CHAPTER 4
INTERNAL CONTROL
KELOMPOK 2
Perkenalan
Tata kelola yang baik bergantung pada manajemen yang memahami risiko yang dihadapi
dan mampu mengendalikan bisnis. Audit Internal Modern Brink menyarankan bahwa
pengendalian internal adalah konsep paling penting dan mendasar yang harus dipahami oleh
auditor internal.1 Perhatikan bahwa semua referensi terhadap definisi IIA, kode etik, atribut
dan standar kinerja IIA, nasihat praktik dan panduan praktik berkaitan dengan International
Professional Practices Framework (IPPF) yang disusun oleh Institut Auditor Internal pada
tahun 2009.
Para eksekutif senior telah lama mencari cara untuk mengendalikan perusahaan yang
mereka jalankan dengan lebih baik. Pengendalian internal diterapkan untuk menjaga
perusahaan tetap berada pada jalur menuju tujuan profitabilitas dan pencapaian misinya, dan
untuk meminimalkan kejutan di sepanjang perjalanan. Hal ini memungkinkan manajemen
untuk menghadapi lingkungan ekonomi dan persaingan yang berubah dengan cepat, perubahan
permintaan dan prioritas pelanggan, dan restrukturisasi untuk pertumbuhan di masa depan.
Pengendalian internal mendorong efisiensi, mengurangi risiko kehilangan aset, dan membantu
memastikan keandalan laporan keuangan dan kepatuhan terhadap undang-undang dan
peraturan. Karena pengendalian internal memiliki banyak tujuan penting, maka semakin
banyak tuntutan untuk sistem pengendalian internal dan rapor yang lebih baik. Pengendalian
internal semakin dipandang sebagai solusi terhadap berbagai potensi permasalahan.
Kita dapat membangun pandangan bahwa pengendalian adalah tentang mencapai tujuan,
menangani risiko dan menjaga keseimbangan dengan memperkenalkan model pengendalian
dasar pertama pada gambar di bawah ini :
Sistem pengendalian internal mencakup kebijakan, proses, tugas, perilaku, dan aspek lain
dari perusahaan yang, secara keseluruhan:
Turnbull telah memperjelas letak tanggung jawab pengendalian dalam suatu organisasi:
Dewan direksi bertanggung jawab atas sistem pengendalian internal perusahaan. Perusahaan
harus menetapkan kebijakan yang tepat mengenai pengendalian internal dan mengupayakan
jaminan berkala yang akan memungkinkan perusahaan untuk yakin bahwa sistem tersebut
berfungsi secara efektif. Dewan selanjutnya harus memastikan bahwa sistem pengendalian
internal efektif dalam mengelola risiko sesuai dengan cara yang telah disetujui (paragraf 16).
Langkah ini telah ditetapkan oleh IIA dengan Standar Kinerja 2130 yang langsung pada
intinya: 'Aktivitas audit internal harus membantu organisasi dalam mempertahankan
pengendalian yang efektif dengan mengevaluasi efektivitas dan efisiensinya dan dengan
mendorong perbaikan berkelanjutan.' Peran auditor dalam sistem pengendalian internal
berbeda dengan manajemen karena peran tersebut mencakup:
Pengendalian dapat dilihat sebagai salah satu topik terpenting yang perlu dikuasai auditor.
Pembenaran utama untuk fungsi audit internal berkisar pada kebutuhan untuk meninjau sistem
pengendalian internal dengan semua aktivitas audit lainnya yang merupakan tambahan dari
tugas ini. Pemahaman yang baik tentang konsep pengendalian dan bagaimana pengendalian
dapat diterapkan dalam praktik merupakan keterampilan penting yang membutuhkan waktu
bertahun-tahun untuk dikuasai sepenuhnya.
Salah satu cara memandang sistem kendali adalah dengan mempertimbangkan bahwa
setiap operasi harus disertai dengan sistem kendali yang sesuai yang ditumpangkan pada
operasi itu sendiri. Dengan cara ini pengendalian tidak boleh menjadi konsep asing yang
berdampak pada aktivitas yang dilakukan, namun sebagai cara mengelola risiko terhadap
operasi.
Model COSO cukup dinamis karena mencakup sebagian besar aspek struktur dan proses
yang perlu diterapkan untuk memberikan pengendalian. Sulit untuk mengetahui bagaimana
dewan dapat menyatakan bahwa mereka telah meninjau sistem pengendalian internalnya tanpa
mengacu pada model atau kriteria komprehensif untuk mengevaluasi pengendalian ini di
tingkat perusahaan.
Pengendalian harus mencakup identifikasi dan mitigasi risiko. Risiko-risiko ini tidak
hanya mencakup risiko-risiko yang diketahui terkait dengan pencapaian tujuan tertentu namun
juga dua risiko mendasar terhadap kelangsungan hidup dan keberhasilan organisasi:
• Penilaian berfokus pada tujuan signifikan organisasi dan manajemen risiko yang terkait
dengan tujuan tersebut.
