NAMA : Nazirah Adelyah Nuur Zaindien

NIM : 042011333107
KELAS : Pengauditan I - L

INTERNAL CONTROL AND COSO FRAMEWORK

A. Tujuan Pengendalian Internal

Pengendalian internal adalah proses yang dirancang untuk memberikan manajemen kepastian
yang layak bahwa perusahaan telah mencapai tujuan dan sasaran. Pengendalian internal
dilaksanakan oleh manajemen yang dirancang untuk memberikan jaminan rasional terhadap
informasi keuangan dan operasional yang terpercaya, kepatuhan akan kebijakan dan
prosedur, hukum dan peraturan, strategi operasional, integritas, dan etika nilai-nilai.
Sebuah unit usaha memiliki pengendalian internal yang baik jika:
- Mampu menyelesaikan misi dalam cara yang etis
- Mampu menghasilkan data yang akurat dan terpercaya, sesuai dengan hukum yang
berlaku dan kebijakan perusahaan
- Mampu menyediakan untuk keperluan ekonomis dan efisien sumber daya
- Mampu menyediakan perlindungan aset
Manajemen memiliki tiga tujuan umum dalam merancang sistem pengendalian internal yang
efektif:
1. Reliabilitas pelaporan keuangan : manajemen memikul tanggung jawab hukum
maupun professional untuk memastikan bahwa informasi telah disajikan secara wajar
sesuai dengan persyaratan pelaporan kerangka kerja.
2. Efisiensi dan efektivitas operasi : memperoleh informasi keuangan dan nonkeuangan
yang akurat tentang operasi perusahaan untuk keperluan pengambilan keputusan.
3. Ketaatan pada hukum dan peraturan : mengeluarkan laporan tentang keefektifan
pelaksanaan pengendalian internal atas laporan keuangan.

B. Tanggung Jawab Manajemen dan Auditor atas Pengendalian Internal

Manajemen bertanggung jawab untuk menetapkan dan menyelenggarakan pengendalian
internal entitas dan oleh Section 404 harus melaporkan secara terbuka tentang keefektifan
pelaksanaan pengendalian. Sebaliknya, tanggung jawab editor mencakup memahami dan
menguji pengendalian internal atas pelaporan keuangan. Ada dua konsep utama yang
melandasi perancangan dan implementasi pengendalian internal.
● Kepastian yang layak. Perusahaan harus mengembangkan pengendalian internal yang
akan memberikan kepastian yang layak, tetapi bukan absolut, bahwa laporan
keuangan telah disajikan secara wajar
● Keterbatasan inheren. Pengendalian internal tidak akan pernah bisa secara efektif
100%, tanpa menghasilkan kecermatan yang diterapkan dalam perancangan dan
implementasinya.
Manajemen juga harus mengidentifikasi kerangka kerja yang digunakan untuk mengevaluasi
keefektifan pengendalian internal. Seperti yang digunakan oleh sebagian besar perusahaan
A.S, adalah Internal Control Integrated Framework yang dikeluarkan Committee of
Sponsoring Organization dari Treadway Commission (COSO).
Penilaian manajemen mengenai pengendalian internal atas pelaporan keuangan terdiri dari
dua komponen utama :
● Rancangan pengendalian internal. Manajemen harus mengevaluasi apakah
pengendalian telah dirancang dan diberlakukan untuk mencegah dan mendeteksi salah
saji yang material dalam laporan keuangan.
● Efektivitas pelaksanaan pengendalian. Tujuan pengujian ini adalah untuk menentukan
apakah pengendalian telah berjalan seperti yang telah dirancang, dan apakah orang
yang melaksanakan memiliki kewenangan dan kualifikasi yang diperlukan untuk
melaksanakan pengendalian secara efektif.
Standar auditing mengharuskan auditor memahami pengendalian internal yang relevan
dengan audit pada setiap penugasan audit. Auditor terutama perlu memperhatikan:
a. Pengendalian atas reliabilitas pelaporan keuangan. Laporan keuangan mungkin tidak
sesuai dengan GAAP atau IFRS jika pengendalian internal atas pelaporan keuangan
tidak memadai
b. Pengendalian atas kelas-kelas transaksi. Auditor menekankan pengendalian ini, dan
bukan saldo akun, karena keakuratan output sistem akuntansi (saldo akun) sangat
tergantung pada keakuratan input dan pemrosesan (transaksi).

