RMK

CHAPTER 3 INTERNAL CONTROL FRAMEWORK:

The COSO Standard

Di susun oleh:

Satria Putra A031181361

DEPARTEMEN AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS HASANUDDIN

2021
 Pengendalian Internal yang dijalankan oleh para auditor internal tidak lepas dari adanya
aturan ketat yang mengawasi gerak-gerik para auditor serta kalangan internal perusahaan. Aturan
tersebut tercermin lewat Standar COSO yang menjadi kerangka kerja dalam melakukan praktik
pengendalian internal di perusahaan. Acuan ini menjadi suatu pegangan auditor internal untuk
melakukan evaluasi dan penilaian operasional perusahaan apakah sudah sesuai dengan standar-
standar yang ditetapkan sebelumnya. Standar COSO ini sekitar 1970-an dalam rangka menilai
pengendalian internal di kalangan external auditor Amerika Serikat. Saat ini, berkembang
menjadi parameter pengendalian internal yang berstandar dunia. COSO Standards kini berfokus
membangun suatu pengendalian internal yang efektif dan mengevaluasi perjalanan dari konsep
yang dibangun perusahaan untuk diikuti setiap kalangan.

Memahami dan menerapkan pengendalian internal yang efektif adalah prinsip dasar dari
audit internal. Sebuah sistem pengendalian internal telah dan terus menjadi dasar untuk prosess
operasional dan akuntansi bisnis yang efektif, dan aktivitas audit internal utama melibatkan
mengevaluasi dan menilai tingkat beberapa dari kontrol.

Pengendalian internal yang efektif

Pengendalian internal adalah salah satu konsep yang paling penting dan mendasar yang
profesional bisnis di semua tingkatan dan baik auditor eksternal dan internal harus memahami.
Bisnis profesional membangun dan menggunakan pengendalian internal untuk review oleh
auditor di kedua wilayah operasional dan keuangan di enteprise dengan tujuan mengevaluasi
pengendalian internal mereka.
Definisi pengendalian internal adalah:
"Proses pengendalian internal dilaksanakan oleh manajemen, yang dirancang untuk memberikan
jaminan rasionable untuk:
- Informasi keuangan dan operasional Realiable
- Kepatuhan dengan kebijakan dan rencana prosedur, hukum, aturan, dan peraturan
- Perlindungan aset
- Strategi Operasional
- Pencapaian misi didirikan, tujuan dan sasaran untuk operasi perusahaan dan program
- Integritas dan etika nilai-nilai.”
Sebuah unit usaha atau proses memiliki pengendalian internal yang baik jika:
- Menyelesaikan misi tated dalam cara yang etis
- Menghasilkan data yang akurat dan terpercaya
- Sesuai dengan hukum yang berlaku dan kebijakan perusahaan
- Menyediakan untuk keperluan ekonomis dan efisien sumber daya
- Menyediakan untuk pengamanan sesuai aset
Definisi kontrol oleh The Institute of Internal Auditor (IIA) Standar Internasional untuk
praktek Audit Intern:
"Kontrol adalah setiap tindakan yang diambil oleh manajemen, dewan dan pihak lain untuk
mengelola risiko dan meningkatkan kemungkinan bahwa didirikan tujuan dan sasaran yang akan
dicapai. rencana manajemen, mengatur, iklan langsung kinerja tindakan yang cukup untuk
memberikan keyakinan memadai bahwa tujuan dan sasaran yang akan dicapai "

Standar pengendalian internal: background

Tidak ada kesepakatan yang konsisten dari apa yang dimaksud kontrol internal. Tapi,
peraturan SEC untuk Secuities Exchange Arts 1934 menyediakan titik awal yang baik. Jadi,
definisi dari pengendalian internal:
"Pengendalian internal terdiri rencana perusahaan dan semua koordinat metode dan langkah-
langkah yang diadopsi dengan bisnis untuk pengamanan aset, memeriksa ketepatan dan
reliabilitasnya data akuntansi, meningkatkan efisiensi operasional, dan mendorong ketaatan
terhadap kebijakan manajerial yang ditentukan"

kontrol administratif oleh AICPA meliputi:

