LAILA MUBAROKAH

12030119410012

PENGENDALIAN INTERNAL; TUJUAN, KOMPONEN DAN PRINSIP; EFEKTIVITAS

PENGENDALIAN INTERNAL; PERTIMBANGAN DALAM PENGENDALIAN;
LINGKUNGAN PENGENDALIAN, PENETAPAN RISIKO

Definisi Kontrol Internal

Tujuan dari Pengendalian Internal ini — Kerangka Kerja Terintegrasi (Framework) adalah untuk
membantu manajemen mengendalikan organisasi dengan lebih baik dan untuk memberikan
dewan direksi kemampuan tambahan untuk mengawasi kontrol internal. Kontrol internal adalah
suatu proses, yang dilakukan oleh dewan direksi, manajemen, dan personel lain dari suatu
entitas, yang dirancang untuk memberikan jaminan yang wajar mengenai pencapaian tujuan yang
terkait dengan operasi, pelaporan, dan kepatuhan.

Definisi ini menekankan bahwa pengendalian internal adalah:

1. Ditujukan untuk pencapaian tujuan dalam satu atau lebih kategori yang terpisah namun
tumpang tindih
2. Suatu proses yang terdiri dari tugas dan kegiatan yang sedang berjalan — ini merupakan
sarana untuk mencapai tujuan, bukan tujuan itu sendiri
3. Dipengaruhi oleh orang-orang - ini bukan hanya tentang kebijakan, prosedur manual,
sistem, dan bentuk, tetapi tentang orang-orang dan tindakan yang mereka lakukan di
setiap tingkat organisasi untuk melakukan kontrol internal
4. Mampu memberikan jaminan yang wajar, bukan jaminan absolut, kepada manajemen
senior dan dewan direksi suatu entitas
5. Dapat beradaptasi dengan struktur entitas — fleksibel dalam penerapan untuk seluruh
entitas atau untuk anak perusahaan, divisi, unit operasi, atau proses bisnis tertentu

Definisi pengendalian internal ini sengaja luas karena dua alasan. Pertama, ia menangkap
konsep-konsep penting yang mendasar bagi bagaimana organisasi merancang,
mengimplementasikan, dan melakukan kontrol internal dan menilai efektivitas sistem kontrol
internal mereka, memberikan dasar untuk aplikasi di berbagai jenis organisasi, industri, dan
wilayah geografis. Kedua, definisi tersebut mengakomodasi himpunan bagian dari kontrol
internal.

Ditujukan untuk Pencapaian Tujuan

Kerangka ini menetapkan tiga kategori tujuan, yang memungkinkan organisasi untuk fokus pada
aspek terpisah dari pengendalian internal:
a. Tujuan Operasi
b. Tujuan Pelaporan
c. Tujuan Kepatuhan

Sebuah Proses
Kontrol internal bukanlah satu peristiwa atau keadaan, tetapi proses yang dinamis dan berulang.
Tertanam dalam proses ini adalah kontrol yang terdiri dari kebijakan dan prosedur. Kebijakan-
kebijakan ini mencerminkan pernyataan manajemen atau dewan tentang apa yang harus
dilakukan untuk mempengaruhi kontrol internal.
Dipengaruhi oleh Orang
Kontrol internal dipengaruhi oleh dewan direksi, manajemen, dan personel lainnya. Itu dicapai
oleh orang-orang dari suatu organisasi, dengan apa yang mereka lakukan dan katakan. Orang-
orang menetapkan tujuan entitas dan melakukan tindakan untuk mencapai tujuan yang
ditentukan.

Memberikan Jaminan Yang Wajar

Sistem pengendalian internal yang efektif memberikan kepastian yang wajar kepada manajemen
dan dewan direksi mengenai pencapaian tujuan entitas. Jaminan mutlak tidak mungkin.

Dapat beradaptasi dengan Struktur Entitas

Entitas dapat disusun sepanjang berbagai dimensi. Model operasi manajemen dapat mengikuti
jalur produk atau layanan; pelaporan dapat dilakukan untuk entitas, divisi, atau unit operasi yang
terkonsolidasi, dengan pasar geografis menyediakan subdivisi lebih lanjut atau agregasi kinerja.
Model operasi manajemen dapat menggunakan penyedia layanan outsourcing untuk mendukung
pencapaian tujuan.

Tujuan, Komponen, dan Prinsip

Organisasi mengadopsi misi dan visi, menetapkan strategi, menetapkan tujuan yang ingin
dicapai, dan merumuskan rencana untuk mencapainya. Tujuan dapat ditetapkan untuk suatu
entitas secara keseluruhan, atau ditargetkan untuk kegiatan tertentu dalam entitas. Meskipun
banyak tujuan khusus untuk entitas tertentu, ada yang dibagikan secara luas.

Komponen pengendalian internal:

a. Kontrol Lingkungan
b. Tugas beresiko
c. Mengontrol Kegiatan
d. Informasi dan Komunikasi
e. Kegiatan Pemantauan

Hubungan Tujuan, Komponen, dan Entitas

Ada hubungan langsung antara tujuan, yang mana entitas berusaha untuk mencapai, komponen,
yang mewakili apa yang diperlukan untuk mencapai tujuan, dan struktur entitas (unit operasi,
badan hukum, dan struktur lainnya). Kontrol internal adalah proses yang dinamis, berulang, dan
terintegrasi. Misalnya, penilaian risiko tidak hanya memengaruhi lingkungan kontrol dan
aktivitas kontrol, tetapi juga dapat menyoroti kebutuhan untuk mempertimbangkan kembali
persyaratan entitas untuk informasi dan komunikasi, atau untuk aktivitas pemantauannya.
Dengan demikian, pengendalian internal bukanlah proses linier di mana satu komponen hanya
mempengaruhi komponen berikutnya. Ini adalah proses terpadu di mana komponen dapat dan
akan berdampak lain.

Manajemen Tujuan, dengan pengawasan dewan, menetapkan tujuan tingkat entitas yang selaras
dengan misi, visi, dan strategi entitas. Sasaran tingkat tinggi ini mencerminkan pilihan yang
dibuat oleh manajemen dan dewan direksi tentang bagaimana organisasi berupaya menciptakan,
melestarikan, dan mewujudkan nilai bagi para pemangku kepentingannya. Menetapkan tujuan
adalah prasyarat untuk pengendalian internal dan merupakan bagian penting dari proses
manajemen yang berkaitan dengan perencanaan strategis.

