MODUL PERKULIAHAN

P322150002
Audit Internal
COSO Framework

Abstrak Sub-CPMK 4

Pemahaman Coso Framework - Memahami Coso Framework

bagi audit internal.

Fakultas Program Studi Tatap Muka Disusun Oleh

Dr. Rina Yuliastuty

Fakultas Ekonomi dan Bisnis Akuntansi
04 Asmara
 Coso Framework

A. Pendahuluan

Tujuan menyeluruh dari fungsi audit internal adalah untuk membantu organisasi mencapai
1. Tata Kelola dan Budaya Risiko (Risk Governance and Culture)
Tata kelola dan budaya risiko bersama-sama membentuk dasar untuk semua
komponen lain dari manajemen risiko perusahaan. Tata kelola risiko menetapkan
nada entitas, memperkuat pentingnya, dan menetapkan tanggung jawab
pengawasan untuk, manajemen risiko perusahaan. Budaya berkaitan dengan nilai-
nilai etika, perilaku yang diinginkan, dan pemahaman tentang risiko dalam entitas.
Budaya tercermin dalam pengambilan keputusan.
2. Risiko, Strategi, dan Penetapan Tujuan (Risk, Strategy, and Objective-Setting)
Manajemen risiko perusahaan diintegrasikan ke dalam rencana strategis entitas
melalui proses penetapan strategi dan tujuan bisnis. Dengan pemahaman tentang
konteks bisnis, organisasi dapat memperoleh wawasan tentang faktor internal dan
eksternal dan dampaknya terhadap risiko. Sebuah organisasi menetapkan selera
risikonya dalam hubungannya dengan penetapan strategi. Tujuan bisnis
memungkinkan strategi untuk dipraktikkan dan membentuk operasi dan prioritas
entitas sehari-hari.
3. Risiko dalam Eksekusi (Risk in Execution)
Organisasi mengidentifikasi dan menilai risiko yang dapat memengaruhi kemampuan
entitas untuk mencapai strategi dan tujuan bisnisnya. Ini memprioritaskan risiko
sesuai dengan tingkat keparahannya dan mempertimbangkan selera risiko entitas.
Organisasi kemudian memilih respons risiko dan memantau kinerja untuk perubahan.
Dengan cara ini, ia mengembangkan pandangan portofolio tentang jumlah risiko yang
ditanggung entitas dalam mengejar strategi dan tujuan bisnisnya.
4. Informasi Risiko, Komunikasi, dan Pelaporan (Risk Information, Communication, and
Reporting)
Komunikasi adalah proses berulang yang berkelanjutan untuk memperoleh informasi
dan membagikannya ke seluruh entitas. Manajemen menggunakan informasi yang
relevan dan berkualitas baik dari sumber internal maupun eksternal untuk mendukung
manajemen risiko perusahaan. Organisasi memanfaatkan sistem informasi untuk
menangkap, memproses, dan mengelola data dan informasi. Dengan

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 menggunakan informasi yang berlaku untuk semua komponen, organisasi
melaporkan risiko, budaya, dan kinerja.
5. Memantau Kinerja Manajemen Risiko Perusahaan (Monitoring Enterprise Risk
Management Performance)
Dengan memantau kinerja manajemen risiko perusahaan, organisasi dapat
mempertimbangkan seberapa baik komponen manajemen risiko perusahaan
berfungsi dari waktu ke waktu dan dengan mempertimbangkan perubahan
substansial.

Dewan Direksi, manajemen, risk officers, financial officers, auditor internal dalam suatu
organisasi berkontribusi pada ERM yang efektif.

Dewan Direksi.
Sementara dewan memiliki beberapa peran di semua aspek ERM, sebagian besar
tanggung jawabnya terkait dengan komponen tata kelola risiko dan budaya. Peran utama
dewan terkait dengan prinsip #1, tanggung jawab pengawasan risikonya. Dewan juga
mendukung manajemen menetapkan model tata kelola dan operasi, menentukan budaya
dan perilaku yang diinginkan, menunjukkan komitmen terhadap integritas dan etika, dan
menetapkan akuntabilitas dan wewenang untuk manajemen risiko.

