Bab 3 & Bab 4

BAB3T ER TIGA
Kerangka Kerja
Pengendalian Internal
COSO
B
Eksekutif bisnis dan beberapa auditor internal mungkin bertanya, "Siapa
atau apa itu COSO"? Ini bukan standar atau persyaratan terperinci tetapi hanya
kerangka kerja. Dalam dunia bisnis kami beberapa aturan dan peraturan yang
memiliki persyaratan dari
Beberapa lembaga pengatur pemerintah dan lainnya sering menggunakan akronim
yang sulit diingat, mudah untuk memutar mata atau mengangkat bahu pada akronim
dan serangkaian persyaratan lainnya. Kontrol internal COSO adalah kerangka kerja yang
menguraikan praktik profesional untuk membangun sistem dan proses bisnis pilihan
yang mempromosikan pengendalian internal yang efisien dan efektif. Organisasi
sponsor yang menerbitkan dan menerbitkan materi ini bukanlah pemerintah atau
jenis badan pengatur lainnya. Namun demikian, kerangka kerja pengendalian internal
COSO adalah seperangkat atau model penting dari materi panduan yang harus diikuti
perusahaan ketika mengembangkan proses, sistem, dan prosedur bisnis mereka serta
dalam menetapkan kepatuhan Sarbanes-Oxley Act (SOx). Pemahaman tentang
kerangka pengendalian internal COSO adalah persyaratan audit internal yang harus
HARUS DILAKUKAN CBOK.
Kerangka kerja pengendalian internal COSO awalnya diluncurkan di Amerika
Serikat pada tahun 1992, sekarang sudah lama sekali. Ini adalah periode dari
beberapa praktik bisnis penipuan yang signifikan di Amerika Serikat dan di tempat
lain yang mengungkapkan kebutuhan yang diakui dengan baik untuk meningkatkan
proses dan panduan prosedur pengendalian internal. Kerangka pengendalian internal
COSO 1992 ini segera menjadi elemen mendasar dari standar audit American
Institute of Certified Public Accountants (AICPA) di Amerika Serikat dan akhirnya
menjadi standar bagi auditor eksternal perusahaan dalam ulasan mereka yang
menyatakan bahwa pengendalian internal perusahaan memadai mengikuti aturan SOx
yang dibahas dalam Bab 5. Karena sifatnya yang umum menggambarkan praktik
pengendalian internal yang baik, kerangka kerja COSO tidak pernah direvisi hingga
2014.
Sejak dirilisnya kerangka kerja COSO asli itu, ada banyak perubahan dalam
organisasi bisnis dan khususnya dalam struktur perusahaan dan proses TI. Misalnya,
sistem komputer mainframe dengan banyak prosedur pemrosesan batch adalah
Audit Internal Modern Brink: Umum
29
Body of Knowledge, Edisi Kedelapan
Oleh Robert R. Moller
Hak cipta © 2016 oleh John Wiley & Sons, Inc.
3.1 Memahami Pengendalian Internal ■ 31
umum saat itu tetapi semuanya hilang hari ini, untuk digantikan oleh client-server dan
sistem tanpa kabel. Juga, World Wide Web baru saja dimulai saat itu dan hampir tidak
lazim seperti sekarang ini. Karena Internet, struktur organisasi perusahaan telah
menjadi jauh lebih cair, fleksibel, dan internasional. Selain itu, hal-hal seperti
komputasi jejaring sosial, perangkat genggam yang kuat, dan komputasi awan tidak
ada saat itu.
Meskipun beberapa orang mungkin bertanya-tanya mengapa butuh waktu begitu
lama, COSO mengumumkan pada tahun 2011 bahwa mereka merevisi kerangka
kerja pengendalian internal mereka, dan deskripsi kerangka kerja kontrol internal
COSO yang direvisi akhirnya dirilis pada pertengahan Mei 2014, dengan persyaratan
kepatuhan penuh pada awal 2015. Bab ini pertama-tama akan membahas pentingnya
konsep pengendalian internal dan kemudian akan menjelaskan kerangka pengendalian
internal COSO yang baru direvisi dan bagaimana auditor internal dapat
menggunakannya untuk meningkatkan tinjauan pengendalian internal mereka.
3.1 MEMAHAMI PENGENDALIAN INTERNAL
Di tahun-tahun sebelumnya, eksekutif bisnis serta auditor internal dan eksternal

semua memandang pengendalian internal sebagai salah satu konsep yang semua
orang setuju adalah penting dalam bisnis, tetapi hanya sedikit yang bisa
mendefinisikan secara konsisten. Sebagian dari masalahnya adalah bahwa banyak
orang melihat pengendalian internal dengan cara bagan organisasi klasik, dengan
tingkat manajemen senior dan menengah di beberapa unit operasinya atau dalam
kegiatan yang berbeda. Di setiap tingkat, orang melihat kontrol internal dalam garis
otoritas mereka sendiri. Namun, prosedur pengendalian seringkali agak berbeda pada
masing-masing tingkat dan komponen organisasi ini. Sebagai contoh, satu unit dapat
beroperasi dalam lingkungan bisnis yang diatur di mana proses kontrolnya sangat
terstruktur, sementara unit divisi lain dari perusahaan inti yang sama mungkin
merupakan operasi start-up kewirausahaan dengan struktur yang kurang formal.
Tingkat manajemen yang berbeda di perusahaan-perusahaan ini akan memiliki
perspektif masalah kontrol yang berbeda. Pertanyaan "Bagaimana Anda
menggambarkan sistem pengendalian internal Anda?" dapat menerima jawaban yang
berbeda dari orang-orang di berbagai tingkatan atau komponen di masing-masing
unit organisasi perusahaan ini.
Seluruh masalah definisi pengendalian internal ini diselesaikan pada awal 1990-
an ketika sebuah konsorsium organisasi akuntansi dan audit profesional — AICPA,
Institute of Internal Auditors (IIA), dan lainnya — berkumpul untuk
mengembangkan tantangan bersama tentang apa yang dimaksud dengan
pengendalian internal yang baik. Organisasi profesi ini menjadi Committee of
Sponsoring Organizations (COSO) dan diberi wewenang oleh organisasi pemerintah
dan pihak lain untuk mengembangkan definisi umum tentang apa yang dimaksud
dengan pengendalian internal yang baik atau memadai. COSO mempekerjakan
PricewaterhouseCoopers, melakukan survei organisasi pengguna yang luas, dan
mulai bekerja untuk mengembangkan definisi pengendalian internal umum.
Kerangka kerja pengendalian internal COSO asli, dirilis pada tahun 1992,
memberikan deskripsi yang sangat baik tentang konsep multidimensi ini,
mendefinisikan pengendalian internal sebagai berikut:
Pengendalian internal adalah suatu proses, yang dilakukan oleh dewan direksi,
manajemen, dan personel entitas lainnya, yang dirancang untuk memberikan
keyakinan yang memadai mengenai pencapaian tujuan dalam kategori
berikut:
■
Efektivitas dan efisiensi operasi
■
Keandalan pelaporan keuangan
■
Kepatuhan terhadap hukum dan peraturan yang berlaku
Ini adalah definisi COSO tentang pengendalian internal, dan itu benar-benar tidak
berubah sejak dirilis. COSO awalnya menggunakan model tiga dimensi untuk
menggambarkan sistem kontrol internal dalam suatu perusahaan. Exhibit 3.1
menggambarkan model COSO asli pengendalian internal sebagai piramida dengan
lima lapisan atau komponen yang saling berhubungan yang terdiri dari keseluruhan
sistem pengendalian internal. Ini ditunjukkan dengan komponen yang disebut
lingkungan kontrol yang berfungsi sebagai fondasi untuk seluruh struktur. Empat
dari komponen internal ini digambarkan sebagai lapisan horizontal, dengan
komponen lain dari pengendalian internal, yang disebut komunikasi dan informasi,
bertindak sebagai saluran antarmuka untuk empat lapisan lainnya.
Model COSO dengan cepat diadopsi oleh profesi audit dan akuntansi, pertama di
Amerika Serikat dan kemudian di seluruh dunia. Ini menjadi sangat penting setelah
Sarbanes-Oxley Act (SOx) menjadi hukum. SOx mensyaratkan bahwa organisasi
pelaporan publik harus membuktikan kecukupan pengendalian internal mereka,
menggunakan kerangka COSO sebagai ukuran.
Sementara konsep dasar pengendalian internal tidak banyak berubah sejak
kerangka COSO pertama kali dirilis bertahun-tahun yang lalu, lingkungan
keseluruhan di mana bisnis beroperasi dan auditor internal melakukan tinjauan
mereka telah banyak berubah, termasuk beberapa hal berikut:
■ Maraknya penggunaan layanan kontrak, struktur organisasi baru, dan

peningkatan koneksi internasional. Sementara perusahaan monolitik tunggal,
seperti Ford Motor sekitar 100 tahun yang lalu, sebagian besar merupakan sesuatu
dari masa lalu, hubungan organisasi saat ini seringkali semakin kompleks, dengan
penggunaan layanan kontrak, usaha patungan, dan pengaturan bisnis internasional
yang berbeda.
Pemantauan
Pengendalian
Internal
Menguasai
Kegiatan
Komunikasi dan
Informasi
Pengendalian
Internal Operasi
Penilaian
Risiko
Pengendalian
Lingkungan Internal Kepatuhan
Pengendalian Pelaporan
Internal Keuangan
Pengendalian
Internal
PAMERAN 3.1 Kontrol Internal COSO Tampilan Piramida
■ Peningkatan persyaratan kepatuhan dan peraturan lebih dari sekadar

pelaporan keuangan tahunan. Perusahaan saat ini dihadapkan dengan
berbagai persyaratan untuk membangun dan mengelola sistem yang sesuai
dengan berbagai standar dan persyaratan hukum dan peraturan, baik di negara
mereka sendiri maupun internasional.
■ Pengakuan bahwa pencegahan dan deteksi penipuan diperlukan untuk
pengendalian internal yang efektif. Di tahun-tahun sebelumnya, langkah-
langkah deteksi dan pencegahan penipuan tidak dianggap sebagai masalah akuntansi
dan audit tetapi masalah hukum dan keamanan perusahaan. Hal-hal ini masih belum
menjadi bagian dari kerangka COSO asli, tetapi sikap kami telah benar-benar
berubah dalam beberapa tahun terakhir dan auditor internal sekarang memiliki
tanggung jawab besar untuk masalah terkait penipuan.
■ Peningkatan kebutuhan untuk memahami dan menilai risiko sebagai
bagian dari operasi pengendalian internal di semua tingkatan. Memahami
dan mengelola risiko telah menjadi persyaratan yang meningkat bagi auditor
internal sejak kerangka COSO asli. Sementara kerangka kerja asli menyoroti
pemahaman risiko sebagai komponen kontrol internal, pemahaman dan
kekhawatiran kami di sini telah tumbuh secara dramatis.
■ Perubahan konstan dalam teknologi TI dan cara kita menggunakan TI
untuk membangun dan mengelola proses. Jika ada area yang paling
berubah sejak kerangka COSO asli, itu adalah pertumbuhan dan prevalensi
proses dan teknologi terkait TI.
■ Masalah keamanan yang terus meningkat, khususnya keamanan TI di era
big data saat ini. Pada saat kerangka COSO asli, masalah keamanan perusahaan
secara umum jauh lebih sedikit masalah dan keamanan TI sering kali mewakili
sedikit lebih dari kunci aman di pintu pusat komputer mainframe. Bagaimana hal-hal
telah berubah! Campuran berbagai ancaman berbasis internet dan masalah terorisme
umum di seluruh dunia telah memperluas masalah pengendalian internal.
■ Implikasi pengendalian internal yang terkait dengan media sosial dan
sistem nirkabel. Ini adalah area yang benar-benar baru dan berkembang sejak
kerangka kerja COSO asli dirilis. Sistem media sosial seperti Facebook sekarang
memungkinkan rekan bisnis dan lainnya untuk menyiasati aturan bisnis dan
berkomunikasi dengan perangkat nirkabel genggam.
Item sebelumnya tidak mencakup semua tetapi menggambarkan beberapa

perubahan terkait pengendalian internal yang berkembang selama beberapa tahun
terakhir dan setelah rilis kerangka kerja COSO pertama . Seiring waktu, COSO telah
menerbitkan beberapa materi panduan tambahan untuk mendukung dan
mengklarifikasi kerangka kerja pengendalian internal mereka, tetapi mereka tidak
merevisi keseluruhan kerangka kerja sampai baru-baru ini. Dorongan umum dari
kerangka COSO yang direvisi adalah desain dan implementasi sistem pengendalian
internal atas pelaporan keuangan eksternal yang mendukung penyusunan laporan
keuangan. Ini termasuk luasnya entitas publik, swasta, nirlaba, dan pemerintah, yang
semuanya memiliki persyaratan pelaporan keuangan eksternal.
Seorang auditor internal mungkin berargumen, "Apa? Pelaporan keuangan
eksternal? Saya seorang auditor opera, bukan CPA yang bekerja sebagai auditor
eksternal; mengapa saya harus khawatir?" Ini adalah asumsi yang sangat keliru.
Auditor eksternal, dorongan utama COSO, meninjau dan menilai kontrol keuangan
internal yang telah dipasang dalam sistem perusahaan, tetapi audit internal dan
manajemen perusahaan bertanggung jawab untuk memantau
3.2 Revisi Bisnis Kerangka Kerja COSO ■ 33
serta merancang dan memasang proses pengendalian internal tersebut. Kerangka

kerja pengendalian internal COSO sangat relevan di sini, dan eksekutif bisnis serta
auditor internal mereka, spesialis TI, staf keuangan dan akuntansi, dan lainnya juga
harus menyadari dan memahami kerangka pengendalian internal COSO. Semua
harus fokus pada lima prinsip dasar yang mendukung pengendalian internal COSO
perusahaan:
1. Sebuah organisasi harus menunjukkan komitmen terhadap integritas dan nilai-nilai

etika.
2. Dewan direksi harus menunjukkan independensi dari manajemen dan melakukan
pengawasan terhadap pengembangan dan kinerja pengendalian internal.
3. Manajemen harus menetapkan, dengan pengawasan dewan, struktur, jalur
pelaporan, dan wewenang dan tanggung jawab yang tepat dalam mengejar
tujuan.
4. Organisasi harus menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten sejalan dengan tujuan.
5. Suatu organisasi harus meminta pertanggungjawaban individu atas tanggung jawab
pengendalian internal mereka dalam mengejar tujuan.
Masing-masing prinsip ini adalah bagian dari kerangka kerja asli dan telah
dilanjutkan dengan kerangka kerja baru yang direvisi yang dijelaskan secara lebih
rinci di bagian berikut. Sebagai CBOK harus, auditor internal harus selalu mengingat
tiga komponen utama pengendalian internal — efektivitas dan efisiensi operasi,
keandalan pelaporan keuangan, dan kepatuhan terhadap hukum dan peraturan yang
berlaku — untuk memberikan tiga dimen pada model ini. Sama seperti struktur
piramida menunjukkan struktur pengendalian internal sebagai lingkungan untuk
semua proses pengendalian internal, pandangan ini menambah bobot yang sama
untuk masing-masing dari ketiga komponen ini. Model pengendalian internal COSO
yang direvisi dan komponennya untuk entitas dan kegiatan terpisah dalam suatu
perusahaan akan dibahas secara lebih rinci di bagian dan bab lain berikut.
3.2 PERUBAHAN LINGKUNGAN BISNIS DAN OPERASI

KERANGKA KERJA COSO YANG DIREVISI
Penting untuk diingat siapa atau apa itu COSO dan otoritas materi panduan yang
diterbitkan. Seperti dibahas sebelumnya, COSO, atau Komite Organisasi Sponsor
Komisi Treadway, adalah inisiatif bersama dari lima organisasi akuntansi, audit, dan
keuangan pro-fessional sektor swasta. COSO didedikasikan untuk menyediakan
kepemimpinan pemikiran melalui pengembangan kerangka kerja dan panduan
tentang manajemen risiko perusahaan, pengendalian internal, dan pencegahan
penipuan. Poin penting di sini adalah bahwa COSO tidak memiliki wewenang untuk
mengeluarkan standar seperti yang ditemukan dalam peraturan pemerintah atau
panduan organisasi profesional. Sebaliknya, panduan ini, termasuk kerangka kerja
pengendalian internal COSO, hanya menguraikan pendekatan atau praktik terbaik
yang direkomendasikan yang umumnya harus diikuti oleh orang lain.
Konsep kerangka kerja COSO ini telah menjadi dasar untuk penetapan standar di
bidang atau persyaratan lain. Yang penting, Sarbanes-Oxley Act (SOx), yang dibahas
dalam Bab 5, mengharuskan perusahaan untuk memiliki sistem pengendalian internal
yang efektif yang konsisten dengan kerangka pengendalian internal COSO. Sampai
saat ini,
ketika suatu perusahaan membuktikan bahwa kontrol internalnya sesuai dengan

COSO, mereka membuktikan kerangka kerja COSO 1992 yang asli. Akibatnya, baik
manajemen perusahaan maupun auditor eksternal mereka yang berusaha menetapkan
kepatuhan hukum SOx mengandalkan kerangka kerja COSO asli untuk menegaskan
kepatuhan hukum mereka. Perusahaan di semua tingkatan, dan tentu saja auditor
internal, telah mengingat konsep ini ketika membangun, menerapkan, dan memantau
sistem dan proses pengendalian internal mereka. Auditor internal harus menyadari
bahwa semua program dan proses audit yang ada sekarang harus mencerminkan
kerangka kerja COSO yang direvisi. Kerangka kerja pengendalian internal COSO yang
baru dan materi panduan pendukungnya berisi perubahan dalam bidang-bidang
berikut:
■ Memperluas harapan untuk pengawasan tata kelola. Meningkatnya

persyaratan peraturan dan harapan pemangku kepentingan mengharuskan dewan
direksi untuk meningkatkan penekanan mereka pada kecukupan kontrol
keuangan internal di perusahaan mereka.
■ Peningkatan globalisasi pasar dan operasi. Perusahaan saat ini semakin
berkembang melampaui pasar domestik tradisional mereka dalam mengejar nilai,
sering memasuki pasar internasional dan terlibat dalam merger dan akuisisi lintas
batas.
■ Perubahan dan kompleksitas yang lebih besar dalam operasi bisnis
perusahaan. Pengusaha mengubah model bisnis mereka dan melakukan
transaksi kompleks dalam mengejar pertumbuhan, kualitas yang lebih besar, atau
produktivitas, serta dalam menanggapi perubahan di pasar atau lingkungan
peraturan. Perubahan ini mungkin melibatkan masuk ke dalam usaha patungan,
aliansi strategis, atau pengaturan kompleks lainnya dengan pihak eksternal,
menerapkan layanan bersama, dan terlibat dengan penyedia layanan outsourcing.
■ Meningkatnya tuntutan dan kompleksitas dalam hukum, aturan,
peraturan, dan stan-dards. Otoritas pemerintah semakin merilis aturan dan
legislasi yang kompleks di mana kepatuhan seringkali sulit dicapai dan di mana
aturan-aturan ini tidak secara langsung mengikuti pendekatan pengendalian
internal klasik.
■ Penggunaan dan ketergantungan yang terus meningkat pada teknologi
yang berkembang. Seperti yang telah kami soroti dalam pengantar bab ini,
pertumbuhan sistem TI dan teknologi terkait telah sangat banyak mengubah
pendekatan kami untuk menerapkan dan mengelola proses pengendalian internal.
Sistem TI saat ini semakin didasarkan pada kontrol dan proses internal otomatis
untuk membangun, menginstal, dan memantau kontrol otomatis ini.
■ Peningkatan kebutuhan untuk mencegah dan mendeteksi korupsi.
Undang-Undang Praktik Korupsi Luar Negeri AS, yang diperkenalkan bertahun-
tahun yang lalu dan dibahas dalam Bab 2, adalah contoh undang-undang yang
lebih awal untuk meningkatkan kontrol internal dan persyaratan hukum lainnya.
Saat ini, ada berbagai aturan dan undang-undang antikorupsi dan antipenipuan,
termasuk aturan internasional dan seringkali berbeda di banyak negara bagian
AS.
Setiap perubahan COSO ini mengharuskan perusahaan untuk mengevaluasi

implikasi ini pada sistem pengendalian internalnya dengan penekanan pada pelaporan
keuangan eksternalnya, dan untuk merancang dan menerapkan tanggapan yang tepat
sehingga sistem pengendalian internal beradaptasi dan tetap efektif dari waktu ke
waktu.
Auditor internal memiliki peran kunci di sini dalam pemahaman dan evaluasi
mereka terhadap sistem pengendalian internal organisasi mereka. Sistem
pengendalian internal seperti itu tidak
3.3 Kerangka Kerja Pengendalian Internal COSO yang 35
Direvisi ■
Tidak mengacu pada serangkaian prosedur mandiri, seperti yang mungkin ditemukan
dalam aplikasi smartphone, tetapi keseluruhan proses dan prosedur yang diperlukan
untuk melakukan beberapa fungsi bisnis reguler yang sedang berlangsung.
Contohnya mungkin proses yang diperlukan untuk mengevaluasi, memperoleh, dan
membeli barang-barang produksi. Banyak orang dan fungsi mungkin terlibat dalam
proses pembelian ini, tetapi harus dilakukan dengan kontrol internal yang konsisten
dan memadai. Pengendalian internal tersebut seharusnya dievaluasi dan dinilai
sebagai bagian dari kerangka pengendalian internal COSO setelah versi asli tahun
1992.
Untuk setiap perusahaan yang ada dan sedang berlangsung, auditor internal harus
mengevaluasi dan menilai pengendalian internal ini di area signifikan yang ditunjuk.
Sekarang dengan kerangka pengendalian internal COSO yang direvisi saat ini,
auditor internal harus mengevaluasi apa yang telah mereka lakukan di masa lalu dan
membuat perubahan yang diperlukan untuk mematuhi kerangka COSO. Bagian-
bagian berikut menjelaskan kerangka pengendalian internal COSO yang direvisi.
Pengetahuan dan pemahaman di sini adalah persyaratan CBOK yang penting.
3.3 KERANGKA PENGENDALIAN INTERNAL COSO YANG DIREVISI
Selain tiga kategori tujuan pengendalian internal operasi, pelaporan, dan kepatuhan
yang baru saja dijelaskan, kerangka kerja COSO mendefinisikan pengendalian internal
dari dua dimensi atau perspektif lain: komponen terpisah dari pengendalian internal
dan faktor organisasi. Terlihat mirip tetapi sedikit berbeda dari kerangka pengendalian
internal COSO asli yang diperkenalkan pada tahun 1992, Exhibit 3.2 menunjukkan
kerangka pengendalian internal COSO tiga dimensi yang direvisi.
Kami akan menggunakan hubungan kubus kontrol internal ini di sini dan di bab-bab
lain ke depan. Tiga kategori tujuan pengendalian internal — operasi, pelaporan, dan
kepatuhan — diwakili oleh kolom yang didefinisikan di bagian atas diagram ini. Sisi
depan diagram kubus COSO ini mendefinisikan lima komponen utama atau tingkat
pengendalian internal:
1. Lingkungan kontrol
2. Penilaian risiko
3. Kegiatan pengendalian internal
4. Informasi dan komunikasi
5. Kegiatan pemantauan
Ini adalah area di mana ada perubahan paling banyak dalam kerangka
pengendalian internal COSO yang baru dan direvisi. Masing-masing tingkat aktivitas
pengendalian internal atau komponen utama ini akan diperkenalkan dan dibahas
dalam bab-bab mendatang.
Ditunjukkan pada sisi kanan model, struktur organisasi perusahaan adalah
dimensi penting ketiga dari pengendalian internal. Ini mewakili komponen terkait
pengendalian internal dari keseluruhan struktur organisasi: entitas perusahaan itu
sendiri, divisi, anak perusahaan, unit operasi, atau fungsinya, termasuk proses bisnis
seperti penjualan, pembelian, produksi, dan pemasaran. Sebagai poin kunci di sini,
kita harus mengingat komponen entitas organisasi secara keseluruhan dimulai dengan
keseluruhan atau total perusahaan
Direvisi ■ secara total dan kemudian memecah ke semua unit
bisnis dan
Direvisi ■
Kontrol
Kontrol Operasi Kontrol
Kegiatan Unit Bisnis

