Resume Internal Audit Minggu ke-2

Kelompok 5:
1. Ignatius William Arimatea 041711333164
2. Lisna Giacinta 041911333175
3. Denise Daniella Hidajat 041911333179
4. Ni Made Ayu Raira Pertiwi 041911333191
5. Gabriella Beatrice Elizabeth Simanjuntak 041911333194
6. Cecilia Yosephine 041911333231

Understanding Internal Controls

1. Pengendalian internal menurut COSO merupakan suatu proses yang dilakukan oleh
dewan direksi, manajemen, dan personel entitas lainnya yang dirancang untuk
menyediakan jaminan yang wajar mengenai pencapaian tujuan dalam kategori berikut :
a. Efektivitas dan efisiensi operasi
b. Keandalan pelaporan keuangan
c. Kepatuhan dengan hukum dan peraturan yang berlaku
2. Suatu unit usaha atau proses memiliki kontrol internal yang baik jika :
a. Menyelesaikan misi dengan cara yang etis
b. Menghasilkan data yang akurat dan handal
c. Mematuhi hukum dan kebijakan perusahaan yang berlaku
d. Memelihara penggunaan sumber daya yang ekonomis dan efisien, dan
e. Menetapkan pengamanan aset yang sesuai
Semua anggota perusahaan harus bertanggung jawab atas pengendalian internal agar
dapat beroperasi secara efektif.
3. Auditor eksternal, yang merupakan pendorong utama COSO, meninjau dan menilai
kontrol keuangan internal yang telah dipasang di sistem perusahaan, tetapi audit internal
dan manajemen perusahaan bertanggung jawab untuk memantau serta merancang dana
menginstal proses pengendalian internal.
4. Eksekutif bisnis serta auditor internal, spesialis TI, staf keuangan dan akuntansi, dan
lain-lain harus menyadari dan memahami kerangka pengendalian internal COSO. Seluruh
pihak harus fokus pada lima prinsip dasar yang mendukung pengendalian internal COSO
perusahaan :
 a. Sebuah organisasi harus menunjukkan komitmen terhadap integritas dan nilai-nilai
etika.
b. Dewan direksi harus menunjukkan independensi dari manajemen dan melakukan
pengawasan terhadap pengembangan dan kinerja pengendalian internal.
c. Manajemen harus menetapkan, dengan pengawasan dewan, struktur, garis pelaporan,
dan wewenang serta tanggung jawab yang sesuai dalam mencapai tujuan.
d. Organisasi harus menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten sejalan dengan tujuan.
e. Sebuah organisasi harus meminta pertanggungjawaban individu atas tanggung jawab
pengendalian internal mereka dalam mencapai tujuan.

Revised COSO Framework Business and Operating Environment Changes

1. COSO merupakan inisiatif bersama dari lima organisasi akuntansi, audit, dan keuangan
profesional sektor swasta. COSO didedikasikan untuk memberikan kepemimpinan
pemikiran melalui pengembangan kerangka kerja dan panduan tentang manajemen risiko
perusahaan, pengendalian internal, dan pencegahan penipuan.
2. COSO tidak memiliki kewenangan untuk mengeluarkan standar seperti yang ditemukan
dalam peraturan pemerintah atau pedoman organisasi profesi.
3. Kerangka kerja kontrol internal COSO yang baru dan materi panduan pendukungnya
berisi perubahan dalam bidang-bidang berikut :
a. Ekspektasi yang diperluas untuk pengawasan tata kelola
b. Peningkatan globalisasi pasar dan operasi
c. Perubahan dan kerumitan yang lebih besar dalam operasi bisnis perusahaan
d. Meningkatnya tuntutan dan kompleksitas dalam hukum, aturan, regulasi, dan standar
e. Penggunaan dan ketergantungan yang terus meningkat pada teknologi yang terus
berkembang
f. Meningkatnya kebutuhan untuk mencegah dan mendeteksi korupsi
4. Setiap perubahan COSO ini mengharuskan perusahaan untuk mengevaluasi implikasi
tersebut pada sistem pengendalian internalnya dengan penekanan pada pelaporan
keuangan eksternal, dan untuk merancang serta menerapkan tanggapan yang sesuai
sehingga sistem pengendalian internal beradaptasi dan tetap efektif dari waktu ke waktu.
Auditor internal memiliki peran kunci dalam pemahaman dan evaluasi sistem
pengendalian internal organisasi mereka.
The Revised COSO Internal Control Framework
1. COSO membagi lima komponen pengendalian internal, yaitu :
a. Control Environment → terdiri dari tindakan, kebijaksanaan, dan prosedur yang
mencerminkan sikap menyeluruh manajemen perusahaan, direktur, dan konsumen
serta pemilik suatu satuan usaha terhadap pengendalian atas satuan usaha.
Lingkungan pengendalian merupakan dasar untuk semua komponen pengendalian
intern, menyediakan disiplin dan struktur.
b. Risk Assessment → Tiga langkah risk assessment menurut penjelasan COSO adalah
estimasi risiko signifikan, assess seberapa sering risiko terjadi, pertimbangkan cara
mengelola risiko dan tindakan yang harus diambil.
c. Control Activities → prosedur yang menolong meminimalisir risiko
d. Communications and Information → setiap perusahaan harus mempunya prosedur
efektif terkait dengan komunikasi pihak internal maupun pihak eksternal. Arus
komunikasi dan informasi ini harus dimengerti untuk evaluasi internal control.
e. Monitoring → dilakukan oleh internal auditor yang melakukan review terhadap
kepatuhan.

