Dewan Direksi Menjalankan Tanggung Jawab Pengawasan (Prinsip COSO 2) Anggota dewan direksi

adalah perwakilan pemegang saham yang dipilih. Di organisasi publik dan organisasi besar lainnya,
dewan akan menyertakan komite yang berspesialisasi dalam bidang tertentu. Misalnya, komite audit
dewan harus mengawasi manajemen, bertanggung jawab atas keandalan keseluruhan pelaporan
keuangan, dan mengawasi auditor eksternal. Komite kompensasi harus meninjau dan menyetujui
kompensasi dari CEO organisasi dan pejabat tinggi lainnya, mengawasi rencana manfaat organisasi
(misalnya, rencana kompensasi insentif), dan membuat rekomendasi kepada dewan penuh mengenai
kompensasi dewan. Dewan direksi, terutama melalui komite audit, diharapkan melakukan pengawasan
yang objektif terhadap perkembangan dan kinerja pengendalian internal. Misalnya, dewan, sebagai
bagian dari tanggung jawab pengawasannya, mungkin memerlukan diskusi dengan manajemen senior
tentang area di mana kontrol belum beroperasi secara efektif. Papan harus memiliki cukup

pengetahuan dan keterampilan untuk memenuhi tanggung jawab pengawasannya. Pengetahuan dan
keterampilan yang diperlukan akan mencakup pengetahuan pasar dan perusahaan, keahlian keuangan,
keahlian hukum dan peraturan, pengetahuan tentang sistem dan teknologi, dan keterampilan
memecahkan masalah. Yang penting, dewan membutuhkan jumlah anggota yang cukup yang
independen dari organisasi untuk membantu memastikan objektivitas dewan. Dewan dan komitenya
paling efektif ketika mereka dapat memberikan pengawasan yang tidak memihak yang terdiri dari
evaluasi, bimbingan, dan umpan balik.

Manajemen Menetapkan Struktur, Wewenang, dan Tanggung Jawab (Prinsip COSO 3) Sebuah organisasi
yang dikendalikan dengan baik memiliki struktur yang sesuai dan garis tanggung jawab dan wewenang
yang jelas. Setiap orang dalam organisasi memiliki beberapa tanggung jawab untuk operasi
pengendalian internal yang efektif. COSO telah mengidentifikasi tanggung jawab pengendalian internal
berikut: ● Dewan direksi memiliki wewenang atas keputusan penting dan meninjau penugasan
manajemen. ● Manajemen senior menetapkan arahan, panduan, dan kontrol untuk membantu
karyawan memahami dan melaksanakan tanggung jawab pengendalian internal mereka. ● Manajemen
memandu dan memfasilitasi arahan manajemen senior. ● Personil memahami persyaratan
pengendalian internal relatif terhadap posisi mereka dalam organisasi. ● Penyedia layanan alih daya
mematuhi definisi manajemen tentang ruang lingkup wewenang dan tanggung jawab untuk semua
nonkaryawan yang terlibat.

Organisasi Mendemonstrasikan Komitmen terhadap Kompetensi (Prinsip COSO 4) Sebuah organisasi

perlu menarik, mengembangkan, dan mempertahankan individu yang kompeten. Kompetensi adalah
pengetahuan dan keterampilan yang diperlukan untuk menyelesaikan tugas yang menentukan
pekerjaan individu. Komitmen terhadap kompetensi mencakup pertimbangan manajemen terhadap
tingkat kompetensi untuk pekerjaan tertentu dan bagaimana tingkat tersebut diterjemahkan ke dalam
keterampilan dan pengetahuan yang diperlukan. Komitmen ini ditunjukkan melalui kebijakan dan
prosedur untuk menarik, melatih, membimbing, mengevaluasi, dan mempertahankan karyawan.
Organisasi Menegakkan Akuntabilitas (Prinsip COSO 5) Sebuah organisasi harus meminta
pertanggungjawaban individu atas tanggung jawab pengendalian internal mereka. Mekanisme
akuntabilitas termasuk menetapkan dan mengevaluasi ukuran kinerja dan memberikan insentif dan
penghargaan yang sesuai. Manajemen dan dewan harus peka terhadap, dan menangani dengan tepat,
tekanan yang dapat menyebabkan personel menghindari kontrol atau melakukan aktivitas penipuan.
Tekanan yang berlebihan dapat mencakup target kinerja yang tidak realistis atau ketidakseimbangan
antara ukuran kinerja jangka pendek dan jangka panjang. Misalnya, tekanan untuk menghasilkan tingkat
penjualan yang tidak realistis dapat menyebabkan manajer penjualan membukukan entri penjualan
yang curang, sehingga mengurangi keandalan pelaporan keuangan.

