BAB 1

SOx and the COSO Internal

Controls Framework

SELAMAT DATANG DI DUNIA Audit, Pengendalian, dan Keamanan Teknologi Informasi.

Sudah banyak berubah dalam audit teknologi informasi (TI) sejak kami menerbitkan edisi
pertama buku ini ketika kami kemudian disebut Computer Auditor. Kembali pada masa itu,
sistem mainframe atau warisan komputer tradisional masih umum, kami mengalami kesulitan
membayangkan sistem laptop sebagai alat sistem informasi bisnis yang serius, dan Internet
sedikit lebih dari sekadar alat komunikasi e-mail dan dokumen teks untuk banyak. Keamanan
komputer kemudian sebagian besar didasarkan pada mainframe yang dikunci dan diamankan
fasilitas, dan kami hanya melihat virus komputer pertama. Banyak auditor, keduanya internal dan
eksternal, biasanya hanya memiliki pengetahuan terbatas tentang pengemdalian sistem TI, dan
ada kesenjangan pengetahuan yang luas antara auditor, spesialis keamanan sistem, dan
pengembang. Sulit untuk fokus hanya pada satu pengembangan atau peristiwa yang mengubah
pandangan kami pengemdalian audit TI menjadi disiplin terpisah. Namun, pengaruh keseluruhan
dari Web bersama dengan masalah audit, keamanan, dan pengendalian internal telah membuat
pengemdalian TI lebih penting bagi banyak orang saat ini.

KONSEP PENGENDALIAN INTERNAL dinilai sejak dimulainya audit dan telah menjadi
konsep penting untuk kembali ke hari-hari awal audit teknologi informasi (TI). Meskipun Sudah
ada banyak definisi pengendalian internal, yang bagus untuk auditor TI adalah pengendalian
internal adalah proses, dipengaruhi oleh dewan direksi, manajemen, dan lainnya personel, yang
dirancang untuk memberikan jaminan yang wajar tentang pencapaian tersebut tujuan dalam
kategori efektivitas dan efisiensi operasi, keandalan pelaporan keuangan suatu perusahaan, dan
sistem serta kepatuhan proses suatu perusahaan dengan hukum dan peraturan. Definisi yang
dikenal baik ini dinyatakan oleh A.S. Komite Organisasi Sponsoring (COSO), internal
mengendalikan penetapan standar wewenang yang akan kita bahas lebih lanjut dalam bab ini.
Profesional audit bertanggung jawab untuk mengkaji dan menilai pengendalian
manajemen perusahaan. Auditor internal tidak membangun dan mengelola pengendalian ini —
yaitu tanggung jawab manajemen. Auditor, bertindak sebagai pihak independen, melakukan

1|Dr. Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

penelaahan dan melakukan tes pengendalian internal perusahaan untuk melaporkan kepada
manajemen dan pihak lainnya apakah mereka memadai. Peninjau ini terdiri dari internal dan
eksternal auditor, dengan auditor eksternal di Amerika Serikat mengikuti aturan dan standar
Institut Akuntan Publik Amerika (AICPA). Auditor internal mengikuti seperangkat standar yang
serupa tetapi berbeda dan umumnya berlangganan pedoman Institute of Internal Auditor (IIA),
organisasi profesional internasional mereka.
Kedua organisasi audit ini memiliki warisan yang kembali ke kertas dan pensil, sebelum
penggunaan hari ini dan ketergantungan pada sistem dan proses TI. Di atas tahun, Asosiasi Audit
dan Pengendalian Sistem Informasi (ISACA) dan audit TI-nya profesional telah memberikan
panduan untuk pengendalian internal terkait-TI. Auditor TI berperan dalam peran audit eksternal
dan internal, meskipun sebagian besar profesional dapat berfungsi sebagai auditor internal untuk
perusahaan mereka.

PERAN DAN TANGGUNG JAWAB AUDITOR TI

Sebagian besar bab ini dan lainnya berfokus pada peran dan tanggung jawab spesialis internal
audit, yang kami sebut sebagai IT atau auditor sistem informasi. Meskipun terkadang melayani
sebagai anggota kantor akuntan publik atau konsultan luar organisasi, auditor TI umumnya
adalah anggota audit internal perusahaan organisasi. Grup audit internal dipimpin oleh seorang
manajer dengan nama kepala audit eksekutif (CAE) dan dikelola oleh auditor internal dengan
keterampilan dalam meninjau dan memahami pengendalian operasional dan keuangan serta
kepatuhan dan peraturan masalah yang berdampak pada perusahaan. Dengan proses dan alat-alat
IT begitu meresap di hari ini perusahaan, semua auditor internal harus memiliki pemahaman
yang baik tentang pengendalian dan TI proses, tetapi banyak fungsi audit internal membutuhkan
keterampilan dari apa yang kita sebut seorang auditor IT.
Auditor internal tradisional selalu memiliki keterampilan dalam memahami, menguji,
dan mengevaluasi apa yang dulunya pengendalian dan prosedur berbasis kertas tradisional.
Mulai tahun 1970-an, ketika perusahaan mulai membangun dan mengimplementasikan semakin
banyak aplikasi computer, mereka membutuhkan spesialis audit internal yang mengerti yang
baru sistem. Dengan demikian peran auditor TI lahir.

2|Dr. Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

Auditor, Sistem Informasi

URAIAN TUGAS

Ringkasan Pekerjaan: Di bawah arahan Kepala Eksekutif Audit (CAE) dan manajemen audit
internal, mengaudit, meninjau, menguji, dan mengevaluasi aplikasi berbasis TI dan prosedur
pengendalian dan ulasan keamanan elektronik melalui jaringan layanan TI perusahaan.

KARAKTERISTIK TUGAS DAN TANGGUNG JAWAB KERJA

Dapat mencakup salah satu dan / atau semua hal berikut ini:
1. Mendesain pendekatan audit berbasis teknologi; menganalisis dan mengevaluasi proses TI
perusahaan untuk menilai pengendalian internal dan meminimalkan risiko; melakukan
analisis risiko perusahaan infrastruktur teknologi informasi dan jaringan layanan;
mengevaluasi kemungkinan risiko berbagai sistem komputer; menyiapkan laporan yang
mendokumentasikan temuan dan penilaian risiko; mengevaluasi respons manajemen
terhadap temuan dan penilaian risiko.
2. Bekerja secara independen atau dengan anggota lain dari audit internal untuk meninjau
internal perusahaan pengendalian, mengikuti kerangka kerja pengendalian internal COSO.
3. Meneliti efektivitas kebijakan dan prosedur keamanan informasi; mengidentifikasi
kekurangan dalam program keamanan yang ada dan kemungkinan tindakan yang harus
diambil.
4. Mengembangkan dan mengimplementasikan alat dan teknik audit berbantuan komputer
(CAATT) untuk membantu upaya audit internal secara keseluruhan dan melakukan tes
pengendalian terkait TI lainnya, yang sesuai.
5. Mengembangkan dan menyajikan lokakarya pelatihan untuk staf audit tentang
pengendalian dan risiko keamanan konsep.
6. Melakukan dan mengawasi investigasi penggunaan komputer yang tidak tepat.
7. Melakukan proyek-proyek khusus dan tugas-tugas lain sebagaimana ditugaskan;
memberikan masukan pada departemen kegiatan administrasi.

PENGETAHUAN, KETERAMPILAN, KEMAMPUAN, DAN KARAKTERISTIK PRIBADI

 Pengetahuan audit, sistem informasi, dan keamanan jaringan
 Keterampilan investigasi dan aliran proses analisis
 Keterampilan hubungan interpersonal / manusia
 Keterampilan komunikasi verbal dan tertulis
 Kemampuan untuk melakukan penilaian yang baik
 Kemampuan untuk menjaga kerahasiaan
 Kemampuan untuk menggunakan alat kantor desktop TI, alat analisis kerentanan, dan alat
TI lainnya
KUALIFIKASI MINIMUM
Pendidikan dan pengalaman setara dengan:

3|Dr. Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

 Gelar sarjana dalam ilmu komputer, pemrograman komputer, atau akuntansi
 Auditor Sistem Informasi Bersertifikat (CISA) kredensial

