Pengendalian

Internal &
Kerangka COSO
Pengauditan I

HD
Kelompok 11

01 02 03
AISYA PUTRI M. ASRI NUR R. FERNANDITA H. D.
12030119130209 12030119120013 12030119140223

04 05 06
JENNIFER C. P. SAFIRA NUR I. VALIANT DARMA P.
12030119130147 12030119140169 12030119140233
01
TUJUAN
PENGENDALIAN
INTERNAL
Sistem pengendalian internal terdiri dari kebijakan dan prosedur yang dirancang untuk
memberikan kepastian yang memadai kepada manajemen bahwa perusahaan mencapai
tujuannya. Kebijakan dan prosedur ini sering disebut pengendalian, dan secara kolektif,
keduanya membentuk pengendalian internal entitas.

Manajemen biasanya memiliki tiga tujuan luas dalam merancang sistem pengendalian
internal yang efektif:

Keandalan
01 Pelaporan
Efisiensi dan
03 Efektivitas Operasi
Kepatuhan dengan
02 Hukum dan
Peraturan
02
TANGGUNG JAWAB
MANAJEMEN & AUDITOR
UNTUK PENGENDALIAN
INTERNAL
Tanggung jawab untuk pengendalian internal berbeda antara manajemen dan
auditor. Manajemen bertanggung jawab untuk menetapkan dan memelihara
pengendalian internal entitas. Manajemen juga diharuskan oleh Bagian 404
untuk melaporkan kepada publik efektivitas operasi pengendalian tersebut.
Sebaliknya, tanggung jawab auditor mencakup pemahaman dan pengujian
pengendalian internal atas pelaporan keuangan. Auditor dari perusahaan
publik yang lebih besar diharuskan oleh SEC untuk menerbitkan laporan audit
tentang efektivitas operasi pengendalian setiap tahun.
A. Tanggung Jawab Manajemen untuk
Membangun Internal Kontrol
Manajemen harus menetapkan dan memelihara kontrol internal entitas. Terdapat dua
konsep utama yang mendasari rancangan manajemen dan penerapan pengendalian
internal, yaitu:

Jaminan yang Wajar Batasan Inheren

01 Perusahaan harus mengembangkan
pengendalian internal yang
02
menyediakan wajar, tetapi tidak
mutlak, jaminan bahwa laporan
keuangan disajikan secara wajar.
Batasan Inheren Pengendalian
internal tidak pernah bisa
sepenuhnya efektif, terlepas
dari perawatan yang diikuti
dalam desain dan
implementasinya.
B. Tanggung Jawab Pelaporan
Bagian 404 Manajemen

Bagian 404 (a) Sarbanes – Oxley Act mewajibkan manajemen dari semua perusahaan publik
untuk mengeluarkan laporan pengendalian internal yang mencakup:

● Pernyataan bahwa manajemen bertanggung jawab untuk menetapkan dan memelihara

struktur dan prosedur pengendalian internal yang memadai untuk pelaporan keuangan
● Penilaian terhadap efektivitas struktur pengendalian internal dan prosedur pelaporan
keuangan pada akhir tahun fiskal perusahaan.

Manajemen juga harus mengidentifikasi kerangka kerja yang digunakan untuk mengevaluasi
efektivitas pengendalian internal. Kerangka kerja pengendalian internal yang digunakan oleh
sebagian besar perusahaan AS adalah Komite Organisasi Sponsoring dari Treadway Commission
(COSO) Pengendalian Internal — Kerangka Kerja Terpadu, yang awalnya diterbitkan pada tahun
1992 dan diperbarui pada tahun 2013.
 DESAIN PENGENDALIAN INTERNAL
Penilaian
Manajemen harus mengevaluasi apakah pengendalian
Manajemen tersebut dirancang dan disiapkan untuk mencegah atau
atas mendeteksi salah saji material dalam laporan keuangan.
Pengendalian
Internal atas EFEKTIVITAS PENGOPERASIAN PENGENDALIAN
Pelaporan Manajemen harus menguji efektivitas operasi pengendalian
Keuangan yang bertujuan untuk menentukan apakah pengendalian
beroperasi seperti yang dirancang dan apakah orang yang
terdiri dari Dua melakukan pengendalian memiliki otoritas dan kualifikasi yang
Aspek Utama. diperlukan untuk melakukan pengendalian secara efektif.

