Pengendalian Internal atas Keuangan Pelaporan: Manajemen Tanggungjawab dan

Pentingnya untuk Eksternal Auditor

Overview

Bab ini berfokus pada pemahaman intern klien kontrol atas pelaporan keuangan (Tahap II audit)
proses perumusan opini). Bagian penting dari tata kelola perusahaan organisasi adalah sistemnya
dari pengendalian internal. Semua organisasi perlu efektif pengendalian internal atas pelaporan
keuangan sehingga mereka dapat menghasilkan laporan keuangan yang andal. Sebagai contoh,
pengendalian internal diperlukan untuk memberikan jaminan bahwa semua penjualan dicatat,
semua penerimaan kas dikumpulkan dan disimpan dengan benar di rekening bank organisasi,
dan semua aset dan kewajiban dinilai dengan benar. Manajemen memiliki tanggung jawab
untuk merancang, mengimplementasikan, dan memelihara pengendalian internal yang efektif
atas pelaporan keuangan. Manajemen perusahaan publik juga akan mengevaluasi dan
melaporkan kepada publik tentang keefektifan pengendalian internal perusahaan. Auditor
eksternal membutuhkan untuk memahami pengendalian internal klien atas keuangan pelaporan
dan bagaimana manajemen telah memenuhi internalnya tanggung jawab kontrol. Bab ini
membantu Anda mengidentifikasi aspek kontrol internal klien yang Anda perlukan memahami
untuk merencanakan dan melakukan audit.

Pentingnya Pengendalian Internal Atas Pelaporan Keuangan

Pengendalian internal membantu organisasi mengurangi risiko tidak tercapainya tujuan. Contoh
tujuan termasuk mencapai profitabilitas, memastikan efisiensi operasi, pembuatan produk
berkualitas tinggi atau penyediaan layanan berkualitas tinggi, mematuhi persyaratan pemerintah
dan peraturan, menyediakan pengguna dengan informasi keuangan yang andal, dan melakukan
operasi dan hubungan karyawan dengan cara yang bertanggung jawab secara sosial. Sementara
organisasi memiliki beberapa tujuan ini, auditor eksternal paling ditetapkan dalam tujuan
pelaporan keuangan yang andal. Organisasi menghadapi banyak risiko tidak mencapai pelaporan
keuangan yang andal. Misalnya, seorang penjual mungkin melebih-lebihkan penjualan untuk
meningkatkan kemungkinan menerima bonus. Mempekerjakan- karyawan di area penerima
mungkin terlalu sibuk untuk mencatat inventaris secara akurat ketika diterima. Manajemen
mungkin salah menerapkan penilaian dan menilai terlalu tinggi aset tidak berwujud. Manajemen
perlu mengidentifikasi risiko terhadap organisasi mereka tidak mencapai pelaporan keuangan
yang andal. Setelah risiko ini dapat diandalkan pelaporan keuangan diidentifikasi, manajemen
menerapkan kontrol untuk memberikan keyakinan memadai bahwa salah saji material tidak
terjadi dalam laporan keuangan.

Pengendalian internal atas pelaporan keuangan memberikan banyak manfaat bagi organisasi.
nizations, termasuk memberikan kepercayaan tentang keandalan mereka informasi keuangan dan
membantu mengurangi kejutan yang tidak menyenangkan. Efektif pengendalian internal
meningkatkan kualitas informasi, sehingga memungkinkan untuk keputusan yang lebih tepat
oleh pengguna internal dan eksternal dari informasi keuangan formasi. Audit dalam Praktik
menampilkan “Kekurangan dan Kekurangan Kontrol Keputusan di Reliable Insurance Co.”
menggambarkan betapa buruknya pengendalian internal dapat mengakibatkan pengambilan
keputusan yang buruk.

2
Pentingnya Pengendalian Internal bagi Audit Eksternal

Standar audit profesional mengharuskan auditor, sebagai bagian dari perencanaan dan audit,
untuk mengidentifikasi dan menilai risiko salah saji material klien, baik yang disebabkan oleh
kecurangan atau kesalahan. Penilaian ini didasarkan pada pemahaman tentang organisasi dan
lingkungannya, termasuk pengendalian internal atas laporan keuangan. Auditor perlu memahami
internal perusahaan pengendalian untuk mengantisipasi jenis salah saji material yang mungkin
terjadi dan kemudian mengembangkan prosedur audit yang tepat untuk menentukan apakah salah
saji tersebut ada dalam laporan keuangan. Jika klien memiliki ketidakefektifan pengendalian
internal, auditor akan merencanakan audit dengan mempertimbangkan hal ini. Untuk contoh,
jika auditor mencatat bahwa klien tidak memiliki pengendalian yang efektif untuk: memberikan
jaminan yang wajar bahwa semua penjualan dicatat dalam waktu yang tepat periode, maka
auditor perlu mengembangkan audit yang cukup dan tepat prosedur untuk menguji apakah
penjualan dan piutang salah saji secara material karena tidak adanya pengendalian yang efektif.

Auditor perusahaan publik besar memiliki minat tambahan dalam pengendalian internal klien.
Ketika melakukan audit laporan keuangan untuk perusahaan-perusahaan ini, auditor melakukan
audit terintegrasi, yang termasuk memberikan pendapat tentang efektivitas internal klien
pengendalian atas pelaporan keuangan selain opini atas laporan keuangan tersebut pernyataan.

Mendefinisikan Pengendalian Internal

Sama seperti perusahaan A.S. mungkin merujuk pada prinsip akuntansi yang berlaku umum
(GAAP) sebagai kerangka kerja untuk menentukan apakah laporan keuangannya disajikan secara
wajar, perusahaan perlu mengacu pada kerangka pengendalian internal ketika menilai efektivitas
pengendalian internal atas pelaporan keuangan.Kerangka kerja yang paling banyak digunakan di
Amerika Serikat adalah Internal Control– Kerangka Terintegrasi diterbitkan oleh COSO (Komite
Sponsoring Organisasi Komisi Treadway). Organisasi sponsor pertama kali datang bersama-
sama pada 1980-an untuk mengatasi meningkatnya penipuan keuangan pelaporan yang terjadi
saat itu. COSO merilis yang asli Kerangka Kerja Terintegrasi Pengendalian Internal COSO yang
diperbarui pada tahun 1992.Kerangka kerja memperoleh penerimaan luas setelah kegagalan
keuangan dari awal 2000-an. Pada tahun 2013 COSO memperbarui, meningkatkan, dan
mengklarifikasi kerangka.

3
Saat ini, Internal Control–Integrated Framework (sering disebut hanya sebagai "COSO") adalah
kerangka pengendalian internal yang paling banyak digunakan di Amerika Serikat, dan juga
digunakan di seluruh dunia. COSO mendefinisikan pengendalian internal sebagai: suatu proses,
yang dipengaruhi oleh dewan direksi, manajemen, dan lainnya entitas personnel, yang dirancang
untuk memberikan keyakinan memadai mengenai pencapaian tersebut tujuan yang berkaitan
dengan operasi, pelaporan, dan kepatuhan.

Elemen penting dari definisi tersebut mengakui bahwa pengendalian internal adalah:

1. Sebuah proses yang terdiri dari tugas dan aktivitas yang sedang berlangsung.
2. Dipengaruhi oleh orang-orang dan bukan hanya tentang manual kebijakan, sistem, dan
formulir. Orang-orang di setiap tingkat organisasi, mulai dari pengiriman juru tulis ke
auditor internal ke chief financial officer (CFO), chief pejabat eksekutif (CEO), dan dewan
direksi, berdampak internal kontrol.
3. Mampu memberikan jaminan yang wajar, tetapi bukan jaminan mutlak, mengenai
pencapaian tujuan. Keterbatasan pengendalian internal menghalangi jaminan mutlak.
Keterbatasan ini termasuk manusia yang salah penilaian, kerusakan karena kesalahan,
menghindari kontrol dengan kolusi banyak orang, dan kemampuan manajemen untuk
mengesampingkan kontrol.
4. Diarahkan pada pencapaian berbagai tujuan. Definisi tersebut menyoroti bahwa
pengendalian internal memberikan jaminan yang wajar mengenai tiga kategori tujuan.
Namun, auditor eksternal terutama tertarik pada tujuan yang terkait dengan keandalan
pelaporan keuangan..

