BAB 4

17 Prinsip Kontrol Internal COSO

Bab 3 menjelaskan kerangka kerja pengendalian internal COSO yang telah direvisi. Komponen utama
dari kerangka kerja itu adalah 17 prinsip kontrol internal COSO, panduan untuk membantu manajer
dan auditor internal lebih memahami dan memanfaatkan kontrol internal COSO. Prinsip-prinsip ini
adalah konsep baru yang tidak termasuk dalam kerangka kerja COSO asli, dan mereka bermanfaat
bagi auditor internal dalam tinjauan dan pemahaman mereka tentang kontrol internal COSO. Bab ini
akan memperkenalkan prinsip-prinsip kontrol internal COSO ini dan mengapa prinsip-prinsip
tersebut penting bagi manajemen dan auditor internal dalam membangun kontrol internal yang
efektif.

Agak berbeda dari COSO, Institute of Internal Auditor (IIA) telah menetapkan satu set 12 prinsip inti
yang menggambarkan efektivitas audit internal untuk mendukung prinsip-prinsip dalam standar dan
kode etik mereka, keduanya dibahas dalam Bab 9. Mereka adalah komponen kunci dalam Kerangka
Praktik Profesional Internasional mereka (IPPF). Prinsip-prinsip ini, baik untuk kontrol internal COSO
dan untuk IPPF IIA, mewakili tujuan utama atau poin pembicaraan yang harus digunakan oleh
auditor internal dalam merencanakan, melaksanakan, dan mengevaluasi tinjauan kontrol internal
mereka.

4.1 Prinsip Kerangka Kontrol Internal COSO

Kerangka kerja pengendalian internal COSO, yang diperkenalkan pada Bab 3, didukung oleh 17
prinsip. Bagi beberapa manajer yang telah melihat kerangka kerja tiga dimensi COSO dan berjalan
pergi dengan bingung, prinsip-prinsip ini memberikan lebih banyak panduan dan pemahaman
tentang konsep-konsep pengendalian internal, meskipun mereka tidak secara tepat melacak
elemen-elemen kerangka kerja tersebut. Elemen-elemen ini tercantum dalam Tampilan 4.1 dan akan
dijelaskan lebih rinci lebih lanjut.

Prinsip Kontrol Internal COSO

Elemen Prinsip
Lingkungan kontrol Tunjukkan komitmen pada integritas dan nilai-nilai etika
Pastikan bahwa dewan menjalankan tanggung jawab pengawasan
Menetapkan struktur, jalur pelaporan, otoritas, dan tanggung jawab
Tunjukkan komitmen pada tenaga kerja yang kompeten
Buat orang-orang bertanggung jawab
Penilaian Risiko Tentukan tujuan yang sesuai
Identifikasi dan analisis risiko
Mengevaluasi risiko penipuan
Identifikasi dan analisis perubahan yang dapat secara signifikan
mempengaruhi kontrol internal
Mengontrol kegiatan Pilih dan kembangkan kegiatan kontrol yang mengurangi risiko
Pilih dan kembangkan kontrol teknologi
Menyebarkan kegiatan kontrol melalui kebijakan dan prosedur
Informasi dan Gunakan informasi yang relevan dan berkualitas untuk mendukung fungsi
Komunikasi kontrol internal
Mengkomunikasikan informasi kontrol internal secara internal
Mengkomunikasikan informasi kontrol internal secara eksternal
 Pemantauan Lakukan evaluasi kontrol internal yang sedang berlangsung atau berkala
(atau kombinasi keduanya)
Mengkomunikasikan defisiensi kontrol internal
Auditor internal harus mengembangkan pemahaman tentang prinsip-prinsip ini sebagaimana CBOK
harus. Konsep-konsep ini harus membantu auditor internal untuk lebih mengembangkan dan
melakukan tinjauan kontrol internal mereka.

4.2 Lingkungan Kontrol Prinsip 1: Integritas dan Nilai-Nilai Etis

Prinsip pertama dari lingkungan kontrol COSO menuntut perusahaan untuk menunjukkan komitmen
terhadap integritas dan nilai-nilai etika. Sejarah dan budaya perusahaan sering memainkan peran
utama dalam membentuk lingkungan kontrol internal ini. Ketika suatu perusahaan secara historis
memiliki penekanan manajemen yang kuat pada produksi produk bebas kesalahan, ketika
manajemen senior terus menekankan pentingnya produk berkualitas tinggi, dan ketika pesan ini
dikomunikasikan ke semua tingkatan, ini menjadi faktor lingkungan pengendalian perusahaan
utama. Pesan dari CEO atau manajer yang sangat senior dikenal sebagai nada di atas — pesan
manajemen untuk semua pemangku kepentingan. Pesan dari atas harus lebih dari sekadar jenis
pernyataan “kami akan mematuhi hukum”. Pesan-pesan harus jauh lebih luas dan menekankan
bahwa suatu perusahaan berkomitmen untuk standar etika tertinggi dalam setiap aspek bisnisnya,
termasuk tidak hanya kepatuhan tetapi dalam bisnis, penjualan, konseling hukum, dan praktik
sumber daya manusia serta perlakuannya terhadap karyawan dan pelanggan.

Ini adalah pesan-pesan dan komitmen yang diulang-ulang dari para pemimpin senior di seluruh
perusahaan untuk menekankan pentingnya kepatuhan dan perilaku etis yang harus dianut dan
diintegrasikan ke dalam setiap tingkat operasi bisnis. Namun, jika manajemen senior mendapatkan
reputasi karena memandang sebaliknya dari pelanggaran kebijakan dan membuat pernyataan yang
meragukan, pesan negatif ini akan dikomunikasikan ke tingkat lain dari perusahaan. Nada positif di
puncak panggilan untuk manajemen senior untuk memimpin dengan contoh pada masalah integritas
dan etika; tindakan positif di sini adalah batu fondasi membangun lingkungan kontrol yang kuat
untuk perusahaan.

Sementara nada di atas sangat penting, kode etik perusahaan yang efektif — yang dulu biasa disebut
kode etik karena penekanan pada aturan — sama atau bahkan lebih penting dalam membangun
lingkungan kontrol internal yang efektif. Kode etik telah bersama organisasi bisnis selama bertahun-
tahun, tetapi secara tradisional lebih terfokus pada anggota staf tingkat rendah daripada pada
manajemen senior. Mereka harus menjadi komponen penting dari sistem pengendalian internal
yang efektif untuk semua anggota perusahaan, dari manajemen senior hingga staf operasi dan
pemangku kepentingan lainnya.

Perusahaan yang efektif saat ini harus mengembangkan dan menegakkan kode yang mencakup
aturan etika, bisnis, dan hukum yang berlaku untuk semua pemangku kepentingan perusahaan,
apakah mereka adalah pejabat, semua karyawan lain, atau kelompok pemangku kepentingan yang
lebih besar termasuk vendor dan konsultan. Kode etik haruslah seperangkat aturan atau pedoman
yang jelas dan tidak ambigu yang menguraikan apa yang diharapkan dari semua pemangku
kepentingan perusahaan. Kode tersebut harus didasarkan pada nilai-nilai dan masalah hukum di
sekitar perusahaan. Yaitu, sementara semua perusahaan dapat mengharapkan untuk memiliki kode
larangan terhadap diskriminasi seksual dan ras, kontraktor pertahanan dengan banyak masalah
peraturan terkait kontrak mungkin memiliki kode etik yang agak berbeda dari operasi toko makanan
cepat saji. Namun, kode tersebut harus berlaku untuk semua anggota perusahaan dari tingkat paling
senior hingga karyawan administrasi paruh waktu. Misalnya, aturan perilaku yang melarang
pelaporan keuangan yang keliru harus sama apakah diarahkan pada CFO untuk pelaporan keuangan
triwulanan yang sengaja salah atau paruh waktu untuk kartu waktu mingguan yang salah atau
curang. Hukuman dan tindakan perbaikan harus diterapkan untuk keduanya. Tampilan 4.2 berisi
beberapa topik yang biasanya termasuk dalam kode etik perusahaan.

Contoh Kode Etik Topik

Berikut ini adalah area topik yang ditemukan dalam kode etik perusahaan yang khas. Kode aktual
harus memiliki aturan khusus di masing-masing bidang ini.

I. PENDAHULUAN
A. Tujuan Kode Etik Ini: Pernyataan umum tentang latar belakang kode etik, yang
menekankan tradisi perusahaan.
B. Komitmen Perusahaan terhadap Standar Etika yang Kuat: Pernyataan kembali
pernyataan misi dan pesan pendukung dari CEO.
C. Tempat Mencari Bimbingan: Deskripsi proses hotline etika.
D. Melaporkan Ketidakpatuhan: Pedoman bagi pelapor – bagaimana melaporkan.
E. Tanggung Jawab Anda untuk Mengakui Kode: Penjelasan proses pengakuan kode untuk
semua pemangku kepentingan.
II. STANDAR PENAWARAN YANG ADIL
A. Praktek Penjualan Perusahaan: Panduan untuk berurusan dengan pelanggan.
B. Praktik Membeli Perusahaan: Panduan dan kebijakan untuk berurusan dengan vendor.
III. AKU AKU AKU. PERILAKU DI TEMPAT KERJA
A. Standar Peluang Kerja yang Setara: Pernyataan komitmen yang kuat.
B. Kebijakan di Tempat Kerja dan Pelecehan Seksual: Pernyataan komitmen yang sama
kuatnya.
C. Penyalahgunaan Alkohol dan Zat: Pernyataan kebijakan di bidang ini.
IV. KONFLIK KEPENTINGAN
A. Pekerjaan Luar: Keterbatasan dalam menerima pekerjaan dari pesaing.
B. Investasi Pribadi: Aturan tentang penggunaan data perusahaan untuk membuat
keputusan investasi pribadi.
C. Hadiah dan Manfaat Lainnya: Aturan tentang menerima suap dan hadiah yang tidak
pantas.
D. Mantan Karyawan: Aturan yang melarang pemberian bantuan kepada mantan karyawan
dalam bisnis.
E. Anggota Keluarga: Aturan tentang memberikan bisnis kepada anggota keluarga,
menciptakan potensi konflik kepentingan, dan hubungan karyawan-anggota keluarga.
V. PROPERTI DAN CATATAN PERUSAHAAN
A. Aset Perusahaan: Pernyataan kuat tentang tanggung jawab karyawan untuk melindungi
aset.
B. Sumber Daya Sistem Komputer: Perluasan pernyataan aset perusahaan untuk
mencerminkan semua aspek sumber daya sistem komputer.
C. Penggunaan Nama Perusahaan: Aturan bahwa nama perusahaan hanya boleh digunakan
untuk transaksi bisnis normal.
D. Catatan Perusahaan: Aturan mengenai tanggung jawab karyawan untuk integritas
catatan.
E. Informasi Rahasia: Aturan tentang pentingnya merahasiakan semua informasi
perusahaan dan tidak mengungkapkannya kepada pihak luar.
 F. Privasi Karyawan: Pernyataan kuat tentang pentingnya menjaga kerahasiaan informasi
pribadi karyawan dari orang luar dan bahkan karyawan lain.
G. Manfaat Perusahaan: Karyawan tidak boleh mengambil manfaat perusahaan di mana
mereka tidak berhak.
VI. MEMENUHI HUKUM
A. Informasi Orang Dalam dan Perdagangan Orang Dalam: Aturan kuat yang melarang
perdagangan orang dalam atau mendapat manfaat dari informasi orang dalam.
B. Kontribusi dan Kegiatan Politik: Pernyataan yang kuat tentang aturan kegiatan politik.
C. Suap dan Kickback: Aturan tegas tentang menggunakan suap atau menerima suap.
D. Hubungan Bisnis Asing: Aturan tentang berurusan dengan agen asing sesuai dengan
Undang-Undang Praktik Korupsi Asing.
E. Keselamatan Tempat Kerja: Pernyataan tentang kebijakan perusahaan untuk mematuhi
aturan OSHA.
F. Keamanan Produk: Pernyataan tentang komitmen perusahaan terhadap keamanan
produk.
G. Perlindungan Lingkungan: Aturan mengenai komitmen perusahaan untuk mematuhi
hukum lingkungan yang berlaku.

