Kerangka Kerja
Pengendalian Internal
COSO
B
Eksekutif bisnis dan beberapa auditor internal mungkin bertanya, "Siapa
atau apa itu COSO"? Ini bukan standar atau persyaratan terperinci tetapi hanya
kerangka kerja. Dalam dunia bisnis kami beberapa aturan dan peraturan yang
memiliki persyaratan dari
Beberapa lembaga pengatur pemerintah dan lainnya sering menggunakan akronim
yang sulit diingat, mudah untuk memutar mata atau mengangkat bahu pada akronim
dan serangkaian persyaratan lainnya. Kontrol internal COSO adalah kerangka kerja yang
menguraikan praktik profesional untuk membangun sistem dan proses bisnis pilihan
yang mempromosikan pengendalian internal yang efisien dan efektif. Organisasi
sponsor yang menerbitkan dan menerbitkan materi ini bukanlah pemerintah atau
jenis badan pengatur lainnya. Namun demikian, kerangka kerja pengendalian internal
COSO adalah seperangkat atau model penting dari materi panduan yang harus diikuti
perusahaan ketika mengembangkan proses, sistem, dan prosedur bisnis mereka serta
dalam menetapkan kepatuhan Sarbanes-Oxley Act (SOx). Pemahaman tentang
kerangka pengendalian internal COSO adalah persyaratan audit internal yang harus
HARUS DILAKUKAN CBOK.
Kerangka kerja pengendalian internal COSO awalnya diluncurkan di Amerika
Serikat pada tahun 1992, sekarang sudah lama sekali. Ini adalah periode dari
beberapa praktik bisnis penipuan yang signifikan di Amerika Serikat dan di tempat
lain yang mengungkapkan kebutuhan yang diakui dengan baik untuk meningkatkan
proses dan panduan prosedur pengendalian internal. Kerangka pengendalian internal
COSO 1992 ini segera menjadi elemen mendasar dari standar audit American
Institute of Certified Public Accountants (AICPA) di Amerika Serikat dan akhirnya
menjadi standar bagi auditor eksternal perusahaan dalam ulasan mereka yang
menyatakan bahwa pengendalian internal perusahaan memadai mengikuti aturan SOx
yang dibahas dalam Bab 5. Karena sifatnya yang umum menggambarkan praktik
pengendalian internal yang baik, kerangka kerja COSO tidak pernah direvisi hingga
2014.
Sejak dirilisnya kerangka kerja COSO asli itu, ada banyak perubahan dalam
organisasi bisnis dan khususnya dalam struktur perusahaan dan proses TI. Misalnya,
sistem komputer mainframe dengan banyak prosedur pemrosesan batch adalah
Audit Internal Modern Brink: Umum
29
Body of Knowledge, Edisi Kedelapan
Oleh Robert R. Moller
Hak cipta © 2016 oleh John Wiley & Sons, Inc.
3.1 Memahami Pengendalian Internal ■ 31
umum saat itu tetapi semuanya hilang hari ini, untuk digantikan oleh client-server dan
sistem tanpa kabel. Juga, World Wide Web baru saja dimulai saat itu dan hampir tidak
lazim seperti sekarang ini. Karena Internet, struktur organisasi perusahaan telah
menjadi jauh lebih cair, fleksibel, dan internasional. Selain itu, hal-hal seperti
komputasi jejaring sosial, perangkat genggam yang kuat, dan komputasi awan tidak
ada saat itu.
Meskipun beberapa orang mungkin bertanya-tanya mengapa butuh waktu begitu
lama, COSO mengumumkan pada tahun 2011 bahwa mereka merevisi kerangka
kerja pengendalian internal mereka, dan deskripsi kerangka kerja kontrol internal
COSO yang direvisi akhirnya dirilis pada pertengahan Mei 2014, dengan persyaratan
kepatuhan penuh pada awal 2015. Bab ini pertama-tama akan membahas pentingnya
konsep pengendalian internal dan kemudian akan menjelaskan kerangka pengendalian
internal COSO yang baru direvisi dan bagaimana auditor internal dapat
menggunakannya untuk meningkatkan tinjauan pengendalian internal mereka.
Pengendalian internal adalah suatu proses, yang dilakukan oleh dewan direksi,
manajemen, dan personel entitas lainnya, yang dirancang untuk memberikan
keyakinan yang memadai mengenai pencapaian tujuan dalam kategori
berikut:
3.1 Memahami Pengendalian Internal ■ 31
■
Efektivitas dan efisiensi operasi
■
Keandalan pelaporan keuangan
■
Kepatuhan terhadap hukum dan peraturan yang berlaku
Ini adalah definisi COSO tentang pengendalian internal, dan itu benar-benar tidak
berubah sejak dirilis. COSO awalnya menggunakan model tiga dimensi untuk
menggambarkan sistem kontrol internal dalam suatu perusahaan. Exhibit 3.1
menggambarkan model COSO asli pengendalian internal sebagai piramida dengan
lima lapisan atau komponen yang saling berhubungan yang terdiri dari keseluruhan
sistem pengendalian internal. Ini ditunjukkan dengan komponen yang disebut
lingkungan kontrol yang berfungsi sebagai fondasi untuk seluruh struktur. Empat
dari komponen internal ini digambarkan sebagai lapisan horizontal, dengan
komponen lain dari pengendalian internal, yang disebut komunikasi dan informasi,
bertindak sebagai saluran antarmuka untuk empat lapisan lainnya.
Model COSO dengan cepat diadopsi oleh profesi audit dan akuntansi, pertama di
Amerika Serikat dan kemudian di seluruh dunia. Ini menjadi sangat penting setelah
Sarbanes-Oxley Act (SOx) menjadi hukum. SOx mensyaratkan bahwa organisasi
pelaporan publik harus membuktikan kecukupan pengendalian internal mereka,
menggunakan kerangka COSO sebagai ukuran.
Sementara konsep dasar pengendalian internal tidak banyak berubah sejak
kerangka COSO pertama kali dirilis bertahun-tahun yang lalu, lingkungan
keseluruhan di mana bisnis beroperasi dan auditor internal melakukan tinjauan
mereka telah banyak berubah, termasuk beberapa hal berikut:
Pemantauan
Pengendalian
Internal
Menguasai
Kegiatan
Komunikasi dan
Informasi
Pengendalian
Internal Operasi
Penilaian
Risiko
Pengendalian
Lingkungan Internal Kepatuhan
Pengendalian Pelaporan
Internal Keuangan
Pengendalian
Internal
PAMERAN 3.1 Kontrol Internal COSO Tampilan Piramida
3.1 Memahami Pengendalian Internal ■ 31
Masing-masing prinsip ini adalah bagian dari kerangka kerja asli dan telah
dilanjutkan dengan kerangka kerja baru yang direvisi yang dijelaskan secara lebih
rinci di bagian berikut. Sebagai CBOK harus, auditor internal harus selalu mengingat
tiga komponen utama pengendalian internal — efektivitas dan efisiensi operasi,
keandalan pelaporan keuangan, dan kepatuhan terhadap hukum dan peraturan yang
berlaku — untuk memberikan tiga dimen pada model ini. Sama seperti struktur
piramida menunjukkan struktur pengendalian internal sebagai lingkungan untuk
semua proses pengendalian internal, pandangan ini menambah bobot yang sama
untuk masing-masing dari ketiga komponen ini. Model pengendalian internal COSO
yang direvisi dan komponennya untuk entitas dan kegiatan terpisah dalam suatu
perusahaan akan dibahas secara lebih rinci di bagian dan bab lain berikut.
Penting untuk diingat siapa atau apa itu COSO dan otoritas materi panduan yang
diterbitkan. Seperti dibahas sebelumnya, COSO, atau Komite Organisasi Sponsor
Komisi Treadway, adalah inisiatif bersama dari lima organisasi akuntansi, audit, dan
keuangan pro-fessional sektor swasta. COSO didedikasikan untuk menyediakan
kepemimpinan pemikiran melalui pengembangan kerangka kerja dan panduan
tentang manajemen risiko perusahaan, pengendalian internal, dan pencegahan
penipuan. Poin penting di sini adalah bahwa COSO tidak memiliki wewenang untuk
mengeluarkan standar seperti yang ditemukan dalam peraturan pemerintah atau
panduan organisasi profesional. Sebaliknya, panduan ini, termasuk kerangka kerja
pengendalian internal COSO, hanya menguraikan pendekatan atau praktik terbaik
yang direkomendasikan yang umumnya harus diikuti oleh orang lain.
Konsep kerangka kerja COSO ini telah menjadi dasar untuk penetapan standar di
bidang atau persyaratan lain. Yang penting, Sarbanes-Oxley Act (SOx), yang dibahas
3.2 Revisi Bisnis Kerangka Kerja COSO ■ 33
dalam Bab 5, mengharuskan perusahaan untuk memiliki sistem pengendalian internal
yang efektif yang konsisten dengan kerangka pengendalian internal COSO. Sampai
saat ini,
3.2 Revisi Bisnis Kerangka Kerja COSO ■ 33
Tidak mengacu pada serangkaian prosedur mandiri, seperti yang mungkin ditemukan
dalam aplikasi smartphone, tetapi keseluruhan proses dan prosedur yang diperlukan
untuk melakukan beberapa fungsi bisnis reguler yang sedang berlangsung.
Contohnya mungkin proses yang diperlukan untuk mengevaluasi, memperoleh, dan
membeli barang-barang produksi. Banyak orang dan fungsi mungkin terlibat dalam
proses pembelian ini, tetapi harus dilakukan dengan kontrol internal yang konsisten
dan memadai. Pengendalian internal tersebut seharusnya dievaluasi dan dinilai
sebagai bagian dari kerangka pengendalian internal COSO setelah versi asli tahun
1992.
Untuk setiap perusahaan yang ada dan sedang berlangsung, auditor internal harus
mengevaluasi dan menilai pengendalian internal ini di area signifikan yang ditunjuk.
Sekarang dengan kerangka pengendalian internal COSO yang direvisi saat ini,
auditor internal harus mengevaluasi apa yang telah mereka lakukan di masa lalu dan
membuat perubahan yang diperlukan untuk mematuhi kerangka COSO. Bagian-
bagian berikut menjelaskan kerangka pengendalian internal COSO yang direvisi.
Pengetahuan dan pemahaman di sini adalah persyaratan CBOK yang penting.
Selain tiga kategori tujuan pengendalian internal operasi, pelaporan, dan kepatuhan
yang baru saja dijelaskan, kerangka kerja COSO mendefinisikan pengendalian internal
dari dua dimensi atau perspektif lain: komponen terpisah dari pengendalian internal
dan faktor organisasi. Terlihat mirip tetapi sedikit berbeda dari kerangka pengendalian
internal COSO asli yang diperkenalkan pada tahun 1992, Exhibit 3.2 menunjukkan
kerangka pengendalian internal COSO tiga dimensi yang direvisi.
Kami akan menggunakan hubungan kubus kontrol internal ini di sini dan di bab-bab
lain ke depan. Tiga kategori tujuan pengendalian internal — operasi, pelaporan, dan
kepatuhan — diwakili oleh kolom yang didefinisikan di bagian atas diagram ini. Sisi
depan diagram kubus COSO ini mendefinisikan lima komponen utama atau tingkat
pengendalian internal:
1. Lingkungan kontrol
2. Penilaian risiko
3. Kegiatan pengendalian internal
4. Informasi dan komunikasi
5. Kegiatan pemantauan
Ini adalah area di mana ada perubahan paling banyak dalam kerangka
pengendalian internal COSO yang baru dan direvisi. Masing-masing tingkat aktivitas
pengendalian internal atau komponen utama ini akan diperkenalkan dan dibahas
dalam bab-bab mendatang.