COSO mengidentifikasi lima komponen pengendalian internal yang mendukung organisasi

dalam mencapai tujuannya. Komponen-komponen COSO ini Kerangka Kerja Terintegrasi
Pengendalian Internal yang diperbarui ditunjukkan pada Tampilan 3.1, yang menyoroti bahwa
pengendalian internal dimulai dengan menetapkan tujuan pelaporan keuangan organisasi, yaitu
untuk menghasilkan laporan keuangan yang bebas dari salah saji material. Kelima komponen
tersebut antara lain:

4
 1. Penilaian Risiko melibatkan proses untuk mengidentifikasi dan menilai risiko yang dapat
mempengaruhi organisasi dalam mencapai tujuannya. Mempertaruhkan penilaian perlu
dilakukan sebelum organisasi dapat menentukan pengendalian lain yang diperlukan.
2. Lingkungan Pengendalian adalah seperangkat standar, proses dan struktur yang
memberikan dasar untuk melaksanakan pengendalian internal di seluruh organisasi. Ini
termasuk nada di atas tentang pentingnya pengendalian internal dan standar perilaku
yang diharapkan. Kontrol lingkungan memiliki dampak yang luas pada keseluruhan
sistem pengendalian internal.
3. Aktivitas Pengendalian adalah tindakan yang telah ditetapkan oleh kebijakan dan
prosedur. Mereka membantu memastikan bahwa arahan manajemen mengenai
pengendalian internal dilaksanakan. Aktivitas pengendalian terjadi di semua tingkatan
dalam organisasi.
4. Informasi dan Komunikasi mengakui bahwa informasi diperlukan bagi organisasi untuk
melaksanakan tanggung jawab pengendalian internalnya. Informasi dapat berasal dari
internal dan eksternal sumber. Komunikasi adalah proses memberikan, berbagi, dan
memperoleh informasi yang diperlukan. Informasi dan Komunikasi membantu semua
pihak terkait memahami tanggung jawab pengendalian internal dan bagaimana
pengendalian internal terkait dengan pencapaian tujuan.
5. Pemantauan diperlukan untuk menentukan apakah pengendalian, termasuk kelima
komponen, ada dan terus berfungsi secara efektif.

Pengendalian internal yang efektif mengharuskan kelima komponen tersebut diimplementasikan

dan beroperasi secara efektif. Secara khusus, kontrol perlu (1) dirancang dan diterapkan secara
efektif, dan (2) beroperasi secara efektif; yaitu prosedur konsisten dengan desain kontrol.
Pertimbangan ini diperlukan untuk pengendalian internal untuk mencapai manfaat yang
diinginkan.

Terminologi: Kontrol Seluruh Entitas dan Kontrol Transaksi Beberapa komponen pengendalian
internal beroperasi di seluruh entitas dan disebut sebagai kontrol seluruh entitas. Kontrol seluruh
entitas memengaruhi banyak proses, transaksi, akun, dan asersi. Berikut ini biasanya dianggap
sebagai kontrol seluruh entitas:

1. Kontrol yang terkait dengan lingkungan kontrol

5
 2. Kontrol atas penggantian manajemen
3. Proses penilaian risiko organisasi
4. Pemrosesan dan kontrol terpusat, termasuk lingkungan layanan bersama
5. Kontrol untuk memantau hasil operasi
6. Kontrol untuk memantau kontrol lainnya, termasuk aktivitas fungsi audit internal, komite
audit, dan program penilaian mandiri
7. Kontrol atas proses pelaporan keuangan akhir periode
8. Kebijakan yang menangani kontrol bisnis dan praktik manajemen risiko yang signifikan

Untuk mengilustrasikan mengapa kontrol ini dijelaskan sebagai seluruh entitas,

pertimbangkan kontrol atas penggantian manajemen. Jika CFO mampu mengesampingkan
kontrol, CFO dapat mencatat transaksi yang salah dalam beberapa proses yang mempengaruhi
banyak akun. Dengan demikian, kontrol atas penggantian manajemen memiliki efek seluruh
entitas. Sebaliknya, pengendalian lain seperti aktivitas pengendalian biasanya hanya
mempengaruhi proses, transaksi, akun, dan asersi tertentu. Jenis kontrol ini kadang-kadang
disebut sebagai kontrol transaksi, dan mereka tidak diharapkan memiliki efek yang meluas di
seluruh organisasi. Misalnya, sebuah organisasi mungkin mengharuskan penyelia untuk
menyetujui laporan pengeluaran karyawan setelah meninjaunya untuk kewajaran dan kepatuhan
sependapat dengan kebijakan. Kontrol ini memberikan jaminan tentang karyawan biaya, tetapi
tidak akan memberikan jaminan pada jenis transaksi lainnya dan akun di seluruh entitas.
Berikut ini adalah contoh umum pengendalian transaksi:

1. Pemisahan tugas atas penerimaan dan pencatatan kas

2. Prosedur otorisasi untuk pembelian
3. Jejak transaksi yang terdokumentasi dengan baik untuk semua transaksi penjualan
4. Kontrol fisik untuk melindungi aset seperti inventaris
5. Rekonsiliasi rekening bank

Kami memberikan informasi tambahan tentang kontrol transaksi sebagai bagian dari diskusi
tentang kegiatan pengendalian nanti dalam bab ini.

Komponen dan Prinsip Pengendalian Internal

6
 Pedoman yang dikeluarkan oleh COSO pada tahun 2013 mengakui bahwa masing-
masing dari lima komponen pengendalian internal mencakup prinsip-prinsip yang mewakili
fundamental konsep yang terkait dengan komponen Selanjutnya, mendukung 17 prinsip adalah
titik fokus, yang mewakili karakteristik penting yang biasanya terkait dengan prinsip. Sementara
kerangka kerja COSO memberikan contoh dari titik fokus, manajemen perlu menentukan titik
yang sesuai dan relevan fokus yang mencerminkan industri unik organisasi, operasi, dan
lingkungan peraturan. Lima komponen dan tujuh belas yang terkait prinsip dirangkum dalam
Tampilan 3.2, dan dibahas selanjutnya. Diskusi berfokus pada komponen dan prinsip dari
perspektif tujuan terkait dengan keandalan pelaporan keuangan, yang merupakan tujuan paling
relevan dengan auditor eksternal.

Tabel Komponen dan Prinsip Pengendalian Internal

Lingkungan Kontrol 1. Organisasi menunjukkan komitmen
terhadap integritas dan nilai-nilai etika.
2. Dewan direksi menunjukkan independensi
dari manajemen dan latihan pengawasan
untuk pengembangan dan kinerja
pengendalian internal.
3. Manajemen menetapkan, dengan
pengawasan dewan, struktur, jalur
pelaporan, dan wewenang dan tanggung
jawab yang sesuai dalam mengejar tujuan.
4. Organisasi menunjukkan komitmen untuk
menarik, mengembangkan, dan
mempertahankan kompetensi individu
sesuai dengan tujuan.
5. Organisasi meminta pertanggungjawaban
individu atas tanggung jawab
pengendalian internal mereka dalam
mengejar tujuan.
Tugas beresiko 6. Organisasi menetapkan tujuan dengan
cukup jelas untuk memungkinkan
identifikasi dan penilaian risiko yang
berkaitan dengan tujuan.
7. Organisasi mengidentifikasi risiko
terhadap pencapaian tujuannya di seluruh
entitas dan menganalisis risiko sebagai
dasar untuk menentukan bagaimana risiko
seharusnya dikelola.
8. Organisasi mempertimbangkan potensi
kecurangan dalam menilai risiko

7
 pencapaian tujuan.
9. Organisasi mengidentifikasi dan menilai
perubahan yang dapat berdampak
signifikan terhadap sistem pengendalian
internal.
Aktivitas Kontrol 10. Organisasi memilih dan mengembangkan
aktivitas pengendalian yang berkontribusi
pada mitigasi risiko terhadap pencapaian
tujuan ke tingkat yang dapat diterima.
11. Organisasi memilih dan mengembangkan
kegiatan pengendalian umum atas
teknologi untuk mendukung pencapaian
tujuan.
12. Organisasi menyebarkan aktivitas
pengendalian melalui kebijakan yang
menetapkan apa yang diharapkan dan
dalam prosedur yang menerapkan
kebijakan.
Informasi dan 13. Organisasi memperoleh atau menghasilkan
Komunikasi dan menggunakan informasi yang relevan
dan berkualitas untuk mendukung
berfungsinya komponen pengendalian
internal lainnya.
14. Organisasi secara internal
mengomunikasikan informasi, termasuk
tujuan dan tanggung jawab pengendalian
internal, yang diperlukan untuk
mendukung berfungsinya komponen lain
dari pengendalian internal.
15. Organisasi berkomunikasi dengan pihak
eksternal mengenai hal-hal yang
mempengaruhi berfungsinya komponen
pengendalian internal lainnya.
Monitoring 16. Organisasi memilih, mengembangkan, dan
melakukan yang berkelanjutan dan/atau
terpisah evaluasi untuk memastikan
apakah komponen pengendalian internal
ada dan berfungsi.
17. Organisasi mengevaluasi dan
mengomunikasikan kekurangan
pengendalian internal secara tepat waktu
kepada pihak-pihak yang bertanggung
jawab untuk mengambil tindakan korektif,
termasuk manajemen senior dan dewan
direksi, sebagaimana mestinya.

