Internal Audit CH 3 - 4 Kelompok 5 [PDF]

Citation preview

Resume Internal Audit Minggu ke-2 Kelompok 5: 1. Ignatius William Arimatea



041711333164



2. Lisna Giacinta



041911333175



3. Denise Daniella Hidajat



041911333179



4. Ni Made Ayu Raira Pertiwi



041911333191



5. Gabriella Beatrice Elizabeth Simanjuntak



041911333194



6. Cecilia Yosephine



041911333231



Understanding Internal Controls 1.



Pengendalian internal menurut COSO merupakan suatu proses yang dilakukan oleh dewan direksi, manajemen, dan personel entitas lainnya yang dirancang untuk menyediakan jaminan yang wajar mengenai pencapaian tujuan dalam kategori berikut : a. Efektivitas dan efisiensi operasi b. Keandalan pelaporan keuangan c. Kepatuhan dengan hukum dan peraturan yang berlaku



2. Suatu unit usaha atau proses memiliki kontrol internal yang baik jika : a. Menyelesaikan misi dengan cara yang etis b. Menghasilkan data yang akurat dan handal c. Mematuhi hukum dan kebijakan perusahaan yang berlaku d. Memelihara penggunaan sumber daya yang ekonomis dan efisien, dan e. Menetapkan pengamanan aset yang sesuai Semua anggota perusahaan harus bertanggung jawab atas pengendalian internal agar dapat beroperasi secara efektif. 3.



Auditor eksternal, yang merupakan pendorong utama COSO, meninjau dan menilai kontrol keuangan internal yang telah dipasang di sistem perusahaan, tetapi audit internal dan manajemen perusahaan bertanggung jawab untuk memantau serta merancang dana menginstal proses pengendalian internal.



4.



Eksekutif bisnis serta auditor internal, spesialis TI, staf keuangan dan akuntansi, dan lain-lain harus menyadari dan memahami kerangka pengendalian internal COSO. Seluruh pihak harus fokus pada lima prinsip dasar yang mendukung pengendalian internal COSO perusahaan :



a. Sebuah organisasi harus menunjukkan komitmen terhadap integritas dan nilai-nilai etika. b. Dewan direksi harus menunjukkan independensi dari manajemen dan melakukan pengawasan terhadap pengembangan dan kinerja pengendalian internal. c. Manajemen harus menetapkan, dengan pengawasan dewan, struktur, garis pelaporan, dan wewenang serta tanggung jawab yang sesuai dalam mencapai tujuan. d. Organisasi harus menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten sejalan dengan tujuan. e. Sebuah organisasi harus meminta pertanggungjawaban individu atas tanggung jawab pengendalian internal mereka dalam mencapai tujuan. Revised COSO Framework Business and Operating Environment Changes



1. COSO merupakan inisiatif bersama dari lima organisasi akuntansi, audit, dan keuangan profesional sektor swasta. COSO didedikasikan untuk memberikan kepemimpinan pemikiran melalui pengembangan kerangka kerja dan panduan tentang manajemen risiko perusahaan, pengendalian internal, dan pencegahan penipuan. 2.



COSO tidak memiliki kewenangan untuk mengeluarkan standar seperti yang ditemukan dalam peraturan pemerintah atau pedoman organisasi profesi.



3.



Kerangka kerja kontrol internal COSO yang baru dan materi panduan pendukungnya berisi perubahan dalam bidang-bidang berikut : a. Ekspektasi yang diperluas untuk pengawasan tata kelola b. Peningkatan globalisasi pasar dan operasi c. Perubahan dan kerumitan yang lebih besar dalam operasi bisnis perusahaan d. Meningkatnya tuntutan dan kompleksitas dalam hukum, aturan, regulasi, dan standar e. Penggunaan dan ketergantungan yang terus meningkat pada teknologi yang terus berkembang f. Meningkatnya kebutuhan untuk mencegah dan mendeteksi korupsi



4. Setiap perubahan COSO ini mengharuskan perusahaan untuk mengevaluasi implikasi tersebut pada sistem pengendalian internalnya dengan penekanan pada pelaporan keuangan eksternal, dan untuk merancang serta menerapkan tanggapan yang sesuai sehingga sistem pengendalian internal beradaptasi dan tetap efektif dari waktu ke waktu. Auditor internal memiliki peran kunci dalam pemahaman dan evaluasi sistem pengendalian internal organisasi mereka.