Komponen COSO: Penilaian Risiko Semua organisasi menghadapi risiko salah saji material dalam laporan
keuangan mereka. Risiko adalah kemungkinan bahwa suatu peristiwa akan mempengaruhi

pencapaian organisasi dari tujuannya. Risiko berasal dari sumber internal dan eksternal. Contoh risiko
internal meliputi: ● Perubahan tanggung jawab manajemen ● Perubahan teknologi informasi internal ●
Model bisnis yang tidak dipahami dengan baik yang menyulitkan organisasi untuk tetap menguntungkan
Contoh risiko eksternal meliputi: ● Resesi ekonomi yang menurunkan permintaan produk atau layanan
● Peningkatan dalam persaingan atau produk atau layanan pengganti ● Perubahan regulasi yang
membuat model bisnis organisasi tidak berkelanjutan ● Perubahan keandalan sumber barang yang
mengurangi profitabilitas dan mengganggu rantai pasokan Organisasi yang mengabaikan risiko ini akan
dikenakan sanksi baik oleh organisasi maupun auditornya untuk potensi kebangkrutan dan litigasi,
masing-masing. Penilaian risiko adalah proses yang kuat untuk mengidentifikasi dan menilai risiko yang
terkait dengan tujuan pelaporan keuangan yang andal. Proses ini juga memerlukan pertimbangan
bagaimana perubahan baik dalam lingkungan eksternal atau dalam model bisnis organisasi dapat
berdampak pada pengendalian yang diperlukan untuk mengurangi risiko. Empat prinsip penilaian risiko
diringkas dalam Tampilan 3.2 dan dibahas di bawah ini. Menentukan Tujuan yang Relevan (Prinsip COSO
6) Sebuah organisasi memiliki banyak alasan untuk memiliki pelaporan keuangan yang andal sebagai
salah satu tujuannya. Pelaporan keuangan yang andal penting untuk mengakses pasar modal,
mendapatkan kontrak penjualan, dan berurusan dengan vendor, pemasok, dan pihak ketiga lainnya.
Ketika menentukan tujuan ini, manajemen harus mengambil langkah-langkah sehingga pelaporan
keuangan mencerminkan transaksi dan peristiwa yang mendasari organisasi. Tujuan pelaporan
keuangan harus konsisten dengan prinsip akuntansi yang sesuai untuk organisasi. Jika sesuai, tujuan
pelaporan yang luas harus diturunkan ke berbagai unit bisnis. Selanjutnya, manajemen harus
mempertimbangkan tingkat materialitas ketika menentukan tujuan. Misalnya, manajemen mungkin
memiliki tujuan agar pendapatan dilaporkan secara akurat. Manajemen tidak mungkin berarti bahwa
pendapatan harus akurat ke dolar terdekat. Sebaliknya, tujuan manajemen kemungkinan adalah bahwa
setiap salah saji dalam pendapatan tidak material, atau penting, untuk penyajian laporan keuangan
secara keseluruhan. Misalnya, jika akun pendapatan perusahaan besar memiliki kesalahan yang
menyebabkan pendapatan dilebih-lebihkan sebesar $1.000, sebagian besar pengguna laporan keuangan
tidak akan menganggap salah saji itu material, atau penting, bagi keputusan mereka. Materialitas adalah
topik yang kita jelajahi lebih lanjut di Bab 7. Mengidentifikasi dan Menganalisis Risiko (Prinsip COSO 7)
Prinsip ini menyoroti pentingnya suatu organisasi mengidentifikasi risiko yang tidak akan mencapai
tujuan pelaporan keuangannya dan berfungsi sebagai dasar untuk menentukan bagaimana risiko harus
dikurangi. Tingkat manajemen yang tepat perlu dilibatkan dalam identifikasi dan analisis risiko.
Identifikasi risiko harus mencakup faktor internal dan eksternal. Misalnya, perubahan ekonomi dapat
berdampak pada hambatan masuk persaingan atau standar pelaporan keuangan baru mungkin
memerlukan pelaporan yang berbeda atau tambahan. Secara internal, perubahan tanggung jawab
manajemen dapat mempengaruhi cara pengendalian tertentu beroperasi, atau berakhirnya perjanjian
kerja dapat mempengaruhi ketersediaan personel yang kompeten. Risiko yang teridentifikasi—baik
internal maupun eksternal—harus dianalisis untuk memasukkan perkiraan potensi signifikansi risiko dan
pertimbangan tentang bagaimana setiap risiko harus dikelola.