8
Komponen COSO: Lingkungan Kontrol

Lingkungan kontrol dipandang sebagai fondasi untuk semua komponen lainnya dari
pengendalian internal. Dimulai dengan kepemimpinan organisasi, termasuk dewan direksi,
komite audit, dan manajemen, dan adalah sering disebut sebagai "nada di atas" atau "budaya
pengendalian internal. "Dewan direksi dan manajemen menetapkan nada mengenai pentingnya
pengendalian internal dan standar perilaku yang diharapkan. Ini harapan harus diperkuat di
seluruh organisasi. Kuat lingkungan pengendalian adalah garis pertahanan penting terhadap
risiko yang terkait untuk keandalan laporan keuangan. Seperti yang disorot dalam fitur Auditing
in Practice “Nilai Etis dan Lingkungan Kontrol di HealthSouth, ”lingkungan pengendalian yang
lemah memungkinkan terjadinya kecurangan. Kekurangan dalam lingkungan pengendalian telah
dikaitkan dengan banyak penipuan keuangan yang mungkin akrab bagi Anda. Misalnya,
kegagalan lembaga keuangan besar seperti Lehman Brothers dan Bear Stearns adalah terkait
dengan masalah dalam lingkungan pengendalian, termasuk pengawasan dewan yang lemah.
Setiap organisasi memiliki dewan direksi yang tidak efektif yang didominasi oleh manajemen
puncak. Tim manajemen didorong untuk meningkatkan harga saham, baik sebagai dasar untuk
mengembangkan perusahaan maupun untuk pribadi memperkaya diri melalui kompensasi saham.
Contoh lain dari defisiensi lingkungan pengendalian meliputi:

1. Tingkat kesadaran kontrol yang rendah dalam organisasi

2. Komite audit yang tidak memiliki anggota independen
3. Tidak adanya kebijakan etika atau kurangnya penguatan etika perilaku dalam organisasi
4. Komite audit yang tidak dipandang sebagai klien auditor eksternal
5. Manajemen yang mengesampingkan kontrol atas transaksi akuntansi
6. Personil yang tidak memiliki kompetensi untuk melaksanakan tugasnya tugas

Lima prinsip lingkungan pengendalian dirangkum dalam Tampilan 3.2 dan dibahas
selanjutnya.

1. Komitmen terhadap Integritas dan Nilai Etika (Prinsip COSO 1)

Komitmen organisasi terhadap integritas dan nilai-nilai etika ditunjukkan melalui nada
yang ditetapkan oleh dewan dan manajemen di seluruh organisasi. Lakukan arahan, tindakan,
dan perilaku dewan dan manajemen menyoroti pentingnya integritas dan nilai-nilai etika? NS

9
organisasi harus memiliki standar perilaku mengenai harapan untuk integritas dan nilai etika.
Sebuah organisasi juga harus memiliki proses dalam tempat untuk menentukan apakah individu
berkinerja sesuai dengan standar perilaku yang diharapkan. Yang penting, penyimpangan dalam
perilaku yang diharapkan harus diidentifikasi dan ditangani secara tepat, tepat waktu, dan
konsisten. Pentingnya nada yang tepat tidak dapat dilebih-lebihkan. Seperti yang ditunjukkan

dalam fitur Auditing in Practice “Nada Tidak Pantas Mengenai Internal Kontrol Menghasilkan
Kekurangan Lain di NutraCea,” nada yang tidak pantas tentang pentingnya pengendalian internal
dapat menyebabkan kekurangan di seluruh sistem pengendalian intern.

2. Direksi Melaksanakan Tanggung Jawab Pengawasan (Prinsip COSO 2)

Anggota dewan direksi adalah perwakilan terpilih dari pemegang saham. Di organisasi
publik dan organisasi besar lainnya, dewan akan mencakup komite yang berspesialisasi dalam
bidang tertentu. Misalnya, komite audit dewan harus mengawasi manajemen, memiliki tanggung
jawab atas keandalan keseluruhan pelaporan keuangan, dan mengawasi auditor eksternal. Komite
kompensasi harus meninjau dan menyetujui kompensasi CEO organisasi dan atasan lainnya
petugas, mengawasi rencana manfaat organisasi (misalnya, insentif rencana kompensasi), dan
membuat rekomendasi kepada seluruh dewan mengenai kompensasi dewan. Dewan direksi,
terutama melalui komite audit, adalah diharapkan untuk melakukan pengawasan obyektif untuk
pengembangan dan kinerja dari pengendalian internal. Misalnya, dewan, sebagai bagian dari
tanggung jawab pengawasannya, mungkin memerlukan diskusi dengan manajemen senior
tentang area di mana kontrol belum beroperasi secara efektif.

Dewan harus memiliki pengetahuan dan keterampilan yang cukup untuk memenuhi
tanggung jawab pengawasannya. Diperlukan pengetahuan dan keterampilan akan mencakup
pengetahuan pasar dan perusahaan, keahlian keuangan, keahlian hukum dan peraturan,
pengetahuan tentang sistem dan teknologi, dan keterampilan memecahkan masalah. Yang
penting, dewan membutuhkan cukup banyak anggota yang independen dari organisasi untuk
membantu memastikan objektivitas dewan. Sebuah dewan dan komite-komitenya adalah paling
efektif ketika mereka dapat memberikan pengawasan yang tidak memihak yang terdiri dari
evaluasi, bimbingan, dan umpan balik.

10
3. Manajemen Menetapkan Struktur, Wewenang, dan Tanggung Jawab (Prinsip COSO
3)

Organisasi yang terkendali dengan baik memiliki struktur yang sesuai dan jelas garis
tanggung jawab dan wewenang yang ditentukan. Semua orang di organisasi memiliki beberapa
tanggung jawab untuk operasi pengendalian internal yang efektif. COSO telah mengidentifikasi
tanggung jawab pengendalian internal berikut:

a. Dewan direksi memiliki otoritas atas keputusan penting dan meninjau tugas manajemen.
b. Manajemen senior menetapkan arahan, panduan, dan kontrol untuk membantu karyawan
memahami dan menjalankan pengendalian internalnya tanggung jawab.
c. Manajemen memandu dan memfasilitasi arahan manajemen senior.
d. Personil memahami persyaratan pengendalian internal relatif terhadap posisi dalam
organisasi.
e. Penyedia layanan alih daya mematuhi definisi manajemen tentang lingkup wewenang dan
tanggung jawab untuk semua nonkaryawan bertunangan.
4. Organisasi Menunjukkan Komitmen terhadap Kompetensi (Prinsip COSO 4)

Organisasi perlu menarik, mengembangkan, dan mempertahankan individu yang kompeten.

Kompetensi adalah pengetahuan dan keterampilan yang diperlukan untuk menyelesaikan tugas
yang menentukan pekerjaan individu. Komitmen terhadap kompetensi mencakup pertimbangan
manajemen tentang tingkat kompetensi untuk pekerjaan tertentu dan bagaimana tingkat tersebut
diterjemahkan ke dalam keterampilan dan pengetahuan yang diperlukan. Komitmen ini
ditunjukkan melalui kebijakan dan prosedur untuk menarik, melatih, membimbing,
mengevaluasi, dan mempertahankan karyawan.

5. Organisasi Menegakkan Akuntabilitas (Prinsip COSO 5)

Organisasi harus meminta pertanggungjawaban individu atas tanggung jawab

pengendalian internal mereka. Mekanisme akuntabilitas termasuk menetapkan dan mengevaluasi
ukuran kinerja dan memberikan insentif yang sesuai dan imbalan. Manajemen dan dewan harus
peka terhadap, dan menangani sebagai sesuai, tekanan yang dapat menyebabkan personel
menghindari kontrol atau melakukan aktivitas penipuan. Tekanan yang berlebihan dapat
mencakup hal yang tidak realistis target kinerja atau ketidakseimbangan antara ukuran kinerja

11
jangka pendek dan jangka panjang. Misalnya, tekanan untuk menghasilkan tingkat yang tidak
realistis dari penjualan dapat menyebabkan manajer penjualan membukukan entri penjualan yang
curang, oleh karena itu mengurangi keandalan pelaporan keuangan.

Komponen COSO: Penilaian Risiko

Semua organisasi menghadapi risiko salah saji material dalam laporan keuangan mereka laporan.
Risiko adalah kemungkinan bahwa suatu peristiwa akan mempengaruhi pencapaian tujuan
organisasi. Risiko berasal dari internal dan sumber eksternal.