The Revised COSO Internal Control Framework 1. COSO membagi lima komponen pengendalian internal, yaitu : a. Control Environment → terdiri dari tindakan, kebijaksanaan, dan prosedur yang mencerminkan sikap menyeluruh manajemen perusahaan, direktur, dan konsumen serta pemilik suatu satuan usaha terhadap pengendalian atas satuan usaha. Lingkungan pengendalian merupakan dasar untuk semua komponen pengendalian intern, menyediakan disiplin dan struktur. b. Risk Assessment → Tiga langkah risk assessment menurut penjelasan COSO adalah estimasi risiko signifikan, assess seberapa sering risiko terjadi, pertimbangkan cara mengelola risiko dan tindakan yang harus diambil. c. Control Activities → prosedur yang menolong meminimalisir risiko d. Communications and Information → setiap perusahaan harus mempunya prosedur efektif terkait dengan komunikasi pihak internal maupun pihak eksternal. Arus komunikasi dan informasi ini harus dimengerti untuk evaluasi internal control. e. Monitoring → dilakukan oleh internal auditor yang melakukan review terhadap kepatuhan. COSO Internal Control Principles 1. Kerangka kerja COSO yang telah direvisi sekarang menyusun serangkaian prinsip yang mendukung lima komponen internal. Versi 1992 secara implisit mencerminkan beberapa prinsip pengendalian internal inti. Sedangkan, versi revisi secara eksplisit mendefinisikan 17 prinsip pengendalian internal yang mewakili konsep fundamental terkait dengan lima komponen pengendalian internal. COSO membuat prinsip-prinsip ini eksplisit untuk meningkatkan pemahaman manajemen tentang pengendalian internal yang efektif. 2. Secara keseluruhan, komponen pengendalian internal COSO dan prinsip COSO ini merupakan kriteria dan titik fokus untuk memberikan panduan yang akan membantu manajemen serta auditor internal dalam menilai apakah komponen pengendalian internal ini ada, berfungsi, dan beroperasi bersama dalam suatu perusahaan 3. Kunci bagi auditor internal untuk memahami saat menggunakan kerangka COSO adalah dengan mengingat sifat kerangka tiga dimensi tempat setiap elemen pengendalian internal harus dipertimbangkan dalam hal hubungannya dengan komponen lain



COSO Internal Control Components : The Control Environment 1. Lingkungan pengendalian mencakup tindakan dewan direksi dan manajemen senior yang bertanggung jawab atas pengendalian internal secara keseluruhan dan standar perilaku yang diharapkan. Lingkungan pengendalian terdiri dari integritas dan nilai-nilai etika perusahaan, parameter yang memungkinkan dewan direksi untuk melaksanakan tanggung jawab pengawasannya, struktur organisasi dan penugasan wewenang dan tanggung jawab, dan lain-lain 2. Lingkungan pengendalian yang efektif menciptakan disiplin yang mendukung penilaian risiko yang diperlukan untuk mencapai tujuan entitas, kinerja aktivitas pengendalian, penggunaan sistem informasi dan komunikasi, dan pelaksanaan aktivitas pemantauan. 3. Kerangka kerja pengendalian COSO memperkenalkan empat prinsip lingkungan pengendalian internal : a. Perusahaan harus menentukan tujuan dengan kejelasan yang memadai untuk memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan b. Perusahaan harus mengidentifikasi risiko terhadap pencapaian tujuannya di seluruh entitas dan menganalisis risiko sebagai dasar untuk menentukan cara mengelola risiko tersebut. c. Organisasi harus mempertimbangkan potensi kecurangan dalam menilai risiko untuk pencapaian tujuan d. Organisasi harus mengidentifikasi dan menilai perubahan yang dapat berdampak signifikan pada sistem pengendalian internal. COSO INTERNAL CONTROL COMPONENTS: RISK ASSESSMENT Penilaian risiko adalah elemen kunci dalam kerangka kerja pengendalian internal COSO, yang terletak sebagai komponen dari kubus COSO tiga dimensi. Komponen penilaian risiko pengendalian internal COSO adalah proses untuk menentukan bagaimana semua tingkat risiko akan dikelola, dan prasyarat untuk penilaian risiko adalah penetapan tujuan terkait risiko, yang terkait pada berbagai tingkat operasi perusahaan. Karena jenis dan sifat risiko yang akan dihadapi perusahaan, manajemen harus mengidentifikasi dan menentukan tujuan risiko mereka dalam operasi, pelaporan, dan kategori kepatuhan dengan kejelasan yang memadai untuk dapat mengidentifikasi dan menganalisis risiko terhadap tujuan tersebut. Manajemen juga harus mempertimbangkan kesesuaian tujuan untuk entitas tersebut. Penilaian risiko juga mengharuskan manajemen untuk mempertimbangkan dampak dari kemungkinan perubahan dalam lingkungan eksternal dan dalam model bisnisnya sendiri yang dapat membuat pengendalian internalnya tidak efektif. a. Identifikasi dan Analisis Risiko



Proses identifikasi risiko harus mencoba untuk mempertimbangkan semua risiko dalam suatu perusahaan, termasuk subunit dan fungsi operasionalnya, seperti keuangan, sumber daya manusia, pemasaran, produksi, pembelian, dan manajemen TI. Selain itu, proses ini harus mempertimbangkan risiko yang berasal dari penyedia layanan yang dialihdayakan, pemasok utama, dan mitra penyalur yang secara langsung atau tidak langsung mempengaruhi pencapaian tujuan perusahaan. COSO menyarankan bahwa manajemen harus mempertimbangkan risiko yang terkait dengan faktor internal dan eksternal. b. Strategi Respon Risiko Sebagai bagian dari membangun pengendalian internal COSO yang efektif, perusahaan juga harus mengembangkan strategi manajemen risiko untuk menangani bagaimana mereka bermaksud untuk menilai, menanggapi, dan memantau risiko. Materi panduan pengendalian internal COSO mengidentifikasi empat pendekatan strategi respons risiko dasar: 1. Avoidance. Ini adalah strategi untuk menjauh dari risiko. Avoidance dapat menjadi strategi yang berpotensi mahal jika investasi dilakukan untuk masuk ke suatu area dengan penarikan berikutnya untuk menghindari risiko. 2. Reduction. Berbagai keputusan bisnis mungkin dapat mengurangi risiko tertentu. Ada berbagai macam strategi yang seringkali efektif untuk mengurangi risiko di semua tingkat yang turun ke langkah biasa tetapi penting secara operasional dari pelatihan silang karyawan. 3. Sharing. Hampir semua perusahaan maupun individu secara teratur melakukan lindung nilai atau berbagi sebagian dari risiko mereka dengan membeli asuransi. 4. Acceptance. Hampir semua perusahaan maupun individu secara teratur melakukan lindung nilai atau berbagi sebagian dari risiko mereka dengan membeli asuransi. Keempat strategi umum ini adalah konsep kunci dalam memahami manajemen risiko, dan auditor internal harus mengembangkan strategi respons umum untuk masing-masing risiko dengan menggunakan pendekatan yang dibangun di sekitar salah satunya. COSO