SEC mengharuskan manajemen untuk memasukkan laporannya tentang pengendalian internal di dalamnya
laporan Formulir 10-K tahunan yang diajukan ke SEC. Gambar 11-1 mencakup contoh laporan manajemen
tentang pengendalian internal yang sesuai dengan persyaratan Pasal 404 dan aturan SEC terkait.
C. Tanggung Jawab Auditor untuk
Memahami Pengendalian Internal

Salah satu prinsip yang diklarifikasi bahwa auditor "mengidentifikasi dan

menilai risiko salah saji material, baik karena kecurangan atau kesalahan,
berdasarkan pemahaman tentang entitas dan lingkungannya, termasuk
pengendalian internal entitas"
 KONTROL ATAS KEANDALAN
PELAPORAN KEUANGAN
Jika kontrol internal atas pelaporan
keuangan tidak memadai, Laporan
keuangan cenderung tidak
TANGGUNG mencerminkan GAAP atau IFRS
dengan benar
JAWAB
AUDITOR KONTROL ATAS KELAS
TRANSAKSI
Auditor menekankan pengendalian
internal atas kelas transaksi dari
pada saldo akun karena akurasi
akurasi saldo akun sangat
bergantung pada akurasi input dan
pemrosesan.
D. Tanggung Jawab Auditor untuk
Pelaporan tentang Pengendalian Internal

Sarbanes - Oxley Act mensyaratkan bahwa

auditor melaporkan efektivitas pengendalian
internal atas pelaporan keuangan. Namun,
hanya perusahaan publik yang lebih besar
(pelapor yang dipercepat) yang diwajibkan
untuk mendapatkannya.
03
KOMPONEN COSO
PENGENDALIAN
INTERNAL
 Kerangka COSO menjelaskan lima komponen pengendalian
internal yang dirancang dan diimplementasikan oleh
manajemen untuk memberikan jaminan yang memadai bahwa
tujuan pengendaliannya akan terpenuhi.

01 02 03 04 05

Lingkungan Informasi Pemantauan

Tugas Aktivitas
Pengendalian dan
Berisiko Pengendalian
Komunikasi
A. Lingkungan Pengendalian
Lingkungan pengendalian terdiri dari tindakan, kebijakan, dan prosedur
yang mencerminkan sikap puncak secara keseluruhan manajemen,
direktur, dan pemilik entitas tentang pengendalian internal dan
kepentingannya bagi entitas.

Lingkungan kontrol
berfungsi sebagai
payung untuk empat
komponen lainnya.
B. Tugas Berisiko
● Penilaian risiko adalah proses menganalisis peristiwa potensial
yang dapat mengakibatkan hilangnya aset, pinjaman, atau
investasi.
● Penilaian risiko yang secara khusus terkait dengan pelaporan
keuangan melibatkan identifikasi manajemen dan analisis risiko
yang relevan dengan penyusunan laporan keuangan sesuai
dengan standar akuntansi.
4 Prinsip Dasar Penilaian Risiko

01 Organisasi memiliki tujuan yang

jelas mampu mengidentifikasi
dan menilai risiko yang
03 Harus mempertimbangkan
potensi perilaku curang

berkaitan dengan tujuan

02 Harus menentukan bagaimana

risiko harus dikelola 04 Harus memantau perubahan
yang dapat berdampak pada
pengendalian internal
 Meskipun manajemen menilai risiko sebagai bagian dari
perancangan dan pengoperasian pengendalian internal untuk
meminimalkan kesalahan dan kecurangan, auditor menilai
risiko untuk memutuskan bukti yang diperlukan dalam audit.
Jika manajemen secara efektif menilai dan merespons risiko,
auditor biasanya akan mengumpulkan lebih sedikit bukti
daripada ketika manajemen gagal mengidentifikasi atau
merespons risiko yang signifikan.
C. Aktivitas Pengendalian

● Aktivitas pengendalian adalah kebijakan dan prosedur, selain yang termasuk

dalam empat komponen pengendalian lainnya, yang membantu memastikan
bahwa tindakan yang diperlukan diambil untuk mengatasi risiko terhadap
pencapaian tujuan entitas
●
● Ada tiga prinsip dasar yang berkaitan dengan aktivitas pengendalian:
1. Mengembangkan aktivitas pengendalian yang mampu memitigasi risiko
ke tingkat yang dapat diterima;
2. Mengembangkan kendali umum atas teknologi; dan
3. Menetapkan kebijakan, prosedur, maupun harapan yang tepat
Jenis-Jenis
Pengendalian Internal
1.Pemisahan Tugas yang Memadai

- Pemisahan Penitipan Aset dari Akuntansi, Untuk melindungi

perusahaan dari penggelapan, seseorang yang memiliki hak
asuh sementara atau permanen atas suatu aset tidak boleh
memperhitungkan aset tersebut.