Ditunjukkan pada sisi kanan model, struktur organisasi perusahaan adalah
dimensi penting ketiga dari pengendalian internal. Ini mewakili komponen terkait
pengendalian internal dari keseluruhan struktur organisasi: entitas perusahaan itu
sendiri, divisi, anak perusahaan, unit operasi, atau fungsinya, termasuk proses bisnis
seperti penjualan, pembelian, produksi, dan pemasaran. Sebagai poin kunci di sini,
kita harus mengingat komponen entitas organisasi secara keseluruhan dimulai dengan
3.3 Kerangka Kerja Pengendalian Internal COSO yang 35
keseluruhan atau total perusahaan
Direvisi ■ secara total dan kemudian memecah ke semua unit
bisnis dan
3.3 Kerangka Kerja Pengendalian Internal COSO yang 35
Direvisi ■
Kontrol
Kontrol Operasi Kontrol
Kegiatan
Pemantauan
komponen individu juga. Beberapa aktivitas kontrol individu mungkin berbeda satu
sama lain dalam beberapa rincian operasi, tetapi semuanya harus sesuai dengan
lingkungan kontrol untuk entitas total.
Sebagai contoh, asumsikan bahwa perusahaan yang berbasis di Uni Eropa telah
meluncurkan usaha penjualan produk bisnis baru di Myanmar (Burma), sebuah
negara yang telah tertutup bagi dunia luar hingga saat ini. Dengan sumber daya TI
yang terbatas dan koneksi telekomunikasi, kita dapat mengharapkan beberapa proses
kontrol yang berbeda di fasilitas Myanmar daripada yang akan ditemukan dalam
operasi kantor pusat entitas. Namun, proses tambahan—seperti penggunaan prosedur
kontrol manual pendukung—harus ditetapkan untuk mencapai kontrol internal di
tingkat entitas secara keseluruhan. Proses manual ini mungkin telah ditinggalkan.
Seluruh ide di balik model ini adalah bahwa pengendalian internal untuk
perusahaan saat ini bukanlah tujuan pengendalian tunggal tetapi konsep multilevel,
multifaset dengan masing-masing unit dalam model COSO memiliki hubungan
dengan komponen lain dalam ketiga dimensi. Manajemen perusahaan harus jelas
tentang tujuan pengendalian internalnya, seperti
3.4 Prinsip Pengendalian Internal COSO 37
■
Selain elemen tiga dimensi, kerangka kerja COSO yang direvisi sekarang mengkodifikasi
seperangkat prinsip yang mendukung lima komponen pengendalian internal.
Sementara versi 1992 secara implisit mencerminkan beberapa prinsip pengendalian
internal inti ini, versi revisi secara eksplisit mendefinisikan 17 prinsip pengendalian
internal yang mewakili aturan dasar yang terkait dengan 5 komponen pengendalian
internal. COSO membuat prinsip-prinsip ini eksplisit untuk meningkatkan
pemahaman manajemen mengenai apa yang merupakan pengendalian internal yang
efektif. Prinsip-prinsip ini diuraikan dan dibahas dari perspektif auditor internal
dalam Bab 4. Mereka adalah konsep luas yang dimaksudkan untuk diterapkan pada
berbagai perusahaan, termasuk nirlaba dan nirlaba, diperdagangkan secara publik dan
swasta, baik badan pemerintah maupun organisasi lain.
Mendukung setiap prinsip COSO adalah titik fokus, mewakili karakteristik
penting yang terkait dengan masing-masing. Titik-titik fokus ini dimaksudkan untuk
memberikan panduan yang membantu untuk membantu manajemen dalam
merancang, menerapkan, dan melakukan proses pengendalian internal mereka dan
dalam menilai apakah prinsip-prinsip yang relevan ada dan berfungsi. Namun,
kerangka kerja COSO yang direvisi tidak memerlukan evaluasi terpisah apakah
mereka ada. Manajemen memiliki kebebasan untuk melakukan penilaian dalam
menentukan kesesuaian atau relevansi titik-titik fokus yang disediakan dalam kerangka
COSO yang direvisi dan dapat mengidentifikasi dan mempertimbangkan karakteristik
penting lainnya yang berkaitan dengan prinsip tertentu berdasarkan keadaan spesifik
perusahaan.
Secara bersama-sama, komponen pengendalian internal COSO dan prinsip-prinsip
COSO merupakan kriteria dan titik fokus untuk memberikan panduan yang akan
membantu manajemen serta auditor internal dalam menilai apakah komponen
pengendalian internal ini ada, berfungsi, dan beroperasi bersama dalam suatu
perusahaan. Masing-masing titik fokus dipetakan langsung di atas 17 prinsip, dan
masing-masing juga dipetakan langsung ke salah satu dari lima komponen
pengendalian internal. Konsep-konsep ini harus menjadi lebih jelas ketika kita
membahas kerangka COSO secara lebih rinci di bagian berikut dan di Bab 4.
Kunci bagi auditor internal untuk memahami ketika menggunakan kerangka
3.4 Prinsip Pengendalian Internal COSO 37
COSO adalah untuk mengingat sifat ■tiga dimensi dari kerangka kerja di mana setiap
elemen pengendalian internal, atas dan bawah dan di sisi lain dari kubus COSO,
harus
3.4 Prinsip Pengendalian Internal COSO 37
■
Sisi depan model kerangka kerja pengendalian internal COSO menunjukkan lima tingkat
kategori pengendalian internal. Kategori tingkat atas disebut lingkungan kontrol –
seperangkat standar, proses, dan struktur yang memberikan dasar atau struktur untuk
melaksanakan kegiatan pengendalian internal yang efektif di seluruh perusahaan.
Lingkungan kontrol mencakup tindakan dewan direksi dan manajemen senior yang
bertanggung jawab atas pengendalian internal secara keseluruhan dan standar
perilaku yang diharapkan. Lingkungan kontrol terdiri dari nilai-nilai integritas dan
etika perusahaan; parameter yang memungkinkan Direksi untuk melaksanakan
tanggung jawab pengawasannya; struktur organisasi dan penugasan wewenang dan
tanggung jawab; pro-cesses untuk menarik, mengembangkan, dan mempertahankan
individu yang kompeten; dan ketelitian seputar ukuran kinerja, insentif, dan
penghargaan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian yang
dihasilkan memiliki dampak luas pada keseluruhan sistem pengendalian internal.
Komponen lingkungan pengendalian COSO dipengaruhi oleh berbagai faktor
internal dan eksternal, termasuk sejarah entitas, nilai, pasar, dan lanskap persaingan
dan peraturan. Hal ini didefinisikan oleh standar, proses, dan struktur yang memandu
orang di berbagai tingkatan dalam melaksanakan tanggung jawab mereka untuk
pengendalian internal dan membuat keputusan dalam mengejar tujuan entitas.
Lingkungan pengendalian yang efektif menciptakan disiplin yang mendukung
penilaian risiko yang diperlukan untuk pencapaian tujuan entitas, kinerja kegiatan
pengendalian, penggunaan informasi dan sistem komunikasi, dan pelaksanaan
kegiatan pemantauan. Kerangka kerja pengendalian COSO memperkenalkan empat
prinsip lingkungan pengendalian internal sebagaimana dijelaskan selanjutnya dan
dibahas lebih lanjut dalam Bab 4:
1. Suatu perusahaan harus menentukan tujuan dengan kejelasan yang cukup untuk
memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan.
2. Perusahaan harus mengidentifikasi risiko terhadap pencapaian tujuannya di
seluruh entitas dan menganalisis risiko sebagai dasar untuk menentukan
bagaimana risiko tersebut harus dikelola.
3. Organisasi harus mempertimbangkan potensi kecurangan dalam menilai risiko
terhadap pencapaian tujuan.
4. Organisasi harus mengidentifikasi dan menilai perubahan yang secara signifikan
dapat berdampak pada sistem pengendalian internal.
Melakukan hal ini dengan menunjukkan perilaku integritas dan nilai-nilai etika,
proses dan struktur pengawasan yang memadai, dan desain organisasi yang
memungkinkan pencapaian tujuan entitas dengan penugasan wewenang dan
tanggung jawab yang tepat, tingkat kompetensi yang tinggi, dan rasa akuntabilitas
yang kuat untuk pencapaian tujuan. Baik dalam jangka pendek maupun jangka
panjang, proses lingkungan kontrol yang efektif harus memposisikan perusahaan dan
elemen kuncinya agar lebih tangguh dalam menghadapi tekanan eksternal.
Lingkungan kontrol perusahaan juga identik dengan budaya kontrol internalnya.
Unsur-unsur budaya yang kuat, seperti integritas dan nilai-nilai etika, pengawasan,
akuntabilitas, dan evaluasi kinerja, membuat lingkungan kontrol yang kuat juga.
Budaya adalah bagian dari lingkungan pengendalian perusahaan, tetapi juga
mencakup unsur-unsur komponen pengendalian internal lainnya, seperti menetapkan
kebijakan dan prosedur yang efektif, kemudahan kontrol keamanan atau akses ke
informasi, dan responsif terhadap hasil kegiatan pemantauan. Masalah-masalah ini akan
dibahas lebih lanjut dalam tinjauan kami terhadap elemen-elemen lain dari kerangka
pengendalian internal COSO. Auditor internal harus mengakui bahwa budaya
organisasi mereka dipengaruhi oleh lingkungan pengendalian yang telah dipasang
dan ditetapkan serta komponen pengendalian internal lainnya. Tujuan pengendalian
internal yang penting ini menekankan bahwa manajemen senior, dewan direksi, atau
badan pengawas yang setara harus memimpin dengan memberi contoh dalam
mengembangkan nilai-nilai, filosofi perusahaan, dan gaya operasi dalam mengejar
tujuan perusahaan. Apa yang dilakukan dan dikatakan manajemen senior benar-benar
mengirim pesan kepada semua orang
terkait dengan perusahaan.
Beberapa auditor internal serta manajer bisnis saat ini sering tidak
mempertimbangkan faktor-faktor lingkungan pengendalian ini ketika menilai sistem
pengendalian internal, tetapi mereka harus, karena ini merupakan langkah pertama
yang penting. Jika manajemen memberikan contoh yang tepat dan karyawan tahu
bahwa manajemen menghargai etika dan integritas, sikap itu akan diturunkan kepada
karyawan dan bisnis akan memiliki fondasi yang kuat.
Kekuatan sistem apa pun didasarkan pada fondasi yang mendasarinya. Tidak
peduli seberapa rumit strukturnya, jika tidak memiliki fondasi yang kuat,
integritasnya tidak akan dapat diandalkan. Dasar dari sistem kontrol adalah filosofi
bisnis dan orang-orang yang mengendalikannya. Sebelum merancang kontrol,
seseorang harus mempertimbangkan fondasi — lingkungannya. Kerangka kerja
lingkungan kontrol COSO meminta manajemen perusahaan untuk
mempertimbangkan pertanyaan-pertanyaan berikut:
dan pemangku kepentingan. Semakin etis dan bertanggung jawab gaya manajemen,
semakin besar kemungkinan karyawan akan menanggapi gaya itu dan berperilaku
dengan cara yang etis dan bertanggung jawab. Sebagai alternatif, jika manajemen
menunjukkan sedikit perhatian terhadap perilaku jujur dan etis, karyawan akan
mengikuti jejak itu.
Lingkungan kontrol kerangka kerja COSO dan prinsip-prinsip pendukungnya adalah
elemen kunci dan sangat penting untuk membangun pengendalian internal yang efektif
dalam suatu perusahaan. COSO menjelaskan pentingnya menetapkan nada perusahaan
dan mempengaruhi kesadaran kontrol orang-orangnya. Lingkungan kontrol yang
efektif mendukung dan memperkuat elemen kontrol lainnya, sedangkan lingkungan
kontrol yang lemah merusak elemen-elemen ini, menjadikannya tidak berguna.
Dalam lingkungan kontrol yang efektif, personel dan semua pemangku kepentingan
tahu bahwa melakukan hal yang benar diharapkan dan akan didukung oleh
manajemen tingkat atas, bahkan jika itu merugikan garis bawah. Dalam lingkungan
yang lemah, prosedur kontrol dapat sering ditimpa atau diabaikan, memberikan
kesempatan untuk penipuan.
Lingkungan kontrol ini mungkin merupakan komponen terpenting dalam
kerangka pengendalian internal COSO. Penekanannya pada nada di atas
memberikan panduan tentang bagaimana manajemen perusahaan harus memasukkan
kesadaran risiko dan kegiatan pengendalian ke dalam rutinitas kerja sehari-hari
mereka di bidang tanggung jawab mereka. Dengan mempertahankan sikap positif
terhadap pengendalian internal dan kepatuhan terhadap kebijakan perusahaan yang
ditetapkan serta berbagai persyaratan hukum, manajemen menetapkan nada untuk
seluruh area. Lingkungan kontrol juga mencakup budaya, nilai-nilai etika, kerja tim,
moral, dan pengembangan karyawan administrasi.
