Nama : Bonifasius Ricardo Epu

NIM : 041711333241

RMK INTERNAL AUDIT

INTERNAL CONTROL

 Kerangka kerja adalah kumpulan prinsip panduan yang membentuk templat yang
dengannya organisasi dapat mengevaluasi banyak praktik bisnis. Prinsip-prinsip
ini terdiri dari berbagai konsep, nilai, asumsi, dan praktik yang dimaksudkan
untuk memberikan tolak ukur di mana organisasi dapat menilai atau mengevaluasi
struktur, proses, atau lingkungan tertentu, atau sekelompok praktik atau prosedur.
Saat ini hanya ada tiga kerangka kerja pengendalian internal yang diakui secara
global oleh manajemen, akuntan / auditor luar independen, dan audit internal
profesional:
 Internal Control – Integrated Framework oleh COSO
 Guidance on Control, Guidance on Risk Management (CoCo) oleh The
Canadian Institute of Chartered Accountants (CICA)
 Internal Control and Related Financial and Business Reporting oleh
Financial Reporting Council (FRC)
 COBIT 5 oleh IT Governance Institute menjadi pelengkap untuk
menjadi panduan dalam menilai tata kelola Teknologi Informasi
dengan baik
 COSO mendefinisikan pengendalian internal sebagai proses, yang dilakukan oleh
dewan direksi, manajemen, dan personel lain dari suatu entitas, yang dirancang
untuk memberikan jaminan yang wajar mengenai pencapaian tujuan yang
berkaitan dengan operasi, pelaporan, dan kepatuhan.
 Definisi oleh COSO menekankan bahwa pengendalian internal:
 Ditujukan untuk pencapaian tujuan dalam satu atau lebih kategori-
operasi yang terpisah namun tumpang tindih, pelaporan, dan
kepatuhan.
 Suatu proses yang terdiri dari tugas dan kegiatan yang sedang
berlangsung – sarana untuk mencapai tujuan, bukan tujuan itu sendiri.
 Dipengaruhi oleh orang-orang, bukan hanya tentang kebijakan,
prosedur manual, sistem, dan bentuk, tetapi tentang orang-orang dan
tindakan yang mereka lakukan di setiap tingkat organisasi untuk
melakukan pengendalian internal.
  Mampu memberikan jaminan yang masuk akal, tetapi bukan
jaminan absolut, kepada manajemen senior dan dewan direksi suatu
entitas.
 Dapat beradaptasi dengan struktur entitas sehingga fleksibel dalam
aplikasi untuk seluruh entitas atau untuk anak perusahaan tertentu,
divisi, unit operasi, atau proses bisnis.
 COSO mendefinisikan objektif sebagai sesuatu yang berusaha dicapai oleh suatu
entitas, komponen, dan prinsip. Tiga kategori tujuan atau onjektif yang ditetapkan
dalam kerangka kerja COSO adalah:
 Tujuan Operasi: Ini berkaitan dengan efektivitas dan efisiensi operasi
entitas, termasuk tujuan kinerja operasional dan keuangan, dan
menjaga aset terhadap kerugian.
 Tujuan Pelaporan: Ini berkaitan dengan pelaporan keuangan dan non-
keuangan internal dan eksternal dan dapat mencakup keandalan,
ketepatan waktu, transparansi, atau ketentuan lain yang ditetapkan oleh
regulator, pembuat standar, atau kebijakan entitas.
 Tujuan Kepatuhan: Ini berkaitan dengan kepatuhan terhadap hukum
dan peraturan yang menjadi subjek entitas.
 COSO mengindikasikan bahwa untuk mendukung organisasi dalam upayanya
mencapai tujuan, terdapat lima komponen pengendalian internal, yaitu:
 Lingkungan Pengendalian
 Penilaian Risiko
 Aktivitas Pengendalian
 Informasi dan Komunikasi
 Kegiatan Pemantauan
 Lingkungan pengendalian terdiri dari:
 nilai-nilai integritas dan etika organisasi
 parameter yang memungkinkan dewan direksi untuk melaksanakan
tanggung jawab pengawasan tata kelola
 struktur organisasi dan penugasan wewenang dan tanggung jawab
 proses untuk menarik, mengembangkan, dan mempertahankan individu
yang kompeten
 kekakuan dalam ukuran kinerja, insentif, dan penghargaan untuk
mendorong akuntabilitas atas kinerja
 Penilaian risiko melibatkan proses yang dinamis dan berulang untuk
mengidentifikasi dan menilai risiko untuk pencapaian tujuan. Risiko terhadap
pencapaian tujuan-tujuan ini dari seluruh entitas dianggap relatif terhadap tingkat
toleransi yang ditetapkan. Dengan demikian, penilaian risiko menjadi dasar untuk
menentukan pengelolaan risiko.
