikan adalah tiga
sifat dimensi.
Telah dijelaskan juga bahwa kerangka kerja pengendalian internal COSO yang
menunjukkan operasi, pelaporan, dan kontrol kepatuhan dari perspektif hadap depan. Tidak
ada perubahan dalam konsep pengendalian internal COSO yang efektif, tetapi pameran
memberikan cara yang berbeda untuk melihatnya. Yaitu, auditor internal yang meninjau dan
menilai efektivitas kontrol pelaporan bisnis organisasi, seperti yang dapat ditemukan di
sistem pengendalian sumber daya manufaktur, mereka harus memikirkan keefektifan
pengendalian yang berkaitan dengan elemen pengendalian internal mulai dari lingkungan
pengendalian secara keseluruhan hingga kegiatan pemantauan.
Dengan cara yang sama, masing-masing pengendalian internal ini harus
dipertimbangkan sehubungan dengan sisi ukuran organisasi dari kubus COSO. Artinya,
pengendalian internal harus efektif dalam unit bisnis atau departemen di bisnis yang lebih
besar atau tingkat fungsional, dan untuk seluruh entitas bisnis. Konsep ini terkadang sulit
diterapkan secara konsisten di seluruh perusahaan. Meskipun begitu mungkin ada beberapa
variasi kecil dan bahkan bisa dibenarkan. Manajemen harus mencoba menerapkan kontrol
internal COSO ini secara konsisten di seluruh entitas bisnis.

17 PRINSIP PENGENDALIAN INTERNAL COSO

4.1 COSO Internal Control Framework Principles

Kerangka kerja pengendalian internal COSO, yang diperkenalkan di Bab 3, didukung
oleh 17 prinsip. Untuk beberapa manajer yang telah melihat kerangka tiga dimensi COSO
dan pergi dengan kebingungan, prinsip-prinsip ini memberikan lebih banyak panduan dan
pemahaman tentang konsep pengendalian internal, meskipun mereka tidak secara tepat
melacak elemen kerangka kerja.
Auditor internal harus mengembangkan pemahaman tentang prinsip-prinsip ini
sebagai CBOK harus. Konsep-konsep ini harus membantu auditor internal untuk
mengembangkan dan melaksanakan tinjauan pengendalian internal dengan lebih baik.

.
4.2 Control Environment Principle 1: Integrity And Ethical Values
Penegakan integritas dan nilai etika adalah salah satu sub unsur yang akan
membangun lingungan pengendalian karena memengaruhi rancangan, administrasi, dan
pemantauan atas unsur pengendalian lainnya. sebuah perusahaan harus berkomitmen pada
standar etika tertinggi dalam setiap aspek bisnisnya, termasuk tidak hanya kepatuhan tetapi
juga dalam bisnisnya, penjualan, konseling hukum, dan praktik sumber daya manusia serta
perlakuannya terhadap karyawan dan pelanggan.
Tujuan dari penegakan integritas dan nilai etika adalah terimplementasikannnya
integritas dan nilai etika dalam perilaku seluruh pejabat dan pegawai instansi pemerintah
yang dilaksanaan dengan keteladanan pimpinan, penegakan disiplin yang konsisten, dll.
Pelanggaran Kode dan Tindakan Korektif. Selain mempublikasikan kode etik dan
mendapatkan penerimaan dari stakeholder, perlu juga ada mekanisme pelaporan pelanggaran
kode etik dan investigasi serta penanganan pelanggaran tersebut. Perusahaan perlu
menetapkan mekanisme yang memungkinkan karyawan atau bahkan pihak luar untuk
melaporkan potensi yang ada.