Lingkungan kontrol perusahaan yang benar-benar lemah atau kurang dapat
menghadirkan beberapa tantangan penting bagi auditor internal. Banyak temuan dan
penilaian mereka, seperti yang akan dibahas dalam bab-bab lain ke depan, didasarkan
pada penilaian kekuatan lingkungan kontrol. Auditor internal harus secara teratur
menyoroti masalah ini dalam temuan dan rekomendasi laporan audit mereka. Dalam
kasus kekurangan total yang sedang berlangsung, kepala audit internal perusahaan,
kepala eksekutif audit, harus melaporkan masalah ini kepada komite audit dewan.
Penilaian risiko adalah elemen kunci dalam kerangka pengendalian internal COSO,
yang terletak sebagai komponen dari kubus COSO tiga dimensi. Risiko didefinisikan di
sini sebagai kemungkinan bahwa suatu peristiwa dapat terjadi yang akan berdampak
buruk terhadap pencapaian objektives perusahaan. Manajemen risiko pengendalian
internal mempengaruhi kemampuan perusahaan untuk berhasil, bersaing dalam
industrinya, mempertahankan kekuatan keuangan dan reputasi positifnya, dan
mempertahankan kualitas keseluruhan produk, layanan, dan orang-orangnya. Selalu
ada beberapa risiko dalam setiap kegiatan bisnis dan tidak ada cara praktis untuk
mengurangi semuanya. Manajemen, bagaimanapun, harus menentukan berapa
banyak risiko yang harus diterima secara hati-hati dan berusaha untuk
mempertahankan risiko dalam batas-batas ini, memahami berapa banyak toleransi
3.5 Komponen Pengendalian Internal COSO: Lingkungan Kontrol ■ 42
yang dimilikinya untuk melebihi tingkat risiko targetnya.
Komponen penilaian risiko pengendalian internal COSO adalah proses untuk
menentukan bagaimana semua tingkat risiko akan dikelola, dan prasyarat untuk penilaian
risiko adalah
3.6 Komponen Pengendalian Internal COSO: Penilaian Risiko ■ 41
penetapan tujuan terkait risiko, terkait pada berbagai tingkat operasi perusahaan. Karena
jenis dan sifat risiko yang akan dihadapi perusahaan, manajemen harus
mengidentifikasi dan menentukan tujuan risiko mereka dalam kategori operasi,
pelaporan, dan kepatuhan dengan kejelasan yang cukup untuk dapat mengidentifikasi
dan menganalisis risiko terhadap tujuan tersebut. Manajemen juga harus
mempertimbangkan kesesuaian tujuan untuk entitas. Penilaian risiko juga
mengharuskan manajemen untuk mempertimbangkan dampak perubahan yang
mungkin terjadi di lingkungan eksternal dan dalam model bisnisnya sendiri yang
dapat membuat pengendalian internalnya tidak efektif.
Sementara penilaian risiko pengendalian internal COSO mendefinisikan poin-
poin penting untuk dipertimbangkan oleh manajemen umum, auditor internal harus
mengingat masalah manajemen risiko ini dalam semua kegiatan tinjauan
pengendalian internal mereka yang sedang berlangsung. Bab 15 tentang kompetensi
utama audit internal membahas masalah manajemen risiko audit internal untuk
melakukan audit internal. Materi panduan internal COSO menguraikan serangkaian
prinsip penilaian risiko yang dibahas dalam Bab 5 dengan empat konsep utama berikut:
proyek atau unit bisnis yang lebih kecil. Ini memerlukan pendekatan yang dipelajari
dan disengaja untuk melihat potensi risiko di setiap area operasi dan kemudian
mengidentifikasi area risiko yang lebih signifikan yang dapat memengaruhi setiap
operasi dalam periode waktu yang wajar. Idenya bukan hanya untuk membuat daftar
setiap risiko yang mungkin tetapi untuk mengidentifikasi risiko yang mungkin
berdampak pada operasi, dengan beberapa tingkat probabilitas, dalam jangka waktu
yang wajar. Ini bisa menjadi latihan yang sulit karena kita sering tidak tahu probabilitas
risiko yang terjadi atau sifat konsekuensinya jika perusahaan harus menghadapi
risiko.
Proses identifikasi risiko harus terjadi pada berbagai tingkatan dalam suatu
perusahaan. Risiko yang berdampak pada unit bisnis atau proyek individu mungkin
tidak memiliki dampak besar pada seluruh perusahaan, tetapi risiko besar yang
berdampak pada seluruh ekonomi akan mengalir ke perusahaan individu dan unit
bisnis yang terpisah. Beberapa risiko utama sangat jarang terjadi tetapi masih bisa
sangat dahsyat sehingga sulit untuk mengidentifikasinya sebagai kemungkinan
peristiwa di masa depan. Auditor internal harus mempertimbangkan masalah terkait
risiko sebagai bagian dari kegiatan penelaahan mereka yang sedang berlangsung.
Mengidentifikasi dan menganalisis risiko harus menjadi proses berulang
berkelanjutan yang dilakukan untuk meningkatkan kemampuan perusahaan untuk
mencapai tujuannya. Audit internal sering dapat memainkan peran yang kuat di sini
karena membangun dan menetapkan apa yang sering disebut alam semesta audit,
seperti yang dibahas dalam Bab 13. Meskipun suatu perusahaan mungkin tidak
secara eksplisit menyatakan semua tujuan terkait risikonya, ini tidak berarti bahwa
tujuan tersirat adalah tanpa risiko internal atau eksternal, dan perusahaan harus
mempertimbangkan semua risiko yang mungkin terjadi.
Agar efektif, proses identifikasi risiko perusahaan harus didukung oleh berbagai
kegiatan, teknik, dan mekanisme, masing-masing relevan dengan penilaian risiko
secara keseluruhan. Manajemen harus mempertimbangkan risiko ini di semua
tingkatan dan mengambil langkah-langkah yang diperlukan untuk mengelolanya.
Penilaian risiko harus mempertimbangkan faktor-faktor yang mempengaruhi tingkat
keparahan, kecepatan, dan persistensi risiko, kemungkinan kehilangan aset, dan
dampak terkait pada operasi, pelaporan, dan kegiatan kepatuhan. Selain itu,
perusahaan perlu memahami toleransinya untuk menerima risiko dan kemampuannya
untuk beroperasi dalam tingkat risiko tersebut. Meskipun tentu saja tidak mencakup
semua, Exhibit 3.3 mencantumkan beberapa area risiko utama yang dapat berdampak
pada perusahaan, termasuk risiko strategis, operasi, dan keuangan. Ini adalah jenis
daftar tingkat tinggi yang mungkin dicatat dan digunakan oleh chief executive officer
untuk menanggapi pertanyaan pertemuan tahunan pemegang saham, seperti "Apa
yang membuat Anda khawatir pada akhirnya?" Tentu saja tidak mencantumkan
semua risiko yang dihadapi perusahaan, ini adalah jenis daftar first-pass yang dapat
digunakan perusahaan untuk memulai identifikasi risiko yang terperinci. Orang-
orang yang bertanggung jawab atas manajemen risiko di perusahaan — seringkali
tim manajemen risiko perusahaan — dapat bertemu dengan manajemen senior dan
menanyakan beberapa di antaranya "Apa yang membuat Anda khawatir ..." jenis
pertanyaan untuk mengidentifikasi risiko tingkat tinggi tersebut.
Setelah perusahaan melakukan identifikasi risiko awal ini, perusahaan harus
mempertimbangkan semua interaksi terkait risiko yang signifikan — termasuk
barang, jasa, dan informasi — internal perusahaan dan antara itu dan par- ties
3.6 Komponen Pengendalian Internal COSO: Penilaian Risiko ■ 44
eksternal yang relevan. Pihak eksternal tersebut dapat mencakup pemasok potensial
dan yang sudah ada, investor, kreditor, pemegang saham, dan pemangku kepentingan
lainnya serta pelanggan, perantara, dan pesaing. Selain itu, perusahaan harus
mempertimbangkan masalah eksternal seperti undang-undang dan peraturan baru,
masalah lingkungan, dan potensi peristiwa alam, di antara banyak lainnya.
3.6 Komponen Pengendalian Internal COSO: Penilaian Risiko ■ 45
Risiko Strategis
■ Risiko Industri ■
Risiko Reputasi
■ Risiko Ekonomi ■
Risiko Fokus Strategis
■ Risiko Pesaing ■
Risiko Dukungan Perusahaan Induk
■ Risiko Perubahan ■
Risiko Perlindungan Paten/Merek Dagang
Hukum dan
Peraturan
■ Risiko Kebutuhan dan
Keinginan Pelanggan
Risiko Operasi
Risiko Keuangan
Risiko Informasi
■
Risiko Pelaporan
Peraturan
1. Keramat. Ini adalah strategi untuk menjauh dari risiko — seperti menjual unit
bisnis yang menimbulkan risiko, keluar dari area geografis yang menjadi
perhatian, atau menjatuhkan lini produk. Kesulitannya di sini adalah bahwa
perusahaan sering tidak menjatuhkan lini produk atau pergi sampai setelah
peristiwa risiko terjadi dengan biaya terkait . Kecuali suatu perusahaan memiliki
selera risiko yang sangat rendah, sulit untuk menjauh dari area bisnis atau lini
produk hanya berdasarkan potensi risiko masa depan jika semuanya berjalan
dengan baik saat ini dalam hal lain. Penghindaran bisa menjadi strategi yang
berpotensi mahal jika investasi dilakukan untuk masuk ke suatu daerah dengan
penarikan berikutnya untuk menghindari risiko.
2. Pengurangan. Berbagai keputusan bisnis mungkin dapat mengurangi risiko
tertentu. Diversifikasi lini produk dapat mengurangi risiko ketergantungan yang
terlalu kuat pada satu lini produk utama. Membagi pusat operasi TI menjadi dua
lokasi yang terpisah secara geografis dapat mengurangi risiko beberapa
kegagalan bencana. Ada berbagai strategi yang sering efektif untuk mengurangi
risiko di semua tingkatan yang turun ke langkah duniawi tetapi penting secara
operasional dari karyawan pelatihan silang.
3. Berbagi. Hampir semua perusahaan maupun individu secara teratur melakukan
lindung nilai atau berbagi beberapa risiko mereka dengan membeli asuransi.
Banyak teknik lain yang tersedia di sini juga. Untuk transaksi keuangan,
perusahaan dapat terlibat dalam operasi lindung nilai untuk melindungi dari
kemungkinan fluktuasi harga. Idenya adalah untuk mengatur agar pihak lain
menerima beberapa risiko potensial, dengan pengakuan bahwa akan ada biaya
yang terkait dengan kegiatan itu.
4. Penerimaan. Ini adalah strategi tanpa tindakan. Suatu perusahaan dapat
"mengasuransikan diri" sendiri daripada membeli polis asuransi. Pada dasarnya,
perusahaan harus melihat kemungkinan dan dampak risiko mengingat toleransi
risiko yang ditetapkan dan kemudian memutuskan apakah akan menerima risiko itu
atau tidak. Untuk banyak dan beragam risiko yang mendekati suatu perusahaan,
penerimaan seringkali merupakan strategi yang tepat untuk beberapa risiko.