Contoh risiko internal meliputi:

 Perubahan tanggung jawab manajemen

 Perubahan teknologi informasi internal
 Model bisnis yang disusun dengan buruk yang menyulitkan organisasi untuk tetap
menguntungkan

Contoh risiko eksternal meliputi:

 Resesi ekonomi yang menurunkan permintaan produk atau layanan

 Meningkatnya persaingan atau produk atau layanan pengganti

Perubahan regulasi yang menjadikan model bisnis organisasi tidak berkelanjutan. Perubahan
keandalan barang sumber yang mengurangi profitabilitas dan mengganggu rantai pasokan.
Sebuah organisasi yang mengabaikan risiko-risiko ini akan tunduk pada kedua organisasi
tersebut dan auditornya terhadap potensi kebangkrutan dan litigasi, masing-masing. Penilaian
risiko adalah proses yang kuat untuk mengidentifikasi dan menilai risiko yang terkait dengan
tujuan pelaporan keuangan yang andal. Proses ini juga memerlukan pertimbangan bagaimana
perubahan baik di lingkungan eksternal maupun di dalam organisasi model bisnis dapat
berdampak pada pengendalian yang diperlukan untuk mengurangi risiko.

Empat prinsip penilaian risiko dirangkum dalam Tampilan 3.2 dan dibahas di bawah ini.

12
6. Menentukan Tujuan yang Relevan (Prinsip COSO 6)

Sebuah organisasi memiliki banyak alasan untuk memiliki pelaporan keuangan yang
andal sebagai: salah satu tujuannya. Pelaporan keuangan yang andal penting untuk mengakses
pasar modal, mendapatkan kontrak penjualan, dan berurusan dengan vendor, pemasok, dan pihak
ketiga lainnya. Saat menentukan tujuan ini, manajemen harus mengambil langkah-langkah
sehingga pelaporan keuangan mencerminkan transaksi dan peristiwa yang mendasari organisasi.
Tujuan pelaporan keuangan harus konsisten dengan prinsip akuntansi yang sesuai untuk
organisasi. Jika sesuai, tujuan pelaporan yang luas harus diturunkan ke berbagai unit bisnis.
Selanjutnya, manajemen harus mempertimbangkan tingkat materialitas ketika menentukan
tujuan. Misalnya, manajemen mungkin memiliki tujuan agar pendapatan dilaporkan secara
akurat. Manajemen tidak mungkin berarti pendapatan harus akurat ke dolar terdekat. Sebaliknya,
tujuan manajemen kemungkinan adalah bahwa setiap salah saji dalam pendapatan tidak material,
atau penting, terhadap penyajian laporan keuangan secara keseluruhan. Untuk contoh, jika akun
pendapatan perusahaan besar memiliki kesalahan yang menyebabkan pendapatan dilebih-
lebihkan sebesar $1.000, sebagian besar pengguna laporan keuangan tidak akan menganggap
salah saji itu material, atau penting, bagi mereka keputusan. Materialitas adalah topik yang kita
jelajahi lebih lanjut di Bab 7.

7. Mengidentifikasi dan Menganalisis Risiko (Prinsip COSO 7)

Prinsip ini menyoroti pentingnya organisasi mengidentifikasi risiko bahwa itu tidak akan
mencapai tujuan pelaporan keuangannya dan berfungsi sebagai dasar untuk menentukan
bagaimana risiko harus dikurangi. Tingkat yang sesuai manajemen perlu dilibatkan dalam
identifikasi dan analisis risiko. Identifikasi risiko harus mencakup faktor internal dan eksternal.
Untuk

Misalnya, perubahan ekonomi dapat berdampak pada hambatan masuk kompetitif atau
standar pelaporan keuangan baru mungkin memerlukan pelaporan yang berbeda atau tambahan.
Secara internal, perubahan dalam tanggung jawab manajemen dapat mempengaruhi cara kontrol
tertentu beroperasi, atau berakhirnya perjanjian kerja dapat mempengaruhi ketersediaan personel
yang kompeten. Risiko yang teridentifikasi—baik internal maupun eksternal—harus dianalisis

13
untuk memasukkan perkiraan potensi signifikansi risiko dan pertimbangan bagaimana setiap
risiko harus dikelola.

8. Menilai Risiko Penipuan (Prinsip COSO 8)

Sebagai bagian dari penilaian risiko, organisasi mempertimbangkan risiko penipuan—

risiko terkait dengan penyalahgunaan aset dan pelaporan keuangan yang curang (sebagai dibahas
dalam Bab 2). Penilaian ini mengakui bahwa individu tindakan mungkin tidak sesuai dengan
standar perilaku yang diharapkan. penilaian dari risiko penipuan mempertimbangkan cara
penipuan dapat terjadi, faktor risiko penipuan yang berdampak pada pelaporan keuangan,
insentif, dan tekanan yang mungkin mengarah pada penipuan dalam laporan keuangan, peluang
untuk penipuan, dan apakah personel mungkin terlibat dalam atau merasionalisasi aktivitas
penipuan, yaitu segitiga penipuan. Fitur Audit in Practice “Pengendalian Internal yang Tidak
Efektif Atas Keuangan” Pelaporan Menyebabkan Penggelapan di Citigroup” menyoroti
pentingnya mengidentifikasi risiko penipuan sebagai dasar untuk menentukan kontrol yang
diperlukan untuk mengurangi risiko tersebut.

9. Mengidentifikasi dan Menganalisis Perubahan Signifikan (Prinsip COSO 9)

Ketika kondisi internal dan eksternal berubah, pengendalian internal organisasi mungkin
perlu diubah. Pengendalian internal yang dianggap efektif dalam satu kondisi mungkin tidak
efektif ketika kondisi itu berubah. Sebagai contoh, ketika sebuah organisasi mengubah lini bisnis
atau model bisnisnya, pengendalian mungkin diperlukan karena organisasi mungkin telah
mengambil risiko. Contoh lain dari kontrol yang berdampak pada perubahan adalah pengenalan
teknologi sistem informasi baru. Organisasi juga perlu mempertimbangkan perubahan dalam
manajemen dan personel lain dan masing-masing sikap dan filosofi pada sistem pengendalian
internal. Secara keseluruhan, Prinsip utamanya adalah bahwa organisasi membutuhkan proses
untuk mengidentifikasi dan menilai perubahan faktor internal dan eksternal yang dapat
mempengaruhi kemampuannya untuk menghasilkan laporan keuangan yang andal.

Komponen COSO: Aktivitas Kontrol

Aktivitas pengendalian adalah tindakan yang ditetapkan melalui kebijakan dan prosedur
yang membantu memastikan bahwa arahan manajemen mengenai pengendalian telah ahli.

14
Aktivitas pengendalian dilakukan dalam proses, misalnya, pemisahan tugas yang diperlukan
dalam memproses transaksi, dan atas lingkungan teknologi. Mereka dilakukan di semua tingkat
organisasi. Tiga prinsip-prinsip aktivitas pengendalian diringkas dalam Tampilan 3.2 dan dibahas
selanjutnya.

10. Memilih dan Mengembangkan Aktivitas Pengendalian (Prinsip COSO 10)

Meskipun beberapa aktivitas pengendalian terlihat di banyak organisasi—pemisahan

tugas, rekonsiliasi independen, otorisasi dan persetujuan, verifikasi tidak ada rangkaian aktivitas
pengendalian universal yang berlaku untuk semua organisasi. Lebih tepatnya, organisasi memilih
dan mengembangkan aktivitas pengendalian yang spesifik terhadap risiko mereka
mengidentifikasi selama penilaian risiko. Misalnya, organisasi yang sangat diatur umumnya
memiliki aktivitas pengendalian yang lebih kompleks daripada entitas yang kurang diatur.
Sebagai contoh lain, sebuah organisasi dengan operasi terdesentralisasi dan penekanan otonomi
daerah dan inovasi akan memiliki kegiatan kontrol yang berbeda dari lain yang operasinya
konstan di seluruh lokasi dan sangat terpusat.

Kontrol Transaksi Kontrol transaksi (juga disebut sebagai pengendalian aplikasi) merupakan
jenis penting dari aktivitas pengendalian. Mereka adalah aktivitas kontrol yang diterapkan untuk
mengurangi pemrosesan transaksi risiko, dan mereka mempengaruhi proses, transaksi, akun, dan
asersi tertentu. Tiga jenis transaksi yang berpengaruh signifikan terhadap kualitas data dalam
saldo akun laporan keuangan dan pengungkapan ditunjukkan pada Tampilan 3.3. Mereka
termasuk transaksi yang terkait dengan:
 Proses bisnis
 Estimasi akuntansi
 Penyesuaian, penutupan, dan entri yang tidak biasa

Selama pemrosesan transaksi, organisasi menginginkan jaminan yang masuk akal bahwa
pemrosesan informasi lengkap, akurat, dan valid. NS organisasi ingin mencapai tujuan
pengendalian berikut:
 Transaksi yang tercatat ada dan telah terjadi.
 Semua transaksi dicatat.
 Transaksi dinilai dengan benar.