Kategori Tujuan
Kerangka mengelompokkan tujuan entitas ke dalam tiga kategori operasi, pelaporan, dan
kepatuhan. Sasaran Operasi Sasaran operasi berkaitan dengan pencapaian misi dan visi dasar
suatu entitas alasan mendasar keberadaannya. Tujuan ini bervariasi berdasarkan pilihan
manajemen yang berkaitan dengan model operasi manajemen, pertimbangan industri, dan
kinerja. Dengan demikian, tujuan operasi dapat berhubungan dengan peningkatan kinerja
keuangan, produktivitas

Pengamanan Aset
Kategori tujuan operasi mencakup pengamanan aset, yang mengacu pada melindungi dan
menjaga aset entitas.

a. Tujuan Pelaporan Keuangan Eksternal — Entitas perlu mencapai tujuan pelaporan keuangan
eksternal untuk memenuhi kewajiban dan harapan para pemangku kepentingan.
b. Tujuan Pelaporan Non-Keuangan Eksternal — Manajemen dapat melaporkan informasi
non-keuangan eksternal sesuai dengan peraturan, standar, atau kerangka kerja.
c. Tujuan Pelaporan Keuangan dan Non-Keuangan Internal — Pelaporan internal kepada
manajemen dan dewan direksi mencakup informasi yang dianggap perlu untuk mengelola
organisasi.

Tujuan pelaporan berbeda dari komponen informasi dan komunikasi pengendalian internal.
Manajemen menetapkan, dengan pengawasan dewan, tujuan pelaporan ketika organisasi
membutuhkan jaminan yang wajar untuk mencapai tujuan pelaporan tertentu. Sebaliknya,
komponen Informasi dan Komunikasi mendukung berfungsinya semua komponen tujuan, serta
tujuan operasi dan kepatuhan. Tujuan Kepatuhan Entitas harus melakukan kegiatan, dan sering
mengambil tindakan spesifik, sesuai dengan hukum dan peraturan yang berlaku.

Tumpang tindih Kategori Tujuan

Tujuan dalam satu kategori dapat tumpang tindih atau mendukung tujuan dalam kategori lain.
Kategori di mana tujuan jatuh dapat bervariasi tergantung pada keadaan. Tujuan operasi dan
pelaporan internal lebih didasarkan pada preferensi, penilaian, dan pilihan organisasi. Tujuan-
tujuan ini sangat bervariasi di antara entitas hanya karena orang yang memiliki informasi dan
kompeten dapat memilih tujuan yang berbeda.

Tujuan dan Sub-Tujuan

Manajemen mengaitkan sasaran tingkat entitas yang ditetapkan dengan sub-sasaran yang lebih
spesifik yang mengalir di seluruh organisasi. Sub-tujuan juga ditetapkan sebagai bagian dari atau
mengalir dari proses penetapan strategi, dan berhubungan dengan entitas dan subunitnya dan
kegiatan fungsional seperti penjualan, produksi, teknik, pemasaran, produktivitas, keterlibatan
karyawan, inovasi, dan teknologi informasi. Manajemen menyelaraskan sub-tujuan ini dengan
tujuan tingkat entitas dan mengoordinasikannya di seluruh entitas.
Entitas menentukan beberapa sub-tujuan untuk setiap kegiatan, mengalir baik dari tujuan tingkat
entitas dan dari standar yang ditetapkan terkait dengan tujuan kepatuhan dan pelaporan, yang
dianggap sesuai dalam situasi tersebut. Manajemen juga menentukan sub-tujuan yang sesuai
untuk divisi, anak perusahaan, unit operasi, dan fungsi dengan kejelasan yang cukup untuk
mendukung tujuan tingkat entitas.

Komponen dan Prinsip Pengendalian Internal Kerangka ini menetapkan lima komponen
pengendalian internal dan tujuh belas prinsip yang mewakili konsep dasar yang terkait dengan
komponen. Komponen dan prinsip pengendalian internal ini cocok untuk semua entitas. Semua
tujuh belas prinsip berlaku untuk setiap kategori tujuan, serta tujuan dan sub-tujuan dalam suatu
kategori.

Lingkungan Kontrol
Lingkungan kontrol adalah seperangkat standar, proses, dan struktur yang memberikan dasar
untuk melakukan kontrol internal di seluruh organisasi. Ada lima prinsip yang berkaitan dengan
Lingkungan Kontrol:
a. Rumah sakit menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
b. Dewan direksi menunjukkan independensi dari manajemen dan melakukan pengawasan
terhadap pengembangan dan kinerja pengendalian internal.
c. Manajemen menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan
otoritas dan tanggung jawab yang tepat dalam mengejar tujuan.
d. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten sesuai dengan tujuan.
e. Rumah sakit meminta pertanggungjawaban individu atas kontrol internal mereka dalam
mengejar tujuan.

Tugas beresiko
Penilaian risiko melibatkan proses yang dinamis dan berulang untuk mengidentifikasi dan
menganalisis risiko untuk mencapai tujuan entitas, membentuk dasar untuk menentukan
bagaimana risiko harus dikelola.
Ada empat prinsip yang berkaitan dengan Penilaian Risiko:
f. Rumah sakit menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan
identifikasi dan penilaian risiko yang berkaitan dengan tujuan.
g. Rumah sakit mengidentifikasi risiko dengan pencapaian tujuannya di seluruh entitas dan
menganalisis risiko sebagai dasar untuk menentukan bagaimana risiko harus dikelola.
h. Rumah sakit mempertimbangkan potensi kecurangan dalam menilai risiko untuk
pencapaian tujuan.
i. Rumah sakit mengidentifikasi dan menilai perubahan yang dapat berdampak signifikan
terhadap sistem pengendalian internal.

Aktivitas Kontrol
Aktivitas pengendalian adalah tindakan yang ditetapkan oleh kebijakan dan prosedur untuk
membantu memastikan bahwa arahan manajemen untuk mengurangi risiko terhadap pencapaian
tujuan telah dilakukan.
Ada tiga prinsip yang berkaitan dengan Aktivitas Kontrol:
 j. Rumah sakit memilih dan mengembangkan kegiatan kontrol yang berkontribusi pada
mitigasi risiko terhadap pencapaian tujuan ke tingkat yang dapat diterima.
k. Organisasi memilih dan mengembangkan kegiatan kontrol umum atas teknologi untuk
mendukung pencapaian tujuan.
l. Rumah sakit menyebarkan kegiatan pengendalian melalui kebijakan yang menetapkan
apa yang diharapkan dan prosedur yang menerapkan kebijakan.