Keempat strategi umum ini adalah konsep kunci dalam memahami manajemen
risiko, dan auditor internal harus mengembangkan strategi respons umum untuk
masing-masing risiko menggunakan pendekatan yang dibangun di sekitar salah
satunya. Dengan demikian, biaya versus manfaat dari respons risiko potensial harus
dipertimbangkan untuk menyelaraskannya dengan selera risiko perusahaan secara
keseluruhan atau kesediaan untuk menerima risiko itu. Misalnya, pengakuan
perusahaan bahwa dampak risiko yang diberikan relatif rendah akan diimbangi
dengan toleransi risiko rendah yang menunjukkan bahwa asuransi harus dibeli untuk
3.6 Komponen Pengendalian Internal COSO: Penilaian Risiko ■ 48
memberikan respons risiko potensial. Untuk banyak risiko, respons yang tepat jelas
dan hampir dipahami secara universal. Operasi TI, misalnya, menghabiskan waktu
dan sumber daya untuk mencadangkan file data utamanya dan menerapkan rencana
kesinambungan bisnis. Seharusnya tidak ada pertanyaan
3.7 Komponen Pengendalian Internal COSO: Kegiatan Pengendalian 45
Internal ■
kegiatan untuk menghindari risiko itu. Tindakan ini untuk mengurangi atau berbagi
beberapa risiko berfungsi sebagai titik fokus untuk mengembangkan dan memilih
kegiatan pengendalian untuk elemen risiko tersebut. Sifat dan tingkat respons risiko
dan aktivitas pengendalian terkait akan tergantung, setidaknya sebagian, pada tingkat
mitigasi risiko yang diinginkan yang dapat diterima oleh manajemen perusahaan.
Dengan MITIGASI, yang kami maksud adalah beberapa tindakan manajemen yang
mengurangi paparan terhadap risiko yang diidentifikasi atau kemungkinan terjadinya.
Kegiatan pengendalian mencakup tindakan yang memastikan bahwa tanggapan
terhadap risiko yang dinilai, serta arahan manajemen lainnya, dilakukan dengan
benar dan tepat waktu. Misalnya, seorang anggota manajemen senior dapat
menetapkan tujuan operasi untuk "memenuhi atau melampaui target penjualan unit
operasi untuk periode pelaporan yang memastikan," tetapi manajemen staf senior
selanjutnya dapat mengidentifikasi risiko bahwa personel kunci mereka memiliki
pengetahuan yang tidak memadai tentang kebutuhan pelanggan saat ini dan potensial
untuk dengan mudah memenuhi tujuan ini. Tanggapan manajemen untuk
mengidentifikasi risiko yang diakui ini dapat mencakup tinjauan riwayat penjualan
dari pelanggan yang sudah ada dan mengembangkan inisiatif riset pasar untuk lebih
menarik pelanggan potensial. Aktivitas kontrol di sini mungkin termasuk melacak
kemajuan riwayat pembelian pelanggan terhadap jadwal yang ditetapkan serta
mengambil langkah-langkah untuk meningkatkan kualitas data pemasaran yang
dilaporkan.
Ketika menentukan tindakan yang direkomendasikan untuk diambil untuk
mengurangi risiko, auditor internal harus mempertimbangkan semua aspek sistem
pengendalian internal perusahaan serta proses bisnis yang relevan, sistem TI, dan
lokasi di mana kegiatan pengendalian diperlukan. Ini mungkin termasuk
mempertimbangkan kegiatan kontrol di luar unit operasi, termasuk layanan bersama,
pusat data, atau proses yang dilakukan oleh penyedia layanan outsourcing. Misalnya,
perusahaan mungkin perlu menetapkan aktivitas kontrol untuk mengatasi integritas
informasi yang dikirim ke dan diterima dari penyedia layanan outsourcing.
■
Kelengkapan. Transaksi yang terjadi harus dicatat. Misalnya, perusahaan dapat
mengurangi risiko tidak memproses semua transaksi dengan vendor dengan
memilih tindakan dan kontrol transaksi yang mendukung pemrosesan semua
transaksi faktur dalam prosedur bisnis yang sesuai.
■
Ketepatan. Transaksi harus dicatat dalam jumlah yang benar di akun yang
benar dan tepat waktu. Misalnya, kontrol transaksi atas elemen sistem utama,
seperti harga item atau database master vendor, dapat mengatasi keakuratan
pemrosesan transaksi pembelian. Akurasi dalam konteks proses operasi dapat
didefinisikan untuk mencakup konsep kualitas yang lebih luas, termasuk akurasi
dan ketepatan bagian yang direkam.
■
Validitas. Transaksi yang tercatat merupakan peristiwa ekonomi yang benar-
benar terjadi dan kemudian dieksekusi sesuai dengan prosedur yang ditentukan.
Validitas umumnya dicapai melalui kegiatan pengendalian yang mencakup
otorisasi transaksi sebagaimana ditentukan oleh kebijakan dan prosedur
perusahaan.
Konsep-konsep ini sangat penting bagi auditor internal. Auditor internal harus
mengingat hal ini ketika meninjau dan menilai proses dan aplikasi pengendalian yang
mendukung transaksi.
Risiko pemrosesan transaksi yang tidak tepat waktu dapat dianggap sebagai
risiko terpisah atau dimasukkan sebagai bagian dari kelengkapan atau keakuratan
keseluruhan objek pemrosesan informasi. Akses terbatas juga dapat dianggap sebagai
tujuan pemrosesan TI, karena tanpa membatasi akses yang tepat atas transaksi dalam
proses bisnis, aktivitas kontrol dalam proses bisnis tersebut dapat ditimpa dan
pemisahan kontrol tugas mungkin tidak tercapai.
Sementara tujuan TI paling sering dikaitkan dengan proses keuangan dan transaksi,
konsep ini dapat diterapkan pada aktivitas perusahaan apa pun. Misalnya, tujuan
pemrosesan TI dan aktivitas kontrol terkait berlaku untuk proses pengambilan
keputusan manajemen atas penilaian dan perkiraan kritis. Dalam lingkungan ini,
manajemen harus mempertimbangkan kelengkapan identifikasi faktor-faktor signifikan
yang mempengaruhi perkiraan yang harus dikembangkan dan mendukung asumsi-
asumsi ini. Demikian pula, manajemen harus mempertimbangkan validitas dan
kewajaran asumsi tersebut dan keakuratan model estimasinya.
Ini tidak berarti bahwa jika manajemen mempertimbangkan dan memperhatikan
tujuan yang ditetapkan ini, perusahaan tidak akan pernah membuat penilaian atau
perkiraan yang salah, karena ini semua tunduk pada kesalahan manusia. Namun,
ketika kegiatan pengendalian yang tepat berada di tempat dan ketika manajemen
menggunakan penilaian yang baik dan dipikirkan dengan matang, kemungkinan
pengambilan keputusan yang lebih baik ditingkatkan.
pengendalian internal yang efektif. Materi panduan pengendalian internal COSO yang
direvisi melakukan pekerjaan yang baik untuk menguraikan kegiatan pengendalian
internal dasar yang akan dibahas lebih lanjut dalam bab-bab mendatang. Sebagai
contoh, materi panduan kerangka pengendalian internal COSO menyoroti jenis-jenis
kegiatan pengendalian transaksi berikut:
■
Verifikasi. Ini adalah jenis kontrol transaksi yang membandingkan dua item atau
lebih satu sama lain atau membandingkan item dengan aturan kebijakan, dan
melakukan tindakan tindak lanjut ketika item yang dibandingkan tidak cocok atau
dianggap tidak konsisten dengan kebijakan. Contohnya di sini termasuk aplikasi
TI dengan program, termasuk pencocokan atau tes kewajaran terprogram.
Verifikasi umumnya membahas kelengkapan, akurasi, atau validitas pemrosesan
transaksi.
■
Rekonsiliasi. Proses transaksi ini membandingkan dua atau lebih elemen data,
dan jika perbedaan diidentifikasi, tindakan diambil untuk membawa data ke
dalam kesepakatan. Rekonsiliasi umumnya membahas kelengkapan dan / atau
keakuratan pemrosesan transaksi.
■
Otorisasi dan persetujuan. Proses otorisasi menegaskan bahwa transaksi itu
valid, terutama yang mewakili peristiwa ekonomi aktual. Otorisasi biasanya
berbentuk persetujuan oleh tingkat manajemen yang lebih tinggi atau verifikasi
yang dihasilkan sistem dan penentuan bahwa suatu transaksi valid.
■
Kontrol fisik. Persediaan peralatan, sekuritas, uang tunai, dan aset lainnya
biasanya diamankan secara fisik di area penyimpanan yang terkunci atau dijaga.
Transaksi kontrol fisik di sini harus dihitung secara berkala dan dibandingkan
dengan catatan kontrol pendukung.
■
Kontrol atas data berdiri. Standing data — istilah yang pertama kali
diperkenalkan beberapa tahun yang lalu oleh salah satu kantor akuntan publik
besar — adalah elemen data yang dikembangkan dari luar perusahaan (seringkali
dari organisasi standar) yang mendukung pemrosesan transaksi dalam
perusahaan itu. Kegiatan kontrol atas proses untuk mengisi, memperbarui, dan
menjaga keakuratan, kelengkapan, dan validitas data tetap ini harus ditetapkan
oleh perusahaan.
■
Kontrol pengawasan. Proses kontrol transaksi ini menilai apakah aktivitas
kontrol transaksi lainnya, seperti verifikasi, persetujuan, kontrol atas data stand-
ing, dan aktivitas kontrol fisik dilakukan secara lengkap, akurat, dan sesuai
dengan kebijakan dan prosedur perusahaan. Manajemen biasanya harus secara
menghakimi memilih dan mengembangkan kontrol pengawasan atas transaksi
berisiko tinggi, termasuk tinjauan tingkat tinggi, untuk melihat apakah ada item
rekonsiliasi yang telah ditindaklanjuti atau diperbaiki, atau untuk menentukan
apakah penjelasan yang tepat diberikan.
■
Catat transaksi saat terjadi, pecahkan menjadi bagian-bagian komponennya
(tanggal, jumlah, nama, akun, otorisasi, dll.).
■
Memproses, meringkas, dan melaporkan informasi tersebut untuk tujuan
manajemen dan tujuan akuntansi murni.
■
Simpan data yang diambil dan diproses dalam format yang dapat diringkas,
diaudit, ditinjau, dan dilaporkan dengan cepat dan mudah.
3.8 Komponen Pengendalian Internal COSO: Informasi dan Komunikasi ■ 50
■
Melaporkan informasi tersebut dalam format yang dapat digunakan untuk
analisis manajemen dan tujuan pengendalian internal.
3.8 Komponen Pengendalian Internal COSO: Informasi dan Komunikasi ■ 51
untuk mendapatkan pada tingkat atau kekhususan yang relevan atau diperlukan. Oleh
karena itu, pemahaman yang jelas tentang persyaratan informasi yang didefinisikan
COSO mengarahkan manajemen dan orang lain untuk mengidentifikasi sumber
informasi dan data yang relevan dan dapat diandalkan.
Konsep pengendalian internal COSO dari data yang relevan ini penting bagi
auditor internal. Kami akan membahas hal ini lebih lanjut dalam bab-bab mendatang,
tetapi terlalu sering auditor internal meminta dokumentasi untuk mendukung
beberapa area atau kontrol yang sedang ditinjau. Apakah itu dokumentasi kertas kuno
atau dokumen berbasis Internet saat ini, auditor internal telah meminta dokumentasi
yang mencakup beberapa area dan manajemen membersihkan file mereka, memberi
mereka terlalu banyak, beberapa di antaranya asing dan lebih dari auditor internal
memiliki waktu dan sumber daya untuk meninjau. Seorang auditor internal mungkin
berpikir, "Omigosh, saya tidak akan pernah punya waktu untuk meninjau semua hal
ini." Tetapi auditor dapat menambahkan catatan kertas kerja untuk mengatakan
bahwa dokumentasi telah disediakan dan maju. Pendekatan yang lebih baik adalah
melihat sekilas semua hal yang telah disediakan dan mengajukan beberapa
pertanyaan sulit tentang apakah semua ini relevan dan mendukung tinjauan audit
internal.