- Rencana Tha dari perusahaan dan prosedur
- Catatan yang prihatin dengan proses pengambilan keputusan yang mengarah ke authorizatio
manajemen transaksi
Selama bertahun-tahun melalui tahun 1970-an, SEC dan AICPA dirilis banyak sering
sedikit berbeda definisi pengendalian internal.
a. definisi pengendalian internal: praktek konsep asing bertindak 1977
Foreign Corrupt Practices Act melarang tindakan suap pada pejabat non-Amerika
serta mengandung ketentuan yang mengharuskan pengelolaan pembukuan dan pencatatan
sesuai sistem kontrol akuntansi. FCPA ini secara khusus berdampak pada auditor intenal
 maupun eksternal. FCPA mengharuskan perusahaan sesuai regulasi SEC ( ketetapan
FCPA sama dengan kontrol akuntansi sesuai AICPA ) untuk :
 Membuat dan menjaga pembukuan, pencatatan, dan akun-akun terkait untuk memiliki
kejelasan secara mendetail dan akurat serta merefleksikan transaksi dan disposisi aset
perusahaan
 Merancang dan mengelola sistem pengendalian akuntansi secara internal yang
menjamin transaksi sesuai otorisasi manajemen dan persiapan laporan keuangan
sesuai prinsip akuntansi dan mengelola akuntabilitas aset sesuai GAAP atau kriteria
lainnya
o Transaksi dilakukan sesuai dengan persyaratan
o Transaksi dicatat sebagai kebutuhan
 Akses kepada aset dilakukan hanya dengan otorisasi manajemen
 Pencatatan akuntabilitas atas aset diperbandingkan dengan aset yang ada sesuai
interval wajar dan tindakan yang diambil sehubungan dengan perbedaan yang ada.
FCPA sendiri berdampak cukup signifikan pada awalnya karena manajemen
dituntu untuk bertanggungjawab atas sistem pengendalian akuntansi yang layak. FCPA
pun mengharuskan entitas untuk mengelola pencatatan akuntansi secara akurat yang
menggambarkan transaksi yang dilakukan dalam “ detail yang masuk akal “. Maksud
utama dari FCPA ini secara khusus harus menyatakan pencatatan transaksi yang akurat
dan sesuai dengan prinsip akuntansi, menghindari praktik dana gelap untuk menyediakan
laporan keuangan yang tidak sesuai, serta tindakan suap. Sejak 30 tahun lalu, FCPA
menjadi serangkaian peraturan tatakelola perusahaan yang sangat kuat untuk mengatur
perusahaan. Melalui penerapan FCPA, dewan direksi dan komite audit secara rutin
meninjau pengendalian internal yang ada di perusahaan.
FCPA adalah penting karena untuk pertama kalinya, manajemen dibuat
bertanggung jawab atas sistem yang memadai dari kontrol akuntansi internal. Selain itu,
FCPA mengharuskan perusahaan ini menyimpan catatan yang akurat mencerminkan
transaksi mereka "secara rinci wajar".
b. Dampak dari FCPA
Sejak penerapannya, FCPA berdampak besar untuk menilai dan mendokumentasi
sistem pengendalian internal yang berlaku di US. Jika perusahaan sebelumnya tidak
 pernah mendokumentasi bentuk pengendalian internal, sejak diberlakukakannya FCPA,
perusahaan tersebut memulai bentuk pengendalian internal.
Banyak perusahaan mengantisipasi adanya peraturan tambahan sejak
ditetapkannya FCPA, namun hal ini tidak terjadi. Tindakan secara legal secara mendasar
tidak serta merta dilakukan sesuai ketetapan FCPA. Misalnya, tidak adanya inspeksi
dokumen seperti yang ditetapkan di FCPA untuk diinspeksi berkala. FCPA pun akhirnya
diubah di 1990-an hanya untuk memperkuat dan mengubah kebijakan antikorupsi saja,
sekalipun fokus penetapan FCPA 1977 menerangkan pentingnya pengendalian internal
yang efektif. FCPA menjadi langkah awal bagaimana perusahaan melakukan pengendalian
internal yang efektif meski sebelumnya tidak dinyatakan dengan standar / panduan sesuai
ketetapan FCPA. Apabila fungsi kepatuhan terhadap pengendalian internal efektif
diperkuat dalam perundang-undangan ini, SOx tidak akan ada.

