BAB 3

Kerangka Kontrol Internal COSO

Eksekutif bisnis dan beberapa auditor internal mungkin bertanya, "Siapa atau apa itu COSO"? Ini
bukan persyaratan standar atau persyaratan tetapi hanya kerangka kerja. Dalam dunia bisnis kita
dari berbagai aturan dan regulasi yang memiliki persyaratan dari berbagai lembaga pemerintah dan
badan pengatur lainnya yang sering menggunakan akronim yang sulit diingat, mudah untuk
memutar mata kita atau mengangkat bahu kita pada akronim lain dan serangkaian persyaratan
lainnya. Kontrol internal COSO adalah kerangka kerja yang menjabarkan praktik profesional untuk
menetapkan sistem dan proses bisnis pilihan yang mempromosikan kontrol internal yang efisien dan
efektif. Organisasi sponsor yang menerbitkan dan menerbitkan materi ini bukanlah lembaga
pemerintah atau jenis badan pengatur lainnya. Namun demikian, kerangka kerja pengendalian
internal COSO adalah seperangkat atau model bahan panduan penting yang harus diikuti oleh
perusahaan ketika mengembangkan proses, sistem, dan prosedur bisnis mereka serta dalam
membangun kepatuhan Sarbanes-Oxley Act (SOx). Pemahaman tentang kerangka kerja
pengendalian internal COSO adalah audit internal yang harus dipersyaratkan CBOK.

Kerangka kerja pengendalian internal COSO awalnya diluncurkan di Amerika Serikat pada tahun
1992, sekarang sudah lama. Ini adalah periode dari beberapa praktik bisnis penipuan yang signifikan
di Amerika Serikat dan di tempat lain yang mengungkapkan kebutuhan yang diakui dengan baik
untuk meningkatkan proses kontrol internal dan panduan prosedur. Kerangka kerja pengendalian
internal COSO 1992 ini segera menjadi elemen mendasar dari standar audit American Institute of
Certified Public Accountants (AICPA) di Amerika Serikat dan akhirnya menjadi standar untuk auditor
eksternal perusahaan dalam ulasan mereka yang menyatakan bahwa pengendalian internal
perusahaan memadai setelah SOx aturan yang dibahas dalam Bab 5. Karena sifat umumnya yang
menggambarkan praktik pengendalian internal yang baik, kerangka kerja COSO belum pernah
direvisi hingga 2014.

Sejak dirilisnya kerangka COSO yang asli itu, ada banyak perubahan dalam organisasi bisnis dan
khususnya dalam struktur perusahaan dan proses TI. Sebagai contoh, sistem komputer mainframe
dengan banyak prosedur pemrosesan batch adalah hal yang umum tetapi sekarang sudah tidak ada
lagi, untuk digantikan oleh client-server dan sistem nirkabel. Juga, World Wide Web hampir tidak
memulainya saat itu dan tidak sepopuler sekarang ini. Karena Internet, struktur organisasi
perusahaan menjadi jauh lebih cair, fleksibel, dan internasional. Selain itu, hal-hal seperti komputasi
jaringan sosial, perangkat genggam yang kuat, dan komputasi awan tidak ada saat itu.

Meskipun beberapa orang mungkin bertanya-tanya mengapa butuh waktu begitu lama, COSO
mengumumkan pada 2011 bahwa mereka sedang merevisi kerangka kerja pengendalian internal
mereka, dan deskripsi kerangka kerja pengendalian internal COSO yang telah direvisi akhirnya dirilis
pada pertengahan Mei 2014, dengan persyaratan kepatuhan penuh pada awalnya. 2015. Bab ini
pertama-tama akan membahas pentingnya konsep pengendalian internal dan kemudian akan
menjelaskan kerangka kerja pengendalian internal COSO yang baru direvisi dan bagaimana auditor
internal dapat menggunakannya untuk meningkatkan tinjauan pengendalian internal mereka.

3.1 Memahami Kontrol Internal

Di tahun-tahun yang lalu, eksekutif bisnis serta auditor internal dan eksternal memandang kontrol
internal sebagai salah satu konsep yang disetujui semua orang penting dalam bisnis, tetapi hanya
sedikit yang bisa mendefinisikannya secara konsisten. Bagian dari masalah adalah bahwa banyak
orang melihat kontrol internal dengan cara bagan organisasi klasik, dengan tingkat manajemen
senior dan menengah di beberapa unit operasinya atau dalam kegiatan yang berbeda. Pada setiap
tingkat, orang melihat kontrol internal dalam garis otoritas mereka sendiri. Namun, prosedur kontrol
seringkali agak berbeda di setiap level dan komponen organisasi ini. Sebagai contoh, satu unit dapat
beroperasi dalam lingkungan bisnis yang diatur di mana proses kontrolnya sangat terstruktur,
sedangkan unit divisi lain dari perusahaan inti yang sama mungkin merupakan operasi awal
wirausaha dengan struktur yang kurang formal. Tingkat manajemen yang berbeda di perusahaan-
perusahaan ini akan memiliki perspektif kepedulian kontrol yang berbeda. Pertanyaan "Bagaimana
Anda menggambarkan sistem kontrol internal Anda?" dapat menerima jawaban yang berbeda dari
orang-orang di berbagai tingkatan atau komponen di masing-masing unit organisasi perusahaan ini.

Seluruh masalah definisi pengendalian internal ini diselesaikan pada awal 1990-an ketika konsorsium
organisasi akuntansi dan audit profesional — AICPA, Institute of Internal Auditor (IIA), dan lainnya —
berkumpul untuk mengembangkan definisi umum tentang apa yang dimaksud dengan barang.
kontrol internal. Organisasi profesional ini menjadi Komite Organisasi Sponsoring (COSO) dan diberi
wewenang oleh organisasi pemerintah dan lainnya untuk mengembangkan definisi umum tentang
apa yang dimaksud dengan kontrol internal yang baik atau memadai. COSO mempekerjakan
PricewaterhouseCoopers, melakukan survei organisasi pengguna yang luas, dan memulai
pekerjaannya untuk mengembangkan definisi kontrol internal bersama.

Kerangka kerja pengendalian internal COSO yang asli, dirilis pada tahun 1992, memberikan deskripsi
yang sangat baik tentang konsep multidimensi ini, mendefinisikan kontrol internal sebagai berikut:

Kontrol internal adalah suatu proses, yang dilakukan oleh dewan direksi, manajemen, dan
personel lain dari suatu entitas, yang dirancang untuk memberikan jaminan yang masuk akal
mengenai pencapaian tujuan dalam kategori berikut:

 Efektivitas dan efisiensi operasi

 Keandalan pelaporan keuangan
 Kepatuhan terhadap hukum dan peraturan yang berlaku

Ini adalah definisi kontrol internal COSO, dan itu benar-benar tidak berubah sejak dirilis. COSO
awalnya menggunakan model tiga dimensi untuk menggambarkan sistem kontrol internal dalam
suatu perusahaan. Tampilan 3.1 menggambarkan model COSO asli dari kontrol internal sebagai
piramida dengan lima lapisan atau komponen yang saling berhubungan yang terdiri dari keseluruhan
sistem kontrol internal. Ini ditunjukkan dengan komponen yang disebut lingkungan kontrol yang
berfungsi sebagai fondasi untuk seluruh struktur. Empat dari komponen internal ini digambarkan
sebagai lapisan horisontal, dengan komponen lain dari kontrol internal, yang disebut komunikasi dan
informasi, bertindak sebagai saluran antarmuka untuk empat lapisan lainnya.

Model COSO dengan cepat diadopsi oleh profesi audit dan akuntansi, pertama di Amerika Serikat
dan kemudian di seluruh dunia. Itu menjadi sangat penting setelah Sarbanes-Oxley Act (SOx)
menjadi hukum. SOx mensyaratkan bahwa organisasi pelaporan publik harus membuktikan
kecukupan kontrol internal mereka, menggunakan kerangka kerja COSO sebagai ukuran.

Sementara konsep dasar pengendalian internal tidak banyak berubah sejak kerangka COSO pertama
kali dirilis bertahun-tahun yang lalu, lingkungan keseluruhan tempat bisnis beroperasi dan auditor
internal melakukan tinjauan mereka telah banyak berubah, termasuk beberapa di antaranya:
  Munculnya penggunaan layanan yang dikontrak, struktur organisasi baru, dan peningkatan
koneksi internasional. Sementara perusahaan monolitik tunggal, seperti Ford Motor sekitar
100 tahun yang lalu, sebagian besar adalah masa lalu, hubungan organisasi saat ini sering
semakin kompleks, dengan penggunaan layanan yang dikontrak, usaha patungan, dan
berbagai pengaturan bisnis internasional.
 Peningkatan persyaratan kepatuhan dan peraturan di luar pelaporan keuangan tahunan
saja. Perusahaan saat ini dihadapkan dengan berbagai persyaratan untuk membangun dan
mengelola sistem yang sesuai dengan berbagai standar dan persyaratan hukum dan
peraturan, baik di negara mereka sendiri maupun internasional.
 Pengakuan bahwa pencegahan dan deteksi penipuan diperlukan untuk kontrol internal yang
efektif. Di tahun-tahun yang lalu, deteksi penipuan dan langkah-langkah pencegahan tidak
dianggap sebagai masalah akuntansi dan audit tetapi masalah hukum dan keamanan
perusahaan. Masalah-masalah ini masih belum menjadi bagian dari kerangka kerja COSO
yang asli, tetapi sikap kami telah benar-benar berubah dalam beberapa tahun terakhir dan
auditor internal sekarang memiliki tanggung jawab utama untuk masalah yang berhubungan
dengan penipuan.
 Meningkatnya kebutuhan untuk memahami dan menilai risiko sebagai bagian dari operasi
pengendalian internal di semua tingkatan. Memahami dan mengelola risiko telah menjadi
persyaratan yang meningkat untuk auditor internal sejak kerangka kerja COSO yang asli.
Sementara kerangka kerja asli menyoroti pemahaman risiko sebagai komponen kontrol
internal, pemahaman dan keprihatinan kami di sini telah tumbuh secara dramatis.
 Perubahan konstan dalam teknologi IT dan cara kami menggunakan IT untuk membangun
dan mengelola proses. Jika ada area yang paling banyak berubah sejak kerangka COSO asli,
itu adalah pertumbuhan dan prevalensi proses dan teknologi yang terkait dengan IT.
 Kekhawatiran keamanan yang semakin meningkat, terutama keamanan TI di era big data
saat ini. Pada saat kerangka COSO asli, masalah keamanan perusahaan pada umumnya jauh
lebih sedikit dari masalah dan keamanan TI sering mewakili sedikit lebih dari kunci aman di
pintu pusat komputer mainframe. Bagaimana semuanya berubah! Campuran berbagai
ancaman berbasis Internet dan masalah terorisme umum di seluruh dunia telah memperluas
masalah pengendalian internal.
 Implikasi pengendalian internal terkait dengan media sosial dan sistem nirkabel. Ini adalah
area yang sama sekali baru dan berkembang sejak kerangka kerja COSO asli dirilis. Sistem
media sosial seperti Facebook sekarang memungkinkan rekan perusahaan dan orang lain
untuk berkeliling aturan perusahaan dan juga untuk berkomunikasi dengan perangkat
nirkabel genggam.