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 Manajemen
Manajemen bertanggung jawab untuk menjalankan semua aktivitas organisasi, termasuk
ERM. Bahkan, manajemen bertanggung jawab atas aspek kelima komponen ERM.
Namun, tanggung jawab ini akan bervariasi, tergantung pada level dalam organisasi dan
karakteristik organisasi.

Risk officers
Beberapa organisasi telah menetapkan posisi manajemen senior yang terpisah untuk
bertindak sebagai titik koordinasi terpusat untuk memfasilitasi ERM. Seorang petugas
risiko yang disebut di banyak organisasi sebagai chief risk officer (CRO) biasanya
beroperasi dalam fungsi staf yang bekerja dengan manajer lain dalam menetapkan ERM
di bidang tanggung jawab mereka.

Financial officers.
Eksekutif keuangan dan akuntansi dan staf mereka bertanggung jawab atas aktivitas yang
melintasi organisasi. Para eksekutif ini sering terlibat dalam mengembangkan anggaran
dan rencana organisasi secara luas, dan melacak dan menganalisis kinerja dariperspektif
operasi, kepatuhan, dan pelaporan.

Auditor internal.
Fungsi audit internal memainkan peran penting dalam mengevaluasi efektivitas-dan
merekomendasikan perbaikan-ERM. Standar Internasional IIA untuk Praktik Profesional
Audit Internal menetapkan bahwa ruang lingkup fungsi audit internal harus mencakup tata
kelola, manajemen risiko, dan sistem kontrol.

Individu lain dalam organisasi.

Pada kenyataannya, ERM adalah tanggung jawab setiap orang dalam suatu organisasi
dan oleh karena itu harus menjadi bagian integral dari deskripsi pekerjaan setiap orang,
baik secara eksplisit maupun implisit. Auditor dapat memberikan manajemen dan dewan
direksi perspektif manajemen risiko yang terinformasi, independen, dan objektif yang
dapat berkontribusi pada pencapaian organisasi atas pelaporan keuangan eksternal dan
tujuan lainnya.

Legislator dan regulator.

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 Legislator dan regulator dapat mempengaruhi pendekatan ERM dari banyak organisasi,
baik melalui persyaratan untuk menetapkan mekanisme manajemen risiko atau sistem
pengendalian internal (misalnya, US Sarbanes-Oxley Act of 2002) atau melalui
pemeriksaan entitas tertentu (misalnya, oleh federal dan pemeriksa bank negara).

Pihak eksternal lainnya.

Terakhir, pemangku kepentingan luar lainnya dapat memengaruhi aktivitas ERM
organisasi: Pelanggan, vendor, mitra bisnis, dan pihak lain yang menjalankan bisnis
dengan organisasi merupakan sumber informasi penting yang digunakan dalam ERM.
Kreditur dapat memberikan pengawasan atau arahan yang mempengaruhi bagaimana
organisasi mencapai tujuan mereka. Misalnya, perjanjian utang mungkin mengharuskan
organisasi untuk memantau dan melaporkan informasi secara berbeda dari yang
seharusnya. Analis keuangan, lembaga pemeringkat, media berita, dan pihak eksternal
lainnya dapat mempengaruhi aktivitas manajemen risiko. Penyedia layanan outsourcing
menjadi cara yang lebih umum bagi organisasi untuk mendelegasikan manajemen sehari-
hari untuk fungsi non-core tertentu.