■
Pentingnya, relevansi, dan manfaat pengendalian internal yang efektif
■
Peran dan tanggung jawab manajemen dan personil lainnya dalam melakukan proses
pengendalian internal tersebut
■
Harapan perusahaan untuk berkomunikasi ke atas, ke bawah, dan di setiap matter
signifikansi yang berkaitan dengan pengendalian internal, termasuk contoh
kelemahan, kemunduran, atau ketidakpatuhan
Prinsip-prinsip Trol, baik di seluruh perusahaan dan subunitnya, berlaku, hadir, dan
berfungsi. Pemantauan di sini adalah masukan kunci ke dalam penilaian organisasi
terhadap efektivitas pengendalian internal. Kerangka pengendalian internal COSO yang
direvisi mengidentifikasi dua prinsip, yang dibahas dalam Bab 4, untuk komponen
pengendalian internal kegiatan pemantauan:
Kegiatan
Kontrol
Informasi &
Komunikasi
Penilaian
COSO
Risiko
Kerangka
Pengendalian
Internal &; Tentukan
Pentingnya Tujuan
Pemantauan Perusahaa
n
Lingkungan
Kontrol
Pemantauan
3.9 Komponen Pengendalian Internal COSO: Kegiatan 58
PAMERAN 3.5Pemantauan
Kegiatan Pemantauan
■ COSO
3.9 Komponen Pengendalian Internal COSO: Kegiatan 59
Pemantauan ■
■
Mengidentifikasi dan memperbaiki masalah pengendalian internal secara tepat waktu
■
Menghasilkan informasi yang lebih akurat dan dapat diandalkan untuk digunakan
dalam pengambilan keputusan
■
Menyusun laporan keuangan yang akurat dan tepat waktu
■
Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang
efektivitas pengendalian internal
Bagian sebelumnya telah menjelaskan komponen yang lebih penting dari kerangka
pengendalian internal COSO, dari lingkungan kontrol hingga pemantauan. Masing-
masing menggambarkan komponen penting atau elemen pengendalian internal yang
harus efektif secara individual dan harus bekerja dengan elemen pengendalian
internal terkait lainnya. Misalnya, elemen penilaian risiko COSO harus mendorong
dan membantu mengelola kegiatan pengendalian. Namun, fitur utama dari kerangka
COSO yang kadang-kadang diabaikan adalah sifat tiga dimensinya.
Exhibit 3.6 telah membalik kerangka kerja pengendalian internal COSO dan
menunjukkan operasi, pelaporan, dan kontrol kepatuhan dari perspektif yang
menghadap ke depan. Tidak ada perubahan di sini dalam konsep kontrol internal
COSO yang efektif, tetapi pameran ini memberikan cara yang berbeda untuk
melihatnya. Artinya, auditor internal yang meninjau dan menilai efektivitas
pengendalian pelaporan bisnis organisasi, seperti yang dapat ditemukan dalam sistem
pengendalian sumber daya manufaktur, harus memikirkan efektivitas pengendalian
tersebut sehubungan dengan unsur-unsur pengendalian internal mulai dari
lingkungan pengendalian secara keseluruhan hingga kegiatan pemantauan.
Dengan cara yang sama, masing-masing kontrol internal ini harus
dipertimbangkan sehubungan dengan sisi ukuran organisasi dari kubus COSO.
Artinya, pengendalian internal harus efektif dalam unit bisnis individu atau
departemen, pada tingkat bisnis atau fungsional yang lebih besar, dan untuk seluruh
entitas bisnis. Seperti yang akan kita temukan saat kita mengeksplorasi proses audit
internal dan prosedur pengendalian internal dalam bab-bab berikut, konsep-konsep
ini terkadang sulit diterapkan secara konsisten di seluruh perusahaan. Meskipun ada
beberapa variasi kecil dan bahkan dapat dibenarkan, manajemen harus mencoba
menerapkan pengendalian internal COSO ini secara konsisten di seluruh entitas
bisnis secara keseluruhan.
Seperti yang telah kami nyatakan sebelumnya, pengetahuan dan pemahaman
yang kuat tentang kerangka pengendalian internal COSO harus menjadi persyaratan
CBOK auditor internal. COSO tidak mengandung aturan, seperti yang ditemukan di
3.10 Dimensi Lain Kerangka Kerja COSO ■ 58
sekitar deskripsi SOx Bab 5, atau direkomendasikan
3.10 Dimensi Lain Kerangka Kerja COSO ■ 59
Kegiatan
Lingkungan
Penilaian Komunikasi Kegiatan
Informas
praktik terbaik, seperti yang akan dibahas dalam Bab 19 tentang, tetapi kerangka kerja
kontrol internal COSO berisi beberapa panduan kuat untuk membangun dan menilai
semua tingkat kontrol internal perusahaan,® mulai dari yang ada di unit bisnis yang
lebih kecil Sistem aplikasi TI hingga keseluruhan proses tingkat perusahaan.
CHA4P TER EMPAT
17 Prinsip Pengendalian
Internal COSO
C
HAPTER 3 MENJELASKAN KERANGKA PENGENDALIAN INTERNAL
COSO yang direvisi . Komponen kunci dari kerangka kerja itu adalah 17
prinsip pengendalian internal COSO, panduan untuk membantu manajer dan
auditor internal lebih memahami dan memanfaatkan
Kontrol internal COSO. Prinsip-prinsip ini adalah konsep baru yang tidak termasuk
dalam kerangka COSO asli, dan mereka sangat membantu auditor internal dalam
tinjauan dan pemahaman mereka tentang pengendalian internal COSO. Bab ini akan
memperkenalkan prinsip-prinsip pengendalian internal COSO ini dan mengapa prinsip-
prinsip tersebut penting bagi manajemen dan auditor internal dalam membangun
pengendalian internal yang efektif.
Agak berbeda dari COSO, Institute of Internal Auditors (IIA) telah menetapkan
seperangkat 12 prinsip inti yang menggambarkan efektivitas audit internal untuk
mendukung prinsip dalam standar dan kode etik mereka, keduanya dibahas dalam Bab
9. Mereka adalah komponen kunci dalam Kerangka Kerja Praktik Profesional
Internasional (IPPF) mereka. Prinsip ini, baik untuk pengendalian internal COSO
maupun untuk IPPF IIA, mewakili tujuan utama atau poin pembicaraan yang harus
digunakan auditor internal dalam perencanaan, pelaksanaan, dan evaluasi
tinjauan pengendalian internal mereka.
Elemen Prinsip
Ini adalah pesan dan komitmen berulang dari kepemimpinan senior di seluruh
perusahaan untuk menekankan pentingnya kepatuhan dan perilaku etis yang harus
dianut dan diintegrasikan ke dalam setiap tingkat operasi bisnis. Namun, jika
manajemen senior mendapatkan reputasi untuk melihat ke arah lain pada pelanggaran
kebijakan dan membuat pernyataan yang terdengar meragukan, pesan negatif ini
akan dikomunikasikan ke tingkat lain dari perusahaan. Nada positif di puncak
panggilan untuk manajemen senior untuk memimpin dengan memberi contoh pada
masalah integritas dan etika; Tindakan positif di sini adalah batu fondasi yang
membangun lingkungan kontrol yang kuat untuk perusahaan.
Sementara nada di atas sangat penting, kode etik perusahaan yang efektif — dulu
biasanya disebut kode etik karena penekanan pada aturan — sama atau bahkan lebih
penting dalam membangun lingkungan pengendalian internal yang efektif. Kode etik
telah ada pada organisasi bisnis selama bertahun-tahun, tetapi secara tradisional lebih
terfokus pada anggota staf tingkat bawah daripada manajemen senior. Mereka harus
menjadi komponen penting dari sistem pengendalian internal yang efektif untuk
semua anggota perusahaan, dari manajemen senior hingga staf operasi dan pemangku
kepentingan lainnya.
Perusahaan yang efektif saat ini harus mengembangkan dan menegakkan kode yang
mencakup aturan etika, bisnis, dan hukum yang berlaku untuk semua pemangku
kepentingan perusahaan, apakah mereka pejabat, semua karyawan lain, atau
kelompok pemangku kepentingan yang lebih besar termasuk vendor dan konsultan.
Kode etik harus berupa seperangkat aturan atau panduan yang jelas dan tidak ambigu
yang menguraikan apa yang diharapkan dari semua pemangku kepentingan
perusahaan. Kode harus didasarkan pada nilai-nilai dan masalah hukum seputar suatu
perusahaan. Artinya, sementara semua perusahaan dapat berharap untuk memiliki
kode larangan terhadap diskriminasi seksual dan rasial, kontraktor pertahanan dengan
banyak masalah aturan terkait kontrak mungkin memiliki kode etik yang agak
berbeda daripada operasi toko makanan cepat saji. Namun, kode tersebut harus
berlaku untuk semua anggota perusahaan dari tingkat paling senior hingga karyawan
administrasi paruh waktu. Misalnya, aturan kode etik yang melarang pelaporan
keuangan yang salah harus sama apakah diarahkan pada CFO untuk pelaporan
keuangan triwulanan yang sengaja salah atau paruh waktu untuk kartu waktu
mingguan yang salah atau curang. Hukuman dan tindakan perbaikan harus diterapkan
pada keduanya. Exhibit 4.2 berisi beberapa topik yang biasanya termasuk dalam kode
etik perusahaan.
Berikut ini adalah bidang topik yang ditemukan dalam kode etik perusahaan yang khas.
Kode yang sebenarnya harus memiliki aturan khusus di masing-masing area ini.
I. PERKENALAN
A. Tujuan Kode Etik ini: Pernyataan umum tentang latar belakang kode etik, menekankan
tradisi perusahaan.
B. Komitmen Perusahaan terhadap Standar Etika yang Kuat: Pernyataan ulang pernyataan
misi dan pesan pendukung dari CEO.
C. Tempat Mencari Bimbingan: Deskripsi proses hotline etika.
D. Melaporkan Ketidakpatuhan: Panduan untuk pelapor–cara melaporkan.
E. Tanggung Jawab Anda untuk Mengakui Kode Etik: Deskripsi proses
pengakuan kode etik untuk semua pemangku kepentingan.
II. STANDAR TRANSAKSI YANG ADIL
A. Praktik Penjualan Perusahaan: Panduan untuk berurusan dengan pelanggan.
B. Praktik Pembelian Perusahaan: Panduan dan kebijakan untuk berurusan dengan vendor.
III. PERILAKU DI TEMPAT KERJA
A. Standar Kesempatan Kerja yang Setara: Pernyataan komitmen yang kuat.
B. Kebijakan Tempat Kerja dan Pelecehan Seksual: Pernyataan komitmen yang sama kuatnya.
C. Penyalahgunaan Alkohol dan Zat: Pernyataan kebijakan di bidang ini.
IV. KONFLIK KEPENTINGAN
A. Pekerjaan di Luar Pekerjaan: Batasan menerima pekerjaan dari pesaing.
B. Investasi Pribadi: Aturan tentang penggunaan data perusahaan untuk membuat keputusan
investasi pribadi.
C. Hadiah dan Manfaat Lainnya: Aturan tentang menerima suap dan hadiah yang tidak pantas.
D. Mantan Karyawan: Aturan yang melarang pemberian bantuan kepada mantan karyawan dalam
bisnis.
E. Anggota Keluarga: Aturan tentang memberikan bisnis kepada anggota keluarga,
menciptakan potensi konflik kepentingan, dan hubungan anggota keluarga-
karyawan.
V. PROPERTI DAN CATATAN PERUSAHAAN
A. Aset Perusahaan: Pernyataan yang kuat tentang tanggung jawab karyawan untuk melindungi
aset.
B. Sumber Daya Sistem Komputer: Perluasan laporan aset perusahaan untuk mencerminkan
semua aspek sumber daya sistem komputer.
C. Penggunaan Nama Perusahaan: Aturan bahwa nama perusahaan hanya boleh
digunakan untuk urusan bisnis normal.
D. Enterprise Records: Aturan mengenai tanggung jawab karyawan untuk integritas catatan.
E. Informasi Rahasia: Aturan tentang pentingnya menjaga kerahasiaan semua informasi
perusahaan dan tidak mengungkapkannya kepada orang luar.
F. Privasi Karyawan: Pernyataan yang kuat tentang pentingnya menjaga kerahasiaan
informasi pribadi karyawan dari orang luar dan bahkan karyawan lain.
G. Manfaat Perusahaan: Karyawan tidak boleh mengambil manfaat perusahaan di tempat yang bukan
haknya.
VI. MEMATUHI HUKUM
A. Informasi Orang Dalam dan Perdagangan Orang Dalam: Aturan kuat yang melarang
perdagangan orang dalam atau mendapatkan keuntungan dari informasi orang
dalam.