EXHIBIT 1.1 IT Auditor Job Description

PENTINGNYA PENGENDALIAN INTERNAL YANG EFEKTIF DAN COSO

Pengendalian internal adalah salah satu konsep paling penting dan mendasar baik
auditor eksternal dan auditor internal dan profesional bisnis di semua tingkatan harus mengerti.
Para profesional bisnis membangun dan menggunakan pengendalian internal; auditor menelaah
dan menguji sistem dan proses operasional, TI, dan keuangan dengan tujuan mengevaluasi
pengendalian internal. Meskipun auditor internal dan eksternal memiliki tujuan yang berbeda,
sebagian besar referensi kami dalam bab ini berlaku untuk auditor TI, yang memiliki mata kuliah
utama tanggung jawab untuk memahami dan menilai pengendalian internal terkait TI.
Meskipun ada banyak definisi pengendalian internal yang sedikit berbeda masa lalu,
standar COSO memberikan definisi yang sesuai. Mengakui pengendalian internal mencakup
lebih dari sekedar masalah akuntansi dan keuangan dan termasuk semua proses perusahaan,
karena IT sangat melekat pada hampir semua bisnis proses, pengendalian internal terkait TI
adalah bagian utama dari keseluruhan pemahaman kami pengendalian internal. Unit atau proses
perusahaan memiliki pengendalian internal yang baik jika:
1. Menyelesaikan misinya dengan cara yang etis
2. Menghasilkan data yang akurat dan dapat diandalkan
3. Mematuhi undang-undang dan kebijakan perusahaan yang berlaku
4. Menyediakan penggunaan sumber dayanya secara ekonomis dan efisien
5. Menyediakan untuk pengamanan aset yang tepat
Semua anggota perusahaan bertanggung jawab atas pengendalian internal di wilayah
operasi dan untuk mengoperasikannya secara efektif.
Meskipun atau mungkin karena pengendalian internal yang luas dan luasan definisi,
banyak profesional bisnis memiliki masalah dalam pengertian sepenuhnya dan menerapkan
konsep pengendalian internal. Melihat definisi kita sedikit berbeda, konsep pengendalian internal
dan proses pengendalian pendukung kembali ke prosedur dasar mekanis dan dokumen yang
pernah ada sepanjang hari kehidupan. Proses pengendalian diperlukan untuk kegiatan di dalam

4|Dr. Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

dan di luar perusahaan saat ini, dan banyak konsep dan prinsip dasar yang sama di mana pun
pengendaliannya diimplementasikan. Sebuah mobil memberikan beberapa contoh pengendalian
dasar. Ketika akselerator — pengendalian kecepatan — ditekan, mobil berjalan lebih cepat.
Ketika rem—pengendalian lain — tertekan, mobil melambat atau berhenti. Saat menyetir roda
diputar, kendaraan berputar. Pengemudi mengendalikan mobil, dan ketiganya ini mewakili
sistem pengendalian internal dasar mobil. Jika pengemudi tidak menggunakan atau tidak tepat
menggunakan akselerator, rem, atau roda kemudi, mobil akan beroperasi lepas kendali.
Memperluas konsep pengendalian ini, hanya sedikit, tanda berhenti, tanda arah lalu
lintas, atau gerbang penyeberangan semua penghalang mewakili pengendalian eksternal ke mobil
dan drivernya. Pengemudi adalah operator proses atau sistem pengendalian internal berbasis
mobil tetapi memiliki sedikit otoritas pengambilan keputusan atas pesan yang disampaikan dari
pengendalian eksternal lampu lalu lintas.
Dari perspektif pengendalian internal, suatu perusahaan dapat dibandingkan dengan
contoh mobil. Ada banyak sistem dan proses perusahaan di tempat kerja, seperti operasi
akuntansi, proses penjualan, dan sistem TI. Jika manajemen tidak mengoperasikan atau
mengarahkan proses ini dengan benar, perusahaan dapat beroperasi di luar kendali. Semua
anggota perusahaan harus mengembangkan pemahaman yang sesuai mengontrol sistem dan
kemudian menentukan apakah mereka terhubung dengan benar untuk mengelola perusahaan.
Sistem ini disebut sebagai sistem pengendalian internal perusahaan.

Latar Belakang Standar Pengendalian Internal

Meskipun konsep dan definisi pengendalian internal cukup dipahami, ini tidak benar sampai
akhir 1980-an. Konsep umum mungkin telah dipahami, tetapi tidak ada kesepakatan yang
tentang apa yang dimaksud oleh ‘‘ pengendalian internal yang baik. ’Definisi awal yang pertama
kali berasal dari AICPA dan dulu digunakan oleh Komisi Sekuritas dan Bursa (SEC) AS untuk
Bursa Efek Act of 1934 memberikan titik awal yang baik. Meskipun telah terjadi perubahan atas
tahun, standar terkodifikasi AICPA yang pertama, disebut Pernyataan tentang Standar Audit
(SAS No. 1) mendefinisikan praktik audit eksternal laporan keuangan di Amerika Menyatakan
selama bertahun-tahun. Definisi AICPA tentang pengendalian internal ini telah tunduk pada
perubahan dan interpretasi ulang selama bertahun-tahun. Sepanjang tahun 1970 - an, SEC dan

5|Dr. Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

AICPA merilis banyak definisi pengendalian internal, dan firma audit eksternal utama
mengembangkan banyak interpretasi dan pedoman.
Banyak hal berubah pada akhir 1970-an dan awal 1980-an, suatu periode ketika ada
banyak kegagalan utama perusahaan A.S. karena faktor-faktor seperti inflasi tinggi dan resultan
tinggi suku bunga. Banyak kali perusahaan melaporkan penghasilan yang memadai dalam audit
mereka laporan keuangan, hanya mengalami keruntuhan keuangan tak lama setelah rilis
menguntungkan laporan keuangan yang diaudit. Beberapa dari kegagalan ini disebabkan oleh
penipuan finansial pelaporan, meskipun banyak yang lain karena inflasi tinggi atau
ketidakstabilan perusahaan lainnya masalah. Namun demikian, beberapa anggota Kongres
mengusulkan undang-undang untuk 'memperbaiki' potensi kegagalan bisnis dan audit ini. RUU
disusun dan audiensi kongres diadakan, tetapi tidak ada undang-undang yang disahkan.
Menanggapi keprihatinan ini serta kurangnya tindakan legislatif, Komisi Nasional
Pelaporan Keuangan Palsu (the National Commission on Fraudulent Financial Reporting )
dibentuk. Terdiri dari lima organisasi profesional: IIA dan AICPA, yang disebutkan sebelumnya;
keuangan Eksekutif Internasional (FEI), sebuah asosiasi manajer keuangan senior; orang
Amerika Asosiasi Akuntansi (AAA); dan Institut Akuntan Manajemen (IMA). AAA adalah
organisasi profesional untuk akuntan akademik, dan IMA adalah organisasi profesional untuk
akuntan manajerial atau biaya.
Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor penyebab yang
memungkinkan pelaporan keuangan yang curang dan untuk membuat rekomendasi untuk
mengurangi insiden mereka. Laporan akhir Komisi Treadway, dikeluarkan pada 1987, termasuk
rekomendasi kepada manajemen, dewan direksi, public profesi akuntansi, dan lain-lain.3 Ini juga
menyerukan laporan manajemen pada
efektivitas sistem pengendalian internal mereka dan menekankan elemen-elemen kunci dalam
hal itu dirasakan harus merupakan sistem pengendalian internal, termasuk lingkungan
pengendalian yang kuat, kode
melakukan, komite audit yang kompeten dan terlibat, dan fungsi audit internal yang kuat.

Kerangka Pengendalian Internal COSO

6|Dr. Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

 Sebagaimana disebutkan, COSO mengacu pada lima Kantor Akuntan Publik dan
akuntansi professional yang membentuk komite untuk mengembangkan laporan pengendalian
internal ini; judul resminya adalah Pengendalian Terpadu – Kerangka Kerja Terintegrasi. Di
sepanjang buku ini, kami menyebutnya sebagai Laporan atau kerangka kerja pengendalian
internal COSO. Ini berbeda dengan risiko perusahaan COSO manajemen (COSO ERM)
kerangka kerja manajemen sumber daya perusahaan diperkenalkan di Bab 4. Pertama kali dirilis
pada September 1992, laporan pengendalian internal COSO diusulkan kerangka kerja umum
untuk definisi pengendalian internal serta prosedur untuk mengevaluasi pengendalian itu. Dalam
beberapa tahun yang sangat singkat, pengendalian internal COSO kerangka kerja telah menjadi
standar yang diakui di seluruh dunia untuk pemahaman dan membangun pengendalian internal
yang efektif di hampir semua sistem bisnis. Selanjutnya paragraf memberikan deskripsi yang
cukup rinci tentang kerangka pengendalian internal COSO dan penggunaannya oleh auditor
internal dan profesional bisnis untuk penilaian pengendalian internal dan evaluasi.
COSO memberikan deskripsi yang sangat baik tentang konsep multidimensi pengendalian
internal ini, mendefinisikan pengendalian internal dengan cara ini:
Pengendalian internal adalah suatu proses, yang dipengaruhi oleh
dewan direksi, manajemen, dan personel lain, yang dirancang untuk
memberikan jaminan yang wajar tentang pencapaian tujuan dalam
kategori berikut:
 Efektivitas dan efisiensi operasi
 Keandalan pelaporan keuangan
 Kepatuhan dengan hukum dan peraturan yang berlaku

7|Dr. Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

 Menggunakan definisi pengendalian internal yang sangat umum ini, COSO
menggunakan tiga dimensi kerangka kerja untuk menggambarkan sistem pengendalian internal
dalam suatu perusahaan. Tampilan 1.2 menggambarkan kerangka kendali internal COSO ini
sebagai model tiga dimensi dengan lima tingkat pada sisi yang menghadap ke depan dan tiga
komponen utama dari pengendalian internal—efektivitas dan efisiensi operasi, keandalan
pelaporan keuangan, dan kepatuhan dengan hukum dan peraturan yang berlaku — mengambil
segmen yang agak sama Model dengan irisan di atasnya. Sisi kanan pameran menunjukkan tiga
segmen, tetapi mungkin ada lebih banyak, tergantung pada struktur perusahaan.
Masing-masing level kerangka pengendalian internal COSO, dari Pemantauan dari atas
ke bawah ke Lingkungan Pengendalian Internal, dibahas secara lebih rinci di bagian datang.
Idenya di sini adalah ketika kita melihat lapisan aktivitas pengendalian internal tengah—seperti