Lingkungan Kontrol
Kontrol Divisi &; Fungsi

Kontrol Tingkat Badan Usaha
Penilaian Risiko
IntKegiatan Kontrol ernals
Information & CommunicaTion
Kegiatan
Pemantauan
EXHIBIT 3.2 Pengendalian Internal COSO
komponen individu juga. Beberapa aktivitas kontrol individu mungkin berbeda satu
sama lain dalam beberapa rincian operasi, tetapi semuanya harus sesuai dengan
lingkungan kontrol untuk entitas total.
Sebagai contoh, asumsikan bahwa perusahaan yang berbasis di Uni Eropa telah
meluncurkan usaha penjualan produk bisnis baru di Myanmar (Burma), sebuah
negara yang telah tertutup bagi dunia luar hingga saat ini. Dengan sumber daya TI
yang terbatas dan koneksi telekomunikasi, kita dapat mengharapkan beberapa proses
kontrol yang berbeda di fasilitas Myanmar daripada yang akan ditemukan dalam
operasi kantor pusat entitas. Namun, proses tambahan—seperti penggunaan prosedur
kontrol manual pendukung—harus ditetapkan untuk mencapai kontrol internal di
tingkat entitas secara keseluruhan. Proses manual ini mungkin telah ditinggalkan.
Seluruh ide di balik model ini adalah bahwa pengendalian internal untuk
perusahaan saat ini bukanlah tujuan pengendalian tunggal tetapi konsep multilevel,
multifaset dengan masing-masing unit dalam model COSO memiliki hubungan
dengan komponen lain dalam ketiga dimensi. Manajemen perusahaan harus jelas
tentang tujuan pengendalian internalnya, seperti
3.4 Prinsip Pengendalian Internal COSO 37
■
menentukan tujuan pelaporan eksternal yang sesuai yang berkaitan dengan

penyusunan pernyataan keuangan. Beberapa tujuan ini bisa sangat spesifik
berdasarkan beberapa kegiatan bisnis yang direncanakan perusahaan. Orang lain
harus mendefinisikan tujuan yang dipahami atau diasumsikan dengan baik. Sebagai
contoh, manajemen dapat menetapkan objektif pelaporan keuangan eksternal tingkat
entitas sebagai berikut: "Perusahaan Perseroan menyiapkan laporan keuangan yang
andal yang mencerminkan aktiviti sesuai dengan prinsip akuntansi yang berlaku
umum." Ini mungkin telah diasumsikan oleh anggota tim manajemen, tetapi ada nilai
dalam mendefinisikan dengan jelas hal-hal seperti itu. Manajemen juga harus
menentukan sub-tujuan yang sesuai untuk divisi perusahaan, anak perusahaan, unit
operasi, dan fungsi dengan kejelasan yang cukup untuk mendukung tujuan tingkat
entitas. Auditor internal harus memahami kerangka kerja baru yang direvisi ini dan
menggunakannya sebagai dasar untuk tinjauan pengendalian internal mereka.
3.4 PRINSIP PENGENDALIAN INTERNAL COSO
Selain elemen tiga dimensi, kerangka kerja COSO yang direvisi sekarang mengkodifikasi
seperangkat prinsip yang mendukung lima komponen pengendalian internal.
Sementara versi 1992 secara implisit mencerminkan beberapa prinsip pengendalian
internal inti ini, versi revisi secara eksplisit mendefinisikan 17 prinsip pengendalian
internal yang mewakili aturan dasar yang terkait dengan 5 komponen pengendalian
internal. COSO membuat prinsip-prinsip ini eksplisit untuk meningkatkan
pemahaman manajemen mengenai apa yang merupakan pengendalian internal yang
efektif. Prinsip-prinsip ini diuraikan dan dibahas dari perspektif auditor internal
dalam Bab 4. Mereka adalah konsep luas yang dimaksudkan untuk diterapkan pada
berbagai perusahaan, termasuk nirlaba dan nirlaba, diperdagangkan secara publik dan
swasta, baik badan pemerintah maupun organisasi lain.
Mendukung setiap prinsip COSO adalah titik fokus, mewakili karakteristik
penting yang terkait dengan masing-masing. Titik-titik fokus ini dimaksudkan untuk
memberikan panduan yang membantu untuk membantu manajemen dalam
merancang, menerapkan, dan melakukan proses pengendalian internal mereka dan
dalam menilai apakah prinsip-prinsip yang relevan ada dan berfungsi. Namun,
kerangka kerja COSO yang direvisi tidak memerlukan evaluasi terpisah apakah
mereka ada. Manajemen memiliki kebebasan untuk melakukan penilaian dalam
menentukan kesesuaian atau relevansi titik-titik fokus yang disediakan dalam kerangka
COSO yang direvisi dan dapat mengidentifikasi dan mempertimbangkan karakteristik
penting lainnya yang berkaitan dengan prinsip tertentu berdasarkan keadaan spesifik
perusahaan.
Secara bersama-sama, komponen pengendalian internal COSO dan prinsip-prinsip
COSO merupakan kriteria dan titik fokus untuk memberikan panduan yang akan
membantu manajemen serta auditor internal dalam menilai apakah komponen
pengendalian internal ini ada, berfungsi, dan beroperasi bersama dalam suatu
perusahaan. Masing-masing titik fokus dipetakan langsung di atas 17 prinsip, dan
masing-masing juga dipetakan langsung ke salah satu dari lima komponen
pengendalian internal. Konsep-konsep ini harus menjadi lebih jelas ketika kita
membahas kerangka COSO secara lebih rinci di bagian berikut dan di Bab 4.
Kunci bagi auditor internal untuk memahami ketika menggunakan kerangka
COSO adalah untuk mengingat sifat ■tiga dimensi dari kerangka kerja di mana setiap
elemen pengendalian internal, atas dan bawah dan di sisi lain dari kubus COSO,
harus
■
Dipertimbangkan dalam hal hubungannya dengan komponen lain — mudah

dikatakan tetapi seringkali sulit divisualisasikan ketika melakukan dan
mengembangkan tinjauan audit internal. Pada bagian selanjutnya, kita akan melihat
lima elemen COSO di sisi depan kubus COSO. Kami kemudian akan menyimpulkan
dengan membalik kubus COSO tiga dimensi ini untuk melihat masalah audit internal
dari perspektif dimensi lainnya.
3.5 KOMPONEN KONTROL INTERNAL COSO:

LINGKUNGAN KONTROL
Sisi depan model kerangka kerja pengendalian internal COSO menunjukkan lima tingkat
kategori pengendalian internal. Kategori tingkat atas disebut lingkungan kontrol –
seperangkat standar, proses, dan struktur yang memberikan dasar atau struktur untuk
melaksanakan kegiatan pengendalian internal yang efektif di seluruh perusahaan.
Lingkungan kontrol mencakup tindakan dewan direksi dan manajemen senior yang
bertanggung jawab atas pengendalian internal secara keseluruhan dan standar
perilaku yang diharapkan. Lingkungan kontrol terdiri dari nilai-nilai integritas dan
etika perusahaan; parameter yang memungkinkan Direksi untuk melaksanakan
tanggung jawab pengawasannya; struktur organisasi dan penugasan wewenang dan
tanggung jawab; pro-cesses untuk menarik, mengembangkan, dan mempertahankan
individu yang kompeten; dan ketelitian seputar ukuran kinerja, insentif, dan
penghargaan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian yang
dihasilkan memiliki dampak luas pada keseluruhan sistem pengendalian internal.
Komponen lingkungan pengendalian COSO dipengaruhi oleh berbagai faktor
internal dan eksternal, termasuk sejarah entitas, nilai, pasar, dan lanskap persaingan
dan peraturan. Hal ini didefinisikan oleh standar, proses, dan struktur yang memandu
orang di berbagai tingkatan dalam melaksanakan tanggung jawab mereka untuk
pengendalian internal dan membuat keputusan dalam mengejar tujuan entitas.
Lingkungan pengendalian yang efektif menciptakan disiplin yang mendukung
penilaian risiko yang diperlukan untuk pencapaian tujuan entitas, kinerja kegiatan
pengendalian, penggunaan informasi dan sistem komunikasi, dan pelaksanaan
kegiatan pemantauan. Kerangka kerja pengendalian COSO memperkenalkan empat
prinsip lingkungan pengendalian internal sebagaimana dijelaskan selanjutnya dan
dibahas lebih lanjut dalam Bab 4:
1. Suatu perusahaan harus menentukan tujuan dengan kejelasan yang cukup untuk
memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan.
2. Perusahaan harus mengidentifikasi risiko terhadap pencapaian tujuannya di
seluruh entitas dan menganalisis risiko sebagai dasar untuk menentukan
bagaimana risiko tersebut harus dikelola.
3. Organisasi harus mempertimbangkan potensi kecurangan dalam menilai risiko
terhadap pencapaian tujuan.
4. Organisasi harus mengidentifikasi dan menilai perubahan yang secara signifikan
dapat berdampak pada sistem pengendalian internal.
Perusahaan yang membangun dan memelihara lingkungan kontrol yang kuat

memposisikan dirinya untuk menjadi lebih tangguh dalam menghadapi tekanan
internal dan eksternal yang selalu berubah.
■ Dia
3.5 Komponen Pengendalian Internal COSO: Lingkungan Kontrol ■ 39
Melakukan hal ini dengan menunjukkan perilaku integritas dan nilai-nilai etika,
proses dan struktur pengawasan yang memadai, dan desain organisasi yang
memungkinkan pencapaian tujuan entitas dengan penugasan wewenang dan
tanggung jawab yang tepat, tingkat kompetensi yang tinggi, dan rasa akuntabilitas
yang kuat untuk pencapaian tujuan. Baik dalam jangka pendek maupun jangka
panjang, proses lingkungan kontrol yang efektif harus memposisikan perusahaan dan
elemen kuncinya agar lebih tangguh dalam menghadapi tekanan eksternal.
Lingkungan kontrol perusahaan juga identik dengan budaya kontrol internalnya.
Unsur-unsur budaya yang kuat, seperti integritas dan nilai-nilai etika, pengawasan,
akuntabilitas, dan evaluasi kinerja, membuat lingkungan kontrol yang kuat juga.
Budaya adalah bagian dari lingkungan pengendalian perusahaan, tetapi juga
mencakup unsur-unsur komponen pengendalian internal lainnya, seperti menetapkan
kebijakan dan prosedur yang efektif, kemudahan kontrol keamanan atau akses ke
informasi, dan responsif terhadap hasil kegiatan pemantauan. Masalah-masalah ini akan
dibahas lebih lanjut dalam tinjauan kami terhadap elemen-elemen lain dari kerangka
pengendalian internal COSO. Auditor internal harus mengakui bahwa budaya
organisasi mereka dipengaruhi oleh lingkungan pengendalian yang telah dipasang
dan ditetapkan serta komponen pengendalian internal lainnya. Tujuan pengendalian
internal yang penting ini menekankan bahwa manajemen senior, dewan direksi, atau
badan pengawas yang setara harus memimpin dengan memberi contoh dalam
mengembangkan nilai-nilai, filosofi perusahaan, dan gaya operasi dalam mengejar
tujuan perusahaan. Apa yang dilakukan dan dikatakan manajemen senior benar-benar
mengirim pesan kepada semua orang
terkait dengan perusahaan.
Beberapa auditor internal serta manajer bisnis saat ini sering tidak
mempertimbangkan faktor-faktor lingkungan pengendalian ini ketika menilai sistem
pengendalian internal, tetapi mereka harus, karena ini merupakan langkah pertama
yang penting. Jika manajemen memberikan contoh yang tepat dan karyawan tahu
bahwa manajemen menghargai etika dan integritas, sikap itu akan diturunkan kepada
karyawan dan bisnis akan memiliki fondasi yang kuat.
Kekuatan sistem apa pun didasarkan pada fondasi yang mendasarinya. Tidak
peduli seberapa rumit strukturnya, jika tidak memiliki fondasi yang kuat,
integritasnya tidak akan dapat diandalkan. Dasar dari sistem kontrol adalah filosofi
bisnis dan orang-orang yang mengendalikannya. Sebelum merancang kontrol,
seseorang harus mempertimbangkan fondasi — lingkungannya. Kerangka kerja
lingkungan kontrol COSO meminta manajemen perusahaan untuk
mempertimbangkan pertanyaan-pertanyaan berikut:
■ Apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk

mencapai tujuan? Apakah itu mendorong pengambilan risiko usia atau sikap
"mencapai dengan segala cara"?
■ Apakah manajemen berusaha memanipulasi ukuran kinerja sehingga tampak
lebih menguntungkan? Apakah itu membengkokkan kebenaran?
■ Apakah manajemen menekan karyawan untuk mencapai hasil terlepas dari
metode atau dengan sedikit perhatian terhadap metode tersebut? Apakah mereka
percaya bahwa tujuan keuangan membenarkan cara?
■ Apakah manajemen terbuka dan jujur dengan karyawan tentang kinerja dan hasil?
Perusahaan dipimpin dari atas oleh manajemen senior dan dewan direksi, dan
etika serta filosofi bisnis mereka akan diturunkan ke semua tingkat karyawan
dan pemangku kepentingan. Semakin etis dan bertanggung jawab gaya manajemen,
semakin besar kemungkinan karyawan akan menanggapi gaya itu dan berperilaku
dengan cara yang etis dan bertanggung jawab. Sebagai alternatif, jika manajemen
menunjukkan sedikit perhatian terhadap perilaku jujur dan etis, karyawan akan
mengikuti jejak itu.
Lingkungan kontrol kerangka kerja COSO dan prinsip-prinsip pendukungnya adalah
elemen kunci dan sangat penting untuk membangun pengendalian internal yang efektif
dalam suatu perusahaan. COSO menjelaskan pentingnya menetapkan nada perusahaan
dan mempengaruhi kesadaran kontrol orang-orangnya. Lingkungan kontrol yang
efektif mendukung dan memperkuat elemen kontrol lainnya, sedangkan lingkungan
kontrol yang lemah merusak elemen-elemen ini, menjadikannya tidak berguna.
Dalam lingkungan kontrol yang efektif, personel dan semua pemangku kepentingan
tahu bahwa melakukan hal yang benar diharapkan dan akan didukung oleh
manajemen tingkat atas, bahkan jika itu merugikan garis bawah. Dalam lingkungan
yang lemah, prosedur kontrol dapat sering ditimpa atau diabaikan, memberikan
kesempatan untuk penipuan.
Lingkungan kontrol ini mungkin merupakan komponen terpenting dalam
kerangka pengendalian internal COSO. Penekanannya pada nada di atas
memberikan panduan tentang bagaimana manajemen perusahaan harus memasukkan
kesadaran risiko dan kegiatan pengendalian ke dalam rutinitas kerja sehari-hari
mereka di bidang tanggung jawab mereka. Dengan mempertahankan sikap positif
terhadap pengendalian internal dan kepatuhan terhadap kebijakan perusahaan yang
ditetapkan serta berbagai persyaratan hukum, manajemen menetapkan nada untuk
seluruh area. Lingkungan kontrol juga mencakup budaya, nilai-nilai etika, kerja tim,
moral, dan pengembangan karyawan administrasi.
Lingkungan kontrol perusahaan yang benar-benar lemah atau kurang dapat
menghadirkan beberapa tantangan penting bagi auditor internal. Banyak temuan dan
penilaian mereka, seperti yang akan dibahas dalam bab-bab lain ke depan, didasarkan
pada penilaian kekuatan lingkungan kontrol. Auditor internal harus secara teratur
menyoroti masalah ini dalam temuan dan rekomendasi laporan audit mereka. Dalam
kasus kekurangan total yang sedang berlangsung, kepala audit internal perusahaan,
kepala eksekutif audit, harus melaporkan masalah ini kepada komite audit dewan.
3.6 KOMPONEN PENGENDALIAN INTERNAL COSO:

PENILAIAN RISIKO
Penilaian risiko adalah elemen kunci dalam kerangka pengendalian internal COSO,
yang terletak sebagai komponen dari kubus COSO tiga dimensi. Risiko didefinisikan di
sini sebagai kemungkinan bahwa suatu peristiwa dapat terjadi yang akan berdampak
buruk terhadap pencapaian objektives perusahaan. Manajemen risiko pengendalian
internal mempengaruhi kemampuan perusahaan untuk berhasil, bersaing dalam
industrinya, mempertahankan kekuatan keuangan dan reputasi positifnya, dan
mempertahankan kualitas keseluruhan produk, layanan, dan orang-orangnya. Selalu
ada beberapa risiko dalam setiap kegiatan bisnis dan tidak ada cara praktis untuk
mengurangi semuanya. Manajemen, bagaimanapun, harus menentukan berapa
banyak risiko yang harus diterima secara hati-hati dan berusaha untuk
mempertahankan risiko dalam batas-batas ini, memahami berapa banyak toleransi
yang dimilikinya untuk melebihi tingkat risiko targetnya.
Komponen penilaian risiko pengendalian internal COSO adalah proses untuk
menentukan bagaimana semua tingkat risiko akan dikelola, dan prasyarat untuk penilaian
risiko adalah
3.6 Komponen Pengendalian Internal COSO: Penilaian Risiko ■ 41
penetapan tujuan terkait risiko, terkait pada berbagai tingkat operasi perusahaan. Karena
jenis dan sifat risiko yang akan dihadapi perusahaan, manajemen harus
mengidentifikasi dan menentukan tujuan risiko mereka dalam kategori operasi,
pelaporan, dan kepatuhan dengan kejelasan yang cukup untuk dapat mengidentifikasi
dan menganalisis risiko terhadap tujuan tersebut. Manajemen juga harus
mempertimbangkan kesesuaian tujuan untuk entitas. Penilaian risiko juga
mengharuskan manajemen untuk mempertimbangkan dampak perubahan yang
mungkin terjadi di lingkungan eksternal dan dalam model bisnisnya sendiri yang
dapat membuat pengendalian internalnya tidak efektif.
Sementara penilaian risiko pengendalian internal COSO mendefinisikan poin-
poin penting untuk dipertimbangkan oleh manajemen umum, auditor internal harus
mengingat masalah manajemen risiko ini dalam semua kegiatan tinjauan
pengendalian internal mereka yang sedang berlangsung. Bab 15 tentang kompetensi
utama audit internal membahas masalah manajemen risiko audit internal untuk
melakukan audit internal. Materi panduan internal COSO menguraikan serangkaian
prinsip penilaian risiko yang dibahas dalam Bab 5 dengan empat konsep utama berikut:
1. Perusahaan harus menentukan tujuan dengan kejelasan yang cukup untuk

memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan
tersebut.
2. Perusahaan harus mengidentifikasi risiko terhadap pencapaian tujuannya di
seluruh entitas dan harus menganalisis risiko sebagai dasar untuk menentukan
bagaimana risiko tersebut harus dikelola.
3. Perusahaan harus mempertimbangkan potensi kecurangan dalam menilai risiko
terhadap pencapaian tujuan.
4. Perusahaan harus mengidentifikasi dan menilai perubahan yang dapat
berdampak signifikan terhadap sistem pengendalian internalnya.
Yang pertama dan prinsip pengendalian internal utama menyerukan perusahaan

untuk menentukan tujuan risikonya dengan kejelasan yang cukup untuk
memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan
tersebut. Poin ini penting bagi auditor internal baik dalam tinjauan audit internal
mereka maupun dalam pemahaman mereka tentang kegiatan audit internal mereka
sendiri.
Seorang auditor internal dapat mengenali bahwa ini terdengar bagus tetapi
mungkin bertanya-tanya apa yang dimaksud COSO dengan tujuan risiko. Kita dapat
menganggap tujuan risiko sebagai komitmen sumber daya management, menggunakan
modal manusia dan pengeluaran lainnya, untuk mencapai beberapa tujuan yang tidak
pasti atau berbasis risiko. Seperangkat tujuan risiko yang jelas harus memberikan fokus
yang ditargetkan di mana suatu perusahaan harus melakukan sumber daya yang
seringkali substansial yang diperlukan untuk mencapai tujuan kinerja yang
diinginkan. Ini sering merupakan area di mana hal-hal dapat rusak. Sangat mudah
bagi manajer senior mana pun, dari CEO ke bawah, untuk menyatakan bahwa
mereka ingin mencapai beberapa tujuan berbasis risiko yang hangat dan kabur di
beberapa periode mendatang, tetapi tujuan tersebut bernilai kecil kecuali mereka
didukung oleh beberapa rencana dan kegiatan substansial.
Identifikasi dan Analisis Risiko

Manajemen perusahaan di semua tingkatan harus berusaha untuk mengidentifikasi
semua risiko yang mungkin yang dapat mempengaruhi keberhasilan perusahaan,
mulai dari risiko yang lebih besar atau lebih signifikan terhadap keseluruhan bisnis
hingga risiko yang kurang besar yang terkait dengan individu
proyek atau unit bisnis yang lebih kecil. Ini memerlukan pendekatan yang dipelajari
dan disengaja untuk melihat potensi risiko di setiap area operasi dan kemudian
mengidentifikasi area risiko yang lebih signifikan yang dapat memengaruhi setiap
operasi dalam periode waktu yang wajar. Idenya bukan hanya untuk membuat daftar
setiap risiko yang mungkin tetapi untuk mengidentifikasi risiko yang mungkin
berdampak pada operasi, dengan beberapa tingkat probabilitas, dalam jangka waktu
yang wajar. Ini bisa menjadi latihan yang sulit karena kita sering tidak tahu probabilitas
risiko yang terjadi atau sifat konsekuensinya jika perusahaan harus menghadapi
risiko.
Proses identifikasi risiko harus terjadi pada berbagai tingkatan dalam suatu
perusahaan. Risiko yang berdampak pada unit bisnis atau proyek individu mungkin
tidak memiliki dampak besar pada seluruh perusahaan, tetapi risiko besar yang
berdampak pada seluruh ekonomi akan mengalir ke perusahaan individu dan unit
bisnis yang terpisah. Beberapa risiko utama sangat jarang terjadi tetapi masih bisa
sangat dahsyat sehingga sulit untuk mengidentifikasinya sebagai kemungkinan
peristiwa di masa depan. Auditor internal harus mempertimbangkan masalah terkait
risiko sebagai bagian dari kegiatan penelaahan mereka yang sedang berlangsung.
Mengidentifikasi dan menganalisis risiko harus menjadi proses berulang
berkelanjutan yang dilakukan untuk meningkatkan kemampuan perusahaan untuk
mencapai tujuannya. Audit internal sering dapat memainkan peran yang kuat di sini
karena membangun dan menetapkan apa yang sering disebut alam semesta audit,
seperti yang dibahas dalam Bab 13. Meskipun suatu perusahaan mungkin tidak
secara eksplisit menyatakan semua tujuan terkait risikonya, ini tidak berarti bahwa
tujuan tersirat adalah tanpa risiko internal atau eksternal, dan perusahaan harus
mempertimbangkan semua risiko yang mungkin terjadi.
Agar efektif, proses identifikasi risiko perusahaan harus didukung oleh berbagai
kegiatan, teknik, dan mekanisme, masing-masing relevan dengan penilaian risiko
secara keseluruhan. Manajemen harus mempertimbangkan risiko ini di semua
tingkatan dan mengambil langkah-langkah yang diperlukan untuk mengelolanya.
Penilaian risiko harus mempertimbangkan faktor-faktor yang mempengaruhi tingkat
keparahan, kecepatan, dan persistensi risiko, kemungkinan kehilangan aset, dan
dampak terkait pada operasi, pelaporan, dan kegiatan kepatuhan. Selain itu,
perusahaan perlu memahami toleransinya untuk menerima risiko dan kemampuannya
untuk beroperasi dalam tingkat risiko tersebut. Meskipun tentu saja tidak mencakup
semua, Exhibit 3.3 mencantumkan beberapa area risiko utama yang dapat berdampak
pada perusahaan, termasuk risiko strategis, operasi, dan keuangan. Ini adalah jenis
daftar tingkat tinggi yang mungkin dicatat dan digunakan oleh chief executive officer
untuk menanggapi pertanyaan pertemuan tahunan pemegang saham, seperti "Apa
yang membuat Anda khawatir pada akhirnya?" Tentu saja tidak mencantumkan
semua risiko yang dihadapi perusahaan, ini adalah jenis daftar first-pass yang dapat
digunakan perusahaan untuk memulai identifikasi risiko yang terperinci. Orang-
orang yang bertanggung jawab atas manajemen risiko di perusahaan — seringkali
tim manajemen risiko perusahaan — dapat bertemu dengan manajemen senior dan
menanyakan beberapa di antaranya "Apa yang membuat Anda khawatir ..." jenis
pertanyaan untuk mengidentifikasi risiko tingkat tinggi tersebut.
Setelah perusahaan melakukan identifikasi risiko awal ini, perusahaan harus
mempertimbangkan semua interaksi terkait risiko yang signifikan — termasuk
barang, jasa, dan informasi — internal perusahaan dan antara itu dan par- ties
eksternal yang relevan. Pihak eksternal tersebut dapat mencakup pemasok potensial
dan yang sudah ada, investor, kreditor, pemegang saham, dan pemangku kepentingan
lainnya serta pelanggan, perantara, dan pesaing. Selain itu, perusahaan harus
mempertimbangkan masalah eksternal seperti undang-undang dan peraturan baru,
masalah lingkungan, dan potensi peristiwa alam, di antara banyak lainnya.
PAMERAN 3.3 Jenis Risiko Bisnis Perusahaan
Risiko Strategis
Faktor Eksternal Risiko Intern Faktor Risiko
■ Risiko Industri ■
Risiko Reputasi
■ Risiko Ekonomi ■
Risiko Fokus Strategis
■ Risiko Pesaing ■
Risiko Dukungan Perusahaan Induk
■ Risiko Perubahan ■
Risiko Perlindungan Paten/Merek Dagang
Hukum dan
Peraturan
■ Risiko Kebutuhan dan
Keinginan Pelanggan
Risiko Operasi
Risiko Proses Kepatuhan Risiko Rakyat Risiko