Item-item sebelumnya tidak termasuk semua tetapi menggambarkan beberapa perubahan terkait
kontrol internal yang berkembang selama beberapa tahun terakhir dan setelah rilis kerangka kerja
COSO pertama. Seiring waktu COSO telah menerbitkan beberapa bahan panduan tambahan untuk
mendukung dan memperjelas kerangka kerja pengendalian internal mereka, tetapi mereka tidak
merevisi kerangka kerja keseluruhan sampai yang lebih baru. Dorongan umum dari kerangka kerja
COSO yang telah direvisi adalah desain dan implementasi sistem pengendalian internal atas
pelaporan keuangan eksternal yang mendukung penyusunan laporan keuangan. Ini termasuk
luasnya entitas publik, swasta, nirlaba, dan pemerintah, yang semuanya memiliki persyaratan
pelaporan keuangan eksternal.
Auditor internal mungkin berpendapat, “Apa? Pelaporan keuangan eksternal? Saya seorang auditor
operasional, bukan CPA yang bekerja sebagai auditor eksternal; mengapa saya harus khawatir? " Ini
adalah asumsi yang keliru. Auditor eksternal, dorongan utama COSO, meninjau dan menilai kontrol
keuangan internal yang telah dipasang dalam sistem perusahaan, tetapi audit internal dan
manajemen perusahaan bertanggung jawab untuk memantau serta merancang dan menginstal
proses kontrol internal ini. Kerangka kerja pengendalian internal COSO sangat relevan di sini, dan
eksekutif bisnis serta auditor internal mereka, spesialis TI, staf keuangan dan akuntansi, dan lainnya
juga harus mengetahui dan memahami kerangka kerja pengendalian internal COSO. Semua harus
fokus pada lima prinsip dasar yang mendukung kontrol internal COSO perusahaan:

1. Organisasi harus menunjukkan komitmen terhadap integritas dan nilai-nilai etika.

2. Dewan direksi harus menunjukkan independensi dari manajemen dan melakukan
pengawasan terhadap pengembangan dan kinerja kontrol internal.
3. Manajemen harus menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan
otoritas serta tanggung jawab yang tepat dalam mengejar tujuan.
4. Organisasi harus menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten sesuai dengan tujuan.
5. Suatu organisasi harus meminta pertanggungjawaban individu atas tanggung jawab kontrol
internal mereka dalam mengejar tujuan.

Masing-masing prinsip ini adalah bagian dari kerangka kerja asli dan berlanjut dengan kerangka kerja
baru yang direvisi yang dijelaskan secara lebih rinci di bagian berikut. Seperti yang harus dilakukan
oleh CBOK, auditor internal harus selalu mengingat tiga komponen utama kontrol internal —
efektivitas dan efisiensi operasi, keandalan pelaporan keuangan, dan kepatuhan terhadap hukum
dan peraturan yang berlaku — untuk memberikan tiga dimensi pada model ini. Sama seperti struktur
piramida menunjukkan struktur kontrol internal sebagai lingkungan untuk semua proses kontrol
internal, pandangan ini menambah bobot yang sama untuk masing-masing dari ketiga komponen ini.
Model kontrol internal COSO yang telah direvisi dan komponennya untuk entitas dan aktivitas yang
terpisah dalam suatu perusahaan akan dibahas secara lebih rinci di bagian dan bab-bab lain berikut
ini.

3.2 Kerangka Kerja COSO yang Telah Direvisi Perubahan Lingkungan Bisnis dan Operasi

Penting untuk mengingat siapa atau apa COSO dan otoritas dari materi panduan yang dipublikasikan.
Seperti dibahas sebelumnya, COSO, atau Komite Organisasi Sponsoring Komisi Treadway, adalah
inisiatif bersama dari lima organisasi akuntansi, audit, dan keuangan profesional sektor swasta.
COSO didedikasikan untuk memberikan pemikiran kepemimpinan melalui pengembangan kerangka
kerja dan panduan tentang manajemen risiko perusahaan, pengendalian internal, dan pencegahan
penipuan. Poin penting di sini adalah bahwa COSO tidak memiliki wewenang untuk mengeluarkan
standar seperti yang ditemukan dalam peraturan pemerintah atau panduan organisasi profesional.
Sebaliknya, panduan ini, termasuk kerangka kendali internal COSO, hanya menguraikan pendekatan
atau praktik terbaik yang direkomendasikan yang harus diikuti oleh orang lain.

Konsep kerangka kerja COSO ini telah menjadi dasar entitas penetapan standar di bidang atau
persyaratan lain. Yang penting, Sarbanes-Oxley Act (SOx), yang dibahas pada Bab 5, mengharuskan
perusahaan untuk memiliki sistem kontrol internal yang efektif yang konsisten dengan kerangka
kerja pengendalian internal COSO. Sampai baru-baru ini, ketika suatu perusahaan membuktikan
bahwa kontrol internalnya sesuai dengan COSO, mereka membuktikan kerangka kerja COSO 1992
yang asli. Akibatnya, baik manajemen perusahaan dan auditor eksternal mereka yang berusaha
untuk membangun kepatuhan hukum SOx telah mengandalkan kerangka kerja COSO asli untuk
menegaskan kepatuhan hukum mereka. Perusahaan di semua tingkatan, dan tentunya auditor
internal, selalu mengingat konsep ini ketika membangun, mengimplementasikan, dan memantau
sistem dan proses kontrol internal mereka. Auditor internal harus menyadari bahwa semua program
dan proses audit yang ada sekarang harus mencerminkan kerangka kerja COSO yang direvisi.
Kerangka kerja pengendalian internal COSO yang baru dan materi panduan pendukungnya
mengandung perubahan dalam bidang-bidang berikut:

 Ekspektasi yang diperluas untuk pengawasan tata kelola. Meningkatkan persyaratan

peraturan dan harapan pemangku kepentingan membutuhkan dewan direksi untuk
meningkatkan penekanan mereka pada kecukupan kontrol keuangan internal di perusahaan
mereka.
 Peningkatan globalisasi pasar dan operasi. Perusahaan saat ini semakin berkembang di luar
pasar domestik tradisional mereka dalam mengejar nilai, seringkali memasuki pasar
internasional dan terlibat dalam merger dan akuisisi lintas batas.
 Perubahan dan kompleksitas yang lebih besar dalam operasi bisnis perusahaan. Perusahaan
mengubah model bisnis mereka dan melakukan transaksi kompleks dalam mengejar
pertumbuhan, kualitas yang lebih besar, atau produktivitas, serta sebagai respons terhadap
perubahan di pasar atau lingkungan peraturan. Perubahan-perubahan ini mungkin
melibatkan masuk ke dalam usaha patungan, aliansi strategis, atau pengaturan kompleks
lainnya dengan pihak eksternal, menerapkan layanan bersama, dan terlibat dengan
penyedia layanan outsourcing.
 Meningkatnya tuntutan dan kompleksitas dalam hukum, peraturan, regulasi, dan standar.
Otoritas pemerintah semakin merilis peraturan dan perundang-undangan yang kompleks di
mana kepatuhan seringkali sulit dicapai dan di mana peraturan ini tidak secara langsung
mengikuti pendekatan pengendalian internal klasik.
 Penggunaan dan ketergantungan yang terus meningkat pada teknologi yang berkembang.
Seperti yang telah kami soroti dalam pengantar kami untuk bab ini, pertumbuhan sistem TI
dan teknologi terkait telah sangat mengubah pendekatan kami untuk menerapkan dan
mengelola proses kontrol internal. Sistem TI saat ini semakin didasarkan pada kontrol
internal otomatis dan proses untuk membangun, menginstal, dan memantau kontrol
otomatis ini.
 Meningkatnya kebutuhan untuk mencegah dan mendeteksi korupsi. Undang-Undang Praktik
Korupsi Asing AS, yang diperkenalkan beberapa tahun yang lalu dan dibahas dalam Bab 2,
adalah contoh awal undang-undang untuk meningkatkan kontrol internal dan persyaratan
hukum lainnya. Saat ini, ada berbagai peraturan dan perundang-undangan anti korupsi dan
anti-penipuan yang berlaku, termasuk peraturan internasional dan sering berbeda di banyak
negara bagian A.S.

Setiap perubahan COSO ini mensyaratkan perusahaan untuk mengevaluasi implikasi ini pada sistem
pengendalian internalnya dengan penekanan pada pelaporan keuangan eksternalnya, dan untuk
merancang dan mengimplementasikan respons yang sesuai sehingga sistem pengendalian internal
beradaptasi dan tetap efektif seiring berjalannya waktu.

Auditor internal memiliki peran penting di sini dalam memahami dan mengevaluasi sistem kontrol
internal organisasi mereka. Sistem kontrol internal seperti itu tidak merujuk pada serangkaian
prosedur mandiri, seperti yang dapat ditemukan dalam aplikasi smartphone, tetapi keseluruhan
proses dan prosedur yang diperlukan untuk melakukan beberapa fungsi bisnis berkelanjutan yang
berkelanjutan. Contohnya mungkin proses yang diperlukan untuk mengevaluasi, memperoleh, dan
membeli barang-barang produksi. Banyak orang dan fungsi mungkin terlibat dalam proses
pembelian ini, tetapi harus dilakukan dengan kontrol internal yang konsisten dan memadai. Kontrol
internal tersebut harus dievaluasi dan dinilai sebagai bagian dari kerangka kerja kontrol internal
COSO mengikuti versi 1992 asli.

Untuk setiap perusahaan yang ada, yang sedang berjalan, auditor internal harus mengevaluasi dan
menilai pengendalian internal ini di area yang ditunjuk secara signifikan. Sekarang dengan kerangka
kendali internal COSO yang direvisi saat ini, auditor internal harus mengevaluasi apa yang telah
mereka lakukan di masa lalu dan membuat perubahan yang diperlukan untuk mematuhi kerangka
kerja COSO. Bagian berikut menjelaskan kerangka kerja pengendalian internal COSO yang telah
direvisi. Pengetahuan dan pemahaman di sini adalah persyaratan CBOK yang penting.

3.3 Kerangka Kontrol Internal COSO yang Direvisi

Selain tiga kategori obyektif pengendalian internal operasi, pelaporan, dan kepatuhan yang baru saja
dijelaskan, kerangka kerja COSO mendefinisikan kontrol internal dari dua dimensi atau perspektif
lain: komponen terpisah dari kontrol internal dan faktor organisasi. Tampak serupa tetapi sedikit
berbeda dari kerangka kendali internal COSO asli yang diperkenalkan pada tahun 1992, Gambar 3.2
menunjukkan kerangka kontrol internal COSO tiga dimensi yang telah direvisi.

Kami akan menggunakan hubungan kubus kontrol internal ini di sini dan di bab lain ke depan. Tiga
kategori tujuan pengendalian internal — operasi, pelaporan, dan kepatuhan — diwakili oleh kolom
yang ditentukan di bagian atas dalam diagram ini. Sisi depan dari diagram kubus COSO ini
mendefinisikan lima komponen utama atau level kontrol internal:

1. Lingkungan kontrol
2. Tugas beresiko
3. Kegiatan pengendalian internal
4. Informasi dan Komunikasi
5. Kegiatan pemantauan

Ini adalah area di mana ada banyak perubahan dalam kerangka kontrol internal COSO yang baru dan
telah direvisi. Masing-masing level aktivitas pengendalian internal ini atau komponen-komponen
utama akan diperkenalkan dan dibahas dalam bab-bab yang akan datang.

Ditunjukkan di sisi kanan model, struktur organisasi perusahaan adalah dimensi penting ketiga dari
pengendalian internal. Ini mewakili komponen terkait kontrol internal dari struktur organisasi secara
keseluruhan: entitas perusahaan itu sendiri, divisi, anak perusahaan, unit operasi, atau fungsi,
termasuk proses bisnis seperti penjualan, pembelian, produksi, dan pemasaran. Sebagai poin kunci
di sini, kita harus mengingat komponen entitas organisasi keseluruhan dimulai dengan keseluruhan
atau total perusahaan dan kemudian merinci ke semua unit bisnis dan komponen individu juga.
Beberapa aktivitas kontrol individu mungkin berbeda satu sama lain dalam beberapa detail operasi,
tetapi semuanya harus sesuai dengan lingkungan kontrol untuk entitas total.

Sebagai contoh, asumsikan bahwa perusahaan yang berbasis di Uni Eropa telah meluncurkan usaha
penjualan produk bisnis baru di Myanmar (Burma), sebuah negara yang telah tertutup bagi dunia
luar hingga baru-baru ini. Dengan sumber daya IT yang terbatas dan koneksi telekomunikasi, kita
dapat mengharapkan beberapa proses kontrol yang berbeda di fasilitas Myanmar daripada yang
dapat ditemukan dalam operasi kantor pusat entitas. Namun, proses tambahan — seperti
penggunaan prosedur kontrol manual pendukung — harus ditetapkan untuk mencapai kontrol
internal pada level entitas keseluruhan. Proses manual ini mungkin telah ditinggalkan.