INTERNAL



CONTROL



COMPONENTS:



INTERNAL



CONTROL



ACTIVITIES Ketika menentukan tindakan yang direkomendasikan untuk dilakukan untuk memitigasi risiko, auditor internal harus mempertimbangkan semua aspek dari sistem pengendalian internal perusahaan serta proses bisnis yang relevan, sistem TI, dan lokasi di mana aktivitas pengendalian diperlukan. Ini mungkin termasuk mempertimbangkan aktivitas pengendalian di luar unit operasi, termasuk layanan bersama, pusat data, atau proses yang dilakukan oleh penyedia layanan outsourcing. Business Process Control Activities



Area penting untuk pemahaman audit internal, proses bisnis ditetapkan di seluruh perusahaan untuk memungkinkan mereka mencapai tujuannya. Proses bisnis yang khas akan mencakup banyak tujuan dan sub-tujuan, masing-masing dengan risiko dan respons resiko nya sendiri-sendiri. Cara umum untuk menggabungkan risiko proses bisnis ini ke dalam bentuk yang dapat dikelola adalah mengelompokkannya sesuai dengan tujuan proses bisnis, yaitu kelengkapan, keakuratan, dan ketersediaan. Jika tujuan tercapai untuk setiap transaksi dalam proses bisnis tertentu, maka sub-tujuan proses bisnis kemungkinan besar akan tercapai. Elemen aktivitas pengendalian kerangka pengendalian internal COSO menggunakan tujuan pemrosesan informasi berikut: ● Completeness. Transaksi yang terjadi harus dicatat. Misalnya, perusahaan dapat mengurangi risiko tidak memproses semua transaksi dengan vendor dengan memilih tindakan dan kontrol transaksi yang mendukung pemrosesan semua transaksi faktur dalam prosedur bisnis yang sesuai. ● Accuracy. Transaksi harus dicatat dalam jumlah yang benar di akun yang benar dan tepat waktu. Misalnya, kontrol transaksi atas elemen sistem utama, seperti harga barang atau basis data induk vendor, dapat menangani keakuratan pemrosesan transaksi pembelian. Akurasi dalam konteks proses operasional dapat didefinisikan untuk mencakup konsep kualitas yang lebih luas, termasuk keakuratan dan ketepatan bagian yang direkam. ● Validity. Transaksi yang tercatat merupakan peristiwa ekonomi yang benar-benar terjadi dan kemudian dilaksanakan sesuai dengan prosedur yang telah ditentukan. Validitas umumnya dicapai melalui aktivitas pengendalian yang mencakup otorisasi transaksi sebagaimana ditentukan oleh kebijakan dan prosedur perusahaan . Types of Transaction Control Activities Pedoman kerangka kerja Coso Internal Control memiliki beberapa jenis aktivitas pengendalian transaksi: 1. Verifications = Membandingkan dua atau lebih item atau membandingkan suatu barang dengan aturan kebijakan, lalu melakukan tindak lanjut ketika item yang dibandingkan tidak cocok atau dianggap tidak konsisten dengan kebijakan 2. Reconciliations = Proses transaksi ini adalah membandingkan dua atau lebih data dan jika ditemukan adanya perbedaan, maka akan diambil tindakan selanjutnya.



3. Authorizations and approvals = Proses otorisasi menegaskan bahwa transaksi tersebut valid. Otorisasi perlu di approve atau disetujui oleh manajemen level atas atau verifikasi dan penentuan yang dihasilkan sistem bahwa transaksi valid. 4. Physical Controls = Persediaan peralatan, security, uang tunai, dan aset lainnya biasanya digunakan secara fisik di area penyimpanan yang terkunci dan terjaga. Transaksi dari kontrol fisik harus dihitung secara berkala dan dibandingkan dengan catatan. 5. Controls over standing data. Standing data ​adalah elemen data yang dikembangkan



dari luar perusahaan (seringkali dari organisasi standar) yang mendukung pemrosesan transaksi dalam perusahaan itu.