8|Dr. Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

penutupan keuangan akhir periode — kita harus mempertimbangkan pengendalian itu dalam
kaitannya dengan unit bisnis atau entitas atau banyak divisi di sisi kerangka kerja tempat itu
pengendalian telah dipasang. Namun, dalam model tiga dimensi ini, setiap pengendalian adalah
terkait dengan semua yang lain di baris, tumpukan, atau kolom yang sama.
Inti dari kerangka pengendalian internal COSO adalah bahwa kita harus selalu
pertimbangkan setiap pengendalian internal yang teridentifikasi dalam kaitannya dengan
bagaimana komponen-komponennya berhubungan dengan elemen-elemen pengendalian internal
terkait lainnya dalam kerangka kerja. Dalam contoh akhir periode pengendalian internal
keuangan yang ketat, perusahaan harus memiliki informasi dan tautan komunikasi terlampir pada
proses penutupan keuangan, dan pengendalian harus dipantau. Menjatuhkan tingkat, harus ada
kegiatan penilaian risiko terkait dengan proses pengendalian keuangan, dan itu harus beroperasi
dengan tepat lingkungan pengendalian internal. Masalah kepatuhan dan operasi juga
mengandung faktor-faktor untuk pengendalian internal tertentu yang dapat berfungsi di tingkat
mana pun di perusahaan organisasi.
Lingkungan Pengendalian
Dasar dari kerangka pengendalian internal COSO adalah apa yang oleh COSO disebut
lingkungan pengendalian internal, fondasi untuk semua komponen lain dari pengendalian
internal. Memiliki pengaruh pada masing-masing dari tiga tujuan dan semua kegiatan unit dan
entitas. Pengendalian lingkungan mencerminkan keseluruhan sikap, kesadaran, dan tindakan oleh
dewan direktur, manajemen, dan lainnya mengenai pentingnya pengendalian internal dalam
perusahaan. Ada banyak konsep mendasar di sini, dan setiap perusahaan akan melakukannya
memiliki dasar pengendalian internal yang unik.
Sejarah dan budaya perusahaan sering memainkan peran utama dalam membentuk
lingkungan pengendalian internal ini. Ketika suatu perusahaan secara historis memiliki
manajemen penekanan yang kuat pada produksi produk bebas dari kesalahan dan ketika
manajemen senior berkomunikasi pentingnya produk berkualitas tinggi untuk semua tingkatan
organisasi, lingkungan pengendalian COSO menjadi faktor pengendalian internal perusahaan
utama. Konten dan format pesan dari chief executive officer (CEO) atau manajer senior lainnya
dikenal sebagai nada di bagian atas — pesan manajemen untuk semua pemangku kepentingan.
Namun, jika manajemen senior memiliki reputasi memandang sebaliknya kebijakan pelanggaran,
pesan negatif yang sama ini akan dikomunikasikan ke tingkat lain di Internet perusahaan. Nada

9|Dr. Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

positif di puncak oleh manajemen senior adalah elemen kunci yang kuat lingkungan
pengendalian perusahaan.
Auditor TI harus selalu berusaha memahami dan mengevaluasi keseluruhan pengendalian
lingkungan saat melakukan hampir semua ulasan. Ketika lingkungan pengendalian internal
lemah, auditor hampir pasti akan menemukan bidang perhatian pengendalian tambahan. Itu
lingkungan pengendalian terdiri dari komponen-komponen berikut.
Integritas dan Nilai-Nilai Etis. Jika perusahaan telah mengembangkan kode etik yang kuat yang
menekankan integritas dan nilai-nilai etika, dan jika para pemangku kepentingan tampaknya
mengikuti kode etik, semua pemangku kepentingan akan memiliki jaminan bahwa perusahaan
memiliki seperangkat nilai yang baik. Kode etik atau perilaku adalah komponen penting dari tata
kelola organisasi. Bahkan jika suatu perusahaan memiliki kode etik yang kuat, prinsip-prinsipnya
dapat dilanggar melalui ketidaktahuan penyimpangan karyawan yang disengaja. Dalam banyak
kasus, karyawan mungkin tidak tahu bahwa mereka melakukan sesuatu yang salah atau mungkin
secara keliru percaya bahwa itu adalah kesalahan tindakannya demi kepentingan terbaik
perusahaan. Ketidaktahuan ini sering disebabkan oleh orang miskin bimbingan moral
manajemen senior dan bukan oleh niat individu karyawan untuk menipu. Kebijakan dan nilai-
nilai perusahaan harus dikomunikasikan kepada semua organisasi level. Meskipun selalu ada
apel buruk dalam perusahaan apa pun, moral yang kuat pesan akan mendorong semua orang
untuk bertindak dengan benar. Tujuannya harus selalu untuk mengirimkan pesan atau sinyal
yang sesuai ke seluruh perusahaan.
Komitmen terhadap Kompetensi. Lingkungan pengendalian perusahaan bisa serius terkikis jika
sejumlah besar posisi diisi dengan orang-orang yang kurang memiliki keterampilan kerja yang
dibutuhkan. Suatu perusahaan perlu menentukan tingkat kompetensi yang diperlukan untuk
berbagai tugas pekerjaannya dan untuk menerjemahkan persyaratan tersebut ke dalam tingkat
pengetahuan dan keterampilan yang diperlukan. Dengan menempatkan orang yang tepat dalam
pekerjaan yang sesuai dan memberikan pelatihan yang memadai bila diperlukan, perusahaan
memuaskan komponen lingkungan pengendalian COSO yang penting ini.
Dewan Direksi dan Komite Audit. Lingkungan pengendalian sangat dipengaruhi oleh tindakan
dewan direksi perusahaan dan komite auditnya. Dewan yang aktif dan independen adalah
komponen penting dari pengendalian COSO lingkungan Hidup. Dengan menetapkan kebijakan

10 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

tingkat tinggi dan meninjau perilaku perusahaan secara keseluruhan, dewan dan komite auditnya
memiliki tanggung jawab utama untuk menetapkan nada ini pada atas.
Filosofi Manajemen dan Gaya Operasi. Filosofi dan gaya operasi manajemen senior memiliki
pengaruh besar terhadap pengendalian lingkungan perusahaan. Beberapa manajer tingkat atas
sering mengambil risiko tingkat perusahaan yang signifikan dalam usaha bisnis atau produk baru
mereka sementara yang lain sangat berhati-hati atau konservatif. Beberapa manajer tampaknya
beroperasi dengan kewenangan mereka sementara yang lain bersikeras itu semuanya harus
disetujui dan didokumentasikan dengan baik. Beberapa mungkin bersikap pendekatan sangat
agresif dalam interpretasi mereka tentang peraturan pajak dan pelaporan keuangan sementara
yang lain tidak. Komentar-komentar ini tidak selalu berarti bahwa satu pendekatan selalu baik
dan yang lainnya buruk.
Filosofi manajemen dan pertimbangan gaya operasional ini adalah bagian dari semuanya
lingkungan pengendalian perusahaan. Meskipun tidak ada satu set gaya dan filosofi yang ada
terbaik untuk semua perusahaan, faktor-faktor ini seperti struktur organisasi yang kuat dan
efektif kebijakan sumber daya manusia penting ketika mempertimbangkan komponen lain dari
pengendalian internal dalam suatu perusahaan.

Struktur organisasi.
Komponen pengendalian internal struktur organisasi menyediakan kerangka kerja untuk
merencanakan, melaksanakan, mengendalikan, dan memantau kegiatan untuk membantu
mencapai tujuan keseluruhan. Faktor lingkungan pengendalian ini berkaitan dengan bagaimana
fungsinya dikelola dan diatur. Struktur organisasi merupakan aspek penting dari lingkungan
pengendalian perusahaan, tetapi tidak ada struktur yang menyediakan internal yang disukai
mengendalikan lingkungan.
Struktur organisasi adalah cara atau pendekatan untuk upaya kerja individu ditugaskan
dan diintegrasikan untuk pencapaian tujuan keseluruhan. Setiap perusahaan membutuhkan
rencana organisasi yang efektif, dan kelemahan dalam Pengendalian organisasi dapat memiliki
efek meresap di seluruh lingkungan Pengendalian total. Meskipun garis yang jelas otoritas,
bagaimanapun, perusahaan kadang-kadang memiliki inefisiensi yang bisa menjadi semakin besar
seiring berjalannya waktu, menyebabkan prosedur Pengendalian rusak.
Penugasan Otoritas dan Tanggung Jawab.