C. Komponen Pengendalian Internal Menurut COSO

Terdapat lima komponen pengendalian internal menurut Coso:
1. Lingkungan Pengendalian (Control Environment):
Kondisi yang dibangun dan diciptakan dalam suatu organisasi yang akan
mempengaruhi pengendalian. Kondisi lingkungan kerja dipengaruhi oleh beberapa
hal, yaitu adanya penegakan integritas dan etika seluruh anggota organisasi,
komitmen pimpinan manajemen atas kompetensi, kepemimpinan manajemen yang
kondusif, pembentukan struktur organisasi yang sesuai dengan kebutuhan,
pendelegasian wewenang dan tanggung jawab yang tepat, penyusunan dan penerapan
kebijakan yang sehat tentang pembinaan sumber daya manusia, perwujudan peran
aparat pengawasan yang efektif, dan hubungan kerja yang baik dengan pihak ekstern.
Bagian ini memuat tindakan, kebijakan, dan prosedur yang secara keseluruhan
mencerminkan sikap manajemen puncak, direksi, dan pemilik dari sebuah entitas atas
suatu pengendalian internal.
2. Penilaian Risiko (Risk Assessment):
Sebuah proses untuk mengidentifikasi, menganalisis, dan mengelola risiko yang dapat
mencegah atau menghambat suatu organisasi untuk mencapai tujuannya. Kerangka
pengendalian internal COSO menyarankan bahwa risiko sebaiknya dilihat dari 3
perspektif, yaitu :
a. Enterprise risks due to external factors
Misalnya perkembangan teknologi, kebutuhan pelanggan, harga, warranty,
dan service.
b. Enterprise risks due to internal factors
Misalnya kerusakan pada server IT perusahaan, kualitas pekerja, dan lain-lainnya.
c. Specific activity-level risks
 Selain melihat kepada faktor internal dan eksternal, risiko juga dilihat berdasarkan
aktivitas level seperti IT, keuangan, pemasaran, dan lain-lainnya.

3. Pengendalian Aktivitas (Control Activities):

Semua kebijakan dan prosedur sebagai tambahan atas empat prosedur lainnya yang
membantu memastikan bahwa adanya atau perlunya suatu tindakan yang dapat diambil untuk
meminimalkan risiko terhadap pencapaian tujuan organisasi.
Types Of Control Activities :
1. Top-level reviews
2. Direct functional or activity management
3. Information processing
4. Physical controls
5. Performance indicators
6. Segregation of duties
4. Informasi dan Komunikasi :
Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan keputusan
dalam rangka penyelenggaraan tugas dan fungsi organisasi. Hal ini bertujuan untuk memulai,
merekam, memproses, dan melaporkan transaksi yang dilakukan oleh entitas serta
memperbaiki akuntabilitas pada aset terkait. Informasi yang berkualitas tentunya harus
dikomunikasikan kepada pihak-pihak yang terkait. Penyampaian informasi yang tidak
baik dapat mengakibatkan kesalahan interpretasi penerimaan informasi.
5. Monitoring
Tindakan pengawasan yang dilakukan oleh pimpinan manajemen atau pegawai lain yang
ditunjuk dan bertanggung jawab dalam pelaksanaan tugas sebagai penilai terhadap kualitas
dan efektivitas sistem pengendalian intern dan melakukan pengubahan sesuai dengan
perkembangan kondisi secara periodik.
Monitoring dapat dilakukan dengan 3 cara yaitu:
- Ongoing Monitor Activities
- Separate Internal Control Evaluation
- Reporting Internal Control Deficiencies

D. Kendali Internal Spesifik terhadap Teknologi Informasi (IT)

Standar audit mendeskripsikan dua kategori kendali sistem teknologi informasi, yaitu:
● General controls, berlaku untuk semua jenis aspek IT; termasuk administrasi IT;
pemisahan tugas IT; pengembangan sistem; keamanan fisik dan online akses ke
perangkat keras, perangkat lunak, dan data terkait; perencanaan cadangan dan
kontinjensi dalam peristiwa darurat yang tak terduga; dan kontrol perangkat keras.
● Application controls, secara khas dioperasikan pada level proses bisnis dan diterapkan
pada pemrosesan transaksi, seperti kendali pada proses penjualan secara keseluruhan
atau pada proses penerimaan kas.