6. Supervisory Controls = proses pengendalian transaksi ini menilai apakah aktivitas pengendalian transaksi lainnya sudah dilakukan sepenuhnya, akurat, dan sesuai dengan prosedur dan kebijakan perusahaan. 3.8 COSO INTERNAL CONTROL COMPONENTS : INFORMATION AND COMMUNICATION Manajemen mendapatkan dan menggunakan informasi yang relevan dan berkualitas dari sumber internal dan eksternal untuk mendukung fungsi dari komponen lain di dalam pengendalian internal, dan auditor internal akan meninjau dan menilai informasi manajemen yang sama. Communication atau komunikasi, adalah proses memberikan, menyebarkan, dan memperoleh informasi penting. Komunikasi internal adalah informasi yang disebarkan oleh perusahaan. Komponen coso menjelaskan pentingan informasi disimpan oleh perusahaan dan bagaimana informasi itu harus dikomunikasikan kepada berbagai pihak. Proses informasi dan komunikasi harus : a. mencatat transaksi ketika terja,a membaginya menjadi beberapa komponen (tanggal, jumlah, nama, akun, otorisasi, dsb) b. Proses, ringkasan dan laporan ​melaporkan informasi itu untuk tujuan manajemen dan tujuan akuntansi



c. Menyimpan data yang diambil dan diproses dalam format yang bisa di audit, review dan dilaporkan cepat dan mudah d. Laporan informasi itu dalam format yang dapat digunakan untuk analisis manajemen dan tujuan pengendalian internal



Importance of Using Relevant Information Auditor internal harus mendapatkan dan menggunakan informasi yang relevan dan berkualitas untuk mendukung komponen dari internal control yang sedang ditinjau. Informasi mengenai perusahaan di level lebih tinggi harus dikumpulkan oleh dewan direksi dan manajer senior , lalu di rangkum agar pihak lain lebih mudah memahami peran masing-masing untuk mencapai tujuannya. Masalah komunikasi, yang dijelaskan oleh COSO internal control framework, termasuk “Management 101”, dimana internal auditor harus mengingat bahwa informasi yang relevan adalah sebuah komponen kunci dari keefektifan pengendalian internal. Audit internal yang bekerjasama sebagai sebuah tim dengan management senior harus bisa menyelidiki operasional dan hasil manajemen keuangan untuk mengidentifikasi dan menetapkan kebutuhan informasi yang lebih relevan. Untuk memperoleh informasi yang relevan, membutuhkan manajemen untuk mengidentifikasi dan mendefinisikan informasi yang dibutuhkan dengan detail dan spesifik. Mengidentifikasi kebutuhan informasi adalah proses berulang dan berkelanjutan yang terjadi selama pelaksanaan pengendalian internal yang efektif sistem. Tampilan 3.4 menunjukkan contoh dari berbagai jenis eksternal dan informasi eksternal yang relevan untuk mendukung komponen pengendalian internal COSO.



Importance of Internal Communications



COSO menyarankan bahwa perusahaan harus mengkomunikasikan secara internal tujuan dan tanggung jawab pengendalian internal yang baik. Komunikasi terkait informasi ini harus dimulai dan didukung oleh manajemen senior dan disampaikan ke semua elemen di seluruh organisasi perusahaan, termasuk: Pentingnya, relevansi, dan manfaat pengendalian internal yang efektif ● Peran dan tanggung jawab manajemen dan personel lainnya dalam melakukan proses pengendalian internal tersebut ● Harapan perusahaan untuk mengkomunikasikan ke atas, ke bawah, dan di semua hal penting yang berkaitan dengan pengendalian internal, termasuk contoh kelemahan, kerusakan, atau ketidakpatuhan COSO INTERNAL CONTROL COMPONENTS:MONITORING ACTIVITIES Kegiatan pengendalian berfungsi untuk menilai apakah masing-masing dari lima tujuan atau komponen lainnya. Perusahaan dan auditor internalnya harus menggunakan proses evaluasi yang sedang berlangsung dan terpisah untuk memastikan apakah kesepakatan internal baik di seluruh perusahaan dan sub unitnya, berlaku dapat berfungsi. Pemantauan di sini adalah masukan utama ke dalam penilaian organisasi terhadap efektivitas pengendalian internal. Kerangka kerja pengendalian internal COSO yang telah direvisi mengidentifikasi dua prinsip: 1. Organisasi memilih, mengembangkan, dan melakukan evaluasi yang sedang berlangsung dan / atau terpisah untuk memastikan apakah komponen pengendalian internal ada dan berfungsi 2. Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi Kontrol yang tidak terpantau cenderung memburuk seiring waktu. Kerangka COSO mendefinisikan pemantauan terhadap proses untuk membantu memastikan bahwa pengendalian internal terus beroperasi secara efektif. Ketika pemantauan dirancang dan diterapkan dengan tepat, suatu perusahaan seharusnya mendapatkan keuntungan karena lebih cenderung untuk: a. mengidentifikasi dan mengoreksi permasalahan pengendalian internal secara berkala b. memproduksi lebih banyak informasi yang akurat dan dapat dipercaya untuk pengambilan keputusan c. mempersiapkan pernyataan finansial yang akurat dan tepat waktu d. Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang keefektifan pengendalian internal The COSO Framework’s Other Dimensions 1. Pengendalian internal COSO memiliki 3 dimensi dalam pengendalian internal, yaitu :



a. Keandalan dalam laporan keuangan b. Kepatuhan kepada hukum dan aturan yang berlaku c. Efektivitas dan Efisiensi dalam operasional 2. Dimanapun dimensi tersebut diterapkan dalam perusahaan, seluruh Pengendalian Internal dalam perusahaan harus dipertimbangkan berdasarkan 3 dimensi tersebut. Dengan begitu internal auditor dapat menilai ketepatan pengendalian internal.