■
Risiko Rantai Pasokan
■
Risiko Lingkungan ■
Risiko Sumber Daya Manusia
■
Risiko Kepuasan Pelanggan
■
Risiko Regulasi ■
Risiko Perputaran Karyawan
■
Risiko Waktu Siklus
■
Risiko Kebijakan dan ■
Risiko Insentif Kinerja
■
Risiko Eksekusi Proses Prosedur ■
Risiko Pelatihan
■
Risiko Litigasi
Risiko Keuangan
Risiko Treasury Kredit Risiko Perdagangan Risiko

■
Risiko Suku Bunga
■
Risiko Kapasitas ■
Risiko Harga Komoditas
■
Risiko Nilai Tukar
Valuta Asing
■
Risiko Jaminan ■
Risiko Durasi
■
Risiko Ketersediaan
■
Risiko Konsentrasi ■
Risiko Pengukuran
Modal ■
Risiko Wanprestasi
■
Risiko Penyelesaian
Risiko Informasi
Risiko Keuangan Operasional Risiko Teknologi Risiko

■
Risiko Standar Akuntansi
■
Risiko Harga ■
Risiko Akses Informasi
■
Risiko Penganggaran
■
Risiko Pengukuran ■
Risiko Kelangsungan Bisnis
■
Risiko Pelaporan Kinerja
Keuangan
■
Risiko Ketersediaan
■
Risiko Keselamatan
Risiko Perpajakan
■
Risiko Infrastruktur
Karyawan
■
■
Risiko Pelaporan
Peraturan
Proses identifikasi risiko harus berusaha untuk mempertimbangkan semua risiko

dalam suatu perusahaan, termasuk subunit dan fungsi operasionalnya, seperti
keuangan, sumber daya manusia, pemasaran, produksi, pembelian, dan manajemen
TI. Selain itu, proses ini harus mempertimbangkan risiko yang berasal dari penyedia
layanan outsourcing, pemasok utama, dan mitra saluran yang secara langsung atau
tidak langsung berdampak pada pencapaian tujuan perusahaan. COSO menyarankan
bahwa manajemen harus mempertimbangkan risiko dalam kaitannya dengan faktor
internal dan eksternal.
Strategi Respons Risiko

Sebagai bagian dari pembentukan pengendalian internal COSO yang efektif, perusahaan
juga harus mengembangkan strategi manajemen risiko untuk mengatasi bagaimana
mereka bermaksud untuk menilai, merespons, dan memantau risiko. Ini sering
melibatkan penilaian berdasarkan asumsi tentang risiko dan analisis biaya yang masuk
akal yang terkait dengan pengurangan tingkat risiko. Materi panduan kontrol internal
COSO mengidentifikasi empat pendekatan strategi respons risiko dasar:
1. Keramat. Ini adalah strategi untuk menjauh dari risiko — seperti menjual unit
bisnis yang menimbulkan risiko, keluar dari area geografis yang menjadi
perhatian, atau menjatuhkan lini produk. Kesulitannya di sini adalah bahwa
perusahaan sering tidak menjatuhkan lini produk atau pergi sampai setelah
peristiwa risiko terjadi dengan biaya terkait . Kecuali suatu perusahaan memiliki
selera risiko yang sangat rendah, sulit untuk menjauh dari area bisnis atau lini
produk hanya berdasarkan potensi risiko masa depan jika semuanya berjalan
dengan baik saat ini dalam hal lain. Penghindaran bisa menjadi strategi yang
berpotensi mahal jika investasi dilakukan untuk masuk ke suatu daerah dengan
penarikan berikutnya untuk menghindari risiko.
2. Pengurangan. Berbagai keputusan bisnis mungkin dapat mengurangi risiko
tertentu. Diversifikasi lini produk dapat mengurangi risiko ketergantungan yang
terlalu kuat pada satu lini produk utama. Membagi pusat operasi TI menjadi dua
lokasi yang terpisah secara geografis dapat mengurangi risiko beberapa
kegagalan bencana. Ada berbagai strategi yang sering efektif untuk mengurangi
risiko di semua tingkatan yang turun ke langkah duniawi tetapi penting secara
operasional dari karyawan pelatihan silang.
3. Berbagi. Hampir semua perusahaan maupun individu secara teratur melakukan
lindung nilai atau berbagi beberapa risiko mereka dengan membeli asuransi.
Banyak teknik lain yang tersedia di sini juga. Untuk transaksi keuangan,
perusahaan dapat terlibat dalam operasi lindung nilai untuk melindungi dari
kemungkinan fluktuasi harga. Idenya adalah untuk mengatur agar pihak lain
menerima beberapa risiko potensial, dengan pengakuan bahwa akan ada biaya
yang terkait dengan kegiatan itu.
4. Penerimaan. Ini adalah strategi tanpa tindakan. Suatu perusahaan dapat
"mengasuransikan diri" sendiri daripada membeli polis asuransi. Pada dasarnya,
perusahaan harus melihat kemungkinan dan dampak risiko mengingat toleransi
risiko yang ditetapkan dan kemudian memutuskan apakah akan menerima risiko itu
atau tidak. Untuk banyak dan beragam risiko yang mendekati suatu perusahaan,
penerimaan seringkali merupakan strategi yang tepat untuk beberapa risiko.
Keempat strategi umum ini adalah konsep kunci dalam memahami manajemen
risiko, dan auditor internal harus mengembangkan strategi respons umum untuk
masing-masing risiko menggunakan pendekatan yang dibangun di sekitar salah
satunya. Dengan demikian, biaya versus manfaat dari respons risiko potensial harus
dipertimbangkan untuk menyelaraskannya dengan selera risiko perusahaan secara
keseluruhan atau kesediaan untuk menerima risiko itu. Misalnya, pengakuan
perusahaan bahwa dampak risiko yang diberikan relatif rendah akan diimbangi
dengan toleransi risiko rendah yang menunjukkan bahwa asuransi harus dibeli untuk
memberikan respons risiko potensial. Untuk banyak risiko, respons yang tepat jelas
dan hampir dipahami secara universal. Operasi TI, misalnya, menghabiskan waktu
dan sumber daya untuk mencadangkan file data utamanya dan menerapkan rencana
kesinambungan bisnis. Seharusnya tidak ada pertanyaan
3.7 Komponen Pengendalian Internal COSO: Kegiatan Pengendalian 45
Internal ■
Mengenai pendekatan dasar ini, tetapi berbagai tingkat manajemen mungkin

mempertanyakan frekuensi proses pencadangan atau seberapa sering rencana
kontinuitas perlu diuji.
Pesan dasarnya di sini adalah bahwa perusahaan dan tentu saja audit internal
memerlukan rencana respons risiko secara keseluruhan agar sesuai dengan kerangka
pengendalian internal COSO. Manajemen risiko adalah bagian yang sangat penting
dari kerangka pengendalian internal COSO, dan pemahaman tentang konsep dan
kekhawatiran manajemen risiko harus menjadi bagian dari CBOK setiap auditor
internal. Masalah manajemen risiko akan dibahas dalam bab-bab lain, dan khususnya
dalam Bab 7 tentang COSO ERM, kerangka kerja manajemen risiko perusahaan.
Seperti yang telah kami nyatakan dalam komentar pengantar kami, konsep
dasar dalam komponen penilaian risiko dari kerangka pengendalian internal COSO
tidak banyak berubah sejak kerangka kerja asli, tetapi panduan pengendalian internal
sangat banyak yang telah dilakukan. Manajemen harus membangun dan
menyesuaikan proses manajemen risiko mereka mengikuti empat prinsip yang
tercantum di awal bagian ini dan dibahas secara lebih rinci dalam Bab 4.

KEGIATAN PENGENDALIAN INTERNAL
Mungkin elemen inti dalam kerangka pengendalian internal COSO secara

keseluruhan, aktivitas pengendalian adalah tindakan — yang ditetapkan melalui
kebijakan dan prosedur perusahaan — yang membantu memastikan bahwa arahan
manajemen untuk mengurangi risiko terhadap pencapaian tujuan dilakukan. Kegiatan
kontrol dilakukan di semua tingkat perusahaan, pada berbagai tahap dalam unit dan
proses bisnis, dan di atas lingkungan teknologi. Kegiatan pengendalian ini mungkin
bersifat preventif atau detektif dan dapat mencakup berbagai kegiatan manual dan
otomatis seperti otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan tinjauan kinerja
bisnis. Pengendalian internal dasar atau mendasar, pemisahan tugas biasanya
dibangun ke dalam pemilihan dan pengembangan kegiatan pengendalian COSO.
Dimana pemisahan tugas pengendalian internal tidak efektif atau bahkan praktis,
manajemen harus memilih dan mengembangkan kegiatan pengendalian alternatif.
Kegiatan pengendalian adalah area di mana, di satu sisi, konsep aktivitas
pengendalian internal dasar tidak banyak berubah dari kerangka pengendalian
internal COSO asli. Misalnya, pemisahan tugas adalah konsep pengendalian internal
dasar yang masih tetap sebagai pengendalian internal yang penting di banyak bidang.
Artinya, orang atau fungsi otomatis yang memulai transaksi keuangan tidak boleh
orang atau proses yang sama yang menyetujuinya. Di sisi lain, ada perubahan besar
dalam panduan kegiatan kontrol sejak kerangka COSO asli. Panduan di balik
kerangka kerja asli itu kembali ke hari-hari lama sistem komputer mainframe dengan
banyak prosedur pemrosesan batch.
Kegiatan pengendalian mendukung semua komponen pengendalian internal
COSO dalam kubus COSO, tetapi pedoman kerangka pengendalian internal COSO
yang direvisi secara khusus lebih menyelaraskan kegiatan pengendalian dengan
elemen penilaian risiko. Seiring dengan menilai risiko, manajemen harus
mengidentifikasi dan menerapkan tindakan yang diperlukan ketika enterprise
memilih untuk menerima atau menghindari risiko tertentu, dan memilih untuk
mengembangkan
Internal pengendalian ■
Internal ■
kegiatan untuk menghindari risiko itu. Tindakan ini untuk mengurangi atau berbagi
beberapa risiko berfungsi sebagai titik fokus untuk mengembangkan dan memilih
kegiatan pengendalian untuk elemen risiko tersebut. Sifat dan tingkat respons risiko
dan aktivitas pengendalian terkait akan tergantung, setidaknya sebagian, pada tingkat
mitigasi risiko yang diinginkan yang dapat diterima oleh manajemen perusahaan.
Dengan MITIGASI, yang kami maksud adalah beberapa tindakan manajemen yang
mengurangi paparan terhadap risiko yang diidentifikasi atau kemungkinan terjadinya.
Kegiatan pengendalian mencakup tindakan yang memastikan bahwa tanggapan
terhadap risiko yang dinilai, serta arahan manajemen lainnya, dilakukan dengan
benar dan tepat waktu. Misalnya, seorang anggota manajemen senior dapat
menetapkan tujuan operasi untuk "memenuhi atau melampaui target penjualan unit
operasi untuk periode pelaporan yang memastikan," tetapi manajemen staf senior
selanjutnya dapat mengidentifikasi risiko bahwa personel kunci mereka memiliki
pengetahuan yang tidak memadai tentang kebutuhan pelanggan saat ini dan potensial
untuk dengan mudah memenuhi tujuan ini. Tanggapan manajemen untuk
mengidentifikasi risiko yang diakui ini dapat mencakup tinjauan riwayat penjualan
dari pelanggan yang sudah ada dan mengembangkan inisiatif riset pasar untuk lebih
menarik pelanggan potensial. Aktivitas kontrol di sini mungkin termasuk melacak
kemajuan riwayat pembelian pelanggan terhadap jadwal yang ditetapkan serta
mengambil langkah-langkah untuk meningkatkan kualitas data pemasaran yang
dilaporkan.
Ketika menentukan tindakan yang direkomendasikan untuk diambil untuk
mengurangi risiko, auditor internal harus mempertimbangkan semua aspek sistem
pengendalian internal perusahaan serta proses bisnis yang relevan, sistem TI, dan
lokasi di mana kegiatan pengendalian diperlukan. Ini mungkin termasuk
mempertimbangkan kegiatan kontrol di luar unit operasi, termasuk layanan bersama,
pusat data, atau proses yang dilakukan oleh penyedia layanan outsourcing. Misalnya,
perusahaan mungkin perlu menetapkan aktivitas kontrol untuk mengatasi integritas
informasi yang dikirim ke dan diterima dari penyedia layanan outsourcing.
Kegiatan Pengendalian Proses Bisnis

Area penting untuk pemahaman audit internal, proses bisnis ditetapkan di seluruh
perusahaan untuk memungkinkan mereka mencapai tujuan mereka. Proses ini
mungkin umum untuk semua aktivitas bisnis — seperti pembelian, hutang, atau
penjualan — atau mungkin unik untuk industri tertentu. Masing-masing proses ini
mengubah input menjadi output melalui serangkaian transaksi atau aktivitas terkait.
Kegiatan kontrol yang secara langsung mendukung tindakan untuk mengurangi risiko
pemrosesan transaksi dalam suatu perusahaan biasanya disebut kontrol aplikasi atau
kontrol transaksi.
Kontrol transaksi seringkali merupakan kegiatan pengendalian yang paling
mendasar dalam suatu usaha karena mereka secara langsung menangani respons
risiko terhadap proses bisnis yang ada untuk memenuhi tujuan manajemen. Kontrol
transaksi harus dipilih dan dikembangkan di mana pun proses bisnis berada, mulai
dari proses konsolidasi keuangan perusahaan terpusat hingga proses dukungan
pelanggan di unit operasi lokal.
Proses bisnis yang khas akan mencakup banyak tujuan dan sub-tujuan, masing-
masing dengan serangkaian risiko dan respons risikonya sendiri. Cara umum untuk
mengkonsolidasikan risiko proses bisnis ini ke dalam bentuk yang dapat dikelola adalah
dengan Internal
mengelompokkannya sesuai dengan tujuan proses bisnis kelengkapan, ■ akurasi,
dan ketersediaan. Jika tujuan tercapai untuk setiap transaksi dalam proses bisnis tertentu,
maka sub-tujuan proses bisnis kemungkinan akan tercapai.
Internal ■
Elemen aktivitas kontrol dari kerangka kerja pengendalian internal COSO

menggunakan tujuan pemrosesan informasi fol-lowing:
■
Kelengkapan. Transaksi yang terjadi harus dicatat. Misalnya, perusahaan dapat
mengurangi risiko tidak memproses semua transaksi dengan vendor dengan
memilih tindakan dan kontrol transaksi yang mendukung pemrosesan semua
transaksi faktur dalam prosedur bisnis yang sesuai.
■
Ketepatan. Transaksi harus dicatat dalam jumlah yang benar di akun yang
benar dan tepat waktu. Misalnya, kontrol transaksi atas elemen sistem utama,
seperti harga item atau database master vendor, dapat mengatasi keakuratan
pemrosesan transaksi pembelian. Akurasi dalam konteks proses operasi dapat
didefinisikan untuk mencakup konsep kualitas yang lebih luas, termasuk akurasi
dan ketepatan bagian yang direkam.
■
Validitas. Transaksi yang tercatat merupakan peristiwa ekonomi yang benar-
benar terjadi dan kemudian dieksekusi sesuai dengan prosedur yang ditentukan.
Validitas umumnya dicapai melalui kegiatan pengendalian yang mencakup
otorisasi transaksi sebagaimana ditentukan oleh kebijakan dan prosedur
perusahaan.
Konsep-konsep ini sangat penting bagi auditor internal. Auditor internal harus
mengingat hal ini ketika meninjau dan menilai proses dan aplikasi pengendalian yang
mendukung transaksi.
Risiko pemrosesan transaksi yang tidak tepat waktu dapat dianggap sebagai
risiko terpisah atau dimasukkan sebagai bagian dari kelengkapan atau keakuratan
keseluruhan objek pemrosesan informasi. Akses terbatas juga dapat dianggap sebagai
tujuan pemrosesan TI, karena tanpa membatasi akses yang tepat atas transaksi dalam
proses bisnis, aktivitas kontrol dalam proses bisnis tersebut dapat ditimpa dan
pemisahan kontrol tugas mungkin tidak tercapai.
Sementara tujuan TI paling sering dikaitkan dengan proses keuangan dan transaksi,
konsep ini dapat diterapkan pada aktivitas perusahaan apa pun. Misalnya, tujuan
pemrosesan TI dan aktivitas kontrol terkait berlaku untuk proses pengambilan
keputusan manajemen atas penilaian dan perkiraan kritis. Dalam lingkungan ini,
manajemen harus mempertimbangkan kelengkapan identifikasi faktor-faktor signifikan
yang mempengaruhi perkiraan yang harus dikembangkan dan mendukung asumsi-
asumsi ini. Demikian pula, manajemen harus mempertimbangkan validitas dan
kewajaran asumsi tersebut dan keakuratan model estimasinya.
Ini tidak berarti bahwa jika manajemen mempertimbangkan dan memperhatikan
tujuan yang ditetapkan ini, perusahaan tidak akan pernah membuat penilaian atau
perkiraan yang salah, karena ini semua tunduk pada kesalahan manusia. Namun,
ketika kegiatan pengendalian yang tepat berada di tempat dan ketika manajemen
menggunakan penilaian yang baik dan dipikirkan dengan matang, kemungkinan
pengambilan keputusan yang lebih baik ditingkatkan.
Jenis Kegiatan Pengendalian Transaksi

Terkadang konsep pengendalian internal dasar yang telah bersama kami bertahun-tahun
hampir dilupakan atau dijatuhkan dari dialog sehari-hari kami mengenai perancangan dan
pembangunan
Internal ■
pengendalian internal yang efektif. Materi panduan pengendalian internal COSO yang
direvisi melakukan pekerjaan yang baik untuk menguraikan kegiatan pengendalian
internal dasar yang akan dibahas lebih lanjut dalam bab-bab mendatang. Sebagai
contoh, materi panduan kerangka pengendalian internal COSO menyoroti jenis-jenis
kegiatan pengendalian transaksi berikut:
■
Verifikasi. Ini adalah jenis kontrol transaksi yang membandingkan dua item atau
lebih satu sama lain atau membandingkan item dengan aturan kebijakan, dan
melakukan tindakan tindak lanjut ketika item yang dibandingkan tidak cocok atau
dianggap tidak konsisten dengan kebijakan. Contohnya di sini termasuk aplikasi
TI dengan program, termasuk pencocokan atau tes kewajaran terprogram.
Verifikasi umumnya membahas kelengkapan, akurasi, atau validitas pemrosesan
transaksi.
■
Rekonsiliasi. Proses transaksi ini membandingkan dua atau lebih elemen data,
dan jika perbedaan diidentifikasi, tindakan diambil untuk membawa data ke
dalam kesepakatan. Rekonsiliasi umumnya membahas kelengkapan dan / atau
keakuratan pemrosesan transaksi.
■
Otorisasi dan persetujuan. Proses otorisasi menegaskan bahwa transaksi itu
valid, terutama yang mewakili peristiwa ekonomi aktual. Otorisasi biasanya
berbentuk persetujuan oleh tingkat manajemen yang lebih tinggi atau verifikasi
yang dihasilkan sistem dan penentuan bahwa suatu transaksi valid.
■
Kontrol fisik. Persediaan peralatan, sekuritas, uang tunai, dan aset lainnya
biasanya diamankan secara fisik di area penyimpanan yang terkunci atau dijaga.
Transaksi kontrol fisik di sini harus dihitung secara berkala dan dibandingkan
dengan catatan kontrol pendukung.
■
Kontrol atas data berdiri. Standing data — istilah yang pertama kali
diperkenalkan beberapa tahun yang lalu oleh salah satu kantor akuntan publik
besar — adalah elemen data yang dikembangkan dari luar perusahaan (seringkali
dari organisasi standar) yang mendukung pemrosesan transaksi dalam
perusahaan itu. Kegiatan kontrol atas proses untuk mengisi, memperbarui, dan
menjaga keakuratan, kelengkapan, dan validitas data tetap ini harus ditetapkan
oleh perusahaan.
■
Kontrol pengawasan. Proses kontrol transaksi ini menilai apakah aktivitas
kontrol transaksi lainnya, seperti verifikasi, persetujuan, kontrol atas data stand-
ing, dan aktivitas kontrol fisik dilakukan secara lengkap, akurat, dan sesuai
dengan kebijakan dan prosedur perusahaan. Manajemen biasanya harus secara
menghakimi memilih dan mengembangkan kontrol pengawasan atas transaksi
berisiko tinggi, termasuk tinjauan tingkat tinggi, untuk melihat apakah ada item
rekonsiliasi yang telah ditindaklanjuti atau diperbaiki, atau untuk menentukan
apakah penjelasan yang tepat diberikan.
Komentar tentang transaksi aktivitas kontrol ini mengatakan banyak tentang

panduan pendukung yang diberikan sebagai bagian dari kerangka kerja pengendalian
internal COSO yang direvisi. Banyak kata-kata tentang jenis transaksi umum masuk
akal bagi auditor internal berpengalaman, tetapi panduan COSO yang baru
menekankan bahwa semuanya diperlukan untuk pengendalian internal yang efektif.
Auditor internal sering sangat terlibat dalam meninjau dan menilai kegiatan
pengendalian enter-prise, dan akan ada banyak referensi untuk mereka di bab-bab
lain ke depan.
Internal ■
3.8 Komponen Pengendalian Internal COSO: Informasi dan Komunikasi ■ 49