15
  Transaksi disajikan dan diungkapkan dengan benar.
 Transaksi berkaitan dengan hak atau kewajiban organisasi.

Berbagai kontrol transaksi yang dilakukan dalam proses bisnis tertentu—seperti

pembelian dan penjualan—dikembangkan dan diimplementasikan untuk memberikan jaminan
yang wajar bahwa tujuan pemrosesan ini tercapai. Aktivitas pengendalian yang terkait dengan
pemrosesan transaksi bisnis mencakup verifikasi seperti pencocokan komputer atau pemeriksaan
kewajaran, rekonsiliasi seperti memeriksa kesepakatan antara rekening anak perusahaan rinci
dan akun kontrol, dan otorisasi dan persetujuan seperti supervisor menyetujui laporan
pengeluaran.

Estimasi akuntansi, seperti yang digunakan dalam mengembangkan penyisihan piutang

ragu-ragu, kewajiban pensiun, kewajiban lingkungan, dan cadangan garansi, tunduk pada
pertimbangan manajemen yang signifikan. Perkiraan ini harus didasarkan pada proses dan data
yang mendasari yang telah berhasil dalam memberikan perkiraan yang akurat di masa lalu.
Kontrol seharusnya dibangun di sekitar proses untuk memberikan jaminan yang wajar bahwa
data akurat, estimasinya sesuai dengan data, dan estimasi yang mendasarinya model
mencerminkan kondisi ekonomi saat ini dan telah terbukti memberikan estimasi yang wajar di
masa lalu.

Kontrol atas penyesuaian, penutupan, dan entri tidak biasa lainnya meliputi:
 Dukungan terdokumentasi untuk semua entri
 Referensi ke data pendukung yang mendasari dengan transaksi yang dikembangkan
dengan baik jejak yang mencakup dokumen dan catatan yang memungkinkan pengguna
(atau auditor) untuk melacak transaksi dari awal hingga disposisi akhir, atau dan
sebaliknya
 Ditinjau oleh CFO atau pengontrol.

Kontrol Transaksi Otomatis dan Manual Kontrol transaksi meliputi aktivitas

pengendalian manual, aktivitas pengendalian otomatis, dan kombinasi keduanya. Contoh
aktivitas kontrol aplikasi otomatis adalah pemeriksaan pencocokan dan pengeditan otomatis
untuk memeriksa data yang dimasukkan secara online. Jika data tidak cocok atau dimasukkan

16
dalam format yang salah, umpan balik adalah disediakan sehingga koreksi yang tepat dapat
dilakukan. Dalam beberapa kasus itu umpan balik dan koreksi terjadi secara otomatis. Dalam
kasus lain, kombinasi kontrol manual dan otomatis hadir sedemikian rupa sehingga sistem secara
otomatis mendeteksi kesalahan transmisi data, tetapi seorang individu diperlukan untuk
mengirim ulang data secara manual. Kontrol transaksi, baik otomatis atau manual, mengurangi
risiko yang terkait dengan input, pemrosesan, dan output data.
Kontrol input dirancang untuk memastikan bahwa transaksi yang diotorisasi benar dan
lengkap, dan hanya transaksi yang diotorisasi yang dapat dimasukkan. Dua jenis kontrol input
yang umum adalah tes validasi input dan pemeriksaan mandiri angka. Tes validasi input sering
disebut sebagai tes edit karena tes kontrol yang dibangun ke dalam aplikasi untuk memeriksa
atau mengedit data input agar jelas kesalahan. Tes validasi input dirancang untuk meninjau
transaksi seperti yang dilakukan personel berpengalaman dalam sistem manual di mana seorang
karyawan akan mengetahuinya, untuk: contoh, bahwa tidak ada yang bekerja lebih dari 70 jam
dalam seminggu terakhir. Jika suatu barang dimasukkan secara online tidak memenuhi kriteria
yang disyaratkan, pengguna diberitahu dan koreksi dibuat atau keputusan dibuat tentang apakah
transaksi harus dilakukan diproses atau ditinjau lebih lanjut sebelum diproses. Digit yang
memeriksa sendiri adalah tipe uji validasi input yang telah dikembangkan untuk menguji
kesalahan transposisi terkait dengan nomor identifikasi. Digit self-checking beroperasi dengan
komputasi digit tambahan, atau beberapa digit, yang ditambahkan (atau dimasukkan) ke dalam
pengenal numerik. Algoritme dirancang untuk mendeteksi jenis kesalahan umum. Setiap kali
pengenal dimasukkan ke dalam sistem, aplikasi menghitung ulang digit pemeriksaan sendiri
untuk menentukan apakah pengenal itu benar.
Kontrol pemrosesan dirancang untuk memberikan jaminan yang wajar bahwa: program
yang benar digunakan untuk pemrosesan, semua transaksi diproses, dan transaksi memperbarui
file yang sesuai. Misalnya, transaksi penggajian yang diproses harus memperbarui sub-buku
besar penggajian.
Kontrol keluaran dirancang untuk memberikan jaminan yang masuk akal bahwa semua
data sepenuhnya diproses dan output tersebut didistribusikan hanya kepada penerima yang
berwenang. Kontrol tipikal termasuk rekonsiliasi total kontrol, distribusi output jadwal dan
prosedur, dan tinjauan keluaran. Untuk data penting, pengguna dapat: melakukan tinjauan rinci
dan rekonsiliasi data output dengan input untuk menentukan kelengkapan proses penting.

17
Organisasi juga harus mengembangkan kebijakan untuk melindungi privasi dan menyimpan
catatan.
Aktivitas Pengendalian Penting Lainnya. Aktivitas pengendalian penting lainnya
termasuk pemisahan tugas dan kontrol fisik atas aset. Pemisahan tugas adalah aktivitas
pengendalian penting yang dirancang untuk melindungi terhadap risiko bahwa seseorang dapat
melakukan dan menutupi penipuan.
Pemisahan tugas yang tepat mensyaratkan bahwa setidaknya dua karyawan terlibat
sedemikian rupa sehingga seseorang tidak memiliki
a. wewenang dan kemampuan untuk memproses transaksi dan
b. tanggung jawab kustodian.
Memisahkan fungsi-fungsi ini mencegah seseorang dari mengotorisasi transaksi fiktif
atau ilegal dan kemudian menutupinya melalui proses akuntansi. Memisahkan penyimpanan
catatan dan penyimpanan fisik aset dirancang untuk mencegah seseorang dengan tanggung
jawab kustodian dari mengambil aset dan menutupinya dengan membuat entri fiktif ke
akuntansi catatan. Lihat fitur Penilaian Profesional dalam Konteks di awal bab, “Pentingnya
Pengendalian Intern Untuk Pengamanan Aset Pada” Chesapeake Petroleum and Supply, Inc.”
untuk contoh di mana segregasi tugas kurang, sehingga memungkinkan individu untuk
menyalahgunakan aset.
Kontrol fisik diperlukan untuk melindungi dan melindungi aset dari perusakan dan
pencurian yang tidak disengaja atau disengaja. Contoh pengendalian fisik termasuk kunci
keamanan untuk membatasi akses ke gudang inventaris dan brankas, brankas, dan barang serupa
untuk membatasi akses ke kas dan aset likuid lainnya. NS pengendalian tambahan adalah
penghitungan periodik atas aset fisik, seperti persediaan, dan rekonsiliasi penghitungan ini
dengan jumlah yang tercatat.
Kontrol Pencegahan dan Detektif. Campuran kontrol yang tepat kegiatan mencakup
pengendalian preventif dan detektif. Kontrol pencegahan dirancang untuk mencegah terjadinya
salah saji. Misalnya, edit tes dapat mencegah beberapa transaksi yang tidak pantas dicatat.
Pencegahan kontrol biasanya yang paling hemat biaya. Kontrol detektif dirancang untuk
menemukan kesalahan yang terjadi selama pemrosesan. Misalnya, teknik pemantauan
berkelanjutan mendeteksi transaksi yang seharusnya tidak diproses.