Event leading to the treadway commision

FCPA diperlukan perusahaan pelapor untuk mendokumentasikan kontrol internal mereka
tetapi tidak meminta auditor eksternal untuk membuktikan apakah suatu perusahaan telah
memenuhi persyaratan pelaporan pengendalian internal FCPA ini. SEC kemudian mulai studi
tentang kecukupan pengendalian intern dan mengeluarkan serangkaian laporan selama periode
10-tahun untuk lebih menentukan baik makna pengendalian intern dan tanggung jawab auditor
eksternal untuk melaporkan mereka kontrol.
Pada 1974, AICPA membentuk Komisi tingkat tinggi terkait dengan Tanggungjawab
Auditor yang dikenal dengan Cohen Commission. Komisi ini ditetapkan dalam kondisi bahwa
suatu pengendalian internal badan usaha harus diperlukan sesuai dengan laporan keuangannya.
Meski penetapan Cohen Commission hampir bebarengan dengan FCPA, banyak kritik terjadi.
Khususnya kritikan pada laporan rekomendasi yang tidak sesuai dengan apa yang dimaksud
dalam “ laporan pengendalian internal “ serta auditor eksternal berkaitan kuat dengan perannya
dalam hal yang seharusnya dilakukan auditor internal. Dahulu, auditor eksternal memerhatikan
liabilitas potensial bilamana laporan pengendalian internal menyatakan ketidaktepatan akibat
kurangnya pengertian pada pengendalian internal. Meski auditor terbiasa membuktikan
kelayakan laporan keuangan, Laporan Cohen Commission dipanggil. Hal itu dikarenakan opini
audit atas kelayakan penegasan pengendalian manajemen dalam menyusun laporan keuangan.
 Financial Executive International pun dilibatkan dalam melaporkan kontroversi pada
pengendalian internal. FEI pada 1970 mengesahkan rekomendasi pengendalian internal yang
dilakukan Cohen Commission dan menyetujui bahwa perusahaan harus melaporkan
pengendalian internal dalam bidang akuntansi. Hasilnya, banyak perusahaan US mendiskusikan
kelayakan pengendalian internal dalam laporan tahunan manajemen. Hal mengenai pengendalian
internal ini tergabung dalam laporan tahunan manajemen tanpa mengikuti standar apapun. Secara
singkat, perusahaan hanya menyatakan secara periodik tentang penilaian pengendalian internal.
Inilah yang menyebabkan terjadinya “ negative assurance “ yang selanjutnya didiskusikan karena
auditor eksternal tidak bisa mendeteksi problem yang dihadapi dan risiko litigasi potensial. Oleh
sebab itu, laporan pengendalian manajemen hanya menyatakan tidak adanya masalah sehingga
menggiring auditor untuk percaya begitu saja. SEC kemudian menerbitkan aturan tambahan yang
bersifat wajib bagi perusahaan dalam rangka sistem pengendalian akuntansi perusahaan.

a. AICPA Standard : SAS no. 55

AICPA sering dikritik sebelum penetapan SOx akibat tidak adanya panduan terhadap
auditor eksternal dan pengguna lainnya untuk mengetahui laporan kelayakan laporan
keuangan yang dipublikasi. Oleh sebab itu muncullah serangkaian Statement on Auditing
Standard dari 1980 hingga 1985, termasuk SAS no.30 yang menyediakan panduan secara
terminologi untuk digunakan dalam laporan pengendalian internal.
Namun SAS no.30 tidak begitu membantu menurut kritik akuntan publik berkaitan 7
konsep pengendalian internal. Hal itu mendorong munculnya SAS no. 55 ( Pertimbangan
Struktur Pengendalian Internal dalam Audit Laporan Keuangan ) dalam 3 elemen yaitu
Control Environment, Accounting System, dan Control procedures. SAS No.55
menunjukkan pendekatan lain untuk mengerti bentuk pengendalian internal. Sebelum adanya
SAS No.55, kebijakan pengendalian internal perusahaan tidak begitu sering dipertimbangkan
kelayakannya oleh auditor eksternal. SAS No.55 menerangkan konsep yang lebih luas
mengenai internal control dan menyediakan dasar pendefinisian internal control sesuai
COSO

