KONSEP PENGENDALIAN INTERNAL dinilai sejak dimulainya audit dan telah menjadi
konsep penting untuk kembali ke hari-hari awal audit teknologi informasi (TI). Meskipun Sudah
ada banyak definisi pengendalian internal, yang bagus untuk auditor TI adalah pengendalian
internal adalah proses, dipengaruhi oleh dewan direksi, manajemen, dan lainnya personel, yang
dirancang untuk memberikan jaminan yang wajar tentang pencapaian tersebut tujuan dalam
kategori efektivitas dan efisiensi operasi, keandalan pelaporan keuangan suatu perusahaan, dan
sistem serta kepatuhan proses suatu perusahaan dengan hukum dan peraturan. Definisi yang
dikenal baik ini dinyatakan oleh A.S. Komite Organisasi Sponsoring (COSO), internal
mengendalikan penetapan standar wewenang yang akan kita bahas lebih lanjut dalam bab ini.
Profesional audit bertanggung jawab untuk mengkaji dan menilai pengendalian
manajemen perusahaan. Auditor internal tidak membangun dan mengelola pengendalian ini —
yaitu tanggung jawab manajemen. Auditor, bertindak sebagai pihak independen, melakukan
URAIAN TUGAS
Ringkasan Pekerjaan: Di bawah arahan Kepala Eksekutif Audit (CAE) dan manajemen audit
internal, mengaudit, meninjau, menguji, dan mengevaluasi aplikasi berbasis TI dan prosedur
pengendalian dan ulasan keamanan elektronik melalui jaringan layanan TI perusahaan.
Dapat mencakup salah satu dan / atau semua hal berikut ini:
1. Mendesain pendekatan audit berbasis teknologi; menganalisis dan mengevaluasi proses TI
perusahaan untuk menilai pengendalian internal dan meminimalkan risiko; melakukan
analisis risiko perusahaan infrastruktur teknologi informasi dan jaringan layanan;
mengevaluasi kemungkinan risiko berbagai sistem komputer; menyiapkan laporan yang
mendokumentasikan temuan dan penilaian risiko; mengevaluasi respons manajemen
terhadap temuan dan penilaian risiko.
2. Bekerja secara independen atau dengan anggota lain dari audit internal untuk meninjau
internal perusahaan pengendalian, mengikuti kerangka kerja pengendalian internal COSO.
3. Meneliti efektivitas kebijakan dan prosedur keamanan informasi; mengidentifikasi
kekurangan dalam program keamanan yang ada dan kemungkinan tindakan yang harus
diambil.
4. Mengembangkan dan mengimplementasikan alat dan teknik audit berbantuan komputer
(CAATT) untuk membantu upaya audit internal secara keseluruhan dan melakukan tes
pengendalian terkait TI lainnya, yang sesuai.
5. Mengembangkan dan menyajikan lokakarya pelatihan untuk staf audit tentang
pengendalian dan risiko keamanan konsep.
6. Melakukan dan mengawasi investigasi penggunaan komputer yang tidak tepat.
7. Melakukan proyek-proyek khusus dan tugas-tugas lain sebagaimana ditugaskan;
memberikan masukan pada departemen kegiatan administrasi.
Pengendalian internal adalah salah satu konsep paling penting dan mendasar baik
auditor eksternal dan auditor internal dan profesional bisnis di semua tingkatan harus mengerti.
Para profesional bisnis membangun dan menggunakan pengendalian internal; auditor menelaah
dan menguji sistem dan proses operasional, TI, dan keuangan dengan tujuan mengevaluasi
pengendalian internal. Meskipun auditor internal dan eksternal memiliki tujuan yang berbeda,
sebagian besar referensi kami dalam bab ini berlaku untuk auditor TI, yang memiliki mata kuliah
utama tanggung jawab untuk memahami dan menilai pengendalian internal terkait TI.
Meskipun ada banyak definisi pengendalian internal yang sedikit berbeda masa lalu,
standar COSO memberikan definisi yang sesuai. Mengakui pengendalian internal mencakup
lebih dari sekedar masalah akuntansi dan keuangan dan termasuk semua proses perusahaan,
karena IT sangat melekat pada hampir semua bisnis proses, pengendalian internal terkait TI
adalah bagian utama dari keseluruhan pemahaman kami pengendalian internal. Unit atau proses
perusahaan memiliki pengendalian internal yang baik jika:
1. Menyelesaikan misinya dengan cara yang etis
2. Menghasilkan data yang akurat dan dapat diandalkan
3. Mematuhi undang-undang dan kebijakan perusahaan yang berlaku
4. Menyediakan penggunaan sumber dayanya secara ekonomis dan efisien
5. Menyediakan untuk pengamanan aset yang tepat
Semua anggota perusahaan bertanggung jawab atas pengendalian internal di wilayah
operasi dan untuk mengoperasikannya secara efektif.