Seluruh ide di balik model ini adalah bahwa kontrol internal untuk perusahaan saat ini bukan tujuan
kontrol tunggal tetapi konsep multilevel, beragam dengan masing-masing unit dalam model COSO
memiliki hubungan dengan komponen lain di ketiga dimensi. Manajemen perusahaan harus jelas
tentang tujuan pengendalian internalnya, seperti menentukan tujuan pelaporan eksternal yang
cocok terkait dengan penyusunan laporan keuangan. Beberapa tujuan ini dapat sangat spesifik
berdasarkan pada beberapa kegiatan bisnis yang direncanakan perusahaan. Yang lain harus
mendefinisikan tujuan yang dipahami dengan baik atau diasumsikan. Misalnya, manajemen dapat
menetapkan tujuan pelaporan keuangan eksternal tingkat entitas sebagai berikut: “Perusahaan kami
menyiapkan laporan keuangan yang dapat dipercaya yang mencerminkan aktivitas sesuai dengan
prinsip akuntansi yang diterima secara umum.” Ini mungkin telah diasumsikan oleh anggota tim
manajemen, tetapi ada nilai dalam mendefinisikan hal-hal seperti itu dengan jelas. Manajemen juga
harus menentukan sub-tujuan yang sesuai untuk divisi perusahaan, anak perusahaan, unit operasi,
dan fungsi dengan kejelasan yang cukup untuk mendukung tujuan tingkat entitas. Auditor internal
harus memahami kerangka kerja baru yang direvisi ini dan menggunakannya sebagai dasar untuk
tinjauan kontrol internal mereka.

3.4 Prinsip Kontrol Internal COSO

Selain elemen tiga dimensi, kerangka kerja COSO yang direvisi sekarang mengkodifikasi seperangkat
prinsip yang mendukung lima komponen kontrol internal. Sementara versi 1992 secara implisit
mencerminkan beberapa prinsip kontrol internal inti ini, versi revisi secara eksplisit mendefinisikan
17 prinsip kontrol internal yang mewakili konsep dasar yang terkait dengan 5 komponen kontrol
internal. COSO membuat prinsip-prinsip ini secara eksplisit untuk meningkatkan pemahaman
manajemen tentang apa yang merupakan kontrol internal yang efektif. Prinsip-prinsip ini diuraikan
dan dibahas dari perspektif auditor internal dalam Bab 4. Mereka adalah konsep luas yang
dimaksudkan untuk diterapkan pada berbagai perusahaan, termasuk untuk-laba dan nirlaba,
perdagangan publik dan swasta, baik badan pemerintah dan lainnya. organisasi.

Mendukung setiap prinsip COSO adalah titik fokus, mewakili karakteristik penting yang terkait
dengan masing-masing. Titik-titik fokus ini dimaksudkan untuk memberikan panduan bermanfaat
untuk membantu manajemen dalam merancang, melaksanakan, dan melakukan proses
pengendalian internal mereka dan dalam menilai apakah prinsip-prinsip yang relevan ada dan
berfungsi. Namun, kerangka kerja COSO yang direvisi tidak memerlukan evaluasi terpisah apakah
sudah ada. Manajemen memiliki kebebasan untuk melakukan penilaian dalam menentukan
kesesuaian atau relevansi dari titik-titik fokus yang disediakan dalam kerangka kerja COSO yang telah
direvisi ini dan dapat mengidentifikasi dan mempertimbangkan karakteristik penting lainnya sesuai
dengan prinsip tertentu berdasarkan pada kondisi spesifik perusahaan.

Secara keseluruhan, komponen-komponen kontrol internal COSO ini dan prinsip-prinsip COSO
merupakan kriteria dan titik fokus untuk memberikan panduan yang akan membantu manajemen
serta auditor internal dalam menilai apakah komponen-komponen kontrol internal ini ada,
berfungsi, dan beroperasi bersama dalam suatu perusahaan. Masing-masing titik fokus dipetakan
langsung di atas 17 prinsip, dan masing-masing juga dipetakan langsung ke salah satu dari lima
komponen kontrol internal. Konsep-konsep ini harus menjadi lebih jelas ketika kita membahas
kerangka kerja COSO secara lebih rinci di bagian-bagian berikut dan di Bab 4.
Kunci bagi auditor internal untuk memahami ketika menggunakan kerangka kerja COSO adalah
dengan mengingat sifat tiga dimensi kerangka kerja di mana setiap elemen kontrol internal, naik dan
turun dan di seberang sisi lain dari kubus COSO, harus dipertimbangkan dalam hal hubungannya
dengan komponen lain — mudah diucapkan tetapi seringkali sulit divisualisasikan ketika melakukan
dan mengembangkan tinjauan audit internal. Pada bagian berikut, kita akan melihat lima elemen
COSO di sisi depan yang berhadapan dengan kubus COSO. Kami kemudian akan menyimpulkan
dengan membalik kubus COSO tiga dimensi ini untuk melihat masalah audit internal dari perspektif
dimensi lainnya.

3.5 Komponen Kontrol Internal COSO: Lingkungan Kontrol

Sisi depan dari model kerangka kontrol internal COSO menunjukkan lima tingkat kategori kontrol
internal. Kategori tingkat atas disebut lingkungan kontrol — seperangkat standar, proses, dan
struktur yang memberikan dasar atau struktur untuk melakukan kegiatan pengendalian internal yang
efektif di seluruh perusahaan. Lingkungan kontrol mencakup tindakan dewan direksi dan
manajemen senior yang bertanggung jawab atas keseluruhan pengendalian internal dan standar
perilaku yang diharapkan. Lingkungan kontrol terdiri dari nilai-nilai integritas dan etika perusahaan;
parameter yang memungkinkan dewan direksi untuk melaksanakan tanggung jawab
pengawasannya; struktur organisasi dan penugasan wewenang dan tanggung jawab; proses untuk
menarik, mengembangkan, dan mempertahankan individu yang kompeten; dan kekakuan dalam
ukuran kinerja, insentif, dan penghargaan untuk mendorong akuntabilitas atas kinerja. Lingkungan
kontrol yang dihasilkan memiliki dampak luas pada keseluruhan sistem pengendalian internal.

Komponen lingkungan kontrol COSO dipengaruhi oleh berbagai faktor internal dan eksternal,
termasuk sejarah entitas, nilai-nilai, pasar, dan lanskap kompetitif dan peraturan. Ini didefinisikan
oleh standar, proses, dan struktur yang memandu orang di berbagai tingkatan dalam melaksanakan
tanggung jawab mereka untuk pengendalian internal dan membuat keputusan dalam mengejar
tujuan entitas. Lingkungan pengendalian yang efektif menciptakan disiplin yang mendukung
penilaian risiko yang diperlukan untuk pencapaian tujuan entitas, kinerja kegiatan pengendalian,
penggunaan sistem informasi dan komunikasi, dan pelaksanaan kegiatan pemantauan. Kerangka
kerja kontrol COSO memperkenalkan empat prinsip lingkungan pengendalian internal sebagaimana
dijelaskan selanjutnya dan dibahas lebih lanjut dalam Bab 4:

1. Suatu perusahaan harus menetapkan tujuan dengan kejelasan yang cukup untuk
memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan.
2. Perusahaan harus mengidentifikasi risiko terhadap pencapaian tujuannya di seluruh entitas
dan menganalisis risiko sebagai dasar untuk menentukan bagaimana mereka harus dikelola.
3. Organisasi harus mempertimbangkan potensi kecurangan dalam menilai risiko dengan
pencapaian tujuan.
4. Organisasi harus mengidentifikasi dan menilai perubahan yang secara signifikan dapat
berdampak pada sistem pengendalian internal.

Suatu perusahaan yang membangun dan memelihara lingkungan kontrol yang kuat memposisikan
dirinya untuk lebih tangguh dalam menghadapi tekanan internal dan eksternal yang selalu berubah.
Ini dilakukan dengan menunjukkan perilaku integritas dan nilai-nilai etika, proses dan struktur
pengawasan yang memadai, dan desain organisasi yang memungkinkan pencapaian tujuan entitas
dengan penugasan wewenang dan tanggung jawab yang tepat, tingkat kompetensi yang tinggi, dan
rasa akuntabilitas yang kuat untuk pencapaian tujuan. Baik dalam jangka pendek maupun jangka
panjang, proses lingkungan kontrol yang efektif harus memposisikan perusahaan dan elemen-
elemen utamanya agar lebih tangguh dalam menghadapi tekanan eksternal.

Lingkungan kontrol perusahaan juga identik dengan budaya kontrol internal. Elemen budaya yang
kuat, seperti integritas dan nilai-nilai etika, pengawasan, akuntabilitas, dan evaluasi kinerja,
membuat lingkungan kontrol juga kuat. Budaya adalah bagian dari lingkungan kontrol perusahaan,
tetapi juga mencakup unsur-unsur komponen lain dari kontrol internal, seperti menetapkan
kebijakan dan prosedur yang efektif, kemudahan kontrol keamanan atau akses ke informasi, dan
responsif terhadap hasil kegiatan pemantauan. Masalah-masalah ini akan dibahas lebih lanjut dalam
ulasan kami tentang elemen-elemen lain dari kerangka kerja pengendalian internal COSO. Auditor
internal harus menyadari bahwa budaya organisasi mereka dipengaruhi oleh lingkungan kontrol
yang telah diinstal dan ditetapkan serta komponen-komponen lain dari kontrol internal.

Tujuan pengendalian internal yang penting ini menekankan bahwa manajemen senior, dewan
direksi, atau badan pengawas yang setara harus memimpin dengan memberikan contoh dalam
mengembangkan nilai-nilai, filosofi perusahaan, dan gaya operasi dalam mengejar tujuan
perusahaan. Apa yang dilakukan dan dikatakan manajemen senior benar-benar mengirim pesan
kepada semua orang yang terkait dengan perusahaan.

Beberapa auditor internal maupun manajer bisnis saat ini sering tidak mempertimbangkan faktor-
faktor lingkungan kontrol ini ketika menilai sistem pengendalian internal, tetapi mereka harus,
karena ini merupakan langkah pertama yang penting. Jika manajemen memberikan contoh yang
tepat dan karyawan tahu bahwa nilai-nilai dan integritas etika manajemen, sikap itu akan diturunkan
kepada karyawan dan bisnis akan memiliki fondasi yang kuat.

Kekuatan sistem apa pun didasarkan pada fondasi yang mendasarinya. Betapapun kompleksnya
struktur, jika tidak memiliki fondasi yang kuat, integritasnya tidak akan dapat diandalkan. Dasar dari
sistem kontrol adalah filosofi bisnis dan orang-orang yang mengendalikannya. Sebelum merancang
kontrol, orang harus mempertimbangkan fondasi — lingkungannya. Kerangka kerja lingkungan
kontrol COSO meminta manajemen perusahaan untuk mempertimbangkan pertanyaan-pertanyaan
berikut:

 Apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk mencapai tujuan?
Apakah itu mendorong pengambilan risiko atau sikap "capai"?
 Apakah manajemen berupaya memanipulasi ukuran kinerja sehingga tampak lebih
menguntungkan? Apakah itu membengkokkan kebenaran?
 Apakah manajemen menekan karyawan untuk mencapai hasil terlepas dari metode atau
dengan sedikit perhatian untuk metode tersebut? Apakah mereka percaya bahwa tujuan
keuangan membenarkan cara?
 Apakah manajemen terbuka dan jujur dengan karyawan tentang kinerja dan hasil?

Perusahaan dipimpin dari atas oleh manajemen senior dan dewan direksi, dan etika serta filosofi
bisnis mereka akan diturunkan ke semua tingkat karyawan dan pemangku kepentingan. Semakin etis
dan bertanggung jawab gaya manajemen, semakin besar kemungkinan karyawan akan merespons
gaya itu dan berperilaku secara etis dan bertanggung jawab. Sebagai alternatif, jika manajemen
menunjukkan sedikit kepedulian terhadap perilaku jujur dan etis, karyawan akan mengikuti arahan
itu.

Lingkungan pengendalian kerangka kerja COSO dan prinsip-prinsip pendukungnya adalah elemen
kunci dan sangat penting untuk membangun kontrol internal yang efektif dalam suatu perusahaan.
COSO menjelaskan pentingnya menetapkan nada perusahaan dan memengaruhi kesadaran kontrol
orang-orangnya. Lingkungan kontrol yang efektif mendukung dan memperkuat elemen kontrol
lainnya, sedangkan lingkungan kontrol yang lemah merusak elemen-elemen ini, menjadikannya tidak
berguna. Dalam lingkungan kontrol yang efektif, personel dan semua pemangku kepentingan tahu
bahwa melakukan hal yang benar diharapkan dan akan didukung oleh manajemen tingkat atas,
bahkan jika itu mengganggu intinya. Dalam lingkungan yang lemah, prosedur kontrol seringkali dapat
diabaikan atau diabaikan, memberikan peluang untuk penipuan.