Informasi dan Komunikasi

Informasi diperlukan bagi entitas untuk melaksanakan tanggung jawab pengendalian internal
dalam mendukung pencapaian tujuannya. Ada tiga prinsip yang berkaitan dengan Informasi dan
Komunikasi:
m. Rumah sakit memperoleh atau menghasilkan dan menggunakan informasi yang relevan
dan berkualitas untuk mendukung berfungsinya komponen-komponen lain dari
pengendalian internal.
n. Organisasi mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung
jawab untuk pengendalian internal, yang diperlukan untuk mendukung berfungsinya
komponen-komponen lain dari kontrol internal.
o. Rumah sakit berkomunikasi dengan pihak luar mengenai hal-hal yang mempengaruhi
berfungsinya komponen-komponen lain dari pengendalian internal.

Kegiatan Pemantauan
Evaluasi yang sedang berlangsung, evaluasi terpisah, atau kombinasi keduanya digunakan untuk
memastikan apakah masing-masing dari lima komponen pengendalian internal, termasuk kontrol
untuk mempengaruhi prinsip-prinsip dalam setiap komponen, ada dan berfungsiAda dua prinsip
yang berkaitan dengan Kegiatan Pemantauan:
p. Rumah sakit memilih, mengembangkan, dan melakukan evaluasi yang sedang
berlangsung dan / atau terpisah untuk memastikan apakah komponen-komponen
pengendalian internal ada dan berfungsi.
q. Rumah sakit mengevaluasi dan mengomunikasikan kekurangan kontrol internal secara
tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan
korektif, termasuk manajemen senior dan dewan direksi, jika perlu.

tindakan manajemen merupakan bagian dari kontrol internal:

• Memiliki dewan yang terdiri dari direktur dengan independensi yang cukup dari
manajemen dan yang menjalankan peran pengawasannya adalah bagian dari kontrol
internal.
• Membuat keputusan strategis yang memengaruhi tujuan entitas bukan bagian dari kontrol
internal.
• Menetapkan keseluruhan tingkat risiko yang dapat diterima dan selera risiko terkait5
adalah bagian dari perencanaan strategis dan manajemen risiko perusahaan, bukan bagian
dari pengendalian internal.
• Memilih dan mengembangkan kegiatan pengendalian yang dirancang untuk memitigasi
risiko berdasarkan proses penilaian risiko organisasi adalah bagian dari pengendalian
internal; Namun, memilih respons risiko mana yang lebih disukai untuk mengatasi risiko
tertentu bukan bagian dari pengendalian internal.
Kontrol Internal dan Pengaturan Tujuan
Sebagai bagian dari kontrol internal, organisasi menetapkan tujuan dengan:
• Mengartikulasikan dan menyusun tujuan khusus, terukur atau dapat diamati, dapat
dicapai, relevan dan berdasarkan waktu
• Menilai kesesuaian tujuan dan sub-tujuan untuk pengendalian internal berdasarkan fakta,
keadaan, dan hukum, aturan, peraturan, dan standar yang ditetapkan
• Mengkomunikasikan tujuan dan sub-tujuan di seluruh entitas dan sub-unit
Keterbatasan Pengendalian Internal Kerangka ini mengakui bahwa meskipun pengendalian
internal memberikan jaminan yang wajar untuk mencapai tujuan entitas, batasan memang ada
dan dapat timbul dari:
• Kesesuaian tujuan yang ditetapkan sebagai prasyarat untuk kontrol internal
• Kenyataan bahwa penilaian manusia dalam pengambilan keputusan bisa salah
• Kerusakan yang dapat terjadi karena kegagalan manusia seperti kesalahan
• Kemampuan manajemen untuk mengesampingkan kontrol internal
• Kemampuan manajemen, personel lain, dan / atau pihak ketiga untuk menghindari
kontrol melalui kolusi

Kontrol Internal yang Efektif

Persyaratan untuk Pengendalian Internal yang Efektif Sistem pengendalian internal yang efektif
memberikan jaminan yang masuk akal mengenai pencapaian tujuan entitas. Dalam menentukan
apakah suatu komponen ada dan berfungsi, manajemen senior dan dewan direksi perlu
menentukan sejauh mana prinsip-prinsip yang relevan ada dan berfungsi. Namun, prinsip yang
ada dan berfungsi tidak menyiratkan bahwa organisasi berusaha untuk tingkat kinerja tertinggi
dalam menerapkan prinsip tertentu. Sebaliknya, manajemen menggunakan pertimbangan dalam
menyeimbangkan biaya dan manfaat dari merancang, mengimplementasikan, dan melakukan
kontrol internal.

Pertimbangan Tambahan
Beberapa area penting yang membutuhkan penilaian berhubungan dengan:
a. Menerapkan komponen kontrol internal relatif terhadap kategori tujuan
b. Menerapkan komponen dan prinsip kontrol internal dalam struktur entitas
c. Menentukan tujuan yang sesuai dan menilai risiko
d. Menilai apakah komponen ada dan beroperasi bersama
e. Menilai apakah prinsip-prinsip itu relevan dengan entitas dan apakah prinsip-prinsip yang
relevan ada dan berfungsi
f. Memilih, mengembangkan, dan menggunakan kontrol yang diperlukan untuk
menjalankan prinsip
g. Menilai parahnya satu atau lebih kekurangan dalam pengendalian internal baik sesuai
dengan Kerangka dan sehubungan dengan hukum, peraturan peraturan, dan standar yang
berlaku.

Kerangka ini tidak menentukan persyaratan kontrol spesifik yang harus dipilih, dikembangkan,
dan digunakan untuk sistem kontrol internal yang efektif. Penentuan itu adalah fungsi penilaian
manajemen berdasarkan faktor unik untuk setiap entitas, seperti:
• Hukum, aturan, regulasi, dan standar yang menjadi subjek entitas
• Sifat bisnis entitas dan pasar tempat entitas beroperasi
 • Cakupan dan sifat model operasi manajemen
• Kompetensi personel yang bertanggung jawab untuk pengendalian internal
• Penggunaan dan ketergantungan pada teknologi
• Tanggapan manajemen terhadap risiko yang dinilai
Manfaat dan Biaya Pengendalian Internal
Manfaat
Manfaat paling signifikan dari pengendalian internal yang efektif bagi banyak entitas adalah
kemampuan untuk memenuhi persyaratan tertentu untuk mengakses pasar modal, memberikan
inovasi yang didorong oleh modal dan pertumbuhan ekonomi. Manfaat lain dari pengendalian
internal yang efektif meliputi:
• Pelaporan yang andal yang mendukung manajemen dan pengambilan keputusan dewan
mengenai hal-hal seperti penetapan harga produk, investasi modal, dan penyebaran
sumber daya
• Mekanisme yang konsisten untuk memproses transaksi, mendukung kualitas informasi
dan komunikasi di seluruh organisasi, meningkatkan kecepatan dan keandalan di mana
transaksi dimulai dan diselesaikan, dan menyediakan pencatatan yang andal dan
integritas data yang berkelanjutan.
• Peningkatan efisiensi dalam fungsi dan proses
• Dasar untuk keputusan di mana penilaian yang sangat subyektif dan substansial
diperlukan
• Kemampuan dan kepercayaan diri untuk mengkomunikasikan kinerja bisnis secara akurat
dengan mitra bisnis dan pelanggan, yang mendukung kelangsungan hubungan bisnis

