3.

3 Event leading to the treadway commision

FCPA diperlukan perusahaan pelapor untuk mendokumentasikan kontrol internal

mereka tetapi tidak meminta auditor eksternal untuk membuktikan apakah suatu perusahaan
telah memenuhi persyaratan pelaporan pengendalian internal FCPA ini. SEC kemudian mulai
studi tentang kecukupan pengendalian intern dan mengeluarkan serangkaian laporan selama
periode 10-tahun untuk lebih menentukan baik makna pengendalian intern dan tanggung
jawab auditor eksternal untuk melaporkan mereka kontrol.
Pada 1974, AICPA membentuk Komisi tingkat tinggi terkait dengan Tanggungjawab
Auditor yang dikenal dengan Cohen Commission. Komisi ini ditetapkan dalam kondisi
bahwa suatu pengendalian internal badan usaha harus diperlukan sesuai dengan laporan
keuangannya. Meski penetapan Cohen Commission hampir bebarengan dengan FCPA,
banyak kritik terjadi. Khususnya kritikan pada laporan rekomendasi yang tidak sesuai dengan
apa yang dimaksud dalam “ laporan pengendalian internal “ serta auditor eksternal berkaitan
kuat dengan perannya dalam hal yang seharusnya dilakukan auditor internal. Dahulu, auditor
eksternal memerhatikan liabilitas potensial bilamana laporan pengendalian internal
menyatakan ketidaktepatan akibat kurangnya pengertian pada pengendalian internal. Meski
auditor terbiasa membuktikan kelayakan laporan keuangan, Laporan Cohen Commission
dipanggil. Hal itu dikarenakan opini audit atas kelayakan penegasan pengendalian
manajemen dalam menyusun laporan keuangan.
Financial Executive International pun dilibatkan dalam melaporkan kontroversi pada
pengendalian internal. FEI pada 1970 mengesahkan rekomendasi pengendalian internal yang
dilakukan Cohen Commission dan menyetujui bahwa perusahaan harus melaporkan
pengendalian internal dalam bidang akuntansi. Hasilnya, banyak perusahaan US
mendiskusikan kelayakan pengendalian internal dalam laporan tahunan manajemen. Hal
mengenai pengendalian internal ini tergabung dalam laporan tahunan manajemen tanpa
mengikuti standar apapun. Secara singkat, perusahaan hanya menyatakan secara periodik
tentang penilaian pengendalian internal. Inilah yang menyebabkan terjadinya “ negative
assurance “ yang selanjutnya didiskusikan karena auditor eksternal tidak bisa mendeteksi
problem yang dihadapi dan risiko litigasi potensial. Oleh sebab itu, laporan pengendalian
manajemen hanya menyatakan tidak adanya masalah sehingga menggiring auditor untuk
percaya begitu saja. SEC kemudian menerbitkan aturan tambahan yang bersifat wajib bagi
perusahaan dalam rangka sistem pengendalian akuntansi perusahaan.
a. AICPA Standard : SAS no. 55
AICPA sering dikritik sebelum penetapan SOx akibat tidak adanya panduan
terhadap auditor eksternal dan pengguna lainnya untuk mengetahui laporan kelayakan
laporan keuangan yang dipublikasi. Oleh sebab itu muncullah serangkaian Statement on
Auditing Standard dari 1980 hingga 1985, termasuk SAS no.30 yang menyediakan
panduan secara terminologi untuk digunakan dalam laporan pengendalian internal.
Namun SAS no.30 tidak begitu membantu menurut kritik akuntan publik berkaitan
konsep pengendalian internal. Hal itu mendorong munculnya SAS no. 55
( Pertimbangan Struktur Pengendalian Internal dalam Audit Laporan Keuangan ) dalam 3
elemen yaitu Control Environment, Accounting System, dan Control procedures. SAS
No.55 menunjukkan pendekatan lain untuk mengerti bentuk pengendalian internal.
Sebelum adanya SAS No.55, kebijakan pengendalian internal perusahaan tidak begitu
sering dipertimbangkan kelayakannya oleh auditor eksternal. SAS No.55 menerangkan
konsep yang lebih luas mengenai internal control dan menyediakan dasar pendefinisian
internal control sesuai COSO