COSO Internal Control Principles

1. Kerangka kerja COSO yang telah direvisi sekarang menyusun serangkaian prinsip yang
mendukung lima komponen internal. Versi 1992 secara implisit mencerminkan beberapa
prinsip pengendalian internal inti. Sedangkan, versi revisi secara eksplisit mendefinisikan
17 prinsip pengendalian internal yang mewakili konsep fundamental terkait dengan lima
komponen pengendalian internal. COSO membuat prinsip-prinsip ini eksplisit untuk
meningkatkan pemahaman manajemen tentang pengendalian internal yang efektif.
2. Secara keseluruhan, komponen pengendalian internal COSO dan prinsip COSO ini
merupakan kriteria dan titik fokus untuk memberikan panduan yang akan membantu
manajemen serta auditor internal dalam menilai apakah komponen pengendalian internal
ini ada, berfungsi, dan beroperasi bersama dalam suatu perusahaan
3. Kunci bagi auditor internal untuk memahami saat menggunakan kerangka COSO adalah
dengan mengingat sifat kerangka tiga dimensi tempat setiap elemen pengendalian internal
harus dipertimbangkan dalam hal hubungannya dengan komponen lain
COSO Internal Control Components : The Control Environment
1. Lingkungan pengendalian mencakup tindakan dewan direksi dan manajemen senior yang
bertanggung jawab atas pengendalian internal secara keseluruhan dan standar perilaku
yang diharapkan. Lingkungan pengendalian terdiri dari integritas dan nilai-nilai etika
perusahaan, parameter yang memungkinkan dewan direksi untuk melaksanakan tanggung
jawab pengawasannya, struktur organisasi dan penugasan wewenang dan tanggung
jawab, dan lain-lain
2. Lingkungan pengendalian yang efektif menciptakan disiplin yang mendukung penilaian
risiko yang diperlukan untuk mencapai tujuan entitas, kinerja aktivitas pengendalian,
penggunaan sistem informasi dan komunikasi, dan pelaksanaan aktivitas pemantauan.
3. Kerangka kerja pengendalian COSO memperkenalkan empat prinsip lingkungan
pengendalian internal :
a. Perusahaan harus menentukan tujuan dengan kejelasan yang memadai untuk
memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan
b. Perusahaan harus mengidentifikasi risiko terhadap pencapaian tujuannya di seluruh
entitas dan menganalisis risiko sebagai dasar untuk menentukan cara mengelola risiko
tersebut.
c. Organisasi harus mempertimbangkan potensi kecurangan dalam menilai risiko untuk
pencapaian tujuan
d. Organisasi harus mengidentifikasi dan menilai perubahan yang dapat berdampak
signifikan pada sistem pengendalian internal.

COSO INTERNAL CONTROL COMPONENTS: RISK ASSESSMENT

Penilaian risiko adalah elemen kunci dalam kerangka kerja pengendalian internal COSO,
yang terletak sebagai komponen dari kubus COSO tiga dimensi. Komponen penilaian risiko
pengendalian internal COSO adalah proses untuk menentukan bagaimana semua tingkat
risiko akan dikelola, dan prasyarat untuk penilaian risiko adalah penetapan tujuan terkait
risiko, yang terkait pada berbagai tingkat operasi perusahaan. Karena jenis dan sifat risiko
yang akan dihadapi perusahaan, manajemen harus mengidentifikasi dan menentukan tujuan
risiko mereka dalam operasi, pelaporan, dan kategori kepatuhan dengan kejelasan yang
memadai untuk dapat mengidentifikasi dan menganalisis risiko terhadap tujuan tersebut.
Manajemen juga harus mempertimbangkan kesesuaian tujuan untuk entitas tersebut.
Penilaian risiko juga mengharuskan manajemen untuk mempertimbangkan dampak dari
kemungkinan perubahan dalam lingkungan eksternal dan dalam model bisnisnya sendiri yang
dapat membuat pengendalian internalnya tidak efektif.
a. Identifikasi dan Analisis Risiko
 Proses identifikasi risiko harus mencoba untuk mempertimbangkan semua risiko
dalam suatu perusahaan, termasuk subunit dan fungsi operasionalnya, seperti
keuangan, sumber daya manusia, pemasaran, produksi, pembelian, dan manajemen
TI. Selain itu, proses ini harus mempertimbangkan risiko yang berasal dari penyedia
layanan yang dialihdayakan, pemasok utama, dan mitra penyalur yang secara
langsung atau tidak langsung mempengaruhi pencapaian tujuan perusahaan. COSO
menyarankan bahwa manajemen harus mempertimbangkan risiko yang terkait dengan
faktor internal dan eksternal.
b. Strategi Respon Risiko
Sebagai bagian dari membangun pengendalian internal COSO yang efektif,
perusahaan juga harus mengembangkan strategi manajemen risiko untuk menangani
bagaimana mereka bermaksud untuk menilai, menanggapi, dan memantau risiko.
Materi panduan pengendalian internal COSO mengidentifikasi empat pendekatan
strategi respons risiko dasar:
1. Avoidance. Ini adalah strategi untuk menjauh dari risiko. Avoidance dapat
menjadi strategi yang berpotensi mahal jika investasi dilakukan untuk masuk
ke suatu area dengan penarikan berikutnya untuk menghindari risiko.
2. Reduction. Berbagai keputusan bisnis mungkin dapat mengurangi risiko
tertentu. Ada berbagai macam strategi yang seringkali efektif untuk
mengurangi risiko di semua tingkat yang turun ke langkah biasa tetapi penting
secara operasional dari pelatihan silang karyawan.
3. Sharing. Hampir semua perusahaan maupun individu secara teratur melakukan
lindung nilai atau berbagi sebagian dari risiko mereka dengan membeli
asuransi.
4. Acceptance. Hampir semua perusahaan maupun individu secara teratur
melakukan lindung nilai atau berbagi sebagian dari risiko mereka dengan
membeli asuransi.
Keempat strategi umum ini adalah konsep kunci dalam memahami manajemen risiko, dan
auditor internal harus mengembangkan strategi respons umum untuk masing-masing risiko
dengan menggunakan pendekatan yang dibangun di sekitar salah satunya.