INFORMASI DAN KOMUNIKASI
Sebagai elemen COSO lainnya, informasi diperlukan bagi perusahaan untuk

melaksanakan tanggung jawab pengendalian internalnya untuk mendukung
pencapaian tujuannya. Manajemen memperoleh atau menghasilkan dan kemudian
menggunakan informasi yang relevan dan berkualitas dari sumber internal dan
eksternal untuk mendukung fungsi komponen lain dari pengendalian internal, dan
auditor internal meninjau dan menilai informasi manajemen yang sama. Komunikasi,
komponen lain dari elemen COSO ini, didefinisikan di sini sebagai proses berulang
yang berkelanjutan untuk menyediakan, berbagi, dan memperoleh informasi yang
diperlukan. Komunikasi internal adalah sarana dimana informasi disebarluaskan ke
seluruh perusahaan, mengalir ke atas, ke bawah, dan melintasi entitas. Ini
memungkinkan personel untuk menerima pesan yang jelas dari manajemen senior
bahwa tanggung jawab kontrol harus ditanggapi dengan serius. Komunikasi eksternal
juga memungkinkan komunikasi masuk dari informasi eksternal yang relevan dan
memberikan informasi kepada pihak eksternal dalam menanggapi persyaratan dan
harapan.
Meskipun prinsip-prinsipnya tidak banyak berubah sejak kerangka kontrol
internal COSO asli, elemen informasi dan komunikasi COSO yang direvisi
terstruktur dan terlihat sedikit berbeda dalam kerangka pengendalian internal COSO
yang direvisi ini. Selain itu, konsep informasi dan komunikasi telah berubah di dunia
saat ini dalam menggunakan praktik-praktik seperti penyedia layanan outsourcing
dalam ekonomi global yang digerakkan oleh Internet . Elemen informasi dan
komunikasi COSO adalah komponen kunci untuk mengembangkan dan menerapkan
proses pengendalian internal yang efektif.
Konsep keseluruhan yang mendukung informasi dan komunikasi COSO adalah
bahwa suatu perusahaan perlu mengembangkan dan memberikan berbagai bentuk
dan jenis informasi yang kompeten, dari dan kepada manajemen. Konsep ini lebih
dari sekadar arus informasi yang dijelaskan pada diagram alur TI klasik dan
panggilan untuk pengiriman pesan yang efektif, dipahami oleh semua pihak dan
dengan kontrol internal yang efektif. Artinya, proses harus ada untuk
mengidentifikasi, menangkap, dan mendistribusikan elemen-elemen kunci dari
semua jenis informasi dan kemudian mengkomunikasikan elemen-elemen yang
relevan dari informasi ini kepada pihak-pihak yang tepat.
Komponen COSO ini menjelaskan pentingnya informasi yang disimpan oleh
suatu perusahaan dan bagaimana informasi tersebut harus dikomunikasikan kepada
berbagai pihak. Bagian sistem informasi dari elemen ini mencatat, memproses,
menyimpan, dan melaporkan data. Sistem komunikasi menentukan bagaimana
informasi dilaporkan, siapa yang mendapatkannya, dan bagaimana informasi itu
digunakan dalam pengendalian penipuan. Proses informasi dan komunikasi ini harus:
■
Catat transaksi saat terjadi, pecahkan menjadi bagian-bagian komponennya
(tanggal, jumlah, nama, akun, otorisasi, dll.).
■
Memproses, meringkas, dan melaporkan informasi tersebut untuk tujuan
manajemen dan tujuan akuntansi murni.
■
Simpan data yang diambil dan diproses dalam format yang dapat diringkas,
diaudit, ditinjau, dan dilaporkan dengan cepat dan mudah.
■
Melaporkan informasi tersebut dalam format yang dapat digunakan untuk
analisis manajemen dan tujuan pengendalian internal.
Komponen informasi dan komunikasi dari kerangka COSO terutama mendukung

fungsi komponen pengendalian internal lainnya, termasuk tujuan yang relevan
dengan pelaporan internal dan eksternal. Auditor internal yang mengkaji
pengendalian internal yang terkait dengan kerangka pengendalian internal COSO
harus membedakan tujuan pelaporan mereka dari komponen informasi dan
komunikasi yang agak terpisah dari elemen pengendalian internal ini dalam menilai
sistem pengendalian internal.
Terminologi berubah dari waktu ke waktu, dan hari ini kita terlalu sering
menganggap istilah informasi hanya sebagai masalah TI. Namun, kerangka kerja
pengendalian internal COSO mendefinisikannya dalam arti yang lebih luas, yang
menyatakan bahwa informasi mencakup semua data yang digabungkan dan diringkas
berdasarkan relevansinya dengan persyaratan informasi perusahaan. Persyaratan
informasi ini ditentukan oleh fungsi berkelanjutan dari komponen pengendalian
internal lainnya, dengan mempertimbangkan harapan semua pengguna, baik internal
maupun eksternal. Sistem informasi, sebagaimana didefinisikan oleh COSO,
mendukung pengambilan keputusan dengan mendukung pemrosesan informasi yang
relevan, tepat waktu, dan berkualitas dari sumber internal dan eksternal.
Komponen elemen komunikasi COSO meminta perusahaan untuk berbagi
informasi yang relevan dan berkualitas secara internal dan eksternal. Manajemen
mengkomunikasikan informasi secara internal untuk memungkinkan personilnya
untuk lebih memahami tujuan perusahaan dan pentingnya tanggung jawab kontrol
mereka. Komunikasi internal memfasilitasi fungsi komponen pengendalian internal
lainnya dengan berbagi informasi ke atas, ke bawah, dan di seluruh perusahaan.
Komunikasi eksternal memungkinkan manajemen untuk memperoleh dan berbagi
informasi antara perusahaan dan pihak eksternal tentang risiko, masalah peraturan,
dan perubahan keadaan, kepuasan pelanggan, dan informasi lain yang relevan dengan
fungsi komponen pengendalian internal lainnya.
Pentingnya Menggunakan Informasi yang Relevan

Dengan banyaknya informasi, termasuk sistem dan prosedur resmi perusahaan yang
diterbitkan, memo, beberapa komunikasi email, posting berita vendor eksternal, dan
komunikasi dari sumber media sosial, auditor internal sering dibombardir dengan
informasi ketika mulai meninjau dan menilai pengendalian internal di beberapa area.
Auditor internal harus memperoleh atau menghasilkan dan menggunakan informasi
yang relevan dan berkualitas untuk mendukung fungsi komponen pengendalian
internal yang sedang ditinjau. Informasi diperlukan bagi suatu perusahaan untuk
melaksanakan tanggung jawab pengendalian internal mereka dalam mendukung
pencapaian tujuan. Informasi tentang objektives tingkat tinggi perusahaan harus
dikumpulkan dari dewan direksi dan kegiatan manajemen senior dan diringkas
sedemikian rupa sehingga manajemen lini dan orang lain dapat memahami objektives
ini dan peran mereka dalam pencapaian mereka. Misalnya, dalam situasi yang tidak
biasa, manajer senior mungkin menemukan bahwa manajer lini mereka tidak
memiliki pemahaman yang kuat tentang tujuan utama perusahaan. Mendukung
rencana bisnis di sini terkadang terlalu luas dan tidak jelas atau mungkin terlalu rinci
atau sulit untuk dikomunikasikan secara ringkas. Auditor internal yang melakukan
tinjauan tingkat tinggi harus meringkas objektivitas utama ini ke dalam dokumen
naratif yang jelas yang sangat menguraikan dan menekankan tujuan tinjauan.
Masalah komunikasi, sebagaimana didefinisikan dalam kerangka pengendalian

internal COSO, seringkali merupakan jenis masalah dasar "Manajemen 101", di
mana audit internal harus selalu ingat bahwa informasi yang relevan ini merupakan
komponen kunci dari kontrol internal yang efektif. Namun, audit internal, bekerja
sama sebagai tim dengan manajemen senior, harus dapat mensurvei hasil manajemen
operasional dan keuangan masa lalu serta masukan untuk mengidentifikasi dan
menentukan persyaratan informasi yang relevan dengan lebih baik.
Memperoleh informasi yang relevan, sebagaimana didefinisikan dalam kerangka
pengendalian internal COSO, mengharuskan manajemen untuk mengidentifikasi dan
mendefinisikan persyaratan informasi pada tingkat detail dan spesifisitas yang kuat.
Mengidentifikasi persyaratan informasi adalah proses berulang dan berkelanjutan
yang terjadi di seluruh kinerja sistem pengendalian internal yang efektif. Exhibit 3.4
menunjukkan contoh berbagai jenis informasi relevan eksternal dan eksternal untuk
mendukung komponen pengendalian internal COSO.
Persyaratan informasi ditetapkan melalui kegiatan yang dilakukan untuk
mendukung komponen pengendalian internal lainnya. Persyaratan ini memfasilitasi
dan mengarahkan manajemen dan personel lain untuk mengidentifikasi sumber
informasi dan data yang relevan dan andal. Jumlah informasi dan data dasar yang
tersedia untuk dikelola seringkali lebih dari yang dibutuhkan karena peningkatan
sumber informasi dan kemajuan dalam pengumpulan, pemrosesan, dan penyimpanan
data. Dalam kasus lain, data mungkin sulit
PAMERAN 3.4 Contoh Sumber Informasi yang Relevan
Info. Sumber Contoh Informasi yang Relevan Data Contoh
Intern Surel: Komunikasi Organisasi Perubahan

Intern Inspeksi Laporan dari lantai
Informasi produksi online dan
produksi
berkualitas
Intern Menit catatan dari rapat komite
Tindakan sebagai respons terhadap
operasi
metrik yang dilaporkan
Intern Personel Sistem pelaporan waktu Jam Dikeluarkan berdasarkan waktu
Proyek
Intern Laporan Dari sistem
Hasil produksi: jumlah unit
manufaktur
yang dikirim
Intern Responses to ke survei pelanggan Faktor Berdampak pada pelanggan
Pembelian berulang
Intern Hotline pelapor Keluhan Tentang perilaku
manajemen
Eksternal Data dari penyedia layanan Produk dikirim dari produsen kontrak
outsourcing
Eksternal Industri Laporan Penelitian Pesaing Informasi Produk
Eksternal Rekan Rilis penghasilan perusahaan Metrik pasar dan industri
Eksternal Peraturan Tubuh Baru atau persyaratan yang
diperluas Eksternal Sosial Media, blog, atau posting lainnya Pendapat Tentang perusahaan
Eksternal Dagang Menunjukkan Berkembang Minat dan
preferensi pelanggan
Eksternal Hotline pelapor Klaim penipuan, penyuapan, dll.
untuk mendapatkan pada tingkat atau kekhususan yang relevan atau diperlukan. Oleh
karena itu, pemahaman yang jelas tentang persyaratan informasi yang didefinisikan
COSO mengarahkan manajemen dan orang lain untuk mengidentifikasi sumber
informasi dan data yang relevan dan dapat diandalkan.
Konsep pengendalian internal COSO dari data yang relevan ini penting bagi
auditor internal. Kami akan membahas hal ini lebih lanjut dalam bab-bab mendatang,
tetapi terlalu sering auditor internal meminta dokumentasi untuk mendukung
beberapa area atau kontrol yang sedang ditinjau. Apakah itu dokumentasi kertas kuno
atau dokumen berbasis Internet saat ini, auditor internal telah meminta dokumentasi
yang mencakup beberapa area dan manajemen membersihkan file mereka, memberi
mereka terlalu banyak, beberapa di antaranya asing dan lebih dari auditor internal
memiliki waktu dan sumber daya untuk meninjau. Seorang auditor internal mungkin
berpikir, "Omigosh, saya tidak akan pernah punya waktu untuk meninjau semua hal
ini." Tetapi auditor dapat menambahkan catatan kertas kerja untuk mengatakan
bahwa dokumentasi telah disediakan dan maju. Pendekatan yang lebih baik adalah
melihat sekilas semua hal yang telah disediakan dan mengajukan beberapa
pertanyaan sulit tentang apakah semua ini relevan dan mendukung tinjauan audit
internal.
Pentingnya Komunikasi Internal

COSO menyarankan bahwa suatu perusahaan harus secara internal
mengkomunikasikan tujuannya dan tanggung jawab pengendalian internal yang baik.
Komunikasi terkait informasi ini harus dimulai dan didukung oleh manajemen senior
dan disampaikan kepada semua elemen di seluruh organisasi perusahaan, termasuk:
■
Pentingnya, relevansi, dan manfaat pengendalian internal yang efektif
■
Peran dan tanggung jawab manajemen dan personil lainnya dalam melakukan proses
pengendalian internal tersebut
■
Harapan perusahaan untuk berkomunikasi ke atas, ke bawah, dan di setiap matter
signifikansi yang berkaitan dengan pengendalian internal, termasuk contoh
kelemahan, kemunduran, atau ketidakpatuhan
Perusahaan harus menetapkan dan menerapkan kebijakan dan prosedur yang

memfasilitasi komunikasi internal yang efektif. Ini termasuk komunikasi spesifik dan
terarah yang membahas otoritas, tanggung jawab, dan standar perilaku individu di
seluruh perusahaan. Manajemen senior harus mengkomunikasikan tujuan perusahaan
dengan jelas sehingga manajemen dan personel lain, termasuk non-karyawan seperti
kontraktor, memahami peran masing-masing dalam organisasi. Komunikasi semacam
itu terjadi terlepas dari di mana personel berada, tingkat otoritas mereka, atau
tanggung jawab fungsional mereka.
Komunikasi internal dimulai dengan komunikasi tujuan. Karena manajemen
mengalirkan komunikasi tujuan spesifik perusahaan di seluruh organisasi, penting
bahwa sub-tujuan terkait atau persyaratan khusus dikomunikasikan kepada personel
dengan cara yang memungkinkan mereka untuk memahami bagaimana peran dan
tanggung jawab mereka berdampak pada pencapaian tujuan perusahaan. Auditor
internal harus mengingat kebutuhan ini saat mereka melakukan tinjauan pengendalian
audit internal.
Semua personil juga harus menerima pesan yang jelas dari manajemen senior
bahwa tanggung jawab pengendalian internal individu atau unit operasi mereka harus
ditanggapi dengan serius. Melalui komunikasi tujuan dan sub-tujuan, personil
3.9 Komponen Pengendalian Internal COSO: Kegiatan 53
Pemantauan ■
Harus memahami bagaimana peran, tanggung jawab, dan tindakan mereka

berhubungan dengan pekerjaan orang lain di perusahaan, tanggung jawab mereka
untuk pengendalian internal, dan apa yang dianggap sebagai perilaku yang dapat
diterima dan tidak dapat diterima. Namun, komunikasi tentang tanggung jawab
pengendalian internal mungkin tidak cukup untuk memastikan bahwa manajemen
dan personel lainnya merangkul tanggung jawab akuntabilitas mereka dan merespons
sebagaimana dimaksud. Seringkali, manajemen harus mengambil tindakan tepat
waktu yang konsisten dengan komunikasi tersebut untuk menegakkan pesan yang
disampaikan.
Selain itu, informasi yang dibagikan melalui komunikasi internal membantu
manajemen dan personel lain untuk mengenali masalah atau potensi masalah, untuk
menentukan penyebabnya, dan untuk mengambil tindakan korektif. Misalnya,
asumsikan bahwa departemen audit internal melakukan audit atas komisi yang
dibayarkan kepada distributor di satu lokasi internasional. Audit, dalam contoh ini,
dapat mengungkapkan contoh pelaporan penjualan yang curang melalui distributor
tertentu. Investigasi lebih lanjut memaparkan pembayaran oleh distributor kepada
perwakilan penjualan yang bertanggung jawab atas distributor terkait. Informasi ini
akan dipublikasikan oleh audit internal dalam laporan audit yang ditujukan kepada
dewan dan manajemen senior. Setelah temuan audit internal ini dikonfirmasi,
kelemahan kontrol harus dibagi dengan manajemen penjualan di lokasi lain,
memungkinkan mereka untuk menganalisis informasi secara lebih kritis untuk
menentukan apakah masalah ini lebih meluas dan untuk mengambil tindakan yang
diperlukan.
Komunikasi antara manajemen dan dewan direksi menyediakan dewan dengan
informasi yang dibutuhkan untuk melaksanakan tanggung jawab pengawasan untuk
kontrol internal. Informasi yang berkaitan dengan pengendalian internal yang
dikomunikasikan kepada dewan secara umum harus mencakup hal-hal penting
tentang kepatuhan, perubahan, atau masalah yang timbul dari sistem pengendalian
internal. Frekuensi dan tingkat detail komunikasi kepada manajemen dan dewan
direksi harus cukup untuk memungkinkan pihak-pihak ini memahami hasil penilaian
manajemen yang terpisah dan berkelanjutan serta dampak dari hasil tersebut terhadap
pencapaian tujuan. Selain itu, frekuensi dan tingkat detail harus cukup untuk
memungkinkan dewan direksi menanggapi indikasi pengendalian internal yang tidak
efektif secara tepat waktu.
Panduan pengendalian internal COSO mendorong komunikasi langsung antara
anggota dewan dan personel lainnya. Anggota dewan direksi harus memiliki akses
langsung ke karyawan tanpa mengacu pada manajemen. Ini adalah jenis panduan
yang terdengar bagus dalam teori tetapi seringkali tidak terlalu efektif dalam praktik.
Dengan pengecualian sesi forum terbuka pada pertemuan tahunan, sebagian besar
karyawan dan pemangku kepentingan lainnya dari semua kecuali perusahaan terkecil
tidak memiliki banyak kesempatan untuk berinteraksi langsung dengan anggota
dewan mereka. Sesi forum terbuka yang dipimpin manajemen dapat mengubah
hubungan ini, tetapi hambatan komunikasi akan terus ada meskipun ada niat baik
COSO.

KEGIATAN PEMANTAUAN
Kegiatan pemantauan
Pemantauan menilai
■ apakah masing-masing dari lima tujuan atau
komponen pengendalian internal COSO lainnya, termasuk lingkungan pengendalian,
penilaian risiko, dan lainnya, ada dan berfungsi. Suatu perusahaan dan auditor
internalnya harus menggunakan proses evaluasi ongo-ing dan terpisah untuk
memastikan apakah ada konsentika internal yang mapan.
Pemantauan ■
Prinsip-prinsip Trol, baik di seluruh perusahaan dan subunitnya, berlaku, hadir, dan
berfungsi. Pemantauan di sini adalah masukan kunci ke dalam penilaian organisasi
terhadap efektivitas pengendalian internal. Kerangka pengendalian internal COSO yang
direvisi mengidentifikasi dua prinsip, yang dibahas dalam Bab 4, untuk komponen
pengendalian internal kegiatan pemantauan:
1. Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan

dan / atau terpisah untuk memastikan apakah komponen pengendalian internal
ada dan berfungsi.
2. Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian
internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk
mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi,
sebagaimana mestinya.
Sistem pengendalian internal perusahaan akan sering berubah, dan objektives

entitas dan komponen pengendalian internalnya dapat berubah seiring waktu juga.
Selain itu, prosedur mungkin menjadi kurang efektif atau usang, mungkin tidak lagi ada
dan berfungsi, atau mungkin dianggap tidak cukup untuk mendukung pencapaian
tujuan pengendalian internal yang baru atau yang diperbarui. Kegiatan pemantauan
harus dipilih, dikembangkan, dan dilakukan untuk memastikan apakah masing-
masing komponen atau prinsip pengendalian dari lima komponen pengendalian
internal ada dan berfungsi, dan bahwa beberapa bentuk kekurangan pengendalian
internal ada. Manajemen juga perlu menentukan apakah sistem pengendalian internal
tetap relevan dan mampu mengatasi risiko baru.
Bila perlu, kegiatan pemantauan mengidentifikasi dan memeriksa kesenjangan
harapan yang berkaitan dengan anomali dan kelainan pengendalian internal, yang
dapat mengindikasikan bahwa satu atau lebih komponen pengendalian internal,
termasuk pengendalian untuk mempengaruhi prinsip-prinsip di seluruh perusahaan
dan subunitnya, tidak ada dan berfungsi. Kegiatan pemantauan umumnya akan
mengidentifikasi akar penyebab kerusakan tersebut dan dapat beroperasi dalam
berbagai proses bisnis di seluruh perusahaan dan subunitnya. Kata-kata ini diadaptasi
dari materi panduan pengendalian internal COSO pendukung. Mereka berarti bahwa
proses pemantauan yang tepat membantu menggali dan mengidentifikasi potensi
masalah yang telah diabaikan, dan audit internal terjadwal sering menunjukkan peran
ini.
Perusahaan perlu mempertimbangkan rincian mendasar dalam menentukan
apakah suatu aktivitas adalah aktivitas kontrol, seperti yang telah dibahas
sebelumnya, versus aktivitas pemantauan, dan terutama di mana aktivitas tersebut
melibatkan beberapa tingkat tinjauan pengawasan. Aktivitas peninjauan tidak secara
otomatis diklasifikasikan sebagai kegiatan pemantauan. Misalnya, maksud dari
kegiatan kontrol kelengkapan bulanan adalah untuk mendeteksi dan memperbaiki
kesalahan, di mana kegiatan pemantauan yang sesuai hanya akan menanyakan
mengapa ada kesalahan di tempat pertama, dan kemudian ke manajemen tugas
dengan memperbaiki proses untuk mencegah kesalahan di masa depan. Secara
sederhana, aktivitas pengendalian merespons risiko tertentu, sedangkan aktivitas
pemantauan menilai apakah pengendalian dalam masing-masing dari lima komponen
pengendalian internal beroperasi sebagaimana dimaksud, antara lain. Seperti biasa,
ketika kita mempertimbangkan aspek apa pun dari kontrol internal COSO, kita harus
selalu mempertimbangkan
Pemantauan ■ sifat tiga dimensi dari kerangka kerja COSO dan
hubungan kontrol ke atas, ke bawah, dan di seberang.
Materi panduan kegiatan pemantauan kerangka kerja COSO yang direvisi
menekankan bahwa suatu perusahaan harus melakukan evaluasi berkelanjutan untuk
mendukung pemantauannya
Pemantauan ■
kegiatan dan bahwa suatu perusahaan harus mengidentifikasi dan

mengkomunikasikan setiap kekurangan kontrol internal yang diketahui sebagai
bagian dari kegiatan pemantauannya. Pemasangan kegiatan pemantauan yang tepat
membawa penyelesaian lingkaran penuh proses pengendalian internal, seperti yang
diilustrasikan dalam Exhibit 3.5. Gagasan di balik pameran ini adalah bahwa ketika
suatu perusahaan mengembangkan dan mengimplementasikan tujuan perusahaan,
tindakan itu harus melalui masing-masing komponen kontrol COSO. Secara
melingkar, bergerak dari membangun atau membangun lingkungan pengendalian
yang tepat, siklus ini bergerak ke kegiatan pemantauan, dan kegiatan pemantauan
tersebut bertindak sebagai faktor peninjau atas semua komponen pengendalian
internal lainnya. Suatu perusahaan harus memilih, mengembangkan, dan melakukan
evaluasi berkelanjutan dan / atau terpisah untuk memantau atau memastikan apakah
komponen pengendalian internal mereka bersifat pres-ent dan berfungsi. Pemantauan
dapat dilakukan melalui evaluasi yang diprakarsai manajemen secara terpisah atau
melalui proses audit internal yang efektif. Tinjauan audit internal atas beberapa area
operasi atau pengendalian internal adalah contoh dari kegiatan pemantauan terpisah
dan alasan mengapa proses audit internal sangat penting untuk membangun
pengendalian internal yang efektif di bawah kerangka COSO. Sebagaimana dibahas
dalam Bab 8 tentang pelaksanaan audit internal yang efektif, tinjauan pengendalian
internal harus pada awalnya direncanakan dan dijadwalkan berdasarkan proses
penilaian risiko audit internal, tetapi auditor internal kemudian dapat kembali untuk
meninjau area yang sama lagi, berdasarkan pengendalian internal
Kegiatan
Kontrol
Informasi &
Komunikasi
Penilaian
COSO
Risiko
Kerangka
Pengendalian
Internal &; Tentukan
Pentingnya Tujuan
Pemantauan Perusahaa
n
Lingkungan
Kontrol
Pemantauan
PAMERAN 3.5Pemantauan
Kegiatan Pemantauan
■ COSO
Pemantauan ■
kekurangan ditemukan dalam ulasan pertama. Selain itu, evaluasi pemantauan

terpisah dapat dilakukan secara berkala oleh manajemen, audit internal, atau pihak
eksternal, antara lain dengan ruang lingkup dan frekuensi masalah pertimbangan
manajemen.
Proses pemantauan COSO berkelanjutan mirip dengan proses audit internal
berkelanjutan yang dibahas dalam Bab 11. Mereka juga seperti lampu tekanan minyak
dalam empedu otomatis yang hanya berkedip peringatan jika tekanan di luar batas.
Evaluasi yang sedang berlangsung umumnya didefinisikan, operasi rutin dibangun ke
dalam proses bisnis dan dilakukan secara real-time, bereaksi terhadap kondisi yang
berubah. Di mana evaluasi yang sedang berlangsung dibangun ke dalam proses bisnis,
komponen pengendalian internal mereka biasanya disusun untuk memantau diri
mereka sendiri secara berkelanjutan.
Kontrol yang tidak dipantau cenderung memburuk seiring waktu. Kerangka kerja
COSO mendefinisikan pemantauan sebagai proses untuk membantu memastikan
bahwa pengendalian internal terus beroperasi secara efisien. Ketika pemantauan
dirancang dan dilaksanakan dengan tepat, suatu perusahaan harus mendapat manfaat
karena lebih mungkin untuk:
■
Mengidentifikasi dan memperbaiki masalah pengendalian internal secara tepat waktu
■
Menghasilkan informasi yang lebih akurat dan dapat diandalkan untuk digunakan
dalam pengambilan keputusan
■
Menyusun laporan keuangan yang akurat dan tepat waktu
■
Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang
efektivitas pengendalian internal
Proses pemantauan yang efektif adalah komponen kunci untuk memastikan

bahwa perusahaan memiliki pengendalian internal yang efektif dan audit internal
memiliki tanggung jawab utama dalam membantu melakukan banyak proses
pemantauan. Manajemen perlu merancang, mengembangkan, dan meluncurkan
pengendalian internal yang efektif, tetapi proses pemantauan diperlukan untuk
memberikan jaminan kepada manajemen senior dan pihak lain bahwa pengendalian
internal tersebut ada.
Manajemen dapat meluncurkan proses pemantauan ini dengan mendorong
anggota staf perusahaan dengan tanggung jawab sistem kontrol untuk memahami
kerangka pengendalian internal COSO dan panduan pemantauannya dan kemudian
mempertimbangkan cara terbaik untuk menerapkan proses pemantauan atau apakah
mereka telah dimasukkan ke dalam area tertentu. Selanjutnya, baik auditor internal
maupun personel lain dengan keterampilan, wewenang, dan sumber daya yang sesuai
harus menjawab empat pertanyaan mendasar ini:
1. Sudahkah proses pemantauan yang ditetapkan mengidentifikasi risiko yang berarti