b. Treadway Committee Report

Laporan Treadway Committee bertujuan untuk mengidntifikasi faktor penyebab

yang memungkinkan terjadinya penipuan dalam pelaporan keuangan. Dasar
pembentukannya karena banyak perusahaan melaporkan kecukupan pendapatan dalam
laporan keuangan yang diaudit hanya karena untuk bertahan dari kejatuhan finansial. Isu
yang berkembang saat itu adanya inflasi tinggi saat itu dan ketidakstabilan perusahaan
setelah menerbitkan laporan itu. Laporan Final Treadway Committee diterbitkan pada
1987 dan termasuk rekomendasi pada manajemen, dewan direksi, akuntan publik dan
lainnya. Laporan ini juga dikenal sebagai laporan manajemen dalam efektivitas sistem
pengendalian internal dan menerangkan elemen kunci dalam apa yang seharusnya ada
pada:

 Kode etik
 Control Environment
 Komite Audit kompeten
 Fungsi audit internal yang kuat
 Hal yang sama dengan COSO untuk mengelola Laporan Treadway, yang
kemudian kontrak dengan spesialis dari luar dan memulai proyek untuk mendefinisikan
konsep pengendalian internal. Laporan Treadway penting dalam meningkatkan perhatian
dalam pelaporan pada kontrol internal

3.4 COSO Internal Control Framework

Lima profesional audit dan akuntansi organisasi membentuk panitia-COSO-

kemudian merilis laporan pengendalian internal, dengan judul resmi melaporkan
Pengendalian Internal atau kerangka. Setelah beberapa penyesuaian, laporan
pengendalian COSO internal akhir dirilis pada September 1922. Meskipun tidak standar
wajib kemudian, laporan mengusulkan kerangka kerja umum untuk definisi pengendalian
internal serta prosedur untuk mengevaluasi mereka kontrol.

COSO memberikan keterangan axcellent dari konsep ini multidimensi kontrol

internal, mendefinisikan pengendalian internal dengan cara:

Pengendalian internal adalah proses, dipengaruhi oleh dewan entitas direksi, manajemen,
dan personil lainnya. ro dirancang memberikan keyakinan memadai tentang pencapaian
tujuan dalam kategori berikut:

 Efektivitas dan efisiensi operasi

 Keandalan pelaporan keuangan
 Kepatuhan dengan hukum dan peraturan yang berlaku

Berdasarkan ini definisi yang sangat umum Pengendalian Internal, COSO

menggunakan model tiga dimensi untuk menggambarkan suatu sistem pengendalian
internal di perusahaan. Ada COSO pengendalian internal framework sebagai:

 model tiga dimensi

o bisnis kontrol entitas-tingkat
o kegiatan unit usaha
 lima tingkat di sisi depan menghadap
o lingkungan pengendalian internal
 Dasar dari setiap struktur pengendalian internal karena memiliki
pengaruh yang luas pada bagaimana semua kegiatan yang terstruktur dan risiko
yang dinilai. Lingkungan pengendalian merupakan dasar untuk semua
komponen lain dari pengendalian internal; memiliki pengaruh pada masing-
masing tiga tujuan dan kegiatan satuan dan entitas secara keseluruhan.

Ada komponen dari lingkungan pengendalian:

a. Sebuah. integritas dan etika nilai-nilai

kolektif integritas dan etika nilai-nilai suatu perusahaan merupakan
elemen lingkungan pengendalian penting. Nilai-nilai ini sering
didefinisikan oleh pesan nada-di-the-top dikomunikasikan oleh
manajemen senior. Jika perusahaan telah mengembangkan kode yang
kuat dari perilaku yang menekankan integritas dan etika nilai-nilai, dan
jika strakeholders muncul mengikuti kode itu, semua pemangku
kepentingan akan memiliki jaminan bahwa perusahaan memiliki baik
set nilai-nilai. Sebuah kode etik merupakan komponen penting dari tata
kelola organisasi dan dibahas lebih lanjut.
b. komitmen untuk kompetensi
lingkungan pengendalian suatu perusahaan dapat terkikis serius jika
sejumlah besar posisi dipenuhi dengan orang-orang kurang
keterampilan kerja yang dibutuhkan. Internal Auditor, khususnya, akan
menghadapi situasi ini dari waktu ke waktu dalam tinjauan mereka,
mewawancarai orang yang ditugaskan untuk pekerjaan tertentu yang
tampaknya tidak, memiliki keterampilan yang sesuai, pelatihan atau
bahkan intelijen untuk melakukan pekerjaan yang
c. dewan direksi dan commite Audit
lingkungan pengendalian sangat dipengaruhi oleh tindakan dari dewan
perusahaan direksi dan komite audit. Pada tahun-tahun sebelum Sox,
papan dan Komite untuk audit mereka sering didominasi oleh
manajemen senior dalam direksi, dengan representasi terbatas dari luar,
anggota dewan minoritas.
d. Filosofi manajemen dan gaya operasi
 komponen kontrol intenal ini menyediakan kerangka kerja untuk
perencanaan, pelaksanaan, pengendalian dan kegiatan untuk membantu
mencapai tujuan keseluruhan pemantauan. Kontrol ini faktor
lingkungan berkaitan dengan bagaimana fungsi dikelola dan diatur.
e. struktur organisasi
f. tugas wewenang dan tanggung jawab
10
Aspek kerangka-kerja COSO ini dari lingkungan pengendalian mirip
dengan komponen struktur organisasi. Struktur organisasi suatu
perusahaan mendefinisikan kewajiban dan integrasi usaha adalah
keseluruhan tugasnya. Kewajiban dan otoritas pada dasarnya cara
tanggung jawab didefinisikan dalam hal deskripsi pekerjaan dan
terstruktur dalam hal grafik perusahaan.
g. kebijakan dan praktik sumber daya manusia
Praktik sumber daya manusia meliputi perekrutan, orientasi, pelatihan,
evaluasi, konseling, promosi, kompensasi dan mengambil tindakan-
tindakan remedial. Area di mana kebijakan dan praktik sumber daya
manusia yang sangat penting meliputi:
- Recruitment and hiring  Perusahaan seharusnya mengambil
langkah perekrutan yang terbaik dengan memberikan kualifikasi
kandidat dan wawancara.
- New employee orientation  Karyawan baru seharusnya diberi
sinyal yang jelas terkait sistem nilai perusahaan dan konsekuensi
ketika tidak mematuhi nilai tersebut. Karyawan baru juga dikenalkan
dengan kode perintah dan meminta mereka dengan formal untuk
menerima kode tersebut.
- Evaluation, promotion, and compensation  Beberapa isu haruslah
dievaluasi, misalnya isu kompensasi yang dapat mengganggu
kenyamanan pekerja.
- Disciplinary actions  Konsisten terhadap kebijakan perlu dilakukan
untuk memberikan aksi disiplin.
h. penilaian risiko pengendalian internal
Penilaian risiko pengendalian internal COSO harus menjadi proses
ke depan yang dilakukan di semua tingkat dan untuk hampir semua
kegiatan dalam perusahaan. COSO menggambarkan penilaian risiko
sebagai proses tiga langkah:
 Perkirakan signifikansi risiko.
 Menilaikemungkinan atau frekuensi risiko yang terjadi.
 Pertimbangkan bagaimana risiko harus dikelola dan menilai
tindakan apa harus diambil.

Berbagai macam risiko, yang disebabkan oleh salah satu

sumber internal atau eksternal, dapat mempengaruhi perusahaan
secara keseluruhan. Pengendalian internal COSO menunjukkan
bahwa risiko harus dipertimbangkan dari tiga perspektif:

11
 Enterprise risks due to external factors
Termasuk resiko perkembangan teknologi yang dapat
mempengaruhi sifat dan waktu penelitian dan pengembangan
produk baru atau menyebabkan perubahan dalam proses
pengadaan. Resiko dari faktor eksternal lainnya mencakup
kebutuhan pelanggan yang berubah atau harapan, harga,
garansi, atau aktivitas layanan.
 Enterprise risks due to internalfactors
Sebagai auditor internal sering menyoroti tinjauan mereka
terusmenerus, akan ada banyak jenis tingkat risiko
perusahaan. Sebagai contoh, gangguan dalam IT server suatu
perusahaana atau yang lainnya yang dapat mempengaruhi
operasi perusahaan secara keseluruhan. Selain itu, kualitas
kerja karyawan, serta pelatihan atau motivasi, dapat
mempengaruhi tingkat kepedulian terhadap pengendalian
dalam entitas. Selain itu, sejauh mana kemudahan akses
karyawan terhadap aktiva yang dapat berakibat untuk
penyalahgunaan sumber daya. Meskipunsekarang dapat diatasi
oleh SOX, laporan pengendalian internal COSO juga
menyebutkan bahwa resiko ketidak tegasan atau ketidak
efektifan dari dewan komisaris dan komite audit dapat
memberikan peluang untuk tidak bijaksana.
  Specified activity-level risk
Resiko juga harus dipertimbangkan untuk setiap unit bisnis yang
signifikan dan aktivitas kunci, seperti untuk pemasaran, IT,
dan keuangan. Hal ini diperlukan mengingat resiko-resiko
ini dikhawatirkan tidak terdeteksi pada dua perspektif lainnya.
i. kegiatan pengendalian internal
Adalah kebijakan dan prosedur yang membantu memastikan bahwa
tindakan yangdiidentifikasi untuk mengatasi risiko dilakukan,
menyusul berbagai kegiatan kontrol sub-proses
j. informasi dan komunikasi pengendalian intern
k. Informasi yang tepat, didukung oleh sistem IT, kenaikan dan
penurunan perusahaan harus dikomunikasikan dengan cara dan
waktu yang memungkinkan orang untuk melaksanakan tanggung
jawab mereka. Selain sistem komunikasi formal dan informal,
perusahaan harus memiliki prosedur yang efektif untuk berkomunikasi
dengan pihak internal dan eksternal perushaan. Informasi tersebut
harus dikomunikasikan dan dipahami untuk setiap evaluasi
pengendalian internal perusahaan. Sebuah perusahaan membutuhkan
informasi di semua tingkatan untuk mencapai tujuan operasional,
keuangan, dan kepatuhan. Sebagai contoh, perusahaan membutuhkan
informasi untuk menyiapkan laporan keuangan yang
dikomunikasikan kepada investor luar untuk membuat keputusan
pemasaran yang tepat.

Types of Control Activities

- Top-level reviews

Manajemen dan auditor internal di berbagai tingkatan, harus meninjau hasil

kinerja mereka. Langkah manajemen untuk menindaklanjuti hasil review tersebut dan
melakukan tindakan perbaikan merupakan aktivitas pengendalian.

- Direct functional or activity management

Manajer di berbagai tingkatan harus menelaah laporan operasional dari sistem

kontrol mereka dan mengambil tindakan korektif yang diperlukan. Banyak sistem
 manajemen telah dibangun untuk menghasilkan laporan pengecualian tersebut
meliputi kegiatan pengendalian. Sebagai contoh, sebuah keamanan sistem TI akan
memiliki mekanisme untuk melaporkan upaya akses yang di otorisasi.
Kegiatanpengendalian di sini adalah proses pengelolaan untuk menindaklanjuti
laporkan kejadian dan mengambil tindakan koreksi yang tepat.

- Information processing

Sistem TI mengandung banyak pengendalian internal di mana sistem memeriksa

kepatuhan di area tertentu dan kemudian melaporkan setiap pengecualian
pengendalian internal. Itemitem pengecualian yang dilaporkan harus ada tindakan
korektif dari prosedur sistem otomatis, oleh pegawai operasional, atau oleh
manajemen. Kegiatan pengendalian lainnya termasuk kontrol atas pengembangan
system yang baru atau kelebian akses ke data dan file program.

- Physical controls

Perusahaan harus memiliki kontrol yang sesuai terhadap fisik aset, termasuk
perlengkapan, persediaan, dan surat berharga. Program aktif dari persediaan fisik secara
berkala merupakan aktivitas pengendalian utama di sini, dan auditor internal dapat
memainkan peran utama dalam pengawasan kepatuhan.

- Performance indicators

Manajemen harus mengacu pada sekumpulan data, baik operasional dan keuangan,
dan mengambil Langkah analitis, investigasi, atau koreksi yang tepat. Proses ini
merupakan kegiatan usaha kontrol yang penting yang juga dapat memenuhi
persyaratan laporan keuangan dan operasional.

- Segregation of duties.