• Penilaian dilakukan dari sudut pandang organisasi secara keseluruhan.
• Penilaian tersebut merupakan tanggung jawab CEO.
• Penilaian menggunakan proses menyeluruh dan dapat dipercaya yang menggabungkan
perspektif orang-orang dari seluruh organisasi.
• Penilaian didasarkan pada kriteria kerangka pengendalian CICA.
• Penilaian dilakukan oleh orang-orang dengan keterampilan, pengetahuan, kualitas dan
yang sesuai perspektif.
• Penilaian mencakup pelaporan hasil penilaian kepada direksi.
• Proses penilaian ditinjau untuk mengetahui bagaimana penilaian dapat ditingkatkan.
• Tujuan. Model ini dimulai dengan kebutuhan akan arah dan tujuan yang jelas
• Komitmen. Orang-orang dalam organisasi harus memahami dan menyelaraskan diri
dengan identitas dan nilai-nilai organisasi.
• Kapabilitas. Orang harus dilengkapi dengan sumber daya dan kompetensi untuk
memahami dan melaksanakan persyaratan model pengendalian
• Tindakan. Tahap ini mencakup pelaksanaan aktivitas yang sedang dikendalikan
• Pemantauan dan Pembelajaran. Masyarakat harus ikut serta dan menjadi bagian dari
evolusi organisasi.
Standar pengendalian yang dikenal dengan CobiT ini mencakup keamanan dan
pengendalian sistem teknologi informasi (TI) dalam mendukung proses bisnis dan dirancang
untuk manajemen, pengguna, dan auditor. Beberapa definisi diterapkan pada standar ini
termasuk:
Standar ini berpendapat bahwa ada faktor penentu keberhasilan tertentu yang
mencerminkan pentingnya sistem TI. Faktor keberhasilan mencakup bidang-bidang berikut:
• Aktivitas tata kelola TI diintegrasikan ke dalam proses tata kelola perusahaan dan
perilaku kepemimpinan.
• Tata kelola TI berfokus pada tujuan perusahaan, inisiatif strategis, penggunaan
teknologi untuk meningkatkan bisnis dan ketersediaan sumber daya dan kemampuan
yang memadai untuk memenuhi tuntutan bisnis.
• Kegiatan tata kelola TI didefinisikan dengan tujuan yang jelas, didokumentasikan dan
diterapkan, berdasarkan kebutuhan perusahaan dan dengan akuntabilitas yang jelas.
CobiT memiliki empat komponen utama (domain) dan untuk domain ini terdapat 34 proses
kontrol tingkat tinggi:
Komite Basle memandang sistem pengendalian internal yang efektif sebagai komponen
penting dari manajemen bank dan landasan bagi operasional organisasi perbankan yang aman
dan sehat. Meskipun Komite telah mengadopsi COSO dalam menilai pengendalian internal
berdasarkan lima judul utama model COSO, COSO tetap merupakan sumber nasihat penting
mengenai pengendalian, khususnya bagi sektor perbankan dan jasa keuangan. Panitia
menggambarkan lima area COSO sebagai:
Kami dapat memperluas model kontrol kami untuk menyertakan dua fitur lagi. Yang
pertama adalah CRSA, di mana risiko-risiko yang melekat dipertimbangkan dan dinilai dalam
sebuah lokakarya untuk memastikan bahwa setiap pengendalian yang perlu diperbarui benar-
benar terkait dengan risiko-risiko yang telah diperdebatkan. Penambahan kedua adalah
pengaturan tata kelola perusahaan yang melibatkan peran dan tanggung jawab dewan utama
dan komite audit. Model pengendalian yang gagal menghubungkan misinya dengan struktur
tata kelola akan gagal. Faktanya, pengaturan tata kelolalah yang mendorong penilaian risiko,
yang pada gilirannya mendorong diterapkannya proses dan pengendalian yang diterapkan.
Dengan cara ini model mengasumsikan kedalaman tertentu dan menghubungkan upaya
pengendalian kembali ke papan utama pada Gambar di bawah ini :
Mekanisme pengendalian adalah semua pengaturan dan prosedur yang ada untuk
memastikan tujuan bisnis dapat dipenuhi. Mereka terdiri dari mekanisme individual yang
digunakan oleh orang-orang dan proses di seluruh organisasi dan mereka harus menunjukkan
atribut tertentu:
1. Persyaratan tersebut harus didefinisikan dengan jelas dan dipahami oleh semua
pengguna.
2. Mekanisme harus ditetapkan untuk memantau sejauh mana pengendalian diterapkan
dalam praktiknya.