18
11. Memilih dan Mengembangkan Kontrol Umum Atas Teknologi(Prinsip COSO 11)
Hampir semua organisasi bergantung pada teknologi informasi untuk memfasilitasi
pelaporan keuangan yang andal. Sebagai bagian dari pemilihan aktivitas pengendalian,
manajemen perlu menentukan sejauh mana aktivitas pengendalian otomatis dan kontrol
komputer umum adalah bagian dari campuran kegiatan kontrol. Untuk kontrol aplikasi otomatis
agar berfungsi dengan baik, organisasi perlu memiliki kontrol komputer umum yang efektif
(kadang-kadang disebut sebagai kontrol umum teknologi informasi). Kontrol komputer umum
adalah aktivitas kontrol pervasif yang mempengaruhi berbagai jenis teknologi informasi sistem,
dari komputer mainframe, ke komputer desktop, ke komputer laptop, hingga perangkat seluler
yang Anda gunakan untuk mengatur kehidupan sehari-hari Anda. Kontrol komputer umum
mencakup aktivitas kontrol—baik manual atau otomatis—atas infrastruktur teknologi,
manajemen keamanan, dan akuisisi, pengembangan, dan pemeliharaan teknologi.
Infrastruktur Teknologi. Infrastruktur teknologi memberikan dukungan agar teknologi
informasi dapat berfungsi secara efektif. Ini termasuk jaringan komunikasi yang menghubungkan
teknologi bersama-sama, komputasi sumber daya yang dibutuhkan untuk aplikasi untuk
beroperasi, dan bahkan listrik yang dibutuhkan untuk menggerakkan teknologi. Kegiatan
pengendalian diperlukan untuk memeriksa teknologi untuk setiap masalah dan mengambil
tindakan korektif yang diperlukan. Dua lainnya kegiatan pengendalian penting yang terkait
dengan infrastruktur termasuk prosedur pencadangan dan rencana pemulihan bencana.
Manajemen Keamanan. Manajemen keamanan mencakup aktivitas pengendalian yang
membatasi akses ke teknologi. Aktivitas kontrol ini mencakup kebijakan yang membatasi
pengguna yang berwenang untuk aplikasi yang terkait dengan pekerjaan mereka tanggung jawab,
memperbarui akses ketika karyawan berganti pekerjaan atau meninggalkan organisasi, dan
memerlukan tinjauan berkala atas hak akses untuk menentukan apakah mereka tetap sesuai.
Kontrol keamanan atas teknologi melindungi organisasi dari akses yang tidak tepat dan tidak sah,
sehingga melindungi integritas data dan program.
Pertimbangan penting dalam manajemen keamanan terkait akses pengguna termasuk
berikut ini:
 Akses ke item data apa pun terbatas bagi mereka yang perlu mengetahuinya.
 Kemampuan untuk mengubah, memodifikasi, atau menghapus item data dibatasi hanya
untuk itu dengan otorisasi untuk melakukan perubahan tersebut.

19
  Sistem kontrol akses memiliki kemampuan untuk mengidentifikasi dan memverifikasi
setiap pengguna potensial sebagai yang berwenang atau tidak sah untuk item data dan
fungsi yang diminta.
 Departemen keamanan harus secara aktif memantau upaya kompromi sistem dan
menyiapkan laporan berkala kepada mereka yang bertanggung jawab atas integritas data
dan akses ke data.

Teknik untuk mengontrol akses pengguna termasuk kata sandi, kartu denganstrip
magnetik (sering dikombinasikan dengan persyaratan kata sandi), dan diperlukan identifikasi
berdasarkan karakteristik fisik (misalnya, sidik jari atau pemindaian retina).

Akuisisi, Pengembangan, dan Pemeliharaan Teknologi. Sebuah organisasi perlu

memilih dan mengembangkan aktivitas pengendalian atas akuisisi, pengembangan, dan
pemeliharaan teknologi. Beberapa organisasi mungkin berkembang teknologi mereka sendiri,
sementara organisasi lain dapat memperoleh teknologi mereka melalui perangkat lunak yang
dikemas atau melalui pengaturan outsourcing. Jika sebuah organisasi memilih untuk
menggunakan perangkat lunak yang dikemas, itu harus memiliki kebijakan tentang memilih dan
mengimplementasikan paket-paket ini. Jika sebuah organisasi mengembangkan dan
mempertahankan teknologi in-house, organisasi harus memiliki kebijakan dokumentasi
persyaratan, persyaratan persetujuan, otorisasi permintaan perubahan, dan protokol yang sesuai
dan pengujian apakah perubahan dilakukan dengan benar.
12. Menerapkan melalui Kebijakan dan Prosedur (Prinsip COSO 12)
Prinsip penting dari aktivitas pengendalian adalah bahwa organisasi perlu memiliki kebijakan
yang menguraikan apa yang diharapkan dan prosedur yang menempatkan kebijakan ke dalam
tindakan. Misalnya, suatu kebijakan mungkin memerlukan rekonsiliasi bulanan semua rekening
bank oleh personel yang tepat yang tidak memiliki akses ke uang tunai. NS prosedur akan
menjadi rekonsiliasi itu sendiri. Kebijakan dapat dikomunikasikan secara lisan atau tertulis,
tetapi dalam kedua kasus tersebut, mereka harus menetapkan tanggung jawab yang jelas dan
akuntabilitas. Selanjutnya, prosedur harus dilakukan dengan tekun, konsisten, dan oleh personel
yang tepat dan kompeten pada waktu yang tepat.

Komponen COSO: Informasi dan Komunikasi

20
 Sebuah organisasi membutuhkan informasi, baik dari sumber internal maupun eksternal,
untuk melaksanakan tanggung jawab pengendalian internalnya. Komunikasi adalah proses
penyediaan, berbagi, dan memperoleh informasi. Informasi adalah dikomunikasikan secara
internal di seluruh organisasi. Dan harus ada komunikasi dua arah dengan pihak-pihak terkait di
luar organisasi. Komponen pengendalian internal informasi dan komunikasi mengacu proses
mengidentifikasi, menangkap, dan bertukar informasi dalam tepat waktu untuk memungkinkan
pencapaian tujuan organisasi. Dia termasuk sistem akuntansi organisasi dan metode
pencatatannya dan pelaporan transaksi, serta komunikasi lainnya seperti key kebijakan, kode
etik, dan strategi. Tiga prinsip informasi dan komunikasi diringkas dalam Tampilan 3.2 dan
dibahas selanjutnya.

13. Menggunakan Informasi yang Relevan (Prinsip COSO 13)

Organisasi perlu mengidentifikasi dan memperoleh informasi internal dan eksternal yang
relevan untuk mendukung pengendalian internal dan mencapai tujuannya: pelaporan keuangan
yang dapat diandalkan. Misalnya, sebuah organisasi dapat melakukan survei berkala terhadap
karyawannya untuk menentukan apakah mereka telah diminta untuk berperilaku dengan cara
yang tidak sesuai dengan organisasi standar perilaku, misalnya, mencatat entri jurnal tanpa
dokumentasi pendukung yang memadai. Survei ini menghasilkan informasi tentang berfungsinya
lingkungan pengendalian dan dapat digunakan untuk menentukan apakah kontrol lain yang
diperlukan. Sumber informasi internal lainnya termasuk: sistem akuntansi, email internal,
notulen rapat, dan sistem pelaporan waktu. Contoh sumber informasi eksternal termasuk laporan
penelitian industri, hotline pelapor, dan pesaing rilis pendapatan.

14. Berkomunikasi Secara Internal (Prinsip COSO 14)

Komunikasi internal informasi terjadi di seluruh organisasi, termasuk atas, bawah, dan di
seluruh organisasi. Misalnya, semua personel harus menerima pesan yang jelas bahwa tanggung
jawab pengendalian internal harus dianggap serius. Komunikasi ini dapat terjadi melalui buletin
berkala, poster di ruang istirahat, atau komunikasi yang lebih formal dari manajemen senior dan
dewan. Dalam beberapa kasus, jalur komunikasi khusus diperlukan untuk komunikasi anonim
atau rahasia, terutama ketika seorang karyawan khawatir bahwa ada sesuatu yang tidak pantas
dalam operasi perusahaan. Ini disebut sebagai "fungsi pelapor" dan sering kali mencakup proses
seperti: bahwa pelaporan bisa anonim. Selanjutnya, majikan tidak boleh diizinkan untuk

21
mengambil tindakan yang merugikan terhadap pelapor karyawan. Program whistleblower harus
mencakup proses untuk membawa masalah etika dan keuangan yang penting ke komite audit.
Fitur Audit dalam Praktik "Pelaporan Keuangan" Ketidaklayakan di The William and Flora
Hewlett Foundation: Kutipan dari Its Kebijakan Whistleblower” memberikan contoh kebijakan
whistleblower menyoroti pentingnya keterlibatan karyawan dan tidak adanya takut akan
pembalasan karena menjadi karyawan whistleblower.

15. Berkomunikasi Secara Eksternal (Prinsip COSO 15)

Organisasi membutuhkan komunikasi dua arah dengan pihak eksternal organisasi,
termasuk pemegang saham, mitra bisnis, pelanggan, dan regulator. Komunikasi eksternal
manajemen harus mengirim pesan tentang pentingnya pengendalian internal serta nilai dan
budaya organisasi. Organisasi juga harus memiliki mekanisme agar pihak eksternal dapat
memberikan informasi kepada organisasi. Misalnya, pelanggan dapat menyediakan umpan balik
tentang kualitas produk dan vendor mungkin memiliki pertanyaan tentang pembayaran untuk
barang yang dijual atau keluhan tentang kemungkinan perilaku yang tidak pantas. Sebagai
contoh lain, pengecer besar sering memiliki hubungan dengan banyak vendor.
Banyak dari pengecer ini membuat hotline di mana vendor dapat berkomunikasi langsung
dengan departemen audit internal atau pihak lain yang sesuai jika: vendor menemukan tindakan
yang tidak pantas oleh agen pembelian perusahaan, misalnya, saran dari kickback jika pesanan
besar ditempatkan.