4.3 Control Environment Principle 2: Role Of The Board Of Directors

Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan direksi perusahaan
dan komite auditnya, dengan prinsip "Pastikan bahwa dewan melaksanakan tanggung jawab
pengawasan."
Pada tahun-tahun sebelum Sarbanes-Oxley Act (SOx), dewan dan komite audit
mereka sering didominasi oleh manajemen senior di dalam direktur, seringkali dengan
perwakilan terbatas dari luar, anggota dewan minoritas. Ini menciptakan situasi di mana
dewan tidak sepenuhnya independen dari manajemen. Pejabat perusahaan duduk di dewan
dan pada dasarnya mengelola diri mereka sendiri, sering kali dengan kurang memperhatikan
investor luar. SOx mengubah ini dan mengharuskan komite audit benar-benar independen.
Dewan yang aktif dan independen merupakan komponen penting dari lingkungan
kendali COSO. Dengan menetapkan kebijakan tingkat tinggi dan dengan meninjau perilaku
perusahaan secara keseluruhan, dewan dan komite auditnya memiliki tanggung jawab akhir
untuk menetapkan nada di puncak. Dewan independen harus memiliki hubungan yang erat
dengan manajemen senior untuk memastikan operasi perusahaan yang efektif dan sukses
serta lingkungan pengendalian internal yang kuat. Dewan direksi dan komite auditnya harus
mengidentifikasi dan memahami harapan para pemangku kepentingan, termasuk pelanggan,
karyawan, investor, dan masyarakat umum, serta persyaratan hukum dan peraturan
perusahaan. Harapan ini akan membantu membentuk tujuan perusahaan dan tanggung jawab
pengawasan dewan. Aktivitas dewan direksi berikut dapat membantu manajemen dalam
menentukan apakah prinsip lingkungan pengendalian COSO ini ada dan berfungsi.
 Tetapkan tanggung jawab pengawasan. Dewan direksi harus mengidentifikasi dan
menerima tanggung jawab pengawasannya terkait dengan persyaratan hukum yang
ditetapkan dan harapan pemangku kepentingan, investor, dan publik.
 Terapkan keahlian yang relevan. Dewan direksi harus mendefinisikan,
memelihara, dan secara berkala mengevaluasi keterampilan dan keahlian yang
dibutuhkan di antara anggotanya untuk memungkinkan mereka mengajukan
pertanyaan menyelidik dari manajemen senior dan mengambil tindakan yang
sepadan.
 Beroperasi secara mandiri. Dewan direksi harus memiliki cukup anggota yang
independen dari manajemen dan objektif dalam evaluasi dan pengambilan
keputusan mereka.
 Memberikan pengawasan terhadap sistem pengendalian internal. Dewan direksi
harus mempertahankan tanggung jawab pengawasan untuk pengembangan
manajemen dan kinerja pengendalian internal.
Dewan direksi harus meninjau dan menyetujui kebijakan dan praktik yang
mendukung kinerja pengendalian internal di seluruh perusahaan dalam pertemuan rutin antara
manajemen dan dewan. Proses dan struktur yang secara khusus relevan dengan komite audit
dewan adalah yang menyediakan pengawasan untuk sistem pengendalian internal, dan upaya
bersama dewan dan manajemen senior dapat menunjukkan bahwa prinsip lingkungan
pengendalian internal ini diterapkan dan berfungsi.

4.4 Control Environment Principle 3: Authority & Responsibility Needs

Manajemen harus menetapkan, dengan pengawasan dewan yang tepat, struktur, jalur
pelaporan, dan wewenang serta tanggung jawab yang sesuai dalam mencapai tujuan
pengendalian internalnya. Harus ada struktur organisasi untuk merencanakan, melaksanakan,
mengendalikan, dan secara berkala menilai aktivitas perusahaan secara keseluruhan. Sasaran
lingkungan pengendalian ini adalah untuk menyediakan akuntabilitas yang jelas dan arus
informasi di dalam dan di seluruh perusahaan dan semua subunitnya.
Untuk menentukan apakah prinsip pengendalian internal perusahaan ini berfungsi,
manajemen dan dewan direksi harus mempertimbangkan berbagai unit operasi, badan hukum,
lokasi geografis, dan penyedia layanan outsourcing di perusahaan untuk mendukung
pencapaian tujuan pengendalian internal ini.
Dengan perusahaan internasional yang kompleks saat ini, dengan banyak perjanjian
antara unit operasi dan penyedia luar, ini bisa menjadi campuran yang kompleks, tetapi
manajemen kemudian harus merancang dan mengevaluasi jalur pelaporan untuk setiap
struktur entitas untuk memungkinkan pelaksanaan wewenang dan tanggung jawab serta aliran
informasi untuk mengelola aktivitas entitas itu.
Banyak perusahaan dari semua jenis dan ukuran saat ini telah merampingkan operasi
mereka dan mendorong otoritas pengambilan keputusan mereka ke bawah dan lebih dekat ke
personel garis depan. Lingkungan kendali yang kuat mengatakan bahwa karyawan garis
depan harus memiliki pengetahuan dan kekuatan untuk membuat keputusan yang tepat di
wilayah operasi mereka sendiri daripada diminta untuk meneruskan permintaan keputusan
melalui saluran perusahaan yang lebih senior. Manajemen perusahaan harus menyadari
bahwa komponen lingkungan kontrol dari kerangka COSO ini sangat dipengaruhi oleh sejauh
mana individu menyadari bahwa mereka akan dimintai pertanggungjawaban. Hal ini berlaku
untuk semua anggota perusahaan, dari anggota staf hingga kepala eksekutif, yang memiliki
tanggung jawab tertinggi untuk semua aktivitas dalam suatu entitas, termasuk sistem
pengendalian internal.