11 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

Penugasan otoritas dan Tanggung jawab dalam lingkungan Pengendalian mirip dengan struktur
organisasikomponen yang baru saja dibahas. Struktur organisasi perusahaan menentukan
penugasan dan integrasi dari upaya kerja total. Penugasan otoritas pada dasarnya adalah cara
tanggung jawab didefinisikan dalam hal deskripsi pekerjaan formal dan terstruktur dalam
ketentuan bagan organisasi perusahaan. Meskipun tugas pekerjaan tidak pernah bisa sepenuhnya
luput beberapa tanggung jawab yang tumpang tindih atau bersama, lebih tepatnya tanggung
jawab ini bias dinyatakan, semakin baik. Kegagalan untuk secara jelas mendefinisikan otoritas
dan tanggung jawab tempat kerja sering menyebabkan kebingungan dan konflik antara upaya
kerja individu dan kelompok.
Kebijakan dan Praktek Sumber Daya Manusia.
Praktek sumber daya manusia (SDM) meliputi perekrutan personil, orientasi, pelatihan, evaluasi,
dan konseling, promosi, kompensasi, dan mengambil tindakan perbaikan yang tepat. Meskipun
SDM perusahaan fungsi harus memiliki kebijakan yang dipublikasikan dan bahan panduan yang
memadai, yang sebenarnya praktik harus mengirim pesan yang kuat kepada karyawan mengenai
tingkat yang diharapkan pengendalian internal kepatuhan, perilaku etis, dan kompetensi. Level
yang lebih tinggi
karyawan yang secara terbuka menyalahgunakan atau mengabaikan kebijakan SDM dengan
cepat mengirim pesan ke orang lain level dalam perusahaan. Pesan itu tumbuh semakin keras
ketika seorang karyawan tingkat bawah disiplin karena melanggar kebijakan yang sama
sementara semua orang memandang sebaliknya pelanggar tingkat yang lebih tinggi.
Kebijakan dan prosedur SDM yang efektif adalah komponen penting dalam Pengendalian
keseluruhan lingkungan Hidup. Pesan dari puncak struktur perusahaan yang kuat hanya akan
menghasilkan sedikit saja jika perusahaan tidak memiliki kebijakan dan prosedur SDM yang
kuat. Audit TI harus selalu mempertimbangkan elemen SDM dari lingkungan Pengendalian saat
meninjau bagian lain dari kerangka Pengendalian internal.
Penilaian Risiko
Level selanjutnya di atas fondasi Pengendalian pada kerangka kerja pengendalian internal COSO
adalah tugas beresiko. Kemampuan suatu perusahaan untuk mencapai tujuannya dapat berisiko
karena berbagai faktor internal dan eksternal. Memahami dan mengelola lingkungan risiko
adalah elemen dasar dari yayasan Pengendalian internal, dan perusahaan harus memiliki proses
untuk mengevaluasi potensi risiko yang dapat memengaruhi pencapaiannya berbagai tujuan.

12 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

Pengendalian internal COSO penilaian risiko harus menjadi proses berwawasan ke depan
dilakukan di semua tingkatan dan untuk hampir semua kegiatan dalam perusahaan. COSO
menggambarkan penilaian risiko sebagai proses tiga langkah:
1. Perkirakan signifikansi risiko.
2. Menilai kemungkinan atau frekuensi risiko yang terjadi.
3. Pertimbangkan bagaimana risiko harus dikelola, dan nilai tindakan apa yang harus diambil.

Aktivitas Pengendalian
Lapisan berikutnya dalam kerangka Pengendalian internal COSO disebut aktivitas Pengendalian.
Ini adalah proses dan prosedur yang membantu memastikan bahwa tindakan teridentifikasi risiko
alamat dilakukan. Kegiatan Pengendalian ada di semua tingkatan dan, dalam banyak kasus,
mungkin tumpang tindih satu sama lain. Mereka adalah elemen penting untuk membangun dan
kemudian membangun Pengendalian internal perusahaan yang efektif. Kerangka Pengendalian
internal COSO mengidentifikasi serangkaian kegiatan ini yang umumnya diklasifikasikan
sebagai manual, IT, atau manajemen Pengendalian; mereka juga dijelaskan dalam hal apakah
mereka preventif, korektif, atau kegiatan Pengendalian detektif. Meskipun tidak ada satu set
definisi Pengendalian internal benar untuk semua situasi, Pengendalian internal COSO
merekomendasikan aktivitas Pengendalian ini untuk suatu perusahaan:
Ulasan tingkat atas. (Top-level reviews.)
Manajemen dan auditor internal, di berbagai tingkatan, harus tinjau hasil kinerja mereka,
kontraskan hasil itu dengan anggaran, statistik kompetitif, dan pengukuran tolok ukur lainnya.
Tindakan manajemen untuk menindaklanjuti hasil tinjauan tingkat atas ini dan untuk mengambil
tindakan korektif mewakili aktivitas Pengendalian utama.
Manajemen fungsional atau aktivitas langsung./Direct functional or activity management.
Manajer di berbagai tingkatan harus meninjau laporan operasional dari sistem Pengendalian
mereka dan mengambil tindakan korektif sebagai sesuai. Banyak sistem manajemen memiliki
laporan pengecualian yang mencakup ini kegiatan Pengendalian. Misalnya, sistem keamanan TI
harus memiliki mekanisme melaporkan upaya akses yang tidak sah, dengan aktivitas

13 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

Pengendalian untuk ditindaklanjuti melaporkan kejadian dan mengambil tindakan korektif yang
tepat.
Memproses informasi./ Information processing.
Sistem TI sering berisi Pengendalian untuk memeriksa kepatuhan di area tertentu dan kemudian
melaporkan pengecualian Pengendalian internal. Pengecualian itu item harus menerima tindakan
korektif dengan prosedur sistem otomatis, dengan operasional personel, atau oleh manajemen.
Kegiatan Pengendalian lainnya termasuk Pengendalian atas pengembangan sistem baru atau
akses lebih ke data dan file program.
Pengendalian fisik/ Physical controls.
Suatu perusahaan harus memiliki Pengendalian yang tepat atas fisiknya aset, termasuk
perlengkapan, persediaan, dan surat berharga yang dapat dinegosiasikan. Aktif Program
inventaris fisik berkala merupakan Pengendalian yang sering signifikan aktivitas di sini, dan
auditor TI dapat memainkan peran utama dalam memantau kepatuhan di sini.
Indikator kinerja/ Performance indicators
Manajemen harus menghubungkan set data, keduanya operasional dan keuangan, satu sama lain
dan mengambil analitis, investigasi, atau tindakan korektif. Proses ini merupakan Pengendalian
perusahaan yang penting aktivitas yang juga dapat memenuhi persyaratan pelaporan keuangan
dan operasional.
Pemisahan tugas/ Segregation of duties.
Tugas harus dibagi atau dipisahkan di antara yang berbeda orang untuk mengurangi risiko
kesalahan atau tindakan yang tidak pantas. Ini dasar internal prosedur Pengendalian harus ada di
hampir setiap layar radar auditor TI.
Komunikasi dan Informasi/ Communications and Information.
Kerangka kerja Pengendalian internal COSO dalam Tampilan 1.2 menjelaskan sebagian besar
Pengendalian internal komponen sebagai lapisan, satu di atas yang lain, dimulai dengan
lingkungan Pengendalian sebagai dasar. Sebagai cara lain untuk melihat kerangka kerja,
Tampilan 1.3 menjelaskan
Kerangka kerja COSO sebagai model berbentuk piramida dengan informasi dan
komunikasi komponen sebagai elemen samping yang membentang di komponen lain. Sebagai
bagian penting dari kerangka Pengendalian internal, informasi dan komunikasi saling terkait
tetapi komponen yang berbeda. Informasi yang tepat, didukung oleh sistem TI, harus

14 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

dikomunikasikan naik turun perusahaan dengan cara dan kerangka waktu yang memungkinkan
orang untuk melaksanakan tanggung jawab mereka. Selain komunikasi formal dan informal
sistem, perusahaan harus memiliki prosedur yang efektif untuk berkomunikasi dengan pihak
internal dan eksternal. Sebagai bagian dari evaluasi Pengendalian internal, ada kebutuhan untuk
memahami arus informasi dan komunikasi di perusahaan.
Suatu perusahaan memerlukan informasi di semua tingkatan untuk mencapai operasional,
keuangan,
dan tujuan kepatuhan. Misalnya, perusahaan memerlukan informasi untuk dipersiapkan laporan
keuangan yang dikomunikasikan kepada investor luar serta biaya internal dan informasi
preferensi pasar eksternal untuk membuat keputusan pemasaran yang benar. Ini informasi harus
mengalir baik dari tingkat atas perusahaan ke tingkat yang lebih rendah juga dari level bawah
kembali ke level atas. Pengendalian internal COSO mengambil luas pendekatan terhadap konsep
sistem informasi, mengakui bahwa mereka dapat menjadi manual, otomatis, atau bahkan
konseptual. Sistem informasi ini dapat bersifat formal atau informal. Percakapan reguler dengan
pelanggan atau pemasok bisa sangat penting
sumber informasi dan merupakan tipe informal dari sistem informasi. Yang efektif perusahaan
harus memiliki sistem informasi untuk mendengarkan permintaan pelanggan dan atau keluhan
dan untuk meneruskan informasi yang diprakarsai pelanggan agar sesuai personil.