- Pemisahan Izin Transaksi dari Penitipan Aset Terkait,ini

diinginkan untuk mencegah orang yang memberi otorisasi
transaksi untuk memiliki kendali atas aset terkait, untuk
mengurangi kemungkinan penggelapan.
Jenis-Jenis
Pengendalian Internal
1.Pemisahan Tugas yang Memadai

- Pemisahan Tanggung Jawab Operasional dari Tanggung

Jawab Penyimpanan Catatan, Untuk memastikan informasi
yang tidak bias, pencatatan biasanya merupakan tanggung
jawab departemen terpisah yang melapor ke pengontrol.

- Pemisahan Tugas TI dari Departemen Pengguna Ketika

tingkat kompleksitas sistem TI meningkat, pemisahan
otorisasi, pencatatan, dan hak asuh sering menjadi kabur.
Jenis-Jenis
Pengendalian Internal
2.Otorisasi Transaksi dan Aktivitas yang Benar

Setiap transaksi harus diotorisasi dengan benar jika kontrolnya ingin

memuaskan, Jika ada orang dalam organisasi dapat memperoleh
atau mengeluarkan aset sesuka hati, kekacauan total akan terjadi.
Otorisasi dapat bersifat umum atau khusus.
● Otorisasi umum, manajemen menetapkan kebijakan dan
bawahan diinstruksikan untuk menyetujui semua transaksi
dalam batas yang ditentukan oleh kebijakan.
● Otorisasi khusus, berlaku untuk transaksi individu. Untuk
transaksi tertentu, manajemen lebih memilih untuk
mengotorisasi setiap transaksi
Jenis-Jenis
Pengendalian Internal
3. Dokumen dan Catatan yang Memadai

Dokumen dan catatan adalah catatan di mana transaksi

dimasukkan dan diringkas. Dokumen yang memadai penting
untuk pencatatan transaksi dan kendali aset yang benar.

Dokumen dan catatan harus:

1. Diberi nomor sebelumnya secara berurutan
2. Disiapkan pada saat transaksi berlangsung
3. Didesain untuk banyak penggunaan
4. Dibangun dengan cara yang mendorong persiapan yang
benar
Jenis-Jenis
Pengendalian Internal
4.Kontrol Fisik Atas Aset dan Catatan

Untuk memelihara pengendalian internal yang memadai, aset

dan catatan harus dilindungi. Jika aset dibiarkan tidak
terlindungi, aset tersebut dapat dicuri. Jika arsip tidak dilindungi
secara memadai, arsip tersebut dapat dicuri, dirusak, diubah,
atau hilang, yang dapat sangat mengganggu proses akuntansi
dan operasi bisnis.

Jenis tindakan perlindungan yang paling penting untuk

melindungi aset dan catatan adalah penggunaan tindakan
pencegahan fisik. Contohnya adalah penggunaan gudang
sebagai inventaris untuk menjaga dari pencurian.
Jenis-Jenis
Pengendalian Internal
5.Pemeriksaan Independen atas Kinerja

● Pemeriksaan independen/verifikasi internal muncul karena

kontrol internal cenderung berubah seiring waktu, kecuali
jika sering dilakukan peninjauan.
● Personil yang bertanggung jawab untuk melakukan prosedur
verifikasi internal harus independen dari mereka yang
awalnya bertanggung jawab untuk menyiapkan data.
● Sebagian besar sistem akuntansi melibatkan teknologi di
mana banyak prosedur verifikasi internal diotomatiskan
sebagai bagian dari sistem. Misalnya, komputer dapat
mencegah pemrosesan pembayaran pada faktur vendor jika
tidak ada nomor pesanan pembelian yang cocok.
D. INFORMASI DAN KOMUNIKASI