Menilai Risiko Penipuan (Prinsip COSO 8) Sebagai bagian dari penilaian risiko, organisasi
mempertimbangkan risiko penipuan—risiko yang terkait dengan penyalahgunaan aset dan pelaporan
keuangan yang curang (seperti yang dibahas dalam Bab 2). Penilaian ini mengakui bahwa tindakan
seseorang mungkin tidak sesuai dengan standar perilaku yang diharapkan. Penilaian risiko penipuan
mempertimbangkan cara-cara penipuan dapat terjadi, faktor risiko penipuan yang memengaruhi
pelaporan keuangan, insentif dan tekanan yang dapat menyebabkan penipuan dalam laporan keuangan,
peluang untuk penipuan, dan apakah personel mungkin terlibat dalam atau merasionalisasi aktivitas
penipuan, yaitu, segitiga penipuan. Fitur Auditing in Practice “Pengendalian Internal yang Tidak Efektif
Atas Pelaporan Keuangan Menyebabkan Penggelapan di Citigroup” menyoroti pentingnya
mengidentifikasi risiko penipuan sebagai dasar untuk menentukan kontrol yang diperlukan untuk
mengurangi risiko tersebut. Mengidentifikasi dan Menganalisis Perubahan Signifikan (Prinsip COSO 9)
Saat kondisi internal dan eksternal berubah, pengendalian internal organisasi mungkin perlu diubah.
Pengendalian internal yang dianggap efektif dalam satu kondisi mungkin tidak efektif ketika kondisi itu
berubah. Misalnya, ketika organisasi mengubah lini bisnis atau model bisnisnya, pengendalian baru
mungkin diperlukan karena organisasi mungkin telah mengambil risiko baru. Contoh lain dari kontrol
yang berdampak pada perubahan adalah pengenalan teknologi sistem informasi baru. Organisasi juga
perlu mempertimbangkan perubahan manajemen dan personel lainnya serta sikap dan filosofi masing-
masing terhadap sistem pengendalian internal. Secara keseluruhan, prinsip utamanya adalah bahwa
organisasi memerlukan proses untuk mengidentifikasi dan menilai perubahan faktor internal dan
eksternal yang dapat mempengaruhi kemampuannya untuk menghasilkan laporan keuangan yang andal.
Komponen COSO: Aktivitas Pengendalian Aktivitas pengendalian adalah tindakan yang ditetapkan
melalui kebijakan dan prosedur yang membantu memastikan bahwa arahan manajemen mengenai
pengendalian tercapai. Aktivitas pengendalian dilakukan dalam proses, misalnya, pemisahan tugas yang
diperlukan dalam memproses transaksi, dan di atas teknologi

lingkungan. Mereka dilakukan di semua tingkat organisasi. Tiga prinsip kegiatan pengendalian diringkas
dalam Tampilan 3.2 dan dibahas selanjutnya. Memilih dan Mengembangkan Aktivitas Kontrol (Prinsip
COSO 10) Meskipun beberapa aktivitas kontrol terlihat di banyak organisasi—pemisahan tugas,
rekonsiliasi independen, otorisasi dan persetujuan, verifikasi—tidak ada rangkaian aktivitas kontrol
universal yang berlaku untuk semua organisasi. Sebaliknya, organisasi memilih dan mengembangkan
aktivitas pengendalian yang spesifik untuk risiko yang mereka identifikasi selama penilaian risiko.
Misalnya, organisasi yang sangat diatur umumnya memiliki aktivitas kontrol yang lebih kompleks
daripada entitas yang kurang diatur. Sebagai contoh lain, sebuah organisasi dengan operasi
terdesentralisasi dan penekanan pada otonomi dan inovasi lokal akan memiliki aktivitas kontrol yang
berbeda dari yang lain yang operasinya konstan di seluruh lokasi dan sangat terpusat.

Kontrol Transaksi Kontrol transaksi (juga disebut sebagai kontrol aplikasi) mewakili jenis aktivitas kontrol
yang penting. Mereka adalah aktivitas kontrol yang diterapkan untuk mengurangi risiko pemrosesan
transaksi, dan memengaruhi proses, transaksi, akun, dan asersi tertentu. Tiga jenis transaksi yang
berpengaruh signifikan terhadap kualitas data dalam laporan keuangan saldo akun dan pengungkapan
ditunjukkan pada Tampilan 3.3. Mereka mencakup transaksi yang terkait dengan: ● Proses bisnis ●
Perkiraan akuntansi ● Penyesuaian, penutupan, dan entri yang tidak biasa Selama pemrosesan transaksi,
organisasi menginginkan kepastian yang wajar bahwa pemrosesan informasi lengkap, akurat, dan valid.
Organisasi ingin mencapai tujuan pengendalian berikut: ● Transaksi yang tercatat ada dan telah terjadi.
● Semua transaksi dicatat. ● Transaksi dinilai dengan benar. ● Transaksi disajikan dan diungkapkan
dengan benar. ● Transaksi berkaitan dengan hak atau kewajiban organisasi. Berbagai kontrol transaksi
yang dilakukan dalam proses bisnis tertentu—seperti pembelian dan penjualan—dikembangkan dan
diterapkan untuk memberikan jaminan yang wajar bahwa tujuan pemrosesan ini tercapai. Aktivitas
pengendalian yang terkait dengan pemrosesan transaksi bisnis mencakup verifikasi seperti pencocokan
komputer atau pemeriksaan kewajaran, rekonsiliasi seperti memeriksa kesepakatan antara akun anak
perusahaan yang terperinci dan akun kontrol, dan otorisasi dan persetujuan seperti penyelia yang
menyetujui laporan pengeluaran.