COSO INTERNAL CONTROL COMPONENTS: INTERNAL CONTROL

ACTIVITIES
Ketika menentukan tindakan yang direkomendasikan untuk dilakukan untuk memitigasi
risiko, auditor internal harus mempertimbangkan semua aspek dari sistem pengendalian
internal perusahaan serta proses bisnis yang relevan, sistem TI, dan lokasi di mana aktivitas
pengendalian diperlukan. Ini mungkin termasuk mempertimbangkan aktivitas pengendalian
di luar unit operasi, termasuk layanan bersama, pusat data, atau proses yang dilakukan oleh
penyedia layanan outsourcing.
Business Process Control Activities
Area penting untuk pemahaman audit internal, proses bisnis ditetapkan di seluruh perusahaan
untuk memungkinkan mereka mencapai tujuannya. Proses bisnis yang khas akan mencakup
banyak tujuan dan sub-tujuan, masing-masing dengan risiko dan respons resiko nya
sendiri-sendiri. Cara umum untuk menggabungkan risiko proses bisnis ini ke dalam bentuk
yang dapat dikelola adalah mengelompokkannya sesuai dengan tujuan proses bisnis, yaitu
kelengkapan, keakuratan, dan ketersediaan. Jika tujuan tercapai untuk setiap transaksi dalam
proses bisnis tertentu, maka sub-tujuan proses bisnis kemungkinan besar akan tercapai.
Elemen aktivitas pengendalian kerangka pengendalian internal COSO menggunakan tujuan
pemrosesan informasi berikut:
● Completeness. Transaksi yang terjadi harus dicatat. Misalnya, perusahaan dapat
mengurangi risiko tidak memproses semua transaksi dengan vendor dengan memilih
tindakan dan kontrol transaksi yang mendukung pemrosesan semua transaksi faktur
dalam prosedur bisnis yang sesuai.
● Accuracy. Transaksi harus dicatat dalam jumlah yang benar di akun yang benar dan
tepat waktu. Misalnya, kontrol transaksi atas elemen sistem utama, seperti harga
barang atau basis data induk vendor, dapat menangani keakuratan pemrosesan
transaksi pembelian. Akurasi dalam konteks proses operasional dapat didefinisikan
untuk mencakup konsep kualitas yang lebih luas, termasuk keakuratan dan ketepatan
bagian yang direkam.
● Validity. Transaksi yang tercatat merupakan peristiwa ekonomi yang benar-benar
terjadi dan kemudian dilaksanakan sesuai dengan prosedur yang telah ditentukan.
Validitas umumnya dicapai melalui aktivitas pengendalian yang mencakup otorisasi
transaksi sebagaimana ditentukan oleh kebijakan dan prosedur perusahaan
.
Types of Transaction Control Activities
Pedoman kerangka kerja Coso Internal Control memiliki beberapa jenis aktivitas
pengendalian transaksi:
1. Verifications = Membandingkan dua atau lebih item atau membandingkan suatu
barang dengan aturan kebijakan, lalu melakukan tindak lanjut ketika item yang
dibandingkan tidak cocok atau dianggap tidak konsisten dengan kebijakan
2. Reconciliations = Proses transaksi ini adalah membandingkan dua atau lebih data dan
jika ditemukan adanya perbedaan, maka akan diambil tindakan selanjutnya.
 3. Authorizations and approvals = Proses otorisasi menegaskan bahwa transaksi tersebut
valid. Otorisasi perlu di approve atau disetujui oleh manajemen level atas atau
verifikasi dan penentuan yang dihasilkan sistem bahwa transaksi valid.
4. Physical Controls = Persediaan peralatan, security, uang tunai, dan aset lainnya
biasanya digunakan secara fisik di area penyimpanan yang terkunci dan terjaga.
Transaksi dari kontrol fisik harus dihitung secara berkala dan dibandingkan dengan
catatan.
5. Controls over standing data. Standing data ​adalah elemen data yang dikembangkan
dari luar perusahaan (seringkali dari organisasi standar) yang mendukung pemrosesan
transaksi dalam perusahaan itu.
6. Supervisory Controls = proses pengendalian transaksi ini menilai apakah aktivitas
pengendalian transaksi lainnya sudah dilakukan sepenuhnya, akurat, dan sesuai
dengan prosedur dan kebijakan perusahaan.