B. Kontribusi dan Kegiatan Politik: Pernyataan yang kuat tentang aturan kegiatan politik.
C. Penyuapan dan Suap: Aturan tegas tentang penggunaan suap atau menerima suap.
D. Transaksi Bisnis Asing: Aturan tentang berurusan dengan agen asing sesuai dengan
Undang-Undang Praktik Korupsi Asing.
E. Keselamatan di Tempat Kerja: Pernyataan tentang kebijakan perusahaan untuk mematuhi aturan
OSHA.
F. Keamanan Produk: Pernyataan tentang komitmen perusahaan terhadap keamanan produk.
G. Perlindungan Lingkungan: Aturan mengenai komitmen perusahaan untuk mematuhi
4.2 Lingkungan Pengendalian Prinsip 1: Integritas dan Nilai Etika ■ 64
undang-undang lingkungan yang berlaku.
4.2 Lingkungan Pengendalian Prinsip 1: Integritas dan Nilai Etika ■ 65
1. Sudahkah Anda menerima dan membaca salinan kode etik? Jawab ya atau tidak.
2. Apakah Anda memahami isi kode etik ini? Jawab ya jika Anda memahami kode
etik ini atau tidak jika Anda memiliki pertanyaan.
3. Apakah Anda setuju untuk mematuhi kebijakan dan pedoman dalam kode etik ini?
Jawab ya jika Anda setuju untuk mematuhi kode dan tidak jika tidak.
pelanggaran kode dengan cara yang aman dan rahasia. Sebagian besar mekanisme
pelaporan itu dapat ditangani melalui fasilitas whistleblower, seperti yang dibahas
dalam Bab 26.
Kode etik menggambarkan serangkaian aturan untuk tindakan yang diharapkan
dalam perusahaan. Ketika pelanggaran ditemukan, masalah tersebut harus diselidiki
dan tindakan diambil secara konsisten, tidak peduli peringkat pemangku kepentingan.
Jika kode etik melarang pembuatan salinan perangkat lunak perusahaan — dan
seharusnya — hukuman bagi analis staf di kantor penjualan jarak jauh atau manajer
senior di kantor pusat perusahaan harus sama. Dengan asumsi mereka berdua
membaca larangan dalam kode dan mengakui penerimaan, hukuman untuk
pelanggaran harus konsisten. Kalau tidak, mungkin ada suasana di mana aturan
tampaknya hanya berlaku untuk beberapa orang. Ini mendukung prinsip integritas
dan nilai-nilai etika COSO.
Lingkungan kontrol sangat dipengaruhi oleh tindakan dewan direksi perusahaan dan
komite auditnya, dengan prinsip "Pastikan bahwa dewan menjalankan tanggung jawab
pengawasan."
Pada tahun-tahun sebelum Sarbanes-Oxley Act (SOx), dewan dan komite audit
mereka sering didominasi oleh manajemen senior di dalam direktur, seringkali
dengan perwakilan terbatas dari luar, anggota dewan minoritas. Ini menciptakan
situasi di mana dewan tidak sepenuhnya independen dari manajemen. Pejabat
perusahaan duduk di dewan dan pada dasarnya mengelola diri mereka sendiri,
seringkali dengan kurang memperhatikan investor luar. SOx mengubah ini dan
mengharuskan komite audit benar-benar independen. Dewan yang aktif dan
independen merupakan komponen penting dari lingkungan kontrol COSO. Dengan
menetapkan kebijakan tingkat tinggi dan dengan meninjau perilaku perusahaan
secara keseluruhan, dewan dan komite auditnya memiliki tanggung jawab utama
untuk menetapkan nada di atas.
Dewan independen harus memiliki hubungan dekat dengan manajemen senior
untuk memastikan operasi perusahaan yang efektif dan sukses serta lingkungan
pengendalian internal yang kuat. Dewan direksi dan komite auditnya harus
mengidentifikasi dan memahami harapan pemangku kepentingan, termasuk
pelanggan, karyawan, investor, dan masyarakat umum, serta persyaratan hukum dan
peraturan perusahaan. Harapan ini harus membantu membentuk tujuan perusahaan
dan tanggung jawab pengawasan dewan. Kegiatan dewan direksi berikut dapat
membantu manajemen dalam mencegah apakah prinsip lingkungan pengendalian
COSO ini ada dan berfungsi.
■
Tetapkan tanggung jawab pengawasan. Dewan direksi harus mengidentifikasi
dan menerima tanggung jawab pengawasannya sehubungan dengan persyaratan
hukum yang ditetapkan dan harapan pemangku kepentingan, investor, dan publik.
■
Terapkan keahlian yang relevan. Dewan direksi harus mendefinisikan,
memelihara, dan secara berkala mengevaluasi keterampilan dan keahlian yang
dibutuhkan di antara anggotanya untuk memungkinkan mereka mengajukan
pertanyaan menyelidik dari manajemen senior dan mengambil tindakan yang
4.2 Lingkungan Pengendalian Prinsip 1: Integritas dan Nilai Etika ■ 68
sepadan.
4.4 Lingkungan Pengendalian Prinsip 3: Kebutuhan Otoritas dan Tanggung 65
Jawab ■
■
Beroperasi secara independen. Dewan direksi harus memiliki anggota yang
cukup yang independen dari manajemen dan objektif dalam evaluasi dan
pengambilan keputusan mereka.
■
Memberikan pengawasan untuk sistem pengendalian internal. Dewan
direksi harus mempertahankan tanggung jawab pengawasan untuk
pengembangan manajemen dan performance pengendalian internal.
Dewan direksi harus meninjau dan menyetujui kebijakan dan praktik yang
mendukung kinerja pengendalian internal di seluruh perusahaan dalam pertemuan
rutin antara manajemen dan dewan. Proses dan struktur yang sangat relevan dengan
komite audit dewan adalah proses yang memberikan pengawasan terhadap sistem
pengendalian internal, dan upaya bersama dewan dan manajemen senior dapat
menunjukkan bahwa prinsip lingkungan pengendalian internal ini ada dan berfungsi.
Manajemen harus menetapkan, dengan pengawasan dewan yang tepat, struktur, jalur
pelaporan, dan wewenang dan tanggung jawab yang tepat dalam mengejar tujuan
pengendalian internalnya. Harus ada struktur organisasi untuk merencanakan,
melaksanakan, mengendalikan, dan secara berkala menilai kegiatan perusahaan
secara keseluruhan. Tujuan lingkungan kontrol ini adalah untuk menyediakan
akuntabilitas dan arus informasi yang jelas di dalam dan di seluruh perusahaan secara
keseluruhan dan semua subunitnya.
Untuk menentukan bahwa prinsip pengendalian internal perusahaan ini
berfungsi, manajemen dan dewan direksi harus mempertimbangkan beberapa unit
operasi, badan hukum, lokasi geografis, dan penyedia layanan outsourcing di
perusahaan untuk mendukung pencapaian tujuan pengendalian internal ini. Dengan
perusahaan internasional yang kompleks saat ini, dengan beberapa perjanjian antara
unit operasi dan penyedia luar, ini bisa menjadi campuran yang kompleks, tetapi
manajemen kemudian harus merancang dan mengevaluasi jalur pelaporan untuk
setiap struktur entitas untuk memungkinkan pelaksanaan wewenang dan tanggung
jawab dan aliran informasi untuk mengelola kegiatan entitas.
Banyak perusahaan dari semua jenis dan ukuran saat ini telah merampingkan
operasi mereka dan mendorong otoritas pengambilan keputusan mereka ke bawah
dan lebih dekat ke personel garis depan. Lingkungan kontrol yang kuat mengatakan
bahwa karyawan garis depan harus memiliki pengetahuan dan kekuatan untuk
membuat keputusan yang tepat di area operasi mereka sendiri daripada diminta untuk
meneruskan permintaan keputusan melalui saluran perusahaan yang lebih senior.
Tantangan kritis yang menyertai delegasi atau pemberdayaan ini adalah bahwa
meskipun mereka dapat mendelegasikan beberapa wewenang untuk mencapai tujuan,
manajemen senior pada akhirnya bertanggung jawab atas keputusan yang dibuat oleh
bawahan tersebut. Suatu perusahaan dapat menempatkan dirinya pada risiko jika
terlalu banyak keputusan yang melibatkan tujuan tingkat yang lebih tinggi ditugaskan
pada tingkat yang lebih rendah secara tidak tepat tanpa tinjauan manajemen yang
memadai. Selain itu, setiap orang di perusahaan harus memiliki pemahaman yang
baik tentang keseluruhan perusahaan
4.4 Lingkungan Pengendalian Prinsip 3: Kebutuhan Otoritas dan Tanggung 66
Jawab ■
tujuan serta bagaimana tindakan individu saling berhubungan untuk mencapai tujuan
tersebut. Manajemen enterprise harus mengakui bahwa komponen lingkungan kontrol
dari kerangka COSO ini sangat dipengaruhi oleh sejauh mana individu mengakui bahwa
mereka akan dimintai pertanggungjawaban. Hal ini berlaku untuk semua anggota
perusahaan, dari anggota staf sampai ke kepala eksekutif, yang memiliki tanggung
jawab utama untuk semua kegiatan dalam suatu entitas, termasuk sistem
pengendalian internal.
■
Kebutuhan pengetahuan, keterampilan, dan pengalaman
■
Sifat dan tingkat penilaian dan keterbatasan wewenang untuk diterapkan pada
posisi tertentu
■
Analisis biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman
■
Trade-off antara tingkat pengawasan dan tingkat kompetensi yang diperlukan
dari masing-masing karyawan
Untuk meningkatkan staf dalam tim penjualan dan pemasarannya, atau ketika
peraturan baru yang berlaku dikeluarkan, ia dapat fokus pada individu-individu yang
bertanggung jawab atas implementasinya. Kekurangan mungkin timbul berkaitan
dengan tingkat kepegawaian, keterampilan, keahlian, atau kombinasi dari faktor-
faktor tersebut. Manajemen bertanggung jawab untuk bertindak atas kekurangan
tersebut secara tepat waktu.
Kata kunci dalam prinsip ini dan yang lainnya adalah menunjukkan. Dalam
semua kasus, manajemen harus mengambil langkah-langkah untuk menerapkan
prinsip kontrol. Hal ini penting bagi auditor internal, yang sebagai bagian dari
tinjauan mereka harus mencari apa yang telah dilakukan unit perusahaan untuk
menerapkan beberapa prinsip pengendalian internal.
yang harus dipertimbangkan sebagai bagian dari perencanaan audit internal, sebagaimana
dibahas dalam Bab
8. Meskipun suatu perusahaan mungkin tidak secara eksplisit menyatakan semua
tujuan terkait risikonya, ini tidak berarti bahwa tujuan tersirat adalah tanpa risiko
internal atau eksternal, dan perusahaan harus mempertimbangkan semua risiko yang
mungkin terjadi.
Agar efektif, proses identifikasi risiko perusahaan harus didukung oleh berbagai
kegiatan, teknik, dan mekanisme, masing-masing relevan dengan penilaian risiko
secara keseluruhan. Manajemen harus mempertimbangkan risiko ini di semua
tingkatan dan mengambil langkah-langkah yang diperlukan untuk mengelolanya.
Penilaian risiko harus mempertimbangkan faktor-faktor yang mempengaruhi tingkat
keparahan, kecepatan, dan persistensi risiko, kemungkinan hilangnya aset, dan dampak
terkait pada operasi, pelaporan, dan kegiatan kepatuhan. Selain itu, baik audit internal
maupun perusahaan secara keseluruhan perlu memahami toleransi perusahaan untuk
menerima risiko dan kemampuannya untuk beroperasi dalam tingkat risiko tersebut.
Prinsip identifikasi dan analisis risiko COSO menyerukan pertimbangan semua
risiko dalam suatu perusahaan, termasuk subunit dan fungsi operasionalnya, seperti
keuangan, sumber daya manusia, pemasaran, produksi, pembelian, dan pengelolaan
TI. Selain itu, proses ini harus mempertimbangkan risiko internal dan eksternal yang
berasal dari penyedia layanan outsourcing, pemasok utama, dan mitra saluran yang
secara langsung atau tidak langsung berdampak pada pencapaian tujuan perusahaan.