E. Dampak dari Infrastruktur Teknologi Dalam Pengendalian Internal

Sistem database manajemen mengizinkan klien untuk membuat banyak database yang
meliputi informasi yang dapat dibagikan pada aplikasi ganda. Perusahaan sering
mengintegrasi sistem database manajemen dalam beberapa organisasi menggunakan sistem
enterprise resource planning (ERP) yang mengintegrasi macam-macam aspek dalam sebuah
aktivitas dalam organisasi ke dalam satu sistem informasi akuntansi. Sistem ERP
membagikan data akuntansi dan fungsi bisnis dari suatu organisasi non-akuntansi.
Perusahaan menggunakan sistem e-commerce untuk melakukan transaksi bisnis secara
elektronik dengan menggunakan jaringan sistem informasi akuntansi kepada pihak Iuar,
seperti customer dan pemasok. Resiko perusahaan didasari pada bagaimana e-commerce
suatu perusahaan berjalan dengan baik dalam mengidentifikasi partner dan memanajemen
resiko pada sistem informasi perusahaan itu sendiri. Kegunaan dari sistem e-commerce juga
mengekspos data sensitif perusahaan, program, dan perangkat keras sebagai potensi sabotase
dari pihak di luar yang berusaha memasuki kepentingan organisasi tanpa adanya akses secara
resmi atau disebut ilegal

Review Questions
8-1 Describe the four broad objectives management has when designing effective
internal control.
Empat tujuan utama pengendalian internal yang efektif :
1. Strategis : sasaran tingkat tinggi yang mendukung misi entitas
2. Reliabilitas pelaporan keuangan : manajemen memikul tanggung jawab hukum
maupun professional untuk memastikan bahwa informasi telah disajikan secara wajar
sesuai dengan persyaratan pelaporan kerangka kerja.
3. Efisiensi dan efektivitas operasi : memperoleh informasi keuangan dan nonkeuangan
yang akurat tentang operasi perusahaan untuk keperluan pengambilan keputusan.
4. Ketaatan pada hukum dan peraturan : mengeluarkan laporan tentang keefektifan
pelaksanaan pengendalian internal atas laporan keuangan.

8-2 Describe which of the four categories of broad objectives for internal controls are
considered by the auditor in an audit of both the financial statements and internal
controls over financial reporting. Why are these categories considered?
Dari keempat tujuan pengendalian, yang dianggap paling penting dalam pengauditan laporan
keuangan adalah keandalan reliabilitas pelaporan keuangan. Karena dengan kita membuat
laporan keuangan yang dapat diandalkan berarti kita telah memastikan laporan tersebut telah
disajikan secara wajar sesuai dengan standar pelaporan IAI dan IFRS.

8-5 What are the five components of internal control in the COSO (Committee of
Sponsoring Organizations of the Treadway Commission) internal control framework?
Provide an example of a control for each component.
1. Lingkungan Pengendalian (Control Environment)
Kondisi lingkungan kerja dipengaruhi oleh beberapa hal, yaitu adanya penegakan integritas
dan etika seluruh anggota organisasi, komitmen pimpinan manajemen atas kompetensi,
kepemimpinan manajemen yang kondusif, pembentukan struktur organisasi yang sesuai
dengan kebutuhan, pendelegasian wewenang dan tanggung jawab yang tepat, penyusunan
dan penerapan kebijakan yang sehat tentang pembinaan sumber daya manusia, perwujudan
peran aparat pengawasan yang efektif, dan hubungan kerja yang baik dengan pihak ekstern.
Bagian ini memuat tindakan, kebijakan, dan prosedur yang secara keseluruhan mencerminkan
sikap manajemen puncak, direksi, dan pemilik dari sebuah entitas atas suatu pengendalian
internal. Faktor-faktor lingkungan pengendalian mencakup integritas, nilai etis, dan
kompetensi dari orang dan entitas, filosofi manajemen dan gaya operasi, cara manajemen
memberikan otoritas dan tanggung jawab serta mengorganisasikan dan mengembangkan
orangnya, perhatian dan pengarahan yang diberikan oleh pimpinan.
2. Penilaian Risiko (Risk Assessment)
Kerangka pengendalian internal COSO menyarankan bahwa risiko sebaiknya dilihat dari 3
perspektif, yaitu :
a. Enterprise risks due to external factors
Misalnya perkembangan teknologi, kebutuhan pelanggan, harga, warranty, dan
service.
b. Enterprise risks due to internal factors
Misalnya kerusakan pada server IT perusahaan, kualitas pekerja, dan lain-lainnya.
c. Specific activity-level risks
Selain melihat kepada faktor internal dan eksternal, risiko juga dilihat berdasarkan aktivitas
level seperti IT, keuangan, pemasaran, dan lain-lainnya.
3. Pengendalian Aktivitas (Control Activities):
Semua kebijakan dan prosedur sebagai tambahan atas empat prosedur lainnya yang
membantu memastikan bahwa adanya atau perlunya suatu tindakan yang dapat diambil untuk
meminimalkan risiko terhadap pencapaian tujuan organisasi.
Types Of Control Activities :
- Top-level reviews
- Direct functional or activity management
- Information processing
- Physical controls
- Performance indicators
- Segregation of duties
4. Informasi dan Komunikasi (information and communication)
Proses memulai, merekam, memproses, dan melaporkan transaksi yang dilakukan oleh entitas
serta memperbaiki akuntabilitas pada aset terkait.
5. Kegiatan Pemantauan (monitoring activities)
Sistem pengendalian internal perlu dipantau, proses ini bertujuan untuk menilai mutu kinerja
sistem sepanjang waktu. Monitoring dapat dilakukan dengan 3 cara yaitu:
- Ongoing Monitor Activities
- Separate Internal Control Evaluation
- Reporting Internal Control Deficiencies