3.8 COSO INTERNAL CONTROL COMPONENTS : INFORMATION AND

COMMUNICATION
Manajemen mendapatkan dan menggunakan informasi yang relevan dan berkualitas dari
sumber internal dan eksternal untuk mendukung fungsi dari komponen lain di dalam
pengendalian internal, dan auditor internal akan meninjau dan menilai informasi manajemen
yang sama. Communication atau komunikasi, adalah proses memberikan, menyebarkan, dan
memperoleh informasi penting. Komunikasi internal adalah informasi yang disebarkan oleh
perusahaan.
Komponen coso menjelaskan pentingan informasi disimpan oleh perusahaan dan
bagaimana informasi itu harus dikomunikasikan kepada berbagai pihak. Proses informasi dan
komunikasi harus :
a. mencatat transaksi ketika terja,a membaginya menjadi beberapa komponen (tanggal,
jumlah, nama, akun, otorisasi, dsb)
b. Proses, ringkasan dan laporan ​melaporkan informasi itu untuk tujuan manajemen dan
tujuan akuntansi
c. Menyimpan data yang diambil dan diproses dalam format yang bisa di audit, review
dan dilaporkan cepat dan mudah
d. Laporan informasi itu dalam format yang dapat digunakan untuk analisis manajemen
dan tujuan pengendalian internal
Importance of Using Relevant Information
Auditor internal harus mendapatkan dan menggunakan informasi yang relevan dan
berkualitas untuk mendukung komponen dari internal control yang sedang ditinjau.
Informasi mengenai perusahaan di level lebih tinggi harus dikumpulkan oleh dewan direksi
dan manajer senior , lalu di rangkum agar pihak lain lebih mudah memahami peran
masing-masing untuk mencapai tujuannya.
Masalah komunikasi, yang dijelaskan oleh COSO internal control framework,
termasuk “Management 101”, dimana internal auditor harus mengingat bahwa informasi
yang relevan adalah sebuah komponen kunci dari keefektifan pengendalian internal. Audit
internal yang bekerjasama sebagai sebuah tim dengan management senior harus bisa
menyelidiki operasional dan hasil manajemen keuangan untuk mengidentifikasi dan
menetapkan kebutuhan informasi yang lebih relevan. Untuk memperoleh informasi yang
relevan, membutuhkan manajemen untuk mengidentifikasi dan mendefinisikan informasi
yang dibutuhkan dengan detail dan spesifik. Mengidentifikasi kebutuhan informasi adalah
proses berulang dan berkelanjutan yang terjadi selama pelaksanaan pengendalian internal
yang efektif sistem. Tampilan 3.4 menunjukkan contoh dari berbagai jenis eksternal dan
informasi eksternal yang relevan untuk mendukung komponen pengendalian internal COSO.

Importance of Internal Communications

COSO menyarankan bahwa perusahaan harus mengkomunikasikan secara internal tujuan dan
tanggung jawab pengendalian internal yang baik. Komunikasi terkait informasi ini harus
dimulai dan didukung oleh manajemen senior dan disampaikan ke semua elemen di seluruh
organisasi perusahaan, termasuk:
Pentingnya, relevansi, dan manfaat pengendalian internal yang efektif
● Peran dan tanggung jawab manajemen dan personel lainnya dalam melakukan proses
pengendalian internal tersebut
● Harapan perusahaan untuk mengkomunikasikan ke atas, ke bawah, dan di semua hal
penting yang berkaitan dengan pengendalian internal, termasuk contoh kelemahan,
kerusakan, atau ketidakpatuhan

COSO INTERNAL CONTROL COMPONENTS:MONITORING ACTIVITIES

Kegiatan pengendalian berfungsi untuk menilai apakah masing-masing dari lima tujuan atau
komponen lainnya. Perusahaan dan auditor internalnya harus menggunakan proses evaluasi
yang sedang berlangsung dan terpisah untuk memastikan apakah kesepakatan internal baik di
seluruh perusahaan dan sub unitnya, berlaku dapat berfungsi. Pemantauan di sini adalah
masukan utama ke dalam penilaian organisasi terhadap efektivitas pengendalian internal.
Kerangka kerja pengendalian internal COSO yang telah direvisi mengidentifikasi dua prinsip:
1. Organisasi memilih, mengembangkan, dan melakukan evaluasi yang sedang
berlangsung dan / atau terpisah untuk memastikan apakah komponen pengendalian
internal ada dan berfungsi
2. Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian internal
secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil
tindakan korektif, termasuk manajemen senior dan dewan direksi
Kontrol yang tidak terpantau cenderung memburuk seiring waktu. Kerangka COSO
mendefinisikan pemantauan terhadap proses untuk membantu memastikan bahwa
pengendalian internal terus beroperasi secara efektif. Ketika pemantauan dirancang dan
diterapkan dengan tepat, suatu perusahaan seharusnya mendapatkan keuntungan karena lebih
cenderung untuk:
a. mengidentifikasi dan mengoreksi permasalahan pengendalian internal secara berkala
b. memproduksi lebih banyak informasi yang akurat dan dapat dipercaya untuk
pengambilan keputusan
c. mempersiapkan pernyataan finansial yang akurat dan tepat waktu
d. Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang
keefektifan pengendalian internal