Definisi pengendalian internal adalah:

• Ditujukan untuk pencapaian tujuan dalam satu atau lebih kategori yang terpisah tetapi
saling terkait - operasi, pelaporan, dan kepatuhan.
• Sebuah proses yang terdiri dari tugas-tugas dan aktivitas-aktivitas yang sedang
berlangsung - alat untuk mencapai tujuan, bukan tujuan itu sendiri.
Dipengaruhi oleh orang-bukan hanya tentang kebijakan dan prosedur manual, sistem,
dan bentuk, tetapi tentang orang-orang dan tindakan yang mereka ambil di setiap
tingkat organisasi untuk mempengaruhi pengendalian internal. Mampu memberikan
keyakinan memadai, tetapi bukan keyakinan mutlak, kepada manajemen senior dan
Dewan Direksi suatu entitas.
• Dapat beradaptasi dengan struktur entitas-fleksibel dalam penerapan untuk seluruh
entitas atau untuk anak perusahaan, divisi, unit operasi, atau proses bisnis tertentu
COSO menjelaskan, “A direct relationship exists between objectives, which are what
an entity strives to achieve, components [and principles], which represent what is
required to achieve the objectives, and entity structure (the operating units, legal
entities, and other structures). The relationship can be depicted in the form of a cube”.
(“Ada hubungan langsung antara tujuan, yang merupakan apa yang ingin dicapai

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 entitas, komponen [dan prinsip], yang mewakili apa yang diperlukan untuk mencapai
tujuan, dan struktur entitas (unit operasi, badan hukum, dan struktur lainnya)”.

Objectives
Kerangka kerja [COSO] menetapkan tiga kategori tujuan, yang memungkinkan organisasi
untuk fokus pada aspek pengendalian internal yang berbeda:
1) Tujuan Operasi
Ini berkaitan dengan efektivitas dan efisiensi operasi entitas, termasuk tujuan kinerja
operasional dan keuangan, dan menjaga aset dari kerugian;
2) Tujuan Pelaporan
Ini berkaitan dengan pelaporan keuangan dan non-keuangan internal dan eksternal
dan dapat mencakup keandalan, ketepatan waktu, transparansi, atau persyaratan lain
sebagaimana ditetapkan oleh regulator, pembuat standar, atau kebijakan entitas.
3) Tujuan Kepatuhan
Ini berkaitan dengan kepatuhan terhadap hukum dan peraturan yang menjadi subjek
entitas.

Komponen
COSO menunjukkan, “Mendukung organisasi dalam upayanya untuk mencapai tujuan
adalah lima komponen pengendalian internal”, yaitu:
• Control Environment
• Risk Assessment
Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 • Control Activities
• Information and Communication
• Monitoring Activities

Control Environment
The control environment of an organization permeates all areas of the organization and
influences the way individuals approach internal control. This foundational component of
internal control creates the context within which the other components of internal control
exist.

Lingkungan pengendalian suatu organisasi menembus semua area organisasi dan

mempengaruhi cara individu mendekati pengendalian internal. Komponen dasar
pengendalian internal ini menciptakan konteks di mana komponen pengendalian internal
lainnya ada.

Risk Assessment
All organizations encounter risks, that is, threats to the achievement of objectives. All risks,
both internal and external, need to be assessed. According to COSO, "Every entity faces
a variety of risks from external and internal sources. Risk is defined as the possibility that
an event will occur and adversely affect the achievement of objectives. Risk assessment
involves a dynamic and iterative process for identifying and assessing risks to the
achievement of objectives. Risks to the achievement of these objectives from across the
entity are considered relative to established tolerance levels.
Semua organisasi menghadapi risiko, yaitu ancaman terhadap pencapaian tujuan. Semua
risiko, baik internal maupun eksternal, perlu dinilai. Menurut COSO, "Setiap entitas
menghadapi berbagai risiko dari sumber eksternal dan internal. Risiko didefinisikan
sebagai kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian
tujuan. Penilaian risiko melibatkan proses yang dinamis dan berulang untuk
mengidentifikasi dan menilai risiko terhadap pencapaian tujuan Risiko terhadap
pencapaian tujuan ini dari seluruh entitas dianggap relatif terhadap tingkat toleransi yang
ditetapkan.

Control Activities
Aktivitas pengendalian adalah tindakan yang diambil oleh manajemen, dewan, dan pihak
lain untuk mengurangi risiko dan meningkatkan kemungkinan bahwa tujuan dan sasaran

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 yang telah ditetapkan akan tercapai. Manajemen merencanakan, mengatur, dan
mengarahkan kinerja tindakan yang memadai untuk memberikan jaminan yang masuk
akal bahwa tujuan dan sasaran akan tercapai. Seperti faktor penentu keberhasilan yang
dijelaskan di atas, aktivitas pengendalian hadir di semua tingkat organisasi.