bagi tujuan perusahaan, misalnya, risiko yang terkait dengan menghasilkan laporan
keuangan yang akurat, tepat waktu, dan lengkap?
2. Kontrol mana yang merupakan "kontrol utama" yang paling baik untuk mendukung
penilaian audit internal mengenai efektivitas pengendalian internal di area risiko
tersebut?
3. Informasi apa yang dikumpulkan dari proses pemantauan akan persuasif dalam
memberi tahu manajemen dan dewan direksi apakah kontrol ini terus beroperasi
secara efektif?
4. Apakah Pemantauan
saat ini kami■melakukan pemantauan efektif yang tidak dimanfaatkan
dengan baik dalam evaluasi pengendalian internal, yang mengakibatkan
pengujian lebih lanjut yang tidak perlu dan mahal?
3.10 Dimensi Lain Kerangka Kerja COSO ■ 57
Manajemen dan dewan direksi harus memahami konsep-konsep pemantauan

yang efektif dan bagaimana mereka dapat melayani kepentingan perusahaan masing-
masing. Kegiatan penelaahan audit internal harus memberikan jaminan kepada
manajemen senior bahwa sistem pengendalian internal mereka bekerja dan bahwa
proses pemantauan yang terpasang menyediakan panduan tersebut.
Tujuan pemantauan pengendalian internal COSO harus membantu perusahaan
menjawab pertanyaan-pertanyaan ini dan lainnya dalam konteks keadaan unik
mereka sendiri – keadaan yang akan berubah seiring waktu. Ketika mereka maju
dalam mencapai efektivitas dalam pemantauan, perusahaan kemungkinan akan
memiliki kesempatan untuk lebih meningkatkan proses melalui penggunaan alat-alat
seperti alat pemantauan atau audit berkelanjutan dan laporan eksepsi yang
disesuaikan dengan proses mereka. Seiring waktu, proses pemantauan COSO yang efektif
harus mengarah pada efisiensi organisasi dan mengurangi biaya yang terkait dengan
pelaporan publik tentang pengendalian internal karena masalah pengendalian internal
dapat diidentifikasi dan ditangani secara proaktif daripada reaktif.
3.10 DIMENSI LAIN KERANGKA KERJA COSO
Bagian sebelumnya telah menjelaskan komponen yang lebih penting dari kerangka
pengendalian internal COSO, dari lingkungan kontrol hingga pemantauan. Masing-
masing menggambarkan komponen penting atau elemen pengendalian internal yang
harus efektif secara individual dan harus bekerja dengan elemen pengendalian
internal terkait lainnya. Misalnya, elemen penilaian risiko COSO harus mendorong
dan membantu mengelola kegiatan pengendalian. Namun, fitur utama dari kerangka
COSO yang kadang-kadang diabaikan adalah sifat tiga dimensinya.
Exhibit 3.6 telah membalik kerangka kerja pengendalian internal COSO dan
menunjukkan operasi, pelaporan, dan kontrol kepatuhan dari perspektif yang
menghadap ke depan. Tidak ada perubahan di sini dalam konsep kontrol internal
COSO yang efektif, tetapi pameran ini memberikan cara yang berbeda untuk
melihatnya. Artinya, auditor internal yang meninjau dan menilai efektivitas
pengendalian pelaporan bisnis organisasi, seperti yang dapat ditemukan dalam sistem
pengendalian sumber daya manufaktur, harus memikirkan efektivitas pengendalian
tersebut sehubungan dengan unsur-unsur pengendalian internal mulai dari
lingkungan pengendalian secara keseluruhan hingga kegiatan pemantauan.
Dengan cara yang sama, masing-masing kontrol internal ini harus
dipertimbangkan sehubungan dengan sisi ukuran organisasi dari kubus COSO.
Artinya, pengendalian internal harus efektif dalam unit bisnis individu atau
departemen, pada tingkat bisnis atau fungsional yang lebih besar, dan untuk seluruh
entitas bisnis. Seperti yang akan kita temukan saat kita mengeksplorasi proses audit
internal dan prosedur pengendalian internal dalam bab-bab berikut, konsep-konsep
ini terkadang sulit diterapkan secara konsisten di seluruh perusahaan. Meskipun ada
beberapa variasi kecil dan bahkan dapat dibenarkan, manajemen harus mencoba
menerapkan pengendalian internal COSO ini secara konsisten di seluruh entitas
bisnis secara keseluruhan.
Seperti yang telah kami nyatakan sebelumnya, pengetahuan dan pemahaman
yang kuat tentang kerangka pengendalian internal COSO harus menjadi persyaratan
CBOK auditor internal. COSO tidak mengandung aturan, seperti yang ditemukan di
sekitar deskripsi SOx Bab 5, atau direkomendasikan
Kegiatan
Lingkungan
Penilaian Komunikasi Kegiatan
Informas
Kegiatan Unit Bisnis

Kontrol Divisi &; Fungsi
Hasilion, IT, & FinOls
Operations ContrAncial
Kontrol Tingkat Badan Usaha

Pernal &; nal
wakiExter orting ols
lanContr
Inter
Hukum, Standards, & RRol egulasi

Compliance
Cont
EXHIBIT 3.6 Pengendalian Internal COSO—Perspektif Pelaporan
praktik terbaik, seperti yang akan dibahas dalam Bab 19 tentang, tetapi kerangka kerja
kontrol internal COSO berisi beberapa panduan kuat untuk membangun dan menilai
semua tingkat kontrol internal perusahaan,® mulai dari yang ada di unit bisnis yang
lebih kecil Sistem aplikasi TI hingga keseluruhan proses tingkat perusahaan.
CHA4P TER EMPAT
17 Prinsip Pengendalian
Internal COSO
C
HAPTER 3 MENJELASKAN KERANGKA PENGENDALIAN INTERNAL
COSO yang direvisi . Komponen kunci dari kerangka kerja itu adalah 17
prinsip pengendalian internal COSO, panduan untuk membantu manajer dan
auditor internal lebih memahami dan memanfaatkan
Kontrol internal COSO. Prinsip-prinsip ini adalah konsep baru yang tidak termasuk
dalam kerangka COSO asli, dan mereka sangat membantu auditor internal dalam
tinjauan dan pemahaman mereka tentang pengendalian internal COSO. Bab ini akan
memperkenalkan prinsip-prinsip pengendalian internal COSO ini dan mengapa prinsip-
prinsip tersebut penting bagi manajemen dan auditor internal dalam membangun
pengendalian internal yang efektif.
Agak berbeda dari COSO, Institute of Internal Auditors (IIA) telah menetapkan
seperangkat 12 prinsip inti yang menggambarkan efektivitas audit internal untuk
mendukung prinsip dalam standar dan kode etik mereka, keduanya dibahas dalam Bab
9. Mereka adalah komponen kunci dalam Kerangka Kerja Praktik Profesional
Internasional (IPPF) mereka. Prinsip ini, baik untuk pengendalian internal COSO
maupun untuk IPPF IIA, mewakili tujuan utama atau poin pembicaraan yang harus
digunakan auditor internal dalam perencanaan, pelaksanaan, dan evaluasi
tinjauan pengendalian internal mereka.
4.1 PRINSIP KERANGKA PENGENDALIAN INTERNAL COSO
Kerangka kerja pengendalian internal COSO, yang diperkenalkan pada Bab 3,

didukung oleh 17 prinsip. Untuk beberapa manajer yang telah melihat kerangka kerja
tiga dimensi COSO dan pergi dengan bingung, prinsip-prinsip ini memberikan lebih
banyak panduan dan pemahaman tentang konsep pengendalian internal, meskipun
mereka tidak benar-benar melacak elemen-elemen kerangka kerja. Elemen-elemen
ini tercantum dalam Exhibit 4.1 dan akan dijelaskan secara lebih rinci lebih lanjut.
Audit Internal Modern Brink: Umum

59
Body of Knowledge, Edisi Kedelapan
Oleh Robert R. Moller
Hak cipta © 2016 oleh John Wiley & Sons, Inc.
4.2 Lingkungan Pengendalian Prinsip 1: Integritas dan Nilai Etika ■ 60
PAMERAN 4.1 Prinsip Pengendalian Internal COSO
Elemen Prinsip
Lingkungan kontrol 1. Menunjukkan komitmen terhadap integritas dan nilai-nilai etika

2. Pastikan bahwa dewan menjalankan tanggung jawab pengawasan
3. Menetapkan struktur, jalur pelaporan, wewenang, dan
tanggung jawab
4. Menunjukkan komitmen terhadap tenaga kerja yang kompeten
5. Buat orang bertanggung jawab
Penilaian risiko 6. Tentukan tujuan yang sesuai
7. Identifikasi dan analisis risiko
8. Mengevaluasi risiko penipuan
9. Mengidentifikasi dan menganalisis perubahan yang secara
signifikan dapat mempengaruhi pengendalian internal
Kegiatan kontrol 10. Memilih dan mengembangkan kegiatan pengendalian yang mengurangi
risiko
11. Memilih dan mengembangkan kontrol teknologi
12. Menyebarkan aktivitas kontrol melalui kebijakan dan prosedur
Informasi dan
13. Menggunakan informasi yang relevan dan berkualitas untuk
komunikasi
mendukung fungsi pengendalian internal
14. Mengkomunikasikan informasi pengendalian internal secara internal
15. Mengkomunikasikan informasi pengendalian internal secara eksternal
Pemantauan 16. Melakukan evaluasi pengendalian internal yang berkelanjutan atau
berkala (atau
kombinasi keduanya)
17. Mengkomunikasikan kekurangan pengendalian internal
Auditor internal harus mengembangkan pemahaman tentang prinsip-prinsip ini

sebagai CBOK harus. Konsep-konsep ini harus membantu auditor internal untuk
mengembangkan dan melakukan tinjauan pengendalian internal mereka dengan lebih
baik.
4.2 LINGKUNGAN PENGENDALIAN PRINSIP 1: INTEGRITAS

DAN NILAI-NILAI ETIKA
Prinsip pertama dari lingkungan kontrol COSO menuntut perusahaan untuk

menunjukkan komitmen terhadap integritas dan nilai-nilai etika. Sejarah dan budaya
perusahaan sering memainkan peran utama dalam membentuk lingkungan
pengendalian internal ini. Ketika suatu perusahaan secara historis memiliki penekanan
manajemen yang kuat untuk menghasilkan produk yang bebas dari kesalahan, ketika
manajemen senior terus menekankan pentingnya produk berkualitas tinggi, dan ketika
pesan ini dikomunikasikan ke semua tingkatan, ini menjadi faktor lingkungan kontrol
perusahaan utama. Pesan dari CEO atau manajer senior lainnya dikenal sebagai nada
di atas — pesan manajemen kepada semua pemangku kepentingan. Pesan dari atas
harus lebih dari sekadar jenis pernyataan "kami akan mematuhi hukum". Pesan harus
jauh lebih luas dan menekankan bahwa suatu perusahaan berkomitmen terhadap
standar etika tertinggi dalam setiap aspek bisnisnya, termasuk tidak hanya kepatuhan
tetapi dalam bisnis, penjualan, konseling hukum, dan praktik sumber daya manusia
serta perlakuannya terhadap karyawan dan pelanggan.
Ini adalah pesan dan komitmen berulang dari kepemimpinan senior di seluruh
perusahaan untuk menekankan pentingnya kepatuhan dan perilaku etis yang harus
dianut dan diintegrasikan ke dalam setiap tingkat operasi bisnis. Namun, jika
manajemen senior mendapatkan reputasi untuk melihat ke arah lain pada pelanggaran
kebijakan dan membuat pernyataan yang terdengar meragukan, pesan negatif ini
akan dikomunikasikan ke tingkat lain dari perusahaan. Nada positif di puncak
panggilan untuk manajemen senior untuk memimpin dengan memberi contoh pada
masalah integritas dan etika; Tindakan positif di sini adalah batu fondasi yang
membangun lingkungan kontrol yang kuat untuk perusahaan.
Sementara nada di atas sangat penting, kode etik perusahaan yang efektif — dulu
biasanya disebut kode etik karena penekanan pada aturan — sama atau bahkan lebih
penting dalam membangun lingkungan pengendalian internal yang efektif. Kode etik
telah ada pada organisasi bisnis selama bertahun-tahun, tetapi secara tradisional lebih
terfokus pada anggota staf tingkat bawah daripada manajemen senior. Mereka harus
menjadi komponen penting dari sistem pengendalian internal yang efektif untuk
semua anggota perusahaan, dari manajemen senior hingga staf operasi dan pemangku
kepentingan lainnya.
Perusahaan yang efektif saat ini harus mengembangkan dan menegakkan kode yang
mencakup aturan etika, bisnis, dan hukum yang berlaku untuk semua pemangku
kepentingan perusahaan, apakah mereka pejabat, semua karyawan lain, atau
kelompok pemangku kepentingan yang lebih besar termasuk vendor dan konsultan.
Kode etik harus berupa seperangkat aturan atau panduan yang jelas dan tidak ambigu
yang menguraikan apa yang diharapkan dari semua pemangku kepentingan
perusahaan. Kode harus didasarkan pada nilai-nilai dan masalah hukum seputar suatu
perusahaan. Artinya, sementara semua perusahaan dapat berharap untuk memiliki
kode larangan terhadap diskriminasi seksual dan rasial, kontraktor pertahanan dengan
banyak masalah aturan terkait kontrak mungkin memiliki kode etik yang agak
berbeda daripada operasi toko makanan cepat saji. Namun, kode tersebut harus
berlaku untuk semua anggota perusahaan dari tingkat paling senior hingga karyawan
administrasi paruh waktu. Misalnya, aturan kode etik yang melarang pelaporan
keuangan yang salah harus sama apakah diarahkan pada CFO untuk pelaporan
keuangan triwulanan yang sengaja salah atau paruh waktu untuk kartu waktu
mingguan yang salah atau curang. Hukuman dan tindakan perbaikan harus diterapkan
pada keduanya. Exhibit 4.2 berisi beberapa topik yang biasanya termasuk dalam kode
etik perusahaan.
Menegaskan Kepatuhan terhadap Kode Etik

Kode etik perusahaan harus menjadi dokumen hidup. Ini memiliki nilai kecil jika telah
dikembangkan, dikirim ke semua pemangku kepentingan dengan banyak hullabaloo,
dan kemudian pada dasarnya disimpan dan dilupakan setelah peluncuran awal itu.
Jika ada kode etik baru atau bahkan revisi besar dari kode etik yang ada, perusahaan
harus melakukan upaya besar untuk mengirimkan salinan kode itu kepada semua
karyawan dan pemangku kepentingan. Langkah penting adalah secara formal
menyajikan kode etik baru kepada manajer puncak perusahaan, dan khususnya
petugas keuangan. Kode etik di masa lalu kadang-kadang hanya menerima
penerimaan token dari kelompok perwira senior, dengan perasaan bahwa mereka
benar-benar untuk staf dan bukan untuk mereka.
Manajemen senior perusahaan harus diminta untuk secara formal mengakui
bahwa ia telah membaca, memahami, dan akan mematuhi kode etik perusahaan.
Dengan
PAMERAN 4.2 Contoh Topik Kode Etik
Berikut ini adalah bidang topik yang ditemukan dalam kode etik perusahaan yang khas.
Kode yang sebenarnya harus memiliki aturan khusus di masing-masing area ini.
I. PERKENALAN
A. Tujuan Kode Etik ini: Pernyataan umum tentang latar belakang kode etik, menekankan
tradisi perusahaan.
B. Komitmen Perusahaan terhadap Standar Etika yang Kuat: Pernyataan ulang pernyataan
misi dan pesan pendukung dari CEO.
C. Tempat Mencari Bimbingan: Deskripsi proses hotline etika.
D. Melaporkan Ketidakpatuhan: Panduan untuk pelapor–cara melaporkan.
E. Tanggung Jawab Anda untuk Mengakui Kode Etik: Deskripsi proses
pengakuan kode etik untuk semua pemangku kepentingan.
II. STANDAR TRANSAKSI YANG ADIL
A. Praktik Penjualan Perusahaan: Panduan untuk berurusan dengan pelanggan.
B. Praktik Pembelian Perusahaan: Panduan dan kebijakan untuk berurusan dengan vendor.
III. PERILAKU DI TEMPAT KERJA
A. Standar Kesempatan Kerja yang Setara: Pernyataan komitmen yang kuat.
B. Kebijakan Tempat Kerja dan Pelecehan Seksual: Pernyataan komitmen yang sama kuatnya.
C. Penyalahgunaan Alkohol dan Zat: Pernyataan kebijakan di bidang ini.
IV. KONFLIK KEPENTINGAN
A. Pekerjaan di Luar Pekerjaan: Batasan menerima pekerjaan dari pesaing.
B. Investasi Pribadi: Aturan tentang penggunaan data perusahaan untuk membuat keputusan
investasi pribadi.
C. Hadiah dan Manfaat Lainnya: Aturan tentang menerima suap dan hadiah yang tidak pantas.
D. Mantan Karyawan: Aturan yang melarang pemberian bantuan kepada mantan karyawan dalam
bisnis.
E. Anggota Keluarga: Aturan tentang memberikan bisnis kepada anggota keluarga,
menciptakan potensi konflik kepentingan, dan hubungan anggota keluarga-
karyawan.
V. PROPERTI DAN CATATAN PERUSAHAAN
A. Aset Perusahaan: Pernyataan yang kuat tentang tanggung jawab karyawan untuk melindungi
aset.
B. Sumber Daya Sistem Komputer: Perluasan laporan aset perusahaan untuk mencerminkan
semua aspek sumber daya sistem komputer.
C. Penggunaan Nama Perusahaan: Aturan bahwa nama perusahaan hanya boleh
digunakan untuk urusan bisnis normal.
D. Enterprise Records: Aturan mengenai tanggung jawab karyawan untuk integritas catatan.
E. Informasi Rahasia: Aturan tentang pentingnya menjaga kerahasiaan semua informasi
perusahaan dan tidak mengungkapkannya kepada orang luar.
F. Privasi Karyawan: Pernyataan yang kuat tentang pentingnya menjaga kerahasiaan
informasi pribadi karyawan dari orang luar dan bahkan karyawan lain.
G. Manfaat Perusahaan: Karyawan tidak boleh mengambil manfaat perusahaan di tempat yang bukan
haknya.
VI. MEMATUHI HUKUM
A. Informasi Orang Dalam dan Perdagangan Orang Dalam: Aturan kuat yang melarang
perdagangan orang dalam atau mendapatkan keuntungan dari informasi orang
dalam.
B. Kontribusi dan Kegiatan Politik: Pernyataan yang kuat tentang aturan kegiatan politik.
C. Penyuapan dan Suap: Aturan tegas tentang penggunaan suap atau menerima suap.
D. Transaksi Bisnis Asing: Aturan tentang berurusan dengan agen asing sesuai dengan
Undang-Undang Praktik Korupsi Asing.
E. Keselamatan di Tempat Kerja: Pernyataan tentang kebijakan perusahaan untuk mematuhi aturan
OSHA.
F. Keamanan Produk: Pernyataan tentang komitmen perusahaan terhadap keamanan produk.
G. Perlindungan Lingkungan: Aturan mengenai komitmen perusahaan untuk mematuhi
undang-undang lingkungan yang berlaku.
Tim manajemen berdiri di belakangnya, perusahaan selanjutnya harus meluncurkan

kode etik kepada semua pemangku kepentingan perusahaan. Ini dapat dilakukan
dalam beberapa fase, dengan deliv- ery ke fasilitas lokal atau yang lebih utama
terlebih dahulu, diikuti oleh unit yang lebih kecil, lokasi asing, dan pemangku
kepentingan lainnya. Daripada hanya menyertakan salinan kode dengan dokumen
penggajian, perusahaan harus melakukan upaya formal untuk menyajikannya dengan
cara yang akan mendapatkan perhatian.
Kode etik baru dapat dikomunikasikan melalui video oleh CEO, melalui web-
cast, sesi pelatihan, atau cara lain untuk menekankan pentingnya dan maknanya.
Metode komunikasi khusus dapat digunakan untuk kelompok lain seperti vendor atau
kontraktor, tetapi tujuan perusahaan harus membuat semua pemangku kepentingan
secara formal mengakui bahwa mereka akan mematuhi kode etik perusahaan. Ini
dapat diakomodasi oleh jenis sistem respons Internet atau telepon di mana setiap
pemangku kepentingan perusahaan diminta untuk menanggapi tiga pertanyaan ini:
1. Sudahkah Anda menerima dan membaca salinan kode etik? Jawab ya atau tidak.
2. Apakah Anda memahami isi kode etik ini? Jawab ya jika Anda memahami kode
etik ini atau tidak jika Anda memiliki pertanyaan.
3. Apakah Anda setuju untuk mematuhi kebijakan dan pedoman dalam kode etik ini?
Jawab ya jika Anda setuju untuk mematuhi kode dan tidak jika tidak.
Setiap karyawan dan pemangku kepentingan harus diminta untuk mengakui

penerimaan kode etik perusahaan mereka, dengan tanggapan dicatat pada database
yang mencantumkan nama karyawan dan tanggal peninjauan dan penerimaan atau
ketidakterimaan mereka. Idenya adalah agar semua orang — semua pemangku
kepentingan — membeli kode dan menyetujui persyaratannya. Jika seseorang
menolak untuk menerima kode karena pertanyaan, supervisor atau orang lain harus
mendiskusikan masalah tersebut dengan orang tersebut untuk mendapatkan resolusi
akhirnya. Masalah terakhir di sini adalah bahwa perusahaan harus mengharapkan
semua karyawan setuju untuk menerima dan mematuhi kode etik perusahaan.
Mengikuti kode itu seharusnya hanya aturan kerja perusahaan lain, dan kegagalan
yang konsisten untuk mematuhi aturan harus menjadi alasan untuk penghentian.
Tujuan dari persyaratan pengakuan kode ini adalah untuk menghindari alasan "Saya
tidak tahu itu aturannya" di masa depan ketika pelanggaran kode ditemui. Ini adalah
ide yang baik untuk pergi melalui proses penerimaan kode setiap tahun, atau
setidaknya setelah revisi dokumen kode. File-file yang mendokumentasikan kode ini
mengakui-
Ments harus disimpan dengan cara yang aman.
Pelanggaran Kode dan Tindakan Korektif

Kode etik di seluruh perusahaan menjabarkan serangkaian perilaku yang diharapkan.
Selain menerbitkan kode etik dan mendapatkan penerimaan pemangku kepentingan,
juga perlu ada mekanisme untuk melaporkan pelanggaran kode etik dan untuk
menyelidiki dan menangani pelanggaran tersebut. Tujuannya di sini adalah bahwa
jika perusahaan mengeluarkan kode yang kuat bersama dengan pesan dari CEO
tentang pentingnya praktik etika yang baik, semua pemangku kepentingan
diharapkan untuk mengikuti aturan tersebut. Namun, kita semua tahu bahwa manusia
adalah manusia dan akan selalu ada beberapa yang melanggar aturan atau berlari di
tepi. Suatu perusahaan perlu membangun mekanisme untuk memungkinkan
karyawan atau bahkan orang luar untuk melaporkan potensi
pelanggaran kode dengan cara yang aman dan rahasia. Sebagian besar mekanisme
pelaporan itu dapat ditangani melalui fasilitas whistleblower, seperti yang dibahas
dalam Bab 26.
Kode etik menggambarkan serangkaian aturan untuk tindakan yang diharapkan
dalam perusahaan. Ketika pelanggaran ditemukan, masalah tersebut harus diselidiki
dan tindakan diambil secara konsisten, tidak peduli peringkat pemangku kepentingan.
Jika kode etik melarang pembuatan salinan perangkat lunak perusahaan — dan
seharusnya — hukuman bagi analis staf di kantor penjualan jarak jauh atau manajer
senior di kantor pusat perusahaan harus sama. Dengan asumsi mereka berdua
membaca larangan dalam kode dan mengakui penerimaan, hukuman untuk
pelanggaran harus konsisten. Kalau tidak, mungkin ada suasana di mana aturan
tampaknya hanya berlaku untuk beberapa orang. Ini mendukung prinsip integritas
dan nilai-nilai etika COSO.
4.3 LINGKUNGAN PENGENDALIAN PRINSIP 2: PERAN DIREKSI
Lingkungan kontrol sangat dipengaruhi oleh tindakan dewan direksi perusahaan dan
komite auditnya, dengan prinsip "Pastikan bahwa dewan menjalankan tanggung jawab
pengawasan."
Pada tahun-tahun sebelum Sarbanes-Oxley Act (SOx), dewan dan komite audit
mereka sering didominasi oleh manajemen senior di dalam direktur, seringkali
dengan perwakilan terbatas dari luar, anggota dewan minoritas. Ini menciptakan
situasi di mana dewan tidak sepenuhnya independen dari manajemen. Pejabat
perusahaan duduk di dewan dan pada dasarnya mengelola diri mereka sendiri,
seringkali dengan kurang memperhatikan investor luar. SOx mengubah ini dan
mengharuskan komite audit benar-benar independen. Dewan yang aktif dan
independen merupakan komponen penting dari lingkungan kontrol COSO. Dengan
menetapkan kebijakan tingkat tinggi dan dengan meninjau perilaku perusahaan
secara keseluruhan, dewan dan komite auditnya memiliki tanggung jawab utama
untuk menetapkan nada di atas.
Dewan independen harus memiliki hubungan dekat dengan manajemen senior
untuk memastikan operasi perusahaan yang efektif dan sukses serta lingkungan
pengendalian internal yang kuat. Dewan direksi dan komite auditnya harus
mengidentifikasi dan memahami harapan pemangku kepentingan, termasuk
pelanggan, karyawan, investor, dan masyarakat umum, serta persyaratan hukum dan
peraturan perusahaan. Harapan ini harus membantu membentuk tujuan perusahaan
dan tanggung jawab pengawasan dewan. Kegiatan dewan direksi berikut dapat
membantu manajemen dalam mencegah apakah prinsip lingkungan pengendalian
COSO ini ada dan berfungsi.
■
Tetapkan tanggung jawab pengawasan. Dewan direksi harus mengidentifikasi
dan menerima tanggung jawab pengawasannya sehubungan dengan persyaratan
hukum yang ditetapkan dan harapan pemangku kepentingan, investor, dan publik.
■
Terapkan keahlian yang relevan. Dewan direksi harus mendefinisikan,
memelihara, dan secara berkala mengevaluasi keterampilan dan keahlian yang
dibutuhkan di antara anggotanya untuk memungkinkan mereka mengajukan
pertanyaan menyelidik dari manajemen senior dan mengambil tindakan yang
sepadan.
4.4 Lingkungan Pengendalian Prinsip 3: Kebutuhan Otoritas dan Tanggung 65
Jawab ■
■
Beroperasi secara independen. Dewan direksi harus memiliki anggota yang
cukup yang independen dari manajemen dan objektif dalam evaluasi dan
pengambilan keputusan mereka.
■
Memberikan pengawasan untuk sistem pengendalian internal. Dewan
direksi harus mempertahankan tanggung jawab pengawasan untuk
pengembangan manajemen dan performance pengendalian internal.
Dewan direksi harus meninjau dan menyetujui kebijakan dan praktik yang
mendukung kinerja pengendalian internal di seluruh perusahaan dalam pertemuan
rutin antara manajemen dan dewan. Proses dan struktur yang sangat relevan dengan
komite audit dewan adalah proses yang memberikan pengawasan terhadap sistem
pengendalian internal, dan upaya bersama dewan dan manajemen senior dapat
menunjukkan bahwa prinsip lingkungan pengendalian internal ini ada dan berfungsi.
4.4 LINGKUNGAN PENGENDALIAN PRINSIP 3:

KEBUTUHAN OTORITAS DAN TANGGUNG JAWAB
Manajemen harus menetapkan, dengan pengawasan dewan yang tepat, struktur, jalur
pelaporan, dan wewenang dan tanggung jawab yang tepat dalam mengejar tujuan
pengendalian internalnya. Harus ada struktur organisasi untuk merencanakan,
melaksanakan, mengendalikan, dan secara berkala menilai kegiatan perusahaan
secara keseluruhan. Tujuan lingkungan kontrol ini adalah untuk menyediakan
akuntabilitas dan arus informasi yang jelas di dalam dan di seluruh perusahaan secara
keseluruhan dan semua subunitnya.
Untuk menentukan bahwa prinsip pengendalian internal perusahaan ini
berfungsi, manajemen dan dewan direksi harus mempertimbangkan beberapa unit
operasi, badan hukum, lokasi geografis, dan penyedia layanan outsourcing di
perusahaan untuk mendukung pencapaian tujuan pengendalian internal ini. Dengan
perusahaan internasional yang kompleks saat ini, dengan beberapa perjanjian antara
unit operasi dan penyedia luar, ini bisa menjadi campuran yang kompleks, tetapi
manajemen kemudian harus merancang dan mengevaluasi jalur pelaporan untuk
setiap struktur entitas untuk memungkinkan pelaksanaan wewenang dan tanggung
jawab dan aliran informasi untuk mengelola kegiatan entitas.
Banyak perusahaan dari semua jenis dan ukuran saat ini telah merampingkan
operasi mereka dan mendorong otoritas pengambilan keputusan mereka ke bawah
dan lebih dekat ke personel garis depan. Lingkungan kontrol yang kuat mengatakan
bahwa karyawan garis depan harus memiliki pengetahuan dan kekuatan untuk
membuat keputusan yang tepat di area operasi mereka sendiri daripada diminta untuk
meneruskan permintaan keputusan melalui saluran perusahaan yang lebih senior.
Tantangan kritis yang menyertai delegasi atau pemberdayaan ini adalah bahwa
meskipun mereka dapat mendelegasikan beberapa wewenang untuk mencapai tujuan,
manajemen senior pada akhirnya bertanggung jawab atas keputusan yang dibuat oleh
bawahan tersebut. Suatu perusahaan dapat menempatkan dirinya pada risiko jika
terlalu banyak keputusan yang melibatkan tujuan tingkat yang lebih tinggi ditugaskan
pada tingkat yang lebih rendah secara tidak tepat tanpa tinjauan manajemen yang
memadai. Selain itu, setiap orang di perusahaan harus memiliki pemahaman yang
baik tentang keseluruhan perusahaan
Jawab ■
tujuan serta bagaimana tindakan individu saling berhubungan untuk mencapai tujuan
tersebut. Manajemen enterprise harus mengakui bahwa komponen lingkungan kontrol
dari kerangka COSO ini sangat dipengaruhi oleh sejauh mana individu mengakui bahwa
mereka akan dimintai pertanggungjawaban. Hal ini berlaku untuk semua anggota
perusahaan, dari anggota staf sampai ke kepala eksekutif, yang memiliki tanggung
jawab utama untuk semua kegiatan dalam suatu entitas, termasuk sistem
pengendalian internal.
4.5 LINGKUNGAN PENGENDALIAN PRINSIP 4: KOMITMEN

TERHADAP TENAGA KERJA YANG KOMPETEN
Perusahaan harus menunjukkan komitmen untuk menarik, mengembangkan, dan

mempertahankan individu yang kompeten sejalan dengan tujuannya. Prinsip
lingkungan kontrol COSO ini membutuhkan kebijakan dan langkah-langkah yang
memenuhi syarat pemangku kepentingan untuk melaksanakan tanggung jawab yang
ditugaskan kepada mereka, dan itu membutuhkan keterampilan dan keahlian yang
relevan, yang sebagian besar diperoleh dari pengalaman profesional, pelatihan, dan
sertifikasi. Komitmen terhadap kompetensi dinyatakan dalam sikap dan perilaku
individu dalam melaksanakan tanggung jawabnya. Fungsi sumber daya manusia
sering dapat membantu menentukan tingkat kompetensi dan kepegawaian
berdasarkan peran pekerjaan, memfasilitasi pelatihan dan memelihara catatan
penyelesaian serta mengevaluasi relevansi dan kecukupan pengembangan profesional
individu dalam kaitannya dengan kebutuhan perusahaan. Prinsip COSO ini sedikit lebih
kuat pada masalah kompetensi individu daripada fungsi sumber daya manusia
perusahaan yang khas saat ini, yang seringkali lebih terbungkus dalam hal-hal seperti
masalah keragaman daripada masalah dengan keterampilan karyawan. Prinsip
lingkungan pengendalian ini menuntut perusahaan untuk menentukan persyaratan
kompetensi mereka sesuai kebutuhan untuk mendukung pencapaian tujuan
pengendalian internal mereka, dengan pertimbangan diberikan kepada:
■
Kebutuhan pengetahuan, keterampilan, dan pengalaman
■
Sifat dan tingkat penilaian dan keterbatasan wewenang untuk diterapkan pada
posisi tertentu
■
Analisis biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman
■
Trade-off antara tingkat pengawasan dan tingkat kompetensi yang diperlukan
dari masing-masing karyawan
Topik-topik yang tercantum menimbulkan beberapa masalah sulit yang

seringkali tidak benar-benar dipertimbangkan oleh manajemen ketika mengevaluasi
karyawan mereka. Lingkungan kontrol ditingkatkan ketika kita hanya memiliki orang
yang tepat dalam pekerjaan yang tepat.
Prinsip ini selanjutnya mengatakan bahwa dewan direksi harus mengevaluasi
kompetensi CEO, dan pada gilirannya, manajemen harus mengevaluasi kompetensi
di seluruh perusahaan dan penyedia layanan outsourcing dalam kaitannya dengan
kebijakan dan prosedur yang ditetapkan serta bertindak seperlunya untuk mengatasi
kekurangan atau ekses. Panduan COSO pendukung menggunakan contoh bahwa
portofolio risiko yang berubah dapat menyebabkan perusahaan mengalihkan sumber
daya ke area bisnis yang membutuhkan perhatian lebih besar. Di sini, ketika
Jawab ■ suatu
perusahaan membawa produk baru ke pasar, ia dapat memilih
4.6 Lingkungan Pengendalian Prinsip 5: Meminta 67
Pertanggungjawaban Orang ■
Untuk meningkatkan staf dalam tim penjualan dan pemasarannya, atau ketika
peraturan baru yang berlaku dikeluarkan, ia dapat fokus pada individu-individu yang
bertanggung jawab atas implementasinya. Kekurangan mungkin timbul berkaitan
dengan tingkat kepegawaian, keterampilan, keahlian, atau kombinasi dari faktor-
faktor tersebut. Manajemen bertanggung jawab untuk bertindak atas kekurangan
tersebut secara tepat waktu.
Kata kunci dalam prinsip ini dan yang lainnya adalah menunjukkan. Dalam
semua kasus, manajemen harus mengambil langkah-langkah untuk menerapkan
prinsip kontrol. Hal ini penting bagi auditor internal, yang sebagai bagian dari
tinjauan mereka harus mencari apa yang telah dilakukan unit perusahaan untuk
menerapkan beberapa prinsip pengendalian internal.
4.6 LINGKUNGAN PENGENDALIAN PRINSIP 5:

MEMINTA PERTANGGUNGJAWABAN ORANG
Manajemen dan dewan direksi harus menetapkan mekanisme untuk berkomunikasi

dan meminta pertanggungjawaban individu atas kinerja tanggung jawab
pengendalian internal di seluruh organisasi dan menerapkan tindakan korektif yang
diperlukan. Sebagai bagian dari ini, mereka harus menetapkan ukuran kinerja,
insentif, dan imbalan lain yang sesuai untuk tanggung jawab di semua tingkat entitas,
yang mencerminkan dimensi kinerja yang sesuai dan standar perilaku dan kinerja yang
diharapkan.
Secara khusus, dewan direksi pada akhirnya meminta pertanggungjawaban CEO
untuk kontrol internal dalam pencapaian tujuan perusahaan, dan CEO dan
manajemen senior lainnya pada gilirannya bertanggung jawab untuk merancang,
mengimplementasikan, melakukan, dan mengevaluasi secara periodik apakah
struktur, wewenang, dan tanggung jawab yang ditetapkan menetapkan akuntabilitas
untuk pengendalian internal di semua tingkat perusahaan. Akuntabilitas di sini
mengacu pada tingkat kepemilikan dan komitmen terhadap kinerja pengendalian
internal dalam mengejar tujuan. Manajemen dan dewan harus menetapkan
mekanisme untuk berkomunikasi dan meminta pertanggungjawaban personel atas
kinerja tanggung jawab pengendalian internal mereka di seluruh perusahaan dan
harus mengambil tindakan korektif yang tepat jika diperlukan.
Akuntabilitas untuk pengendalian internal saling berhubungan dengan
kepemimpinan, dan pesan kepemimpinan nada di atas serta pesan manajemen terkait
di seluruh perusahaan harus kuat di mana tanggung jawab pengendalian internal
dipahami, dilakukan, dan diperkuat. Namun, seperti yang disarankan oleh prinsip COSO
ini, orang harus bertanggung jawab atas tindakan mereka. Terlalu sering hari ini, kita
menghadapi situasi di mana tidak ada yang ditunjuk untuk bertanggung jawab.
Manajer senior mungkin melihat problem pengendalian internal, dan jika dampaknya
relatif kecil, mereka akan memutar mata dan mengatakan bahwa itu adalah masalah
staf yang tidak berpengalaman dan tidak melakukan apa-apa. Demikian pula, personil
tingkat staf dapat menyalahkan masalah yang sama pada manajemen mereka tetapi
tidak mengambil langkah untuk menunjukkan keprihatinan mereka kepada
manajemen atau petisi untuk revisi atau perubahan.
Prinsip pengendalian internal COSO ini menekankan bahwa manajemen dan semua
tingkatan perusahaan harus meminta orang bertanggung jawab atas manajemen
pengendalian internal serta semua
Pertanggungjawaban Orangkekuatan
■ dan kelemahan terkait. Ini adalah konsep
penting yang terlalu sering kita abaikan, dan prinsip pengendalian internal yang
penting.
Pertanggungjawaban Orang ■
4.7 PENILAIAN RISIKO PRINSIP 6: MENENTUKAN

TUJUAN YANG TEPAT
Penilaian risiko, elemen kunci dalam kerangka pengendalian internal COSO,

didefinisikan di sini sebagai kemungkinan bahwa suatu peristiwa dapat terjadi yang
akan berdampak buruk pada pencapaian beberapa tujuan perusahaan. Manajemen
risiko pengendalian internal mempengaruhi kemampuan perusahaan untuk berhasil,
bersaing secara efektif dalam industrinya, mempertahankan kekuatan finansial dan
reputasi positifnya, dan menjaga kualitas keseluruhan produk, layanan, dan orang-
orangnya. Selalu ada beberapa risiko dalam setiap kegiatan bisnis dan tidak ada cara
praktis untuk mengurangi semuanya. Manajemen, bagaimanapun, harus menentukan
berapa banyak risiko yang harus diterima secara hati-hati dan berusaha untuk
mempertahankan risiko dalam batas-batas ini, di bawah berapa banyak toleransi yang
dimilikinya untuk melebihi tingkat risiko targetnya.
Kita semua menghadapi berbagai risiko, beberapa secara teratur mungkin dan
yang lain tidak masuk akal. Yang terakhir mengacu pada peristiwa sekali dalam
seribu tahun seperti banjir besar atau gempa bumi. Ya, mereka mungkin terjadi pada
suatu waktu di masa depan, tetapi menetapkan tujuan dan praktik perbaikan potensial
seringkali bernilai kecil. Sebaliknya, manajemen serta audit internal harus bertanya
pada diri sendiri situasi potensial apa yang mengkhawatirkan mereka dalam waktu
yang relatif dekat. Ini dapat membentuk dasar untuk menetapkan serangkaian tujuan
risiko.
Misalnya, produsen produk teknis mungkin memiliki tujuan untuk meluncurkan
produk baru, menggunakan teknologi yang berkembang yang mungkin menghadapi
beberapa pesaing kuat di pasar yang sangat kompetitif harga, dan dengan beberapa
ketidakpastian tentang apakah pasar akan menerima produk sebanyak yang
diharapkan. Jenis skenario ini dapat memperkenalkan sejumlah besar potensi risiko
dan harus diidentifikasi dan didokumentasikan.
4.8 PENILAIAN RISIKO PRINSIP 7: MENGIDENTIFIKASI DAN

MENGANALISIS RISIKO
Manajemen perusahaan dengan dukungan audit internal harus berusaha untuk

mengidentifikasi semua kemungkinan risiko pengendalian internal yang dapat
berdampak pada perusahaan, mulai dari risiko yang lebih besar atau lebih signifikan
hingga risiko yang kurang besar yang terkait dengan proyek individu atau unit bisnis
yang lebih kecil. Proses identifikasi risiko memerlukan pendekatan yang dipelajari
dan disengaja untuk melihat potensi risiko di setiap area operasi dan kemudian
mengidentifikasi area risiko yang lebih signifikan yang dapat berdampak pada setiap
operasi dalam periode waktu yang wajar. Idenya bukan hanya untuk membuat daftar
setiap risiko yang mungkin tetapi untuk mengidentifikasi risiko yang mungkin
berdampak pada operasi, dengan beberapa tingkat probabilitas, dalam jangka waktu
yang wajar. Ini bisa menjadi latihan yang sulit karena kita sering tidak tahu
probabilitas risiko yang terjadi atau sifat konsekuensinya jika perusahaan harus
menghadapi risiko.
Sementara fokus COSO adalah pada pelaporan keuangan eksternal, proses
identifikasi risiko harus terjadi pada berbagai tingkatan dalam suatu perusahaan.
Risiko yang berdampak pada
Pertanggungjawaban unit ■bisnis atau proyek individu mungkin tidak
Orang
memiliki dampak yang besar pada seluruh perusahaan atau di luarnya. Sebaliknya,
risiko besar yang berdampak pada seluruh ekonomi akan mengalir ke perusahaan
individu dan unit bisnis yang terpisah.
Sementara mengidentifikasi dan menganalisis risiko harus menjadi proses
berulang yang berkelanjutan yang dilakukan untuk meningkatkan kemampuan
perusahaan untuk mencapai tujuannya, itu adalah area penting
4.9 Prinsip Penilaian Risiko 8: Mengevaluasi Risiko 69
Penipuan ■
yang harus dipertimbangkan sebagai bagian dari perencanaan audit internal, sebagaimana
dibahas dalam Bab
8. Meskipun suatu perusahaan mungkin tidak secara eksplisit menyatakan semua
tujuan terkait risikonya, ini tidak berarti bahwa tujuan tersirat adalah tanpa risiko
internal atau eksternal, dan perusahaan harus mempertimbangkan semua risiko yang
mungkin terjadi.
Agar efektif, proses identifikasi risiko perusahaan harus didukung oleh berbagai
kegiatan, teknik, dan mekanisme, masing-masing relevan dengan penilaian risiko
secara keseluruhan. Manajemen harus mempertimbangkan risiko ini di semua
tingkatan dan mengambil langkah-langkah yang diperlukan untuk mengelolanya.
Penilaian risiko harus mempertimbangkan faktor-faktor yang mempengaruhi tingkat
keparahan, kecepatan, dan persistensi risiko, kemungkinan hilangnya aset, dan dampak
terkait pada operasi, pelaporan, dan kegiatan kepatuhan. Selain itu, baik audit internal
maupun perusahaan secara keseluruhan perlu memahami toleransi perusahaan untuk
menerima risiko dan kemampuannya untuk beroperasi dalam tingkat risiko tersebut.
Prinsip identifikasi dan analisis risiko COSO menyerukan pertimbangan semua
risiko dalam suatu perusahaan, termasuk subunit dan fungsi operasionalnya, seperti
keuangan, sumber daya manusia, pemasaran, produksi, pembelian, dan pengelolaan
TI. Selain itu, proses ini harus mempertimbangkan risiko internal dan eksternal yang
berasal dari penyedia layanan outsourcing, pemasok utama, dan mitra saluran yang
secara langsung atau tidak langsung berdampak pada pencapaian tujuan perusahaan.
Dalam melakukan penilaian risiko ini, manajemen harus mempertimbangkan tingkat
perubahan dalam menentukan frekuensi proses penilaian risiko. Sementara penilaian
risiko adalah proses yang dinamis, perusahaan harus menggunakan kombinasi
penilaian risiko yang sedang berlangsung dan berkala. Audit internal dapat
memainkan peran penting di sini baik dalam perencanaan audit internal berbasis
risiko maupun identifikasi area risiko potensial sebagai bagian dari audit internal di
lokasi lapangan.
4.9 PENILAIAN RISIKO PRINSIP 8: MENGEVALUASI

RISIKO PENIPUAN
Seperti yang telah kita bahas di Bab 3, auditor internal di masa lalu memiliki
keterlibatan minimal dengan masalah terkait kecurangan, tetapi ini telah sangat
banyak berubah. Auditor internal sering berada dalam posisi yang sangat baik untuk
mengevaluasi risiko kecurangan karena kegiatan peninjauan mereka yang sedang
berlangsung di seluruh perusahaan. Proses deteksi dan pencegahan penipuan akan
dibahas lebih menyeluruh dalam Bab 27, dan merupakan prinsip pengendalian
internal COSO yang penting.
Penilaian risiko penipuan adalah proses yang harus digunakan perusahaan untuk
menentukan eksposurnya terhadap penipuan internal dan eksternal. Penilaian harus
meninjau operasi dan kontrol, termasuk kebijakan dan prosedur, untuk menentukan
di mana ada kesenjangan yang memungkinkan seseorang atau sekelompok orang
untuk melakukan penipuan terhadap perusahaan. Penilaian risiko penipuan kemudian
harus melihat bidang-bidang utama perusahaan untuk menentukan apakah tindakan
telah diambil yang akan mengingatkan manajemen terhadap penipuan atau untuk
secara efektif mencegah pelaksanaan penipuan. Setiap perusahaan memiliki tingkat
risiko dan teknik mitigasi
Penipuanyang berbeda tergantung pada industri mereka. Perusahaan
■
manufaktur dengan persediaan nilai unit tinggi memiliki risiko yang berbeda dari
perusahaan teknologi perangkat lunak dengan kekayaan intelektual yang berharga.
Perusahaan ritel dengan toko memiliki seperangkat yang berbeda
Penipuan ■
Identifikasi unit bisnis, lokasi, atau proses untuk dinilai
Memantau dan mengkategorikan

Risiko dan kejadian penipuan dan pelanggaran
Mengevaluasi risiko berdasarkan kemungkinan dan signifikansi

terjadinya
Remediasi risiko melalui optimalisasi kontrol
PAMERAN 4.3 Penilaian Risiko Penipuan
risiko daripada perusahaan jasa profesional. Setiap penilaian risiko perlu disesuaikan
dengan organisasi dan risiko spesifik yang dihadapinya. Bukti 4.3 menunjukkan
proses penilaian risiko penipuan umum ini.
Auditor internal mengalami banyak masalah kesadaran dan potensi masalah
penipuan dalam tinjauan terjadwal mereka yang sedang berlangsung. Mereka juga
biasanya terlibat dalam tinjauan tingkat transaksi yang jauh lebih rinci daripada rekan-
rekan audit eksternal mereka dan melihat dokumen atau transaksi yang dipertanyakan
lebih sering. Jika manajemen merasa mungkin ada potensi kecurangan di perusahaan,
langkah pertama hampir selalu untuk con-tact audit internal, yang juga akan memiliki
beberapa koneksi dan komunikasi dengan departemen hukum perusahaan. Mereka
dapat mendiskusikan potensi kekhawatiran di sana dan mendapatkan pendapat cepat
tentang apakah beberapa kekhawatiran memerlukan lebih banyak perhatian. Jika ada
tanda-tanda kuat penipuan aktif, hukum perusahaan hampir selalu siap untuk terjun
ke masalah ini dan membantu.
Standar IIA menekankan bahwa audit internal memiliki peran terkait deteksi dan
pencegahan kecurangan, tetapi tanggung jawab utama jatuh pada manajemen.
Meskipun ini terdengar sederhana dalam teori, masalahnya terletak pada
mengkomunikasikan pesan itu kepada manajemen. Evaluasi risiko kecurangan
merupakan prinsip pengendalian internal yang penting.
4.10 Prinsip Penilaian Risiko 9 ■ 71
4.10 PENILAIAN RISIKO PRINSIP 9: MENGIDENTIFIKASI

PERUBAHAN YANG MEMPENGARUHI PENGENDALIAN
INTERNAL
Prinsip-prinsip penilaian risiko bernilai kecil jika suatu perusahaan melalui analisis
ekstensif untuk mengidentifikasi risiko tetapi kemudian pada dasarnya tidak
mengambil tindakan untuk mengurangi risiko yang diidentifikasi. Ini benar-benar
membutuhkan rencana respons risiko dengan prinsip akhir untuk penilaian risiko
pengendalian internal COSO:
Mengidentifikasi dan menganalisis perubahan yang secara signifikan dapat
mempengaruhi pengendalian internal. Perusahaan harus mengembangkan strategi
manajemen risiko sebagai bagian dari manajemen risiko mereka.