4.5 Control Environment Principle 4: Commitment To A Competent Workforce.

Perusahaan harus menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten sesuai dengan tujuannya. Prinsip lingkungan
pengendalian COSO ini menyerukan kebijakan dan tindakan yang memenuhi syarat
pemangku kepentingan untuk melaksanakan tanggung jawab yang ditetapkan, dan ini
membutuhkan keterampilan dan keahlian yang relevan, yang sebagian besar diperoleh dari
pengalaman profesional, pelatihan, dan sertifikasi. Komitmen terhadap kompetensi
diekspresikan dalam sikap dan perilaku individu dalam melaksanakan tanggung jawabnya.
Fungsi sumber daya manusia sering kali dapat membantu mendefinisikan kompetensi dan
tingkat kepegawaian berdasarkan peran pekerjaan, memfasilitasi pelatihan dan memelihara
catatan penyelesaian serta mengevaluasi relevansi dan kecukupan pengembangan profesional
individu dalam kaitannya dengan kebutuhan perusahaan. Prinsip COSO ini berlaku sedikit
lebih kuat pada masalah kompetensi individu daripada fungsi sumber daya manusia
perusahaan saat ini, yang seringkali lebih terbungkus dalam hal-hal seperti masalah
keragaman daripada masalah dengan keterampilan karyawan. Prinsip lingkungan
pengendalian ini menghimbau perusahaan untuk menetapkan persyaratan kompetensinya
sesuai kebutuhan untuk mendukung pencapaian tujuan pengendalian internalnya, dengan
pertimbangan diberikan kepada:
 Kebutuhan pengetahuan, keterampilan, dan pengalaman
 Sifat dan tingkat penilaian dan batasan otoritas yang akan diterapkan pada posisi
tertentu
 Analisis biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman
 Pertukaran antara tingkat pengawasan dan tingkat kompetensi yang disyaratkan
dari masing-masing karyawan
Prinsip ini selanjutnya mengatakan bahwa dewan direksi harus mengevaluasi
kompetensi CEO, dan pada gilirannya, manajemen harus mengevaluasi kompetensi di seluruh
perusahaan dan penyedia layanan yang dialihdayakan dalam kaitannya dengan kebijakan dan
prosedur yang ditetapkan serta bertindak sebagaimana diperlukan untuk menangani setiap
kekurangan atau ekses.

Panduan COSO pendukung menggunakan contoh bahwa portofolio risiko yang

berubah dapat menyebabkan perusahaan mengalihkan sumber daya ke area bisnis yang
membutuhkan perhatian lebih besar. Di sini, ketika suatu perusahaan membawa produk baru
ke pasar, perusahaan dapat memilih untuk menambah staf dalam tim penjualan dan
pemasarannya, atau saat peraturan baru yang berlaku dikeluarkan, perusahaan dapat berfokus
pada individu-individu yang bertanggung jawab atas pelaksanaannya. Kekurangan mungkin
muncul terkait dengan tingkat kepegawaian, keterampilan, keahlian, atau kombinasi dari
faktor-faktor tersebut. Manajemen bertanggung jawab untuk bertindak atas kekurangan
tersebut secara tepat waktu.

4.6 Control Environment Principle 5: Holding People Accountable

Manajemen dan dewan direksi harus menetapkan mekanisme untuk
mengkomunikasikan dan meminta pertanggungjawaban individu atas kinerja tanggung jawab
pengendalian internal di seluruh organisasi dan menerapkan tindakan korektif yang
diperlukan. Bagian dari ini mereka harus menetapkan ukuran kinerja, insentif, dan
penghargaan lain yang sesuai untuk tanggung jawab di semua tingkat entitas, yang
mencerminkan dimensi kinerja yang sesuai dan standar perilaku dan kinerja yang diharapkan.

Secara khusus, dewan direksi pada akhirnya meminta pertanggungjawaban CEO atas
pengendalian internal dalam pencapaian tujuan perusahaan, dan CEO serta manajemen senior
lainnya pada gilirannya bertanggung jawab untuk merancang, melaksanakan, melaksanakan,
dan secara berkala mengevaluasi apakah struktur, otoritas, dan tanggung jawab menetapkan
akuntabilitas untuk pengendalian internal di semua tingkat perusahaan. Akuntabilitas di sini
mengacu pada tingkat kepemilikan dan komitmen terhadap kinerja pengendalian internal
dalam mencapai tujuan. Manajemen dan dewan harus menetapkan mekanisme untuk
mengkomunikasikan dan meminta pertanggungjawaban personel atas kinerja tanggung jawab
pengendalian internal mereka di seluruh perusahaan dan harus mengambil tindakan korektif
yang sesuai jika diperlukan.

Akuntabilitas untuk pengendalian internal saling berhubungan dengan kepemimpinan,

dan pesan-pesan kepemimpinan yang tone-at-the-top serta pesan-pesan manajemen terkait di
seluruh perusahaan harus kuat di mana tanggung jawab pengendalian internal dipahami,
dilaksanakan, dan diperkuat. Namun, seperti yang disarankan oleh prinsip COSO ini, orang
harus bertanggung jawab atas tindakan mereka. Terlalu sering hari ini, kita menghadapi
situasi di mana tidak ada orang yang ditunjuk untuk bertanggung jawab. Manajer senior
mungkin melihat masalah pengendalian internal, dan jika dampaknya relatif kecil, mereka
akan memutar mata dan mengatakan bahwa ini adalah masalah staf yang tidak
berpengalaman dan tidak melakukan apa-apa. Demikian pula, personel tingkat staf mungkin
menyalahkan masalah yang sama pada manajemen mereka tetapi tidak mengambil langkah
untuk menunjukkan keprihatinan mereka kepada manajemen atau petisi untuk revisi atau
perubahan.