Selain pemisahan tugas, ada banyak aktivitas pengendalian yang diakui secara umum
yang hadir dalam sistem pengendalian internal yang dirancang dengan baik, termasuk:
• Performance reviews and follow-up activities
• Authorizations (approvals
• IT access control activities
• Documentation (rigorous and comprehensive)
• Physical access control activities.
• IT application (input, processing, output) control activities.
• Independent verifications and reconciliations

Information and Communication

Informasi berkualitas tinggi harus dikomunikasikan dengan tepat. Saling ketergantungan
inilah mengapa COSO menggabungkan informasi dan komunikasi dalam komponen ini.

Informasi yang relevan, akurat, dan tepat waktu harus tersedia bagi individu di semua
tingkat organisasi yang membutuhkan informasi tersebut untuk menjalankan bisnis secara
efektif.

Monitoring Activities
Agar tetap dapat diandalkan, sistem pengendalian internal harus dipantau. Seperti yang
ditunjukkan COSO, kegiatan pemantauan terdiri dari:
- evaluasi berkelanjutan yang dibangun ke dalam proses bisnis di berbagai tingkat
entitas [yang] memberikan informasi tepat waktu.
- Evaluasi terpisah, yang dilakukan secara berkala, akan bervariasi dalam ruanglingkup
dan frekuensi tergantung pada penilaian risiko, efektivitas evaluasi berkelanjutan, dan
pertimbangan manajemen lainnya.
- Temuan dievaluasi terhadap kriteria yang ditetapkan oleh regulator, badan atau
manajemen pembuat standar dan dewan direksi, dan kekurangan dikomunikasikan
kepada manajemen dan dewan direksi yang sesuai.

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 - Kekurangan dalam sistem pengendalian internal organisasi mungkin diidentifikasi
selama kinerja baik kegiatan pemantauan yang sedang berlangsung atau evaluasi
terpisah Representasi COSO dari proses pemantauan relatif terhadap kesimpulan
pendukung mengenai efektivitas pengendalian.

COSO juga mendefinisikan 17 prinsip yang mewakili konsep dasar yang terkait dengan
setiap komponen pengendalian internal.

Control Environment
1. Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
2. Direksi menunjukkan independensi dari manajemen dan melakukan pengawasan
terhadap perkembangan dan kinerja pengendalian internal.
3. Manajemen menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan
wewenang dan tanggung jawab yang sesuai dalam mengejar tujuan.
4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten sesuai dengan tujuan.
5. Organisasi meminta pertanggungjawaban individu atas tanggung jawab pengendalian
internal mereka dalam mencapai tujuan.

Risk Assessment
Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 6. Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan
identifikasi dan penilaian risiko yang berkaitan dengan tujuan.
7. Organisasi mengidentifikasi risiko terhadap pencapaian tujuannya di seluruh entitas
dan menganalisis risiko sebagai dasar untuk menentukan bagaimana risiko harus
dikelola.
8. Organisasi mempertimbangkan potensi kecurangan dalam menilai risiko terhadap
pencapaian tujuan.
9. Organisasi mengidentifikasi dan menilai perubahan yang dapat berdampak signifikan
terhadap sistem pengendalian internal.

Control Activities
10. Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi
pada mitigasi risiko terhadap pencapaian tujuan ke tingkat yang dapat diterima.
11. Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas
teknologi untuk mendukung pencapaian tujuan.
12. Organisasi menyebarkan aktivitas pengendalian melalui kebijakan yang menetapkan
apa yang diharapkan dan prosedur yang menerapkan kebijakan.

Information and Communication

13. Organisasi memperoleh atau menghasilkan dan menggunakan informasi yang
relevan dan berkualitas untuk mendukung berfungsinya komponen pengendalian
internal lainnya.
14. Organisasi secara internal mengomunikasikan informasi, termasuk tujuan dan
tanggung jawab pengendalian internal, yang diperlukan untuk mendukung;
berfungsinya komponen pengendalian internal lainnya.
15. Organisasi berkomunikasi dengan pihak eksternal mengenai hal-hal yang
mempengaruhi berfungsinya pengendalian internal.