Biaya
Secara keseluruhan, manajemen mempertimbangkan berbagai faktor biaya sehubungan dengan
manfaat yang diharapkan ketika memilih dan mengembangkan kontrol internal. Ini mungkin
termasuk:
• Mempertimbangkan trade-off antara merekrut dan mempertahankan staf dengan tingkat
kompetensi yang lebih tinggi dan biaya kompensasi terkait yang lebih tinggi.
• Menilai upaya yang diperlukan untuk memilih, mengembangkan, dan melakukan
kegiatan kontrol; potensi upaya tambahan yang ditambahkan aktivitas ke dalam proses
bisnis; dan upaya untuk mempertahankan dan memperbarui kegiatan kontrol saat
dibutuhkan.
• Menilai dampak ketergantungan tambahan pada teknologi.
• Memahami bagaimana perubahan dalam persyaratan informasi mungkin memerlukan
pengumpulan, pemrosesan, dan penyimpanan data yang lebih besar yang dapat memicu
pertumbuhan volume data secara eksponensial.

Pertimbangan Lain dalam Menentukan Manfaat dan Biaya

Dua tingkat spesifik persyaratan dokumentasi harus dipertimbangkan sehubungan dengan
pelaporan keuangan dan non-keuangan eksternal:
• Dalam kasus di mana manajemen menegaskan kepada regulator, pemegang saham, atau
pihak ketiga lainnya mengenai desain dan efektivitas operasi dari keseluruhan sistem
pengendalian internal, manajemen memiliki tingkat tanggung jawab yang lebih tinggi.
• Dalam kasus di mana auditor eksternal membuktikan keefektifan sistem pengendalian
internal secara keseluruhan, manajemen kemungkinan akan diharapkan untuk
 memberikan dukungan kepada auditor dengan pernyataannya tentang efektivitas
pengendalian internal.

Kepatuhan dan Penyimpangan

Evaluasi kepatuhan individu dan tim terhadap standar perilaku adalah bagian dari proses
sistematis untuk eskalasi dan penyelesaian pengecualian. Proses tersebut mengharuskan
manajemen:
a. Menentukan serangkaian indikator
b. Menetapkan prosedur kepatuhan yang berkelanjutan dan berkala untuk mengonfirmasi
bahwa harapan dan persyaratan dipenuhi baik secara internal maupun oleh penyedia
layanan outsourcing.
c. Mengidentifikasi, menganalisis, dan melaporkan masalah perilaku bisnis dan tren kepada
manajemen senior dan dewan direksi.
d. Pertimbangkan kekuatan kepemimpinan dalam mendemonstrasikan integritas dan nilai-
nilai etika sebagai perilaku yang dievaluasi dalam tinjauan kinerja, kompensasi, dan
keputusan promosi.
e. Menyusun dugaan secara terpusat dan membuat ini dievaluasi oleh individu-individu
terlepas dari dugaan tersebut.
f. Melakukan dan mendokumentasikan investigasi berdasarkan protokol investigasi yang
ditentukan.
g. Menindaklanjuti implementasi tindakan korektif sehingga masalah dapat diatasi secara
tepat waktu dan konsisten.
h. Menganalisis masalah secara berkala untuk mengidentifikasi tren dan akar penyebab,
menyerukan modifikasi kebijakan, komunikasi, pelatihan, atau kontrol.

Otoritas dan Tanggung Jawab

Dewan direksi atau badan pengawas yang setara memahami bisnis dan harapan para pemangku
kepentingan, termasuk pelanggan, karyawan, investor, dan masyarakat umum, serta persyaratan
hukum dan peraturan serta risiko terkait. Sementara persyaratan untuk milik pribadi, nirlaba, atau
entitas lain dapat bervariasi, perusahaan publik di banyak yurisdiksi memerlukan komite di
tingkat dewan untuk fokus pada topik khusus, seperti:
a. Komite nominasi / tata kelola untuk memimpin pemilihan direksi dan mengawasi
evaluasi manajemen senior dan dewan direksi
b. Komite kompensasi untuk mengawasi kebijakan dan praktik kompensasi manajemen
senior, memotivasi perilaku yang diharapkan, menyeimbangkan insentif untuk kinerja
jangka pendek dan jangka panjang, menghubungkan kinerja dengan tujuan strategis, dan
menghubungkan kompensasi dengan risiko
c. Komite audit untuk mengawasi kontrol internal atas pelaporan keuangan dan integritas
serta transparansi pelaporan eksternal, termasuk laporan keuangan
d. Komite lain dari dewan yang didedikasikan untuk menangani hal-hal spesifik yang sangat
penting untuk tujuan entitas

Kemandirian dan Keahlian yang Relevan

Dewan direksi independen dari manajemen dan menunjukkan keterampilan dan keahlian yang
relevan dalam melaksanakan tanggung jawab pengawasannya.
Poin-poin fokus berikut ini dapat membantu manajemen dalam menentukan apakah prinsip ini
ada dan berfungsi:
a. Mempertimbangkan Semua Struktur Entitas
b. Menetapkan Jalur Pelaporan
c. Menentukan, Menugaskan, dan Membatasi Kewenangan dan Tanggung Jawab —
Manajemen dan dewan direksi mendelegasikan wewenang, menetapkan tanggung jawab,
dan menggunakan proses dan teknologi yang sesuai untuk menetapkan tanggung jawab
dan memisahkan tugas yang diperlukan di berbagai tingkat organisasi:
- Dewan Direksi
- Manajemen Senior
- Manajemen
- Personel
- Penyedia Layanan Outsourced