The COSO Framework’s Other Dimensions

1. Pengendalian internal COSO memiliki 3 dimensi dalam pengendalian internal, yaitu :
 a. Keandalan dalam laporan keuangan
b. Kepatuhan kepada hukum dan aturan yang berlaku
c. Efektivitas dan Efisiensi dalam operasional
2. Dimanapun dimensi tersebut diterapkan dalam perusahaan, seluruh Pengendalian Internal
dalam perusahaan harus dipertimbangkan berdasarkan 3 dimensi tersebut. Dengan begitu
internal auditor dapat menilai ketepatan pengendalian internal.
 BAB 4
THE 17 COSO INTERNAL CONTROL FRAMEWORK PRINCIPLES

Control Environment Principles 1 : Integrity and Ethical Values

Prinsip pertama dari lingkungan pengendalian COSO panggilan untuk perusahaan untuk
menunjukkan komitmen terhadap integritas dan nilai etika. Sejarah dan budaya perusahaan
sering memerankan peran besar dalam membentuk lingkungan pengendalian internal. Ketika
sebuah sejarah perusahaan memiliki penekanan manajemen yang kuat dalam menghasilkan
produk bebas kesalahan, ketika manajemen senior melanjutkan untuk menekankan
pentingnya produk dengan kualitas tinggi, dan ketika pesan ini dikomunikasikan kepada
semua pihak, ini menjadi faktor lingkungan pengendalian perusahaan yang utama.
Jika manajemen mendapatkan reputasi untuk melihat ke arah lain pada pelanggaran kebijakan
dan membuat pernyataan yang meragukan; pesan negatif ini akan dikomunikasikan ke tingkat
lain dari perusahan. Hal positif pada puncak untuk manajemen senior untuk memimpin
dengan contoh mengenai masalah integritas dan etika; tindakan positif di sini adalah batu
fondasi yang membangun lingkungan pengendalian yang kuat bagi perusahaan. Kode etik
telah dilakukan dengan organisasi bisnis selama bertahun-tahun, namun secara tradisional
lebih fokus pada anggota karyawan yang berada pada tingkat bawah daripada pada
manajemen senior.
Perusahaan yang efektif saat ini harus mengembangkan dan memberlakukan kode yang
mencakup peraturan etis, bisnis, dan hukum yang berlaku untuk semua pemangku
kepentingan perusahaan, apakah mereka karyawan kantor, semua karyawan lain, atau
kelompok pemangku kepentingan yang lebih besar termasuk vendor dan konsultan. Kode etik
harus jelas, serangkaian peraturan atau panduan yang tidak ambigu yang menguraikan apa
yang diharapkan dari semua pemangku kepentingan perusahaan. Kode tersebut harus
berdasarkan pada masalah nilai dan hukum sekitar perusahaan. Kode tersebut harus berlaku
untuk semua anggota perusahan dari tingkat yang paling senior sampai pekerja paruh waktu.

● Menegaskan Kepatuhan terhadap Kode Etik

Kode etik perusahaan harus menjadi dokumen yang hidup. Manajemen senior
perusahaan harus diminta untuk secara formal mengakui bahwa ia telah membaca,
memahami, dan akan mematuhi kode etik perusahaan. Sebuah kode etik yang baru
dapat dikomunikasikan melalui video oleh CEO, melalui sesi pelatihan atau yang
lainnya untuk menekankan penting dan arti kode etik tersebut. Setiap karyawan dan
 pemangku kepentingan harus diminta untuk mengakui penerimaan kode etik
perusahaan mereka, dengan tanggapan yang dicatat pada database yang
mencantumkan nama karyawan dan tanggal peninjauan dan penerimaan atau
ketidak penerimaan mereka. Jika seseorang menolak untuk menerima kode tersebut
karena pertanyaan, pengawas atau lainnya harus mendiskusikan masalah tersebut
dengan orang tersebut untuk mendapatkan pemecahan masalah akhirnya. Tujuan dari
kebutuhan pengakuan kode ini adalah untuk menghindari adanya alasan “Saya tidak
tahu bahwa itu adalah peraturannya” di masa depan ketika terjadi pelanggaran kode.

● Pelanggaran Kode dan Tindakan Korektif

Sebuah perusahaan perlu untuk membangun mekanisme untuk memperbolehkan

karyawan atau bahkan pihak luar untuk melaporkan potensi pelanggaran kode
dengan cara yang aman dan rahasia. Sebuah kode etik mendeskripsikan serangkaian
aturan untuk tindakan yang diharapkan di perusahaan. Ketika pelanggaran ditemukan,
masalahnya harus diselidiki dan tindakan yang diambil harus dilakukan secara
konsisten, tidak peduli tingkatan dari pemangku kepentingan tersebut, sanksi untuk
pelanggaran harus konsisten.

Control Environment Principles 2 : Role of the Board Directors

Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan direksi perusahaan dan
komite audit. Dewan independen harus memiliki hubungan dekat dengan manajemen senior
untuk memastikan operasi perusahaan efektif dan sukses dan lingkungan pengendalian
internal yang kuat. Dewan direksi dan komite audit harus mengidentifikasi dan memahami
harapan dari para pemangku kepentingan, termasuk pelanggan, karyawan, investor, dan
khalayak umum, serta persyaratan hukum dan peraturan perusahaan. Harapan ini harus
membantu membentuk tujuan perusahaan dan tanggung jawab pengawasan dewan.