Monitoring
16. Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan
dan/atau terpisah untuk memastikan apakah komponen pengendalian internal ada
dan berfungsi.
17. Organisasi mengevaluasi dan mengomunikasikan defisiensi pengendalian internal
secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 tindakan korektif, termasuk manajemen senior dan dewan direksi, sebagaimana
mestinya.

Pengendalian internal tidak dapat mencegah penilaian atau keputusan yang buruk, atau
kejadian eksternal yang dapat menyebabkan organisasi gagal mencapai tujuan
operasionalnya. Dengan kata lain, sistem pengendalian internal yang efektif pun dapat
mengalami kegagalan. Keterbatasan dapat diakibatkan oleh:
• Kesesuaian tujuan yang ditetapkan sebagai prasyarat untuk pengendalian internal.
• Kenyataan bahwa penilaian manusia dalam pengambilan keputusan bisa salah dan
bias.
• Kerusakan yang dapat terjadi karena kegagalan manusia seperti kesalahan
sederhana.
• Kemampuan manajemen untuk mengesampingkan pengendalian internal.
• Kemampuan manajemen, personel lain, dan/atau pihak ketiga untuk menghindari
pengendalian melalui kolusi.
• Peristiwa eksternal di luar kendali organisasi

Risiko Inheren, Risiko Terkendali, dan Risiko Residual

Kemampuan organisasi untuk mencapai tujuan entitas yang ditetapkan dipengaruhi oleh
risiko internal dan eksternal. Kombinasi risiko internal dan eksternal dalam keadaan murni
dan tidak terkendali disebut sebagai risiko bawaan. Dengan kata lain, risiko bawaan
adalah risiko kotor yang ada dengan asumsi tidak ada pengendalian internal.

Pengakuan akan adanya risiko bawaan dan bahwa peristiwa atau kondisi tertentu berada
di luar kendali manajemen (risiko eksternal) sangat penting untuk mengenali keterbatasan
bawaan pengendalian internal.

Consequences of Accepting Excessive risk

• Potential loss of assets
• Poor or ineffective business decision-making
• Potential noncompliance with laws and regulations
• Potential for fraud to occur

Consequences of Implementing Excessive Internal Control

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 Risiko terkendali (Controllable risk) adalah bagian dari risiko bawaan yang dapat secara
langsung dipengaruhi dan dikurangi oleh manajemen melalui aktivitas bisnis sehari-hari.
Setelah manajemen menerapkan pengendalian yang hemat biaya untuk mengatasi risiko
yang dapat dikendalikan, maka mereka dapat menentukan apakah organisasi beroperasi
dalam selera risiko keseluruhan yang ditetapkan oleh manajemen senior dan dewan
direksi.

Bagian dari risiko bawaan yang tersisa setelah mengurangi semua risiko yang dapat
dikendalikan didefinisikan sebagai risiko residual. Jika risiko tak terkendali yang tersisa
(risiko residual/residual risk) kurang dari selera risiko yang ditetapkan, maka sistem
pengendalian internal beroperasi pada tingkat yang dapat diterima dan dalam selera risiko
yang ditetapkan organisasi. Namun, jika risiko residual melebihi selera risiko yang
ditetapkan organisasi, perlu untuk mengevaluasi kembali sistem pengendalian internal
untuk menentukan apakah pengendalian tambahan yang hemat biaya dapat diterapkan
untuk lebih mengurangi risiko residual ke tingkat yang sesuai dengan selera risiko
manajemen. Jika tidak, manajemen harus mempertimbangkan opsi lain seperti berbagi
atau mengalihkan sebagian risiko yang tidak terkendali kepada pihak ketiga yang
independen dan bersedia melalui asuransi atau outsourcing. Jika risiko yang tidak
terkendali tidak dapat ditransfer atau dibagi secara efektif, manajemen dapat menerima
tingkat risiko yang lebih tinggi (dan menyesuaikan selera risikonya), atau organisasi harus
memutuskan apakah ingin tetap terlibat dalam aktivitas yang menyebabkan risiko
tersebut.