8-6 What is the relationship among the five components of internal control?
Kelima komponen pengendalian internal saling berhubungan di mana lingkungan
pengendalian (control environment) berperan sebagai dasar bagi keempat komponen lainnya.
Tanpa lingkungan pengendalian yang efektif, keempat komponen lainnya mustahil untuk
dapat membentuk pengendalian internal yang efektif.
8-13 For each of the following, give an example of a physical control the client can use to
protect the asset or record:
1. Computers
2. Cash received by retail clerks
3. Accounts receivable records
4. Raw material inventory
5. Perishable tools
6. Manufacturing equipment
7. Marketable securities
Pengendalian fisik kas kecil yang baik adalah bagaimana cara menyimpan dana pada tempat
yang benar-benar aman seperti lemari besi, peti penyimpangan, atau laci kas yang dikunci.

Professional Judgement
8-31 You are doing the audit of Phelps College, a private school with approximately 2500
students. With your firm’s consultation, they have instituted an IT system that separates the
responsibilities of the computer operator, systems analyst, librarian, programmer, and data
control group by having a different person do each function. Now, a budget reduction is
necessary and one of the five people must be laid off. You are requested to give the college
advice as to how the five functions could be done with reduced personnel and minimal
negative effects on internal control. The amount of time the functions take is not relevant
because all five people also do non accounting functions.
Required
a. Divide the five functions among four people in such a way as to maintain the best possible
control system.
b. Assume that economic times become worse for Phelps College and it must terminate
employment of another person. Divide the five functions among three people in such a way
as to maintain the best possible internal control. Again, the amount of time each function
takes should not be a consideration in your decision.
c. Assume that economic times become so severe for Phelps College that only two people can
be employed to do IT functions. Divide the five functions between two people in such a way
as to maintain the best possible control system.
d. If the five functions were done by one person, will internal controls be so inadequate that
an audit cannot be done? Discuss
Jawab :
a. Pembagian fungsi di antara 4 orang
- Orang pertama : Operator Komputer
bertanggung jawab untuk menangani operasi komputer sehari-hari
- Orang kedua : Analis Sistem
bertanggung jawab untuk analisis sistem dan pemrograman
- Orang ketiga : Pustakawan Kontrol
bertanggung jawab atas pekerjaan yang berhubungan dengan kepustakaan
- Orang keempat : Data Pemrograman
bertanggung jawab untuk mengontrol data
b. Pembagian fungsi di antara 3 orang
 - Orang pertama : Operator Komputer
bertanggung jawab untuk menangani operasi komputer sehari-hari
- Orang kedua : Analis Sistem
bertanggung jawab untuk analisis sistem dan pemrograman
- Orang ketiga : Pemrogram Pustakawan, Kontrol Data
bertanggung jawab untuk pekerjaan terkait perpustakaan serta kontrol data
c. Pembagian fungsi di antara 2 orang
- Orang pertama : Operator Komputer, Pustakawan Analis Sistem
bertanggung jawab untuk menangani operasi komputer sehari-hari serta pekerjaan
terkait perpustakaan
- Orang kedua : Pemrograman, Kontrol Data
bertanggung jawab untuk analisis sistem, pemrograman, dan kontrol data
d. Pembagian fungsi di antara 1 orang
Jika kelima fungsi tersebut dilakukan oleh satu orang, pengendalian internal akan menjadi
tidak memadai untuk dilakukan audit. Pasalnya, kontrol TI berbeda untuk fungsi yang
berbeda dan sulit bagi satu orang untuk mengendalikannya. Oleh karena itu, sulit bagi auditor
untuk mengevaluasi pengendalian internal untuk setiap fungsi secara efektif.