Lingkungan kontrol ini mungkin merupakan komponen paling penting dalam kerangka kendali
internal COSO. Penekanannya pada nada di atas memberikan panduan tentang bagaimana
manajemen perusahaan harus memasukkan kesadaran risiko dan kegiatan kontrol ke dalam rutinitas
kerja harian mereka di bidang tanggung jawab mereka. Dengan mempertahankan sikap positif
terhadap kontrol internal dan kepatuhan terhadap kebijakan perusahaan yang ditetapkan serta
berbagai persyaratan hukum, manajemen menetapkan nada untuk seluruh area. Lingkungan kontrol
juga mencakup budaya, nilai-nilai etika, kerja tim, moral, dan pengembangan karyawan administrasi.

Lingkungan kontrol perusahaan yang benar-benar lemah atau kurang dapat menghadirkan beberapa
tantangan signifikan bagi auditor internal. Banyak temuan dan penilaian mereka, seperti yang akan
dibahas dalam bab-bab lain yang akan datang, didasarkan pada penilaian kekuatan lingkungan
kontrol. Auditor internal harus secara teratur menyoroti masalah ini dalam temuan dan rekomendasi
laporan audit mereka. Dalam kasus total, defisiensi yang berkelanjutan, kepala audit internal
perusahaan, kepala eksekutif audit, harus melaporkan masalah ini kepada komite audit dewan.

3.6 Komponen Kontrol Internal COSO: Penilaian Risiko

Penilaian risiko adalah elemen kunci dalam kerangka kontrol internal COSO, yang terletak sebagai
komponen kubus COSO tiga dimensi. Risiko didefinisikan di sini sebagai kemungkinan bahwa suatu
peristiwa dapat terjadi yang akan mempengaruhi pencapaian tujuan perusahaan. Manajemen risiko
pengendalian internal memengaruhi kemampuan perusahaan untuk berhasil, bersaing di dalam
industrinya, mempertahankan kekuatan keuangan dan reputasi positifnya, dan mempertahankan
kualitas produk, layanan, dan karyawannya secara keseluruhan. Selalu ada beberapa risiko dalam
aktivitas bisnis apa pun dan tidak ada cara praktis untuk mengurangi semuanya. Manajemen,
bagaimanapun, harus menentukan berapa banyak risiko yang harus diterima secara hati-hati dan
berusaha untuk mempertahankan risiko dalam batas-batas ini, memahami seberapa besar toleransi
yang dimilikinya untuk melampaui tingkat risiko target.

Komponen penilaian risiko pengendalian internal COSO adalah proses untuk menentukan bagaimana
semua tingkat risiko akan dikelola, dan prasyarat untuk penilaian risiko adalah penetapan tujuan
terkait risiko, yang dikaitkan pada berbagai tingkat operasi perusahaan. Karena jenis dan sifat risiko
yang akan dihadapi perusahaan, manajemen harus mengidentifikasi dan menentukan tujuan risiko
mereka dalam kategori operasi, pelaporan, dan kepatuhan dengan kejelasan yang cukup untuk
dapat mengidentifikasi dan menganalisis risiko terhadap tujuan tersebut. Manajemen juga harus
mempertimbangkan kesesuaian tujuan untuk entitas. Penilaian risiko juga mengharuskan
manajemen untuk mempertimbangkan dampak dari kemungkinan perubahan di lingkungan
eksternal dan dalam model bisnisnya sendiri yang dapat membuat kontrol internal tidak efektif.

Sementara penilaian risiko pengendalian internal COSO mendefinisikan poin-poin penting untuk
dipertimbangkan manajemen umum, auditor internal harus selalu mengingat masalah manajemen
risiko ini dalam semua kegiatan tinjauan pengendalian internal yang sedang berlangsung. Bab 15
tentang kompetensi utama audit internal membahas masalah-masalah manajemen risiko audit
internal ini untuk melakukan audit internal. Materi panduan internal COSO menguraikan serangkaian
prinsip penilaian risiko yang dibahas dalam Bab 5 dengan empat konsep utama berikut:

1. Perusahaan harus menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan
identifikasi dan penilaian risiko yang berkaitan dengan tujuan tersebut.
2. Perusahaan harus mengidentifikasi risiko terhadap pencapaian tujuannya di seluruh entitas
dan harus menganalisis risiko sebagai dasar untuk menentukan bagaimana risiko tersebut
harus dikelola.
3. Perusahaan harus mempertimbangkan potensi penipuan dalam menilai risiko untuk
pencapaian tujuan.
4. Perusahaan harus mengidentifikasi dan menilai perubahan yang dapat berdampak signifikan
terhadap sistem pengendalian internalnya.

Yang pertama dari ini dan prinsip kontrol internal utama menuntut perusahaan untuk menentukan
tujuan risikonya dengan kejelasan yang memadai untuk memungkinkan identifikasi dan penilaian
risiko yang berkaitan dengan tujuan tersebut. Poin ini penting untuk auditor internal baik dalam
tinjauan audit internal mereka maupun dalam pemahaman mereka tentang kegiatan audit internal
mereka sendiri.

Auditor internal dapat mengenali bahwa ini kedengarannya bagus tetapi mungkin bertanya-tanya
apa arti COSO dengan tujuan risiko. Kita dapat menganggap tujuan risiko sebagai komitmen sumber
daya manajerial, menggunakan sumber daya manusia dan pengeluaran lain, untuk mencapai
beberapa tujuan yang tidak pasti atau berbasis risiko. Seperangkat tujuan risiko yang jelas harus
memberikan fokus yang ditargetkan di mana perusahaan harus melakukan sumber daya penting
yang seringkali diperlukan untuk mencapai tujuan kinerja yang diinginkan. Ini sering merupakan area
di mana hal-hal dapat rusak. Mudah bagi manajer senior mana pun, mulai dari CEO yang turun ke
bawah, untuk menyatakan bahwa mereka ingin mencapai beberapa tujuan berbasis risiko yang
hangat dan tidak jelas di masa mendatang, tetapi tujuan semacam itu nilainya kecil kecuali mereka
didukung oleh beberapa rencana dan kegiatan substansial.

Identifikasi dan Analisis Risiko

Manajemen perusahaan di semua tingkatan harus berusaha mengidentifikasi semua risiko yang
mungkin berdampak pada keberhasilan perusahaan, mulai dari risiko yang lebih besar atau lebih
signifikan hingga keseluruhan bisnis hingga risiko yang lebih kecil yang terkait dengan proyek
individu atau unit bisnis yang lebih kecil. Ini membutuhkan pendekatan yang dipelajari dan disengaja
untuk melihat potensi risiko di setiap area operasi dan kemudian mengidentifikasi area risiko yang
lebih signifikan yang dapat berdampak pada setiap operasi dalam periode waktu yang wajar. Idenya
bukan hanya mendaftar setiap risiko yang mungkin terjadi tetapi untuk mengidentifikasi risiko yang
mungkin berdampak pada operasi, dengan beberapa tingkat probabilitas, dalam periode waktu yang
wajar. Ini bisa menjadi latihan yang sulit karena kita sering tidak tahu probabilitas risiko yang terjadi
atau sifat konsekuensi jika perusahaan harus menghadapi risiko.

Proses identifikasi risiko harus terjadi pada berbagai tingkatan dalam suatu perusahaan. Risiko yang
berdampak pada unit bisnis individu atau proyek mungkin tidak memiliki dampak sebesar itu pada
seluruh perusahaan, tetapi risiko utama yang berdampak pada seluruh perekonomian akan mengalir
ke masing-masing perusahaan dan unit bisnis yang terpisah. Beberapa risiko utama sangat jarang
terjadi tetapi masih bisa menjadi bencana besar sehingga sulit untuk mengidentifikasi mereka
sebagai peristiwa yang mungkin terjadi di masa depan. Auditor internal harus mempertimbangkan
masalah terkait risiko sebagai bagian dari kegiatan peninjauan yang berkelanjutan.

Mengidentifikasi dan menganalisis risiko harus menjadi proses berulang yang berkelanjutan yang
dilakukan untuk meningkatkan kemampuan perusahaan untuk mencapai tujuannya. Audit internal
sering dapat memainkan peran yang kuat di sini karena ia membangun dan menetapkan apa yang
sering disebut semesta audit, seperti yang dibahas dalam Bab 13. Meskipun perusahaan mungkin
tidak secara eksplisit menyatakan semua tujuan terkait risiko, ini tidak berarti bahwa perusahaan
tersirat. Tujuannya adalah tanpa risiko internal atau eksternal, dan perusahaan harus
mempertimbangkan semua risiko yang mungkin terjadi.

Agar efektif, proses identifikasi risiko perusahaan harus didukung oleh berbagai kegiatan, teknik, dan
mekanisme, masing-masing relevan dengan penilaian risiko secara keseluruhan. Manajemen harus
mempertimbangkan risiko ini di semua tingkatan dan mengambil langkah yang diperlukan untuk
mengelolanya. Penilaian risiko harus mempertimbangkan faktor-faktor yang mempengaruhi tingkat
keparahan, kecepatan, dan kegigihan risiko, kemungkinan hilangnya aset, dan dampak terkait pada
operasi, pelaporan, dan kegiatan kepatuhan. Selain itu, perusahaan perlu memahami toleransi untuk
menerima risiko dan kemampuannya untuk beroperasi dalam tingkat risiko tersebut. Meskipun
tentu saja tidak termasuk semua, Pameran 3.3 mencantumkan beberapa bidang risiko utama yang
dapat berdampak pada perusahaan, termasuk risiko strategis, operasi, dan keuangan. Ini adalah
jenis daftar tingkat tinggi yang dapat dituliskan oleh kepala eksekutif dan digunakan untuk
menjawab pertanyaan rapat tahunan pemegang saham, seperti "Apa yang membuat Anda khawatir
pada akhir hari?" Tentu saja tidak mencantumkan semua risiko yang dihadapi perusahaan, ini adalah
jenis daftar masuk pertama yang dapat digunakan perusahaan untuk memulai identifikasi risiko
secara terperinci. Orang-orang yang bertanggung jawab untuk manajemen risiko di perusahaan —
sering kali tim manajemen risiko perusahaan — dapat bertemu dengan manajemen senior dan
menanyakan beberapa di antaranya “Apa yang membuat Anda khawatir. . . " jenis pertanyaan untuk
mengidentifikasi risiko tingkat tinggi tersebut.

Begitu perusahaan telah melakukan identifikasi risiko pendahuluan ini, perusahaan harus
mempertimbangkan semua interaksi terkait risiko yang signifikan — termasuk barang, layanan, dan
informasi — internal ke perusahaan dan antara perusahaan dan pihak eksternal terkait. Pihak
eksternal tersebut dapat mencakup pemasok dan investor potensial, yang ada, kreditor, pemegang
saham, dan pemangku kepentingan lainnya serta pelanggan, perantara, dan pesaing. Selain itu,
perusahaan harus mempertimbangkan masalah eksternal seperti undang-undang dan peraturan
baru, masalah lingkungan, dan peristiwa alam potensial, di antara banyak lainnya.

Proses identifikasi risiko harus berusaha mempertimbangkan semua risiko dalam suatu perusahaan,
termasuk subunit dan fungsi operasionalnya, seperti keuangan, sumber daya manusia, pemasaran,
produksi, pembelian, dan manajemen TI. Selain itu, proses ini harus mempertimbangkan risiko yang
berasal dari penyedia layanan outsourcing, pemasok utama, dan mitra penyalur yang secara
langsung atau tidak langsung berdampak pada pencapaian tujuan perusahaan. COSO menyarankan
agar manajemen mempertimbangkan risiko terkait faktor internal dan eksternal.