TYPES OF CONTROLS
Entity-Level, Process-Level, and Transaction-Level Controls
Semua kontrol dirancang untuk mengurangi risiko baik di tingkat perusahaan atau di
tingkat operasional dalam suatu organisasi. Seperti yang ditunjukkan di atas, kerangka
kerja COSO menggunakan istilah aktivitas pengendalian "seluruh entitas" dan "proses
bisnis" untuk menggambarkan pengendalian ini secara umum. Meskipun tidak jarang
organisasi dalam profesi audit internal menggunakan terminologi yang berbeda seperti
“seluruh perusahaan” atau ”seluruh entitas”, istilah “tingkat entitas”/“Entity-Level” yang
lebih umum digunakan dalam bab ini. Bab ini juga menjelaskan kontrol tingkat proses dan
kontrol tingkat transaksi, yang bersama-sama terdiri dari aktivitas kontrol proses bisnis
dalam kerangka kerja COSO. Namun, yang lebih penting daripada istilah khusus yang

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 digunakan saat membahas jenis pengendalian ini adalah tujuan pengendalian dan
efektivitas operasinya.

Untuk penggambaran visual dari kontrol ini, yang dibahas di bawah, lihat corong dalam
pameran Kontrol tingkat entitas sangat terfokus secara luas dan sering kali berhubungan
dengan lingkungan atau atmosfer organisasi. Mereka dirancang untuk secara langsung
mengurangi risiko yang ada di tingkat organisasi yang luas, termasuk yang muncul secara
internal maupun eksternal, dan secara tidak langsung dapat mengurangi risiko pada
tingkat proses dan transaksi. Kontrol ini memiliki efek yang meresap pada pencapaian
banyak tujuan secara keseluruhan. Dewan Pengawas Akuntansi Perusahaan Publik AS
(PCAOB) menyatakan dalam Standar Auditing No. 5, Kontrol tingkat entitas meliputi:
• Kontrol yang terkait dengan lingkungan kontrol Kontrol atas penggantian manajemen;
• Proses penilaian risiko perusahaan;
• Pemrosesan dan kontrol terpusat, termasuk lingkungan layanan bersama;
• Kontrol untuk memantau hasil operasi;
• Kontrol untuk memantau kontrol lain, termasuk kegiatan fungsi audit internal, komite
audit, dan program penilaian diri;
• Kontrol atas proses pelaporan keuangan akhir periode; dan
• Kebijakan yang menangani kontrol bisnis dan praktik manajemen risiko yang signifikan.

Kontrol tingkat proses (Process-level controls) lebih detail dalam fokusnya daripada
kontrol tingkat entitas. Mereka didirikan oleh pemilik proses untuk mengurangi risiko yang
mengancam pencapaian tujuan proses. Meskipun sifatnya konsisten, kontrol ini dapat
bervariasi dalam pelaksanaannya di antara proses. Contoh kontrol tingkat proses
termasuk:
• Rekonsiliasi akun-akun utama.
• Verifikasi fisik aset (seperti penghitungan inventaris).
• Proses pengawasan karyawan dan evaluasi kinerja.
• Penilaian risiko tingkat proses.
Pemantauan/pengawasan transaksi tertentu

Kontrol tingkat transaksi bahkan lebih rinci dalam fokus mereka daripada kontrol tingkat
proses dan mengurangi risiko relatif terhadap kelompok atau berbagai kegiatan tingkat
operasional (tugas) atau transaksi dalam suatu organisasi. Mereka dirancang untuk

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 memastikan bahwa kegiatan operasional individu, tugas, atau transaksi, serta kelompok
terkait kegiatan operasional (tugas) atau transaksi, diproses secara akurat tepat waktu.

Contoh pengendalian tingkat transaksi meliputi:

• Otorisasi.
• Dokumentasi (seperti dokumen sumber).
• Pemisahan tugas.
• Kontrol aplikasi TI (input, pemrosesan, output).