 Aktivitas pengendalian adalah tindakan yang diambil oleh manajemen, dewan,
dan pihak lain untuk mengurangi risiko dan meningkatkan kemungkinan tujuan
dan sasaran yang ditetapkan akan tercapai. Ada banyak kegiatan pengendalian
yang diakui secara umum yang hadir dalam sistem pengendalian internal yang
dirancang dengan baik, yaitu:
 Ulasan kinerja dan kegiatan tindak lanjut
 Otorisasi (persetujuan)
 Kegiatan pengendalian akses TI
 Dokumentasi (teliti dan komprehensif)
 Kegiatan pengendalian akses fisik
 Aplikasi pengendalian aktivitas IT (input, pemrosesan, output)
 Verifikasi dan rekonsiliasi independen
 Informasi yang relevan, akurat, dan tepat waktu harus tersedia untuk individu di
semua tingkatan organisasi yang membutuhkan informasi tersebut untuk
menjalankan bisnis secara efektif. Informasi harus diberikan kepada personel
tertentu yang sesuai untuk mendukung pencapaian tanggung jawab pengoperasian,
pelaporan, dan kepatuhan mereka.
 Kegiatan pemantauan paling efektif ketika pendekatan berlapis diterapkan.
Lapisan pertama mencakup aktivitas sehari-hari yang dilakukan oleh manajemen
area tertentu. Lapisan kedua adalah evaluasi terpisah (non-independen) dari
pengendalian internal area yang dilakukan oleh manajemen secara teratur untuk
memastikan bahwa setiap kekurangan yang ada diidentifikasi dan diselesaikan
tepat waktu. Lapisan ketiga adalah penilaian independen oleh area atau fungsi
luar, seringkali fungsi audit internal, dilakukan untuk memvalidasi hasil
(keakuratan dan keandalan) penilaian diri manajemen terhadap efektivitas
pengendalian di area mereka.
 Evaluasi terpisah memberikan pandangan tambahan pada sistem pengendalian
internal, menangkap masalah yang mungkin terlewatkan selama kegiatan
pemantauan yang sedang berlangsung, dan mengevaluasi efektivitas kegiatan
 pemantauan yang sedang berlangsung yang tertanam dalam kegiatan sehari-hari di
daerah tersebut.
 Selain lima komponen yang telah disebutkan sebelumnya, COSO juga
mendefinisikan 17 prinsip yang mewakili konsep dasar yang terkait dengan
masing-masing komponen pengendalian internal. Penjelasannya adalah sebagai
berikut:
 Lingkungan Pengendalian
 Organisasi menunjukkan komitmen terhadap integritas dan
nilai-nilai etika.
 Dewan direksi menunjukkan independensi dari manajemen
dan melakukan pengawasan terhadap pengembangan dan
kinerja pengendalian internal.
 Manajemen menetapkan, dengan pengawasan dewan,
struktur, jalur pelaporan, dan otoritas dan tanggung jawab
yang tepat dalam mengejar tujuan.
 Organisasi menunjukkan komitmen untuk menarik,
mengembangkan, dan mempertahankan individu yang
kompeten sesuai dengan tujuan.
 Organisasi meminta pertanggungjawaban individu atas
pengendalian internal mereka dalam mengejar tujuan.
 Penilaian Risiko
 Organisasi menetapkan tujuan dengan kejelasan yang cukup
untuk memungkinkan identifikasi dan penilaian risiko yang
berkaitan dengan tujuan.
 Organisasi mengidentifikasi risiko dengan pencapaian
tujuannya di seluruh entitas dan menganalisis risiko sebagai
dasar untuk menentukan bagaimana risiko harus dikelola.
 Organisasi mempertimbangkan potensi kecurangan dalam
menilai risiko untuk pencapaian tujuan.
 Organisasi mengidentifikasi dan menilai perubahan yang
dapat berdampak signifikan terhadap sistem pengendalian
internal.
 Aktivitas Pengendalian
  Organisasi memilih dan mengembangkan kegiatan
pengendalian yang berkontribusi pada mitigasi risiko
terhadap pencapaian tujuan ke tingkat yang dapat diterima.
 Organisasi memilih dan mengembangkan kegiatan
pengendalian umum atas teknologi untuk mendukung
pencapaian tujuan.
 Organisasi menyebarkan kegiatan pengendalian melalui
kebijakan yang menetapkan apa yang diharapkan dan
prosedur yang menerapkan kebijakan.