Menegaskan Kepatuhan pada Kode Etik

Kode etik perusahaan harus merupakan dokumen hidup. Ini memiliki nilai kecil jika dikembangkan,
dikirim ke semua pemangku kepentingan dengan banyak hullabaloo, dan kemudian pada dasarnya
disimpan dan dilupakan setelah peluncuran awal itu. Jika ada kode etik baru atau bahkan revisi besar
dari kode yang ada, perusahaan harus melakukan upaya besar untuk memberikan salinan kode itu
kepada semua karyawan dan pemangku kepentingan. Langkah penting adalah menyajikan secara
resmi kode etik baru kepada manajer puncak perusahaan, dan khususnya petugas keuangan. Kode
etik di masa lalu kadang-kadang hanya menerima token penerimaan dari kelompok perwira senior,
dengan perasaan bahwa mereka benar-benar untuk staf dan bukan untuk mereka.

Manajemen senior perusahaan harus diwajibkan untuk secara resmi mengakui bahwa mereka telah
membaca, memahami, dan akan mematuhi kode etik perusahaan. Dengan tim manajemen berdiri di
belakangnya, perusahaan selanjutnya harus mengeluarkan kode etik kepada semua pemangku
kepentingan perusahaan. Ini dapat dilakukan dalam beberapa fase, dengan pengiriman ke fasilitas
lokal atau lebih utama terlebih dahulu, diikuti oleh unit yang lebih kecil, lokasi asing, dan pemangku
kepentingan lainnya. Daripada hanya menyertakan salinan kode dengan dokumen penggajian,
perusahaan harus membuat upaya formal untuk menyajikannya dengan cara yang akan menarik
perhatian.

Kode etik baru dapat dikomunikasikan melalui video oleh CEO, melalui siaran web, sesi pelatihan,
atau cara lain untuk menekankan pentingnya dan artinya. Metode komunikasi khusus dapat
digunakan untuk kelompok lain seperti vendor atau kontraktor, tetapi tujuan perusahaan haruslah
agar semua pemangku kepentingan mengakui secara formal bahwa mereka akan mematuhi kode
etik perusahaan. Ini dapat dicapai dengan sistem jenis respons Internet atau telepon di mana setiap
pemangku kepentingan perusahaan diminta untuk menjawab tiga pertanyaan ini:

1. Sudahkah Anda menerima dan membaca salinan kode etik? Jawab ya atau tidak.
2. Apakah Anda memahami isi kode etik ini? Jawab ya jika Anda memahami kode etik ini atau
tidak jika Anda memiliki pertanyaan.
 3. Apakah Anda setuju untuk mematuhi kebijakan dan pedoman dalam kode etik ini? Jawab ya
jika Anda setuju untuk mematuhi kode dan tidak jika Anda tidak.

Setiap karyawan dan pemangku kepentingan harus diminta untuk mengakui penerimaan kode etik
perusahaan mereka, dengan tanggapan dicatat pada database yang mencantumkan nama karyawan
dan tanggal peninjauan dan penerimaan atau penerimaan mereka. Idenya adalah untuk membuat
semua orang — semua pemangku kepentingan — membeli ke dalam kode dan menyetujui
persyaratannya. Jika seseorang menolak untuk menerima kode karena pertanyaan, penyelia atau
orang lain harus mendiskusikan masalah tersebut dengan orang tersebut untuk mendapatkan
penyelesaian akhirnya. Masalah terakhir di sini adalah bahwa perusahaan harus mengharapkan
semua karyawan untuk setuju untuk menerima dan mematuhi kode etik perusahaan. Mengikuti
kode itu harus menjadi aturan kerja perusahaan lainnya, dan kegagalan yang konsisten untuk
mematuhi aturan harus menjadi dasar untuk penghentian.

Tujuan dari persyaratan pengakuan kode ini adalah untuk menghindari alasan “Saya tidak tahu itu
aturannya” di masa depan ketika pelanggaran kode ditemukan. Adalah ide yang baik untuk melalui
proses penerimaan kode setiap tahun, atau setidaknya setelah revisi dokumen kode. File-file yang
mendokumentasikan pengakuan kode ini harus disimpan dengan cara yang aman.

Pelanggaran Kode dan Tindakan Korektif

Kode etik di seluruh perusahaan menjabarkan serangkaian perilaku yang diharapkan. Selain
menerbitkan kode etik dan mendapatkan penerimaan pemangku kepentingan, perlu juga ada
mekanisme untuk melaporkan pelanggaran kode dan untuk menyelidiki dan menangani pelanggaran
tersebut. Tujuannya di sini adalah bahwa jika perusahaan mengeluarkan kode yang kuat bersama
dengan pesan dari CEO tentang pentingnya praktik etika yang baik, semua pemangku kepentingan
diharapkan untuk mengikuti aturan itu. Namun, kita semua tahu bahwa orang adalah orang dan
akan selalu ada beberapa yang melanggar aturan atau berjalan di ujung tanduk. Suatu perusahaan
perlu membuat mekanisme untuk memungkinkan karyawan atau bahkan orang luar melaporkan
potensi pelanggaran kode dengan cara yang aman dan rahasia. Sebagian besar mekanisme
pelaporan itu dapat ditangani melalui fasilitas whistleblower, sebagaimana dibahas dalam Bab 26.

Kode etik menjelaskan serangkaian aturan untuk tindakan yang diharapkan dalam perusahaan.
Ketika pelanggaran ditemukan, masalah tersebut harus diselidiki dan tindakan diambil secara
konsisten, tidak peduli peringkat para pemangku kepentingan. Jika kode etik melarang membuat
salinan perangkat lunak perusahaan — dan seharusnya — hukuman bagi staf analis di kantor
penjualan jarak jauh atau manajer senior di kantor pusat perusahaan harus sama. Dengan asumsi
mereka berdua membaca larangan dalam kode dan mengakui penerimaan, hukuman untuk
pelanggaran harus konsisten. Kalau tidak, mungkin ada suasana di mana aturan itu hanya berlaku
untuk beberapa orang saja. Ini mendukung integritas dan nilai-nilai etika prinsip COSO.

4.3 Prinsip Lingkungan Kontrol 2: Peran Dewan Direksi

Lingkungan kontrol sangat dipengaruhi oleh tindakan dewan direksi perusahaan dan komite
auditnya, dengan prinsip "Pastikan bahwa dewan menjalankan tanggung jawab pengawasan."

Pada tahun-tahun sebelum Sarbanes-Oxley Act (SOx), dewan dan komite audit mereka sering
didominasi oleh manajemen senior di dalam direksi, seringkali dengan perwakilan terbatas dari luar,
anggota dewan minoritas. Ini menciptakan situasi di mana dewan tidak sepenuhnya independen dari
manajemen. Petugas perusahaan duduk di dewan dan pada dasarnya mengelola diri mereka sendiri,
seringkali dengan sedikit perhatian terhadap investor luar. SOx mengubah ini dan mengharuskan
komite audit benar-benar independen. Papan aktif dan independen adalah komponen penting dari
lingkungan kontrol COSO. Dengan menetapkan kebijakan tingkat tinggi dan dengan meninjau
perilaku perusahaan secara keseluruhan, dewan dan komite auditnya memiliki tanggung jawab
utama untuk menetapkan nada di atas.

Dewan independen harus memiliki hubungan yang erat dengan manajemen senior untuk
memastikan operasi perusahaan yang efektif dan sukses dan lingkungan pengendalian internal yang
kuat. Dewan direksi dan komite auditnya harus mengidentifikasi dan memahami harapan para
pemangku kepentingan, termasuk pelanggan, karyawan, investor, dan masyarakat umum, serta
persyaratan hukum dan peraturan perusahaan. Harapan-harapan ini harus membantu membentuk
tujuan perusahaan dan tanggung jawab pengawasan dewan. Kegiatan dewan direksi berikut dapat
membantu manajemen dalam menentukan apakah prinsip lingkungan kendali COSO ini ada dan
berfungsi.

 Menetapkan tanggung jawab pengawasan. Dewan direksi harus mengidentifikasi dan

menerima tanggung jawab pengawasannya sehubungan dengan persyaratan hukum yang
ditetapkan dan pemangku kepentingan, investor, dan harapan publik.
 Terapkan keahlian yang relevan. Dewan direksi harus mendefinisikan, memelihara, dan
secara berkala mengevaluasi keterampilan dan keahlian yang diperlukan di antara para
anggotanya untuk memungkinkan mereka mengajukan pertanyaan menyelidik tentang
manajemen senior dan mengambil tindakan sepadan.
 Beroperasi secara mandiri. Dewan direksi harus memiliki anggota yang cukup yang
independen dari manajemen dan objektif dalam evaluasi dan pengambilan keputusan
mereka.
 Berikan pengawasan untuk sistem kontrol internal. Dewan direksi harus mempertahankan
tanggung jawab pengawasan untuk pengembangan manajemen dan kinerja kontrol internal.

Dewan direksi harus meninjau dan menyetujui kebijakan dan praktik yang mendukung kinerja
kontrol internal di seluruh perusahaan dalam pertemuan rutin antara manajemen dan dewan.
Proses dan struktur yang secara khusus relevan dengan komite audit dewan adalah yang
memberikan pengawasan untuk sistem pengendalian internal, dan upaya bersama dewan dan
manajemen senior dapat menunjukkan bahwa prinsip lingkungan pengendalian internal ini ada dan
berfungsi.