Strategi Respon Risiko

Sebagai bagian dari membangun kontrol internal COSO yang efektif, perusahaan juga harus
mengembangkan strategi manajemen risiko untuk mengatasi bagaimana mereka ingin menilai,
merespons, dan memantau risiko. Ini sering melibatkan penilaian berdasarkan asumsi tentang risiko
dan analisis yang wajar dari biaya yang terkait dengan pengurangan tingkat risiko. Materi panduan
pengendalian internal COSO mengidentifikasi empat pendekatan strategi respons risiko dasar:

1. Penghindaran. Ini adalah strategi untuk menjauh dari risiko — seperti menjual unit bisnis
yang menimbulkan risiko, keluar dari area geografis yang menjadi perhatian, atau
menjatuhkan lini produk. Kesulitannya di sini adalah bahwa perusahaan seringkali tidak
menjatuhkan lini produk atau berjalan pergi sampai setelah peristiwa risiko terjadi dengan
biaya terkait. Kecuali jika perusahaan memiliki selera risiko yang sangat rendah, sulit untuk
meninggalkan area bisnis atau lini produk hanya berdasarkan potensi risiko di masa depan
jika semuanya berjalan dengan baik pada saat ini dalam hal lain. Penghindaran bisa menjadi
strategi yang berpotensi mahal jika investasi dilakukan untuk masuk ke area dengan
penarikan berikutnya untuk menghindari risiko.
2. Pengurangan. Berbagai macam keputusan bisnis mungkin dapat mengurangi risiko tertentu.
Diversifikasi lini produk dapat mengurangi risiko ketergantungan yang terlalu kuat pada satu
lini produk utama. Memisahkan pusat operasi TI menjadi dua lokasi yang terpisah secara
geografis dapat mengurangi risiko beberapa kegagalan besar. Ada berbagai macam strategi
yang sering efektif untuk mengurangi risiko di semua tingkatan yang mengarah ke langkah
biasa tetapi secara operasional penting dari pelatihan lintas karyawan.
3. Berbagi. Secara virtual, semua perusahaan dan perorangan secara teratur melakukan
lindung nilai atau membagikan sebagian risiko mereka dengan membeli asuransi. Banyak
teknik lain juga tersedia di sini. Untuk transaksi keuangan, perusahaan dapat melakukan
operasi lindung nilai untuk melindungi dari kemungkinan fluktuasi harga. Idenya adalah
untuk mengatur agar pihak lain menerima beberapa risiko potensial, dengan pengakuan
bahwa akan ada biaya yang terkait dengan kegiatan tersebut.
4. Penerimaan. Ini adalah strategi tanpa tindakan. Suatu perusahaan dapat "mengasuransikan
diri" sendiri daripada membeli polis asuransi. Pada dasarnya, suatu perusahaan harus
melihat kemungkinan risiko dan dampaknya sehubungan dengan toleransi risiko yang
ditetapkan dan kemudian memutuskan apakah akan menerima risiko itu atau tidak. Untuk
banyak dan beragam risiko yang mendekati suatu perusahaan, penerimaan seringkali
merupakan strategi yang tepat untuk beberapa risiko.

Keempat strategi umum ini adalah konsep kunci dalam memahami manajemen risiko, dan auditor
internal harus mengembangkan strategi respons umum untuk masing-masing risiko menggunakan
pendekatan yang dibangun di sekitar salah satunya. Dengan demikian, biaya versus manfaat dari
respons risiko potensial harus dipertimbangkan untuk menyelaraskannya dengan selera risiko atau
kesediaan perusahaan untuk menerima risiko tersebut secara keseluruhan. Misalnya, pengakuan
perusahaan bahwa dampak risiko yang diberikan relatif rendah akan diseimbangkan dengan
toleransi risiko rendah yang menunjukkan bahwa asuransi harus dibeli untuk memberikan respons
risiko yang potensial. Untuk banyak risiko, respons yang tepat jelas dan hampir dipahami secara
universal. Sebuah operasi TI, misalnya, menghabiskan waktu dan sumber daya untuk membuat
cadangan file data utamanya dan mengimplementasikan rencana kesinambungan bisnis. Seharusnya
tidak ada pertanyaan mengenai pendekatan dasar ini, tetapi berbagai tingkat manajemen dapat
mempertanyakan frekuensi proses pencadangan atau seberapa sering rencana kesinambungan perlu
diuji.

Pesan dasar di sini adalah bahwa suatu perusahaan dan tentu saja audit internal memerlukan
rencana respons risiko secara keseluruhan agar sesuai dengan kerangka kerja pengendalian internal
COSO. Manajemen risiko adalah bagian yang sangat penting dari kerangka kerja pengendalian
internal COSO, dan pemahaman tentang konsep dan kekhawatiran manajemen risiko harus menjadi
bagian dari CBOK setiap auditor internal. Masalah manajemen risiko akan dibahas dalam bab-bab
lain, dan khususnya dalam Bab 7 tentang COSO ERM, kerangka kerja manajemen risiko perusahaan.

Seperti yang telah kami nyatakan dalam komentar pendahuluan kami, konsep dasar dalam
komponen penilaian risiko dari kerangka kerja pengendalian internal COSO tidak banyak berubah
sejak kerangka kerja asli, tetapi panduan kontrol internal sangat banyak memilikinya. Manajemen
harus membangun dan menyesuaikan proses manajemen risiko mereka dengan mengikuti empat
prinsip yang tercantum pada awal bagian ini dan dibahas secara lebih rinci dalam Bab 4.

3.7 Komponen Kontrol Internal COSO: Aktivitas Kontrol Internal

Mungkin elemen inti dalam keseluruhan kerangka kerja pengendalian internal COSO, kegiatan
pengendalian adalah tindakan-yang ditetapkan melalui kebijakan dan prosedur perusahaan-yang
membantu memastikan bahwa arahan manajemen untuk memitigasi risiko terhadap pencapaian
tujuan telah dilaksanakan. Kegiatan pengendalian dilakukan di semua tingkatan perusahaan, pada
berbagai tahap dalam unit dan proses bisnis, dan di lingkungan teknologi. Kegiatan kontrol ini
mungkin bersifat preventif atau detektif dan dapat mencakup serangkaian kegiatan manual dan
otomatis seperti otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan ulasan kinerja bisnis. Kontrol
internal dasar atau mendasar, pemisahan tugas biasanya dibangun ke dalam pemilihan dan
pengembangan kegiatan kontrol COSO. Jika pemisahan tugas pengendalian internal tidak efektif
atau bahkan praktis, manajemen harus memilih dan mengembangkan kegiatan pengendalian
alternatif.

Aktivitas kontrol adalah area di mana, di satu sisi, konsep aktivitas kontrol internal dasar tidak
banyak berubah dari kerangka kontrol internal COSO yang asli. Misalnya, pemisahan tugas adalah
konsep pengendalian internal dasar yang masih tetap sebagai kendali internal yang penting di
banyak bidang. Artinya, orang atau fungsi otomatis yang memulai transaksi keuangan tidak boleh
orang atau proses yang sama yang menyetujuinya. Di sisi lain, ada perubahan besar dalam panduan
kegiatan kontrol sejak kerangka COSO asli. Panduan di balik kerangka kerja asli kembali ke hari-hari
yang telah lama hilang dari sistem komputer mainframe dengan banyak prosedur pemrosesan batch.

Aktivitas kontrol mendukung semua komponen kontrol internal COSO di dalam kubus COSO, tetapi
panduan kerangka kerja kontrol internal COSO yang telah direvisi khususnya lebih menyelaraskan
aktivitas kontrol dengan elemen penilaian risiko. Seiring dengan penilaian risiko, manajemen harus
mengidentifikasi dan menerapkan tindakan yang diperlukan ketika suatu perusahaan memilih untuk
menerima atau menghindari risiko tertentu, dan memilih untuk mengembangkan kegiatan
pengendalian untuk menghindari risiko itu. Tindakan ini untuk mengurangi atau berbagi beberapa
risiko berfungsi sebagai titik fokus untuk mengembangkan dan memilih kegiatan kontrol untuk
elemen risiko tersebut. Sifat dan tingkat respons risiko dan kegiatan pengendalian terkait akan
bergantung, setidaknya sebagian, pada tingkat mitigasi risiko yang diinginkan yang dapat diterima
oleh manajemen perusahaan. Dengan mitigasi, kami bermaksud beberapa tindakan manajemen
yang mengurangi paparan terhadap risiko yang teridentifikasi atau kemungkinan terjadinya.

Aktivitas pengendalian mencakup tindakan yang memastikan bahwa respons terhadap risiko yang
dinilai, serta arahan manajemen lainnya, dilakukan dengan benar dan tepat waktu. Sebagai contoh,
seorang anggota manajemen senior dapat menetapkan tujuan operasi untuk "memenuhi atau
melampaui target penjualan unit operasi untuk periode pelaporan yang memastikan," tetapi
manajemen staf senior kemudian dapat mengidentifikasi risiko bahwa personil kunci mereka tidak
memiliki pengetahuan yang cukup tentang pelanggan saat ini dan potensial. perlu dengan mudah
memenuhi tujuan ini. Tanggapan manajemen untuk mengidentifikasi risiko yang diakui ini dapat
mencakup tinjauan sejarah penjualan dari pelanggan yang sudah ada dan mengembangkan inisiatif
riset pasar untuk lebih menarik pelanggan potensial. Kontrol kegiatan di sini mungkin termasuk
melacak kemajuan sejarah pembelian pelanggan terhadap jadwal yang ditetapkan serta mengambil
langkah-langkah untuk meningkatkan kualitas data pemasaran yang dilaporkan.

Ketika menentukan tindakan yang direkomendasikan untuk diambil untuk mengurangi risiko, auditor
internal harus mempertimbangkan semua aspek dari sistem pengendalian internal perusahaan serta
proses bisnis yang relevan, sistem TI, dan lokasi di mana kegiatan pengendalian diperlukan. Ini
mungkin termasuk mempertimbangkan kegiatan kontrol di luar unit operasi, termasuk layanan
bersama, pusat data, atau proses yang dilakukan oleh penyedia layanan outsourcing. Sebagai
contoh, suatu perusahaan mungkin perlu mengadakan kegiatan kontrol untuk mengatasi integritas
informasi yang dikirim dan diterima dari penyedia layanan outsourcing.

Kegiatan Pengendalian Proses Bisnis

Bidang-bidang penting untuk pemahaman audit internal, proses bisnis ditetapkan di seluruh
perusahaan untuk memungkinkan mereka mencapai tujuannya. Proses-proses ini mungkin umum
untuk semua kegiatan bisnis — seperti pembelian, hutang, atau penjualan — atau mungkin unik
untuk industri tertentu. Setiap proses ini mentransformasikan input menjadi output melalui
serangkaian transaksi atau kegiatan terkait. Mengontrol kegiatan yang secara langsung mendukung
tindakan untuk mengurangi risiko pemrosesan transaksi dalam suatu perusahaan biasanya disebut
kontrol aplikasi atau kontrol transaksi.

Kontrol transaksi sering kali merupakan aktivitas kontrol paling mendasar dalam suatu perusahaan
karena mereka secara langsung menangani respons risiko terhadap proses bisnis yang ada untuk
memenuhi tujuan manajemen. Kontrol transaksi harus dipilih dan dikembangkan di mana pun
proses bisnis berada, mulai dari proses konsolidasi keuangan perusahaan yang terpusat hingga
proses dukungan pelanggan di unit operasi lokal.

Proses bisnis yang khas akan mencakup banyak tujuan dan sub-tujuan, masing-masing dengan
serangkaian risiko dan respons risiko sendiri. Cara umum untuk mengkonsolidasikan risiko proses
bisnis ini ke dalam bentuk yang dapat dikelola adalah dengan mengelompokkannya sesuai dengan
tujuan kelengkapan, akurasi, dan ketersediaan proses bisnis. Jika tujuan tercapai untuk masing-
masing transaksi dalam proses bisnis tertentu, maka sub-tujuan proses bisnis kemungkinan akan
tercapai.

Elemen kegiatan kontrol dari kerangka kerja pengendalian internal COSO menggunakan tujuan
pemrosesan informasi berikut:

 Kelengkapan. Transaksi yang terjadi harus dicatat. Misalnya, suatu perusahaan dapat
mengurangi risiko tidak memproses semua transaksi dengan vendor dengan memilih
tindakan dan kontrol transaksi yang mendukung pemrosesan semua transaksi faktur dalam
prosedur bisnis yang sesuai.
 Ketepatan. Transaksi harus dicatat dalam jumlah yang benar di akun yang tepat dan tepat
waktu. Sebagai contoh, kontrol transaksi atas elemen sistem utama, seperti harga barang
atau database master vendor, dapat mengatasi keakuratan pemrosesan transaksi
pembelian. Keakuratan dalam konteks proses operasional dapat didefinisikan untuk
 mencakup konsep kualitas yang lebih luas, termasuk keakuratan dan ketepatan bagian yang
direkam.
 Keabsahan. Rekaman transaksi merupakan peristiwa ekonomi yang benar-benar terjadi dan
kemudian dieksekusi sesuai dengan prosedur yang ditentukan. Validitas umumnya dicapai
melalui aktivitas kontrol yang mencakup otorisasi transaksi sebagaimana ditentukan oleh
kebijakan dan prosedur perusahaan.