proses penuaan. Strategi manajemen risiko membahas bagaimana suatu perusahaan
bermaksud untuk
Menilai risiko yang teridentifikasi, merencanakan respons, dan memantau risiko
tersebut — membuat persepsi risiko yang eksplisit dan transparan yang digunakan
perusahaan secara rutin dalam membuat keputusan investasi dan operasional. Strategi
identifikasi dan analisis risiko adalah bagian penting dari manajemen risiko
perusahaan.
Strategi respons adalah komponen kunci dari pengendalian internal COSO.
Setelah potensi signifikansi risiko telah dinilai, manajemen harus mempertimbangkan
bagaimana risiko tersebut harus dikelola. Ini sering melibatkan penilaian berdasarkan
asumsi tentang risiko dan analisis yang masuk akal dari biaya yang terkait dengan
pengurangan tingkat risiko. Manajemen harus mempertimbangkan untuk bertindak
berdasarkan masing-masing dari empat strategi respons risiko dasar yang dibahas
dalam Bab 3: penghindaran, pengurangan, berbagi, dan penerimaan risiko.
Manajemen harus mengembangkan strategi respons risiko umum untuk masing-
masing risikonya dengan menggunakan pendekatan yang dibangun di sekitar salah
satu dari empat strategi umum ini. Dengan demikian, harus mempertimbangkan
biaya versus manfaat dari setiap respons risiko potensial untuk menyelaraskannya
dengan selera risiko perusahaan secara keseluruhan. Misalnya, pengakuan
perusahaan bahwa dampak risiko yang diberikan relatif rendah akan diimbangi
dengan toleransi risiko rendah yang menunjukkan bahwa asuransi harus dibeli untuk
memberikan respons risiko potensial. Untuk banyak risiko, respons yang tepat jelas
dan hampir dipahami secara universal. Operasi TI, misalnya, menghabiskan waktu
dan sumber daya untuk mencadangkan file data utamanya dan menerapkan rencana
kesinambungan bisnis. Seharusnya tidak ada pertanyaan mengenai pendekatan dasar
ini, tetapi berbagai tingkat manajemen mungkin mempertanyakan frekuensi proses
pencadangan atau seberapa sering rencana kontinuitas perlu diuji.
Suatu perusahaan pada titik ini harus kembali ke beberapa tujuan risiko yang
telah ditetapkan serta rentang toleransi untuk tujuan tersebut. Kemudian harus
mengatasi kemungkinan dan dampak yang terkait dengan masing-masing risiko
yang diidentifikasi dalam tujuan risiko tersebut untuk mengembangkan penilaian
terhadap kedua katego-katego risiko tersebut serta penilaian keseluruhan dari respons
risiko yang direncanakan dan bagaimana risiko tersebut akan selaras dengan toleransi
risiko perusahaan secara keseluruhan. Pesan dasarnya di sini adalah bahwa suatu
perusahaan memerlukan rencana respons risiko secara keseluruhan agar dapat
dikeluhkan dengan kerangka pengendalian internal COSO-nya.
4.11 AKTIVITAS PENGENDALIAN PRINSIP 10: MEMILIH AKTIVITAS

PENGENDALIAN YANG MENGURANGI RISIKO
Prinsip aktivitas pengendalian COSO yang penting ini menyatakan bahwa, sebagai
bagian dari lingkungan pengendalian internal secara keseluruhan, suatu perusahaan
harus memilih dan mengembangkan aktivitas pengendalian yang berkontribusi pada
mitigasi risiko pengendalian internal untuk pencapaian tujuan mereka ke tingkat yang
dapat diterima. Kegiatan pengendalian mencakup tindakan yang memastikan bahwa
tanggapan terhadap risiko yang dinilai, serta arahan manajemen lainnya — seperti
menetapkan kode etik perusahaan — dilakukan dengan benar dan tepat waktu.
Karena setiap perusahaan memiliki seperangkat tujuan dan pendekatan
implementasinya sendiri, akan selalu ada perbedaan dalam tujuan, risiko, tanggapan,
dan kegiatan pengendalian terkait. Setiap perusahaan dikelola oleh orang yang
berbeda dengan keterampilan yang berbeda yang menggunakan teknik masing-
masing dalam mempengaruhi pengendalian internal. Selain itu, kontrol
mencerminkan lingkungan dan industri di mana perusahaan beroperasi serta
kompleksitas organisasinya, sejarahnya, budaya, dan ruang lingkup operasinya.
Faktor-faktor spesifik perusahaan dapat mempengaruhi kegiatan pengendalian yang
diperlukan untuk mendukung sistem pengendalian internal mereka:
■
Lingkungan dan kompleksitas perusahaan serta sifat dan ruang lingkup
operasinya, baik secara fisik maupun logis, semuanya dapat mempengaruhi
aktivitas pengendalian perusahaan.
■
Perusahaan yang sangat diatur umumnya memiliki respons risiko dan aktivitas
kontrol yang lebih kompleks daripada entitas yang kurang diatur.
■
Ruang lingkup dan sifat respon risiko dan kegiatan pengendalian untuk
perusahaan multinasional dengan operasi yang beragam umumnya menangani
struktur pengendalian internal yang lebih kompleks daripada perusahaan
domestik dengan kegiatan yang kurang bervariasi.
■
Perusahaan dengan sistem perencanaan sumber daya perusahaan yang cukup
canggih, seperti yang dibahas lebih lanjut di bagian berikut, akan memiliki
aktivitas kontrol yang berbeda dari yang menggunakan sistem TI yang kurang
canggih.
■
Sebuah perusahaan dengan operasi terdesentralisasi dan penekanan pada
otonomi lokal dan inovasi menyajikan lingkungan kontrol yang berbeda dari
yang lain yang operasinya konstan dan sangat terpusat.
Poin sebelumnya menyoroti masalah yang jelas mengenai kerangka pengendalian

internal COSO. Ketika membangun proses pengendalian internal, suatu perusahaan
selalu perlu memikirkan ukuran relatif dan kompleksitas perusahaan. Satu ukuran
tidak cocok untuk semua, dan manajemen harus mempertimbangkan ukuran relatif
perusahaan dan harus membuat akomodasi pengendalian internal berdasarkan ukuran
relatif dan pertimbangan lingkungan operasi lainnya.
Pemilihan dan pengembangan kegiatan pengendalian perusahaan yang kuat yang
mengurangi risiko secara keseluruhan merupakan prinsip pengendalian internal
COSO yang penting. Untuk auditor internal, ini akan mengarah pada pengembangan
dan pelaksanaan audit internal yang efektif, seperti yang dibahas dalam Bab 8, serta
kegiatan audit internal lainnya yang ditemukan dalam bab lain.
4.12 Kegiatan Pengendalian Prinsip 11 73
■
4.12 KEGIATAN PENGENDALIAN PRINSIP 11: MEMILIH

DAN MENGEMBANGKAN PENGENDALIAN TEKNOLOGI
COSO menggunakan istilah teknologi dalam prinsip ini, dan dapat mencakup bidang-
bidang seperti robotika manufaktur, instrumen pengujian farmasi, dan pengembangan
produk video elektronik berorientasi konsumen. Semua produk teknologi ini dan
lebih banyak lagi melampaui apa yang biasanya kita sebut sistem TI, dan banyak dari
masalah dan masalah pengendalian internal mereka benar-benar di luar jangkauan
banyak auditor internal. Mengingat keterbatasan ruang di sini, ketika COSO
mereferensikan kontrol teknologi, kami akan merujuk aplikasi sistem TI dan kontrol
umum. Kedua bidang kontrol TI ini mencakup berbagai topik dan dibahas dalam
Bagian Lima buku ini, Bab 19 hingga 24.
Ada banyak jenis kontrol TI terkait teknis, manajemen, dan tata kelola yang
mencakup segala hal mulai dari kebijakan TI manajemen tingkat tinggi hingga proses
kontrol untuk aplikasi tertentu dan bahkan berjalan pada perangkat genggam. Bukti
4.4 menjelaskan keseluruhan hierarki kontrol TI ini, yang sebagian besar akan
dibahas dalam bab-bab lain ke depan. Poin kami di sini adalah bahwa ada satu
prinsip pengendalian internal COSO yang berbicara tentang pentingnya kontrol TI,
tetapi perusahaan memiliki tantangan untuk memilih dan mengembangkan kontrol TI
yang sesuai.
Pemerintahan
Kebijakan
DIA
Standar
Direksi
Manajemen &; Organisasi
Kontrol Fisik dan Lingkungan
Kontrol Perangkat Lunak Sistem
Kontrol Pengembangan Sistem

Teknis
Kontrol Berbasis Aplikasi
PAMERAN 4.4 Hirarki Kontrol TI

■
4.13 KEGIATAN PENGENDALIAN PRINSIP 12: KEBIJAKAN

DAN PROSEDUR
Yang ketiga dari prinsip-prinsip kegiatan kontrol COSO menyerukan perusahaan untuk
menyebarkan kegiatan kontrolnya melalui kebijakan dan prosedur. Kebijakan aktivitas
kontrol menentukan dan menetapkan apa yang diharapkan, dan prosedur menerapkan
kebijakan tersebut. Sementara suatu perusahaan biasanya akan memiliki banyak
kebijakan dan prosedur untuk mencapai tujuannya, kegiatan pengendalian harus
dimulai yang secara khusus berkaitan dengan kebijakan dan prosedur tersebut dan
berkontribusi pada mitigasi risiko untuk pencapaian tujuan pada tingkat yang dapat
diterima. Sebuah kebijakan harus lebih dari sekedar CEO yang mengatakan bahwa
dia umumnya ingin melakukan sesuatu atau mengambil tindakan tanpa rincian yang
lebih spesifik. Dalam melalui proses peninjauan dan persetujuan formal, perusahaan
harus menerbitkan pernyataan yang menguraikan niat manajemen untuk menerapkan
beberapa kebijakan atau mengambil beberapa tindakan. Sering dipublikasikan pada
database layanan pelanggan, kebijakan yang diterbitkan perusahaan harus memiliki
yang berikut
Elemen:
■
Tujuan kebijakan. Harus ada pernyataan tingkat tinggi yang menguraikan
maksud atau tujuan tingkat tinggi dari kebijakan tersebut.
■
Lokasi dan penerapan. Harus ada definisi apakah kebijakan hanya berlaku
untuk beberapa unit atau bersifat global.
■
Peran dan tanggung jawab. Deskripsi harus mencakup semua orang yang terlibat
dalam kebijakan.
Ada banyak gaya dan format pernyataan kebijakan perusahaan, dan dalam
beberapa kasus kebijakan bahkan dapat dikomunikasikan secara lisan selama pesan
pendukung dipahami dengan baik. Kebijakan tidak tertulis dapat efektif di mana
saluran komunikasi melibatkan lapisan manajemen terbatas dan interaksi yang erat
dengan pengawasan personel. Tetapi apakah mereka ditulis atau tidak, kebijakan
harus menetapkan tanggung jawab dan akuntabilitas individu yang jelas dan
dikerahkan dengan tekun dan konsisten oleh personnel yang kompeten. Suatu
prosedur tidak akan berguna jika dilakukan dengan cara menghafal, tanpa fokus yang
tajam dan berkelanjutan pada risiko yang diarahkan oleh kebijakan tersebut.
Elemen kunci dari prinsip aktivitas kontrol ini adalah bahwa perusahaan harus
menerapkan kebijakan yang menetapkan apa yang diharapkan dan prosedur yang
relevan untuk mencerminkan kebijakan ini. Prinsip kegiatan pengendalian ini
memerlukan langkah-langkah tindakan berikut:
■
Menetapkan kebijakan dan prosedur untuk mendukung penyebaran
arahan manajemen. Manajemen harus menetapkan kegiatan pengendalian
yang dibangun ke dalam proses bisnis dan kegiatan sehari-hari karyawan melalui
kebijakan yang menetapkan apa yang diharapkan dan prosedur yang relevan
yang menentukan tindakan tersebut.
■
Menetapkan tanggung jawab dan akuntabilitas untuk melaksanakan
kebijakan dan prosedur . Manajemen harus menetapkan tanggung jawab dan
akuntabilitas untuk semua kegiatan kontrol yang relevan dari perusahaan.
■
Lakukan dengan menggunakan personel
■ yang kompeten. Proses seleksi dan
pelatihan harus dilakukan sedemikian rupa sehingga personel yang kompeten
ditugaskan untuk melakukan kegiatan pengendalian dengan ketekunan dan
fokus.
4.14 Prinsip Informasi dan Komunikasi 13 ■ 75
■
Lakukan tepat waktu. Personil yang bertanggung jawab harus melakukan
kegiatan pengendalian secara tepat waktu sebagaimana didefinisikan oleh
kebijakan dan prosedur perusahaan.
■
Ambil tindakan korektif jika perlu. Personil yang bertanggung jawab harus
menyelidiki dan bertindak atas hal-hal yang diidentifikasi sebagai hasil dari
pelaksanaan kegiatan pengendalian.
■
Menilai kembali kebijakan dan prosedur. Manajemen harus secara berkala
meninjau kegiatan pengendalian untuk menentukan relevansi mereka yang
berkelanjutan dan harus menyegarkannya bila perlu.
4.14 INFORMASI DAN KOMUNIKASI PRINSIP 13: MENGGUNAKAN

INFORMASI YANG RELEVAN DAN BERKUALITAS
Suatu perusahaan harus memperoleh dan menggunakan informasi yang relevan dan
berkualitas untuk mendukung fungsi komponen pengendalian internalnya. Informasi
diperlukan bagi suatu perusahaan untuk melaksanakan tanggung jawab pengendalian
internalnya dalam mendukung pencapaian tujuan. Informasi tentang tujuan
perusahaan harus dikumpulkan dari dewan direksi dan kegiatan manajemen senior
dan diringkas sedemikian rupa sehingga manajemen lini dan orang lain dapat
memahami tujuan ini dan peran mereka dalam pencapaian mereka. Masalah
komunikasi ini sering merupakan jenis masalah dasar "Manajemen 101", di mana
kita harus selalu ingat bahwa informasi yang relevan adalah komponen kunci dari
kontrol internal yang efektif. Manajemen senior, spesialis TI, auditor internal, dan
lainnya, yang bekerja sebagai tim, harus mensurvei sumber daya input dan output
informasi manajemen operasional dan keuangan masa lalu untuk mengidentifikasi
dan mendefinisikan persyaratan informasi yang relevan dengan lebih baik.
Memperoleh informasi yang relevan, sebagaimana didefinisikan dalam materi
panduan COSO, mengharuskan manajemen untuk mengidentifikasi dan
mendefinisikan persyaratan informasi pada tingkat detail dan spesifisitas yang kuat.
Mengidentifikasi persyaratan informasi adalah proses berulang dan berkelanjutan
yang terjadi di seluruh kinerja sistem pengendalian internal yang efektif.
Persyaratan informasi ditetapkan melalui kegiatan yang dilakukan untuk
mendukung elemen atau komponen pengendalian internal lainnya. Persyaratan ini
memfasilitasi dan mengarahkan manajemen dan personel lain untuk mengidentifikasi
sumber informasi dan data yang relevan dan andal. Jumlah informasi dan data dasar
yang tersedia untuk manajemen seringkali lebih dari yang dibutuhkan karena
peningkatan sumber informasi dan kemajuan dalam pengumpulan, pemrosesan, dan
penyimpanan data. Dalam kasus lain, data mungkin sulit diperoleh pada tingkat yang
relevan atau kekhususan yang diperlukan. Oleh karena itu, pemahaman yang jelas
tentang persyaratan informasi yang didefinisikan COSO mengarahkan manajemen
dan personel lain untuk mengidentifikasi sumber informasi dan data yang relevan dan
andal.
Informasi dari Sumber Relevan

Dengan meningkatnya penggunaan video, suara, dan komunikasi melalui Internet
dan sumber tanpa kabel, selain laporan cetak yang lebih tradisional, informasi
internal dan eksternal diterima dari berbagai sumber dan dalam berbagai bentuk dan
format. Exhibit 4.5 menunjukkan beberapa contoh jenis informasi yang ditemui
manajemen perusahaan secara teratur.
PAMERAN 4.5 Informasi dari Sumber Relevan Contoh
Info. Sumber Contoh Informasi yang Relevan Data Contoh
Intern Senior atau pengawas

Komunikasi Manajemen Perubahan organisasi
Intern Inspeksi Laporan dari

lantai produksi. Informasi produksi online dan berkualitas
Intern Laporan audit internal Temuan

dan rekomendasi Tindakan korektif yang direncanakan
berdasarkan temuan audit
Intern Personel Sistem pelaporan waktu Jam dikeluarkan pada proyek berbasis waktu
Intern Laporan dari manufaktur
Hasil produksi: jumlah unit yang dikirim
Sistem
Intern Responses to ke survei pelanggan Faktor Memengaruhi pengulangan pelanggan
Pembelian
Intern Pelapor hotline melaporkan
Keluhan tentang perilaku manajemen
Kekhawatiran dan masalah
Eksternal Data dari layanan outsourcing
Produk dikirim dari produsen kontrak
Penyedia
Eksternal Industri Laporan Penelitian Pesaing Informasi Produk
Eksternal Rekan Rilis penghasilan perusahaan Pasar dan metrik industri
Eksternal Pemerintah atau asosiasi Persyaratan baru atau diperluas
perdagangan
Aturan dan standar baru
Eksternal Sosial Media, blog, atau posting lainnya Pendapat Tentang perusahaan
Eksternal Dagang Tampilkan survei dan
Mengembangkan minat dan
komentar yang direkam peserta
preferensi pelanggan
Eksternal Hotline pelapor Klaim penipuan, penyuapan, dll.
Dalam mengelola informasi mereka dari sumber eksternal, manajemen harus

mengesampingkan mereka dalam hal lingkup komprehensif peristiwa potensial,
kegiatan, dan sumber data yang tersedia secara internal dan dari sumber yang dapat
diandalkan, dan memilih yang paling relevan dan berguna untuk struktur organisasi
saat ini, model bisnis, atau objektives. Ketika perubahan pada suatu perusahaan
terjadi, persyaratan informasi mereka juga berubah. Misalnya, perusahaan yang
beroperasi dalam lingkungan bisnis atau ekonomi yang sangat dinamis mungkin
mengalami perubahan terus-menerus, seringkali disebabkan oleh aktivitas pesaing
yang sangat inovatif dan bergerak cepat yang mengubah harapan pelanggan. Selain
itu, jenis perusahaan ini mungkin menghadapi masalah peraturan yang berkembang,
masalah globalisasi, dan tantangan dari inovasi teknologi. Dengan demikian
manajemen harus secara teratur mengevaluasi kembali kebutuhan informasinya dan
menyesuaikan dengan sifat, luas, dan sumber informasi dan data yang mendasarinya
untuk memenuhi kebutuhan yang sedang berlangsung.
Pengolahan Data melalui Sistem Informasi

COSO menggunakan frasa sistem informasi dalam arti yang agak luas, yang berarti
sistem teknologi informasi (TI) dan keseluruhan proses terkait lainnya — baik
manual maupun berbasis TI — untuk menangkap, menganalisis, menyimpan, dan
mendistribusikan semua jenis
informasi bisnis. Perusahaan mengembangkan sistem informasi untuk sumber,

menangkap, dan memproses volume besar data dari sumber internal dan eksternal
menjadi berarti, informasi ditindaklanjuti untuk memenuhi persyaratan informasi
yang ditetapkan. Sistem informasi mencakup kombinasi orang, proses, dan teknologi
yang mendukung proses dasar atau fundamental bisnis yang dikelola secara internal
serta yang didukung melalui hubungan dengan penyedia layanan outsourcing dan
pihak eksternal lainnya.
Informasi dapat diperoleh melalui berbagai bentuk, termasuk input manual atau
kompilasi, atau melalui penggunaan proses TI seperti antarmuka pemrograman
aplikasi tautan otomatis. Percakapan dengan pelanggan, pemasok, regulator, dan
karyawan juga merupakan sumber data dan informasi penting yang diperlukan untuk
mengidentifikasi dan menilai risiko dan peluang. Dalam beberapa kasus, informasi
dan data yang mendasarinya memerlukan kekhususan. Dalam kasus lain, informasi
dapat diperoleh langsung dari sumber internal atau eksternal.
Volume informasi yang dapat diakses oleh suatu perusahaan menghadirkan
peluang dan risiko. Akses yang lebih besar terhadap informasi umumnya akan
meningkatkan kontrol internal. Peningkatan volume informasi dan data yang
mendasarinya, bagaimanapun, dapat menciptakan risiko tambahan seperti risiko
operasional yang disebabkan oleh inefisiensi karena kelebihan data, atau risiko
kepatuhan yang terkait dengan undang-undang dan peraturan seputar perlindungan
data, retensi, privasi, dan masalah keamanan yang timbul dari sifat data yang
disimpan oleh atau atas nama perusahaan.
Sifat dan tingkat kebutuhan informasi, kompleksitas dan volume informasi ini,
dan ketergantungan pada pihak eksternal berdampak pada berbagai kecanggihan
sistem informasi, termasuk tingkat teknologi yang digunakan. Terlepas dari tingkat
kecanggihan yang diadopsi, semua jenis sistem informasi mendukung pemrosesan
transaksi dan data end-to-end yang memungkinkan perusahaan untuk
mengumpulkan, menyimpan, dan meringkas informasi berkualitas dan konsisten di
seluruh proses yang relevan, baik manual, otomatis, atau kombinasi keduanya.
Sistem informasi yang dikembangkan dengan proses yang terintegrasi dan
didukung teknologi memberikan peluang bagi perusahaan untuk meningkatkan
efisiensi, kecepatan, dan aksesibilitas informasi kepada pengguna. Selain itu, sistem
informasi tersebut dapat meningkatkan kontrol internal atas risiko keamanan dan
privasi yang terkait dengan informasi yang diperoleh dan dihasilkan oleh perusahaan.
Sistem informasi harus dirancang dan diimplementasikan untuk membatasi akses ke
informasi hanya bagi mereka yang membutuhkannya dan untuk mengurangi jumlah
titik akses untuk meningkatkan efektivitas migrasi risiko yang terkait dengan
keamanan dan privasi informasi.
Mencapai keseimbangan yang tepat antara manfaat dan biaya untuk memperoleh
dan mengelola informasi dan sistem pendukung merupakan pertimbangan utama
dalam membangun sistem informasi yang memenuhi kebutuhan perusahaan. Prinsip
pengendalian internal COSO ini mengangkat pentingnya semua sistem informasi
perusahaan — baik TI maupun proses lainnya — dalam membangun pengendalian
internal yang efektif. Manajemen perusahaan harus berpikir tentang pentingnya
sistem informasi tidak hanya dalam hal proses, seringkali terutama hanya dikelola
oleh fungsi atau departemen TI, tetapi dalam hal arus informasi perusahaan secara
keseluruhan sebagai kendaraan untuk meningkatkan kontrol internal perusahaan.
4.15 INFORMASI DAN KOMUNIKASI PRINSIP 14: KOMUNIKASI

INTERNAL
Suatu perusahaan harus secara internal mengkomunikasikan informasi pengendalian

internal, termasuk tujuan dan tanggung jawabnya, untuk mendukung fungsi
komponen pengendalian internal lainnya. Didukung oleh manajemen senior,
komunikasi informasi ini harus disampaikan kepada semua elemen di seluruh
perusahaan dan mencakup:
■
Pentingnya, relevansi, dan manfaat pengendalian internal yang efektif
■
Peran dan tanggung jawab manajemen dan personil lainnya dalam melakukan proses
pengendalian internal tersebut
■
Harapan perusahaan untuk berkomunikasi ke atas, ke bawah, dan di setiap matter
signifikansi yang berkaitan dengan pengendalian internal, termasuk contoh
kelemahan, kemunduran, atau ketidakpatuhan
Perusahaan harus menetapkan dan menerapkan kebijakan dan prosedur yang

memfasilitasi komunikasi internal yang efektif. Ini termasuk komunikasi spesifik dan
terarah yang membahas otoritas individu, tanggung jawab, dan standar perilaku di
seluruh perusahaan. Manajemen senior harus mengkomunikasikan tujuan perusahaan
dengan jelas sehingga manajemen dan personel lain, termasuk non-karyawan seperti
kontraktor, memahami peran masing-masing dalam organisasi. Komunikasi semacam
itu terjadi terlepas dari di mana personel berada, tingkat otoritas mereka, atau
tanggung jawab fungsional mereka.
Komunikasi Pengendalian Internal