4.7 Risk Assessment Principle 6: Specifying Appropriate Objectives

Penilaian risiko, elemen kunci dalam kerangka pengendalian internal COSO,
didefinisikan di sini sebagai kemungkinan bahwa suatu peristiwa dapat terjadi yang akan
mempengaruhi pencapaian beberapa tujuan perusahaan. Manajemen risiko pengendalian
internal memengaruhi kemampuan perusahaan untuk berhasil, bersaing secara efektif dalam
industrinya, mempertahankan kekuatan keuangan dan reputasi positifnya, serta
mempertahankan kualitas produk, layanan, dan orangnya secara keseluruhan. Selalu ada
beberapa risiko dalam aktivitas bisnis apa pun dan tidak ada cara praktis untuk mengurangi
semuanya. Namun, manajemen harus menentukan seberapa besar risiko yang harus diterima
dengan hati-hati dan berusaha untuk mempertahankan risiko dalam batas-batas ini,
memahami seberapa besar toleransi yang dimilikinya untuk melampaui tingkat risiko
targetnya.
4.8 Risk Assessment Principle 7: Identifying and Analyzing Risks
Manajemen perusahaan dengan dukungan audit internal harus berusaha untuk
mengidentifikasi semua kemungkinan risiko pengendalian internal yang dapat berdampak
pada perusahaan, mulai dari risiko yang lebih besar atau lebih signifikan hingga risiko yang
lebih kecil terkait dengan proyek individu atau unit bisnis yang lebih kecil. Proses identifikasi
risiko memerlukan pendekatan yang dipelajari dan disengaja untuk melihat potensi risiko di
setiap area operasi dan kemudian mengidentifikasi area risiko yang lebih signifikan yang
dapat memengaruhi setiap operasi dalam jangka waktu yang wajar. Idenya bukan untuk
hanya membuat daftar setiap kemungkinan risiko tetapi untuk mengidentifikasi risiko yang
mungkin memengaruhi operasi, dengan tingkat kemungkinan tertentu, dalam jangka waktu
yang wajar. Fokus COSO adalah pada pelaporan keuangan eksternal, proses identifikasi
risiko harus terjadi di berbagai tingkatan dalam suatu perusahaan. Risiko yang berdampak
pada unit bisnis atau proyek individu mungkin tidak berdampak besar pada keseluruhan
perusahaan atau lebih. Sebaliknya, risiko besar yang berdampak pada perekonomian secara
keseluruhan akan mengalir ke perusahaan individu dan unit bisnis yang terpisah.

Meskipun mengidentifikasi dan menganalisis risiko harus menjadi proses berulang

yang berkelanjutan yang dilakukan untuk meningkatkan kemampuan perusahaan untuk
mencapai tujuannya, ini adalah bidang penting yang harus dipertimbangkan sebagai bagian
dari perencanaan audit internal. Meskipun suatu perusahaan mungkin tidak secara eksplisit
menyatakan semua tujuan yang terkait dengan risiko, ini tidak berarti bahwa tujuan yang
tersirat adalah tanpa risiko internal atau eksternal, dan perusahaan harus mempertimbangkan
semua risiko yang mungkin terjadi. Agar efektif, proses identifikasi risiko perusahaan harus
didukung oleh berbagai aktivitas, teknik, dan mekanisme, masing-masing relevan dengan
penilaian risiko secara keseluruhan. Penilaian risiko harus mempertimbangkan faktor-faktor
yang mempengaruhi tingkat keparahan, kecepatan, dan persistensi risiko, kemungkinan
hilangnya aset, dan dampak terkait pada kegiatan operasi, pelaporan, dan kepatuhan. Selain
itu, baik audit internal dan perusahaan secara keseluruhan perlu memahami toleransi
perusahaan untuk menerima risiko dan kemampuannya untuk beroperasi dalam tingkat risiko
tersebut. Prinsip identifikasi dan analisis risiko COSO menyerukan pertimbangan semua
risiko dalam suatu perusahaan, termasuk subunit dan fungsi operasionalnya, seperti
keuangan, sumber daya manusia, pemasaran, produksi, pembelian, dan manajemen TI. Dalam
melakukan penilaian risiko tersebut, manajemen harus mempertimbangkan tingkat perubahan
dalam menentukan frekuensi proses penilaian risiko.
 Sementara penilaian risiko adalah proses yang dinamis, perusahaan harus
menggunakan kombinasi penilaian risiko yang berkelanjutan dan berkala. Audit internal
dapat memainkan peran penting di sini baik dalam perencanaan audit internal berbasis risiko
dan identifikasi “boot on the ground” dari area risiko potensial sebagai bagian dari audit
internal di lokasi lapangan.

4.9 Risk Assessment Principle 8: Evaluating Fraud Risks

Auditor internal seringkali berada dalam posisi yang sangat baik untuk mengevaluasi
risiko kecurangan karena aktivitas review mereka yang sedang berlangsung di seluruh
perusahaan. Penilaian risiko penipuan adalah proses yang harus digunakan perusahaan untuk
menentukan eksposurnya terhadap penipuan internal dan eksternal. Pengkajian harus
meninjau operasi dan pengendalian, termasuk kebijakan dan prosedur, untuk menentukan di
mana terdapat celah yang memungkinkan seseorang atau sekelompok orang melakukan
kecurangan terhadap perusahaan.