Key Controls and Secondary Controls

Kontrol kunci (sering disebut sebagai kontrol "utama") dirancang untuk mengurangi risiko
utama yang terkait dengan tujuan bisnis. Kegagalan untuk menerapkan pengendalian
kunci yang dirancang secara memadai dan beroperasi secara efektif dapat
mengakibatkan kegagalan organisasi tidak hanya untuk mencapai tujuan bisnis yang
penting tetapi juga untuk bertahan hidup.

Kontrol sekunder adalah kontrol yang dirancang untuk 1) mengurangi risiko yang bukan
merupakan kunci tujuan bisnis, atau 2) mengurangi sebagian tingkat risiko ketika kontrol
utama tidak beroperasi secara efektif. Kontrol sekunder mengurangi tingkat risiko residual
ketika kontrol utama tidak beroperasi secara efektif, tetapi mereka sendiri tidak memadai
untuk mengurangi risiko kunci tertentu ke tingkat yang dapat diterima. Mereka biasanya
merupakan bagian dari kontrol kompensasi.

Compensating Controls
Kontrol kompensasi dirancang untuk melengkapi kontrol utama yang tidak efektif atau
tidak dapat sepenuhnya mengurangi risiko atau kelompok risiko sendiri ke tingkat yang
dapat diterima dalam selera risiko yang ditetapkan oleh manajemen dan dewan. Misalnya,
pengawasan ketat dalam kasus ketika pemisahan tugas yang memadai tidak dapat
dicapai dapat menjadi kontrol kompensasi. Kontrol tersebut juga dapat membuat
cadangan atau menduplikasi beberapa kontrol dan dapat beroperasi di beberapa proses
dan risiko.

Preventive and Detective Control

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 Kontrol preventif dirancang untuk mencegah kejadian yang tidak diinginkan terjadi di
tempat pertama. Karena sifat dinamis dan kompleksitas operasi bisnis sehari-hari, sulit
untuk merancang pengendalian preventif yang ekonomis dan efisien. Akibatnya, sebagian
besar organisasi menggunakan kombinasi pengendalian preventif dan pengendalian
detektif ketika merancang sistem pengendalian internal yang efektif dan efisien. Contoh
kontrol preventif termasuk kontrol akses fisik dan logis, seperti pintu terkunci dan ID
pengguna dengan kata sandi unik.

Sebaliknya, kontrol detektif dirancang untuk menemukan peristiwa yang tidak diinginkan
yang telah terjadi. Kontrol detektif harus terjadi tepat waktu (sebelum kejadian yang tidak
diinginkan memiliki dampak negatif yang tidak dapat diterima pada organisasi) agar
dianggap efektif. Contoh kontrol detektif termasuk kamera keamanan untuk
mengidentifikasi akses fisik yang tidak sah dan peninjauan log komputer yang
mencantumkan upaya akses yang tidak sah.

Information Systems (Technology) Controls

Kadang-kadang secara umum disebut sebagai kontrol "teknologi", ada dua jenis kontrol
sistem informasi yang dapat digunakan untuk mengurangi risiko ini:
1. Kontrol komputasi umum (General computing controls). Ini berlaku untuk banyak jika
tidak semua sistem aplikasi dan membantu memastikan operasi mereka yang
berkelanjutan dan tepat."
2. Kontrol aplikasi (Application controls). Ini termasuk langkah-langkah komputerisasi
dalam perangkat lunak aplikasi dan prosedur manual terkait untuk mengontrol
pemrosesan berbagai jenis transaksi.

General Control atau Pengendalian Umum merupakan pengendalian secara menyeluruh

(baik aspek fisikal ataupun logikal) yang berdampak terhadap lingkungan sistem informasi
computer atau dengan kata lain berhubungan dengan lingkungan computer secara
menyeluruh. Tujuan pengendalian umum yaitu untuk lebih menjamin integritas data yang
terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau
aplikasi yang digunakan untuk melakukan pemrosesan data, maka otomatis pengendalian
umum mendukung pengendalian aplikasi. Contoh: control atas pusat data, pengendalian
database organisasi, pengembangan sistem dan pemeliharaan program.