Sistem informasi dan komunikasi

akuntansi entitas bertujuan untuk
memulai, mencatat, memproses,
dan melaporkan transaksi entitas
dan untuk menjaga akuntabilitas
atas aset terkait
Prinsip-prinsip yang mendasari terkait
dengan informasi dan komunikasi
menekankan pentingnya penggunaan
informasi yang relevan dan berkualitas
yang dikomunikasikan baik secara
internal maupun eksternal
 Penjualan
Sistem informasi dan komunikasi
akuntansi memiliki beberapa Retur Penjualan
sub-komponen, biasanya terdiri dari
kelas-kelas transaksi, seperti : Penerimaan Kas

Akuisisi
 E. PEMANTAUAN

Merupakan proses yang Proses pemantauan mempermudah efektivitas perbaikan

menentukan kualitas pengendalian internal dan mengoreksi tindakan yang tepat.
kinerja pengendalian Aktivitas pemantauan berupa kegiatan-kegiatan yang meliputi
hal-hal berikut:
internal sepanjang waktu

- Aktivitas pemantauan yang sedang berlangsung

- Evaluasi pengendalian internal terpisah
- Pelaporan pengendalian internal yang tidak efektif
04
PENGENDALIAN
INTERNAL KHUSUS
UNTUK TEKNOLOGI
INFORMASI
Teknologi dapat memperkuat sistem pengendalian internal
perusahaan tetapi juga dapat memberikan tantangan.

Untuk mengatasi risiko yang terkait dengan ketergantungan pada

teknologi, organisasi sering menerapkan kontrol TI tertentu. Standar
audit menjelaskan dua kategori pengendalian atas sistem TI :
1. Pengendalian umum
2. Pengendalian aplikasi
A. Kategori Pengendalian Umum
Administrasi Fungsi TI
01 04 Keamanan Fisik dan
Online

Backup dan
Pemisahan
02 Tugas-Tugas TI 05 Perencanaan
Kontinjensi

Pengembangan
03 Sistem 06 Pengendalian
Perangkat Keras
1. Administrasi Fungsi TI

● Pengawasan, alokasi sumber daya, dan keterlibatannya

dalam setiap keputusan kunci TI memberikan isyarat
tentang pentingnya TI
● Dalam lingkungan yang kompleks, manajemen dapat
menetapkan komite pengendalian TI
● Dalam organisasi yang tidak terlalu kompleks, dewan dapat
mengandalkan pada pelaporan reguler oleh CIO atau
manajer TI senior.
 ● Tugas-tugas TI dipisahkan untuk mencegah
2. Pemisahan personil TI mengotorisasi dan mencatat transaksi
untuk menutupi pencurian aset
Tugas-Tugas ● Tugas-tugas TI dipisahkan sebagai berikut :
TI - Manajemen TI
- Pengembangan sistem
- Operasi
- Pengendalian data
 Pengembangan
sistem mencakup :

Membeli perangkat lunak atau

mengembangkan sendiri
perangkat lunak di kantor (in
house) yang memenuhi
3. kebutuhan organisasi
Pengembangan
Sistem Menguji semua perangkat lunak
untuk memastikan bahwa
perangkat lunak baru ini
kompatibel dengan perangkat
keras dan lunak yang ada.
Pengujian dilakukan dengan :
1. Pengujian percontohan
2. Pengujian paralel
4. Keamanan Fisik dan Online

● Pengendalian fisik atas komputer dan pembatasan online ke

perangkat lunak serta file data terkait mengurangi risiko dilakukannya
perubahan yang tidak diotorisasi ke program dan penggunaan
program serta file data yang tepat.
● Pengendalian keamanan dilakukan dengan :
1. Pengendalian fisik
2. Pengendalian akses secara online
5. Backup dan Perencanaan Kontinjensi

● Untuk mencegah hilangnya data selama mati listrik,

perusahaan mengandalkan sumber tenaga cadangan atau
generator
● Untuk bencana yang lebih serius, perusahaan perlu backup
yang terperinci dan rencana kontinjensi
● Backup dan rencana kontinjensi harus mengidentifikasi
perangkat keras alternatif yang dapat digunakan untuk
memproses data perusahaan.
6. Pengendalian Perangkat Keras