Struktur Organisasi dan Garis Pelaporan

Entitas sering terstruktur sepanjang berbagai dimensi. Khususnya:
a. Model operasi manajemen dapat mengikuti lini produk atau layanan untuk memfasilitasi
pengembangan produk dan layanan baru, mengoptimalkan kegiatan pemasaran,
merasionalisasi produksi, dan meningkatkan layanan pelanggan atau aspek operasional
lainnya.
b. Struktur badan hukum sering dirancang untuk mengelola risiko bisnis, menciptakan
struktur pajak yang menguntungkan, dan memberdayakan manajer di operasi asing.
c. Pasar geografis dapat menyediakan subdivisi lebih lanjut atau agregasi kinerja.
d. Entitas juga memasuki berbagai hubungan dengan penyedia layanan outsourcing untuk
mendukung pencapaian tujuan, yang menciptakan struktur tambahan dan jalur pelaporan.
Variabel yang perlu dipertimbangkan ketika membangun dan mengevaluasi struktur organisasi
meliputi:
• Sifat, ukuran, dan distribusi geografis bisnis entitas
• Risiko yang terkait dengan tujuan entitas dan proses bisnis, yang dapat dipertahankan
secara internal atau outsourcing, dan interkoneksi dengan penyedia layanan outsourcing
dan mitra bisnis
• Sifat penugasan wewenang dan tanggung jawab ke atas, unit operasi, fungsional, dan
manajemen geografis
• Definisi jalur pelaporan (mis., Pelaporan langsung / "jalur padat" versus laporan sekunder
/ "garis putus-putus") dan saluran komunikasi
• Persyaratan keuangan, pajak, peraturan, dan pelaporan lainnya dari yurisdiksi yang
relevan
• Tanggung jawab secara umum dapat dianggap berada dalam tiga garis pertahanan
terhadap kegagalan untuk mencapai tujuan entitas, dengan pengawasan oleh dewan
direksi:
• Manajemen dan personel lain di garis depan menyediakan garis pertahanan pertama
dalam kegiatan sehari-hari. Mereka bertanggung jawab untuk mempertahankan kontrol
internal yang efektif setiap hari; mereka dikompensasi berdasarkan kinerja dalam
kaitannya dengan semua tujuan yang berlaku.
• Fungsi yang mendukung bisnis (juga disebut sebagai fungsi pendukung) memberikan
panduan tentang persyaratan kontrol internal dan mengevaluasi kepatuhan terhadap
 standar yang ditetapkan; sementara mereka secara fungsional disejajarkan dengan bisnis,
kompensasi mereka tidak secara langsung terkait dengan kinerja area yang mereka
jadikan pakar.
• Auditor internal memberikan garis pertahanan ketiga dalam menilai dan melaporkan
kontrol internal dan merekomendasikan tindakan korektif atau perangkat tambahan untuk
pertimbangan dan implementasi manajemen; posisi dan kompensasi mereka terpisah dan
berbeda dari area bisnis yang mereka kaji.

Otoritas dan Tanggung Jawab

Peran dan tanggung jawab utama yang ditugaskan di seluruh organisasi biasanya meliputi yang
berikut:
• Dewan direksi tetap terinformasi dan menantang manajemen senior jika diperlukan untuk
memberikan panduan tentang keputusan penting.
• Manajemen senior, yang mencakup chief executive officer atau pemimpin organisasi
yang setara dan tim manajemen senior, pada akhirnya bertanggung jawab kepada dewan
direksi dan pemangku kepentingan lainnya untuk menetapkan arahan, pedoman, dan
kontrol untuk memungkinkan manajemen dan personel lain memahami dan
melaksanakan tugas mereka.
• Manajemen, yang meliputi pengawas dan pembuat keputusan, mengeksekusi arahan
manajemen senior di entitas dan subunitnya.
• Personel, yang mencakup semua karyawan entitas, diharapkan untuk memahami standar
perilaku entitas, tujuan sebagaimana didefinisikan dalam kaitannya dengan area tanggung
jawab mereka, risiko yang dinilai untuk tujuan tersebut, kegiatan pengendalian terkait di
tingkat entitas masing-masing, informasi , dan arus komunikasi, dan setiap kegiatan
pemantauan yang relevan untuk mencapai tujuan.
• Rumah sakit memberikan tanggung jawab langsung kepada personel atas proses yang
dilakukan oleh penyedia layanan. Penyedia layanan outsourcing diberikan ketentuan
kontrak yang jelas dan ringkas terkait dengan tujuan entitas dan harapan perilaku dan
kinerja, tingkat kompetensi, informasi yang diharapkan, dan aliran komunikasi. Mereka
dapat menjalankan proses bisnis atas nama atau bersama dengan manajemen, yang tetap
bertanggung jawab atas pengendalian internal.

Batasan Otoritas
Otoritas dibatasi seperlunya sehingga:
a. Delegasi terjadi hanya sejauh yang diperlukan untuk mencapai tujuan entitas
b. Pengambilan keputusan didasarkan pada praktik yang baik untuk mengidentifikasi dan
menilai risiko
c. Tugas dipisahkan untuk mengurangi risiko perilaku yang tidak pantas dalam mengejar
tujuan, dan diperlukan pengecekan dan keseimbangan dari level tertinggi ke level
terendah organisasi
d. Teknologi dimanfaatkan sebagaimana mestinya untuk memfasilitasi definisi dan
pembatasan peran dan tanggung jawab dalam alur kerja proses bisnis
e. Penyedia layanan pihak ketiga yang ditugaskan untuk melakukan kegiatan atas nama
suatu entitas

Kebijakan dan Praktek

Kebijakan dan praktik adalah pedoman dan perilaku tingkat entitas yang mencerminkan harapan
dan persyaratan investor, regulator, dan pemangku kepentingan lainnya. Kebijakan dan praktik
tersebut memberikan:
• Persyaratan dan alasan
• Keterampilan dan perilaku yang diperlukan untuk mendukung kontrol internal dalam
pencapaian tujuan entitas
• Akuntabilitas yang ditentukan untuk kinerja fungsi-fungsi bisnis utama
• Dasar untuk mengevaluasi kekurangan dan mendefinisikan tindakan perbaikan,
sebagaimana diperlukan
• Cara untuk bereaksi secara dinamis terhadap perubahan

Komitmen terhadap Kompetensi

Kompetensi adalah kualifikasi untuk melaksanakan tanggung jawab yang ditugaskan. Organisasi
menetapkan persyaratan kompetensi yang diperlukan untuk mendukung pencapaian tujuan,
dengan mempertimbangkan, misalnya:
a. Pengetahuan, keterampilan, dan pengalaman yang dibutuhkan
b. Sifat dan tingkat penilaian dan batasan wewenang untuk diterapkan pada posisi tertentu
c. Analisis biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman

Menarik, Mengembangkan, dan Mempertahankan Individu

Manajemen di berbagai tingkatan menetapkan struktur, dan proses untuk:
• Menarik
• Melatih
• Mentor
• Mengevaluasi
• Retain

Merencanakan dan Mempersiapkan Suksesi

Akuntabilitas untuk Kontrol Internal
Akuntabilitas mengacu pada kepemilikan yang didelegasikan untuk kinerja pengendalian internal
dalam mengejar tujuan mengingat risiko yang dihadapi oleh entitas. Akuntabilitas untuk
pengendalian internal ditunjukkan dalam setiap bentuk struktur organisasi yang digunakan oleh
entitas.