Dalam melakukan penilaian risiko ini, manajemen harus mempertimbangkan tingkat
perubahan dalam menentukan frekuensi proses penilaian risiko. Sementara penilaian
risiko adalah proses yang dinamis, perusahaan harus menggunakan kombinasi
penilaian risiko yang sedang berlangsung dan berkala. Audit internal dapat
memainkan peran penting di sini baik dalam perencanaan audit internal berbasis
risiko maupun identifikasi area risiko potensial sebagai bagian dari audit internal di
lokasi lapangan.
Seperti yang telah kita bahas di Bab 3, auditor internal di masa lalu memiliki
keterlibatan minimal dengan masalah terkait kecurangan, tetapi ini telah sangat
banyak berubah. Auditor internal sering berada dalam posisi yang sangat baik untuk
mengevaluasi risiko kecurangan karena kegiatan peninjauan mereka yang sedang
berlangsung di seluruh perusahaan. Proses deteksi dan pencegahan penipuan akan
dibahas lebih menyeluruh dalam Bab 27, dan merupakan prinsip pengendalian
internal COSO yang penting.
Penilaian risiko penipuan adalah proses yang harus digunakan perusahaan untuk
menentukan eksposurnya terhadap penipuan internal dan eksternal. Penilaian harus
meninjau operasi dan kontrol, termasuk kebijakan dan prosedur, untuk menentukan
di mana ada kesenjangan yang memungkinkan seseorang atau sekelompok orang
untuk melakukan penipuan terhadap perusahaan. Penilaian risiko penipuan kemudian
harus melihat bidang-bidang utama perusahaan untuk menentukan apakah tindakan
telah diambil yang akan mengingatkan manajemen terhadap penipuan atau untuk
secara efektif mencegah pelaksanaan penipuan. Setiap perusahaan memiliki tingkat
4.9 Prinsip Penilaian Risiko 8: Mengevaluasi Risiko 70
risiko dan teknik mitigasi
Penipuanyang berbeda tergantung pada industri mereka. Perusahaan
■
manufaktur dengan persediaan nilai unit tinggi memiliki risiko yang berbeda dari
perusahaan teknologi perangkat lunak dengan kekayaan intelektual yang berharga.
Perusahaan ritel dengan toko memiliki seperangkat yang berbeda
4.9 Prinsip Penilaian Risiko 8: Mengevaluasi Risiko 71
Penipuan ■
risiko daripada perusahaan jasa profesional. Setiap penilaian risiko perlu disesuaikan
dengan organisasi dan risiko spesifik yang dihadapinya. Bukti 4.3 menunjukkan
proses penilaian risiko penipuan umum ini.
Auditor internal mengalami banyak masalah kesadaran dan potensi masalah
penipuan dalam tinjauan terjadwal mereka yang sedang berlangsung. Mereka juga
biasanya terlibat dalam tinjauan tingkat transaksi yang jauh lebih rinci daripada rekan-
rekan audit eksternal mereka dan melihat dokumen atau transaksi yang dipertanyakan
lebih sering. Jika manajemen merasa mungkin ada potensi kecurangan di perusahaan,
langkah pertama hampir selalu untuk con-tact audit internal, yang juga akan memiliki
beberapa koneksi dan komunikasi dengan departemen hukum perusahaan. Mereka
dapat mendiskusikan potensi kekhawatiran di sana dan mendapatkan pendapat cepat
tentang apakah beberapa kekhawatiran memerlukan lebih banyak perhatian. Jika ada
tanda-tanda kuat penipuan aktif, hukum perusahaan hampir selalu siap untuk terjun
ke masalah ini dan membantu.
Standar IIA menekankan bahwa audit internal memiliki peran terkait deteksi dan
pencegahan kecurangan, tetapi tanggung jawab utama jatuh pada manajemen.
Meskipun ini terdengar sederhana dalam teori, masalahnya terletak pada
mengkomunikasikan pesan itu kepada manajemen. Evaluasi risiko kecurangan
merupakan prinsip pengendalian internal yang penting.
4.10 Prinsip Penilaian Risiko 9 ■ 71
Prinsip-prinsip penilaian risiko bernilai kecil jika suatu perusahaan melalui analisis
ekstensif untuk mengidentifikasi risiko tetapi kemudian pada dasarnya tidak
mengambil tindakan untuk mengurangi risiko yang diidentifikasi. Ini benar-benar
membutuhkan rencana respons risiko dengan prinsip akhir untuk penilaian risiko
pengendalian internal COSO:
Prinsip aktivitas pengendalian COSO yang penting ini menyatakan bahwa, sebagai
bagian dari lingkungan pengendalian internal secara keseluruhan, suatu perusahaan
harus memilih dan mengembangkan aktivitas pengendalian yang berkontribusi pada
mitigasi risiko pengendalian internal untuk pencapaian tujuan mereka ke tingkat yang
dapat diterima. Kegiatan pengendalian mencakup tindakan yang memastikan bahwa
tanggapan terhadap risiko yang dinilai, serta arahan manajemen lainnya — seperti
menetapkan kode etik perusahaan — dilakukan dengan benar dan tepat waktu.
Karena setiap perusahaan memiliki seperangkat tujuan dan pendekatan
implementasinya sendiri, akan selalu ada perbedaan dalam tujuan, risiko, tanggapan,
dan kegiatan pengendalian terkait. Setiap perusahaan dikelola oleh orang yang
berbeda dengan keterampilan yang berbeda yang menggunakan teknik masing-
masing dalam mempengaruhi pengendalian internal. Selain itu, kontrol
mencerminkan lingkungan dan industri di mana perusahaan beroperasi serta
kompleksitas organisasinya, sejarahnya, budaya, dan ruang lingkup operasinya.
Faktor-faktor spesifik perusahaan dapat mempengaruhi kegiatan pengendalian yang
diperlukan untuk mendukung sistem pengendalian internal mereka:
■
Lingkungan dan kompleksitas perusahaan serta sifat dan ruang lingkup
operasinya, baik secara fisik maupun logis, semuanya dapat mempengaruhi
aktivitas pengendalian perusahaan.
■
Perusahaan yang sangat diatur umumnya memiliki respons risiko dan aktivitas
kontrol yang lebih kompleks daripada entitas yang kurang diatur.
■
Ruang lingkup dan sifat respon risiko dan kegiatan pengendalian untuk
perusahaan multinasional dengan operasi yang beragam umumnya menangani
struktur pengendalian internal yang lebih kompleks daripada perusahaan
domestik dengan kegiatan yang kurang bervariasi.
■
Perusahaan dengan sistem perencanaan sumber daya perusahaan yang cukup
canggih, seperti yang dibahas lebih lanjut di bagian berikut, akan memiliki
aktivitas kontrol yang berbeda dari yang menggunakan sistem TI yang kurang
canggih.
■
Sebuah perusahaan dengan operasi terdesentralisasi dan penekanan pada
otonomi lokal dan inovasi menyajikan lingkungan kontrol yang berbeda dari
yang lain yang operasinya konstan dan sangat terpusat.
COSO menggunakan istilah teknologi dalam prinsip ini, dan dapat mencakup bidang-
bidang seperti robotika manufaktur, instrumen pengujian farmasi, dan pengembangan
produk video elektronik berorientasi konsumen. Semua produk teknologi ini dan
lebih banyak lagi melampaui apa yang biasanya kita sebut sistem TI, dan banyak dari
masalah dan masalah pengendalian internal mereka benar-benar di luar jangkauan
banyak auditor internal. Mengingat keterbatasan ruang di sini, ketika COSO
mereferensikan kontrol teknologi, kami akan merujuk aplikasi sistem TI dan kontrol
umum. Kedua bidang kontrol TI ini mencakup berbagai topik dan dibahas dalam
Bagian Lima buku ini, Bab 19 hingga 24.
Ada banyak jenis kontrol TI terkait teknis, manajemen, dan tata kelola yang
mencakup segala hal mulai dari kebijakan TI manajemen tingkat tinggi hingga proses
kontrol untuk aplikasi tertentu dan bahkan berjalan pada perangkat genggam. Bukti
4.4 menjelaskan keseluruhan hierarki kontrol TI ini, yang sebagian besar akan
dibahas dalam bab-bab lain ke depan. Poin kami di sini adalah bahwa ada satu
prinsip pengendalian internal COSO yang berbicara tentang pentingnya kontrol TI,
tetapi perusahaan memiliki tantangan untuk memilih dan mengembangkan kontrol TI
yang sesuai.
Pemerintahan
Kebijakan
DIA
Standar
Direksi
Yang ketiga dari prinsip-prinsip kegiatan kontrol COSO menyerukan perusahaan untuk
menyebarkan kegiatan kontrolnya melalui kebijakan dan prosedur. Kebijakan aktivitas
kontrol menentukan dan menetapkan apa yang diharapkan, dan prosedur menerapkan
kebijakan tersebut. Sementara suatu perusahaan biasanya akan memiliki banyak
kebijakan dan prosedur untuk mencapai tujuannya, kegiatan pengendalian harus
dimulai yang secara khusus berkaitan dengan kebijakan dan prosedur tersebut dan
berkontribusi pada mitigasi risiko untuk pencapaian tujuan pada tingkat yang dapat
diterima. Sebuah kebijakan harus lebih dari sekedar CEO yang mengatakan bahwa
dia umumnya ingin melakukan sesuatu atau mengambil tindakan tanpa rincian yang
lebih spesifik. Dalam melalui proses peninjauan dan persetujuan formal, perusahaan
harus menerbitkan pernyataan yang menguraikan niat manajemen untuk menerapkan
beberapa kebijakan atau mengambil beberapa tindakan. Sering dipublikasikan pada
database layanan pelanggan, kebijakan yang diterbitkan perusahaan harus memiliki
yang berikut
Elemen:
■
Tujuan kebijakan. Harus ada pernyataan tingkat tinggi yang menguraikan
maksud atau tujuan tingkat tinggi dari kebijakan tersebut.
■
Lokasi dan penerapan. Harus ada definisi apakah kebijakan hanya berlaku
untuk beberapa unit atau bersifat global.
■
Peran dan tanggung jawab. Deskripsi harus mencakup semua orang yang terlibat
dalam kebijakan.
Ada banyak gaya dan format pernyataan kebijakan perusahaan, dan dalam
beberapa kasus kebijakan bahkan dapat dikomunikasikan secara lisan selama pesan
pendukung dipahami dengan baik. Kebijakan tidak tertulis dapat efektif di mana
saluran komunikasi melibatkan lapisan manajemen terbatas dan interaksi yang erat
dengan pengawasan personel. Tetapi apakah mereka ditulis atau tidak, kebijakan
harus menetapkan tanggung jawab dan akuntabilitas individu yang jelas dan
dikerahkan dengan tekun dan konsisten oleh personnel yang kompeten. Suatu
prosedur tidak akan berguna jika dilakukan dengan cara menghafal, tanpa fokus yang
tajam dan berkelanjutan pada risiko yang diarahkan oleh kebijakan tersebut.
Elemen kunci dari prinsip aktivitas kontrol ini adalah bahwa perusahaan harus
menerapkan kebijakan yang menetapkan apa yang diharapkan dan prosedur yang
relevan untuk mencerminkan kebijakan ini. Prinsip kegiatan pengendalian ini
memerlukan langkah-langkah tindakan berikut:
■
Menetapkan kebijakan dan prosedur untuk mendukung penyebaran
arahan manajemen. Manajemen harus menetapkan kegiatan pengendalian
yang dibangun ke dalam proses bisnis dan kegiatan sehari-hari karyawan melalui
kebijakan yang menetapkan apa yang diharapkan dan prosedur yang relevan
yang menentukan tindakan tersebut.
■
Menetapkan tanggung jawab dan akuntabilitas untuk melaksanakan
kebijakan dan prosedur . Manajemen harus menetapkan tanggung jawab dan
akuntabilitas untuk semua kegiatan kontrol yang relevan dari perusahaan.
4.12 Kegiatan Pengendalian Prinsip 11 75
■
Lakukan dengan menggunakan personel
■ yang kompeten. Proses seleksi dan
pelatihan harus dilakukan sedemikian rupa sehingga personel yang kompeten
ditugaskan untuk melakukan kegiatan pengendalian dengan ketekunan dan
fokus.