BAB 4 THE 17 COSO INTERNAL CONTROL FRAMEWORK PRINCIPLES Control Environment Principles 1 : Integrity and Ethical Values Prinsip pertama dari lingkungan pengendalian COSO panggilan untuk perusahaan untuk menunjukkan komitmen terhadap integritas dan nilai etika. Sejarah dan budaya perusahaan sering memerankan peran besar dalam membentuk lingkungan pengendalian internal. Ketika sebuah sejarah perusahaan memiliki penekanan manajemen yang kuat dalam menghasilkan produk bebas kesalahan, ketika manajemen senior melanjutkan untuk menekankan pentingnya produk dengan kualitas tinggi, dan ketika pesan ini dikomunikasikan kepada semua pihak, ini menjadi faktor lingkungan pengendalian perusahaan yang utama. Jika manajemen mendapatkan reputasi untuk melihat ke arah lain pada pelanggaran kebijakan dan membuat pernyataan yang meragukan; pesan negatif ini akan dikomunikasikan ke tingkat lain dari perusahan. Hal positif pada puncak untuk manajemen senior untuk memimpin dengan contoh mengenai masalah integritas dan etika; tindakan positif di sini adalah batu fondasi yang membangun lingkungan pengendalian yang kuat bagi perusahaan. Kode etik telah dilakukan dengan organisasi bisnis selama bertahun-tahun, namun secara tradisional lebih fokus pada anggota karyawan yang berada pada tingkat bawah daripada pada manajemen senior. Perusahaan yang efektif saat ini harus mengembangkan dan memberlakukan kode yang mencakup peraturan etis, bisnis, dan hukum yang berlaku untuk semua pemangku kepentingan perusahaan, apakah mereka karyawan kantor, semua karyawan lain, atau kelompok pemangku kepentingan yang lebih besar termasuk vendor dan konsultan. Kode etik harus jelas, serangkaian peraturan atau panduan yang tidak ambigu yang menguraikan apa yang diharapkan dari semua pemangku kepentingan perusahaan. Kode tersebut harus berdasarkan pada masalah nilai dan hukum sekitar perusahaan. Kode tersebut harus berlaku untuk semua anggota perusahan dari tingkat yang paling senior sampai pekerja paruh waktu. ● Menegaskan Kepatuhan terhadap Kode Etik Kode etik perusahaan harus menjadi dokumen yang hidup. Manajemen senior perusahaan harus diminta untuk secara formal mengakui bahwa ia telah membaca, memahami, dan akan mematuhi kode etik perusahaan. Sebuah kode etik yang baru dapat dikomunikasikan melalui video oleh CEO, melalui sesi pelatihan atau yang lainnya untuk menekankan penting dan arti kode etik tersebut. Setiap karyawan dan



pemangku kepentingan harus diminta untuk mengakui penerimaan kode etik perusahaan



mereka, dengan



tanggapan yang dicatat



pada database



yang



mencantumkan nama karyawan dan tanggal peninjauan dan penerimaan atau ketidak penerimaan mereka. Jika seseorang menolak untuk menerima kode tersebut karena pertanyaan, pengawas atau lainnya harus mendiskusikan masalah tersebut dengan orang tersebut untuk mendapatkan pemecahan masalah akhirnya. Tujuan dari kebutuhan pengakuan kode ini adalah untuk menghindari adanya alasan “Saya tidak tahu bahwa itu adalah peraturannya” di masa depan ketika terjadi pelanggaran kode. ● Pelanggaran Kode dan Tindakan Korektif Sebuah perusahaan perlu untuk membangun mekanisme untuk memperbolehkan karyawan atau



bahkan pihak



luar untuk melaporkan potensi pelanggaran kode



dengan cara yang aman dan rahasia. Sebuah kode etik mendeskripsikan serangkaian aturan untuk tindakan yang diharapkan di perusahaan. Ketika pelanggaran ditemukan, masalahnya harus diselidiki dan tindakan yang diambil harus dilakukan secara konsisten, tidak peduli tingkatan dari pemangku kepentingan tersebut, sanksi untuk pelanggaran harus konsisten. Control Environment Principles 2 : Role of the Board Directors Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan direksi perusahaan dan komite audit. Dewan independen harus memiliki hubungan dekat dengan manajemen senior untuk memastikan operasi perusahaan efektif dan sukses dan lingkungan pengendalian internal yang kuat. Dewan direksi dan komite audit harus mengidentifikasi dan memahami harapan dari para pemangku kepentingan, termasuk pelanggan, karyawan, investor, dan khalayak umum, serta persyaratan hukum dan peraturan perusahaan. Harapan ini harus membantu membentuk tujuan perusahaan dan tanggung jawab pengawasan dewan. Kegiatan dewan direksi yang dapat membantu manajemen dalam menentukan apakah prinsip lingkungan pengendalian COSO ada dan berfungsi: 1. Menetapkan tanggung jawab pengawasan. Dewan direksi harus mengidentifikasi dan menerima tanggung jawab pengawasan dalam hubungannya untuk menetapkan persyaratan hukum dan harapan pemangku kepentingan, investor, dan masyarakat.