13
Tugas harus dipisahkan antara orang yang berbeda untuk langkah mengurangi
risiko kesalahan atau yang tidak pantas. Kegiatan pengendalian ini termasuk dalam
laporan pengendalian internal COSO tetapi hanya mewakili sebagian kecil dari
banyaknya kegiatan pengawasan yang dilakukan dalam kegiatan normal
perusahaan. Kegiatan pengendalian biasanya melibatkan kebijakan menetapkan apa
harus dilakukan dan prosedur untuk dampak kebijakan tersebut.
Integration Of Control Activities With Risk Assessment

Aktivitas pengendalian harus terkait erat dengan risiko yang teridentifikasi

dari komponen penilaian risiko pengendalian internal COSO. Pengendalian internal
adalah suatu proses, dan kegiatan pengendalian yang sesuai harus diterapkanuntuk
mengatasi risiko diidentifikasi. Aktivitas pengendalian tidak boleh dilakukanhanya
karena mereka tampaknya menjadi hal yang benar untuk dilakukan bahkan jika tidak
ada risiko yang signifikan di daerah di mana aktivitas pengendalianakan diterapkan.

Controls Over Information Systems

Pengendalian internal COSO framework menekankan bahwa prosedur

pengendalian diperlukan atas semua sistem keuangan pembentukan IT yang
signifikan atau sistem informasi keuangan, operasional, dan kepatuhan yang terkait.

Communications and Information

Quality of Information

Kualitas dari informasi laporan internal kontrol COSO mempunyai suatu

ringkasan pada pentingnya kualitas informasi. Kualitas system informasi yang buruk,
dipenuhi dengan kesalahan dan kelalaian, mempengaruhi kemampuan manajemen
untuk membuat keputusan yang tepat. Laporan harus mengandung cukup data dan
informasi untuk mendukung keefektifan aktivitas pengendalian internal. Dan untuk
menentukan kualitas informasi, kita harus memastikan apakah:

 Isi informasi yang dilaporkan adalah tepat.

 Informasi ini tepat waktu dan tersedia pada saat diperlukan.
 Informasi ini saat ini atau setidaknya terbaru yang tersedia.
 Data dan informasi sudah benar.
 Informasi ini dapat diakses kepada pihak yang sesuai.

Monitoring

Sistem nternal kontrol akan bekerja secara efektif dengan dukungan yang
memadai dari manajemen, prosedur kontrol, dan keterkaitan informasi dan
komunikasi, proses monitoring harus ada untuk memantau kegiatan ini. Internal
auditor melakukan review untuk menilai kesesuaian dengan prosedur yang ditetapkan.
Sebuah proses pemantauan harus ada, untuk menilai keefektifan komponen yang
ditetapkan dalam pengendalian internal dan untuk mengambil tindakan korektif jika
diperlukan.

a. On Going Monitor Activities

Pengendalian COSO internal memberikan contoh komponen pemantauan terus

menerus terhadap pengendalian internal :

14
 Fungsi normal manajemen operasi. Manajemen melakukanreview atas laporan
operasi dan keuangan merupakan suatu pemantauan penting kegiatan. Namun,
perhatian khusus harus diberikan untuk pengecualian yang dilaporkan dan
potensi penyimpangan pengendalian internal. Pengendalian internal ditingkatkan
jika laporan yang ditelaah secara berkala dan adanya tindakan korektif untuk
setiap pengecualian yang dilaporkan.
 Komunikasi dari pihak eksternal. Komunikasi dengan pihak ekstenal bisa
sebagai ukuran pemantauan, seperti keluhan pelanggan terhadap nomor telepon,
adalah penting, namun, perusahaan perlu memonitor panggilan tersebut dan
kemudian melakukan tindakan korektif jika diperlukan.
 Struktur dan kegiatan pengawasan perusahaan. Sementara manajemen senior harus
selalu meninjau ringkasan laporan dan mengambil langkah korektif, yang pertama
tingkat pengawasan dan struktur perusahaan sering terkait bahkan peran yang
lebih signifikan dalam pemantauan. COSO menekankan pentingnya pemisahan
tugas yang memadai. Membagi tugas antara karyawan yang memungkinkan
mereka untuk melayani sebagai cek pemantauan satu sama lain.
 Rekonsiliasi fisik persediaan dan aset. Setiap fungsi atau proses kegiatan perusahaan
yang direview secara teratur dan kemudian menyarankan Langkah perbaikan yang
potensial dapat dianggap sebagai kegiatan monitoring.
b. Separate Internal Control Evaluation

Proses evaluasi Pengendalian Internal COSO harus:

1. Mengembangkan pemahaman tentang desain sistem,

2. Uji kontrol utama, dan
 Mengembangkan kesimpulan berdasarkan hasil tes. Ini benarbenar proses audit
internal.