4.4 Kontrol Lingkungan Prinsip 3: Kebutuhan Otoritas dan Tanggung Jawab

Manajemen harus menetapkan, dengan pengawasan dewan yang sesuai, struktur, jalur pelaporan,
dan otoritas serta tanggung jawab yang tepat dalam mengejar tujuan pengendalian internalnya.
Harus ada struktur organisasi untuk merencanakan, melaksanakan, mengendalikan, dan secara
berkala menilai kegiatan perusahaan secara keseluruhan. Tujuan lingkungan kontrol ini adalah untuk
memberikan pertanggungjawaban yang jelas dan arus informasi di dalam dan di seluruh perusahaan
secara keseluruhan dan semua subunitnya.

Untuk menentukan bahwa prinsip pengendalian internal perusahaan ini berfungsi, manajemen dan
dewan direksi harus mempertimbangkan beberapa unit operasi, badan hukum, lokasi geografis, dan
penyedia layanan outsourcing di perusahaan untuk mendukung pencapaian tujuan pengendalian
internal ini. Dengan perusahaan internasional yang kompleks saat ini, dengan berbagai perjanjian
antara unit operasi dan penyedia luar, ini bisa menjadi campuran yang kompleks, tetapi manajemen
kemudian harus merancang dan mengevaluasi jalur pelaporan untuk setiap struktur entitas untuk
memungkinkan pelaksanaan otoritas dan tanggung jawab dan aliran informasi untuk mengelola
aktivitas entitas.

Banyak perusahaan dari semua jenis dan ukuran saat ini telah merampingkan operasi mereka dan
mendorong otoritas pengambilan keputusan ke bawah dan lebih dekat dengan personel garis depan.
Lingkungan kontrol yang kuat mengatakan bahwa karyawan garis depan harus memiliki
pengetahuan dan kekuatan untuk membuat keputusan yang tepat di area operasi mereka sendiri
daripada diminta untuk meneruskan permintaan pengambilan keputusan melalui saluran
perusahaan yang lebih senior. Tantangan kritis yang terjadi pada delegasi atau pemberdayaan ini
adalah bahwa meskipun mereka dapat mendelegasikan beberapa wewenang untuk mencapai
tujuan, manajemen senior pada akhirnya bertanggung jawab atas keputusan yang dibuat oleh
bawahan tersebut. Suatu perusahaan dapat menempatkan dirinya dalam risiko jika terlalu banyak
keputusan yang melibatkan tujuan tingkat yang lebih tinggi ditetapkan pada tingkat yang lebih
rendah secara tidak tepat tanpa tinjauan manajemen yang memadai. Selain itu, setiap orang di
perusahaan harus memiliki pemahaman yang baik tentang tujuan keseluruhan perusahaan serta
bagaimana tindakan individu saling terkait untuk mencapai tujuan tersebut. Manajemen perusahaan
harus menyadari bahwa komponen lingkungan kontrol ini dari kerangka kerja COSO sangat
dipengaruhi oleh sejauh mana individu mengakui bahwa mereka akan bertanggung jawab. Hal ini
berlaku untuk semua anggota perusahaan, mulai dari anggota staf hingga CEO, yang memiliki
tanggung jawab utama untuk semua kegiatan dalam suatu entitas, termasuk sistem kontrol internal.

4.5 Kontrol Lingkungan Prinsip 4: Komitmen pada Tenaga Kerja yang Kompeten

Perusahaan harus menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan

individu yang kompeten sesuai dengan tujuannya. Prinsip lingkungan kontrol COSO ini menyerukan
kebijakan dan tindakan yang memenuhi syarat bagi pemangku kepentingan untuk melaksanakan
tanggung jawab yang ditugaskan kepada mereka, dan membutuhkan keterampilan dan keahlian
yang relevan, yang sebagian besar diperoleh dari pengalaman profesional, pelatihan, dan sertifikasi.
Komitmen terhadap kompetensi dinyatakan dalam sikap dan perilaku individu dalam melaksanakan
tanggung jawab seseorang. Fungsi sumber daya manusia sering kali dapat membantu
mendefinisikan tingkat kompetensi dan staf berdasarkan peran pekerjaan, memfasilitasi pelatihan
dan memelihara catatan penyelesaian serta mengevaluasi relevansi dan kecukupan pengembangan
profesional individu dalam kaitannya dengan kebutuhan perusahaan. Prinsip COSO ini sedikit lebih
kuat pada masalah kompetensi individu daripada fungsi sumber daya manusia khas perusahaan saat
ini, yang sering kali lebih terkait dengan masalah-masalah seperti masalah keragaman daripada
berkaitan dengan keterampilan karyawan. Prinsip lingkungan kontrol ini meminta perusahaan untuk
menetapkan persyaratan kompetensi mereka sebagaimana diperlukan untuk mendukung
pencapaian tujuan pengendalian internal mereka, dengan pertimbangan diberikan kepada:

 Kebutuhan pengetahuan, keterampilan, dan pengalaman

 Sifat dan tingkat penilaian dan batasan wewenang untuk diterapkan pada posisi tertentu
 Analisis biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman
 Pertukaran antara tingkat pengawasan dan tingkat kompetensi yang dipersyaratkan dari
masing-masing karyawan
Topik yang terdaftar mengangkat beberapa masalah sulit yang seringkali tidak benar-benar
dipertimbangkan oleh manajemen ketika mengevaluasi karyawan mereka. Lingkungan kontrol
ditingkatkan ketika kita hanya memiliki orang yang tepat di pekerjaan yang tepat.

Prinsip ini selanjutnya mengatakan bahwa dewan direksi harus mengevaluasi kompetensi CEO, dan
pada gilirannya, manajemen harus mengevaluasi kompetensi di seluruh perusahaan dan penyedia
layanan outsourcing dalam kaitannya dengan kebijakan dan prosedur yang ditetapkan serta
bertindak seperlunya untuk mengatasi setiap kekurangan atau kelebihan. Pedoman COSO
pendukung menggunakan contoh bahwa portofolio risiko yang berubah dapat menyebabkan
perusahaan mengalihkan sumber daya ke area bisnis yang membutuhkan perhatian lebih besar. Di
sini, ketika suatu perusahaan membawa produk baru ke pasar, ia dapat memilih untuk
meningkatkan staf dalam tim penjualan dan pemasarannya, atau ketika peraturan baru yang berlaku
dikeluarkan, ia dapat berfokus pada orang-orang yang bertanggung jawab atas implementasinya.
Kekurangan mungkin timbul terkait dengan tingkat kepegawaian, keterampilan, keahlian, atau
kombinasi dari faktor-faktor tersebut. Manajemen bertanggung jawab untuk bertindak atas
kekurangan tersebut tepat waktu.

Sebuah kata kunci dalam prinsip ini dan lainnya ditunjukkan. Dalam semua kasus, manajemen harus
mengambil langkah-langkah untuk menerapkan prinsip kontrol. Ini penting bagi auditor internal,
yang sebagai bagian dari tinjauan mereka harus mencari apa yang telah dilakukan unit perusahaan
untuk menerapkan beberapa prinsip pengendalian internal.

4.6 Prinsip Lingkungan Kontrol 5: Meminta Orang Bertanggung Jawab

Manajemen dan dewan direksi harus menetapkan mekanisme untuk berkomunikasi dan meminta
pertanggungjawaban individu atas kinerja tanggung jawab pengendalian internal di seluruh
organisasi dan menerapkan tindakan korektif yang diperlukan. Sebagai bagian dari ini, mereka harus
menetapkan ukuran kinerja, insentif, dan penghargaan lain yang sesuai untuk tanggung jawab di
semua tingkat entitas, yang mencerminkan dimensi kinerja yang sesuai dan standar perilaku serta
kinerja yang diharapkan.

Secara khusus, dewan direksi pada akhirnya meminta pertanggungjawaban CEO atas pengendalian
internal dalam pencapaian tujuan perusahaan, dan CEO dan manajemen senior lainnya pada
gilirannya bertanggung jawab untuk merancang, melaksanakan, melaksanakan, dan secara berkala
mengevaluasi apakah struktur yang ditentukan, otoritas, dan tanggung jawab membangun
akuntabilitas untuk pengendalian internal di semua tingkatan perusahaan. Akuntabilitas di sini
mengacu pada tingkat kepemilikan dan komitmen terhadap kinerja pengendalian internal dalam
mengejar tujuan. Manajemen dan dewan harus membentuk mekanisme untuk berkomunikasi dan
meminta pertanggungjawaban personil atas kinerja tanggung jawab pengendalian internal mereka di
seluruh perusahaan dan harus mengambil tindakan korektif yang diperlukan.

Akuntabilitas untuk pengendalian internal saling berhubungan dengan kepemimpinan, dan pesan
kepemimpinan nada-at-the-top serta pesan-pesan manajemen terkait di seluruh perusahaan harus
kuat di mana tanggung jawab pengendalian internal dipahami, dijalankan, dan diperkuat. Namun,
seperti yang disarankan oleh prinsip COSO ini, orang harus bertanggung jawab atas tindakan mereka.
Terlalu sering hari ini, kita menghadapi situasi di mana tidak ada yang ditunjuk untuk bertanggung
jawab. Manajer senior mungkin melihat masalah pengendalian internal, dan jika dampaknya relatif
kecil, mereka akan memutar mata dan mengatakan bahwa itu adalah masalah staf yang tidak
berpengalaman dan tidak melakukan apa-apa. Demikian pula, personel tingkat staf dapat
menyalahkan masalah yang sama pada manajemen mereka tetapi tidak mengambil langkah untuk
menunjukkan keprihatinan mereka kepada manajemen atau petisi untuk revisi atau perubahan.

Prinsip pengendalian internal COSO ini menekankan bahwa manajemen dan semua tingkatan
perusahaan harus membuat orang bertanggung jawab atas manajemen pengendalian internal serta
semua kekuatan dan kelemahan yang terkait. Ini adalah konsep penting yang terlalu sering kita
abaikan, dan prinsip kontrol internal yang penting.

4.7 Prinsip Penilaian Risiko 6: Menentukan Tujuan yang Tepat

Penilaian risiko, elemen kunci dalam kerangka kerja pengendalian internal COSO, didefinisikan di sini
sebagai kemungkinan bahwa suatu peristiwa dapat terjadi yang akan mempengaruhi pencapaian
beberapa tujuan perusahaan. Manajemen risiko pengendalian internal memengaruhi kemampuan
perusahaan untuk berhasil, bersaing secara efektif di industrinya, mempertahankan kekuatan
keuangan dan reputasi positifnya, dan mempertahankan kualitas produk, layanan, dan orang secara
keseluruhan. Selalu ada beberapa risiko dalam aktivitas bisnis apa pun dan tidak ada cara praktis
untuk mengurangi semuanya. Manajemen, bagaimanapun, harus menentukan berapa banyak risiko
yang harus diterima secara hati-hati dan berusaha untuk mempertahankan risiko dalam batas-batas
ini, memahami seberapa besar toleransi yang dimilikinya untuk melampaui tingkat risiko target.