2. Menerapkan keahlian yang relevan. Dewan direksi harus mendefinisikan, mempertahankan, dan mengevaluasi secara berkala kemampuan dan keahlian yang dibutuhkan di antara anggota untuk memungkinkan mereka mengajukan pertanyaan menyelidik tentang manajemen senior dan mengambil tindakan sepadan. 3. Beroperasi secara mandiri. Dewan direksi harus memiliki cukup anggota yang independen dari manajemen dan objektif dalam evaluasi dan membuat keputusan. 4. Menyediakan pengawasan untuk sistem pengendalian internal.



Dewan direksi



harus mempertahankan tanggung jawab pengawasan untuk pengembangan dan performa manajemen atas pengendalian internal. Control Environment Principles 3 : Authority and Responsibility Needs Manajemen dengan pengawasan direktur harus menetapkan struktur, garis pelaporan, dan wewenang dalam mencapai tujuan pengendalian internalnya. Harus ada struktur organisasi untuk merencanakan, melaksanakan mengendalikan, dan menilai kegiatan perusahaan secara keseluruhan. Tujuan lingkungan pengendalian ini untuk menyediakan akuntabilitas dan arus informasi yang jelas dalam perusahaan. untuk menentukan prinsip pengendalian internal berfungsi dengan baik, manajemen dan dewan direksi perlu mempertimbangkan beberapa unit operasi, badan hukum, lokasi geografis, dan penyedia layanan outsourcing untuk mendukung pencapaian internal. Lingkungan pengendalian yang kuat mengatakan bahwa karyawan harus memiliki pengetahuan dan wewenang untuk membuat keputusan yang sesuai di wilayah operasi mereka. Control Environment Principles 4 : Commitment to a Competent Workforce Perusahaan



harus menunjukkan komitmen untuk menarik,



mengembangkan, dan



mempertahankan individu yang konsisten sesuai dengan tujuannya. Prinsip lingkungan pengendalian COSO ini mensyaratkan kebijakan dan tindakan yang bagi para pemangku kepentingan untuk melaksanakan tanggung jawab yang ditugaskan, dan memerlukan keahlian dan keahlian yang relevan, yang sebagian besar diperoleh dari pengalaman profesional, pelatihan, dan sertifikasi. Komitmen terhadap kompetensi dinyatakan dalam sikap dan perilaku individu dalam melaksanakan tanggung jawab seseorang. Fungsi sumber daya manusia seringkali dapat membantu menentukan tingkat kompetensi dan kepegawaian berdasarkan peran pekerjaan, memfasilitasi pelatihan dan memelihara catatan penyelesaian



serta mengevaluasi relevansi dan kecukupan pengembangan profesional individu sehubungan dengan kebutuhan perusahaan. Prinsip lingkungan pengendalian ini meminta perusahaan untuk menentukan persyaratan kompetensinya sesuai kebutuhan untuk mendukung tercapainya tujuan pengendalian internal, dengan pertimbangan yang diberikan kepada: 1. Pengetahuan, keterampilan, dan kebutuhan pengalaman 2. Sifat dan tingkat penilaian dan keterbatasan wewenang untuk diterapkan posisi tertentu 3. Analisis biaya-manfaat dari berbagai tingkat keterampilan dan pengalaman 4. Trade-off antara



tingkat



pengawasan dan tingkat kompetensi yang



dipersyaratkan dari karyawan individu Control Environment Principles 5​: ​HOLDING PEOPLE ACCOUNTABLE - Meminta Pertanggungjawaban - Disini, accountable merujuk pada tingkat kepemilikan dan komitmen pada performa kontrol internal dalam mencapai tujuan - Manajemen dan BoD harus menciptakan sebuah mekanisme untuk berkomunikasi dan meminta pertanggungjawaban personel atas tindakan yang mereka lakukan terkait dengan kontrol intern serta harus melakukan tindakan korektif bila diperlukan - Setiap tindakan yang dilakukan harus bisa dipertanggungjawabkan, tidak ada alasan untuk meng-lumrahkan kesalahan karena staf masih belum berpengalaman, atau karena takut menegur atasa​n Control Environment Principles 6​: ​SPECIFYING APPROPRIATE OBJECTIVE Menentukan Tujuan yang Tepat - Penilaian risiko yang dimaksud disini ialah kemungkinan terjadinya suatu peristiwa yang berdampak merugikan pada pencapaian tujuan organisasi - Manajemen risiko kontrol internal mempengaruhi keberhasilan organisasi, keefektifan ketika bersaing dalam industri, memelihara kekuatan finansial, reputasi baik, dan kualitas produk, jasa, dan orang yang ada di dalamnya. - Manajemen dan internal audit dapat mengevaluasi situasi mengkhawatirkan apa yang kemungkinan bisa terjadi dalam jangka pendek, dari situ, bisa menjadi dasar penentuan tujuan Control Environment Principles 7​: ​IDENTIFYING AND ANALYZING RISK Mengidentifikasi dan Menganalisa Risiko -