Kegiatan dewan direksi yang dapat membantu manajemen dalam menentukan apakah
prinsip lingkungan pengendalian COSO ada dan berfungsi:
1. Menetapkan tanggung jawab pengawasan. Dewan direksi harus mengidentifikasi
dan menerima tanggung jawab pengawasan dalam hubungannya untuk menetapkan
persyaratan hukum dan harapan pemangku kepentingan, investor, dan masyarakat.
 2. Menerapkan keahlian yang relevan. Dewan direksi harus mendefinisikan,
mempertahankan, dan mengevaluasi secara berkala kemampuan dan keahlian yang
dibutuhkan di antara anggota untuk memungkinkan mereka mengajukan pertanyaan
menyelidik tentang manajemen senior dan mengambil tindakan sepadan.
3. Beroperasi secara mandiri. Dewan direksi harus memiliki cukup anggota yang
independen dari manajemen dan objektif dalam evaluasi dan membuat keputusan.
4. Menyediakan pengawasan untuk sistem pengendalian internal. Dewan direksi
harus mempertahankan tanggung jawab pengawasan untuk pengembangan dan
performa manajemen atas pengendalian internal.

Control Environment Principles 3 : Authority and Responsibility Needs

Manajemen dengan pengawasan direktur harus menetapkan struktur, garis pelaporan, dan
wewenang dalam mencapai tujuan pengendalian internalnya. Harus ada struktur organisasi
untuk merencanakan, melaksanakan mengendalikan, dan menilai kegiatan perusahaan
secara keseluruhan.
Tujuan lingkungan pengendalian ini untuk menyediakan akuntabilitas dan arus informasi
yang jelas dalam perusahaan. untuk menentukan prinsip pengendalian internal berfungsi
dengan baik, manajemen dan dewan direksi perlu mempertimbangkan beberapa unit operasi,
badan hukum, lokasi geografis, dan penyedia layanan outsourcing untuk mendukung
pencapaian internal. Lingkungan pengendalian yang kuat mengatakan bahwa karyawan harus
memiliki pengetahuan dan wewenang untuk membuat keputusan yang sesuai di wilayah
operasi mereka.

Control Environment Principles 4 : Commitment to a Competent Workforce

Perusahaan harus menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang konsisten sesuai dengan tujuannya. Prinsip lingkungan
pengendalian COSO ini mensyaratkan kebijakan dan tindakan yang bagi para pemangku
kepentingan untuk melaksanakan tanggung jawab yang ditugaskan, dan memerlukan keahlian
dan keahlian yang relevan, yang sebagian besar diperoleh dari pengalaman profesional,
pelatihan, dan sertifikasi. Komitmen terhadap kompetensi dinyatakan dalam sikap dan
perilaku individu dalam melaksanakan tanggung jawab seseorang. Fungsi sumber daya
manusia seringkali dapat membantu menentukan tingkat kompetensi dan kepegawaian
berdasarkan peran pekerjaan, memfasilitasi pelatihan dan memelihara catatan penyelesaian
serta mengevaluasi relevansi dan kecukupan pengembangan profesional individu sehubungan
dengan kebutuhan perusahaan.
Prinsip lingkungan pengendalian ini meminta perusahaan untuk menentukan persyaratan
kompetensinya sesuai kebutuhan untuk mendukung tercapainya tujuan pengendalian internal,
dengan pertimbangan yang diberikan kepada:
1. Pengetahuan, keterampilan, dan kebutuhan pengalaman
2. Sifat dan tingkat penilaian dan keterbatasan wewenang untuk diterapkan posisi
tertentu
3. Analisis biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman
4. Trade-off antara tingkat pengawasan dan tingkat kompetensi yang
dipersyaratkan dari karyawan individu

Control Environment Principles 5​: ​HOLDING PEOPLE ACCOUNTABLE - Meminta

Pertanggungjawaban
- Disini, accountable merujuk pada tingkat kepemilikan dan komitmen pada performa
kontrol internal dalam mencapai tujuan
- Manajemen dan BoD harus menciptakan sebuah mekanisme untuk berkomunikasi
dan meminta pertanggungjawaban personel atas tindakan yang mereka lakukan
terkait dengan kontrol intern serta harus melakukan tindakan korektif bila diperlukan
- Setiap tindakan yang dilakukan harus bisa dipertanggungjawabkan, tidak ada alasan
untuk meng-lumrahkan kesalahan karena staf masih belum berpengalaman, atau
karena takut menegur atasa​n

Control Environment Principles 6​: ​SPECIFYING APPROPRIATE OBJECTIVE -

Menentukan Tujuan yang Tepat
- Penilaian risiko yang dimaksud disini ialah kemungkinan terjadinya suatu peristiwa
yang berdampak merugikan pada pencapaian tujuan organisasi
- Manajemen risiko kontrol internal mempengaruhi keberhasilan organisasi,
keefektifan ketika bersaing dalam industri, memelihara kekuatan finansial, reputasi
baik, dan kualitas produk, jasa, dan orang yang ada di dalamnya.
- Manajemen dan internal audit dapat mengevaluasi situasi mengkhawatirkan apa
yang kemungkinan bisa terjadi dalam jangka pendek, dari situ, bisa menjadi dasar
penentuan tujuan