Penilaian risiko penipuan kemudian harus melihat area utama perusahaan untuk
menentukan apakah tindakan telah diambil yang akan mengingatkan manajemen terhadap
penipuan atau untuk secara efektif menghalangi eksekusi penipuan. Setiap perusahaan
memiliki tingkat risiko dan teknik mitigasi yang berbeda tergantung pada industrinya.. Setiap
penilaian risiko perlu disesuaikan dengan organisasi dan risiko spesifik yang dihadapinya.
Auditor internal mengalami banyak masalah kesadaran dan potensi masalah penipuan selama
tinjauan terjadwal mereka yang sedang berlangsung. Mereka juga biasanya terlibat dalam
tinjauan tingkat transaksi yang jauh lebih terperinci daripada rekan audit eksternal mereka
dan lebih sering melihat dokumen atau transaksi yang meragukan.

Jika ada potensi kecurangan dalam perusahaan, langkah pertama menghubungi audit
internal, yang juga akan memiliki hubungan dan komunikasi dengan departemen hukum
perusahaan. Mereka dapat mendiskusikan masalah potensial apa pun di sana dan
mendapatkan pendapat cepat tentang apakah beberapa masalah memerlukan perhatian lebih.
Jika ada tanda-tanda kuat dari penipuan yang aktif, bagian hukum perusahaan hampir selalu
siap untuk membantu dan membantu. Standar IIA menekankan bahwa audit internal memiliki
peran terkait deteksi dan pencegahan kecurangan, tetapi tanggung jawab utama berada pada
manajemen. Meskipun secara teori ini terdengar sederhana, masalahnya terletak pada
mengkomunikasikan pesan tersebut kepada manajemen. Evaluasi risiko kecurangan
merupakan prinsip pengendalian internal yang penting.
4.10 Risk Assessment Principle 9: Identifying Changes Affecting Internal Controls
Prinsip penilaian risiko memiliki nilai yang kecil jika perusahaan melalui analisis
ekstensif untuk mengidentifikasi risiko tetapi kemudian pada dasarnya tidak melakukan
tindakan apa pun untuk mengurangi risiko yang teridentifikasi. Prinsip terakhir untuk
pengendalian internal COSO penilaian risiko: Mengidentifikasi dan menganalisis perubahan
yang secara signifikan dapat mempengaruhi pengendalian internal.

Perusahaan harus mengembangkan strategi manajemen risiko sebagai bagian dari

proses manajemen risiko mereka. Strategi manajemen risiko membahas bagaimana suatu
perusahaan bermaksud untuk menilai risiko yang teridentifikasi, merencanakan tanggapan,
dan memantau risiko tersebut — membuat secara eksplisit dan transparan persepsi risiko
yang secara rutin digunakan oleh perusahaan dalam membuat keputusan investasi dan
operasional. Identifikasi risiko dan strategi analisis adalah bagian penting dari manajemen
risiko perusahaan. Strategi respons adalah komponen kunci dari pengendalian internal COSO.
Setelah potensi signifikansi risiko dinilai, manajemen harus mempertimbangkan bagaimana
risiko tersebut harus dikelola. Hal ini sering kali melibatkan penilaian berdasarkan asumsi
tentang risiko dan analisis biaya yang wajar terkait dengan pengurangan tingkat risiko.

Manajemen harus mempertimbangkan untuk bertindak berdasarkan masing-masing

dari empat strategi respons risiko dasar yang dibahas dalam Bab 3: penghindaran,
pengurangan, pembagian, dan penerimaan risiko. Manajemen harus mengembangkan strategi
respons risiko umum untuk setiap risikonya dengan menggunakan pendekatan yang dibangun
berdasarkan salah satu dari empat strategi umum ini. Dalam melakukan hal itu, harus
mempertimbangkan biaya versus manfaat dari setiap respons risiko potensial agar paling
sesuai dengan selera risiko perusahaan secara keseluruhan. Misalnya, pengakuan perusahaan
bahwa dampak risiko tertentu relatif rendah akan diimbangi dengan toleransi risiko rendah
yang menunjukkan bahwa asuransi harus dibeli untuk memberikan respons risiko potensial.
Untuk banyak risiko, respons yang tepat terlihat jelas dan hampir dapat dipahami secara
universal. Operasi TI, misalnya, menghabiskan waktu dan sumber daya untuk membuat
cadangan file data utamanya dan menerapkan rencana kesinambungan bisnis. Seharusnya
tidak ada pertanyaan mengenai pendekatan dasar ini, tetapi berbagai tingkat manajemen
mungkin mempertanyakan frekuensi proses pencadangan atau seberapa sering rencana
kesinambungan perlu diuji.
 Perusahaan pada titik ini harus kembali ke beberapa sasaran risiko yang telah
ditetapkan serta rentang toleransi untuk tujuan tersebut. Kemudian harus membahas kembali
kemungkinan dan dampak yang terkait dengan masing-masing risiko yang teridentifikasi
dalam tujuan risiko tersebut untuk mengembangkan penilaian dari kedua kategori risiko
tersebut serta penilaian keseluruhan dari respons risiko yang direncanakan dan bagaimana
risiko tersebut akan selaras dengan toleransi risiko perusahaan secara keseluruhan. Pesan
dasar di sini adalah bahwa perusahaan membutuhkan rencana respons risiko secara
keseluruhan untuk mengajukan keluhan dengan kerangka pengendalian internal COSO.