-



Proses identifikasi risiko harus dilakukan pada setiap level organisasi (sub unit dan fungsi operasi, ex : keuangan, SDM, pemasaran, pembelian, produksi, dll) dan harus dilakukan secara berkala Agar efektif, proses identifikasi risiko harus didukung oleh berbagai aktivitas, teknik, dan mekanisme yang masing-masing relevan terhadap penilaian risiko keseluruhan



Control Environment Principles ​8 : EVALUATING FRAUD RISK - Mengevaluasi Risiko Fraud - Penilaian risiko fraud merupakan sebuah proses yang harus dilakukan organisasi untuk menentukan besar kemungkinan terjadi fraud internal dan eksternal - Penilaian ini berarti me-review operasi dan pengendalian, termasuk peraturan dan prosedur untuk memeriksa adanya celah untuk melakukan fraud - Standar IIA menyatakan bahwa internal auditor punya peran untuk mendeteksi dan mencegah fraud, tetapi tanggung jawab utama berada pada manajemen Control Environment Principles ​9 : IDENTIFYING CHANGES AFFECTING INTERNAL CONTROLS - Mengidentifikasi Perubahan yang Mempengaruhi Kontrol Internal - Organisasi harus mengembangkan strategi manajemen risiko yang bertujuan untuk merinci bagaimana organisasi ingin menilai risiko, merencanakan tindakan, dan mengawasi risiko tersebut - Manajemen harus mempertimbangkan satu dari 4 pilihan strategi respon dasar : penghindaran (avoidance), pengurangan (reduction), pembagian (sharing), dan penerimaan (acceptance) Control Environment Principles 1​0 : SELECTING CONTROL ACTIVITIES THAT MITIGATE RISKS - Memilih Aktivitas Pengendalian yang Mengurangi Risiko - Aktivitas pengendalian terdiri aktivitas yang merespon penilaian risiko, dilaksanakan dengan baik dan dalam waktu yang tepat - Faktor spesifik dari suatu organisasi dapat mempengaruhi aktivitas pengendalian yang dibutuhkan untuk merespon risiko : a. Lingkungan dan kompleksitas organisasi b. Organisasi yang berada di bawah banyak peraturan dan regulasi c. Diversifikasi operasi dalam suatu organisasi (nasional dan multinasional) d. Kecanggihan sistem perencanaan sumber daya yang dimiliki organisasi e. Sistem pengambilan keputusan dan operasi organisasi (sentralisasi/desentralisasi) Control Environment Principles ​11 : SELECTING AND DEVELOPING TECHNOLOGY CONTROLS - Memilih dan Mengembangkan Pengendali Teknologi - Organisasi memiliki tantangan untuk memilih dan mengembangkan pengendalian teknologi yang cocok dan tepat dengan karakter organisasi Control Environment Principles ​12 : POLICIES AND PROCEDURES - Kebijakan dan Prosedur - Kebijakan yang dikeluarkan suatu organisasi harus memiliki elemen berikut : a. Tujuan kebijakan b. Lokasi dan penerapan c. Peran dan tanggung jawab



-



Organisasi harus menyebarkan kebijakan mengenai apa yang diharapkan dari seseorang/sesuatu dan prosedur yang berkaitan dengannya, dengan cara : a. Membuat kebijakan dan prosedur untuk mendukung penyebaran arahan dari manajemen b. Menentukan tanggung jawab dan akuntabilitas untuk pengeksekusian kebijakan dan prosedur c. Melakukan dengan personil yang kompeten d. Melakukan dalam waktu yang tepat e. Melaksanakan tindakan korektif bila diperlukan f. Memeriksa kembali kebijakan dan prosedur



Prinsip Informasi dan Komunikasi : Menggunakan Informasi yang Relevan dan Berkualitas Informasi dari Sumber yang relevan. Untuk mengelola informasi dari pihak eksternal, manajemen harus mempertimbangkan cakupan yang lebih komprehensif dari peristiwa, kegiatan, sumber data internal, sumber data terpercaya dan relevan yang dapat berguna terhadap struktur organisasi saat ini. Karena perubahan dapat terjadi kapan saja, perusahaan harus mengevaluasi kembali dan melakukan penyesuaian terhadap informasi dan data terkait. Mengolah data dengan Sistem Informasi COSO menggunakan sistem informasi dimana sistem informasi teknologi dan proses keseluruhan, baik manual maupun IT based, untuk menangkap, menganalisa, menyimpan dan mendistribusikan semua tipe informasi. Sifat dan luas kebutuhan informasi, kompleksitas dan volume informasi, dan ketergantungan pada pihak eksternal berdampak pada jangkauan sistem informasi, termasuk teknologi yang akan digunakan. Terlepas hal tersebut, semua jenis sistem informasi mendukung pemrosesan transaksi yang memungkinkan perusahaan untuk mengumpulkan, menyimpan, dan meringkas informasi yang berkualitas dan konsisten di seluruh proses yang relevan. Sistem informasi yang dikembangkan dengan proses terintegrasi yang didukung teknologi memberikan peluang bagi perusahaan untuk meningkatkan efisiensi, kecepatan, dan aksesibilitas informasi kepada pengguna,serta meningkatkan kontrol internal atas risiko keamanan dan privasi. Prinsip informasi dan komunikasi 14 : Komunikasi Internal a. Komunikasi Internal Kontrol ■ Mengkomunikasikan tujuan dari organisasi ■ Memberikan pemahaman mengenai peran penting, tanggung jawab, kontribusi karyawan dalam internal control perusahaan ■ Memberikan struktur kontrol, otoritas dan tanggung jawab Informasi yang berkaitan dengan pengendalian internal harus dikomunikasikan kepada dewan secara umum harus mencakup hal-hal signifikan tentang kepatuhan, perubahan, atau masalah yang timbul dari sistem pengendalian internal. b. Internal Communication Beyond Normal Channels