Kita semua menghadapi berbagai risiko, beberapa kemungkinan secara teratur dan lainnya tidak
masuk akal. Yang terakhir mengacu pada peristiwa sekali dalam seribu tahun seperti banjir besar
atau gempa bumi. Ya, mereka mungkin terjadi pada suatu waktu di masa depan, tetapi menetapkan
tujuan dan praktik perbaikan potensial sering kali bernilai kecil. Sebaliknya, manajemen maupun
audit internal harus bertanya pada diri sendiri situasi potensial apa yang membuat mereka khawatir
dalam waktu yang relatif dekat. Ini dapat membentuk dasar untuk menetapkan serangkaian sasaran
risiko.

Misalnya, produsen produk teknis mungkin memiliki tujuan untuk meluncurkan produk baru,
menggunakan teknologi yang terus berkembang yang mungkin menghadapi beberapa pesaing kuat
dalam pasar yang sangat bersaing dengan harga, dan dengan beberapa ketidakpastian tentang
apakah pasar akan menerima produk tersebut sebagai seperti yang diharapkan. Skenario jenis ini
dapat menimbulkan sejumlah besar risiko potensial dan harus diidentifikasi dan didokumentasikan.

4.8 Prinsip Penilaian Risiko 7: Mengidentifikasi dan Menganalisis Risiko

Manajemen perusahaan dengan dukungan audit internal harus berusaha mengidentifikasi semua
risiko pengendalian internal yang mungkin memengaruhi perusahaan, mulai dari risiko yang lebih
besar atau lebih signifikan hingga risiko yang lebih kecil yang terkait dengan proyek individual atau
unit bisnis yang lebih kecil. Proses identifikasi risiko memerlukan pendekatan yang dipelajari dan
disengaja untuk melihat potensi risiko di setiap area operasi dan kemudian mengidentifikasi area
risiko yang lebih signifikan yang dapat memengaruhi setiap operasi dalam periode waktu yang wajar.
Idenya bukan untuk hanya mendaftar setiap risiko yang mungkin tetapi untuk mengidentifikasi
mereka yang mungkin berdampak operasi, dengan beberapa tingkat probabilitas, dalam periode
waktu yang wajar. Ini bisa menjadi latihan yang sulit karena kita sering tidak tahu probabilitas risiko
yang terjadi atau sifat konsekuensi jika perusahaan harus menghadapi risiko.
Sementara fokus COSO adalah pada pelaporan keuangan eksternal, proses identifikasi risiko harus
dilakukan pada berbagai tingkatan dalam suatu perusahaan. Risiko yang berdampak pada unit bisnis
individu atau proyek mungkin tidak memiliki dampak sebesar itu pada seluruh perusahaan atau di
luarnya. Sebaliknya, risiko besar yang berdampak pada seluruh perekonomian akan mengalir ke
masing-masing perusahaan dan unit bisnis yang terpisah.

Sementara mengidentifikasi dan menganalisis risiko harus menjadi proses berulang yang
berkelanjutan yang dilakukan untuk meningkatkan kemampuan perusahaan untuk mencapai
tujuannya, itu adalah bidang penting yang harus dipertimbangkan sebagai bagian dari perencanaan
audit internal, seperti dibahas dalam Bab 8. Meskipun perusahaan mungkin tidak secara eksplisit
nyatakan semua tujuan terkait risiko, ini tidak berarti bahwa tujuan yang tersirat adalah tanpa risiko
internal atau eksternal, dan perusahaan harus mempertimbangkan semua risiko yang mungkin
terjadi.

Agar efektif, proses identifikasi risiko perusahaan harus didukung oleh berbagai kegiatan, teknik, dan
mekanisme, masing-masing relevan dengan penilaian risiko secara keseluruhan. Manajemen harus
mempertimbangkan risiko ini di semua tingkatan dan mengambil langkah yang diperlukan untuk
mengelolanya. Penilaian risiko harus mempertimbangkan faktor-faktor yang mempengaruhi tingkat
keparahan, kecepatan, dan kegigihan risiko, kemungkinan hilangnya aset, dan dampak terkait pada
operasi, pelaporan, dan kegiatan kepatuhan. Selain itu, audit internal dan perusahaan secara
keseluruhan perlu memahami toleransi perusahaan untuk menerima risiko dan kemampuannya
untuk beroperasi dalam tingkat risiko tersebut.

Prinsip identifikasi dan analisis risiko COSO menyerukan pertimbangan semua risiko dalam suatu
perusahaan, termasuk subunit dan fungsi operasionalnya, seperti keuangan, sumber daya manusia,
pemasaran, produksi, pembelian, dan manajemen TI. Selain itu, proses ini harus mempertimbangkan
risiko internal dan eksternal yang berasal dari penyedia layanan outsourcing, pemasok utama, dan
mitra penyalur yang secara langsung atau tidak langsung berdampak pada pencapaian tujuan
perusahaan. Dalam melakukan penilaian risiko ini, manajemen harus mempertimbangkan laju
perubahan dalam menentukan frekuensi proses penilaian risiko. Sementara penilaian risiko adalah
proses yang dinamis, perusahaan harus menggunakan kombinasi penilaian risiko yang sedang
berlangsung dan berkala. Audit internal dapat memainkan peran penting di sini, baik dalam
perencanaan audit internal berbasis risiko maupun identifikasi “melayang di tanah” di area risiko
potensial sebagai bagian dari audit internal di lokasi lapangan.

4.9 Asesmen Penilaian Risiko 8: Mengevaluasi Risiko Kecurangan

Seperti yang kita bahas di Bab 3, auditor internal di masa lalu memiliki keterlibatan minimal dengan
masalah yang terkait dengan penipuan, tetapi ini sangat banyak berubah. Auditor internal sering
berada dalam posisi yang sangat baik untuk mengevaluasi risiko kecurangan karena kegiatan
peninjauan berkelanjutan mereka di seluruh perusahaan. Proses deteksi dan pencegahan penipuan
akan dibahas lebih lanjut dalam Bab 27, dan itu adalah prinsip kontrol internal COSO yang penting.

Penilaian risiko penipuan adalah proses yang harus digunakan perusahaan untuk menentukan
paparannya terhadap penipuan internal dan eksternal. Penilaian harus meninjau operasi dan
kontrol, termasuk kebijakan dan prosedur, untuk menentukan di mana ada celah yang dapat
memungkinkan seseorang atau sekelompok orang untuk melakukan penipuan terhadap perusahaan.
Penilaian risiko penipuan kemudian harus melihat bidang-bidang utama perusahaan untuk
menentukan apakah tindakan telah diambil yang akan mengingatkan manajemen terhadap
penipuan atau untuk secara efektif mencegah pelaksanaan penipuan. Setiap perusahaan memiliki
tingkat risiko dan teknik mitigasi yang berbeda tergantung pada industrinya. Perusahaan manufaktur
dengan inventori nilai unit tinggi memiliki risiko yang berbeda dari perusahaan teknologi perangkat
lunak dengan kekayaan intelektual yang berharga. Perusahaan ritel dengan toko memiliki risiko yang
berbeda dengan perusahaan jasa profesional. Setiap penilaian risiko perlu disesuaikan dengan
organisasi dan risiko spesifik yang dihadapinya. Tampilan 4.3 menunjukkan proses penilaian risiko
penipuan umum ini.

Auditor internal mengalami banyak masalah kesadaran dan potensi masalah penipuan dalam proses
tinjauan yang dijadwalkan yang sedang berlangsung. Mereka juga biasanya terlibat dalam ulasan
tingkat transaksi yang jauh lebih terperinci daripada rekan audit eksternal mereka dan lebih sering
melihat dokumen atau transaksi yang dipertanyakan. Jika manajemen merasa mungkin ada
penipuan potensial di perusahaan, langkah pertama hampir selalu menghubungi audit internal, yang
juga akan memiliki beberapa koneksi dan komunikasi dengan departemen hukum perusahaan.
Mereka dapat mendiskusikan masalah potensial apa pun di sana dan mendapatkan pendapat cepat
tentang apakah suatu kekhawatiran memerlukan lebih banyak perhatian. Jika ada tanda-tanda kuat
penipuan aktif, hukum perusahaan hampir selalu siap untuk terjun ke masalah ini dan membantu.

Standar IIA menekankan bahwa audit internal memiliki peran untuk dimainkan terkait deteksi dan
pencegahan penipuan, tetapi tanggung jawab utama berada pada manajemen. Meskipun secara
teori ini terdengar sederhana, masalahnya terletak pada mengkomunikasikan pesan itu kepada
manajemen. Evaluasi risiko kecurangan adalah prinsip pengendalian internal yang penting.

4.10 Asesmen Penilaian Risiko Prinsip 9: Mengidentifikasi Perubahan yang Memengaruhi Kontrol
Internal

Prinsip penilaian risiko memiliki nilai yang kecil jika suatu perusahaan melakukan analisis yang luas
untuk mengidentifikasi risiko tetapi pada dasarnya tidak melakukan tindakan apa pun untuk
mengurangi risiko yang diidentifikasi. Ini benar-benar memerlukan rencana respons risiko dengan
prinsip akhir untuk pengendalian risiko pengendalian internal COSO:

Identifikasi dan analisis perubahan yang dapat secara signifikan mempengaruhi kontrol internal.

Perusahaan harus mengembangkan strategi manajemen risiko sebagai bagian dari proses
manajemen risiko mereka. Strategi manajemen risiko membahas bagaimana perusahaan bermaksud
menilai risiko yang teridentifikasi, merencanakan respons, dan memantau risiko itu — membuat
secara eksplisit dan transparan persepsi risiko yang digunakan perusahaan secara rutin dalam
membuat keputusan investasi dan operasional. Identifikasi risiko dan strategi analisis adalah bagian
penting dari manajemen risiko perusahaan.

Strategi respons adalah komponen kunci dari kontrol internal COSO. Setelah potensi signifikansi
risiko telah dinilai, manajemen harus mempertimbangkan bagaimana risiko tersebut harus dikelola.
Ini sering melibatkan penilaian berdasarkan asumsi tentang risiko dan analisis yang wajar dari biaya
yang terkait dengan pengurangan tingkat risiko. Manajemen harus mempertimbangkan tindakan
pada masing-masing dari empat strategi respons risiko dasar yang dibahas dalam Bab 3:
penghindaran, pengurangan, pembagian, dan penerimaan risiko.