b. Treadway Committee Report

 Laporan Treadway Committee bertujuan untuk mengidntifikasi faktor penyebab yang
memungkinkan terjadinya penipuan dalam pelaporan keuangan. Dasar pembentukannya
karena banyak perusahaan melaporkan kecukupan pendapatan dalam laporan keuangan yang
diaudit hanya karena untuk bertahan dari kejatuhan finansial. Isu yang berkembang saat itu
adanya inflasi tinggi saat itu dan ketidakstabilan perusahaan setelah menerbitkan laporan itu.
Laporan Final Treadway Committee diterbitkan pada 1987 dan termasuk rekomendasi pada
manajemen, dewan direksi, akuntan publik dan lainnya. Laporan ini juga dikenal sebagai
laporan manajemen dalam efektivitas sistem pengendalian internal dan menerangkan elemen
kunci dalam apa yang seharusnya ada pada :
 Kode etik
 Control Environment
 Komite Audit kompeten
 Fungsi audit internal yang kuat
Hal yang sama dengan COSO untuk mengelola Laporan Treadway, yang kemudian
kontrak dengan spesialis dari luar dan memulai proyek untuk mendefinisikan konsep
pengendalian internal. Laporan Treadway penting dalam meningkatkan perhatian dalam
pelaporan pada kontrol internal
COSO Internal Control Framework
Lima profesional audit dan akuntansi organisasi membentuk panitia-COSO-kemudian 8
merilis laporan pengendalian internal, dengan judul resmi melaporkan Pengendalian Internal atau
kerangka. Setelah beberapa penyesuaian, laporan pengendalian COSO internal akhir dirilis pada
September 1922. Meskipun tidak standar wajib kemudian, laporan mengusulkan kerangka kerja
umum untuk definisi pengendalian internal serta prosedur untuk mengevaluasi mereka kontrol.
COSO memberikan keterangan axcellent dari konsep ini multidimensi kontrol internal,
mendefinisikan pengendalian internal dengan cara:
Pengendalian internal adalah proses, dipengaruhi oleh dewan entitas direksi, manajemen, dan
personil lainnya. ro dirancang memberikan keyakinan memadai tentang pencapaian tujuan dalam
kategori berikut:
 Efektivitas dan efisiensi operasi
 Keandalan pelaporan keuangan
 Kepatuhan dengan hukum dan peraturan yang berlaku
 Berdasarkan ini definisi yang sangat umum Pengendalian Internal, COSO menggunakan
model tiga dimensi untuk menggambarkan suatu sistem pengendalian internal di perusahaan.
Ada COSO pengendalian internal framework sebagai:
 model tiga dimensi
o bisnis kontrol entitas-tingkat
o kegiatan unit usaha
 lima tingkat di sisi depan menghadap
o lingkungan pengendalian internal
Dasar dari setiap struktur pengendalian internal karena memiliki pengaruh yang luas pada
bagaimana semua kegiatan yang terstruktur dan risiko yang dinilai. Lingkungan pengendalian
merupakan dasar untuk semua komponen lain dari pengendalian internal; memiliki pengaruh
pada masing-masing tiga tujuan dan kegiatan satuan dan entitas secara keseluruhan.
Ada komponen dari lingkungan pengendalian:
a. Sebuah. integritas dan etika nilai-nilai 9
kolektif integritas dan etika nilai-nilai suatu perusahaan merupakan elemen lingkungan
pengendalian penting. Nilai-nilai ini sering didefinisikan oleh pesan nada-di-the-top
dikomunikasikan oleh manajemen senior. Jika perusahaan telah mengembangkan kode yang
kuat dari perilaku yang menekankan integritas dan etika nilai-nilai, dan jika strakeholders
muncul mengikuti kode itu, semua pemangku kepentingan akan memiliki jaminan bahwa
perusahaan memiliki baik set nilai-nilai. Sebuah kode etik merupakan komponen penting
dari tata kelola organisasi dan dibahas lebih lanjut.
b. komitmen untuk kompetensi
lingkungan pengendalian suatu perusahaan dapat terkikis serius jika sejumlah besar posisi
dipenuhi dengan orang-orang kurang keterampilan kerja yang dibutuhkan. Internal Auditor,
khususnya, akan menghadapi situasi ini dari waktu ke waktu dalam tinjauan mereka,
mewawancarai orang yang ditugaskan untuk pekerjaan tertentu yang tampaknya tidak,
memiliki keterampilan yang sesuai, pelatihan atau bahkan intelijen untuk melakukan
pekerjaan yang
c. dewan direksi dan commite Audit
lingkungan pengendalian sangat dipengaruhi oleh tindakan dari dewan perusahaan direksi
dan komite audit. Pada tahun-tahun sebelum Sox, papan dan Komite untuk audit mereka
 sering didominasi oleh manajemen senior dalam direksi, dengan representasi terbatas dari
luar, anggota dewan minoritas.
d. Filosofi manajemen dan gaya operasi
komponen kontrol intenal ini menyediakan kerangka kerja untuk perencanaan, pelaksanaan,
pengendalian dan kegiatan untuk membantu mencapai tujuan keseluruhan pemantauan.
Kontrol ini faktor lingkungan berkaitan dengan bagaimana fungsi dikelola dan diatur.
e. struktur organisasi
f. tugas wewenang dan tanggung jawab 10
Aspek kerangka-kerja COSO ini dari lingkungan pengendalian mirip dengan komponen
struktur organisasi. Struktur organisasi suatu perusahaan mendefinisikan kewajiban dan
integrasi usaha adalah keseluruhan tugasnya. Kewajiban dan otoritas pada dasarnya cara
tanggung jawab didefinisikan dalam hal deskripsi pekerjaan dan terstruktur dalam hal
grafik perusahaan.
g. kebijakan dan praktik sumber daya manusia
Praktik sumber daya manusia meliputi perekrutan, orientasi, pelatihan, evaluasi, konseling,
promosi, kompensasi dan mengambil tindakan-tindakan remedial. Area di mana kebijakan
dan praktik sumber daya manusia yang sangat penting meliputi:
- Recruitment and hiring  Perusahaan seharusnya mengambil langkah perekrutan yang
terbaik dengan memberikan kualifikasi kandidat dan wawancara.
- New employee orientation  Karyawan baru seharusnya diberi sinyal yang jelas terkait
sistem nilai perusahaan dan konsekuensi ketika tidak mematuhi nilai tersebut. Karyawan
baru juga dikenalkan dengan kode perintah dan meminta mereka dengan formal untuk
menerima kode tersebut.
- Evaluation, promotion, and compensation  Beberapa isu haruslah dievaluasi, misalnya
isu kompensasi yang dapat mengganggu kenyamanan pekerja.
- Disciplinary actions  Konsisten terhadap kebijakan perlu dilakukan untuk memberikan
aksi disiplin.