Agar informasi dapat mengalir ke atas, ke bawah, dan ke seluruh perusahaan, harus ada saluran komunikasi yang terbuka dan kemauan yang jelas untuk melaporkan dan mendengarkan. Dalam perusahaan tradisional, bagan organisasi tradisional adalah saluran komunikasi yang normal. Dalam beberapa keadaan, jalur komunikasi terpisah diperlukan untuk membangun ​fail-safe mechanism untuk komunikasi anonim ketika saluran normal tidak berfungsi atau tidak efektif. Banyak perusahaan besar telah membentuk fungsi etika dan beberapa jenis fungsi hotline di mana personel di semua tingkatan dapat menyampaikan, melaporkan, mengajukan pertanyaan atas masalah yang mereka temui langsung kepada dewan atau manajer tertinggi. c. Metode Komunikasi Metode komunikasi merupakan hal yang penting agar informasi yang disampaikan jelas dan efektif sehingga pesan yang diterima sesuai dengan yang dimaksudkan. Yang perlu dipertimbangkan dalam memilih metode komunikasi : ·​ ​Audiens ·​ ​sifat komunikasi ·​ ​ketepatan waktu ·​ ​biaya ·​ ​persyaratan keamanan dan privasi ·​ ​lingkungan tempat informasi disampaikan (budaya, etnis, dan generasi) ·​ ​media komunikasi Prinsip informasi dan komunikasi 15 : Komunikasi eksternal Komunikasi eksternal adalah salah satu prinsip COSO yang penting. Komunikasi ini merupakan kebijakan untuk memfasilitasi komunikasi eksternal yang efektif termasuk untuk memperoleh dan memberikan informasi pihak eksternal ke internal perusahaan. Informasi pihak eksternal memungkinkan manajemen dan untuk mengidentifikasi tren, peristiwa, atau keadaan yang dapat mempengaruhi pencapaian tujuan pengendalian internal perusahaan dan mempengaruhi bagaimana mereka harus berinteraksi dengan suatu perusahaan. Masalah kompleksitas komunikasi dapat timbul antara pihak-pihak yang saling mempunyai hubungan timbal balik. Dalam hal ini, perusahaan harus mempertimbangkan untuk menyediakan saluran komunikasi terpisah bagi penyedia layanan eksternal untuk memungkinkan mereka berkomunikasi secara langsung dengan manajemen dan personel lainnya. Perusahaan harus memfasilitasi saluran yang dapat mengkomunikasikan masalah kepada orang lain di perusahaan tanpa mengganggu operasi yang sedang berlangsung. Manajemen harus mempertimbangkan berbagai bentuk dan metode komunikasi yang digunakan, dengan mempertimbangkan audiens, sifat komunikasi, ketepatan waktu, dan persyaratan hukum atau peraturan ​Prinsip Monitoring 16 : Evaluasi Internal Control Perusahaan harus menggunakan proses evaluasi yang sedang berlangsung dan terpisah untuk memastikan apakah prinsip pengendalian internal yang ditetapkan berlaku, dan berfungsi.



Pemantauan dapat dilakukan melalui beberapa kombinasi evaluasi terpisah atau proses pemantauan berkelanjutan. a. pemantauan terpisah : Audit internal independen. Evaluasi terpisah harus dilakukan secara berkala antara lain oleh manajemen, audit internal, atau pihak eksternal. b. pemantauan berkelanjutan : proses audit internal berkelanjutan, di mana evaluasi berkelanjutan dibangun ke dalam proses bisnis, komponen pengendalian internalnya biasanya disusun untuk memantau diri mereka sendiri secara berkelanjutan. Pengendalian internal perlu dievaluasi untuk : a. Mengidentifikasi dan mengoreksi masalah pengendalian internal secara tepat waktu b. Menghasilkan informasi yang lebih akurat dan dapat diandalkan untuk digunakan dalam pengambilan keputusan c. Menyiapkan laporan keuangan yang akurat dan tepat waktu d. Berada dalam posisi untuk memberikan sertifikasi atau pernyataan berkala tentang efektivitas pengendalian internal Prinsip Monitoring 17 : Mengkomunikasikan Kekurangan Internal Control Perusahaan harus mengkomunikasikan kekurangan pengendalian internalnya secara tepat waktu kepada semua pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi. Proses untuk melaporkan defisiensi pengendalian internal merupakan komponen kunci untuk memastikan bahwa perusahaan memiliki pengendalian internal yang efektif. Setelah melakukan pemantauan dan mengidentifikasi kekurangan dalam pengendalian internal, perusahaan selanjutnya harus mengidentifikasi cara untuk memperbaiki dan meningkatkan efisiensi pengendalian internal.