Meskipun atau mungkin karena pengendalian internal yang luas dan luasan definisi,
banyak profesional bisnis memiliki masalah dalam pengertian sepenuhnya dan menerapkan
konsep pengendalian internal. Melihat definisi kita sedikit berbeda, konsep pengendalian internal
dan proses pengendalian pendukung kembali ke prosedur dasar mekanis dan dokumen yang
pernah ada sepanjang hari kehidupan. Proses pengendalian diperlukan untuk kegiatan di dalam
Meskipun konsep dan definisi pengendalian internal cukup dipahami, ini tidak benar sampai
akhir 1980-an. Konsep umum mungkin telah dipahami, tetapi tidak ada kesepakatan yang
tentang apa yang dimaksud oleh ‘‘ pengendalian internal yang baik. ’Definisi awal yang pertama
kali berasal dari AICPA dan dulu digunakan oleh Komisi Sekuritas dan Bursa (SEC) AS untuk
Bursa Efek Act of 1934 memberikan titik awal yang baik. Meskipun telah terjadi perubahan atas
tahun, standar terkodifikasi AICPA yang pertama, disebut Pernyataan tentang Standar Audit
(SAS No. 1) mendefinisikan praktik audit eksternal laporan keuangan di Amerika Menyatakan
selama bertahun-tahun. Definisi AICPA tentang pengendalian internal ini telah tunduk pada
perubahan dan interpretasi ulang selama bertahun-tahun. Sepanjang tahun 1970 - an, SEC dan
Struktur organisasi.
Komponen pengendalian internal struktur organisasi menyediakan kerangka kerja untuk
merencanakan, melaksanakan, mengendalikan, dan memantau kegiatan untuk membantu
mencapai tujuan keseluruhan. Faktor lingkungan pengendalian ini berkaitan dengan bagaimana
fungsinya dikelola dan diatur. Struktur organisasi merupakan aspek penting dari lingkungan
pengendalian perusahaan, tetapi tidak ada struktur yang menyediakan internal yang disukai
mengendalikan lingkungan.
Struktur organisasi adalah cara atau pendekatan untuk upaya kerja individu ditugaskan
dan diintegrasikan untuk pencapaian tujuan keseluruhan. Setiap perusahaan membutuhkan
rencana organisasi yang efektif, dan kelemahan dalam Pengendalian organisasi dapat memiliki
efek meresap di seluruh lingkungan Pengendalian total. Meskipun garis yang jelas otoritas,
bagaimanapun, perusahaan kadang-kadang memiliki inefisiensi yang bisa menjadi semakin besar
seiring berjalannya waktu, menyebabkan prosedur Pengendalian rusak.
Penugasan Otoritas dan Tanggung Jawab.
Aktivitas Pengendalian
Lapisan berikutnya dalam kerangka Pengendalian internal COSO disebut aktivitas Pengendalian.
Ini adalah proses dan prosedur yang membantu memastikan bahwa tindakan teridentifikasi risiko
alamat dilakukan. Kegiatan Pengendalian ada di semua tingkatan dan, dalam banyak kasus,
mungkin tumpang tindih satu sama lain. Mereka adalah elemen penting untuk membangun dan
kemudian membangun Pengendalian internal perusahaan yang efektif. Kerangka Pengendalian
internal COSO mengidentifikasi serangkaian kegiatan ini yang umumnya diklasifikasikan
sebagai manual, IT, atau manajemen Pengendalian; mereka juga dijelaskan dalam hal apakah
mereka preventif, korektif, atau kegiatan Pengendalian detektif. Meskipun tidak ada satu set
definisi Pengendalian internal benar untuk semua situasi, Pengendalian internal COSO
merekomendasikan aktivitas Pengendalian ini untuk suatu perusahaan:
Ulasan tingkat atas. (Top-level reviews.)
Manajemen dan auditor internal, di berbagai tingkatan, harus tinjau hasil kinerja mereka,
kontraskan hasil itu dengan anggaran, statistik kompetitif, dan pengukuran tolok ukur lainnya.
Tindakan manajemen untuk menindaklanjuti hasil tinjauan tingkat atas ini dan untuk mengambil
tindakan korektif mewakili aktivitas Pengendalian utama.
Manajemen fungsional atau aktivitas langsung./Direct functional or activity management.