15 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

 Pengendalian internal COSO juga menekankan pentingnya menjaga informasi dan
sistem pendukung yang konsisten dengan kebutuhan perusahaan secara keseluruhan. Sistem
informasi beradaptasi untuk mendukung perubahan di banyak tingkatan. Auditor TI, misalnya,
sering menemui kasus di mana aplikasi TI diimplementasikan bertahun-tahun sebelumnya untuk
mendukung berbagai kebutuhan. Meskipun Pengendaliannya mungkin baik, sistem mungkin
tidak mendukung perusahaan kebutuhan saat ini. Pengendalian internal COSO mengambil
pandangan luas dari jenis sistem ini dan arahkan ke kebutuhan untuk memahami proses manual
dan teknologi otomatis.
Pemantauan/Monitoring
Tampilan piramida dari Pengendalian internal COSO menunjukkan komponen pemantauan
sebagai batu penjuru, tingkat atas komponen Pengendalian internal COSO. Meskipun sistem
Pengendalian internal akan bekerja secara efektif dengan dukungan yang tepat dari manajemen,
prosedur pengendalian dan hubungan informasi dan komunikasi harus memantau semua kegiatan
lain. Pemantauan telah lama menjadi peran auditor TI, yang melakukan tinjauan untuk menilai
kepatuhan terhadap prosedur yang ditetapkan; Namun, COSO sekarang mengambil pandangan
yang lebih luas dari pemantauan prosedur Pengendalian ini. Pengendalian internal COSO
mengakui bahwa prosedur Pengendalian dan sistem lainnya berubah seiring waktu. Apa yang
muncul menjadi efektif ketika pertama kali diinstal mungkin tidak akan efektif di masa depan
karena kondisi yang berubah, prosedur baru, atau faktor lainnya.
Proses pemantauan harus dilakukan untuk menilai efektivitas yang telah ditetapkan
komponen Pengendalian internal dan untuk mengambil tindakan korektif bila perlu. Ini
komponen Pengendalian internal tidak dapat diturunkan hanya untuk audit internal sementara
manajemen tampaknya tetap tidak menyadari potensi masalah Pengendalian lainnya. Sebuah
perusahaan perlu menetapkan berbagai kegiatan pemantauan untuk mengukur efektivitasnya dari
Pengendalian internal mereka yang mapan serta melalui evaluasi terpisah kegiatan pengendalian
internal yang sedang berlangsung untuk memantau kinerja dan mengambil tindakan korektif saat
dibutuhkan.
Banyak fungsi bisnis rutin dapat dicirikan sebagai kegiatan pemantauan, dan Pengendalian
internal COSO memberikan contoh komponen penting Pengendalian internal ini:
 Fungsi operasi manajemen normal. Ulasan manajemen normal lebih dari operasi dan
laporan keuangan merupakan kegiatan pemantauan berkelanjutan yang penting, tetapi

16 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

 perhatian khusus harus diberikan pada pengecualian dan Pengendalian internal yang
dilaporkan penyimpangan. Pengendalian internal ditingkatkan jika laporan ditinjau secara
berkala dan tindakan korektif dimulai untuk setiap pengecualian yang dilaporkan.
 Komunikasi dari pihak luar. Monitor komunikasi eksternal, seperti nomor telepon keluhan
pelanggan, penting, dan perusahaan perlu memonitor dengan seksama pesan dari panggilan
ini dan memulai perbaikan tindakan berdasarkan panggilan saat yang tepat.
 Struktur perusahaan dan kegiatan pengawasan. Manajemen senior harus selalu meninjau
laporan ringkasan dan mengambil tindakan korektif, tetapi tingkat pertama pengawasan sering
memainkan peran yang bahkan lebih signifikan dalam pemantauan. Langsung pengawasan
kegiatan klerikal, misalnya, harus secara rutin meninjau dan memperbaiki kesalahan tingkat
rendah dan memastikan peningkatan kinerja pegawai klerikal. Ini juga area di mana
pentingnya pemisahan tugas yang memadai adalah penting, dan membagi tugas antara
karyawan memungkinkan mereka untuk berfungsi sebagai pemeriksaan pemantauan satu
sama lain.
 Inventaris fisik dan rekonsiliasi aset. Persediaan fisik berkala, apakah stok gudang,
sekuritas yang dapat dinegosiasikan, atau aset TI, adalah penting kegiatan pemantauan.
Inventaris tahunan di toko ritel, misalnya, mungkin menunjukkan kerugian barang dagangan
yang signifikan. Alasan yang mungkin untuk kerugian ini bisa jadi pencurian, menunjukkan
perlunya Pengendalian keamanan yang lebih baik.
Proses Evaluasi Pengendalian Internal
Bahan panduan Pengendalian internal COSO garis besar proses evaluasi untuk meninjau
Pengendalian internal. Evaluator harus terlebih dahulu mengembangkan pemahaman tentang
desain sistem, menguji Pengendalian kunci, dan kemudian mengembangkan kesimpulan
berdasarkan hasil tes. Ini benar-benar proses audit TI. COSO internal control juga
menyebutkan benchmarking sebagai pendekatan alternatif. Benchmarking adalah proses
membandingkan proses perusahaan dan prosedur Pengendalian dengan prosedur peer
perusahaan. Perbandingan dibuat dengan perusahaan sejenis atau terhadap industri yang
diterbitkan statistik. Pendekatan ini nyaman untuk beberapa langkah tetapi penuh dengan
bahaya untuk lainnya. Misalnya, cukup mudah untuk membandingkan ukuran, tingkat
kepegawaian, dan rata-rata kompensasi dari fungsi penjualan terhadap perusahaan yang
sebanding dalam umum yang sama industri; namun, evaluator mungkin mengalami kesulitan

17 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

 dalam mencoba membandingkan yang lain faktor karena banyaknya perbedaan kecil yang
membuat semua perusahaan unik.
Rencana Tindakan Evaluasi.
Pengendalian internal COSO yang efektif prosedurnya informal dan tidak berdokumen.
Banyak dari Pengendalian tidak berdokumen ini, Namun, dapat diuji dan dievaluasi dengan
cara yang sama seperti yang didokumentasikan. Sebuah tingkat dokumentasi yang sesuai
menjadikan setiap evaluasi pengendalian internal lebih efisien dan memfasilitasi pemahaman
karyawan tentang bagaimana proses itu bekerja, tetapi seperti itu dokumentasi tidak selalu
penting. Auditor TI yang meninjau internal perusahaan sistem Pengendalian keuangan selalu
meminta untuk melihat dokumentasi sistem sebagai bagian dari sistem mereka pekerjaan
review. Jika proses yang ada bersifat informal, tidak berdokumen, tetapi diakui efektif, tim
peninjau perlu menyiapkan dokumentasi tindakannya sendiri untuk menjelaskan bagaimana
proses bekerja dan sifat Pengendalian internalnya.
Melaporkan Kekurangan Pengendalian Internal
Ketika kekurangan Pengendalian internal diidentifikasi — apakah melalui proses dalam
sistem Pengendalian internal itu sendiri, pemantauan kegiatan, atau peristiwa eksternal
lainnya — mereka harus dilaporkan ke tingkat yang sesuai manajemen perusahaan.
Pertanyaan kunci untuk evaluator audit TI adalah menentukan apa yang harus dilaporkan,
memberikan detail yang mungkin telah dihitung, dan untuk beberapa laporan harus diarahkan.
Pengendalian internal COSO menyatakan bahwa ‘‘ semua kekurangan Pengendalian internal
yang dapat memengaruhi entitas untuk mencapai tujuannya harus dilaporkan kepada mereka
yang bias mengambil tindakan yang diperlukan. ’Pernyataan Pengendalian internal COSO ini
masuk akal tetapi sering kali demikian sulit diimplementasikan. Perusahaan modern,
bagaimanapun dikelola dengan baik, sering kali bersalah dari berbagai kesalahan atau misi
Pengendalian internal.KOS Pengendalian internal menunjukkan bahwa semua ini harus
diidentifikasi dan dilaporkan dan kesalahan yang kelihatannya kecil sekalipun diselidiki untuk
memahami apakah mereka disebabkan oleh kekurangan Pengendalian secara keseluruhan. Itu
Laporan Pengendalian internal COSO menggunakan contoh dari seorang karyawan yang
mengambil beberapa dolar dari dana kas kecil. Meskipun ini dapat dilihat sebagai
minormatter karena ukurannya yang kecil pencurian, masih harus dilihat sebagai kerusakan
Pengendalian secara keseluruhan pada beberapa tingkatan.

18 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

 Panduan Pengendalian internal COSO diakhiri dengan berdiskusi dengan siapa melaporkan
defisiensi Pengendalian internal dalam perusahaan. Dalam satu paragraf, Pengendalian
internal COSO memberikan panduan yang berguna untuk evaluasi:
Temuan tentang defisiensi Pengendalian internal biasanya harus
dilaporkan tidak hanya kepada individu yang bertanggung jawab atas
fungsi atau aktivitas yang terlibat, yang ada dalam posisi untuk
mengambil tindakan korektif, tetapi juga untuk setidaknya satu tingkat
manajemen di atas orang yang bertanggung jawab langsung. Proses ini
memungkinkan individu itu untuk memberikan dukungan atau
pengawasan yang diperlukan untuk mengambil tindakan korektif, dan
untuk berkomunikasi dengan orang lain di perusahaan yang kegiatannya
dapat terpengaruh. Dimana Temuan melintasi batas-batas organisasi,
pelaporan harus menyeberang sebagai baik dan diarahkan ke tingkat yang
cukup tinggi untuk memastikan tindakan yang tepat.