4.11 Control Activities Principle 10: Selecting Control Activities That Mitigate Risks
Sebagai dari lingkungan pengendalian internal secara keseluruhan suatu perusahaan
harus memilih dan mengembangkan kegiatan pengendalian yang berkontribusi pada mitigasi
risiko pengendalian internal terhadap pencapaian tujuan mereka ke tingkat yang dapat
diterima. Aktivitas pengendalian mencakup tindakan yang memastikan bahwa respons
terhadap risiko yang dinilai, serta arahan manajemen lainnya — seperti menetapkan kode etik
perusahaan — dilakukan dengan benar dan tepat waktu. Faktor-faktor khusus perusahaan
dapat memengaruhi aktivitas pengendalian yang diperlukan untuk mendukung sistem
pengendalian internal mereka:
 Lingkungan dan kompleksitas perusahaan serta sifat dan ruang lingkup operasinya,
baik secara fisik maupun logis, semuanya dapat memengaruhi aktivitas
pengendalian perusahaan.
 Perusahaan yang diatur secara ketat umumnya memiliki respons risiko dan
aktivitas pengendalian yang lebih kompleks daripada entitas yang kurang diatur.
 Cakupan dan sifat respons risiko dan aktivitas pengendalian untuk perusahaan
multinasional dengan operasi yang beragam umumnya mengacu pada struktur
pengendalian internal yang lebih kompleks daripada perusahaan domestik dengan
aktivitas yang kurang bervariasi.
 Perusahaan dengan sistem perencanaan sumber daya perusahaan yang cukup
canggih, seperti yang dibahas lebih lanjut pada bagian berikut, akan memiliki
aktivitas kontrol yang berbeda dari perusahaan yang menggunakan sistem TI yang
kurang canggih.
 Perusahaan dengan operasi terdesentralisasi dan penekanan pada otonomi daerah
dan inovasi menghadirkan lingkungan kontrol yang berbeda dari perusahaan lain
yang operasinya konstan dan sangat terpusat.
4.12 Pengendalian Prinsip 11: Memilih Dan Mengembangkan Pengendalian
Teknologi

COSO menggunakan istilah teknologi dalam prinsip ini, dan dapat mencakup bidang-
bidang seperti pembuatan robotika, instrumen pengujian farmasi, dan pengembangan produk
video elektronik berorientasi konsumen. Semua produk teknologi ini dan lebih banyak lagi
melampaui apa yang biasanya kita sebut sistem TI, dan banyak masalah dan masalah
pengendalian internal mereka benar-benar di luar jangkauan banyak auditor internal.
Mengingat keterbatasan ruang di sini, ketika COSO mereferensikan kontrol teknologi, kami
akan mereferensikan aplikasi sistem TI dan kontrol umum.

4.13 Kegiatan Pengendalian Prinsip 12: Kebijakan Dan Prosedur

Kegiatan pengendalian prinsip ketiga COSO meminta perusahaan untuk menyebarkan
kegiatan pengendaliannya melalui kebijakan dan prosedur. menentukan kebijakan aktivitas
pengendalian dan menetapkan apa yang diharapkan, serta prosedur menerapkan kebijakan
tersebut. Sementara perusahaan biasanya akan memiliki banyak kebijakan dan prosedur
untuk mencapai tujuannya, aktivitas pengendalian harus dimulai yang secara khusus
berkaitan dengan kebijakan dan prosedur tersebut dan berkontribusi pada mitigasi risiko
untuk pencapaian tujuan pada tingkat yang dapat diterima. Elemen yang harus dimiliki
perusahaan untuk menerbitkan kebijakan:
1. Tujuan kebijakan
2. Lokasi dan penerapan
3. Peran dan tanggung jawab

4.14 Informasi Dan Komunikasi Prinsip 13: Menggunakan Informasi Yang Relevan
Dan Berkualitas
Tujuan Perusahaan harus memperoleh dan menggunakan informasi yang relevan dan
berkualitas yaitu untuk mendukung fungsi komponen pengendalian internalnya. Syarat
informasi yang relevan dan berkualitas:
1. Informasi dari sumber yang relevan
2. Memproses data melalu sistem informasi