Manajer di berbagai tingkatan harus meninjau laporan operasional dari sistem Pengendalian
mereka dan mengambil tindakan korektif sebagai sesuai. Banyak sistem manajemen memiliki
laporan pengecualian yang mencakup ini kegiatan Pengendalian. Misalnya, sistem keamanan TI
harus memiliki mekanisme melaporkan upaya akses yang tidak sah, dengan aktivitas
Judul IV: Peningkatan Pengungkapan Keuangan dan Bagian 404/ Title IV: Enhanced
Financial Disclosures and Section 404
SOx Judul IV dirancang untuk memperbaiki beberapa masalah pengungkapan pelaporan
keuangan, untuk diperketat konflik aturan kepentingan bagi pejabat perusahaan dan direktur,
untuk mengamanatkan manajemen penilaian Pengendalian internal, untuk meminta kode etik
pejabat senior, dan lainnya masalah. Ada banyak bahan di sini, tetapi itu adalah nugget yang
signifikan bagi auditor internal adalah Bagian 404, Penilaian Manajemen tentang Pengendalian
Internal. SOx mensyaratkan itu semua laporan 10K tahunan harus berisi laporan Pengendalian
internal yang menyatakan manajemen tanggung jawab untuk membangun dan memelihara
sistem Pengendalian internal yang memadai serta penilaian manajemen, pada tanggal akhir tahun
fiskal, dari efektivitas prosedur Pengendalian internal yang dipasang. Inilah yang populer dikenal
sebagai Bagian 404 aturan. Audit internal dan TI, konsultan luar, dan bahkan tim manajemen —
tetapi bukan auditor eksternal — memiliki tanggung jawab untuk meninjau dan menilai
efektivitas Pengendalian internal mereka, dan kemudian auditor eksternal membuktikan
kecukupan ulasan pengendalian internal yang dibangun dan dikendalikan oleh manajemen.
Bagian 404 Penilaian Pengendalian Internal/ Section 404 Internal Controls Assessments
Manajemen selalu memiliki tanggung jawab keseluruhan untuk merancang dan
mengimplementasikan
Pengendalian internal atas operasi perusahaan. Meski standar untuk apa Pengendalian internal
yang baik tidak selalu didefinisikan dengan baik di masa lalu, mereka tetap menjadi konsep
manajemen mendasar. Bagian SOx 404 membutuhkan laporan pengendalian internal tahunan,
dengan elemen-elemen informasi ini, sebagai bagian dari suatu perusahaan Laporan tahunan
Form 10K yang dimandatkan SEC:
Pernyataan manajemen formal yang mengakui tanggung jawab perusahaan atas membangun
dan memelihara struktur dan prosedur Pengendalian internal yang memadai untuk pelaporan
keuangan
Apakah berdasarkan pada sistem IT atau bahkan prosedur manual, proses dasar untuk setiap
perusahaan biasanya harus dipertimbangkan dalam beberapa siklus akuntansi dasar:
Siklus pendapatan. Proses berurusan dengan penjualan atau pendapatan perusahaan lainnya.
Siklus pengeluaran langsung. Pengeluaran untuk bahan atau biaya produksi langsung.
Siklus pengeluaran tidak langsung. Biaya operasi yang tidak dapat dikaitkan langsung
dengan kegiatan produksi tetapi diperlukan untuk operasi bisnis secara keseluruhan.
Siklus penggajian. Meliputi semua kompensasi personil.
Siklus inventaris. Meskipun persediaan akhirnya akan diterapkan sebagai produksi langsung
pengeluaran, proses berbasis waktu diperlukan untuk menyimpan inventaris sampai
diterapkan pada produksi.
Siklus aset tetap. Properti dan peralatan membutuhkan proses akuntansi yang terpisah,
seperti akuntansi penyusutan berkala dari waktu ke waktu.
Umum mengendalikan siklus TI. Rangkaian proses ini mencakup Pengendalian TI yang ada
umum atau berlaku untuk semua operasi TI.
Tak lama setelah SOx menjadi hukum di Amerika Serikat, PCAOB merilis AS 2-nya
pedoman, yang menyerukan auditor eksternal untuk mengambil sangat konservatif dan terperinci
pendekatan pada audit mereka terhadap laporan keuangan. AS 2 mengamanatkan ‘‘ lihat
NOTES
1. More information on the total roles and responsibilities of internal audit in today’s enterprise
can be found in Robert Moeller, Brink’s Modern Internal Auditing, 7th ed. (Hoboken, NJ:
John Wiley & Sons, 2009).
2. Statement on Auditing Standards No. 1, Codification of Auditing Standards and Procedures,
AICPA, Professional Standards.
3. National Commission on Fraudulent Financial Reporting, Report of the National
Commission on Fraudulent Financial Reporting (1987).