Manajemen harus mengembangkan strategi respons risiko umum untuk setiap risikonya
menggunakan pendekatan yang dibangun di sekitar salah satu dari empat strategi umum ini. Dalam
melakukan hal itu, harus dipertimbangkan biaya versus manfaat dari setiap respons risiko potensial
untuk menyelaraskannya dengan selera risiko perusahaan secara keseluruhan. Misalnya, pengakuan
perusahaan bahwa dampak risiko yang diberikan relatif rendah akan diseimbangkan dengan
toleransi risiko rendah yang menunjukkan bahwa asuransi harus dibeli untuk memberikan respons
risiko yang potensial. Untuk banyak risiko, respons yang tepat jelas dan hampir dipahami secara
universal. Sebuah operasi TI, misalnya, menghabiskan waktu dan sumber daya untuk membuat
cadangan file data utamanya dan mengimplementasikan rencana kesinambungan bisnis. Seharusnya
tidak ada pertanyaan mengenai pendekatan dasar ini, tetapi berbagai tingkat manajemen dapat
mempertanyakan frekuensi proses pencadangan atau seberapa sering rencana kesinambungan perlu
diuji.

Suatu perusahaan pada saat ini harus kembali ke beberapa sasaran risiko yang telah ditetapkan serta
rentang toleransi untuk sasaran tersebut. Maka itu harus membaca kembali kemungkinan dan
dampak yang terkait dengan masing-masing risiko yang diidentifikasi dalam tujuan risiko tersebut
untuk mengembangkan penilaian dari kedua kategori risiko tersebut serta penilaian keseluruhan dari
respons risiko yang direncanakan dan bagaimana risiko tersebut akan selaras dengan keseluruhan
toleransi risiko perusahaan. Pesan dasar di sini adalah bahwa perusahaan membutuhkan rencana
respons risiko secara keseluruhan agar dapat mengeluh dengan kerangka kerja pengendalian
internal COSO-nya.

4.11 Aktivitas Kontrol, Prinsip 10: Memilih Aktivitas Kontrol yang Mengurangi Risiko

Prinsip kegiatan pengendalian COSO yang penting ini menyatakan bahwa, sebagai bagian dari
keseluruhan lingkungan pengendalian internal, perusahaan harus memilih dan mengembangkan
kegiatan pengendalian yang berkontribusi pada mitigasi risiko pengendalian internal untuk
pencapaian sasaran mereka ke tingkat yang dapat diterima. Aktivitas pengendalian mencakup
tindakan yang memastikan bahwa respons terhadap risiko yang dinilai, serta arahan manajemen
lainnya — seperti menetapkan kode etik perusahaan — dilakukan dengan benar dan tepat waktu.

Karena setiap perusahaan memiliki serangkaian tujuan dan pendekatan penerapannya sendiri, akan
selalu ada perbedaan dalam tujuan, risiko, respons, dan kegiatan pengendalian terkait. Setiap
perusahaan dikelola oleh orang yang berbeda dengan keterampilan berbeda yang menggunakan
teknik masing-masing dalam melakukan kontrol internal. Selain itu, kontrol mencerminkan
lingkungan dan industri tempat perusahaan beroperasi serta kompleksitas organisasinya,
sejarahnya, budaya, dan ruang lingkup operasinya.
Faktor khusus perusahaan dapat memengaruhi aktivitas kontrol yang diperlukan untuk mendukung
sistem kontrol internal mereka:

 Lingkungan dan kompleksitas perusahaan serta sifat dan ruang lingkup operasinya, baik
secara fisik maupun logis, semuanya dapat memengaruhi aktivitas pengendalian
perusahaan.
 Perusahaan yang sangat teratur biasanya memiliki respons risiko yang lebih kompleks dan
kegiatan kontrol daripada entitas yang kurang teratur.
 Cakupan dan sifat respons risiko dan aktivitas kontrol untuk perusahaan multinasional
dengan beragam operasi pada umumnya membahas struktur kontrol internal yang lebih
kompleks dibandingkan dengan perusahaan domestik dengan aktivitas yang kurang
beragam.
 Suatu perusahaan dengan sistem perencanaan sumber daya perusahaan yang cukup
canggih, sebagaimana dibahas lebih lanjut dalam bagian berikut, akan memiliki kegiatan
kontrol yang berbeda dari yang menggunakan sistem IT yang kurang canggih.
 Perusahaan dengan operasi terdesentralisasi dan penekanan pada otonomi dan inovasi lokal
menghadirkan lingkungan kontrol yang berbeda dari yang lain yang operasinya konstan dan
sangat tersentralisasi.

Poin-poin sebelumnya menyoroti masalah yang jelas mengenai kerangka kerja pengendalian internal
COSO. Ketika membangun proses pengendalian internal, suatu perusahaan selalu perlu memikirkan
ukuran relatif dan kompleksitas perusahaan. Satu ukuran tidak cocok untuk semua, dan manajemen
harus mempertimbangkan ukuran relatif perusahaan dan harus membuat akomodasi kontrol
internal berdasarkan ukuran relatif dan pertimbangan lingkungan operasi lainnya.

Pemilihan dan pengembangan kegiatan kontrol perusahaan yang kuat yang memitigasi risiko
keseluruhan adalah prinsip kontrol internal COSO yang penting. Untuk auditor internal, ini akan
mengarah pada pengembangan dan pelaksanaan audit internal yang efektif, seperti yang dibahas
dalam Bab 8, serta kegiatan audit internal lainnya yang ditemukan di bab lain.

4.12 Aktivitas Kontrol Prinsip 11: Memilih dan Mengembangkan Kontrol Teknologi

COSO menggunakan istilah teknologi dalam prinsip ini, dan itu dapat mencakup bidang-bidang
seperti pembuatan robotika, instrumen pengujian farmasi, dan pengembangan produk video
elektronik yang berorientasi konsumen. Semua produk teknologi ini dan banyak lagi melampaui apa
yang biasa kita sebut sistem TI, dan banyak masalah dan masalah kontrol internal mereka benar-
benar di luar jangkauan banyak auditor internal. Mengingat keterbatasan ruang di sini, ketika COSO
mereferensikan teknologi kontrol, kami akan mereferensikan aplikasi sistem TI dan kontrol umum.
Kedua area kendali TI ini mencakup berbagai topik dan dibahas dalam Bagian Lima buku ini, Bab 19
hingga 24.

Ada banyak jenis kontrol TI yang terkait dengan teknis, manajemen, dan terkait tata kelola yang
mencakup segala sesuatu mulai dari kebijakan TI manajemen tingkat tinggi hingga proses kontrol
untuk aplikasi tertentu dan bahkan berjalan pada perangkat genggam. Tampilan 4.4 menjelaskan
keseluruhan hirarki kendali TI ini, yang sebagian besar akan dibahas dalam bab-bab lain di masa
mendatang. Maksud kami di sini adalah bahwa ada satu prinsip pengendalian internal COSO yang
berbicara tentang pentingnya kontrol TI, tetapi perusahaan menghadapi tantangan untuk memilih
dan mengembangkan kontrol TI yang sesuai.
4.13 Mengontrol Kegiatan Prinsip 12: Kebijakan dan Prosedur

Yang ketiga dari prinsip-prinsip kegiatan pengendalian COSO menuntut perusahaan untuk
menyebarkan kegiatan pengendaliannya melalui kebijakan dan prosedur. Kontrol kebijakan kegiatan
menentukan dan menetapkan apa yang diharapkan, dan prosedur menerapkan kebijakan tersebut.
Sementara suatu perusahaan biasanya akan memiliki banyak kebijakan dan prosedur untuk
mencapai tujuannya, kegiatan pengendalian harus dimulai yang secara khusus berkaitan dengan
kebijakan dan prosedur tersebut dan berkontribusi pada mitigasi risiko untuk pencapaian tujuan
pada tingkat yang dapat diterima.

Suatu kebijakan harus lebih dari sekadar CEO yang mengatakan dia umumnya ingin melakukan
sesuatu atau mengambil tindakan tanpa rincian yang lebih spesifik. Dalam menjalani tinjauan formal
dan proses persetujuan, perusahaan harus menerbitkan pernyataan yang menguraikan maksud
manajemen untuk menerapkan beberapa kebijakan atau mengambil tindakan. Sering diterbitkan
pada basis data layanan pelanggan, kebijakan yang diterbitkan perusahaan harus memiliki elemen
berikut:

 Tujuan kebijakan. Harus ada pernyataan tingkat tinggi yang menguraikan maksud atau
tujuan tingkat tinggi dari kebijakan tersebut.
 Lokasi dan penerapan. Harus ada definisi apakah kebijakan tersebut hanya berlaku untuk
beberapa unit atau bersifat global.
 Peran dan tanggung jawab. Deskripsi harus mencakup semua orang yang terlibat dalam
kebijakan.

Ada banyak gaya dan format pernyataan kebijakan perusahaan, dan dalam beberapa kasus kebijakan
bahkan dapat dikomunikasikan secara lisan selama pesan pendukung dipahami dengan baik.
Kebijakan tidak tertulis dapat menjadi efektif apabila saluran komunikasi melibatkan lapisan
manajemen terbatas dan interaksi dekat dengan pengawasan personel. Tetapi apakah itu ditulis
atau tidak, kebijakan harus menetapkan tanggung jawab dan akuntabilitas individu yang jelas dan
digunakan dengan tekun dan konsisten oleh personel yang kompeten. Suatu prosedur tidak akan
berguna jika dilakukan secara hafal, tanpa fokus yang tajam dan berkelanjutan pada risiko yang
menjadi arah kebijakan tersebut.

Elemen kunci dari prinsip kegiatan pengendalian ini adalah bahwa perusahaan harus menerapkan
kebijakan yang menetapkan apa yang diharapkan dan prosedur yang relevan untuk mencerminkan
kebijakan ini. Prinsip kegiatan kontrol ini menyerukan langkah-langkah tindakan berikut:
  Menetapkan kebijakan dan prosedur untuk mendukung penyebaran arahan manajemen.
Manajemen harus menetapkan kegiatan kontrol yang dibangun ke dalam proses bisnis dan
kegiatan sehari-hari karyawan melalui kebijakan yang menetapkan apa yang diharapkan dan
prosedur yang relevan yang menentukan tindakan tersebut.
 Menetapkan tanggung jawab dan akuntabilitas untuk melaksanakan kebijakan dan prosedur.
Manajemen harus menetapkan tanggung jawab dan akuntabilitas untuk semua kegiatan
pengendalian perusahaan yang relevan.
 Lakukan dengan menggunakan personel yang kompeten. Proses seleksi dan pelatihan harus
dilakukan sedemikian rupa sehingga personel yang kompeten ditugaskan untuk melakukan
kegiatan kontrol dengan tekun dan fokus.
 Lakukan tepat waktu. Personel yang bertanggung jawab harus melakukan kegiatan kontrol
tepat waktu seperti yang didefinisikan oleh kebijakan dan prosedur perusahaan.
 Ambil tindakan korektif bila perlu. Personel yang bertanggung jawab harus menyelidiki dan
menindaklanjuti hal-hal yang diidentifikasi sebagai hasil dari melaksanakan kegiatan kontrol.
 Menilai kembali kebijakan dan prosedur. Manajemen harus secara berkala meninjau
kegiatan pengendalian untuk menentukan relevansinya yang berkelanjutan dan harus
menyegarkannya jika perlu.