Komponen COSO: Monitoring

Monitoring didefinisikan sebagai proses yang memberikan umpan balik tentang
efektivitas masing-masing dari lima komponen pengendalian internal. Manajemen memilih
campuran evaluasi yang sedang berlangsung, evaluasi terpisah, atau beberapa kombinasi dari
keduanya untuk melakukan pemantauan. Pemantauan mensyaratkan bahwa defisiensi yang
teridentifikasi dalam pengendalian internal dikomunikasikan kepada personel yang tepat dan
tindak lanjut dilakukan.

16. Melakukan Evaluasi Berkelanjutan dan/atau Terpisah (Prinsip COSO 16)

Evaluasi yang sedang berlangsung adalah prosedur yang dibangun ke dalam aktivitas
berulang yang normal dari suatu entitas. Fitur Audit dalam Praktik “Kontrol Pemantauan di

22
Waralaba Makanan Cepat Saji” memberikan contoh evaluasi berkelanjutan. Pemantauan
transaksi yang terkomputerisasi adalah pendekatan yang dilakukan banyak organisasi mengambil
untuk meninjau volume besar transaksi dengan biaya yang relatif rendah. NS organisasi dapat
menggunakan perangkat lunak untuk mengotomatiskan peninjauan semua transaksi pembayaran
dan mengidentifikasi anomali yang diselidiki lebih lanjut.
Evaluasi terpisah dilakukan secara berkala, biasanya berdasarkan tujuan personel
manajemen, auditor internal, atau konsultan eksternal. Misalnya, auditor internal organisasi dapat
melakukan audit tahunan atas semua pencairan dana di unit operasi terpilih. Sebagai bagian dari
audit itu, internal auditor akan mengidentifikasi contoh di mana pengendalian tidak beroperasi
secara efektif. Pertimbangkan sebuah organisasi yang memiliki kebijakan yang memerlukan
persetujuan dari personel yang tepat untuk pengeluaran di atas jumlah dolar tertentu. Selama
audit tahunannya, auditor internal mungkin menemukan beberapa contoh ketika pengeluaran
dilakukan tanpa persetujuan yang diperlukan. Sejak evaluasi terpisah berlangsung secara berkala,
mereka tidak tepat waktu seperti evaluasi berkelanjutan dalam mengidentifikasi kekurangan
pengendalian. Tetapi evaluasi terpisah memungkinkan pandangan yang segar dan objektif pada
efektivitas pengendalian.

17. Mengevaluasi dan Mengkomunikasikan Kekurangan (Prinsip COSO 17)

Kekurangan pengendalian yang diidentifikasi melalui pemantauan atau kegiatan lain
perlu: dikomunikasikan kepada personel yang tepat seperti manajemen atau dewan direksi
sehingga tindakan korektif yang tepat dapat diambil. Ingat contoh sebelumnya di mana auditor
internal, melakukan evaluasi terpisah, mengidentifikasi kekurangan dalam kontrol atas
pencairan. Audit internal harus memberikan informasi ini kepada pihak yang bertanggung jawab
untuk mengambil tindakan korektif yang tepat. Termasuk dalam prinsip ini adalah kebutuhan
organisasi untuk menerapkan sistem untuk melacak apakah kekurangan diperbaiki secara tepat
waktu.

Tanggung Jawab Manajemen Terkait Pengendalian Internal Atas

Pelaporan Keuangan
Manajemen dapat dianggap sebagai memberikan garis pertahanan pertama dalam
mencapai pelaporan keuangan yang andal. Manajemen bertanggung jawab untuk merancang,

23
menerapkan, dan memelihara pengendalian internal yang efektif atas keuangan pelaporan.
Selanjutnya, manajemen harus memelihara dokumentasi yang memadai terkait dengan
pengendalian internal atas pelaporan keuangan. Manajemen AS perusahaan publik juga memiliki
tanggung jawab untuk memberikan laporan kepada pengguna tentang efektivitas pengendalian
internal organisasi berdasarkan persyaratan dalam Sarbanes-Oxley Act of 2002.

Dokumentasi Pengendalian Internal

Manajemen perlu mempertahankan pengendalian internal yang memadai dan tepat dokumentasi.
Dokumentasi ini harus memberikan kejelasan dan mengkomunikasikan standar dan harapan yang
terkait dengan pengendalian internal. Dokumentasi juga berguna dalam melatih personel baru
atau berfungsi sebagai alat referensi untuk semua karyawan. Selanjutnya, dokumentasi
memberikan bukti bahwa pengendalian beroperasi, memungkinkan aktivitas pemantauan yang
tepat, dan mendukung pelaporan tentang efektivitas pengendalian internal. Auditor eksternal
dapat menggunakan dokumentasi ini untuk memperoleh pemahaman tentang sistem
pengendalian internal klien. Selanjutnya, untuk klien seperti Ford Motor Company di mana
auditor eksternal mengeluarkan pendapat tentang efektivitas pengendalian klien, manajemen
akan perlu menyediakan auditor dengan dokumentasi yang mendukung manajemen penilaian,
dan auditor dapat menggunakan dokumentasi tersebut sebagai bagian dari bukti audit. Sifat dan
luas dokumentasi pengendalian internal akan bervariasi di seluruh organisasi, tetapi harus cukup
untuk mendukung desain dan efektivitas operasi pengendalian.
Dalam hal dokumentasi yang mendukung transaksi keuangan, organisasi harus memiliki
dokumentasi, misalnya, yang memberikan bukti otorisasi transaksi, keberadaan transaksi,
dukungan untuk entri jurnal, dan komitmen keuangan yang dibuat oleh organisasi. Dokumentasi
kontrol sering dianggap sudah ada di kertas. Namun, dokumentasi dapat berupa kertas atau
elektronik. Sistem teknologi informasi mungkin memiliki aplikasi otomatis yang diprogram
untuk membayar barang dagangan ketika salinan elektronik penerimaan barang dagangan
tersedia. Program komputer membandingkan tanda terima dengan pesanan pembelian dan
mungkin atau mungkin tidak memerlukan vendor faktur sebelum pembayaran.

Berikut ini adalah beberapa panduan untuk mengembangkan dokumentasi yang andal:
berhubungan dengan pengendalian internal. Pedoman ini berlaku untuk dokumen kertas dan
elektronik.

24
  Kertas bernomor atau dokumen yang dihasilkan komputer memfasilitasi kontrol, dan
akuntabilitas, transaksi dan sangat penting untuk asersi kelengkapan.
 Persiapan yang tepat waktu meningkatkan kredibilitas dan akuntabilitas dokumen dan
mengurangi tingkat kesalahan pada semua dokumen.
 Otorisasi transaksi harus jelas terlihat dalam catatan.
 Jejak transaksi harus ada sehingga pengguna (atau auditor) dapat melacak transaksi dari
awal sampai disposisi akhir, atau sebaliknya sebaliknya. Jejak transaksi memiliki banyak
tujuan, termasuk menyediakan informasi untuk menanggapi pertanyaan pelanggan dan
mengidentifikasi dan memperbaiki kesalahan.
Ikhtisar aspek penting dari jejak transaksi elektronik ditunjukkan pada Tampilan 3.4.

Pelaporan Pengendalian Internal Atas Pelaporan Keuangan

Sarbanes-Oxley Act tahun 2002 mengharuskan manajemen perusahaan publik untuk
laporan tahunan tentang desain dan efektivitas operasi pengendalian organisasi. Komisi Sekuritas
dan Bursa AS (SEC) telah: memberikan pedoman untuk membantu manajemen dalam
mengevaluasi efektivitas pengendalian internal atas pelaporan keuangan. Pedoman SEC
mensyaratkan: kriteria yang sesuai, misalnya COSO, digunakan sebagai patokan dalam menilai
efektivitas pengendalian internal. Menentukan apakah pengendalian internal efektif memerlukan
penilaian apakah masing-masing dari lima pengendalian internal komponen, dan prinsip-
prinsipnya, hadir dan beroperasi secara efektif. NS komponen harus dipandang sebagai bagian
dari sistem yang terintegrasi dalam membuat penilaian. Penilaian tahunan manajemen atas
efektivitas pengendalian internal disajikan dalam laporan publik.
Contoh laporan manajemen dari Ford Motor Company adalah ditunjukkan pada Tampilan
3.5. Perhatikan bahwa manajemen, termasuk CEO dan CFO, baik diawasi dan berpartisipasi
dalam evaluasi pengendalian internal.
Selanjutnya, mereka menyimpulkan bahwa pengendalian internal mereka atas pelaporan
keuangan berlaku efektif pada 31 Desember 2011. Tinjauan terhadap Tampilan 3.5 menyoroti
fitur penting dari laporan manajemen. Laporan manajemen:
● Memberikan pernyataan bahwa manajemen bertanggung jawab atas internal kontrol
● Termasuk definisi pengendalian internal
● Membahas keterbatasan pengendalian internal

25
 ● Mengidentifikasi kriteria (COSO) yang digunakan dalam menilai pengendalian internal
● Menyimpulkan efektivitas pengendalian internal pada suatu waktu (akhir tahun)
● Referensi laporan pengendalian internal yang disediakan oleh perusahaan auditor
eksternal.