Pengendalian umum meliputi unsur-unsur sebagai berikut.

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 • Pengendalian Organisasi dan Manajemen, meliputi pemisahan fungsi serta kebijakan
dan prosedur yang berkaitan dengan fungsi pengendalian.
• Pengendalian terhadap Pengembangan dan Pemeliharaan Sistem Aplikasi, untuk
memperoleh keyakinan bahwa sistem PDE (Pengolahan Data Elektronik) telah
dikembangkan dan dipelihara secara efisien dan ada otorisasinya.
• Pengendalian terhadap Operasi Sistem, untuk poin-poin sebagai berikut:
a. Sistem digunakan hanya untuk hal-hal yang telah ada otorisasinya
b. Akses ke operasi komputer hanya diijinkan kepada mereka yang telah memiliki
otorisasi
c. Program yang digunakan juga hanya yang ada otorisasinya
d. Kesalahan pengolahan dapat dideteksi dan dikoreksi.
• Pengendalian terhadap Perangkat Lunak Sistem, untuk meyakinkan bahwa
perangkat lunak sistem dimiliki dan dikembangkan secara efisien, serta diotorisasikan
• Pengendalian terhadap Entri Data dan Program, struktur otorisasi ditetapkan dengan
jelas atas transaksi, serat akses ke data dan program dibatasi hanya kepada mereka
yang memiliki otorisasi.
• Pengendalian terhadap Keamanan PDE, menjaga PDE lain yang berhubungan
dengan PDE bersangkutan, misalnya digunakannya salinan cadangan (backups) di
tempat yang terpisah, prosedur pemulihan (recovery procedures) ataupun fasilitas
pengolahan di luar perusahaan dalam hal terjadi bencana.

Keenam kategori tersebut dapat diklasifikasikan menjadi tujuh jenis pengendalian umum,
yakni:
- Pengendalian organisasi dan manajemen
- Pengendalian piranti lunak dan piranti keras
- Pengendalian akses
- Pengendalian data dan prosedur
- Pengendalian pengembangan sistem baru
- Pengendalian pemeliharaan sistem dan program
- Pengendalian dokumentasi

Pengendalian Aplikasi (Application Control), dimaksudkan untuk memberikan kepastian

bahwa pencatatan, pengklasifikasian, dan pengikhtisaran transaksi sah serta
pemutakhiran file-file induk akan menghasilkan informasi yang akurat, lengkap, dan tepat
waktu.

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/
 Pengendalian aplikasi ini dibagi menjadi tiga kategori pengendalian, yakni pengendalian
atas masukan, pengendalian atas pengolahan dan file data komputer, serta pengendalian
atas keluaran. Lebih lanjut tujuan pengendalian aplikasi ini adalah untuk memperoleh
keyakinan:
1. Bahwa setiap transaksi telah diproses dengan lengkap dan hanya diproses satu kali
2. Bahwa setiap data transaksi berisi informasi yang lengkap dan akurat
3. Bahwa setiap pemrosesan transaksi dilakukan dengan benar dan tepat
4. Bahwa hasil-hasil pemrosesan digunakan sesuai dengan maksudnya
5. Bahwa aplikasi-aplikasi yang ada dapat berfungsi terus

Tujuan pengendalian aplikasi:

1. Input data akurat, lengkap, terotorisasi dan benar
2. Data diproses sebagaimana mestinya dalam periode waktu yang tepat
3. Data disimpan secara tepat dan lengkap
4. Output yang dihasilkan akurat dan lengkap
5. Adanya catatan mengenai pemrosesan data dari input sampai menjadi output

Daftar Pustaka
Richard Cascarino.2015.The Internal Auditing, an Integrated Approach, 3rd Edition, JUTA.

Audit Internal
2021
Biro Bahan Ajar E-learning dan MKCU
2 Dr. Rina Yuliastuty Asmara http://pbael.mercubuana.ac.id/