Sistem pengendalian internal terdiri dari kebijakan dan prosedur yang dirancang untuk memberikan keyakinan memadai kepada manajemen bahwa perusahaan mencapai tujuan dan sasarannya. Manajemen biasanya memiliki tiga tujuan luas dalam merancang sistem pengendalian internal yang efektif, yaitu keandalan pelaporan keuangan, efisiensi dan efektivitas operasi, serta kepatuhan terhadap hukum dan peraturan. 2. Tanggung Jawab Manajemen dan Auditor untuk Pengendalian Internal Manajemen bertanggung jawab untuk membangun dan memelihara internal entitas kontrol. Sedangkan, tanggung jawab auditor yaitu memahami dan menguji pengendalian internal atas pelaporan keuangan. 1) Tanggung jawab manajemen untuk membangun pengendalian internat. Dua konsep yang mendasari desain menajemen dan implementasi pengendalian internal, yaitu jaminan yang masuk akal dan keterbatasan inheren. 2) Tanggung jawab pelaporan bagian 404 manajemen Bagian 404(a) dari Sarbanes-Oxley Act mensyaratkan pengelolaan semua perusahaan publik wajib menerbitkan laporan pengendalian internal yang memuat hal-hal pernyataan bahwa manajemen bertanggung jawab untuk menetapkan dan memelihara struktur dan prosedur pengendalian internal yang memadai untuk pelaporan keuangan. 3) Tanggung jawab auditor untuk memahami pengendalian internal Terdapat dua tanggung jawab auditor untuk memahami pengendalian intenal, yaitu kontrol atas keandalan pelaporan keuangan, dan kontrol atas kelas transaksi. 4) Tanggung jawab auditor untuk pelaporan pengendalian internal Untuk menyatakan opini atas pengendalian ini, auditor memperoleh pemahaman tentang dan melakukan pengujian pengendalian untuk semua saldo akun yang signifikan, golongan transaksi, dan pengungkapan dan asersi terkait dalam laporan keuangan.
3. Komponen Pengendalian Internal COSO
Kerangka kerja COSO menjelaskan lima komponen pengendalian internal yang dirancang dan diterapkan oleh manajemen untuk memberikan jaminan yang wajar bahwa tujuan pengendaliannya akan terpenuhi. Setiap komponen mengandung banyak pengendalian, tetapi auditor berkonsentrasi pada pengendalian yang dirancang untuk mencegah atau mendeteksi salah saji material dalam laporan keuangan. Komponen pengendalian internal COSO meliputi kontrol lingkungan, penilaian risiko, kegiatan pengendalian, informasi dan komunikasi, serta pemantauan. 4. Pengendalian Internal Khusus untuk Teknologi Informasi Teknologi dapat memperkuat sistem pengendalian internal perusahaan tetapi juga dapat memberikan tantangan. Untuk mengatasi risiko yang terkait dengan ketergantungan pada teknologi, organisasi sering menerapkan kontrol teknologi informasi tertentu. Standar auditing menjelaskan dua kategori kontrol untuk sistem teknologi informasi, yaitu: kontrol umum dan kontrol aplikasi. 1) Kontrol Umum berlaku untuk semua aspek fungsi teknologi informasi. Karena pengendalian umum sering diterapkan pada seluruh entitas dan mempengaruhi banyak aplikasi perangkat lunak yang berbeda, auditor mengevaluasi pengendalian umum untuk perusahaan secara keseluruhan. 2) Kontrol Aplikasi biasanya beroperasi pada tingkat proses bisnis dan berlaku untuk pemrosesan transaksi. Auditor harus mengevaluasi pengendalian aplikasi untuk setiap kelas transaksi atau akun di mana auditor berencana untuk mengurangi risiko pengendalian yang dinilai, karena pengendalian teknologi informasi akan berbeda di seluruh kelas transaksi dan akun. Kontrol aplikasi cenderung efektif hanya jika kontrol umum efektif. 5. Dampak Infrastruktur Teknologi Informasi terhadap Pengendalian Internal Hampir semua entitas termasuk bisnis kecil milik keluarga, mengandalkan teknologi informasi untuk mencatat dan memproses transaksi bisnis. Seiring pertumbuhan bisnis dan peningkatan kebutuhan informasi, mereka biasanya meningkatkan sistem teknologi informasi mereka. Beberapa jenis sistem teknologi informasi untuk pengendalian internal, yaitu jaringan area lokal (LAN), jaringan area luas (WAN), sistem manajemen berbasis data, sistem perencanaan sumber daya perusahaan (ERP), firewall, teknik enkripsi, dan tanda tangan digital.