Perhatikan bahwa auditor eksternal Ford telah mengaudit pengendalian internal Ford.
Hanya perusahaan publik yang lebih besar yang diharuskan memiliki opini audit eksternal pada
efektivitas pengendalian internal. Namun, manajemen dalam skala yang lebih kecil perusahaan
publik masih perlu mengevaluasi dan melaporkan efektivitas pengendalian internal perusahaan
mereka atas pelaporan keuangan.

Mengevaluasi Pengendalian Internal Atas Pelaporan Keuangan

Apa yang perlu dilakukan oleh manajemen, atau pihak-pihak yang bertindak atas nama
manajemen? lakukan untuk dapat memberikan laporan efektivitas pengendalian internal?
Manajemen bertanggung jawab untuk mengevaluasi pengendalian internal untuk melaporkan
desain dan efektivitas operasi. Namun, manajemen dapat menggunakan eksternal konsultan atau
karyawan internal, seperti auditor internal, untuk membantu memenuhi tanggung jawabnya.
Orang-orang ini harus cukup kompeten dan objektif.
Panduan SEC tentang evaluasi manajemen mendorong pendekatan berbasis risiko
pendekatan evaluasi. Langkah-langkah yang terlibat dalam evaluasi manajemen atas
pengendalian internal atas pelaporan keuangan diringkas dalam Tampilan 3.6.
Manajemen dimulai dengan mengidentifikasi risiko signifikan terhadap keuangan yang
andal pelaporan. Misalnya, produsen chip komputer kemungkinan akan mempertimbangkan:
persediaan menjadi akun yang signifikan karena materialitas dari akun persediaan. Selanjutnya,
pertimbangan substansial yang diperlukan oleh akuntansi personel dalam menilai inventaris
menunjukkan bahwa penilaian adalah pernyataan yang relevan. Manajemen kemudian berfokus
pada desain dan pengoperasian efektivitas pengendalian yang dimaksudkan untuk mengurangi
risiko terhadap pelaporan keuangan yang andal untuk akun-akun signifikan dan asersi yang
relevan. Manajemen kemungkinan akan melakukan penelusuran, setelah transaksi dari asalnya
hingga tercermin dalam catatan keuangan untuk menentukan apakah pengendalian secara efektif
dirancang dan telah diimplementasikan. Manajemen kemudian mengumpulkan bukti melalui
berbagai prosedur (misalnya, penyelidikan, pengamatan, tinjauan dokumentasi, kinerja ulang)

26
apakah pengendalian beroperasi secara efektif. Misalnya, dalam proses pembeliannya, sebuah
organisasi mungkin memerlukan persetujuan untuk semua pembelian lebih dari satu dolar yang
dinyatakan jumlah. Sebagai bagian dari pengujiannya, manajemen dapat menanyakan kepada
personel yang memberikan persetujuan dan meninjau dokumentasi untuk indikasi memerlukan
persetujuan oleh personel yang sesuai. Tampilan 3.7 memberikan contoh lain dari pendekatan
yang mungkin digunakan manajemen untuk menguji efektivitas operasi dari berbagai kontrol.
Setelah pengujian selesai, manajemen mengevaluasi setiap kekurangan pengendalian yang
teridentifikasi dan memberikan laporan manajemennya sebagai bagian dari pengajuannya dengan
SEC.

Menilai Defisiensi Pengendalian Internal

Sebagai bagian dari evaluasinya, manajemen mungkin menyadari kekurangan dalam
desain pengendalian internal atau efektivitas operasi. Defisiensi kontrol adalah beberapa
kekurangan dalam pengendalian internal sehingga tujuan dapat diandalkan pelaporan keuangan
mungkin tidak tercapai. Sebuah kekurangan dalam desain ada ketika pengendalian yang
diperlukan untuk memenuhi tujuan pengendalian tidak ada, atau ketika kontrol yang ada tidak
dirancang dengan baik sehingga, bahkan jika kontrol beroperasi seperti yang dirancang, tujuan
pengendalian tidak akan terpenuhi. Defisiensi dalam operasi ada ketika kontrol yang dirancang
dengan benar tidak beroperasi seperti yang dirancang, atau ketika orang yang melakukan kontrol
tidak memiliki yang diperlukan wewenang atau kompetensi untuk melakukan pengendalian
secara efektif. Pengelolaan akan menilai tingkat keparahan semua defisiensi kontrol yang
teridentifikasi. Dua kategori kekurangan yang patut diperhatikan: kelemahan material dan
signifikan kekurangan.

Kelemahan Material dalam Pengendalian Internal

Kelemahan material adalah defisiensi, atau kombinasi dari defisiensi, dalam
pengendalian internal atas pelaporan, sehingga ada kemungkinan yang wajar bahwa salah saji
material dari laporan keuangan tahunan atau interim perusahaan tidak akan dicegah atau
dideteksi secara tepat waktu. Untuk kekurangan ini, kemungkinan dan besarnya potensi salah saji
sedemikian rupa sehingga perusahaan tidak dapat menyimpulkan bahwa pengendalian internal
atas pelaporan keuangan efektif. Suatu kelemahan material tidak berarti defisiensi pengendalian
mengakibatkan salah saji material, atau bahkan tidak material, dalam laporan keuangan.

27
Sebaliknya, kemungkinan yang masuk akal adalah bahwa jenis defisiensi kontrol ini dapat
menyebabkan salah saji material. Namun, ketika manajemen harus menyatakan kembali
diterbitkan laporan keuangan karena salah saji material, manajemen akan menyimpulkan bahwa
ada kelemahan material dalam pengendalian internal. Sebuah organisasi yang memiliki satu atau
lebih kelemahan material akan mengeluarkan laporan yang menunjukkan pengendalian internal
atas pelaporan keuangan tidak efektif.
Laporan tersebut akan menjelaskan kelemahan material yang teridentifikasi. Contoh dari
kelemahan material pengendalian internal yang telah diidentifikasi dalam laporan manajemen
ditunjukkan pada Bagan 3.8. Perhatikan bahwa kelemahan material dapat berupa desain atau
operasi kontrol. Pameran 3.8 sorotan kelemahan material terutama terkait dengan aktivitas
pengendalian atas informasi pengolahan. Tapi ingat dari berbagai contoh yang diberikan
sepanjang ini bab bahwa kelemahan material dapat mencakup kekurangan dalam komponen lain
dari pengendalian internal, termasuk lingkungan pengendalian, penilaian risiko, informasi dan
komunikasi, dan pemantauan.

Defisiensi Signifikan dalam Pengendalian Internal

Defisiensi Signifikan adalah kekurangan, atau kombinasi dari kekurangan, dalam
pengendalian internal atas pelaporan keuangan yang kurang parah daripada kelemahan material,
namun cukup penting untuk mendapatkan perhatian oleh mereka yang bertanggung jawab untuk
mengawasi pelaporan keuangan organisasi. Kekurangan yang signifikan cukup penting sehingga
seharusnya dibawa ke perhatian manajemen dan komite audit, tapi itu tidak tidak perlu
dilaporkan ke pengguna eksternal. Kekurangan yang signifikan tidak akan termasuk dalam
laporan manajemen tentang efektivitas pengendalian internal.

Perbedaan antara Kelemahan Material dan Signifikan

Defisiensi Manajemen menggunakan pertimbangan profesional dalam menilai apakah
defisiensi pengendalian yang teridentifikasi naik ke tingkat defisiensi yang signifikan atau
kelemahan materi. Tingkat keparahan defisiensi tergantung pada besarnya potensi salah saji yang
dihasilkan dari defisiensi tersebut dan apakah terdapat kemungkinan yang masuk akal bahwa
pengendalian organisasi akan gagal untuk mencegah, atau mendeteksi dan mengoreksi salah saji
saldo akun atau pengungkapan.

28
 Manajemen perlu mempertimbangkan fakta dan keadaan spesifik seputar kekurangan
yang teridentifikasi. Tampilan 3.9 menjelaskan dua defisiensi kontrol—satu yang kemungkinan
akan dinilai sebagai kelemahan material dan yang kemungkinan akan dinilai sebagai kekurangan
yang signifikan. Bab 16 berisi diskusi tentang kompleks pertimbangan yang berkaitan dengan
pengklasifikasian defisiensi sebagai kelemahan material atau defisiensi signifikan.

29