 Informasi dan Komunikasi
 Organisasi memperoleh atau menghasilkan dan
menggunakan informasi yang relevan dan berkualitas untuk
mendukung berfungsinya komponen-komponen lain dari
pengendalian internal.
 Organisasi mengomunikasikan informasi secara internal,
termasuk tujuan dan tanggung jawab untuk pengendalian
internal, yang diperlukan untuk mendukung berfungsinya
komponen-komponen lain dari pengendalian internal.
 Organisasi berkomunikasi dengan pihak luar mengenai hal-
hal yang mempengaruhi fungsi pengendalian internal.
 Pemantauan
 Organisasi memilih, mengembangkan, dan melakukan
evaluasi yang sedang berlangsung dan / atau terpisah untuk
memastikan apakah komponen-komponen pengendalian
internal ada dan berfungsi.
 Organisasi mengevaluasi dan mengkomunikasikan
kekurangan pengendalian internal pada waktu yang tepat
kepada pihak-pihak yang bertanggung jawab untuk
mengambil tindakan korektif, termasuk manajemen senior
dan dewan direksi, sebagaimana diperlukan.
 Pada pengendalian internal, pihak-pihak berikut memiliki tanggung jawab
tersendiri. Penjelasannnya adalah sebagai berikut:
 Chief Executive Officer (CEO) memikul tanggung jawab utama untuk
sistem pengendalian internal. “Nada di atas” (seberapa etis atau
 seberapa besar integritas suatu organisasi) ditetapkan oleh CEO dan
bergulir dari sana ke manajemen senior, manajemen lini, dan pada
akhirnya ke semua individu dalam suatu organisasi.
 Dewan direksi mengawasi manajemen, memberikan arahan mengenai
pengendalian internal, dan pada akhirnya memiliki tanggung jawab
untuk mengawasi sistem pengendalian internal.
 Fungsi audit internal memberikan jaminan yang masuk akal bahwa
sistem pengendalian internal dirancang secara memadai dan beroperasi
secara efektif, meningkatkan kemungkinan tujuan dan sasaran bisnis
organisasi akan tercapai.
 Hampir semua karyawan menghasilkan informasi yang digunakan
dalam sistem pengendalian internal atau mengambil tindakan lain yang
diperlukan untuk melakukan pengendalian. COSO juga dengan jelas
menunjukkan bahwa semua karyawan memikul tanggung jawab untuk
mengomunikasikan masalah dalam operasi, pelanggaran kode etik,
atau pelanggaran kebijakan lainnya atau aktivitas ilegal kepada
manajemen atau badan lain yang sesuai.
 Auditor luar yang independen berkontribusi independensi dan
obyektivitas melalui pendapat mereka yang meliputi kewajaran laporan
keuangan dan efektivitas pengendalian internal atas pelaporan
keuangan.
 Penilaian buruk, keputusan, atau peristiwa eksternal yang dapat menyebabkan
organisasi gagal mencapai tujuan operasionalnya. Hal tersebut tidak dapat dijamin
secara penuh oleh sistem pengendalian internal. Contoh keterbatasan yang
melekat pada pengendalian internal adalah kesesuaian tujuan yang ditetapkan
sebagai prasyarat untuk pengendalian internal dan kenyataan bahwa penilaian
manusia dalam pengambilan keputusan dapat salah dan tunduk pada bias.
 Ada tiga jenis pembagian risiko dalam pengendalian internal:
 Risiko Inheren adalah kombinasi dari faktor-faktor risiko internal dan
eksternal dalam keadaan murni, tidak terkendali, atau risiko kotor yang
ada dengan asumsi tidak ada pengendalian internal yang ada.
 Risiko Terkendali adalah bagian dari risiko inheren yang dapat
dikurangi oleh manajemen melalui operasi sehari-hari dan aktivitas
manajemen.
  Risiko Sisa adalah bagian dari risiko inheren yang tersisa setelah
manajemen melaksanakan respons risikonya (kadang-kadang disebut
sebagai risiko bersih).
 Pengendalian internal juga dapat dilihat dari perspektif pihak lainnya, seperti
pihak manajemen dan auditor internal. Dari perspektif manajemen, pengendalian
internal mencakup sejumlah kegiatan yang dirancang untuk mengurangi risiko
atau memungkinkan peluang yang memengaruhi pencapaian tujuan organisasi.
Seperti manajemen, auditor internal melihat pengendalian internal dalam hal
perannya dalam pencapaian tujuan organisasi. Jika manajemen bertanggung jawab
atas sistem pengendalian internal itu sendiri, auditor internal ditugaskan untuk
memverifikasi secara independen bahwa kendali organisasi dirancang secara
memadai dan beroperasi secara efektif sesuai dengan keinginan manajemen.