4.14 Prinsip Informasi dan Komunikasi 13: Menggunakan Informasi yang Relevan dan Berkualitas

Suatu perusahaan harus memperoleh dan menggunakan informasi yang relevan dan berkualitas
untuk mendukung berfungsinya komponen-komponen pengendalian internalnya. Informasi
diperlukan bagi perusahaan untuk melaksanakan tanggung jawab pengendalian internalnya dalam
mendukung pencapaian tujuan. Informasi tentang tujuan perusahaan harus dikumpulkan dari dewan
direksi dan kegiatan manajemen senior dan dirangkum sedemikian rupa sehingga manajemen lini
dan pihak lain dapat memahami tujuan ini dan peran mereka dalam pencapaian mereka. Masalah
komunikasi ini sering kali merupakan jenis masalah dasar “Manajemen 101”, di mana kita harus
selalu ingat bahwa informasi yang relevan adalah komponen kunci dari pengendalian internal yang
efektif. Manajemen senior, spesialis TI, auditor internal, dan lainnya, yang bekerja sebagai tim, harus
mensurvei sumber daya input dan output informasi manajemen dan keuangan masa lalu untuk
mengidentifikasi dan mendefinisikan dengan lebih baik persyaratan informasi yang relevan.

Untuk mendapatkan informasi yang relevan, sebagaimana didefinisikan dalam materi panduan
COSO, mengharuskan manajemen untuk mengidentifikasi dan menetapkan persyaratan informasi
pada tingkat detail dan spesifisitas yang kuat. Mengidentifikasi persyaratan informasi adalah proses
berulang dan berkelanjutan yang terjadi sepanjang kinerja sistem kontrol internal yang efektif.

Persyaratan informasi ditetapkan melalui kegiatan yang dilakukan untuk mendukung elemen atau
komponen kontrol internal lainnya. Persyaratan ini memfasilitasi dan mengarahkan manajemen dan
personel lain untuk mengidentifikasi sumber informasi yang relevan dan dapat diandalkan serta data
yang mendasarinya. Jumlah informasi dan data dasar yang tersedia untuk manajemen seringkali
lebih dari yang dibutuhkan karena meningkatnya sumber informasi dan kemajuan dalam
pengumpulan, pemrosesan, dan penyimpanan data. Dalam kasus lain, data mungkin sulit diperoleh
pada tingkat yang relevan atau spesifisitas yang diperlukan. Oleh karena itu, pemahaman yang jelas
tentang persyaratan informasi yang ditentukan COSO mengarahkan manajemen dan personel lain
untuk mengidentifikasi sumber informasi dan data yang relevan dan dapat diandalkan.
Informasi dari Sumber yang Relevan

Dengan meningkatnya penggunaan video, suara, dan komunikasi melalui Internet dan sumber
nirkabel, selain laporan cetak yang lebih tradisional, informasi internal dan eksternal juga diterima
dari berbagai sumber dan dalam berbagai bentuk dan format. Tampilan 4.5 menunjukkan beberapa
contoh jenis informasi yang ditemui manajemen perusahaan secara teratur.

Informasi dari Contoh Sumber yang Relevan

Info Sumber Contoh Informasi yang Relevan Contoh Data

Internal komunikasi Manajemen Senior atau Perubahan organisasi
pengawas
Internal Laporan Inspeksi dari lantai produksi Informasi produksi online dan
berkualitas
Internal Temuan dan rekomendasi laporan Rencana tindakan korektif berdasarkan
audit internal temuan audit
Internal Sistem pelaporan waktu Personil Jam yang dikeluarkan untuk proyek
berbasis waktu
Internal Laporan dari sistem manufaktur Hasil produksi: jumlah unit yang dikirim
Internal Respons terhadap survei pelanggan Faktor-faktor yang memengaruhi
pembelian berulang oleh pelanggan
Internal Hotline Pengaduan melaporkan Pengaduan tentang perilaku
kekhawatiran dan masalah manajemen
Eksternal Data dari penyedia layanan Produk yang dikirim dari produsen
outsourcing kontrak
Eksternal Laporan Riset Industri informasi produk Pesaing
Eksternal Perusahaan Peer menghasilkan rilis Metrik pasar dan industri
Eksternal Peraturan dari Pemerintah atau Persyaratan baru atau yang diperluas
asosiasi dagang dan standar baru
Eksternal Media sosial, blog, atau posting lain Opini tentang perusahaan
Eksternal Perdagangan menunjukkan survei dan Berkembang minat dan preferensi
komentar yang dicatat peserta pelanggan
Eksternal Hotline Pelapor Klaim penipuan, penyuapan, dll.

Dalam mengelola informasi mereka dari sumber eksternal, manajemen harus

mempertimbangkannya dalam ruang lingkup yang komprehensif tentang peristiwa potensial,
kegiatan, dan sumber data yang tersedia secara internal dan dari sumber yang dapat dipercaya, dan
memilih yang paling relevan dan berguna untuk struktur organisasi saat ini, bisnis model, atau
tujuan. Ketika perubahan pada suatu perusahaan terjadi, persyaratan informasi mereka juga
berubah. Sebagai contoh, suatu perusahaan yang beroperasi di lingkungan bisnis atau ekonomi yang
sangat dinamis dapat mengalami perubahan terus-menerus, sering kali disebabkan oleh aktivitas
pesaing yang sangat inovatif dan bergerak cepat yang mengubah ekspektasi pelanggan. Selain itu,
jenis perusahaan ini mungkin menghadapi masalah regulasi yang terus berkembang, masalah
globalisasi, dan tantangan dari inovasi teknologi. Dengan demikian manajemen harus secara teratur
mengevaluasi kembali persyaratan informasinya dan menyesuaikan dengan sifat, luas, dan sumber
informasi dan data yang mendasarinya untuk memenuhi kebutuhannya yang berkelanjutan.
Memproses Data melalui Sistem Informasi

COSO menggunakan sistem informasi frase dalam arti yang agak luas, yang berarti sistem teknologi
informasi (TI) dan keseluruhan proses terkait lainnya - baik berbasis manual dan TI - untuk
menangkap, menganalisis, menyimpan, dan mendistribusikan semua jenis informasi bisnis.
Perusahaan mengembangkan sistem informasi untuk sumber, menangkap, dan memproses data
dalam volume besar dari sumber internal dan eksternal menjadi informasi yang bermakna dan dapat
ditindaklanjuti untuk memenuhi persyaratan informasi yang ditetapkan. Sistem informasi mencakup
kombinasi orang, proses, dan teknologi yang mendukung proses dasar atau fundamental bisnis yang
dikelola secara internal serta yang didukung melalui hubungan dengan penyedia layanan
outsourcing dan pihak eksternal lainnya.

Informasi dapat diperoleh melalui berbagai bentuk, termasuk input atau kompilasi manual, atau
melalui penggunaan proses TI seperti antarmuka pemrograman aplikasi tautan otomatis. Percakapan
dengan pelanggan, pemasok, regulator, dan karyawan juga merupakan sumber data dan informasi
penting yang diperlukan untuk mengidentifikasi dan menilai risiko dan peluang. Dalam beberapa
kasus, informasi dan data dasar yang ditangkap memerlukan kekhususan. Dalam kasus lain,
informasi dapat diperoleh langsung dari sumber internal atau eksternal.

Volume informasi yang dapat diakses oleh suatu perusahaan menghadirkan peluang dan risiko.
Akses yang lebih besar ke informasi umumnya akan meningkatkan kontrol internal. Namun,
peningkatan volume informasi dan data yang mendasarinya dapat menciptakan risiko tambahan
seperti risiko operasional yang disebabkan oleh inefisiensi karena kelebihan data, atau risiko
kepatuhan yang terkait dengan undang-undang dan peraturan seputar perlindungan data, retensi,
privasi, dan masalah keamanan yang timbul dari sifat data yang disimpan oleh atau atas nama
perusahaan.

Sifat dan tingkat kebutuhan informasi, kompleksitas dan volume informasi ini, dan ketergantungan
pada pihak luar berdampak pada berbagai kecanggihan sistem informasi, termasuk tingkat teknologi
yang digunakan. Terlepas dari tingkat kecanggihan yang diadopsi, semua jenis sistem informasi
mendukung pemrosesan transaksi dan data end-to-end yang memungkinkan perusahaan untuk
mengumpulkan, menyimpan, dan merangkum informasi yang berkualitas dan konsisten di seluruh
proses yang relevan, baik manual, otomatis, atau kombinasi keduanya.

Sistem informasi yang dikembangkan dengan proses terintegrasi yang didukung teknologi
memberikan peluang bagi suatu perusahaan untuk meningkatkan efisiensi, kecepatan, dan
aksesibilitas informasi kepada pengguna. Selain itu, sistem informasi tersebut dapat meningkatkan
kontrol internal atas risiko keamanan dan privasi yang terkait dengan informasi yang diperoleh dan
dihasilkan oleh perusahaan. Sistem informasi harus dirancang dan diterapkan untuk membatasi
akses ke informasi hanya untuk mereka yang membutuhkannya dan untuk mengurangi jumlah titik
akses untuk meningkatkan efektivitas risiko migrasi terkait dengan keamanan dan privasi informasi.

Mencapai keseimbangan yang tepat antara manfaat dan biaya untuk mendapatkan dan mengelola
informasi dan sistem pendukung adalah pertimbangan utama dalam membangun sistem informasi
yang memenuhi kebutuhan perusahaan. Prinsip kontrol internal COSO ini meningkatkan pentingnya
semua sistem informasi perusahaan — baik TI maupun proses lainnya — dalam membangun kontrol
internal yang efektif. Manajemen perusahaan harus memikirkan pentingnya sistem informasi tidak
hanya dalam hal proses, seringkali hanya dikelola oleh fungsi atau departemen TI, tetapi dalam hal
arus informasi perusahaan secara keseluruhan sebagai sarana untuk meningkatkan kontrol internal
perusahaan.
4.15 Prinsip Informasi dan Komunikasi 14: Komunikasi Internal

Suatu perusahaan harus secara internal mengkomunikasikan informasi kontrol internal, termasuk
tujuan dan tanggung jawabnya, untuk mendukung berfungsinya komponen-komponen lain dari
kontrol internal. Didukung oleh manajemen senior, komunikasi informasi ini harus disampaikan
kepada semua elemen di seluruh perusahaan dan termasuk:

 Pentingnya, relevansi, dan manfaat dari pengendalian internal yang efektif

 Peran dan tanggung jawab manajemen dan personel lain dalam melakukan proses kontrol
internal tersebut
 Harapan perusahaan untuk berkomunikasi naik, turun, dan di semua hal penting yang
berkaitan dengan pengendalian internal, termasuk contoh kelemahan, kemunduran, atau
ketidakpatuhan

Perusahaan harus menetapkan dan menerapkan kebijakan dan prosedur yang memfasilitasi
komunikasi internal yang efektif. Ini termasuk komunikasi spesifik dan terarah yang membahas
otoritas individu, tanggung jawab, dan standar perilaku di seluruh perusahaan. Manajemen senior
harus mengomunikasikan tujuan perusahaan dengan jelas sehingga manajemen dan personel lain,
termasuk yang bukan karyawan seperti kontraktor, memahami peran masing-masing dalam
organisasi. Komunikasi semacam itu terjadi terlepas dari di mana personel berada, tingkat otoritas
mereka, atau tanggung jawab fungsional mereka.

