Internal Auditing Assurance & Advisory Services, Fourth Edition-321-384 (1) .En - Id [PDF]

Citation preview

BAB 6



Pengendalian Internal TUJUAN PEMBELAJARAN ■ Pahami apa yang dimaksud dengan pengendalian internal dalam berbagai kerangka kerja.



■ Identifikasi tujuan, komponen, dan prinsip kerangka pengendalian internal yang efektif.



■ Ketahui peran dan tanggung jawab yang dimiliki setiap grup dalam organisasi terkait pengendalian internal.



■ Identifikasi berbagai jenis kontrol dan aplikasi yang sesuai untuk masing-masing kontrol.



■ Dapatkan kesadaran tentang proses untuk mengevaluasi sistem pengendalian internal.



“Kami dapat memikirkan beberapa aktivitas dalam organisasi yang lebih penting untuk keberhasilannya daripada mempertahankan pengendalian internal. Audit internal memberi manajemen jaminan asli bahwa kontrol yang memadai tersedia, dilakukan sebagaimana mestinya, dan bahwa setiap kegagalan diinvestigasi dan diperbaiki pada tepat waktu. "1 Setiap organisasi memiliki tujuan bisnis yang ingin dicapai, dan setiap organisasi memiliki risiko yang mengancam pencapaian tujuan tersebut. Dalam bab ini, kita membahas berbagai komponen



sistem pengendalian internal yang dikembangkan organisasi untuk memitigasi dan mengelola risiko tersebut. Anda akan keluar dari bab ini dengan pemahaman tentang apa yang dimaksud dengan pengendalian internal dan dapat mengidentifikasi berbagai kerangka kerja yang mempertimbangkan pengendalian internal. Selain itu, Anda akan dapat mengidentifikasi komponen yang harus ada untuk sistem pengendalian internal yang dirancang secara memadai dan efektif. Setiap orang dalam organisasi memiliki tanggung jawab untuk pengendalian internal, dan bab ini menguraikan peran dan tanggung jawab spesifik yang dimiliki setiap kelompok orang dalam organisasi dalam hal itu, termasuk proses manajemen untuk mengevaluasi sistem pengendalian internal organisasi. Yang terpenting untuk tujuan bab ini, kami menjelaskan peran spesifik yang dimiliki fungsi audit internal dalam mengevaluasi sistem pengendalian internal. Ada beberapa jenis pengendalian yang digunakan untuk memitigasi berbagai jenis risiko yang dihadapi organisasi. Di akhir bab ini, Anda akan dapat mengidentifikasi berbagai jenis kontrol yang tersedia, serta aplikasi yang sesuai dari masingmasing kontrol. Akhirnya, gambaran umum tingkat tinggi dari proses untuk mengevaluasi sistem pengendalian internal dibahas. Konsep ini dibahas secara lebih rinci dalam bab Melakukan Keterlibatan Audit Internal (bab 12 hingga 15), serta studi kasus yang menyertai buku teks ini. Anda akan dapat mengidentifikasi berbagai jenis kontrol yang tersedia, serta aplikasi yang sesuai dari masing-masing kontrol. Akhirnya, gambaran umum tingkat tinggi dari proses untuk mengevaluasi sistem pengendalian internal dibahas. Konsep ini dibahas secara lebih rinci dalam bab Melakukan Keterlibatan Audit Internal (bab 12 hingga 15), serta studi kasus yang menyertai buku teks ini. Anda akan dapat mengidentifikasi berbagai jenis kontrol yang tersedia, serta aplikasi yang sesuai dari masing-masing kontrol. Akhirnya, gambaran umum tingkat tinggi dari proses untuk mengevaluasi sistem pengendalian internal dibahas. Konsep ini dibahas secara lebih rinci dalam bab Melakukan Keterlibatan Audit Internal (bab 12 hingga 15), serta studi kasus yang menyertai buku teks ini. PAMERAN 6-1 PEDOMAN IPPF RELEVAN UNTUK BAB 6 Standar 2100 - Sifat Pekerjaan Standar 2130 - Kontrol



KERANGKA Kerangka kerja adalah sekumpulan prinsip panduan yang membentuk template yang dapat digunakan organisasi untuk mengevaluasi banyak praktik bisnis. Prinsip-prinsip ini terdiri dari berbagai konsep, nilai, asumsi, dan praktik yang dimaksudkan untuk memberikan tolok ukur yang dapat digunakan organisasi untuk menilai atau mengevaluasi struktur, proses, atau



lingkungan, atau sekelompok praktik atau prosedur. Khusus untuk praktik audit internal, berbagai kerangka kerja digunakan untuk menilai kecukupan desain dan efektivitas operasi pengendalian. Kerangka Sekumpulan prinsip panduan yang membentuk template yang dapat digunakan organisasi untuk mengevaluasi banyak praktik bisnis.