Komunikasi pengendalian internal dimulai dengan penyampaian dan komunikasi
tujuan. Sebagai manajemen berjenjang komunikasi tujuan spesifik perusahaan di
seluruh organisasi, adalah penting bahwa sub-tujuan terkait atau persyaratan khusus
dikomunikasikan kepada personil dengan cara yang memungkinkan mereka untuk
memahami bagaimana peran dan tanggung jawab mereka berdampak pada
pencapaian tujuan tingkat tinggi perusahaan.
Semua personil juga harus menerima pesan yang jelas dari manajemen senior
bahwa tanggung jawab pengendalian internal mereka harus ditanggapi dengan serius.
Melalui komunikasi tujuan dan sub-tujuan, personil harus memahami bagaimana peran,
tanggung jawab, dan tindakan mereka berhubungan dengan pekerjaan orang lain di
perusahaan, tanggung jawab mereka untuk pengendalian internal, dan apa yang
dianggap sebagai perilaku yang dapat diterima dan tidak dapat diterima. Dengan
menetapkan struktur kontrol, wewenang, dan tanggung jawab yang tepat, komunikasi
kepada personel tentang harapan mereka untuk mempraktikkan dan menerapkan
pengendalian internal yang efektif akan terpengaruh. Namun, komunikasi tentang
tanggung jawab pengendalian internal mungkin tidak cukup untuk memastikan bahwa
manajemen dan personel lainnya merangkul tanggung jawab akuntabilitas mereka dan
merespons sebagaimana dimaksud. Seringkali manajemen harus mengambil tindakan
tepat waktu yang konsisten dengan komunikasi tersebut untuk menegakkan pesan yang
disampaikan.
Selain itu, informasi yang dibagikan melalui komunikasi internal membantu
manajemen dan personel lain untuk mengenali masalah atau potensi masalah,
4.15 Informasi dan Komunikasi Prinsip 14: Komunikasi Internal ■ 79
menentukan penyebabnya, dan mengambil tindakan korektif. Misalnya, departemen

audit internal melakukan audit atas komisi yang dibayarkan kepada distributor di satu
lokasi internasional. Jika audit ini mengungkapkan contoh pelaporan penjualan yang
curang melalui distributor cer-tain dan penyelidikan lebih lanjut memaparkan
pembayaran oleh distributor kepada perwakilan penjualan yang bertanggung jawab
atas distributor terkait, informasi ini akan dipublikasikan oleh departemen audit
internal dalam laporan yang ditujukan kepada dewan dan manajemen senior. Setelah
temuan audit internal telah dikonfirmasi, kelemahan kontrol harus dibagi dengan
manajemen penjualan di lokasi lain, memungkinkan mereka untuk menganalisis
informasi lebih kritis untuk menentukan apakah masalah ini lebih meresap dan untuk
mengambil tindakan yang diperlukan.
Komunikasi antara manajemen dan dewan direksi memberi dewan informasi
yang dibutuhkan untuk melaksanakan tanggung jawab pengawasannya untuk kontrol
internal. Informasi yang berkaitan dengan pengendalian internal yang
dikomunikasikan kepada dewan umumnya harus mencakup hal-hal penting tentang
kepatuhan, perubahan, atau masalah yang timbul dari sistem pengendalian internal.
Frekuensi dan tingkat detail komunikasi kepada manajemen dan dewan direksi harus
cukup untuk memungkinkan anggota dewan memahami hasil penilaian manajemen
yang terpisah dan berkelanjutan serta dampak dari hasil tersebut terhadap pencapaian
tujuan. Selain itu, frekuensi dan tingkat detail harus cukup untuk memungkinkan
dewan direksi menanggapi indikasi kontrol internal yang tidak efektif secara tepat
waktu.
Komunikasi Internal di luar Saluran Normal

Agar informasi mengalir ke atas, ke bawah, dan di seluruh perusahaan, harus ada
saluran komunikasi yang terbuka dan kesediaan yang jelas untuk melaporkan dan
mendengarkan. Manajemen dan personil lainnya harus percaya bahwa atasan mereka
benar-benar ingin tahu tentang masalah terkait kontrol internal dan bahwa mereka
akan menanganinya seperlunya. Dalam kebanyakan kasus, jalur pelaporan normal
yang ditetapkan, seperti bagan organisasi tradisional dalam suatu perusahaan, adalah
saluran komunikasi yang sesuai. Namun, personil biasanya cepat untuk mengambil
sinyal jika manajemen tidak memiliki waktu atau minat untuk menangani masalah
yang telah mereka temukan. Peracikan masalah ini, manajer yang tidak reseptif
mungkin yang terakhir mengetahui bahwa saluran komunikasi normal tidak
beroperasi atau tidak efektif.
Dalam beberapa keadaan, jalur komunikasi terpisah diperlukan untuk
membangun mekanisme gagal-aman untuk komunikasi anonim atau rahasia ketika
saluran normal tidak beroperasi atau tidak efektif. Beberapa perusahaan kecil telah
menyediakan dan membuat karyawan mengetahui saluran untuk komunikasi
semacam itu yang akan diterima oleh anggota dewan, atau anggota komite audit.
Banyak perusahaan besar telah membentuk fungsi etika dan beberapa jenis fungsi
hotline di mana personel di semua tingkatan dapat menghubungi masalah mereka
secara 24/7, dan melaporkannya, mengajukan pertanyaan, atau bahkan bertindak
sebagai pelapor untuk melaporkan beberapa masalah. Penulis ini memainkan peran
utama dalam meluncurkan fungsi etika dan membangun hotline etika untuk korporasi
besar AS beberapa tahun yang lalu, dan sejumlah konsep ini dijelaskan dalam
bukunya tentang kontrol internal SOx.1
4.15 Informasi dan Komunikasi Prinsip 14: Komunikasi Internal ■ 80
Pemangku kepentingan perusahaan harus sepenuhnya memahami bagaimana

saluran komunikasi ini beroperasi dan bagaimana mereka akan dilindungi secara
rahasia untuk penggunaannya. Kebijakan dan prosedur harus ada yang mengharuskan
semua komunikasi melalui saluran ini dinilai, diprioritaskan, dan diselidiki. Prosedur
eskalasi harus ada untuk memastikan bahwa komunikasi yang diperlukan akan
dilakukan kepada anggota dewan yang ditunjuk, kepala audit internal, atau kepala
petugas etika, jika fungsi tersebut ada, yang akan bertanggung jawab untuk
memastikan bahwa penilaian yang tepat waktu dan tepat, investigasi, dan tindakan
yang tepat dilakukan. Mekanisme terpisah ini mendorong karyawan dan pemangku
kepentingan yang berafiliasi untuk melaporkan dugaan pelanggaran kode etik perusahaan
tanpa takut akan pembalasan, dan mengirim pesan yang jelas bahwa manajemen
senior berkomitmen untuk membuka saluran komunikasi dan akan bertindak
berdasarkan informasi yang dilaporkan kepadanya.
Metode Komunikasi
Baik kejelasan dan efektivitas informasi yang dikomunikasikan penting untuk
memastikan bahwa pesan-pesan ini diterima sebagaimana dimaksud. Bentuk
komunikasi aktif seperti pertemuan tatap muka seringkali lebih efektif daripada
bentuk pasif seperti siaran email atau posting Web. Evaluasi berkala terhadap efektivitas
praktik komunikasi perusahaan membantu memastikan bahwa metode ini berhasil. Hal
ini dapat dilakukan melalui berbagai proses yang ada, seperti evaluasi kinerja
karyawan, tinjauan manajemen tahunan, dan program umpan balik.
Manajemen harus memilih metode komunikasi yang tepat, dengan
mempertimbangkan audiens, sifat komunikasi, ketepatan waktu, biaya, dan
persyaratan keamanan dan privasi serta persyaratan hukum atau peraturan. Bukti 4.6
menunjukkan contoh berbagai format komunikasi terkait pengendalian internal.
Tidak satu pun dari ini tentu lebih baik daripada yang lain selama metode yang
dipilih secara tepat mengkomunikasikan pesan yang diinginkan kepada penerima
yang dituju.
Ketika memilih metode atau format untuk komunikasi, manajemen harus
consider lingkungan di mana pesan yang dikirim. Misalnya, perbedaan budaya, etnis,
dan generasi dapat mempengaruhi bagaimana pesan diterima, dan metode
komunikasi harus disesuaikan berdasarkan faktor-faktor tersebut. Terlepas dari
metode komunikasi yang digunakan, manajemen harus mempertimbangkan
persyaratan mereka untuk menyampaikan
EXHIBIT 4.6 Metode Contoh Komunikasi Internal
Jenis Komunikasi Tujuan Khas

Halaman Jaringan Pribadi Kebijakan dan Prosedur
Pesan E-mail Presentasi
Pelatihan Langsung atau Online Posting Situs Web
Twitter atau Facebook Posting Media Sosial
Memorandum Pesan Teks
Diskusi Satu-satu Webcast dan Video
Evaluasi Kinerja Database Karyawan yang
Aman
komunikasi kepada kedua pihak internal, terutama pihak eksternal di mana pesan
tersebut berkaitan dengan kepatuhan terhadap hukum dan peraturan. Mengingat
potensi volume dan kemampuan untuk menyimpan dan mengambil informasi
tersebut, persyaratan komunikasi ini mungkin menantang ketika manajemen
bergantung pada massa e-mail yang terkait dengan komunikasi yang didukung
teknologi real-time. Prinsip-prinsip aktivitas pengendalian atas penyimpanan
informasi pengendalian internal harus mempertimbangkan tantangan kemajuan
teknologi, termasuk teknologi komunikasi dan kolaborasi yang digunakan untuk
mendukung pengendalian internal.
Komunikasi informasi yang berkaitan dengan tanggung jawab pengendalian
internal saja mungkin tidak cukup untuk memastikan bahwa manajemen dan personil
lainnya menerima dan menanggapi sebagaimana dimaksud. Tindakan yang konsisten
dan tepat waktu yang diambil oleh manajemen mengenai komunikasi tersebut
memperkuat pesan yang disampaikan. Dengan teknologi yang selalu berubah,
manajemen saat ini memiliki banyak pilihan dalam pilihan mereka untuk
menyampaikan pesan yang efektif kepada semua personel yang terlibat mengenai
masalah pengendalian internal. Namun, manajemen harus mempertimbangkan
lingkungan dan penerima yang dituju dari pesan-pesan ini, dan menggunakan apa
yang mereka anggap sebagai metode yang lebih efektif mengingat penerima yang
direncanakan.
4.16 INFORMASI DAN KOMUNIKASI PRINSIP 15: KOMUNIKASI

EKSTERNAL
Prinsip COSO penting yang harus ditetapkan dan diterapkan perusahaan adalah kebijakan
dan prosedur yang memfasilitasi komunikasi eksternal yang efektif. Ini termasuk
mekanisme untuk mendapatkan atau menerima informasi dari pihak eksternal dan
untuk membagikan informasi tersebut secara internal, yang memungkinkan
manajemen dan personel lain untuk mengidentifikasi tren, peristiwa, atau keadaan
yang dapat memengaruhi pencapaian tujuan pengendalian internal mereka.
Komunikasi dengan pihak eksternal memungkinkan orang lain untuk dengan
mudah memahami peristiwa, kegiatan, dan keadaan lain yang dapat mempengaruhi
bagaimana mereka harus berinteraksi dengan suatu perusahaan. Komunikasi
manajemen kepada pihak eksternal harus mengirim pesan tentang pentingnya
pengendalian internal dalam perusahaan dengan menunjukkan jalur komunikasi
terbuka. Komunikasi dengan pemasok eksternal dan pelanggan sangat penting untuk
membangun lingkungan kontrol yang tepat dan untuk membantu pihak eksternal ini
memahami nilai-nilai dan budaya perusahaan. Mereka harus diberitahu tentang hal-
hal seperti kode etik organisasi dan mengakui tanggung jawab mereka dalam
membantu memastikan kepatuhan terhadap nilai-nilai ini dan lainnya. Misalnya,
manajemen dapat mendistribusikan kebijakan dan praktik mereka untuk urusan bisnis
dengan vendor atas persetujuan vendor baru dan mungkin mengharuskan vendor
untuk mengakui kepatuhannya sebelum persetujuan pesanan pembelian awal dengan
vendor.
Masalah kompleksitas komunikasi dapat timbul antara perusahaan dan pihak
eksternal melalui penyedia layanan dan pengaturan outsourcing lainnya, usaha
patungan dan aliansi, dan transaksi lain yang menciptakan ketergantungan timbal
balik antara pihak-pihak ini. Kompleksitas semacam itu dapat menimbulkan
kekhawatiran tentang bagaimana bisnis dilakukan di antara para pihak. Dalam hal ini,
perusahaan harus mempertimbangkan untuk membuat saluran komunikasi terpisah
tersedia bagi penyedia layanan eksternal untuk memungkinkan mereka
Berkomunikasi langsung dengan manajemen dan personel lainnya. Misalnya,

penjaga produk yang dikembangkan melalui usaha patungan dapat mengetahui
bahwa salah satu mitra usaha patungan menjual produk di negara yang tidak
disetujui berdasarkan pengaturan usaha patungan. Pelanggaran tersebut dapat
memengaruhi kemampuan pelanggan untuk menggunakan atau menjual kembali
produk, yang berdampak pada bisnis pelanggan tersebut. Perusahaan harus
memfasilitasi saluran di mana ia dapat mengkomunikasikan kekhawatiran kepada
orang lain di perusahaan tanpa mengganggu operasi yang sedang berlangsung.
Mirip dengan komunikasi internal, sarana dimana manajemen harus
berkomunikasi secara eksternal berdampak pada kemampuannya untuk memperoleh
informasi yang dibutuhkan serta untuk memastikan bahwa pesan-pesan kunci tentang
perusahaan diterima dan dipahami. Manajemen harus mempertimbangkan berbagai
bentuk dan metode komunikasi yang digunakan, dengan mempertimbangkan
audiens, sifat komunikasi, ketepatan waktu, dan persyaratan hukum atau peraturan.
Komunikasi informasi dan data pengendalian internal kepada pihak eksternal
merupakan prinsip yang penting namun sering diabaikan.
4.17 PRINSIP PEMANTAUAN 16: EVALUASI PENGENDALIAN

INTERNAL
Kegiatan pemantauan menilai apakah tujuan pengendalian internal COSO ada dan
berfungsi. Suatu perusahaan harus menggunakan proses evaluasi yang sedang
berlangsung dan terpisah untuk memastikan apakah prinsip-prinsip pengendalian
internal yang ditetapkan, baik di seluruh perusahaan dan subunitnya, berlaku, ada,
dan berfungsi. Pemantauan merupakan faktor kunci dalam penilaian efektivitas
pengendalian internal. Suatu perusahaan, seringkali dengan dukungan audit internal,
harus melakukan kegiatan pemantauan pengendalian yang sedang berlangsung dan
mengidentifikasi serta mengkomunikasikan setiap kekurangan pengendalian internal
yang diketahui dalam lingkaran penuh proses pengendalian internal. Idenya di sini
adalah bahwa suatu perusahaan harus melalui masing-masing komponen kontrol
COSO, dan ketika siklus ini bergerak ke kegiatan pemantauan, mereka bertindak sebagai
faktor peninjau atas semua komponen kontrol internal lainnya.
Sebagai prinsip pengendalian utama, perusahaan harus memilih,
mengembangkan, dan melakukan evaluasi ongo- ing dan / atau terpisah untuk
memantau atau memastikan apakah komponen pengendalian internalnya ada dan
berfungsi. Pemantauan dapat dilakukan melalui beberapa kombinasi evaluasi terpisah
atau proses pemantauan berkelanjutan. Audit internal independen satu kali atas
beberapa area operasi atau pengendalian internal adalah contoh dari aktivitas
pemantauan terpisah. Audit internal dapat menjadwalkan satu tinjauan terhadap suatu
area, berdasarkan penilaian risikonya, dan kemudian dapat kembali untuk meninjau
area yang sama lagi, berdasarkan kekurangan pengendalian internal yang ditemukan
dalam tinjauan pertama. Evaluasi terpisah harus dilakukan secara berkala oleh
manajemen, audit internal, atau pihak eksternal, antara lain.
Proses pemantauan berkelanjutan mirip dengan proses audit internal
berkelanjutan yang dibahas dalam Bab 11. Mereka seperti lampu peringatan dalam
perangkat pengukur produksi yang hanya berkedip jika beberapa pengukuran di luar
batas. Evaluasi yang sedang berlangsung umumnya didefinisikan, operasi rutin
dibangun ke dalam proses bisnis dan dilakukan secara real-time, bereaksi terhadap
kondisi yang berubah. Di mana evaluasi berkelanjutan berada
4.18 Prinsip Pemantauan 17: Mengkomunikasikan Kekurangan Pengendalian 83
Internal ■
Dibangun ke dalam proses bisnis, komponen pengendalian internal mereka biasanya

disusun untuk memantau diri mereka sendiri secara berkelanjutan.
Kontrol yang tidak dipantau cenderung memburuk dari waktu ke waktu, dan
perusahaan harus menerapkan proses pemantauan untuk membantu memastikan
bahwa pengendalian internal terus beroperasi secara efektif. Ketika pemantauan
dirancang dan dilaksanakan dengan tepat, suatu perusahaan harus mendapat manfaat
karena lebih mungkin untuk:
■
Mengidentifikasi dan memperbaiki masalah pengendalian internal secara tepat waktu
■
Menghasilkan informasi yang lebih akurat dan dapat diandalkan untuk digunakan
dalam pengambilan keputusan
■
Menyusun laporan keuangan yang akurat dan tepat waktu
■
Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang
efektivitas pengendalian internal
Seiring waktu, pemantauan yang efektif dapat mengarah pada efisiensi

organisasi dan mengurangi biaya yang terkait dengan pelaporan publik tentang
pengendalian internal, karena masalah terkait moni-toring diidentifikasi dan
ditangani secara proaktif daripada reac-tive.
4.18 PRINSIP PEMANTAUAN 17:

MENGKOMUNIKASIKAN DEFISIENSI PENGENDALIAN
INTERNAL
Suatu perusahaan harus mengkomunikasikan kekurangan pengendalian internalnya

secara tepat waktu kepada semua pihak yang bertanggung jawab untuk mengambil
tindakan korektif, termasuk manajemen senior dan dewan direksi. Perusahaan harus
mengidentifikasi hal-hal terkait pemantauan yang patut mendapat perhatian yang
mewakili kekurangan potensial atau nyata dalam beberapa aspek sistem pengendalian
internal perusahaan dan yang berpotensi mempengaruhi kemampuan perusahaan
untuk mencapai tujuannya. Selain itu, suatu perusahaan harus berusaha untuk
mengidentifikasi peluang untuk meningkatkan efisiensi kontrol internalnya. Hasil
evaluasi pemantauan yang sedang berlangsung dan terpisah harus dinilai terhadap
kriteria manajemen untuk menentukan kepada siapa harus melaporkan dan apa yang
harus dikutuk, dan semua kekurangan pengendalian internal yang diidentifikasi harus
dikomunikasikan kepada anggota manajemen perusahaan dalam posisi untuk
mengambil tindakan korektif tepat waktu.
Setelah kekurangan yang diidentifikasi dievaluasi, manajemen harus menentukan
bahwa upaya remediasi dilakukan secara tepat waktu.
Kekurangan pengendalian internal, seperti yang diidentifikasi oleh audit internal,
harus dilaporkan baik kepada pihak yang bertanggung jawab untuk mengambil
tindakan korektif dan setidaknya satu tingkat manajemen tingkat atas. Tindakan ini
dibahas dalam Bab 18 tentang pelaporan hasil audit internal. Jika temuan melintasi
batas-batas organisasi, tantangan harus dilaporkan kepada semua pihak terkait dan ke
tingkat yang cukup tinggi untuk mendorong tindakan yang tepat. Artinya,
kekurangan yang berkaitan dengan dewan direksi di mana dewan tidak independen
sejauh yang diperlukan atau di mana dewan tidak memberikan pengawasan yang
memadai harus dilaporkan sebagaimana ditentukan oleh protokol pelaporan yang
ditetapkan
Internal ■ kepada dewan penuh, ketua dewan, dan komite pelaporan dewan yang
sesuai.
Internal ■
Proses untuk melaporkan kekurangan pengendalian internal merupakan

komponen kunci untuk memastikan bahwa suatu perusahaan memiliki pengendalian
internal yang efektif. Manajemen perlu merancang, mengembangkan, dan
meluncurkan proses pengendalian internal yang efektif, tetapi perlu ada beberapa
bentuk proses monitoring untuk memberikan jaminan bahwa pengendalian internal
tersebut ada. 17 prinsip pengendalian internal COSO tidak termasuk dalam kerangka
kerja asli tetapi sekarang merupakan panduan penting untuk membantu manajemen
dan audit internal untuk fokus pada panduan pengendalian internal yang terkandung
dalam kerangka COSO tiga dimensi. Kami akan berkonsentrasi pada prinsip-prinsip
ini dalam berbagai bab ke depan, dan pengetahuan umum tentang 17 prinsip
pengendalian internal COSO ini harus menjadi bagian dari setiap
kegiatan operasi CBOK auditor internal.
NOTA
1. Robert R. Moeller, Pengendalian Internal Sarbanes-Oxley, Audit Efektif dengan AS5,

COBIT dan® (Hoboken, NJ: John Wiley & Sons, 2008).

Bab 3 & Bab 4

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Bab 3 & Bab 4

Diunggah oleh

Hak Cipta:

Format Tersedia

BAB3T ER TIGA

3.1 MEMAHAMI PENGENDALIAN INTERNAL

Di tahun-tahun sebelumnya, eksekutif bisnis serta auditor internal dan eksternal

■ Maraknya penggunaan layanan kontrak, struktur organisasi baru, dan

■ Peningkatan persyaratan kepatuhan dan peraturan lebih dari sekadar

Item sebelumnya tidak mencakup semua tetapi menggambarkan beberapa

serta merancang dan memasang proses pengendalian internal tersebut. Kerangka

1. Sebuah organisasi harus menunjukkan komitmen terhadap integritas dan nilai-nilai

3.2 PERUBAHAN LINGKUNGAN BISNIS DAN OPERASI

ketika suatu perusahaan membuktikan bahwa kontrol internalnya sesuai dengan

■ Memperluas harapan untuk pengawasan tata kelola. Meningkatnya

Setiap perubahan COSO ini mengharuskan perusahaan untuk mengevaluasi

3.3 KERANGKA PENGENDALIAN INTERNAL COSO YANG DIREVISI

Kegiatan Unit Bisnis

Kontrol Divisi &; Fungsi

IntKegiatan Kontrol ernals

Information & CommunicaTion

EXHIBIT 3.2 Pengendalian Internal COSO

menentukan tujuan pelaporan eksternal yang sesuai yang berkaitan dengan

3.4 PRINSIP PENGENDALIAN INTERNAL COSO

Dipertimbangkan dalam hal hubungannya dengan komponen lain — mudah

3.5 KOMPONEN KONTROL INTERNAL COSO:

Perusahaan yang membangun dan memelihara lingkungan kontrol yang kuat

■ Apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk

3.6 KOMPONEN PENGENDALIAN INTERNAL COSO:

1. Perusahaan harus menentukan tujuan dengan kejelasan yang cukup untuk

Yang pertama dan prinsip pengendalian internal utama menyerukan perusahaan

Identifikasi dan Analisis Risiko

PAMERAN 3.3 Jenis Risiko Bisnis Perusahaan

Faktor Eksternal Risiko Intern Faktor Risiko

Risiko Proses Kepatuhan Risiko Rakyat Risiko

Risiko Treasury Kredit Risiko Perdagangan Risiko

Risiko Keuangan Operasional Risiko Teknologi Risiko

Proses identifikasi risiko harus berusaha untuk mempertimbangkan semua risiko

Strategi Respons Risiko

Mengenai pendekatan dasar ini, tetapi berbagai tingkat manajemen mungkin

3.7 KOMPONEN PENGENDALIAN INTERNAL COSO:

Mungkin elemen inti dalam kerangka pengendalian internal COSO secara

Kegiatan Pengendalian Proses Bisnis

Elemen aktivitas kontrol dari kerangka kerja pengendalian internal COSO

Jenis Kegiatan Pengendalian Transaksi

Komentar tentang transaksi aktivitas kontrol ini mengatakan banyak tentang

3.8 KOMPONEN PENGENDALIAN INTERNAL COSO:

Sebagai elemen COSO lainnya, informasi diperlukan bagi perusahaan untuk

Komponen informasi dan komunikasi dari kerangka COSO terutama mendukung

Pentingnya Menggunakan Informasi yang Relevan

Masalah komunikasi, sebagaimana didefinisikan dalam kerangka pengendalian

PAMERAN 3.4 Contoh Sumber Informasi yang Relevan

Info. Sumber Contoh Informasi yang Relevan Data Contoh

Intern Surel: Komunikasi Organisasi Perubahan

Pentingnya Komunikasi Internal

Perusahaan harus menetapkan dan menerapkan kebijakan dan prosedur yang

Harus memahami bagaimana peran, tanggung jawab, dan tindakan mereka

3.9 KOMPONEN PENGENDALIAN INTERNAL COSO:

1. Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan

Sistem pengendalian internal perusahaan akan sering berubah, dan objektives

kegiatan dan bahwa suatu perusahaan harus mengidentifikasi dan

kekurangan ditemukan dalam ulasan pertama. Selain itu, evaluasi pemantauan

Proses pemantauan yang efektif adalah komponen kunci untuk memastikan

1. Sudahkah proses pemantauan yang ditetapkan mengidentifikasi risiko yang berarti

Manajemen dan dewan direksi harus memahami konsep-konsep pemantauan

3.10 DIMENSI LAIN KERANGKA KERJA COSO

Kegiatan Unit Bisnis