Control Environment Principles 7​: ​IDENTIFYING AND ANALYZING RISK -

Mengidentifikasi dan Menganalisa Risiko
- Proses identifikasi risiko harus dilakukan pada setiap level organisasi (sub unit dan
fungsi operasi, ex : keuangan, SDM, pemasaran, pembelian, produksi, dll) dan
harus dilakukan secara berkala
- Agar efektif, proses identifikasi risiko harus didukung oleh berbagai aktivitas, teknik,
dan mekanisme yang masing-masing relevan terhadap penilaian risiko keseluruhan
Control Environment Principles ​8 : EVALUATING FRAUD RISK - Mengevaluasi
Risiko Fraud
- Penilaian risiko fraud merupakan sebuah proses yang harus dilakukan organisasi
untuk menentukan besar kemungkinan terjadi fraud internal dan eksternal
- Penilaian ini berarti me-review operasi dan pengendalian, termasuk peraturan dan
prosedur untuk memeriksa adanya celah untuk melakukan fraud
- Standar IIA menyatakan bahwa internal auditor punya peran untuk mendeteksi dan
mencegah fraud, tetapi tanggung jawab utama berada pada manajemen

Control Environment Principles ​9 : IDENTIFYING CHANGES AFFECTING

INTERNAL CONTROLS - Mengidentifikasi Perubahan yang Mempengaruhi Kontrol
Internal
- Organisasi harus mengembangkan strategi manajemen risiko yang bertujuan untuk
merinci bagaimana organisasi ingin menilai risiko, merencanakan tindakan, dan
mengawasi risiko tersebut
- Manajemen harus mempertimbangkan satu dari 4 pilihan strategi respon dasar :
penghindaran (avoidance), pengurangan (reduction), pembagian (sharing), dan
penerimaan (acceptance)

Control Environment Principles 1​0 : SELECTING CONTROL ACTIVITIES THAT

MITIGATE RISKS - Memilih Aktivitas Pengendalian yang Mengurangi Risiko
- Aktivitas pengendalian terdiri aktivitas yang merespon penilaian risiko,
dilaksanakan dengan baik dan dalam waktu yang tepat
- Faktor spesifik dari suatu organisasi dapat mempengaruhi aktivitas pengendalian
yang dibutuhkan untuk merespon risiko :
a. Lingkungan dan kompleksitas organisasi
b. Organisasi yang berada di bawah banyak peraturan dan regulasi
c. Diversifikasi operasi dalam suatu organisasi (nasional dan multinasional)
d. Kecanggihan sistem perencanaan sumber daya yang dimiliki organisasi
e. Sistem pengambilan keputusan dan operasi organisasi
(sentralisasi/desentralisasi)

Control Environment Principles ​11 : SELECTING AND DEVELOPING

TECHNOLOGY CONTROLS - Memilih dan Mengembangkan Pengendali Teknologi
- Organisasi memiliki tantangan untuk memilih dan mengembangkan pengendalian
teknologi yang cocok dan tepat dengan karakter organisasi

Control Environment Principles ​12 : POLICIES AND PROCEDURES - Kebijakan dan

Prosedur
- Kebijakan yang dikeluarkan suatu organisasi harus memiliki elemen berikut :
a. Tujuan kebijakan
b. Lokasi dan penerapan
c. Peran dan tanggung jawab
 - Organisasi harus menyebarkan kebijakan mengenai apa yang diharapkan dari
seseorang/sesuatu dan prosedur yang berkaitan dengannya, dengan cara :
a. Membuat kebijakan dan prosedur untuk mendukung penyebaran arahan dari
manajemen
b. Menentukan tanggung jawab dan akuntabilitas untuk pengeksekusian
kebijakan dan prosedur
c. Melakukan dengan personil yang kompeten
d. Melakukan dalam waktu yang tepat
e. Melaksanakan tindakan korektif bila diperlukan
f. Memeriksa kembali kebijakan dan prosedur

Prinsip Informasi dan Komunikasi : Menggunakan Informasi yang Relevan dan

Berkualitas
Informasi dari Sumber yang relevan.
Untuk mengelola informasi dari pihak eksternal, manajemen harus mempertimbangkan
cakupan yang lebih komprehensif dari peristiwa, kegiatan, sumber data internal, sumber data
terpercaya dan relevan yang dapat berguna terhadap struktur organisasi saat ini. Karena
perubahan dapat terjadi kapan saja, perusahaan harus mengevaluasi kembali dan melakukan
penyesuaian terhadap informasi dan data terkait.

Mengolah data dengan Sistem Informasi

COSO menggunakan sistem informasi dimana sistem informasi teknologi dan proses
keseluruhan, baik manual maupun IT based, untuk menangkap, menganalisa, menyimpan dan
mendistribusikan semua tipe informasi. Sifat dan luas kebutuhan informasi, kompleksitas dan
volume informasi, dan ketergantungan pada pihak eksternal berdampak pada jangkauan
sistem informasi, termasuk teknologi yang akan digunakan. Terlepas hal tersebut, semua jenis
sistem informasi mendukung pemrosesan transaksi yang memungkinkan perusahaan untuk
mengumpulkan, menyimpan, dan meringkas informasi yang berkualitas dan konsisten di
seluruh proses yang relevan. Sistem informasi yang dikembangkan dengan proses terintegrasi
yang didukung teknologi memberikan peluang bagi perusahaan untuk meningkatkan
efisiensi, kecepatan, dan aksesibilitas informasi kepada pengguna,serta meningkatkan kontrol
internal atas risiko keamanan dan privasi.