h. penilaian risiko pengendalian internal

 Penilaian risiko pengendalian internal COSO harus menjadi proses ke depan yang
dilakukan di semua tingkat dan untuk hampir semua kegiatan dalam perusahaan. COSO
menggambarkan penilaian risiko sebagai proses tiga langkah:
 Perkirakan signifikansi risiko.
 Menilaikemungkinan atau frekuensi risiko yang terjadi.
 Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa harus
diambil.
Berbagai macam risiko, yang disebabkan oleh salah satu sumber internal atau
eksternal, dapat mempengaruhi perusahaan secara keseluruhan. Pengendalian internal
COSO menunjukkan bahwa risiko harus dipertimbangkan dari tiga perspektif:
 Enterprise risks due to external factors 11
Termasuk resiko perkembangan teknologi yang dapat mempengaruhi sifat dan
waktu penelitian dan pengembangan produk baru atau menyebabkan perubahan
dalam proses pengadaan. Resiko dari faktor eksternal lainnya mencakup kebutuhan
pelanggan yang berubah atau harapan, harga, garansi, atau aktivitas layanan.
 Enterprise risks due to internalfactors
Sebagai auditor internal sering menyoroti tinjauan mereka terusmenerus, akan ada
banyak jenis tingkat risiko perusahaan. Sebagai contoh, gangguan dalam IT server
suatu perusahaana atau yang lainnya yang dapat mempengaruhi operasi perusahaan
secara keseluruhan. Selain itu, kualitas kerja karyawan, serta pelatihan atau
motivasi, dapat mempengaruhi tingkat kepedulian terhadap pengendalian dalam
entitas. Selain itu, sejauh mana kemudahan akses karyawan terhadap aktiva yang
dapat berakibat untuk penyalahgunaan sumber daya. Meskipunsekarang dapat diatasi
oleh SOX, laporan pengendalian internal COSO juga menyebutkan bahwa resiko
ketidak tegasan atau ketidak efektifan dari dewan komisaris dan komite audit
dapat memberikan peluang untuk tidak bijaksana.
 Specified activity-level risk
Resiko juga harus dipertimbangkan untuk setiap unit bisnis yang signifikan dan
aktivitas kunci, seperti untuk pemasaran, IT, dan keuangan. Hal ini diperlukan
mengingat resiko-resiko ini dikhawatirkan tidak terdeteksi pada dua perspektif lainnya.
i. kegiatan pengendalian internal
 Adalah kebijakan dan prosedur yang membantu memastikan bahwa tindakan
yangdiidentifikasi untuk mengatasi risiko dilakukan, menyusul berbagai kegiatan kontrol
sub-proses
j. informasi dan komunikasi pengendalian intern
Informasi yang tepat, didukung oleh sistem IT, kenaikan dan penurunan perusahaan 12
harus dikomunikasikan dengan cara dan waktu yang memungkinkan orang untuk
melaksanakan tanggung jawab mereka. Selain sistem komunikasi formal dan informal,
perusahaan harus memiliki prosedur yang efektif untuk berkomunikasi dengan pihak
internal dan eksternal perushaan. Informasi tersebut harus dikomunikasikan dan
dipahami untuk setiap evaluasi pengendalian internal perusahaan. Sebuah perusahaan
membutuhkan informasi di semua tingkatan untuk mencapai tujuan operasional,
keuangan, dan kepatuhan. Sebagai contoh, perusahaan membutuhkan informasi untuk
menyiapkan laporan keuangan yang dikomunikasikan kepada investor luar untuk
membuat keputusan pemasaran yang tepat.