4.15 Information and Communication Principle 14: Internal Communications

Suatu perusahaan haruslah melakukan komunikasi secara internal mengenai
pengendalian informasi internal, termasuk tujuan dan tanggung jawabnya, untuk mendukung
berfungsinya komponen-komponen lain dari pengendalian internal. Perusahaan harus
menetapkan dan mengimplementasikan aturan serta prosedur yang memfasilitasi efektifitas
komunikasi internal. Hal ini termasuk komunikasi khusus dan terarah yang membahas
otoritas, tanggung jawab, dan standar perilaku individu di seluruh perusahaan.
• Internal Control Communication
Pengendalian internal terhadap komunikasi diawali dengan penyampaian dan
komunikasi tujuan. Penting bahwa sub tujuan terkait ataupun persyaratan khusus
dikomunikasikan kepada personel dengan cara yang memungkinkan untuk mereka
memahami bagaimana peran mereka mempengaruhi pencapaian tujuan perusahaan.
Melalui komunikasi tujuan dan sub-tujuan, personel harus memahami bagaimana
peran, tanggung jawab, dan tindakan yang berkaitan dengan pekerjaan orang lain di
perusahaan, tanggung jawab mereka terhadap pengendalian internal, dan apa yang dianggap
sebagai perilaku yang dapat diterima dan tidak dapat diterima. Dengan menerapkan struktur
kontrol yang tepat, wewenang, dan tanggung jawab, komunikasi kepada karyawan tentang
ekspektasi mereka untuk mempraktekkan dan menerapkan pengendalian internal yang efektif
terpengaruhi.
Namun, komunikasi mengenai tanggung jawab pengendalian internal mungkin tidak
cukup untuk memastikan bahwa manajemen dan personel lainnya menerima tanggung jawab
akuntabilitas mereka dan menanggapi sesuai dengan semestinya. Seringkali manajemen harus
mengambil tindakan tepat waktu yang konsisten dengan komunikasi tersebut untuk
menegakkan pesan yang disampaikan. Selain itu, informasi yang dibagikan melalui
komunikasi internal membantu manajemen dan personel lain untuk mengenali masalah atau
potensi masalah, menentukan penyebabnya, dan mengambil tindakan yang tepat.
• Internal Communication beyond Normal Channel
Dalam beberapa keadaan, jalur komunikasi terpisah dibutuhkan untuk membangun
mekanisme yang untuk komunikasi secara anonim atau rahasia ketika jalur umum tidaklah
beroperasi atau tidak efektif. Banyak perusahaan besar telah membentuk fungsi etika dan
beberapa jenis fungsi hotline dimana personel di semua tingkatan dapat menghubungi
mengenai masalah mereka setiap hari, dan melaporkannya, mengajukan pertanyaan, atau
bahkan bertindak sebagai pelapor untuk melaporkan berbagai masalah. Pemangku
kepentingan perusahaan harus memahami sepenuhnya bagaimana saluran komunikasi ini
beroperasi dan bagaimana para pengguna saluran tersebut akan dilindungi kerahasiaannya.
Kebijakan dan prosedur harus ada sehingga mengharuskan semua komunikasi dari saluran ini
dinilai, diprioritaskan, dan diinvestigasi. Mekanisme terpisah ini mendorong karyawan dan
pemangku kepentingan yang terkait untuk melaporkan dugaan pelanggaran kode etik
perusahaan tanpa rasa takut akan pembalasan, dan mengirimkan pesan yang jelas bahwa
manajemen senior berkomitmen untuk membuka saluran komunikasi dan akan bertindak
berdasarkan informasi yang ada.
• Methods of Communication
Kejelasan dan keefektifan informasi yang dikomunikasikan adalah suatu hal yang
penting, hal ini untuk memastikan bahwa pesan diterima sebagaimana mestinya. Manajemen
harus memilih metode komunikasi yang tepat, dengan mempertimbangkan jumlah audiens,
sifat komunikasi, ketetapan waktu, biaya, keamanan dan privasi serta persyaratan hukum atau
peraturan. Saat memilih metode atau format komunikasi, manajemen juga harus
mempertimbangkan lingkungan tempat pesan dikirim.
Terlepas dari metodenya komunikasi yang digunakan, manajemen harus
mempertimbangkan kebutuhan mereka untuk menyampaikan komunikasi kepada kedua pihak
internal terutama pihak eksternal dimana pesan yang berhubungan dengan kepatuhan
terhadap hukum dan peraturan. Komunikasi informasi yang terkait dengan tanggung jawab
pengendalian internal saja mungkin tidak cukup untuk memastikan bahwa manajemen dan
personel lain menerima dan menanggapi sebagaimana dimaksud. Tindakan yang konsisten
dan tepat waktu yang diambil oleh manajemen terkait komunikasi semacam itu memperkuat
pesan yang disampaikan.