Ukuran, Insentif, dan Penghargaan Kinerja

Ukuran kinerja ditinjau secara berkala untuk relevansi dan kecukupan yang berkelanjutan terkait
dengan insentif dan penghargaan. Jika perlu, faktor internal atau eksternal disesuaikan dengan
tujuan dan harapan lain dari manajemen, personel, dan penyedia luar.

Tekanan
Tekanan-tekanan ini yang selanjutnya dipengaruhi oleh lingkungan internal atau eksternal dapat
secara positif memotivasi individu untuk memenuhi harapan perilaku dan kinerja, baik dalam
jangka pendek maupun jangka panjang. Tekanan berlebihan biasanya dikaitkan dengan:
• Target kinerja yang tidak realistis, terutama untuk hasil jangka pendek
• Sasaran yang bertentangan dari berbagai pemangku kepentingan
 • Ketidakseimbangan antara imbalan untuk kinerja keuangan jangka pendek dan imbalan
untuk pemangku kepentingan yang berfokus jangka panjang, seperti tujuan keberlanjutan
perusahaan

Evaluasi Kinerja dan Hadiah

Kinerja diukur dalam kaitannya dengan pencapaian tujuan dan kemampuan untuk mengelola
dalam tingkat toleransi risiko dengan mempertimbangkan jangka pendek dan panjang. Dengan
demikian, ia mempertimbangkan risiko historis (retrospektif) dan berwawasan ke depan
(prospektif).

Toleransi resiko
Toleransi risiko adalah tingkat variasi kinerja yang dapat diterima relatif terhadap pencapaian
tujuan. Selain itu, manajemen senior mempertimbangkan kepentingan relatif dari tujuan yang
bersaing dan prioritas yang berbeda untuk mencapai tujuan ini. Ukuran kinerja digunakan untuk
membantu entitas beroperasi dalam toleransi risiko yang ditetapkan. Dalam mempertimbangkan
kesesuaian tujuan, manajemen dapat mempertimbangkan hal-hal seperti:
• Penyelarasan antara tujuan yang ditetapkan dan prioritas strategis
• Artikulasi toleransi risiko untuk tujuan
• Penyelarasan antara tujuan yang ditetapkan dan hukum, aturan, peraturan, dan standar
yang ditetapkan yang berlaku untuk entitas
• Artikulasi tujuan menggunakan istilah yang spesifik, terukur atau dapat diamati, dapat
dicapai, relevan, dan terikat waktu
• Cascading tujuan di seluruh entitas dan subunitnya
• Penyelarasan tujuan dengan keadaan lain yang membutuhkan fokus khusus oleh entitas
• Menyetujui tujuan dalam proses penetapan tujuan

Pilihan Manajemen
Tujuan operasi mencerminkan pilihan manajemen dalam lingkungan bisnis, industri, dan
ekonomi tertentu di mana entitas berfungsi. Sebagai bagian dari tujuan operasi, manajemen juga
menentukan toleransi risiko yang ditetapkan selama proses penetapan tujuan. Untuk sasaran
operasi, toleransi risiko dapat dinyatakan dalam kaitannya dengan tingkat variasi yang dapat
diterima relatif terhadap sasaran.

Tujuan dan Sumber Daya

Tujuan Pelaporan Tujuan pelaporan berkaitan dengan persiapan laporan yang mencakup
keandalan, ketepatan waktu, transparansi, atau persyaratan lain yang ditetapkan oleh regulator,
badan penetapan standar, atau oleh kebijakan entitas. Kategori ini mencakup pelaporan keuangan
eksternal, pelaporan non-keuangan eksternal, pelaporan keuangan internal, dan pelaporan non-
keuangan internal. Tujuan pelaporan eksternal didorong terutama oleh undang-undang,
peraturan, regulasi, dan standar yang ditetapkan oleh pemerintah, regulator, badan penetapan
standar, dan badan akuntansi. Tujuan pelaporan internal didorong oleh arahan strategis entitas,
dan dengan melaporkan persyaratan dan harapan yang ditetapkan oleh manajemen dan dewan
direksi.
Tujuan Pelaporan Keuangan Eksternal
Sesuai dengan Standar Akuntansi
a. Laporan keuangan untuk tujuan eksternal disusun sesuai dengan standar, peraturan, dan
peraturan akuntansi yang berlaku. Laporan keuangan ini mencakup laporan keuangan
tahunan dan interim, laporan keuangan ringkas, dan informasi keuangan pilihan yang
berasal dari laporan keuangan tersebut.
b. Laporan / laporan keuangan lainnya dapat disusun sesuai dengan dasar akuntansi
komprehensif lainnya dan biasanya didorong oleh otoritas perpajakan, lembaga
pemerintah, atau oleh persyaratan yang ditetapkan melalui kontrak dan perjanjian.
c. Tujuan pelaporan keuangan eksternal yang berkaitan dengan informasi keuangan lainnya
mungkin tidak didorong langsung oleh pembuat standar dan regulator, tetapi biasanya
diharapkan oleh para pemangku kepentingan untuk menyelaraskan dengan standar dan
peraturan tersebut.
Karakteristik Kualitatif
Karakteristik mendasar mengacu pada relevansi dan representasi yang setia, sebagai berikut:
• Relevansi — informasi yang mampu membuat perbedaan dalam keputusan pengguna
• Representasi Setia — informasi yang lengkap, netral, dan bebas dari kesalahan
Meningkatkan karakteristik mengacu pada komparabilitas, dapat diverifikasi, ketepatan waktu,
dan dapat dimengerti, sebagai berikut:
• Dapat diperbandingkan
• Dapat diverifikasi
• Ketepatan waktu
• Dapat dimengerti

Tujuan Pelaporan Non-Keuangan Eksternal

Sesuai dengan Standar dan Kerangka Kerja
Manajemen juga dapat melaporkan informasi yang konsisten secara eksternal dengan standar
atau kerangka kerja eksternal non-keuangan.