Komunikasi Kontrol Internal

Komunikasi kontrol internal dimulai dengan penyampaian dan komunikasi tujuan. Ketika manajemen
mengalirkan komunikasi tujuan spesifik perusahaan di seluruh organisasi, penting bahwa sub-tujuan
terkait atau persyaratan spesifik dikomunikasikan kepada personel dengan cara yang memungkinkan
mereka untuk memahami bagaimana peran dan tanggung jawab mereka berdampak pada
pencapaian tingkat tinggi perusahaan tujuan.

Semua personil juga harus menerima pesan yang jelas dari manajemen senior bahwa tanggung
jawab pengendalian internal mereka harus ditanggapi dengan serius. Melalui komunikasi tujuan dan
sub-tujuan, personel harus memahami bagaimana peran, tanggung jawab, dan tindakan mereka
berhubungan dengan pekerjaan orang lain di perusahaan, tanggung jawab mereka untuk
pengendalian internal, dan apa yang dianggap sebagai perilaku yang dapat diterima dan tidak dapat
diterima. Dengan membangun struktur kontrol yang sesuai, wewenang, dan tanggung jawab,
komunikasi dengan personel tentang harapan mereka untuk berlatih dan menerapkan kontrol
internal yang efektif akan terpengaruh. Namun, komunikasi tentang tanggung jawab pengendalian
internal mungkin tidak mencukupi untuk memastikan bahwa manajemen dan personel lainnya
memikul tanggung jawab akuntabilitas mereka dan merespons sebagaimana dimaksud. Seringkali
manajemen harus mengambil tindakan tepat waktu yang konsisten dengan komunikasi tersebut
untuk menegakkan pesan yang disampaikan.

Selain itu, informasi yang dibagikan melalui komunikasi internal membantu manajemen dan
personel lain untuk mengenali masalah atau potensi masalah, menentukan penyebabnya, dan
mengambil tindakan korektif. Misalnya, departemen audit internal melakukan audit atas komisi yang
dibayarkan kepada distributor di satu lokasi internasional. Jika audit ini mengungkapkan contoh
penipuan pelaporan penjualan melalui distributor tertentu dan penyelidikan lebih lanjut
mengekspos pembayaran oleh distributor ke perwakilan penjualan yang bertanggung jawab untuk
distributor terkait, informasi ini akan dipublikasikan oleh departemen audit internal dalam laporan
yang ditujukan kepada dewan. dan manajemen senior. Setelah temuan audit internal telah
dikonfirmasi, kelemahan kontrol harus dibagikan dengan manajemen penjualan di lokasi lain,
memungkinkan mereka untuk menganalisis informasi secara lebih kritis untuk menentukan apakah
masalah tersebut lebih luas dan untuk mengambil tindakan yang diperlukan.

Komunikasi antara manajemen dan dewan direksi memberikan informasi yang dibutuhkan dewan
untuk melaksanakan tanggung jawab pengawasannya untuk pengendalian internal. Informasi yang
berkaitan dengan kontrol internal yang dikomunikasikan kepada dewan umumnya harus mencakup
hal-hal signifikan tentang kepatuhan, perubahan, atau masalah yang timbul dari sistem kontrol
internal. Frekuensi dan tingkat perincian komunikasi kepada manajemen dan dewan direksi harus
cukup untuk memungkinkan anggota dewan memahami hasil penilaian terpisah dan berkelanjutan
manajemen dan dampak dari hasil tersebut terhadap pencapaian tujuan. Selain itu, frekuensi dan
tingkat perincian harus cukup untuk memungkinkan dewan direksi menanggapi indikasi kontrol
internal yang tidak efektif pada waktu yang tepat.

Komunikasi Internal melampaui Saluran Normal

Agar informasi mengalir naik, turun, dan melintasi perusahaan, harus ada saluran komunikasi yang
terbuka dan kesediaan yang jelas untuk melaporkan dan mendengarkan. Manajemen dan personel
lain harus percaya bahwa penyelia mereka benar-benar ingin tahu tentang masalah terkait
pengendalian internal dan bahwa mereka akan menanganinya seperlunya. Dalam kebanyakan kasus,
jalur pelaporan normal yang didirikan, seperti bagan organisasi tradisional dalam suatu perusahaan,
adalah saluran komunikasi yang tepat. Namun, personel biasanya cepat menerima sinyal jika
manajemen tidak memiliki waktu atau minat untuk menangani masalah yang telah mereka selidiki.
Jika memperparah masalah ini, manajer yang tidak mau menerima mungkin menjadi orang terakhir
yang mengetahui bahwa saluran komunikasi normal tidak beroperasi atau tidak efektif.

Dalam beberapa keadaan, jalur komunikasi yang terpisah diperlukan untuk membangun mekanisme
gagal-aman untuk komunikasi anonim atau rahasia ketika saluran normal tidak beroperasi atau tidak
efektif. Beberapa perusahaan kecil telah menyediakan dan membuat karyawan sadar akan saluran
agar komunikasi tersebut dapat diterima oleh anggota dewan, atau anggota komite audit. Banyak
perusahaan yang lebih besar telah membentuk fungsi etika dan beberapa jenis fungsi hotline di
mana personel di semua tingkatan dapat menyampaikan kekhawatiran mereka setiap hari, dan
melaporkannya, mengajukan pertanyaan, atau bahkan bertindak sebagai pelapor untuk melaporkan
suatu masalah. Penulis ini memainkan peran utama dalam meluncurkan fungsi etika dan
membangun hotline etika untuk perusahaan besar AS beberapa tahun yang lalu, dan sejumlah
konsep ini dijelaskan dalam bukunya tentang kontrol internal SOx.

Stakeholder perusahaan harus sepenuhnya memahami bagaimana saluran komunikasi ini beroperasi
dan bagaimana mereka akan dilindungi secara rahasia untuk penggunaannya. Kebijakan dan
prosedur harus ada yang mengharuskan semua komunikasi melalui saluran ini dinilai, diprioritaskan,
dan diselidiki. Prosedur eskalasi harus dilakukan untuk memastikan bahwa komunikasi yang
diperlukan akan dilakukan kepada anggota dewan yang ditunjuk, kepala audit internal, atau kepala
staf etika, jika fungsi tersebut ada, yang akan bertanggung jawab untuk memastikan bahwa penilaian
yang tepat waktu dan tepat, investigasi, dan tindakan yang tepat dilakukan. Mekanisme terpisah ini
mendorong karyawan dan pemangku kepentingan terafiliasi untuk melaporkan dugaan pelanggaran
kode etik perusahaan tanpa takut akan pembalasan, dan mengirim pesan yang jelas bahwa
manajemen senior berkomitmen untuk membuka saluran komunikasi dan akan bertindak
berdasarkan informasi yang dilaporkan kepadanya.

Metode Komunikasi

Kejelasan dan efektivitas informasi yang dikomunikasikan penting untuk memastikan bahwa pesan-
pesan ini diterima sebagaimana dimaksud. Bentuk komunikasi aktif seperti pertemuan tatap muka
seringkali lebih efektif daripada bentuk pasif seperti email siaran atau posting Web. Evaluasi berkala
terhadap efektivitas praktik komunikasi perusahaan membantu memastikan bahwa metode ini
berfungsi. Ini dapat dilakukan melalui berbagai proses yang ada, seperti evaluasi kinerja karyawan,
tinjauan manajemen tahunan, dan program umpan balik.

Manajemen harus memilih metode komunikasi yang tepat, dengan mempertimbangkan audiens,
sifat komunikasi, ketepatan waktu, biaya, dan persyaratan keamanan dan privasi serta persyaratan
hukum atau peraturan. Tampilan 4.6 menunjukkan contoh berbagai format komunikasi terkait
kontrol internal. Tidak ada yang lebih baik dari yang lain selama metode yang dipilih secara tepat
mengkomunikasikan pesan yang diinginkan kepada penerima yang dituju.

Tampilan 4.6 Metode Contoh Komunikasi Internal

Jenis komunikasi Tujuan Khas

Halaman Jaringan Pribadi Kebijakan dan prosedur
Pesan E-mail Presentasi
Pelatihan Langsung atau Online Posting Situs Web
Twitter atau Facebook Posting Media Sosial
Memoranda Pesan teks
Diskusi Satu lawan Satu Webcast dan Video
Evaluasi Kinerja Basis Data Karyawan yang Aman

Ketika memilih metode atau format untuk komunikasi, manajemen harus mempertimbangkan
lingkungan di mana pesan dikirimkan. Misalnya, perbedaan budaya, etnis, dan generasi dapat
memengaruhi cara pesan diterima, dan metode komunikasi harus disesuaikan berdasarkan faktor-
faktor tersebut. Terlepas dari metode komunikasi yang digunakan, manajemen harus
mempertimbangkan persyaratan mereka untuk menyampaikan komunikasi kepada kedua pihak
internal terutama pihak-pihak eksternal di mana pesan terkait dengan kepatuhan terhadap hukum
dan peraturan. Mengingat potensi volume dan kemampuan untuk menyimpan dan mengambil
informasi seperti itu, persyaratan komunikasi ini mungkin sulit ketika manajemen mengandalkan
massa email yang terkait dengan komunikasi yang dimungkinkan oleh teknologi waktu-nyata.
Prinsip-prinsip kegiatan pengendalian atas penyimpanan informasi pengendalian internal harus
mempertimbangkan tantangan kemajuan teknologi, termasuk teknologi komunikasi dan kolaborasi
yang digunakan untuk mendukung pengendalian internal.

Komunikasi informasi yang terkait dengan tanggung jawab pengendalian internal saja mungkin tidak
cukup untuk memastikan bahwa manajemen dan personel lain menerima dan merespons
sebagaimana dimaksud. Tindakan yang konsisten dan tepat waktu yang diambil oleh manajemen
mengenai komunikasi tersebut memperkuat pesan yang disampaikan. Dengan teknologi yang terus
berubah, manajemen saat ini memiliki banyak pilihan dalam pilihan mereka untuk menyampaikan
pesan yang efektif kepada semua personel yang terlibat mengenai masalah kontrol internal. Namun,
manajemen harus mempertimbangkan lingkungan dan penerima pesan yang dimaksud, dan
menggunakan apa yang mereka anggap sebagai metode yang lebih efektif mengingat penerima yang
direncanakan.