Konsep-konsep ini sangat penting bagi auditor internal. Auditor internal harus mengingat hal ini
ketika meninjau dan menilai proses kontrol dan aplikasi yang mendukung transaksi.

Risiko pemrosesan transaksi yang tidak tepat waktu dapat dianggap sebagai risiko yang terpisah atau
dimasukkan sebagai bagian dari kelengkapan atau keakuratan tujuan pemrosesan informasi secara
keseluruhan. Akses terbatas juga dapat dianggap sebagai tujuan pemrosesan TI, karena tanpa
membatasi akses pada transaksi dalam proses bisnis, aktivitas kontrol dalam proses bisnis tersebut
dapat ditimpa dan pemisahan tugas-tugas yang dikontrol tidak dapat dicapai.

Sementara tujuan TI paling sering dikaitkan dengan proses keuangan dan transaksi, konsep tersebut
dapat diterapkan pada aktivitas perusahaan apa pun. Misalnya, tujuan pemrosesan TI dan kegiatan
kontrol terkait berlaku untuk proses pengambilan keputusan manajemen atas penilaian dan
perkiraan kritis. Dalam lingkungan ini, manajemen harus mempertimbangkan kelengkapan
identifikasi faktor-faktor signifikan yang mempengaruhi estimasi yang harus dikembangkan dan
mendukung asumsi-asumsi ini. Demikian pula, manajemen harus mempertimbangkan validitas dan
kewajaran asumsi-asumsi tersebut dan keakuratan model estimasi tersebut.

Ini tidak berarti bahwa jika manajemen mempertimbangkan dan memperhatikan tujuan yang telah
ditetapkan ini, perusahaan tidak akan pernah membuat penilaian atau estimasi yang salah, karena
ini semua adalah kesalahan manusia. Namun, ketika ada kegiatan kontrol yang tepat dan ketika
manajemen menggunakan penilaian yang baik dan dipikirkan matang-matang, kemungkinan
pengambilan keputusan yang lebih baik akan meningkat.

Jenis Kegiatan Kontrol Transaksi

Kadang-kadang konsep kontrol internal dasar yang telah bersama kami bertahun-tahun hampir
terlupakan atau hilang dari dialog sehari-hari kami mengenai perancangan dan pembangunan
kontrol internal yang efektif. Materi panduan pengendalian internal COSO yang telah direvisi
melakukan pekerjaan yang baik dalam menguraikan kegiatan-kegiatan dasar pengendalian
internal yang akan dibahas lebih lanjut dalam bab-bab selanjutnya. Misalnya, materi panduan
kerangka kerja pengendalian internal COSO menyoroti jenis-jenis kegiatan pengendalian
transaksi berikut ini:

 Verifikasi. Ini adalah jenis kontrol transaksi yang membandingkan dua item atau lebih satu
sama lain atau membandingkan item dengan aturan kebijakan, dan melakukan tindakan
tindak lanjut ketika item yang dibandingkan tidak cocok atau dianggap tidak konsisten
dengan kebijakan. Contoh di sini termasuk aplikasi TI dengan program, termasuk
pencocokan atau uji kewajaran yang diprogram. Verifikasi umumnya membahas
kelengkapan, keakuratan, atau validitas pemrosesan transaksi.
 Rekonsiliasi. Proses transaksi ini membandingkan dua atau lebih elemen data, dan jika
perbedaan diidentifikasi, tindakan diambil untuk membawa data ke dalam perjanjian.
Rekonsiliasi umumnya membahas kelengkapan dan / atau akurasi pemrosesan transaksi.
  Otorisasi dan persetujuan. Proses otorisasi menegaskan bahwa suatu transaksi adalah sah,
khususnya yang mewakili peristiwa ekonomi aktual. Otorisasi biasanya mengambil bentuk
persetujuan oleh tingkat manajemen yang lebih tinggi atau verifikasi yang dihasilkan sistem
dan penentuan bahwa suatu transaksi valid.
 Kontrol fisik. Inventaris peralatan, sekuritas, uang tunai, dan aset lainnya biasanya dijamin
secara fisik di area penyimpanan yang terkunci atau dijaga. Transaksi pengendalian fisik di
sini harus dihitung dan dibandingkan secara berkala dengan catatan kontrol pendukung.
 Kontrol atas data tegakan. Data berdiri — istilah yang pertama kali diperkenalkan beberapa
tahun lalu oleh salah satu kantor akuntan publik besar — adalah elemen data yang
dikembangkan dari luar perusahaan (sering kali dari organisasi standar) yang mendukung
pemrosesan transaksi di dalam perusahaan itu. Kontrol kegiatan atas proses untuk mengisi,
memperbarui, dan menjaga keakuratan, kelengkapan, dan validitas data tegakan ini harus
ditetapkan oleh perusahaan.
 Kontrol pengawasan. Proses kontrol transaksi ini menilai apakah aktivitas kontrol transaksi
lainnya, seperti verifikasi, persetujuan, kontrol atas data tegakan, dan aktivitas kontrol fisik
sedang dilakukan secara lengkap, akurat, dan sesuai dengan kebijakan dan prosedur
perusahaan. Manajemen biasanya harus memilih dan mengembangkan kontrol pengawasan
atas transaksi berisiko lebih tinggi, termasuk ulasan tingkat tinggi, untuk melihat apakah ada
item rekonsiliasi yang telah ditindaklanjuti atau diperbaiki, atau untuk menentukan apakah
penjelasan yang sesuai diberikan.

Komentar-komentar tentang transaksi aktivitas pengendalian ini banyak berbicara tentang panduan
pendukung yang disediakan sebagai bagian dari kerangka kerja pengendalian internal COSO yang
direvisi. Banyak kata tentang jenis transaksi umum masuk akal untuk auditor internal yang
berpengalaman, tetapi pedoman COSO baru menekankan bahwa mereka semua diperlukan untuk
pengendalian internal yang efektif. Auditor internal sering sangat terlibat dengan meninjau dan
menilai kegiatan pengendalian perusahaan, dan akan ada banyak referensi untuk mereka di bab-bab
lain ke depan.

3.8 Komponen Kontrol Internal COSO: Informasi dan Komunikasi

Sebagai elemen COSO lainnya, informasi diperlukan bagi perusahaan untuk melaksanakan tanggung
jawab pengendalian internalnya untuk mendukung pencapaian tujuannya. Manajemen memperoleh
atau menghasilkan dan kemudian menggunakan informasi yang relevan dan berkualitas dari sumber
internal dan eksternal untuk mendukung berfungsinya komponen lain dari kontrol internal, dan
auditor internal meninjau dan menilai informasi manajemen yang sama. Komunikasi, komponen lain
dari elemen COSO ini, didefinisikan di sini sebagai proses berkelanjutan, berulang untuk
menyediakan, berbagi, dan memperoleh informasi yang diperlukan. Komunikasi internal adalah cara
di mana informasi disebarluaskan ke seluruh perusahaan, mengalir naik, turun, dan melintasi entitas.
Ini memungkinkan personel untuk menerima pesan yang jelas dari manajemen senior bahwa
tanggung jawab pengendalian harus ditanggapi dengan serius. Komunikasi eksternal juga
memungkinkan komunikasi inbound dari informasi eksternal yang relevan dan memberikan
informasi kepada pihak eksternal dalam menanggapi persyaratan dan harapan.

Walaupun prinsip-prinsipnya tidak banyak berubah sejak kerangka kendali internal COSO yang asli,
elemen informasi dan komunikasi COSO yang direvisi disusun dan terlihat sedikit berbeda dalam
kerangka kendali internal COSO yang direvisi ini. Selain itu, konsep informasi dan komunikasi telah
berubah di dunia saat ini menggunakan praktik-praktik seperti penyedia layanan outsourcing dalam
ekonomi global yang digerakkan oleh internet kami. Elemen informasi dan komunikasi COSO adalah
komponen kunci untuk mengembangkan dan menerapkan proses kontrol internal yang efektif.

Konsep keseluruhan yang mendukung informasi dan komunikasi COSO adalah bahwa perusahaan
perlu mengembangkan dan memberikan berbagai bentuk dan jenis informasi yang kompeten, dari
dan ke manajemen. Konsep ini lebih dari sekadar aliran informasi yang dijelaskan pada diagram alur
TI klasik dan menyerukan pengiriman pesan yang efektif, dipahami oleh semua pihak dan dengan
kontrol internal yang efektif. Artinya, proses harus ada untuk mengidentifikasi, menangkap, dan
mendistribusikan elemen-elemen kunci dari semua jenis informasi dan kemudian
mengomunikasikan elemen-elemen yang relevan dari informasi ini kepada pihak-pihak yang tepat.

Komponen COSO ini menjelaskan pentingnya informasi yang disimpan oleh suatu perusahaan dan
bagaimana informasi tersebut harus disampaikan kepada berbagai pihak. Bagian sistem informasi
dari elemen ini mencatat, memproses, menyimpan, dan melaporkan data. Sistem komunikasi
menentukan bagaimana informasi dilaporkan, siapa yang mendapatkannya, dan bagaimana
informasi itu digunakan dalam pengendalian penipuan. Proses informasi dan komunikasi ini harus:

 Catat transaksi yang terjadi, pisahkan menjadi beberapa bagian komponen (tanggal, jumlah,
nama, akun, otorisasi, dll.).
 Memproses, meringkas, dan melaporkan informasi tersebut untuk tujuan manajemen dan
tujuan akuntansi murni.
 Menyimpan data yang diambil dan diproses dalam format yang dapat diringkas, diaudit,
ditinjau, dan dilaporkan dengan cepat dan mudah.
 Laporkan informasi itu dalam format yang dapat digunakan untuk analisis manajemen dan
tujuan pengendalian internal.

Komponen informasi dan komunikasi dari kerangka kerja COSO terutama mendukung berfungsinya
komponen kontrol internal lainnya, termasuk tujuan yang relevan dengan pelaporan internal dan
eksternal. Auditor internal yang mengkaji kontrol internal yang terkait dengan kerangka kerja
pengendalian internal COSO harus membedakan tujuan pelaporannya dari komponen informasi dan
komunikasi yang agak terpisah dari elemen kontrol internal ini dalam menilai sistem pengendalian
internal.

Terminologi berubah seiring waktu, dan hari ini kita terlalu sering menganggap istilah informasi
hanya sebagai masalah TI. Namun, kerangka kerja pengendalian internal COSO mendefinisikannya
dalam arti yang lebih luas, yang menyatakan bahwa informasi mencakup semua data yang
digabungkan dan dirangkum berdasarkan relevansinya dengan persyaratan informasi perusahaan.
Persyaratan informasi ini ditentukan oleh berfungsinya komponen kontrol internal lainnya, dengan
mempertimbangkan harapan semua pengguna, baik internal maupun eksternal. Sistem informasi,
sebagaimana didefinisikan oleh COSO, mendukung pengambilan keputusan dengan mendukung
pemrosesan informasi yang relevan, tepat waktu, dan berkualitas dari sumber internal dan
eksternal.

Komponen elemen komunikasi COSO meminta perusahaan untuk membagikan informasi yang
relevan dan berkualitas secara internal dan eksternal. Manajemen mengkomunikasikan informasi
secara internal untuk memungkinkan personelnya untuk lebih memahami tujuan perusahaan dan
pentingnya tanggung jawab kontrol mereka. Komunikasi internal memfasilitasi berfungsinya
komponen-komponen lain dari kontrol internal dengan berbagi informasi ke atas, ke bawah, dan di
seluruh perusahaan. Komunikasi eksternal memungkinkan manajemen untuk mendapatkan dan
berbagi informasi antara perusahaan dan pihak eksternal tentang risiko, masalah peraturan, dan
perubahan keadaan, kepuasan pelanggan, dan informasi lain yang relevan dengan berfungsinya
komponen kontrol internal lainnya.