Prinsip informasi dan komunikasi 14 : Komunikasi Internal

a. Komunikasi Internal Kontrol
■ Mengkomunikasikan tujuan dari organisasi
■ Memberikan pemahaman mengenai peran penting, tanggung jawab, kontribusi
karyawan dalam internal control perusahaan
■ Memberikan struktur kontrol, otoritas dan tanggung jawab
Informasi yang berkaitan dengan pengendalian internal harus dikomunikasikan
kepada dewan secara umum harus mencakup hal-hal signifikan tentang kepatuhan,
perubahan, atau masalah yang timbul dari sistem pengendalian internal.
b. Internal Communication Beyond Normal Channels
 Agar informasi dapat mengalir ke atas, ke bawah, dan ke seluruh perusahaan, harus
ada saluran komunikasi yang terbuka dan kemauan yang jelas untuk melaporkan dan
mendengarkan. Dalam perusahaan tradisional, bagan organisasi tradisional adalah
saluran komunikasi yang normal. Dalam beberapa keadaan, jalur komunikasi terpisah
diperlukan untuk membangun ​fail-safe mechanism untuk komunikasi anonim ketika
saluran normal tidak berfungsi atau tidak efektif. Banyak perusahaan besar telah
membentuk fungsi etika dan beberapa jenis fungsi hotline di mana personel di semua
tingkatan dapat menyampaikan, melaporkan, mengajukan pertanyaan atas masalah
yang mereka temui langsung kepada dewan atau manajer tertinggi.
c. Metode Komunikasi
Metode komunikasi merupakan hal yang penting agar informasi yang disampaikan
jelas dan efektif sehingga pesan yang diterima sesuai dengan yang dimaksudkan.
Yang perlu dipertimbangkan dalam memilih metode komunikasi :
·​ ​Audiens
·​ ​sifat komunikasi
·​ ​ketepatan waktu
·​ ​biaya
·​ ​persyaratan keamanan dan privasi
·​ ​lingkungan tempat informasi disampaikan (budaya, etnis, dan generasi)
·​ ​media komunikasi

Prinsip informasi dan komunikasi 15 : Komunikasi eksternal

Komunikasi eksternal adalah salah satu prinsip COSO yang penting. Komunikasi ini
merupakan kebijakan untuk memfasilitasi komunikasi eksternal yang efektif termasuk untuk
memperoleh dan memberikan informasi pihak eksternal ke internal perusahaan. Informasi
pihak eksternal memungkinkan manajemen dan untuk mengidentifikasi tren, peristiwa, atau
keadaan yang dapat mempengaruhi pencapaian tujuan pengendalian internal perusahaan dan
mempengaruhi bagaimana mereka harus berinteraksi dengan suatu perusahaan.

Masalah kompleksitas komunikasi dapat timbul antara pihak-pihak yang saling

mempunyai hubungan timbal balik. Dalam hal ini, perusahaan harus mempertimbangkan
untuk menyediakan saluran komunikasi terpisah bagi penyedia layanan eksternal untuk
memungkinkan mereka berkomunikasi secara langsung dengan manajemen dan personel
lainnya. Perusahaan harus memfasilitasi saluran yang dapat mengkomunikasikan masalah
kepada orang lain di perusahaan tanpa mengganggu operasi yang sedang berlangsung.
Manajemen harus mempertimbangkan berbagai bentuk dan metode komunikasi yang
digunakan, dengan mempertimbangkan audiens, sifat komunikasi, ketepatan waktu, dan
persyaratan hukum atau peraturan

​Prinsip Monitoring 16 : Evaluasi Internal Control

Perusahaan harus menggunakan proses evaluasi yang sedang berlangsung dan terpisah untuk
memastikan apakah prinsip pengendalian internal yang ditetapkan berlaku, dan berfungsi.
Pemantauan dapat dilakukan melalui beberapa kombinasi evaluasi terpisah atau proses
pemantauan berkelanjutan.

a. pemantauan terpisah : Audit internal independen. Evaluasi terpisah harus dilakukan

secara berkala antara lain oleh manajemen, audit internal, atau pihak eksternal.
b. pemantauan berkelanjutan : proses audit internal berkelanjutan, di mana evaluasi
berkelanjutan dibangun ke dalam proses bisnis, komponen pengendalian internalnya
biasanya disusun untuk memantau diri mereka sendiri secara berkelanjutan.

Pengendalian internal perlu dievaluasi untuk :

a. Mengidentifikasi dan mengoreksi masalah pengendalian internal secara tepat waktu

b. Menghasilkan informasi yang lebih akurat dan dapat diandalkan untuk digunakan
dalam pengambilan keputusan
c. Menyiapkan laporan keuangan yang akurat dan tepat waktu
d. Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang
efektivitas pengendalian internal

Prinsip Monitoring 17 : Mengkomunikasikan Kekurangan Internal Control

Perusahaan harus mengkomunikasikan kekurangan pengendalian internalnya secara

tepat waktu kepada semua pihak yang bertanggung jawab untuk mengambil tindakan
korektif, termasuk manajemen senior dan dewan direksi. Proses untuk melaporkan defisiensi
pengendalian internal merupakan komponen kunci untuk memastikan bahwa perusahaan
memiliki pengendalian internal yang efektif. Setelah melakukan pemantauan dan
mengidentifikasi kekurangan dalam pengendalian internal, perusahaan selanjutnya harus
mengidentifikasi cara untuk memperbaiki dan meningkatkan efisiensi pengendalian internal.