4.16 Prinsip Informasi dan Komunikasi 15: Komunikasi Eksternal

Prinsip COSO penting yang harus ditetapkan dan diterapkan oleh perusahaan adalah kebijakan dan
prosedur yang memfasilitasi komunikasi eksternal yang efektif. Ini termasuk mekanisme untuk
mendapatkan atau menerima informasi dari pihak eksternal dan untuk membagikan informasi itu
secara internal, memungkinkan manajemen dan personel lain untuk mengidentifikasi tren, peristiwa,
atau keadaan yang dapat mempengaruhi pencapaian tujuan kontrol internal mereka.

Komunikasi dengan pihak luar memungkinkan orang lain untuk dengan mudah memahami peristiwa,
kegiatan, dan keadaan lain yang dapat memengaruhi bagaimana mereka harus berinteraksi dengan
suatu perusahaan. Komunikasi manajemen dengan pihak eksternal harus mengirim pesan tentang
pentingnya kontrol internal dalam perusahaan dengan menunjukkan jalur komunikasi terbuka.
Komunikasi dengan pemasok dan pelanggan eksternal sangat penting untuk membangun lingkungan
kontrol yang tepat dan untuk membantu pihak-pihak eksternal ini memahami nilai-nilai dan budaya
perusahaan. Mereka harus diberitahu tentang hal-hal seperti kode perilaku organisasi dan mengakui
tanggung jawab mereka dalam membantu memastikan kepatuhan dengan ini dan nilai-nilai lainnya.
Sebagai contoh, manajemen dapat mendistribusikan kebijakan dan praktik mereka untuk transaksi
bisnis dengan vendor atas persetujuan vendor baru dan mungkin mengharuskan vendor untuk
mengakui kepatuhannya sebelum persetujuan pesanan pembelian awal dengan vendor.

Masalah kompleksitas komunikasi dapat muncul antara perusahaan dan pihak eksternal melalui
penyedia layanan dan pengaturan outsourcing lainnya, usaha patungan dan aliansi, dan transaksi
lainnya yang menciptakan saling ketergantungan antara pihak-pihak ini. Kompleksitas semacam itu
dapat menimbulkan kekhawatiran tentang bagaimana bisnis dilakukan di antara para pihak. Dalam
hal ini, suatu perusahaan harus mempertimbangkan untuk membuat saluran komunikasi terpisah
tersedia untuk penyedia layanan eksternal agar mereka dapat berkomunikasi secara langsung
dengan manajemen dan personil lainnya. Misalnya, pelanggan produk yang dikembangkan melalui
usaha patungan dapat mengetahui bahwa salah satu mitra usaha patungan menjual produk di
negara yang tidak disetujui di bawah pengaturan usaha patungan. Pelanggaran seperti itu dapat
memengaruhi kemampuan pelanggan untuk menggunakan atau menjual kembali produk, yang
memengaruhi bisnis pelanggan itu. Perusahaan harus memfasilitasi saluran di mana ia dapat
mengkomunikasikan masalah kepada orang lain di perusahaan tanpa mengganggu operasi yang
sedang berlangsung.

Mirip dengan komunikasi internal, sarana yang dengannya manajemen harus berkomunikasi secara
eksternal memengaruhi kemampuannya untuk memperoleh informasi yang dibutuhkan serta untuk
memastikan bahwa pesan-pesan utama tentang perusahaan diterima dan dipahami. Manajemen
harus mempertimbangkan banyak bentuk dan metode komunikasi yang digunakan, dengan
mempertimbangkan audiens, sifat komunikasi, ketepatan waktunya, dan persyaratan hukum atau
peraturan. Komunikasi informasi dan data kontrol internal kepada pihak eksternal adalah prinsip
yang penting tetapi sering diabaikan.
4.17 Prinsip Pemantauan 16: Evaluasi Pengendalian Internal

Kegiatan pemantauan menilai apakah tujuan pengendalian internal COSO ada dan berfungsi. Suatu
perusahaan harus menggunakan proses evaluasi yang sedang berlangsung dan terpisah untuk
memastikan apakah prinsip-prinsip kontrol internal yang ditetapkan, baik di seluruh perusahaan dan
subunitnya, berlaku, sekarang, dan berfungsi. Pemantauan adalah faktor kunci dalam penilaian
efektivitas pengendalian internal. Suatu perusahaan, seringkali dengan dukungan audit internal,
harus melakukan kegiatan pemantauan kontrol yang sedang berlangsung dan mengidentifikasi dan
mengkomunikasikan kekurangan kontrol internal yang diketahui dalam lingkaran penuh proses
kontrol internal. Idenya di sini adalah bahwa perusahaan harus melalui masing-masing komponen
kontrol COSO, dan ketika siklus ini bergerak ke kegiatan pemantauan, mereka bertindak sebagai
faktor peninjau atas semua komponen kontrol internal lainnya.

Sebagai prinsip kontrol utama, perusahaan harus memilih, mengembangkan, dan melakukan
evaluasi yang sedang berlangsung dan / atau terpisah untuk memantau atau memastikan apakah
komponen kontrol internalnya ada dan berfungsi. Pemantauan dapat dilakukan melalui beberapa
kombinasi evaluasi terpisah atau proses pemantauan berkelanjutan. Audit internal independen satu
kali atas beberapa area operasi atau kontrol internal adalah contoh kegiatan pemantauan terpisah.
Audit internal dapat menjadwalkan tinjauan tunggal pada suatu area, berdasarkan penilaian risiko
mereka, dan kemudian dapat kembali untuk meninjau area yang sama lagi, berdasarkan kekurangan
kontrol internal apa pun yang ditemukan dalam review pertama. Evaluasi terpisah harus dilakukan
secara berkala oleh manajemen, audit internal, atau pihak eksternal, antara lain.

Proses pemantauan berkelanjutan mirip dengan proses audit internal berkelanjutan yang dibahas
dalam Bab 11. Mereka seperti lampu peringatan di perangkat pengukuran produksi yang hanya
berkedip jika beberapa pengukuran berada di luar batas. Evaluasi yang sedang berlangsung secara
umum didefinisikan, operasi rutin dibangun ke dalam proses bisnis dan dilakukan secara real-time,
bereaksi terhadap perubahan kondisi. Di mana evaluasi yang sedang berlangsung dibangun ke dalam
proses bisnis, komponen kontrol internal mereka biasanya disusun untuk memantau diri mereka
sendiri secara berkelanjutan.

Kontrol yang tidak dipantau cenderung memburuk seiring waktu, dan perusahaan harus
menerapkan proses pemantauan untuk membantu memastikan bahwa kontrol internal terus
beroperasi secara efektif. Ketika pemantauan dirancang dan diimplementasikan dengan tepat, suatu
perusahaan harus mendapat manfaat karena lebih cenderung untuk:

 Identifikasi dan koreksi masalah kontrol internal tepat waktu

 Menghasilkan informasi yang lebih akurat dan andal untuk digunakan dalam pengambilan
keputusan
 Menyiapkan laporan keuangan yang akurat dan tepat waktu
 Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang
efektivitas pengendalian internal

Seiring waktu, pemantauan yang efektif dapat mengarah pada efisiensi organisasi dan mengurangi
biaya yang terkait dengan pelaporan publik tentang pengendalian internal, karena masalah terkait
pemantauan diidentifikasi dan ditangani secara proaktif daripada reaktif.
4.18 Prinsip Pemantauan 17: Mengkomunikasikan Kekurangan Kontrol Internal

Suatu perusahaan harus mengomunikasikan defisiensi kontrol internalnya tepat waktu kepada
semua pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen
senior dan dewan direksi. Perusahaan harus mengidentifikasi hal-hal yang terkait dengan
pemantauan yang patut mendapat perhatian yang mewakili kekurangan potensial atau nyata dalam
beberapa aspek dari sistem pengendalian internal perusahaan dan yang berpotensi berdampak
buruk pada kemampuan perusahaan untuk mencapai tujuannya. Selain itu, perusahaan harus
berusaha mengidentifikasi peluang untuk meningkatkan efisiensi kontrol internalnya.

Hasil evaluasi pemantauan yang sedang berlangsung dan terpisah harus dinilai terhadap kriteria
manajemen untuk menentukan kepada siapa harus melaporkan dan apa yang akan dibahas, dan
semua kekurangan kontrol internal yang diidentifikasi harus dikomunikasikan kepada anggota
manajemen perusahaan dalam posisi untuk mengambil tindakan korektif tepat waktu . Setelah
setiap kekurangan yang diidentifikasi dievaluasi, manajemen harus menentukan bahwa upaya
perbaikan dilakukan tepat waktu.

Kekurangan kontrol internal, seperti yang diidentifikasi oleh audit internal, harus dilaporkan kepada
pihak yang bertanggung jawab untuk mengambil tindakan korektif dan setidaknya satu tingkat
manajemen tingkat atas. Tindakan-tindakan ini dibahas dalam Bab 18 tentang pelaporan hasil audit
internal. Ketika temuan melintasi batas-batas organisasi, kekurangan harus dilaporkan kepada
semua pihak yang relevan dan ke tingkat yang cukup tinggi untuk mendorong tindakan yang sesuai.
Yaitu, kekurangan yang berkaitan dengan dewan direksi di mana dewan tidak independen sejauh
yang disyaratkan atau di mana dewan tidak memberikan pengawasan yang memadai harus
dilaporkan sebagaimana ditentukan oleh protokol pelaporan yang ditetapkan kepada dewan penuh,
ketua dewan, dan komite pelaporan dewan yang sesuai.

Proses untuk melaporkan kekurangan kontrol internal adalah komponen kunci untuk memastikan
bahwa perusahaan memiliki kontrol internal yang efektif. Manajemen perlu merancang,
mengembangkan, dan meluncurkan proses kontrol internal yang efektif, tetapi perlu ada beberapa
bentuk proses pemantauan untuk memberikan jaminan bahwa kontrol internal tersebut sudah ada.

17 prinsip kontrol internal COSO tidak dimasukkan dalam kerangka kerja asli tetapi sekarang
merupakan panduan penting untuk membantu manajemen dan audit internal untuk fokus pada
panduan kontrol internal yang terkandung dalam kerangka kerja COSO tiga dimensi. Kami akan
berkonsentrasi pada prinsip-prinsip ini dalam berbagai bab ke depan, dan pengetahuan umum
tentang 17 prinsip pengendalian internal COSO ini harus menjadi bagian dari setiap kegiatan operasi
CBOK auditor internal.