4.14 Prinsip Informasi dan Komunikasi 13 ■ 75
■
Lakukan tepat waktu. Personil yang bertanggung jawab harus melakukan
kegiatan pengendalian secara tepat waktu sebagaimana didefinisikan oleh
kebijakan dan prosedur perusahaan.
■
Ambil tindakan korektif jika perlu. Personil yang bertanggung jawab harus
menyelidiki dan bertindak atas hal-hal yang diidentifikasi sebagai hasil dari
pelaksanaan kegiatan pengendalian.
■
Menilai kembali kebijakan dan prosedur. Manajemen harus secara berkala
meninjau kegiatan pengendalian untuk menentukan relevansi mereka yang
berkelanjutan dan harus menyegarkannya bila perlu.
Suatu perusahaan harus memperoleh dan menggunakan informasi yang relevan dan
berkualitas untuk mendukung fungsi komponen pengendalian internalnya. Informasi
diperlukan bagi suatu perusahaan untuk melaksanakan tanggung jawab pengendalian
internalnya dalam mendukung pencapaian tujuan. Informasi tentang tujuan
perusahaan harus dikumpulkan dari dewan direksi dan kegiatan manajemen senior
dan diringkas sedemikian rupa sehingga manajemen lini dan orang lain dapat
memahami tujuan ini dan peran mereka dalam pencapaian mereka. Masalah
komunikasi ini sering merupakan jenis masalah dasar "Manajemen 101", di mana
kita harus selalu ingat bahwa informasi yang relevan adalah komponen kunci dari
kontrol internal yang efektif. Manajemen senior, spesialis TI, auditor internal, dan
lainnya, yang bekerja sebagai tim, harus mensurvei sumber daya input dan output
informasi manajemen operasional dan keuangan masa lalu untuk mengidentifikasi
dan mendefinisikan persyaratan informasi yang relevan dengan lebih baik.
Memperoleh informasi yang relevan, sebagaimana didefinisikan dalam materi
panduan COSO, mengharuskan manajemen untuk mengidentifikasi dan
mendefinisikan persyaratan informasi pada tingkat detail dan spesifisitas yang kuat.
Mengidentifikasi persyaratan informasi adalah proses berulang dan berkelanjutan
yang terjadi di seluruh kinerja sistem pengendalian internal yang efektif.
Persyaratan informasi ditetapkan melalui kegiatan yang dilakukan untuk
mendukung elemen atau komponen pengendalian internal lainnya. Persyaratan ini
memfasilitasi dan mengarahkan manajemen dan personel lain untuk mengidentifikasi
sumber informasi dan data yang relevan dan andal. Jumlah informasi dan data dasar
yang tersedia untuk manajemen seringkali lebih dari yang dibutuhkan karena
peningkatan sumber informasi dan kemajuan dalam pengumpulan, pemrosesan, dan
penyimpanan data. Dalam kasus lain, data mungkin sulit diperoleh pada tingkat yang
relevan atau kekhususan yang diperlukan. Oleh karena itu, pemahaman yang jelas
tentang persyaratan informasi yang didefinisikan COSO mengarahkan manajemen
dan personel lain untuk mengidentifikasi sumber informasi dan data yang relevan dan
andal.
■
Pentingnya, relevansi, dan manfaat pengendalian internal yang efektif
■
Peran dan tanggung jawab manajemen dan personil lainnya dalam melakukan proses
pengendalian internal tersebut
■
Harapan perusahaan untuk berkomunikasi ke atas, ke bawah, dan di setiap matter
signifikansi yang berkaitan dengan pengendalian internal, termasuk contoh
kelemahan, kemunduran, atau ketidakpatuhan
Metode Komunikasi
Baik kejelasan dan efektivitas informasi yang dikomunikasikan penting untuk
memastikan bahwa pesan-pesan ini diterima sebagaimana dimaksud. Bentuk
komunikasi aktif seperti pertemuan tatap muka seringkali lebih efektif daripada
bentuk pasif seperti siaran email atau posting Web. Evaluasi berkala terhadap efektivitas
praktik komunikasi perusahaan membantu memastikan bahwa metode ini berhasil. Hal
ini dapat dilakukan melalui berbagai proses yang ada, seperti evaluasi kinerja
karyawan, tinjauan manajemen tahunan, dan program umpan balik.
Manajemen harus memilih metode komunikasi yang tepat, dengan
mempertimbangkan audiens, sifat komunikasi, ketepatan waktu, biaya, dan
persyaratan keamanan dan privasi serta persyaratan hukum atau peraturan. Bukti 4.6
menunjukkan contoh berbagai format komunikasi terkait pengendalian internal.
Tidak satu pun dari ini tentu lebih baik daripada yang lain selama metode yang
dipilih secara tepat mengkomunikasikan pesan yang diinginkan kepada penerima
yang dituju.
Ketika memilih metode atau format untuk komunikasi, manajemen harus
consider lingkungan di mana pesan yang dikirim. Misalnya, perbedaan budaya, etnis,
dan generasi dapat mempengaruhi bagaimana pesan diterima, dan metode
komunikasi harus disesuaikan berdasarkan faktor-faktor tersebut. Terlepas dari
metode komunikasi yang digunakan, manajemen harus mempertimbangkan
persyaratan mereka untuk menyampaikan
komunikasi kepada kedua pihak internal, terutama pihak eksternal di mana pesan
tersebut berkaitan dengan kepatuhan terhadap hukum dan peraturan. Mengingat
potensi volume dan kemampuan untuk menyimpan dan mengambil informasi
tersebut, persyaratan komunikasi ini mungkin menantang ketika manajemen
bergantung pada massa e-mail yang terkait dengan komunikasi yang didukung
teknologi real-time. Prinsip-prinsip aktivitas pengendalian atas penyimpanan
informasi pengendalian internal harus mempertimbangkan tantangan kemajuan
teknologi, termasuk teknologi komunikasi dan kolaborasi yang digunakan untuk
mendukung pengendalian internal.
Komunikasi informasi yang berkaitan dengan tanggung jawab pengendalian
internal saja mungkin tidak cukup untuk memastikan bahwa manajemen dan personil
lainnya menerima dan menanggapi sebagaimana dimaksud. Tindakan yang konsisten
dan tepat waktu yang diambil oleh manajemen mengenai komunikasi tersebut
memperkuat pesan yang disampaikan. Dengan teknologi yang selalu berubah,
manajemen saat ini memiliki banyak pilihan dalam pilihan mereka untuk
menyampaikan pesan yang efektif kepada semua personel yang terlibat mengenai
masalah pengendalian internal. Namun, manajemen harus mempertimbangkan
lingkungan dan penerima yang dituju dari pesan-pesan ini, dan menggunakan apa
yang mereka anggap sebagai metode yang lebih efektif mengingat penerima yang
direncanakan.
Prinsip COSO penting yang harus ditetapkan dan diterapkan perusahaan adalah kebijakan
dan prosedur yang memfasilitasi komunikasi eksternal yang efektif. Ini termasuk
mekanisme untuk mendapatkan atau menerima informasi dari pihak eksternal dan
untuk membagikan informasi tersebut secara internal, yang memungkinkan
manajemen dan personel lain untuk mengidentifikasi tren, peristiwa, atau keadaan
yang dapat memengaruhi pencapaian tujuan pengendalian internal mereka.
Komunikasi dengan pihak eksternal memungkinkan orang lain untuk dengan
mudah memahami peristiwa, kegiatan, dan keadaan lain yang dapat mempengaruhi
bagaimana mereka harus berinteraksi dengan suatu perusahaan. Komunikasi
manajemen kepada pihak eksternal harus mengirim pesan tentang pentingnya
pengendalian internal dalam perusahaan dengan menunjukkan jalur komunikasi
terbuka. Komunikasi dengan pemasok eksternal dan pelanggan sangat penting untuk
membangun lingkungan kontrol yang tepat dan untuk membantu pihak eksternal ini
memahami nilai-nilai dan budaya perusahaan. Mereka harus diberitahu tentang hal-
hal seperti kode etik organisasi dan mengakui tanggung jawab mereka dalam
membantu memastikan kepatuhan terhadap nilai-nilai ini dan lainnya. Misalnya,
manajemen dapat mendistribusikan kebijakan dan praktik mereka untuk urusan bisnis
dengan vendor atas persetujuan vendor baru dan mungkin mengharuskan vendor
untuk mengakui kepatuhannya sebelum persetujuan pesanan pembelian awal dengan
vendor.
Masalah kompleksitas komunikasi dapat timbul antara perusahaan dan pihak
eksternal melalui penyedia layanan dan pengaturan outsourcing lainnya, usaha
patungan dan aliansi, dan transaksi lain yang menciptakan ketergantungan timbal
4.16 Prinsip Informasi dan Komunikasi 15 ■ 82
balik antara pihak-pihak ini. Kompleksitas semacam itu dapat menimbulkan
kekhawatiran tentang bagaimana bisnis dilakukan di antara para pihak. Dalam hal ini,
perusahaan harus mempertimbangkan untuk membuat saluran komunikasi terpisah
tersedia bagi penyedia layanan eksternal untuk memungkinkan mereka
4.16 Prinsip Informasi dan Komunikasi 15 ■ 83
Kegiatan pemantauan menilai apakah tujuan pengendalian internal COSO ada dan
berfungsi. Suatu perusahaan harus menggunakan proses evaluasi yang sedang
berlangsung dan terpisah untuk memastikan apakah prinsip-prinsip pengendalian
internal yang ditetapkan, baik di seluruh perusahaan dan subunitnya, berlaku, ada,
dan berfungsi. Pemantauan merupakan faktor kunci dalam penilaian efektivitas
pengendalian internal. Suatu perusahaan, seringkali dengan dukungan audit internal,
harus melakukan kegiatan pemantauan pengendalian yang sedang berlangsung dan
mengidentifikasi serta mengkomunikasikan setiap kekurangan pengendalian internal
yang diketahui dalam lingkaran penuh proses pengendalian internal. Idenya di sini
adalah bahwa suatu perusahaan harus melalui masing-masing komponen kontrol
COSO, dan ketika siklus ini bergerak ke kegiatan pemantauan, mereka bertindak sebagai
faktor peninjau atas semua komponen kontrol internal lainnya.
Sebagai prinsip pengendalian utama, perusahaan harus memilih,
mengembangkan, dan melakukan evaluasi ongo- ing dan / atau terpisah untuk
memantau atau memastikan apakah komponen pengendalian internalnya ada dan
berfungsi. Pemantauan dapat dilakukan melalui beberapa kombinasi evaluasi terpisah
atau proses pemantauan berkelanjutan. Audit internal independen satu kali atas
beberapa area operasi atau pengendalian internal adalah contoh dari aktivitas
pemantauan terpisah. Audit internal dapat menjadwalkan satu tinjauan terhadap suatu
area, berdasarkan penilaian risikonya, dan kemudian dapat kembali untuk meninjau
area yang sama lagi, berdasarkan kekurangan pengendalian internal yang ditemukan
dalam tinjauan pertama. Evaluasi terpisah harus dilakukan secara berkala oleh
manajemen, audit internal, atau pihak eksternal, antara lain.
Proses pemantauan berkelanjutan mirip dengan proses audit internal
berkelanjutan yang dibahas dalam Bab 11. Mereka seperti lampu peringatan dalam
perangkat pengukur produksi yang hanya berkedip jika beberapa pengukuran di luar
batas. Evaluasi yang sedang berlangsung umumnya didefinisikan, operasi rutin
4.16 Prinsip Informasi dan Komunikasi 15 ■ 84
dibangun ke dalam proses bisnis dan dilakukan secara real-time, bereaksi terhadap
kondisi yang berubah. Di mana evaluasi berkelanjutan berada
4.18 Prinsip Pemantauan 17: Mengkomunikasikan Kekurangan Pengendalian 83
Internal ■
■
Mengidentifikasi dan memperbaiki masalah pengendalian internal secara tepat waktu
■
Menghasilkan informasi yang lebih akurat dan dapat diandalkan untuk digunakan
dalam pengambilan keputusan
■
Menyusun laporan keuangan yang akurat dan tepat waktu
■
Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang
efektivitas pengendalian internal
NOTA