Perusahaan juga harus mengembangkan prosedur pelaporan sehingga semua internal

kekurangan Pengendalian yang dihadapi melalui tinjauan audit TI atas operasi yang sedang
berlangsung dilaporkan ke tingkat perusahaan yang sesuai. Pelaporan dan pemantauan
manajemen adalah aspek yang sangat penting dari pengendalian internal. Audit internal memiliki
peran utama dalam hal itu proses melalui tinjauan audit TI dan harus menyadari perlunya
pemantauan lainnya proses ketika meninjau dan mengevaluasi Pengendalian internal.

Dimensi Lain dari Kerangka Pengendalian Internal COSO

Kita kadang-kadang lupa bahwa kerangka Pengendalian internal COSO harus ditinjau dan
dievaluasi sebagai model tiga dimensi, ditunjukkan dalam Tampilan 1.2. Selain itu dimensi
menghadap ke depan dari model yang mencakup kegiatan Pengendalian, penutup sisi kanan
entitas atau kegiatan, dan sisi atas atau dimensi kerangka kerja mencakup tiga dimensi dari
semua Pengendalian internal:
1. Efektivitas dan efisiensi operasi

19 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

2. Kepatuhan terhadap hukum dan peraturan yang berlaku
3. Keandalan pelaporan keuangan.

SISTEM PENGENDALIAN INTERNAL COSO PANDUAN PEMANTAUAN

Materi panduan yang luas tentang kerangka Pengendalian internal COSO telah tersedia dengan
sumber mulai dari standar audit AICPA, berbagai materi ISACA, dan materi panduan tambahan
kami sendiri.6 Namun, banyak profesional telah melakukannya mencari panduan yang lebih
spesifik tentang bagaimana menerapkan Pengendalian internal COSO dalam bisnis operasi. Set
tiga volume bahan panduan Pengendalian internal diterbitkan olehCOSO pada tahun 2009.
Volume ini menekankan pentingnya membangun proses untuk memantau keefektifan dan
efisiensi dari pengendalian internal yang telah ada. Deskripsi sebelumnya tentang kerangka kerja
pengendalian internal COSO, seperti yang ditunjukkan dalam Tampilan 1.1, menunjukkan
bahwa perusahaan menerapkan proses pemantauan Pengendalian internal dengan cara yang mirip
dengan cara di mana organisasi manufaktur memantau efektivitas yang berkelanjutan dan
efisiensi prosedur pembuatannya. Bahan-bahan menunjukkan bahwa perusahaan membangun
proses pemantauan empat tahap atau tahap, seperti yang ditunjukkan pada Gambar 1.4, di mana
perusahaan harus terlebih dahulu memprioritaskan dan memahami risiko bagi organisasinya.
tujuan, kemudian mengidentifikasi Pengendalian yang mengatasi risiko-risiko yang
diprioritaskan. Auditor TI memainkan peran kunci dalam langkah ketiga: mengidentifikasi
informasi yang akan menunjukkan secara persuasive bahwa sistem Pengendalian internal
beroperasi secara efektif. Model ini membutuhkan implementasi prosedur hemat biaya untuk
mengevaluasi informasi yang dikumpulkan melalui pemantauan proses.

20 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

SARBANES-OXLEY ACT
Sarbanes-Oxley Act (Kami akan merujuk ke Act sebagai SOx) adalah hukum A.S. yang
diberlakukan pada tahun 2002 sebagai respons terhadap serangkaian kesalahan akuntansi dan
kegagalan keuangan dengan tujuan untuk meningkatkan pelaporan keuangan perusahaan, audit,
dan tata kelola perusahaan proses. Pertama berdampak besar pada bisnis di Amerika Serikat dan
sekarang diakui di seluruh dunia. Meskipun audit dan aturan Pengendalian internal SOx telah
secara langsung mengubah banyak praktik auditor eksternal, tindakan itu juga memiliki dampak
besar pada TI auditor. Pemahaman umum tentang SOx, dengan penekanan pada bagian 404
internal aturan Pengendalian akuntansi, adalah persyaratan pengetahuan utama untuk semua
auditor TI. Di sini kami memberikan ikhtisar tingkat tinggi dari SOx hari ini dengan penekanan
pada itu Bagian 404, aturan yang paling penting bagi auditor TI. Kami meringkas Sox
persyaratan untuk tinjauan Pengendalian akuntansi internal — proses yang penting untuk TI
auditor. Selain itu, kami merangkum standar audit eksternal yang relatif baru disebut Standar
Audit No. 5 (AS 5), seperangkat pendekatan audit berbasis risiko juga menekankan pentingnya

21 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

pekerjaan audit internal dalam melakukan pelaporan keuangan ulasan Pengendalian internal.
Auditor TI harus memiliki pengetahuan dan pemahaman umum aturan Pengendalian internal
SOx.
Elemen kunci
Nama resmi SOx adalah Reformasi Akuntansi Publik dan Undang-Undang
Perlindungan Investor. Itu menjadi hukum pada Agustus 2002 dengan sebagian besar aturan dan
peraturan rinci akhir dirilis pada akhir 2003. Para profesional bisnis menyebutnya sebagai
Sarbanes-Oxley Act, dari nama-nama sponsor kongres utamanya, yang disingkat menjadi SOx,
SOX, atau Sarbox, di antara banyak variasi lainnya. SOx memperkenalkan serangkaian proses
yang sepenuhnya berubah untuk audit eksternal dan memberi tanggung jawab tata kelola baru
kepada eksekutif senior dan anggota dewan. SOx juga mendirikan Dewan Pengawasan
Akuntansi Perusahaan Publik (PCAOB), sebuah pengaturan aturan otoritas di bawah SEC yang
menerbitkan standar audit keuangan dan memantau eksternal tata kelola auditor. Seperti yang
terjadi dengan semua undang-undang federal terkait keuangan dan sekuritas, sebuah seperangkat
peraturan khusus dan aturan administrasi telah dikembangkan oleh SEC berdasarkan undang-
undang SOx.
Undang-undang federal AS diorganisasi dan dikeluarkan sebagai bagian terpisah dari
undang-undang yang disebut udul, dengan bagian dan subbagian bernomor di bawah masing-
masing. Sebagian besar undang-undang SOx berisi aturan yang tidak signifikan bagi sebagian
besar auditor internal dan profesional bisnis. Sebagai contoh, Bagian 602 (d) Judul I menyatakan
bahwa SEC ‘‘ akan menetapkan’ standar atau aturan perilaku profesional minimum untuk
pengacara yang berpraktik SEC. Meskipun
aturan ini mungkin baik untuk diketahui, tidak memiliki dampak audit TI. Gambar 1.5
merangkum judul-judul utama SOx, meskipun fokus kami adalah pada Judul I dan IV. Tujuan
kami bukan untuk menggambarkan semua bagian ini atau mereproduksi teks lengkapnya
undang-undang — ini dapat ditemukan di Web9 — tetapi untuk menyoroti bagian-bagian hukum
yang ada lebih penting bagi audit internal dan profesional bisnis. Menarik, meskipun proses
pengendalian internal sangat bergantung pada auditor eksternal dan internal undang-undang SOx
asli membuat hampir tidak ada referensi langsung ke peran penting dan tanggung jawab auditor
internal. Pentingnya peran audit internal dalam SOx ulasan Pengendalian internal disorot

22 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

kemudian dalam aturan AS 5, dirilis pada pertengahan2007 dan dibahas kemudian dalam bab ini.
Seluruh penekanan kami adalah pada peran audit internal di lingkungan SOx hari ini.