Types of Control Activities

- Top-level reviews
Manajemen dan auditor internal di berbagai tingkatan, harus meninjau hasil
kinerja mereka. Langkah manajemen untuk menindaklanjuti hasil review tersebut dan
melakukan tindakan perbaikan merupakan aktivitas pengendalian.
- Direct functional or activity management
Manajer di berbagai tingkatan harus menelaah laporan operasional dari sistem
kontrol mereka dan mengambil tindakan korektif yang diperlukan. Banyak sistem
manajemen telah dibangun untuk menghasilkan laporan pengecualian tersebut meliputi
kegiatan pengendalian. Sebagai contoh, sebuah keamanan sistem TI akan memiliki
mekanisme untuk melaporkan upaya akses yang di otorisasi. Kegiatanpengendalian di
sini adalah proses pengelolaan untuk menindaklanjuti laporkan kejadian dan mengambil
tindakan koreksi yang tepat.
- Information processing
Sistem TI mengandung banyak pengendalian internal di mana sistem memeriksa
kepatuhan di area tertentu dan kemudian melaporkan setiap pengecualian pengendalian
 internal. Itemitem pengecualian yang dilaporkan harus ada tindakan korektif dari prosedur
sistem otomatis, oleh pegawai operasional, atau oleh manajemen. Kegiatan pengendalian
lainnya termasuk kontrol atas pengembangan system yang baru atau kelebian akses ke data
dan file program.
- Physical controls
Perusahaan harus memiliki kontrol yang sesuai terhadap fisik aset, termasuk
perlengkapan, persediaan, dan surat berharga. Program aktif dari persediaan fisik secara
berkala merupakan aktivitas pengendalian utama di sini, dan auditor internal dapat memainkan
peran utama dalam pengawasan kepatuhan.
- Performance indicators
Manajemen harus mengacu pada sekumpulan data, baik operasional dan keuangan,
dan mengambil Langkah analitis, investigasi, atau koreksi yang tepat. Proses ini
merupakan kegiatan usaha kontrol yang penting yang juga dapat memenuhi persyaratan
laporan keuangan dan operasional.
- Segregation of duties.
Tugas harus dipisahkan antara orang yang berbeda untuk langkah mengurangi risiko
kesalahan atau yang tidak pantas. Kegiatan pengendalian ini termasuk dalam laporan
pengendalian internal COSO tetapi hanya mewakili sebagian kecil dari banyaknya
kegiatan pengawasan yang dilakukan dalam kegiatan normal perusahaan. Kegiatan
pengendalian biasanya melibatkan kebijakan menetapkan apa harus dilakukan dan prosedur
untuk dampak kebijakan tersebut.