Dipasang dalam peralatan komputer oleh

pabrik pembuatnya untuk mendeteksi dan
melaporkan kegagalan peralatan
B. Kategori Pengendalian Aplikasi

Pengendalian Pengendalian Pengendalian

Input pemrosesan output
Pengendalian Input
● Pengendalian input dirancang untuk memastikan bahwa informasi
yang dimasukkan ke komputer sudah diotorisasi, lengkap, dan akurat.
● Pengendalian tipikal yang dikembangkan dalam sistem manual tetap
dianggap penting bagi sistem TI, antara lain :
- Otorisasi manajemen atas transaksi
- Penyiapan dokumen sumber input yang memadai
- Personil yang kompeten
Pengendalian yang spesifik untuk TI mencakup :
- Layar input yang dirancang secara memadai dengan prompt yang telah
diformat untuk informasi transaksi
- Daftar menu pull-down dari opsi perangkat lunak yang tersedia
- Pengujian validasi atas keakuratan input yang dilakukan komputer seperti
validasi nomor pelanggan terhadap file induk pelanggan
- Pengendalian input berbasis-online atas aplikasi e-commerce di mana pihak
eksternal, seperti pelanggan dan pemasok, melaksanakan bagian awal dari
penginputan transaksi
- Prosedur koreksi kesalahan segera
- Akumulasi kesalahan ke dalam file kesalahan yang selanjutnya ditindaklanjuti
oleh personil input data
 Pengendalian
Pemrosesan

Mencegah dan mendeteksi Pengendalian pemrosesan

kesalahan ketika data aplikasi khusus sering
transaksi di proses diprogram ke dalam
perangkat lunak
 ● Pengendalian output berfokus pada mendeteksi
kesalahan setelah pemrosesan diselesaikan, bukan
pada mencegah kesalahan.

● Pengendalian output yang paling penting adalah

Pengendalian review kelayakan data oleh seseorang yang
Output memahami output itu.

● Untuk output komputer yang sensitif seperti cek

penggajian, pengendalian dapat ditingkatkan
dengan mengharuskan karyawan memperlihatkan
identifikasi sebelum menerima cek nya
Beberapa pengendalian yang umum untuk mendeteksi kesalahan output
mencakup :
- Merekonsiliasi output yang dihasilkan komputer dengan total
pengendalian manual
- Membandingkan jumlah unit yang diproses dengan jumlah unit
yang diserahkan untuk pemrosesan
- Membandingkan sampel output transaksi dengan dokumen sumber
input
- Memverifikasi tanggal dan waktu pemrosesan untuk
mengidentifikasi setiap pemrosesan yang tidak sesuai urutan
05
Dampak Infrastruktur
TI terhadap
Pengendalian Internal
 LAN
Local Area Network (LAN)
menghubungkan peralatan dalam
JARINGAN satu atau sekelompok kecil
“LAN” bangunan dan hanya digunakan di
dalam perusahaan.
&
“WAN” WAN
Wide Area Network (WAN)
menghubungkan peralatan di
wilayah geografis yang lebih
besar, termasuk operasi global.
SISTEM MANAJEMEN
BASIS DATA

Memungkinkan klien untuk membuat

database yang menyertakan informasi
yang dapat dibagikan ke beberapa
aplikasi.
 IMPLEMENTASI

MENGURANGI MENINGKATKAN MEMBERIKAN

REDUNDANSI KONTROL INFORMASI YANG
DATA ATAS LEBIH BAIK UNTUK
DATA PENGAMBILAN
KEPUTUSAN
TEKNIK
ENKRIPSI Teknik enkripsi kunci publik
sering digunakan, di mana
Melindungi keamanan satu kunci (kunci publik)
komunikasi elektronik digunakan untuk
saat informasi dikirim menyandikan pesan dan
dan disimpan. kunci lain (kunci pribadi)
digunakan untuk
memecahkan kode pesan.
 OUTSOURCING
Outsourcing dapat memberikan tantangan dari perspektif pengendalian
internal. Manajemen bertanggung jawab atas rancangan dan efektivitas
operasi kendali internal, dan ini termasuk kendali yang dialihkan ke
penyedia layanan. Etika dan integritas penyedia layanan, serta desain
dan fungsi kontrol internal mereka, perlu dipertimbangkan oleh
manajemen saat memilih penyedia layanan, dan dievaluasi secara
teratur.
THANK
YOU!