Judul I: Dewan Pengawas Akuntansi Perusahaan Publik / Title I: Public Company

Accounting Oversight Board

23 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

SOx memperkenalkan aturan baru yang signifikan untuk auditor eksternal. Sebelum SOx,
AICPA telah
tanggung jawab menetapkan pedoman untuk semua auditor eksternal dan akuntan publik mereka
perusahaan melalui tanggung jawab keseluruhannya untuk Akuntan Publik Bersertifikat (CPA)
sertifikasi. Meskipun negara Dewan Akuntansi sebenarnya melisensikan CPA, AICPA
sebelumnya memiliki tanggung jawab keseluruhan untuk profesi ini. Standar audit eksternal
ditetapkan oleh AICPA's Auditing Standards Board (ASB). Meski standar dasar — disebut
standar audit yang diterima secara umum (GAAS) - telah ada selama bertahun-tahun, standar
audit yang lebih baru dikeluarkan sebagai Pernyataan Standar Audit yang bernomor
(Kelancangan). Banyak GAAS hanya praktik audit yang baik — misalnya, akuntansi transaksi
harus didukung oleh dokumentasi yang sesuai — sementara SAS dibahas area spesifik yang
membutuhkan definisi yang lebih baik. SAS No. 99, misalnya, membahas tentang pertimbangan
kecurangan dalam audit laporan keuangan. Kode profesional AICPA melakukan CPA yang
diperlukan untuk mengikuti dan mematuhi semua standar audit yang berlaku.
GAAS AICPA dan standar SAS yang dinomori diterima oleh SEC, dan aturan audit ini
menetapkan standar audit eksternal dan tes yang diperlukan untuk laporan keuangan yang
diaudit. Namun, skandal akuntansi yang mengarah pada berlalunya SOx mengisyaratkan bahwa
proses yang dipimpin AICPA untuk menetapkan standar audit adalah ''rusak''; SOx mengambil
proses penetapan standar audit ini dari AICPA, yang mana didominasi oleh kantor akuntan
publik utama, dan menciptakan PCAOB, nonfederal, korporasi nirlaba dengan tanggung jawab
untuk mengawasi semua audit subjek korporasi ke SEC.
PCAOB tidak menggantikan AICPA tetapi bertanggung jawab atas eksternal praktik
audit untuk anggota AICPA. AICPA terus mengelola BPA pemeriksaan, dengan sertifikatnya
diberikan atas dasar negara-oleh-negara, dan menetapkan audit standar untuk organisasi swasta
AS, non-SEC. SOx Title I mendefinisikan audit PCAOB praktik untuk auditor eksternal; proses
audit lainnya dan aturan tata kelola perusahaan miliki mengubah cara auditor internal
mengoordinasikan pekerjaan mereka dengan auditor eksternal. Meskipun Judul SOx I berisi
banyak aturan baru, mungkin tiga yang paling penting bagi auditor TI bahwa PCAOB sekarang
memiliki kedua tanggung jawab utama untuk kantor akuntan publik, menetapkan mereka standar
audit eksternal, dan menetapkan aturan standar audit seperti retensi kertas kerja. Paragraf
berikutnya menjelaskan secara singkat aturan proses audit eksternal SOx Title I ini.

24 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

 Administrasi PCAOB dan pendaftaran kantor akuntan publik. Itu PCAOB dikelola melalui
dewan yang ditunjuk SEC dengan keanggotaan yang disyaratkan yang tidak didominasi oleh
CPA dan kepentingan kantor akuntan publik. PCAOB bertanggung jawab untuk mengawasi dan
mengatur semua kantor akuntan publik yang berpraktik sebelum SEC dan untuk menetapkan
standar audit.
 Audit, Pengendalian kualitas, dan standar independensi. PCAOB memiliki wewenang untuk
menetapkan audit dan standar pengesahan terkait, Pengendalian kualitas standar, dan standar
etika untuk kantor akuntan publik terdaftar. SOx mengakui sebelumnya menerbitkan standar
audit AICPA dan telah mengeluarkan jumlah terbatas standar baru hingga saat ini, seperti AS 5
untuk ulasan dan evaluasi internal Pengendalian. Aturan SOx lebih lanjut menetapkan bahwa
evaluasi auditor eksternal harus berisi uraian tentang kelemahan materi serta segala
ketidakpatuhan material. masalah ditemukan. Auditor eksternal diharuskan untuk memperbarui
keefektifannya Pengendalian internal, dan tidak adanya dokumentasi ini seharusnya dianggap
sebagai kelemahan Pengendalian internal.
 Retensi kertas kerja Audit. PCAOB standar AS 3, Dokumentasi Audit, mengamanatkan bahwa
kertas kerja audit dan bahan pendukung lainnya harus dipertahankan untuk jangka waktu tidak
kurang dari tujuh tahun. Persyaratan ini sebagai tanggapan atas suatu Peristiwa terkenal sesaat
sebelum jatuhnya perusahaan yang mendorong SOx, Enron, dan auditornya, Arthur Andersen.
Enron masih beroperasi tetapi berada di bawah beberapa tekanan keuangan ketika SEC
mengumumkan bahwa mereka akan melakukan penukaran penyelidikan. Auditor eksternal
Enron, Arthur Andersen, menggunakan internal kebijakan perusahaan untuk membenarkan
penghancuran semua kecuali yang terbaru dari audit Enron mereka dokumentasi. Ini adalah
faktor yang menyebabkan pembentukan aturan SOx ini.
 Cakupan pengujian Pengendalian internal. Aturan PCAOB mengharuskan auditor eksternal
menggambarkan ruang lingkup proses pengujian dan temuan pengujian mereka. Sebelum SOx,
auditor eksternal terkadang menggunakan kebijakan internal perusahaan untuk menjustifikasi
yang terkecil ukuran tes, dan mereka sering menguji hanya sejumlah kecil item meskipun sedang
dihadapkan dengan populasi uji yang sangat besar. Jika tidak ada masalah yang ditemukan,
mereka menyatakan pendapat untuk seluruh populasi berdasarkan hasil sampel yang sangat
terbatas. Auditor eksternal sekarang harus lebih memperhatikan ruang lingkup dan kewajaran

25 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

prosedur pengujian mereka, dan dokumentasi pendukung harus jelas menggambarkan ruang
lingkup dan luasnya kegiatan pengujian.

Judul IV: Peningkatan Pengungkapan Keuangan dan Bagian 404/ Title IV: Enhanced
Financial Disclosures and Section 404
SOx Judul IV dirancang untuk memperbaiki beberapa masalah pengungkapan pelaporan
keuangan, untuk diperketat konflik aturan kepentingan bagi pejabat perusahaan dan direktur,
untuk mengamanatkan manajemen penilaian Pengendalian internal, untuk meminta kode etik
pejabat senior, dan lainnya masalah. Ada banyak bahan di sini, tetapi itu adalah nugget yang
signifikan bagi auditor internal adalah Bagian 404, Penilaian Manajemen tentang Pengendalian
Internal. SOx mensyaratkan itu semua laporan 10K tahunan harus berisi laporan Pengendalian
internal yang menyatakan manajemen tanggung jawab untuk membangun dan memelihara
sistem Pengendalian internal yang memadai serta penilaian manajemen, pada tanggal akhir tahun
fiskal, dari efektivitas prosedur Pengendalian internal yang dipasang. Inilah yang populer dikenal
sebagai Bagian 404 aturan. Audit internal dan TI, konsultan luar, dan bahkan tim manajemen —
tetapi bukan auditor eksternal — memiliki tanggung jawab untuk meninjau dan menilai
efektivitas Pengendalian internal mereka, dan kemudian auditor eksternal membuktikan
kecukupan ulasan pengendalian internal yang dibangun dan dikendalikan oleh manajemen.

Bagian 404 Penilaian Pengendalian Internal/ Section 404 Internal Controls Assessments
Manajemen selalu memiliki tanggung jawab keseluruhan untuk merancang dan
mengimplementasikan
Pengendalian internal atas operasi perusahaan. Meski standar untuk apa Pengendalian internal
yang baik tidak selalu didefinisikan dengan baik di masa lalu, mereka tetap menjadi konsep
manajemen mendasar. Bagian SOx 404 membutuhkan laporan pengendalian internal tahunan,
dengan elemen-elemen informasi ini, sebagai bagian dari suatu perusahaan Laporan tahunan
Form 10K yang dimandatkan SEC:
 Pernyataan manajemen formal yang mengakui tanggung jawab perusahaan atas membangun
dan memelihara struktur dan prosedur Pengendalian internal yang memadai untuk pelaporan
keuangan

26 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

 Suatu penilaian, pada akhir tahun fiskal terbaru, dari keefektifan struktur dan prosedur
pengendalian internal perusahaan untuk pelaporan keuangan

Mengidentifikasi Proses Kunci untuk Meluncurkan Bagian 404 Tinjauan Kepatuhan/

Identifying Key Processes to Launch a Section 404 Compliance Review

Apakah berdasarkan pada sistem IT atau bahkan prosedur manual, proses dasar untuk setiap
perusahaan biasanya harus dipertimbangkan dalam beberapa siklus akuntansi dasar:
 Siklus pendapatan. Proses berurusan dengan penjualan atau pendapatan perusahaan lainnya.
 Siklus pengeluaran langsung. Pengeluaran untuk bahan atau biaya produksi langsung.
 Siklus pengeluaran tidak langsung. Biaya operasi yang tidak dapat dikaitkan langsung
dengan kegiatan produksi tetapi diperlukan untuk operasi bisnis secara keseluruhan.
 Siklus penggajian. Meliputi semua kompensasi personil.
 Siklus inventaris. Meskipun persediaan akhirnya akan diterapkan sebagai produksi langsung
pengeluaran, proses berbasis waktu diperlukan untuk menyimpan inventaris sampai
diterapkan pada produksi.
 Siklus aset tetap. Properti dan peralatan membutuhkan proses akuntansi yang terpisah,
seperti akuntansi penyusutan berkala dari waktu ke waktu.
 Umum mengendalikan siklus TI. Rangkaian proses ini mencakup Pengendalian TI yang ada
umum atau berlaku untuk semua operasi TI.