Mempertimbangkan Presisi dan Mencerminkan Aktivitas

Seperti jenis pelaporan lainnya, pelaporan internal:
a. Menggunakan kriteria yang ditetapkan oleh pihak ketiga dan sebagaimana diatur dalam
standar atau kerangka kerja eksternal, yang sesuai
b. Mengklasifikasikan dan merangkum informasi dengan cara yang masuk akal dan pada
tingkat detail yang sesuai sehingga tidak terlalu terperinci atau terlalu kental
c. Mencerminkan aktivitas entitas yang mendasarinya
d. Menyajikan transaksi dan acara dalam tingkat presisi dan akurasi yang diperlukan yang
sesuai dengan kebutuhan pengguna

Tujuan Kepatuhan
Entitas harus melakukan aktivitasnya, dan sering mengambil tindakan spesifik, sesuai dengan
hukum dan peraturan yang berlaku. Sebagai bagian dari menentukan tujuan kepatuhan,
organisasi perlu memahami hukum dan peraturan mana yang berlaku di seluruh entitas.

Mengidentifikasi dan menganalisis risiko adalah proses berulang yang berkelanjutan yang
dilakukan untuk meningkatkan kemampuan entitas untuk mencapai tujuannya. Meskipun suatu
entitas mungkin tidak secara eksplisit menyatakan semua tujuan, ini tidak berarti bahwa tujuan
yang tersirat adalah tanpa risiko internal atau eksternal. Manajemen mempertimbangkan risiko di
semua tingkatan entitas dan mengambil tindakan yang diperlukan untuk merespons.

Identifikasi resiko
Identifikasi risiko harus komprehensif. Lebih lanjut, risiko yang terkait terutama dengan satu
kategori tujuan dapat memengaruhi tujuan di kategori lain. Identifikasi risiko adalah proses
berulang dan seringkali terintegrasi dengan proses perencanaan. Fokusnya adalah
mengidentifikasi semua risiko yang berpotensi berdampak pada pencapaian tujuan serta risiko
yang muncul — risiko yang semakin relevan dan penting bagi entitas dan yang dapat diatasi
dengan memindai dan menganalisis faktor risiko yang relevan, sejauh mungkin terlihat.

Risiko Tingkat Entitas Risiko pada tingkat entitas dapat timbul dari faktor eksternal atau internal.
Faktor eksternal dapat meliputi:
a. Ekonomi — Perubahan yang dapat memengaruhi pembiayaan, ketersediaan modal, dan
hambatan untuk masuk secara kompetitif
b. Lingkungan Alami — Bencana alam atau yang disebabkan oleh manusia atau perubahan
iklim yang berkelanjutan yang dapat menyebabkan perubahan dalam operasi,
berkurangnya ketersediaan bahan baku, atau hilangnya sistem informasi, menyoroti
perlunya perencanaan kontinjensi
c. Regulasi — Standar pelaporan keuangan baru yang dapat mensyaratkan pelaporan yang
berbeda atau tambahan oleh badan hukum, model operasi manajemen, atau lini bisnis;
undang-undang atau peraturan anti-trust baru yang dapat memaksa perubahan dalam
kebijakan dan strategi operasi atau pelaporan
d. Operasi Asing — Perubahan dalam pemerintahan negara asing yang beroperasi yang
dapat menghasilkan undang-undang dan peraturan baru atau mengubah rezim pajak
e. Sosial — Mengubah kebutuhan atau harapan pelanggan yang dapat memengaruhi
pengembangan produk, proses produksi, layanan pelanggan, harga, atau garansi
f. Teknologi — Perkembangan yang dapat memengaruhi ketersediaan dan penggunaan
data, biaya infrastruktur, dan permintaan akan layanan berbasis teknologi
Faktor internal meliputi:
a. Infrastruktur — Keputusan tentang penggunaan sumber daya modal yang dapat
memengaruhi operasi dan ketersediaan infrastruktur yang berkelanjutan
b. Struktur Manajemen — Perubahan dalam tanggung jawab manajemen yang dapat
memengaruhi cara kontrol tertentu dilakukan
c. Personel — Kualitas personel yang dipekerjakan dan metode pelatihan dan motivasi yang
dapat memengaruhi tingkat kesadaran pengendalian di dalam entitas; berakhirnya
perjanjian kerja yang dapat mempengaruhi ketersediaan staf
d. Akses ke Aset — Sifat aktivitas entitas dan aksesibilitas karyawan ke aset yang dapat
berkontribusi pada penyalahgunaan sumber daya
e. Teknologi — Gangguan dalam pemrosesan sistem informasi yang dapat berdampak
buruk pada operasi entitas

Analisis resiko
Signifikansi Risiko Sebagai bagian dari analisis risiko, organisasi menilai signifikansi risiko
terhadap pencapaian tujuan dan sub-tujuan. Organisasi dapat menilai signifikansi menggunakan
kriteria seperti:
• Kemungkinan terjadinya risiko dan dampak
• Kecepatan atau kecepatan untuk berdampak pada terjadinya risiko
• Kegigihan atau lamanya waktu dampak setelah terjadinya risiko

Perkiraan signifikansi risiko sering ditentukan dengan menggunakan data dari peristiwa masa
lalu, yang memberikan dasar yang lebih objektif daripada perkiraan subjektif sepenuhnya. Selain
itu, manajemen mungkin ingin menilai risiko menggunakan horizon waktu yang konsisten
dengan horizon waktu dari tujuan terkait. Karena tujuan banyak entitas berfokus pada jangka
pendek hingga menengah, manajemen menganalisis risiko yang terkait dengan kerangka waktu
tersebut. Manajemen Risiko Inheren dan Sisa mempertimbangkan risiko inheren dan residual.
Risiko yang melekat adalah risiko terhadap suatu entitas tanpa adanya tindakan yang mungkin
diambil manajemen untuk mengubah kemungkinan atau dampak risiko tersebut. Risiko residual
adalah risiko yang tersisa setelah respons manajemen terhadap risiko inheren. Analisis risiko
diterapkan pertama kali pada risiko inheren. Setelah respons risiko dikembangkan, seperti
dibahas di bawah, manajemen kemudian mempertimbangkan risiko residual. Menilai risiko yang
melekat di samping risiko residual dapat membantu organisasi dalam memahami sejauh mana
respons risiko diperlukan.