o Integration Of Control Activities With Risk Assessment

Aktivitas pengendalian harus terkait erat dengan risiko yang teridentifikasi
dari komponen penilaian risiko pengendalian internal COSO. Pengendalian internal
adalah suatu proses, dan kegiatan pengendalian yang sesuai harus diterapkanuntuk
mengatasi risiko diidentifikasi. Aktivitas pengendalian tidak boleh dilakukanhanya
karena mereka tampaknya menjadi hal yang benar untuk dilakukan bahkan jika tidak
ada risiko yang signifikan di daerah di mana aktivitas pengendalianakan diterapkan.
o Controls Over Information Systems
 Pengendalian internal COSO framework menekankan bahwa prosedur
pengendalian diperlukan atas semua sistem keuangan pembentukan IT yang
signifikan atau sistem informasi keuangan, operasional, dan kepatuhan yang terkait.
o Communications and Information

Quality of Information
Kualitas dari informasi laporan internal kontrol COSO mempunyai suatu ringkasan
pada pentingnya kualitas informasi. Kualitas system informasi yang buruk, dipenuhi dengan
kesalahan dan kelalaian, mempengaruhi kemampuan manajemen untuk membuat keputusan
yang tepat. Laporan harus mengandung cukup data dan informasi untuk mendukung
keefektifan aktivitas pengendalian internal. Dan untuk menentukan kualitas informasi, kita
harus memastikan apakah:
 Isi informasi yang dilaporkan adalah tepat.
 Informasi ini tepat waktu dan tersedia pada saat diperlukan.
 Informasi ini saat ini atau setidaknya terbaru yang tersedia.
 Data dan informasi sudah benar.
 Informasi ini dapat diakses kepada pihak yang sesuai.
Monitoring
Sistem nternal kontrol akan bekerja secara efektif dengan dukungan yang memadai dari
manajemen, prosedur kontrol, dan keterkaitan informasi dan komunikasi, proses monitoring
harus ada untuk memantau kegiatan ini. Internal auditor melakukan review untuk menilai
kesesuaian dengan prosedur yang ditetapkan. Sebuah proses pemantauan harus ada, untuk
menilai keefektifan komponen yang ditetapkan dalam pengendalian internal dan untuk
mengambil tindakan korektif jika diperlukan.
a. On Going Monitor Activities
Pengendalian COSO internal memberikan contoh komponen pemantauan terus menerus
terhadap pengendalian internal :
 Fungsi normal manajemen operasi. Manajemen melakukanreview atas laporan 14
operasi dan keuangan merupakan suatu pemantauan penting kegiatan. Namun,
perhatian khusus harus diberikan untuk pengecualian yang dilaporkan dan potensi
penyimpangan pengendalian internal. Pengendalian internal ditingkatkan jika laporan
 yang ditelaah secara berkala dan adanya tindakan korektif untuk setiap
pengecualian yang dilaporkan.
 Komunikasi dari pihak eksternal. Komunikasi dengan pihak ekstenal bisa sebagai
ukuran pemantauan, seperti keluhan pelanggan terhadap nomor telepon, adalah
penting, namun, perusahaan perlu memonitor panggilan tersebut dan kemudian
melakukan tindakan korektif jika diperlukan.
 Struktur dan kegiatan pengawasan perusahaan. Sementara manajemen senior harus
selalu meninjau ringkasan laporan dan mengambil langkah korektif, yang pertama
tingkat pengawasan dan struktur perusahaan sering terkait bahkan peran yang lebih
signifikan dalam pemantauan. COSO menekankan pentingnya pemisahan tugas yang
memadai. Membagi tugas antara karyawan yang memungkinkan mereka untuk
melayani sebagai cek pemantauan satu sama lain.
 Rekonsiliasi fisik persediaan dan aset. Setiap fungsi atau proses kegiatan perusahaan
yang direview secara teratur dan kemudian menyarankan Langkah perbaikan yang
potensial dapat dianggap sebagai kegiatan monitoring.
b. Separate Internal Control Evaluation
Proses evaluasi Pengendalian Internal COSO harus:
1. Mengembangkan pemahaman tentang desain sistem,
2. Uji kontrol utama, dan
3. Mengembangkan kesimpulan berdasarkan hasil tes. Ini benarbenar proses audit
internal.