Peran Audit Internal

Meskipun SOx tidak memberikan tanggung jawab khusus untuk audit internal, auditor TI juga
sumber daya perusahaan yang penting untuk penyelesaian Bagian 404 Pengendalian internal
penilaian. Di bawah SOx, fungsi terpisah dan independen dalam perusahaan—sering audit
internal atau TI - meninjau dan mendokumentasikan Pengendalian internal yang mencakup kunci
memproses, mengidentifikasi titik Pengendalian utama, dan kemudian menguji Pengendalian
yang diidentifikasi. Luar audit kemudian meninjau pekerjaan itu dan membuktikan
kecukupannya. Bagi banyak perusahaan, audit TI dapat menjadi sumber daya utama untuk
melakukan tinjauan Pengendalian internal ini untuk berbasis teknologi proses. Ketika SOx
pertama kali menjadi undang-undang, fungsi audit internal sering menjauhkan diri dari Bagian

27 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

404 ulasan karena auditor internal yang potensial standar independensi. Standar IIA,
sebagaimana dibahas pada Bab 3, sekarang memungkinkan auditor internal bertindak sebagai
konsultan untuk membantu mendokumentasikan dan membangun internal yang efektif proses
Pengendalian.
CAE, manajemen keuangan, dan komite audit harus bekerja sama dengan auditor eksternal
perusahaan untuk menetapkan tanggung jawab untuk ulasan Pengendalian internal Bagian 404
mereka. Ulasan ini dilakukan pada proses tahunan, dengan dokumentasi disiapkan dan diuji pada
tahun pertama diperbarui dan diuji ulang di periode mendatang. Semua para pihak harus
mengembangkan pendekatan yang hemat biaya untuk mencapai persyaratan SOx ini dan menilai
aplikasi dan Pengendalian TI mereka.
Bagian 404 ulasan yang dipimpin oleh audit TI harus direncanakan dan dilaksanakan
seperti apa pun proyek audit TI baru sebagaimana dibahas pada Bab 5 tentang perencanaan dan
pengembangan TI yang efektif audit. Tampilan 1.6 menguraikan beberapa pertimbangan
perencanaan untuk Bagian yang dipimpin audit TI 404 ulasan Pengendalian internal. Audit
internal dapat memainkan peran utama dalam membantu senior manajemen menetapkan Bagian
404 kepatuhan. Berdasarkan standar audit internal dibahas dalam Bab 3, audit internal harus
merekomendasikan peningkatan Pengendalian internal karena proses baru sedang
dikembangkan, atau audit internal dapat bertindak sebagai konsultan untuk menginstal proses
Pengendalian internal baru itu.

28 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

AS 5 Aturan dan Audit Internal / AS 5 Rules and Internal Audit

Tak lama setelah SOx menjadi hukum di Amerika Serikat, PCAOB merilis AS 2-nya
pedoman, yang menyerukan auditor eksternal untuk mengambil sangat konservatif dan terperinci
pendekatan pada audit mereka terhadap laporan keuangan. AS 2 mengamanatkan ‘‘ lihat

29 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

semuanya ’ pendekatan audit terperinci, dan tagihan audit eksternal perusahaan menjadi jauh
lebih banyak mahal pada tahun-tahun SOx pertama. Namun, sering ada keluhan oleh industry
para pemimpin dan yang lainnya dengan konsensus umum bahwa AS 2 memerlukan beberapa
revisi. SEC dan PCAOB setuju untuk merevisi AS 2, dan AS 5 dikeluarkan pada akhir Mei 2007.
AS 5 adalah seperangkat standar untuk auditor eksternal yang meninjau dan mensertifikasi
diterbitkan
laporan keuangan. Aturan baru juga penting untuk auditor internal. Memperkenalkan aturan
berbasis risiko dengan penekanan pada efektivitas Pengendalian internal, berorientasi pada fakta
dan keadaan perusahaan. Selain itu, AS 5 panggilan untuk eksternal auditor untuk
mempertimbangkan termasuk tinjauan atas laporan audit internal yang sesuai dalam laporan
mereka ulasan audit laporan keuangan. Ini memungkinkan auditor eksternal untuk lebih
menekankan kemampuan manajemen untuk menetapkan dan mendokumentasikan Pengendalian
internal utama.
Aturan 5 AS sangat penting bagi auditor TI karena auditor eksternal dapat melakukannya
mengandalkan pekerjaan auditor internal dalam penilaian Bagian 404 mereka. AS 5 memiliki
tiga tujuan luas:
1. Fokus audit Pengendalian internal pada hal-hal yang paling penting. AS 5 panggilan
aktif auditor eksternal memfokuskan tinjauan mereka pada area yang menghadirkan
risiko terbesar itu suatu pengendalian internal akan gagal mencegah atau mendeteksi
salah saji material dalam keuangan pernyataan. Pendekatan ini meminta auditor eksternal
untuk fokus pada identifikasi materi kelemahan dalam pengendalian internal dalam audit
mereka, sebelum salah saji material laporan keuangan muncul. AS 5 juga menekankan
pentingnya mengaudit risiko yang lebih tinggi area, seperti proses penutupan akhir
laporan keuangan dan control dirancang untuk mencegah penipuan oleh manajemen.
Pada saat yang sama, standar baru memberikan auditor eksternal berbagai alternatif untuk
mengatasi bidang berisiko rendah, seperti dengan menunjukkan dengan lebih jelas cara
mengkalibrasi sifat, waktu, dan tingkat pengujian berdasarkan risiko, serta cara
memasukkan akumulasi pengetahuan dalam audit tahun-tahun sebelumnya ke dalam
penilaian risiko auditor. Juga sangat penting bagi auditor internal, AS 5 memungkinkan
auditor eksternal untuk menggunakan pekerjaan itu dilakukan oleh auditor internal
perusahaan, bila perlu.

30 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

 2. Hilangkan prosedur audit yang tidak perlu untuk mencapai tujuannya manfaat. AS
5 tidak termasuk rincian standar AS 2 sebelumnya. persyaratan untuk mengevaluasi
proses evaluasi manajemen sendiri dan menjelaskannya audit pengendalian internal tidak
memerlukan pendapat tentang kecukupan proses manajemen. Misalnya, AS 5 berfokus
pada dimensi multilokasi risiko dalam suatu perusahaan dan mengurangi persyaratan
bahwa auditor eksternal harus menguji ‘‘ sebagian besar ’dari operasi atau posisi
keuangan perusahaan. Ini harus memungkinkan pengurangan pekerjaan audit keuangan.
3. Jadikan audit keuangan terukur dengan jelas agar sesuai dengan ukuran dan
kompleksitasnya perusahaan apa pun. Untuk memberikan panduan untuk audit yang
lebih kecil, lebih kompleks perusahaan, AS 5 panggilan untuk menyesuaikan audit
kontrol internal agar sesuai dengan ukuran dan kompleksitas perusahaan yang diaudit.
Standar ini memiliki panduan tentang cara berlaku AS 5 untuk perusahaan yang lebih
kecil, lebih kompleks, serta unit yang lebih besar perusahaan.

MEMBUATNYA: PENGENDALIAN INTERNAL COSO DAN SOx

Bab ini telah memperkenalkan dua konsep penting untuk auditor TI: internal COSO kerangka
kontrol dan standar kontrol internal SOx. Auditor TI bekerja di berbagai lingkungan perusahaan,
tetapi hari ini mereka hampir selalu akan menghadapi internal COSO aturan kerangka kerja
kontrol dan persyaratan tinjauan kontrol internal SOx di bawah AS 5. Meskipun bab ini hanya
memberikan deskripsi ringkasan dari masing-masing standar ini, dan banyak auditor akan
membutuhkan pemahaman yang lebih besar, semua auditor TI harus memiliki pengetahuan
umum dan pemahaman tentang kerangka kerja pengendalian internal COSO dan Aturan SOx
untuk memahami kontrol internal. Ini adalah persyaratan standar dunia untuk auditor TI yang
efektif hari ini.

NOTES
1. More information on the total roles and responsibilities of internal audit in today’s enterprise
can be found in Robert Moeller, Brink’s Modern Internal Auditing, 7th ed. (Hoboken, NJ:
John Wiley & Sons, 2009).
2. Statement on Auditing Standards No. 1, Codification of Auditing Standards and Procedures,
AICPA, Professional Standards.
3. National Commission on Fraudulent Financial Reporting, Report of the National
Commission on Fraudulent Financial Reporting (1987).

31 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)

 4. Internal Control—Integrated Framework, www.coso.org/publications.htm Note: This
reference is for the COSO internal controls report, which can be ordered through the AICPA
at www.cpa2biz.com.
5. AICPA-published COSO internal control standards are described in the Statement on
Auditing Standards (SAS) numbers 103, 105, 106, 107, 109, 110, and 112.
6. See Robert Moeller, Sarbanes-Oxley Internal Controls: Effective Auditing with AS5, CobiT,
and ITIL (Hoboken, NJ: John Wiley & Sons, 2008).
7. COSO, Guidance on Monitoring Internal Control Systems (2009).
www.coso.org/documents/COSO_Guidance_On_Monitoring_Intro_online1.pdf.
8. Here we are presenting only a high-level summary of SOx requirements. See Moeller,
Sarbanes-Oxley Internal Controls, for much more information.
9. As a public document, the text of the law can be found in many Web locations. One source is
http://fl1.findlaw.com/news.findlaw.com/hdocs/docs/gwbush/sarbanesoxley 072302.pdf.

32 | D r . Ferry Hendro Basuki, SE.,MSi.,Ak.,CA. (PSDKU MBD/AuditSI)