Respon Risiko
Respons risiko termasuk dalam kategori berikut:
a. Penerimaan — Tidak ada tindakan yang dilakukan untuk memengaruhi kemungkinan
atau dampak risiko.
b. Penghindaran — Keluar dari aktivitas yang menimbulkan risiko; mungkin melibatkan
keluar dari lini produk, penurunan ekspansi ke pasar geografis baru, atau menjual divisi.
c. Pengurangan — Tindakan diambil untuk mengurangi kemungkinan risiko atau dampak,
atau keduanya; biasanya melibatkan banyak sekali keputusan bisnis sehari-hari.
d. Berbagi — Mengurangi kemungkinan atau dampak risiko dengan mentransfer atau
berbagi sebagian risiko; teknik umum termasuk membeli produk asuransi, membentuk
usaha patungan, terlibat dalam transaksi lindung nilai, atau outsourcing kegiatan.
Dalam mempertimbangkan respons risiko, manajemen harus mempertimbangkan:
• Efek potensial pada signifikansi risiko dan opsi respons mana yang selaras dengan
toleransi risiko entitas
• Pemilahan tugas yang diperlukan untuk memungkinkan respons mencapai pengurangan
signifikansi yang dimaksudkan
• Biaya versus manfaat respons potensial

Jenis-Jenis Penipuan
Ketika menilai risiko terhadap pencapaian tujuan pelaporan keuangan eksternal, organisasi
biasanya mempertimbangkan potensi penipuan dalam bidang-bidang berikut:
a. Pelaporan Keuangan Eksternal Palsu - Tindakan disengaja yang dirancang untuk menipu
pengguna laporan keuangan eksternal dan yang menghasilkan salah saji material dalam
laporan keuangan tersebut
 b. Penyalahgunaan Aset — Pencurian aset entitas di mana efeknya menyebabkan salah saji
material dalam laporan keuangan eksternal
c. Tindakan Ilegal — Pelanggaran hukum atau peraturan pemerintah yang dapat berdampak
material langsung atau tidak langsung pada laporan keuangan eksternal.

Sebagai bagian dari proses penilaian risiko, entitas harus mengidentifikasi berbagai cara
terjadinya pelaporan penipuan, dengan mempertimbangkan:
• Tingkat estimasi dan penilaian dalam pelaporan eksternal
• Skema dan skenario penipuan yang umum untuk sektor industri dan pasar tempat entitas
beroperasi
• Wilayah geografis tempat entitas berbisnis
• Insentif yang dapat memotivasi perilaku penipuan
• Sifat teknologi
• Transaksi yang tidak biasa atau kompleks yang dipengaruhi oleh manajemen secara
signifikan
• Kerentanan terhadap penggantian manajemen dan skema potensial untuk menghindari
kegiatan kontrol yang ada

Terkait dengan pelaporan keuangan, salah saji dapat timbul dari kegagalan untuk mencatat
kehilangan aset, memanipulasi laporan keuangan untuk menyembunyikan kerugian tersebut, atau
mencatat transaksi di luar periode pelaporan yang sesuai. Melindungi Aset Melindungi aset
mengacu pada perlindungan terhadap akuisisi, penggunaan, atau pembuangan aset yang tidak sah
dan disengaja.

Korupsi Selain menilai risiko yang berkaitan dengan pengamanan aset dan pelaporan penipuan,
manajemen mempertimbangkan kemungkinan korupsi yang terjadi dalam entitas. Korupsi
umumnya relevan dengan kategori tujuan kepatuhan tetapi sangat bisa mempengaruhi
lingkungan pengendalian yang juga mempengaruhi tujuan pelaporan keuangan eksternal entitas.
Dalam menilai kemungkinan korupsi, entitas tidak diharapkan untuk secara langsung mengelola
tindakan personel dalam organisasi pihak ketiga, termasuk yang terkait dengan operasi
outsourcing, pelanggan, pemasok, atau penasihat.

Manajemen Override Manajemen override menggambarkan tindakan yang diambil untuk

menimpa kontrol entitas untuk tujuan yang tidak sah termasuk keuntungan pribadi atau
presentasi yang ditingkatkan dari kondisi keuangan atau status kepatuhan entitas. Override
manajemen tidak boleh disamakan dengan intervensi manajemen, yang mewakili tindakan yang
menyimpang dari kontrol yang dirancang untuk tujuan yang sah. Kadang-kadang, intervensi
manajemen diperlukan untuk menangani transaksi atau peristiwa yang tidak berulang dan tidak
standar yang jika tidak ditangani mungkin tidak tepat.

Faktor-Faktor Yang Mempengaruhi Risiko Kecurangan

kemungkinan hilangnya aset atau pelaporan eksternal palsu meningkat ketika ada:
 Struktur organisasi yang kompleks atau tidak stabil
 Tingkat pergantian karyawan yang tinggi dalam bidang akuntansi, operasi, manajemen
risiko, audit internal, atau staf teknologi
 Desain yang tidak efektif atau kegiatan kontrol yang dijalankan dengan buruk
  Sistem teknologi yang tidak efektif
Sikap dan Rasionalisasi Sikap dan rasionalisasi oleh individu yang terlibat atau membenarkan
tindakan yang tidak pantas dapat meliputi:
• Seseorang memberi label penggunaan sumber daya sebagai pinjaman, dan sepenuhnya
berniat untuk mengembalikan uang yang dicuri pada suatu saat
• Seseorang yang percaya bahwa ada sesuatu yang berhutang kepadanya karena ketidakpuasan
kerja
• Seseorang yang tidak memahami atau tidak peduli tentang konsekuensi dari tindakannya
atau gagasan kesopanan dan kepercayaan yang diterima

Pertimbangan Lainnya dalam Penilaian Risiko Penipuan

Ketika manajemen mendeteksi pelaporan penipuan, pengamanan aset yang tidak memadai, atau
korupsi, beberapa bentuk perbaikan mungkin diperlukan. Selain berurusan langsung dengan
tindakan yang tidak patut, mungkin perlu mengambil langkah-langkah perbaikan dalam proses
penilaian risiko atau mengubah tindakan yang dilakukan sebagai bagian dari komponen lain dari
kontrol internal.

Menilai Perubahan
Kontrol internal yang efektif dalam satu set kondisi mungkin belum tentu efektif ketika kondisi
tersebut berubah secara signifikan. Sebagai bagian dari penilaian risiko, manajemen
mengidentifikasi perubahan yang dapat berdampak signifikan terhadap sistem pengendalian
internal entitas dan mengambil tindakan seperlunya. Manajemen mengembangkan pendekatan
untuk mengidentifikasi perubahan signifikan dalam asumsi atau kondisi material apa pun yang
telah terjadi atau akan segera terjadi.
a. Lingkungan Eksternal
• Mengubah Lingkungan Eksternal
• Mengubah Lingkungan Fisik
b. Model Bisnis
• Mengubah Model Bisnis
• Akuisisi dan Divestasi yang Signifikan
• Operasi Asing
• Pertumbuhan yang Cepat
• Teknologi Baru
c. Perubahan Kepemimpinan
• Perubahan Personil yang Signifikan