4.16 Information and Communication Principle 15: External Communications

Prinsip COSO penting yang harus ditetapkan dan diterapkan oleh perusahaan adalah
kebijakan dan prosedur yang memfasilitasi komunikasi eksternal yang efektif. Komunikasi
dengan pihak eksternal memungkinkan orang lain untuk dengan mudah memahami peristiwa,
aktivitas, dan keadaan lain yang mungkin mempengaruhi bagaimana mereka harus
berinteraksi dengan perusahaan. Komunikasi manajemen terhadap pihak eksternal haruslah
berisikan pesan mengenai pentingnya pengendalian internal dalam perusahaan dengan
mendemonstrasikan garis komunikasi terbuka.
Masalah kompleksitas komunikasi mungkin timbul antara perusahaan dan pihak
eksternal melalui penyedia layanan dan pengaturan outsourcing lainnya, usaha patungan dan
aliansi, serta transaksi lain yang menciptakan ketergantungan timbal balik antara para pihak
tersebut. Kompleksitas seperti itu dapat menimbulkan kekhawatiran tentang bagaimana bisnis
dijalankan antar pihak. Dalam hal ini, perusahaan harus mempertimbangkan untuk membuat
saluran komunikasi terpisah yang tersedia bagi penyedia layanan eksternal untuk
memungkinkan mereka berkomunikasi secara langsung dengan manajemen dan personil lain.
Tidak jauh berbeda dengan komunikasi internal, cara manajemen berkomunikasi
secara eksternal berdampak pada kemampuannya untuk memperoleh informasi yang
dibutuhkan serta untuk memastikan bahwa pesan-pesan utama tentang perusahaan diterima
dan dipahami. Manajemen harus mempertimbangkan berbagai bentuk dan metode
komunikasi yang digunakan, dengan mempertimbangkan audiens, sifat komunikasi,
ketepatan waktu, dan persyaratan hukum atau peraturan.
4.17 Monitoring Principle 16: Internal Control Evaluations
Kegiatan pemantauan menilai apakah tujuan pengendalian internal COSO ada dan
berfungsi. Suatu perusahaan harus menggunakan proses evaluasi yang sedang berlangsung
dan terpisah untuk memastikan apakah prinsip pengendalian internal telah ditetapkan, baik di
seluruh perusahaan dan sub unitnya, berlaku, hadir, dan berfungsi. Sebuah perusahaan,
seringkali dengan dukungan audit internal, harus melakukan kegiatan pemantauan
pengendalian berkelanjutan dan mengidentifikasi dan mengomunikasikan defisiensi
pengendalian internal yang diketahui dalam lingkaran penuh proses pengendalian internal.
Idenya di sini adalah bahwa suatu perusahaan harus melalui masing-masing komponen
kontrol COSO, dan saat siklus ini bergerak ke aktivitas pemantauan, mereka bertindak
sebagai faktor peninjau atas semua komponen pengendalian internal lainnya.
Kontrol yang tidak terpantau cenderung memburuk dari waktu ke waktu, dan
perusahaan harus menerapkannya proses pemantauan untuk membantu memastikan bahwa
pengendalian internal terus beroperasi efektif. Ketika pemantauan dirancang dan diterapkan
dengan tepat, suatu perusahaan seharusnya diuntungkan karena lebih mungkin untuk :
• Mengidentifikasi dan mengoreksi masalah pengendalian internal secara tepat
waktu.
• Menghasilkan informasi yang lebih akurat dan andal untuk digunakan dalam
pengambilan keputusan.
• Menyiapkan laporan keuangan yang akurat dan tepat waktu.
• Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang
keefektifan pengendalian internal.
Seiring waktu, pemantauan yang efektif dapat mengarah pada efisiensi organisasi dan
mengurangi biaya yang terkait dengan pelaporan publik tentang pengendalian internal, karena
pemantauan masalah terkait diidentifikasi dan ditangani secara proaktif dibandingkan dengan
cara reaktif.
4.18 Monitoring Principle 17: Communicating Internal Control Deficiencies
Perusahaan harus mengkomunikasikan defisiensi pengendalian internalnya secara
tepat waktu kepada semua pihak yang bertanggung jawab untuk mengambil tindakan
korektif, termasuk manajemen senior dan dewan direksi. Perusahaan harus mengidentifikasi
hal-hal yang terkait dengan pemantauan layak mendapat perhatian yang mewakili kekurangan
potensial atau nyata dalam beberapa aspek sistem pengendalian internal perusahaan dan yang
berpotensi merugikan mempengaruhi kemampuan perusahaan untuk mencapai tujuannya.
Selain itu, perusahaan harus berusaha untuk mengidentifikasi peluang untuk meningkatkan
efisiensi pengendalian internalnya.
Hasil evaluasi pemantauan yang sedang berlangsung dan terpisah harus dinilai dengan
kriteria manajemen untuk menentukan kepada siapa harus melapor dan apa yang akan
didiskusikan, serta semua defisiensi pengendalian internal yang teridentifikasi harus
dikomunikasikan kepada para anggota manajemen perusahaan dalam posisi untuk mengambil
tindakan korektif tepat waktu. Setelah setiap defisiensi yang teridentifikasi dievaluasi,
manajemen harus menentukannya upaya remediasi dilakukan tepat waktu. Defisiensi
pengendalian internal, seperti yang diidentifikasi oleh audit internal, harus dilaporkan kepada
pihak yang bertanggung jawab untuk mengambil tindakan korektif dan setidaknya satu
tingkat manajemen atas.
Proses untuk melaporkan defisiensi pengendalian internal merupakan komponen
kunci untuk memastikan bahwa suatu perusahaan memiliki pengendalian internal yang
efektif. Manajemen perlu merancang, mengembangkan, dan meluncurkan proses
pengendalian internal yang efektif, tetapi perlu ada beberapa bentuk pemantauan proses di
tempat untuk memberikan jaminan bahwa pengendalian internal tersebut ada.