Pentingnya Menggunakan Informasi yang Relevan

Dengan massa informasi, termasuk sistem dan prosedur resmi perusahaan yang diterbitkan, memo,
komunikasi email ganda, posting berita vendor eksternal, dan komunikasi dari sumber media sosial,
auditor internal sering dibombardir dengan informasi ketika mulai meninjau dan menilai kontrol
internal di beberapa daerah. Auditor internal harus mendapatkan atau menghasilkan dan
menggunakan informasi yang relevan dan berkualitas untuk mendukung berfungsinya komponen-
komponen pengendalian internal yang sedang ditinjau. Informasi diperlukan bagi perusahaan untuk
melaksanakan tanggung jawab pengendalian internal dalam mendukung pencapaian tujuan.
Informasi tentang tujuan tingkat perusahaan yang lebih tinggi harus dikumpulkan dari dewan direksi
dan kegiatan manajemen senior dan diringkas sedemikian rupa sehingga manajemen lini dan pihak
lain dapat memahami tujuan ini dan peran mereka dalam pencapaian mereka. Misalnya, dalam
situasi yang tidak biasa, manajer senior mungkin menemukan bahwa manajer lini mereka tidak
memiliki pemahaman yang kuat tentang tujuan utama perusahaan. Rencana bisnis pendukung di sini
terkadang terlalu luas dan tidak jelas atau mungkin terlalu rinci atau sulit untuk dikomunikasikan
secara ringkas. Auditor internal yang melakukan peninjauan tingkat tinggi harus meringkas tujuan-
tujuan utama ini menjadi dokumen naratif yang jelas yang menguraikan secara kuat dan
menekankan tujuan peninjauan.

Masalah komunikasi, sebagaimana didefinisikan dalam kerangka kerja pengendalian internal COSO,
seringkali merupakan jenis masalah dasar “Manajemen 101”, di mana audit internal harus selalu
mengingat bahwa informasi yang relevan ini merupakan komponen kunci dari pengendalian internal
yang efektif. Namun, audit internal, yang bekerja bersama sebagai tim dengan manajemen senior,
harus dapat mensurvei hasil manajemen keuangan dan operasional di masa lalu serta masukan
untuk mengidentifikasi dan menetapkan persyaratan informasi relevan yang lebih baik.

Memperoleh informasi yang relevan, sebagaimana didefinisikan dalam kerangka kerja pengendalian
internal COSO, mengharuskan manajemen untuk mengidentifikasi dan menetapkan persyaratan
informasi pada tingkat perincian dan kekhususan yang kuat. Mengidentifikasi persyaratan informasi
adalah proses berulang dan berkelanjutan yang terjadi sepanjang kinerja sistem kontrol internal
yang efektif. Tampilan 3.4 menunjukkan contoh berbagai jenis informasi relevan eksternal dan
eksternal dalam mendukung komponen kontrol internal COSO.

Persyaratan informasi ditetapkan melalui kegiatan yang dilakukan untuk mendukung komponen
kontrol internal lainnya. Persyaratan ini memfasilitasi dan mengarahkan manajemen dan personel
lain untuk mengidentifikasi sumber informasi yang relevan dan dapat diandalkan serta data yang
mendasarinya. Jumlah informasi dan data dasar yang tersedia untuk manajemen seringkali lebih dari
yang dibutuhkan karena meningkatnya sumber informasi dan kemajuan dalam pengumpulan,
pemrosesan, dan penyimpanan data. Dalam kasus lain, data mungkin sulit diperoleh pada tingkat
yang relevan atau spesifik atau persyaratan. Oleh karena itu, pemahaman yang jelas tentang
persyaratan informasi yang ditentukan COSO mengarahkan manajemen dan personel lain untuk
mengidentifikasi sumber informasi dan data yang relevan dan dapat diandalkan.

Konsep pengendalian internal COSO dari data yang relevan ini penting untuk auditor internal. Kami
akan membahas ini lebih lanjut dalam bab-bab yang akan datang, tetapi terlalu sering auditor
internal meminta dokumentasi untuk mendukung beberapa bidang atau kontrol yang ditinjau.
Apakah itu dokumentasi kertas kuno atau dokumen berbasis Internet saat ini, auditor internal telah
meminta dokumentasi yang mencakup beberapa area dan manajemen membersihkan file-file
mereka, memberi mereka terlalu banyak, beberapa di antaranya asing dan jauh lebih banyak
daripada yang dimiliki oleh auditor internal. dan sumber daya untuk ditinjau. Auditor internal
mungkin berpikir, "Ya ampun, aku tidak akan pernah punya waktu untuk meninjau semua hal ini."
Tetapi auditor dapat menambahkan catatan kertas kerja untuk mengatakan bahwa dokumentasi
telah disediakan dan maju. Pendekatan yang lebih baik adalah dengan melihat sekilas semua hal
yang telah disediakan dan mengajukan beberapa pertanyaan sulit tentang apakah semua ini relevan
dan mendukung tinjauan audit internal.

Pentingnya Komunikasi Internal

COSO menyarankan bahwa suatu perusahaan harus mengomunikasikan tujuan dan tanggung jawab
pengendalian internal yang baik secara internal. Komunikasi terkait informasi ini harus diprakarsai
dan disahkan oleh manajemen senior dan disampaikan kepada semua elemen di seluruh organisasi
perusahaan, termasuk:

 Pentingnya, relevansi, dan manfaat dari pengendalian internal yang efektif

 Peran dan tanggung jawab manajemen dan personel lain dalam melakukan proses kontrol
internal tersebut
 Harapan perusahaan untuk berkomunikasi naik, turun, dan melintasi segala hal penting yang
berkaitan dengan pengendalian internal, termasuk contoh kelemahan, kemunduran, atau
ketidakpatuhan

Perusahaan harus menetapkan dan menerapkan kebijakan dan prosedur yang memfasilitasi
komunikasi internal yang efektif. Ini termasuk komunikasi spesifik dan terarah yang membahas
otoritas individu, tanggung jawab, dan standar perilaku di seluruh perusahaan. Manajemen senior
harus mengomunikasikan tujuan perusahaan dengan jelas sehingga manajemen dan personel lain,
termasuk yang bukan karyawan seperti kontraktor, memahami peran masing-masing dalam
organisasi. Komunikasi semacam itu terjadi terlepas dari di mana personel berada, tingkat otoritas
mereka, atau tanggung jawab fungsional mereka.

Komunikasi internal dimulai dengan komunikasi tujuan. Ketika manajemen mengalirkan komunikasi
tujuan spesifik perusahaan di seluruh organisasi, penting bahwa sub-tujuan terkait atau persyaratan
spesifik dikomunikasikan kepada personel dengan cara yang memungkinkan mereka untuk
memahami bagaimana peran dan tanggung jawab mereka berdampak pada pencapaian tujuan
perusahaan. Auditor internal harus mengingat kebutuhan ini ketika mereka melakukan tinjauan
kontrol audit internal.

Semua personil juga harus menerima pesan yang jelas dari manajemen senior bahwa tanggung
jawab pengendalian internal individu atau unit operasi mereka harus ditanggapi dengan serius.
Melalui komunikasi tujuan dan sub-tujuan, personel harus memahami bagaimana peran, tanggung
jawab, dan tindakan mereka terkait dengan pekerjaan orang lain di perusahaan, tanggung jawab
mereka untuk pengendalian internal, dan apa yang dianggap sebagai perilaku yang dapat diterima
dan tidak dapat diterima. Namun, komunikasi tentang tanggung jawab pengendalian internal
mungkin tidak mencukupi untuk memastikan bahwa manajemen dan personel lainnya memikul
tanggung jawab akuntabilitas mereka dan merespons sebagaimana dimaksud. Seringkali,
manajemen harus mengambil tindakan tepat waktu yang konsisten dengan komunikasi tersebut
untuk menegakkan pesan yang disampaikan.

Selain itu, informasi yang dibagikan melalui komunikasi internal membantu manajemen dan
personel lain untuk mengenali masalah atau potensi masalah, untuk menentukan penyebabnya, dan
untuk mengambil tindakan korektif. Misalnya, asumsikan bahwa departemen audit internal
melakukan audit atas komisi yang dibayarkan kepada distributor di satu lokasi internasional. Audit,
dalam contoh ini, dapat mengungkapkan contoh pelaporan penipuan penjualan melalui distributor
tertentu. Investigasi lebih lanjut mengekspos pembayaran oleh distributor ke perwakilan penjualan
yang bertanggung jawab untuk distributor terkait. Informasi ini akan dipublikasikan oleh audit
internal dalam laporan audit yang ditujukan kepada dewan dan manajemen senior. Setelah temuan
audit internal ini dikonfirmasikan, kelemahan kontrol harus dibagikan dengan manajemen penjualan
di lokasi lain, memungkinkan mereka untuk menganalisis informasi secara lebih kritis untuk
menentukan apakah masalahnya lebih luas dan untuk mengambil tindakan yang diperlukan.

Komunikasi antara manajemen dan dewan direksi memberikan informasi yang dibutuhkan dewan
untuk melaksanakan tanggung jawab pengawasannya untuk pengendalian internal. Informasi yang
berkaitan dengan kontrol internal yang dikomunikasikan kepada dewan umumnya harus mencakup
hal-hal signifikan tentang kepatuhan, perubahan, atau masalah yang timbul dari sistem kontrol
internal. Frekuensi dan tingkat perincian komunikasi kepada manajemen dan dewan direksi harus
cukup untuk memungkinkan pihak-pihak ini untuk memahami hasil penilaian yang terpisah dan
berkelanjutan oleh manajemen dan dampak dari hasil tersebut terhadap pencapaian tujuan. Selain
itu, frekuensi dan tingkat perincian harus cukup untuk memungkinkan dewan direksi menanggapi
indikasi kontrol internal yang tidak efektif pada waktu yang tepat.

Panduan kontrol internal COSO mendorong komunikasi langsung antara anggota dewan dan personil
lainnya. Anggota dewan direksi harus memiliki akses langsung ke karyawan tanpa merujuk
manajemen. Ini adalah jenis pedoman yang kedengarannya bagus dalam teori tetapi seringkali tidak
terlalu efektif dalam praktik. Dengan pengecualian sesi forum terbuka pada pertemuan tahunan,
sebagian besar karyawan dan pemangku kepentingan lainnya, kecuali perusahaan yang sangat kecil,
tidak memiliki banyak kesempatan untuk berinteraksi langsung dengan anggota dewan mereka. Sesi
forum terbuka yang dipimpin manajemen dapat mengubah hubungan ini, tetapi hambatan
komunikasi akan terus ada terlepas dari niat baik COSO.

3.9 Komponen Kontrol Internal COSO: Kegiatan Pengawasan

Kegiatan pemantauan menilai apakah masing-masing dari lima tujuan atau komponen lain dari
kontrol internal COSO, termasuk lingkungan kontrol, penilaian risiko, dan lainnya, hadir dan
berfungsi. Suatu perusahaan dan auditor internalnya harus menggunakan proses evaluasi yang
sedang berlangsung dan terpisah untuk memastikan apakah prinsip-prinsip kontrol internal yang
ditetapkan, baik di seluruh perusahaan dan subunitnya, berlaku, ada, dan berfungsi. Pemantauan di
sini adalah input utama ke dalam penilaian organisasi tentang efektivitas pengendalian internal.
Kerangka kerja pengendalian internal COSO yang direvisi mengidentifikasi dua prinsip, yang dibahas
dalam Bab 4, untuk komponen kontrol internal kegiatan pemantauan:

1. Organisasi memilih, mengembangkan, dan melakukan evaluasi yang sedang berlangsung dan
/ atau terpisah untuk memastikan apakah komponen-komponen pengendalian internal ada
dan berfungsi.
 2. Organisasi mengevaluasi dan mengkomunikasikan defisiensi kontrol internal pada waktu
yang tepat kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif,
termasuk manajemen senior dan dewan direksi, yang sesuai.