3. Penggunaannya harus disetujui oleh manajemen dan staf yang mengoperasikannya.
Jenis Kontrol
Pengendalian utama dapat dikategorikan dalam beberapa cara berbeda. Salah satu caranya
adalah dengan melihatnya diklasifikasikan sebagai berikut:
• Administratif
• Informasional
• Manajerial
• Prosedural
• Fisik
1. Directive. Untuk memastikan adanya arah dan dorongan yang jelas dalam mencapai
tujuan yang telah ditetapkan
2. Preventive. Untuk memastikan bahwa sistem bekerja sejak awal
3. Detective. Pengendalian ini dirancang untuk mendeteksi kesalahan transaksi yang
belum dapat dicegah
4. Corrective. Kategori pengendalian yang terakhir memastikan bahwa jika masalah
teridentifikasi, maka masalah tersebut ditangani dengan benar
Kontrol harus bekerja dengan baik. Ada satu pandangan bahwa mereka harus pintar, yaitu:
• Spesifik
• Terukur
• Dapat dicapai
• Berorientasi pada hasil
• Tepat waktu
• Otorisasi
• Pembatasan akses fisik
• Pengawasan
• Pemeriksaan kepatuhan
• Manual prosedur
• Praktik perekrutan dan pengembangan staf
• Pemisahan tugas
• Organisasi
• Penomoran dokumen secara berurutan dan alat tulis yang dikontrol
• Rekonsiliasi
• Manajemen proyek dan pengadaan
• Pengendalian sistem keuangan
• Keamanan TI
• Manajemen kinerja
Kesesuaian Pengendalian
Dalam menilai kesesuaian sistem pengendalian internal, ada beberapa tanda bahaya yang
harus diperhatikan yang mungkin menurunkan efisiensi lingkungan pengendalian sebagai
berikut:
Pengendalian Lunak
Hal ini paling baik dijelaskan oleh Jim Roth, yang menulis tentang pentingnya
memahami pengendalian lunak:
Jika kita mengira tugas kita adalah mengevaluasi kepatuhan terhadap kebijakan dan prosedur,
maka kita tidak akan mendapatkan apa-apa. Namun, bukan itu yang dibutuhkan organisasi kita.
Ketika manajemen beralih ke mode pemberdayaan, mereka membutuhkan bantuan dalam
transisi tersebut. Yang terpenting, mereka membutuhkan kita untuk menjadi pengamat yang
independen dan obyektif yang akan memberikan mereka umpan balik yang realistis, jujur, dan
substansial yang tidak akan diberikan oleh kebanyakan orang di organisasi. Jadi tugas kita,
menurut saya, akan semakin melibatkan evaluasi bidang-bidang yang lunak dan tidak berwujud
ini. Selain itu, semua perkembangan besar yang saya lihat dalam audit internal berhubungan
dengan pengendalian lunak. Jadi apa yang dilakukan auditor internal selain menciptakan
rutinitas audit? Kami melakukan apa yang membantu manajemen mengendalikan organisasi
yang jauh lebih longgar, lebih bebas, dan berpotensi lebih kacau... . Untuk mengevaluasi sisi
lembut pengendalian secara efektif, auditor harus menunjukkan pola pikir yang berbeda
dibandingkan dengan auditor tradisional.
4.7 Pentingnya Prosedur
Bagian sebelumnya tentang mekanisme pengendalian menguraikan berbagai jenis
pengendalian yang tersedia ketika merancang sistem pengendalian yang sesuai. Kami
sekarang dapat menyempurnakan model kontrol kami untuk menggabungkan fitur
tambahan yang telah dijelaskan
Pengendalian preventif sudah ada dalam model kami dan berkisar pada parameter
pengendalian atas dan bawah, di atas dan di bawah garis pencapaian. Kami kemudian
menetapkan level tambahan di luar dua parameter dan menempatkan kontrol detektif di luar
parameter kontrol. Kontrol detektif ini akan mendeteksi transaksi dan aktivitas yang berada di
luar batas (parameter) yang dapat diterima atau tampaknya cenderung melampaui batas
tersebut. Pengendalian detektif cenderung berbasis informasi dan akan memberikan peringatan
ketika intervensi manajemen diperlukan untuk menangani aktivitas yang telah atau tampaknya
menjadi kacau. Pengendalian korektif, seperti yang telah kita bahas, adalah tindakan yang
dirancang untuk memperbaiki setiap penyimpangan yang telah terdeteksi dan oleh karena itu
garis panah dimulai dari kendali korektif dan kemudian kembali ke dalam parameter kendali.
Kinerja Proses penilaian risiko harus sesuai dan terintegrasi dengan sistem
manajemen kinerja.
Komunikasi Model pengendalian ditingkatkan dengan penambahan komunikasi yang
baik dalam organisasi.
Kebijakan, kompetensi dan pelatihan Poros penting dalam model pengendalian
adalah kebijakan pengendalian internal.