Sistem kontrol internal suatu perusahaan akan sering berubah, dan tujuan entitas serta komponen-
komponen kontrol internalnya dapat berubah seiring waktu juga. Selain itu, prosedur dapat menjadi
kurang efektif atau usang, mungkin tidak lagi ada dan berfungsi, atau mungkin dianggap tidak cukup
untuk mendukung pencapaian tujuan pengendalian internal yang baru atau yang diperbarui.
Kegiatan pemantauan harus dipilih, dikembangkan, dan dilakukan untuk memastikan apakah
masing-masing komponen kontrol atau prinsip dari lima komponen pengendalian internal hadir dan
berfungsi, dan bahwa ada beberapa bentuk kekurangan pengendalian internal. Manajemen juga
perlu menentukan apakah sistem pengendalian internal terus relevan dan mampu mengatasi risiko
baru.

Apabila diperlukan, kegiatan pemantauan mengidentifikasi dan memeriksa kesenjangan harapan

yang berkaitan dengan anomali kontrol internal dan abnormalitas, yang dapat menunjukkan bahwa
satu atau lebih komponen kontrol internal, termasuk kontrol untuk mempengaruhi prinsip-prinsip di
seluruh perusahaan dan subunitnya, tidak ada dan berfungsi. Kegiatan pemantauan umumnya akan
mengidentifikasi akar penyebab gangguan tersebut dan dapat beroperasi dalam berbagai proses
bisnis di perusahaan dan subunitnya. Kata-kata ini diadaptasi dari bahan panduan kontrol internal
COSO yang mendukung. Ini berarti bahwa proses pemantauan yang tepat membantu menggali dan
mengidentifikasi potensi masalah yang telah diabaikan, dan audit internal yang terjadwal sering
menunjukkan peran ini.

Perusahaan perlu mempertimbangkan rincian mendasar dalam menentukan apakah suatu kegiatan
merupakan kegiatan pengendalian, seperti yang telah dibahas sebelumnya, versus kegiatan
pemantauan, dan terutama di mana kegiatan tersebut melibatkan beberapa tingkat tinjauan
pengawasan. Kegiatan tinjauan tidak secara otomatis diklasifikasikan sebagai kegiatan pemantauan.
Misalnya, maksud dari kegiatan kontrol kelengkapan bulanan adalah untuk mendeteksi dan
memperbaiki kesalahan, di mana kegiatan pemantauan yang sesuai hanya akan bertanya mengapa
ada kesalahan di tempat pertama, dan kemudian ke manajemen tugas dengan memperbaiki proses
untuk mencegah masa depan kesalahan. Secara sederhana, kegiatan pengendalian merespons risiko
tertentu, sedangkan kegiatan pemantauan menilai apakah pengendalian dalam masing-masing dari
lima komponen pengendalian internal beroperasi sebagaimana dimaksud, antara lain. Seperti biasa,
ketika kita mempertimbangkan aspek kontrol internal COSO, kita harus selalu mempertimbangkan
sifat tiga dimensi dari kerangka kerja COSO dan mengontrol hubungan ke atas, ke bawah, dan ke
seberang.

Bahan panduan kegiatan pemantauan kerangka kerja yang direvisi COSO menekankan bahwa
perusahaan harus melakukan evaluasi berkelanjutan untuk mendukung kegiatan pemantauannya
dan bahwa perusahaan harus mengidentifikasi dan mengkomunikasikan kekurangan kontrol internal
yang diketahui sebagai bagian dari kegiatan pemantauannya. Pemasangan kegiatan pemantauan
yang sesuai membawa ke penyelesaian lingkaran penuh proses kontrol internal, seperti
diilustrasikan dalam Tampilan 3.5. Gagasan di balik pameran ini adalah bahwa ketika suatu
perusahaan mengembangkan dan mengimplementasikan tujuan perusahaan, tindakan tersebut
harus melalui masing-masing komponen kontrol COSO. Secara melingkar, bergerak dari membangun
atau membangun lingkungan kontrol yang tepat, siklus ini bergerak ke kegiatan pemantauan, dan
kegiatan pemantauan tersebut bertindak sebagai faktor peninjau terhadap semua komponen
kontrol internal lainnya.
Suatu perusahaan harus memilih, mengembangkan, dan melakukan evaluasi yang sedang
berlangsung dan / atau terpisah untuk memantau atau memastikan apakah komponen kontrol
internal mereka ada dan berfungsi. Pemantauan dapat dilakukan melalui evaluasi yang diprakarsai
oleh manajemen secara terpisah atau melalui proses audit internal yang efektif. Tinjauan audit
internal atas beberapa area operasi atau kontrol internal adalah contoh kegiatan pemantauan
terpisah dan alasan mengapa proses audit internal sangat penting untuk membangun kontrol
internal yang efektif dalam kerangka kerja COSO. Seperti dibahas dalam Bab 8 tentang melakukan
audit internal yang efektif, tinjauan pengendalian internal semula direncanakan dan dijadwalkan
berdasarkan pada proses penilaian risiko audit internal, tetapi auditor internal kemudian dapat
kembali untuk meninjau kembali area yang sama, berdasarkan kekurangan kontrol internal apa pun
yang ditemukan di ulasan pertama. Selain itu, evaluasi pemantauan terpisah dapat dilakukan secara
berkala oleh manajemen, audit internal, atau pihak eksternal, antara lain, dengan ruang lingkup dan
frekuensi masalah pertimbangan manajemen.

Proses pemantauan COSO berkelanjutan mirip dengan proses audit internal berkelanjutan yang
dibahas dalam Bab 11. Mereka juga seperti lampu tekanan oli di mobil yang hanya memancarkan
peringatan jika tekanan di luar batas. Evaluasi yang sedang berlangsung secara umum didefinisikan,
operasi rutin dibangun ke dalam proses bisnis dan dilakukan secara real-time, bereaksi terhadap
perubahan kondisi. Di mana evaluasi yang sedang berlangsung dibangun ke dalam proses bisnis,
komponen kontrol internal mereka biasanya disusun untuk memantau diri mereka sendiri secara
berkelanjutan.

Kontrol yang tidak dipantau cenderung memburuk seiring waktu. Kerangka kerja COSO
mendefinisikan pemantauan sebagai proses untuk membantu memastikan bahwa kontrol internal
terus beroperasi secara efektif. Ketika pemantauan dirancang dan diimplementasikan dengan tepat,
suatu perusahaan harus mendapat manfaat karena lebih cenderung untuk:

 Identifikasi dan koreksi masalah kontrol internal tepat waktu

 Menghasilkan informasi yang lebih akurat dan andal untuk digunakan dalam pengambilan
keputusan
 Menyiapkan laporan keuangan yang akurat dan tepat waktu
 Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang
efektivitas pengendalian internal

Proses pemantauan yang efektif adalah komponen kunci untuk memastikan bahwa perusahaan
memiliki kontrol internal yang efektif dan audit internal memiliki tanggung jawab utama dalam
membantu melakukan banyak proses pemantauan. Manajemen perlu merancang, mengembangkan,
dan meluncurkan kontrol internal yang efektif, tetapi proses pemantauan diperlukan untuk
memberikan jaminan kepada manajemen senior dan pihak lain bahwa kontrol internal tersebut
sudah ada.

Manajemen dapat meluncurkan proses pemantauan ini dengan mendorong anggota staf perusahaan
dengan tanggung jawab sistem kontrol untuk memahami kerangka kerja pengendalian internal
COSO dan panduan pemantauannya dan kemudian mempertimbangkan cara terbaik untuk
menerapkan proses pemantauan atau apakah mereka telah dimasukkan ke dalam area tertentu.
Selanjutnya, baik auditor internal maupun personel lain dengan keterampilan, wewenang, dan
sumber daya yang tepat harus menjawab empat pertanyaan mendasar ini:
 1. Sudahkah proses pemantauan menetapkan risiko yang berarti bagi tujuan perusahaan,
misalnya risiko yang terkait dengan menghasilkan laporan keuangan yang akurat, tepat
waktu, dan lengkap
2. Kontrol mana yang merupakan “kontrol utama” yang proses pemantauan efektifnya akan
paling baik mendukung penilaian audit internal mengenai efektivitas pengendalian internal
di bidang-bidang risiko tersebut?
3. Informasi apa yang dikumpulkan dari proses pemantauan akan meyakinkan dalam memberi
tahu manajemen dan dewan direksi apakah kontrol ini terus beroperasi secara efektif?
4. Apakah kita saat ini melakukan pemantauan yang efektif yang tidak digunakan dengan baik
dalam evaluasi pengendalian internal, menghasilkan pengujian lebih lanjut yang tidak perlu
dan mahal?

Manajemen dan dewan direksi harus memahami konsep pemantauan yang efektif ini dan
bagaimana mereka dapat melayani kepentingan perusahaan masing-masing. Kegiatan tinjauan audit
internal harus memberikan manajemen senior dengan jaminan bahwa sistem kontrol internal
mereka berfungsi dan bahwa proses pemantauan yang terinstal memberikan panduan itu.

Sasaran pemantauan pengawasan internal COSO harus membantu perusahaan menjawab

pertanyaan ini dan lainnya dalam konteks keadaan unik mereka sendiri — keadaan yang akan
berubah seiring waktu. Ketika mereka maju dalam mencapai efektivitas dalam pemantauan,
perusahaan kemungkinan akan memiliki kesempatan untuk lebih meningkatkan proses melalui
penggunaan alat-alat seperti pemantauan berkelanjutan atau alat audit dan laporan pengecualian
yang disesuaikan dengan proses mereka. Seiring waktu, proses pemantauan COSO yang efektif harus
mengarah pada efisiensi organisasi dan mengurangi biaya yang terkait dengan pelaporan publik
tentang kontrol internal karena masalah kontrol internal dapat diidentifikasi dan ditangani secara
proaktif daripada reaktif.

3.10 Dimensi Lain dari COSO Framework

Bagian sebelumnya telah menjelaskan komponen yang lebih penting dari kerangka kerja
pengendalian internal COSO, dari lingkungan kontrol hingga pemantauan. Masing-masing
menggambarkan komponen atau elemen penting dari kontrol internal yang harus efektif secara
individual dan harus bekerja dengan elemen kontrol internal terkait lainnya. Misalnya, elemen
penilaian risiko COSO harus mendorong dan membantu mengelola kegiatan kontrol. Namun, fitur
utama kerangka COSO yang kadang-kadang diabaikan adalah sifat tiga dimensi.

Tampilan 3.6 telah membalik kerangka kontrol internal COSO dan menunjukkan operasi, pelaporan,
dan kontrol kepatuhan dari perspektif yang menghadap ke depan. Tidak ada perubahan di sini dalam
konsep kontrol internal COSO yang efektif, tetapi pameran memberikan cara berbeda dalam
memandangnya. Artinya, auditor internal yang meninjau dan menilai efektivitas kontrol pelaporan
bisnis organisasi, seperti yang dapat ditemukan dalam sistem kontrol sumber daya manufaktur,
harus memikirkan efektivitas kontrol tersebut terkait elemen-elemen kontrol internal mulai dari
lingkungan kontrol keseluruhan untuk kegiatan pemantauan.

Dengan cara yang sama, masing-masing kontrol internal ini harus dipertimbangkan sehubungan
dengan sisi ukuran organisasi kubus COSO. Artinya, pengendalian internal harus efektif dalam unit
bisnis individu atau departemen, pada tingkat bisnis atau fungsional yang lebih besar, dan untuk
seluruh entitas bisnis. Seperti yang akan kita temukan ketika kita mengeksplorasi proses audit
internal dan prosedur kontrol internal dalam bab-bab berikut, konsep-konsep ini kadang-kadang
sulit untuk diterapkan secara konsisten di seluruh perusahaan secara keseluruhan. Walaupun ada
beberapa variasi kecil dan bahkan dapat dibenarkan, manajemen harus mencoba menerapkan
kontrol internal COSO ini secara konsisten di seluruh entitas bisnis secara keseluruhan.

Seperti yang telah kami nyatakan sebelumnya, pengetahuan dan pemahaman yang kuat tentang
kerangka kerja pengendalian internal COSO harus merupakan persyaratan CBOK auditor internal.
COSO tidak mengandung aturan, seperti yang ditemukan di sekitar deskripsi Bab 5 tentang SOx, atau
praktik terbaik yang direkomendasikan, seperti yang akan dibahas dalam Bab 19 tentang ITIL®, tetapi
kerangka kerja pengendalian internal COSO berisi beberapa panduan yang kuat untuk membangun
dan menilai semua tingkat internal perusahaan kontrol, mulai dari yang ada di sistem aplikasi TI unit
bisnis yang lebih kecil hingga keseluruhan proses di tingkat korporat.