Kerangka kerja memberikan struktur di mana tubuh pengetahuan dan bimbingan cocok satu sama lain. Sistem ini memfasilitasi pengembangan, interpretasi, dan penerapan konsep, metodologi, dan teknik yang konsisten yang berguna untuk suatu disiplin atau profesi. Penting untuk memulai dengan membuat beberapa perbedaan sehingga tidak ada kebingungan mengenai berbagai kerangka kerja yang dibahas dalam bab ini — khususnya, kerangka kerja manajemen risiko perusahaan (ERM) dan kerangka kerja yang lebih khusus dirancang untuk menangani pengendalian internal. Keduanya berhubungan dengan mitigasi risiko dan aspek pengendalian internal, namun kerangka kerja yang berfokus pada pengendalian internal saja didefinisikan secara lebih sempit dan cenderung kurang strategis. Meskipun bab ini secara khusus membahas subjek pengendalian internal dan berfokus pada kerangka pengendalian internal, bab ini tidak akan lengkap tanpa mengidentifikasi kerangka ERM dan kerangka kerja lain yang diakui secara global yang berhubungan dengan tata kelola, manajemen risiko, dan pengendalian internal yang juga telah dikembangkan atau telah berkembang selama ini. waktu.bagian 3, "Tata Kelola," membahas tata kelola, manajemen risiko, dan hierarki pengendalian internal, sementara Bab 4, "Manajemen Risiko," secara khusus membahas kerangka kerja ERM Committee of Sponsoring Organizations of the Treadway Commission (COSO), "Menyelaraskan Risiko dengan Strategi dan Kinerja," secara lebih rinci. Gambar 6-2 menyajikan kerangka kerja ini.



Kerangka Pengendalian Internal Meskipun kerangka kerja dibahas di bukti 6-2 mengandung elemen pengendalian internal, saat ini hanya ada tiga kerangka pengendalian internal yang diakui secara global oleh manajemen, akuntan / auditor luar independen, dan profesional audit internal: Pengendalian Internal -



Kerangka Terintegrasi, dikeluarkan oleh COSO awalnya pada tahun 1992 dan diperbarui pada tahun 2013; Guidance on Control (sering disebut sebagai kerangka CoCo), diterbitkan pada tahun 1995 oleh Canadian Institute of Chartered Accountants (CICA), dan Guidance on Risk Management, Internal Control dan Related Financial and Business Reporting (laporan ini menggantikan Internal Control: Revised Guide untuk Direksi tentang Kode Gabungan, disebut sebagai Laporan Turnbull), yang diterbitkan oleh Financial Reporting Council pada tahun 2014. COBIT, kerangka kerja pengendalian internal teknologi informasi (TI) yang dirujuk dalambukti 6-2, secara khusus dirancang untuk memberikan panduan tentang pengembangan dan penilaian tata kelola TI yang tepat. Dengan demikian, ini melengkapi COSO, CoCo, dan Panduan tentang Manajemen Risiko, Pengendalian Internal dan Pelaporan Keuangan dan Bisnis Terkait dalam hal pengendalian TI, tetapi ini bukan kerangka kerja pengendalian internal yang komprehensif itu sendiri. ICFR Pengendalian Internal atas Pelaporan Keuangan



Tidak ada perbedaan mendasar antara COSO dan CoCo. Kedua kerangka kerja tersebut mencakup definisi pengendalian internal yang menggambarkan proses yang memberikan jaminan yang wajar untuk mencapai tujuan organisasi dalam tiga kategori spesifik: efektivitas dan efisiensi operasi, keandalan pelaporan, dan kepatuhan. Kerangka tersebut juga menyepakati tanggung jawab atas pengendalian internal, secara khusus menempatkan tanggung jawab tidak hanya pada dewan direksi, manajemen senior, dan auditor internal, tetapi juga pada setiap individu dalam organisasi. Meskipun kerangka menggunakan judul yang berbeda untuk mereka, komponen dari setiap kerangka pengendalian internal pada dasarnya sama dan dapat diperiksa menggunakan judul COSO untuk setiap komponen. Mereka adalah: Lingkungan Pengendalian, Penilaian Risiko, Aktivitas Pengendalian, PAMERAN 6-2 KERANGKA YANG DIAKUI SECARA GLOBAL Kerangka Pengendalian Internal



Pengendalian Internal - Kerangka Terintegrasi (COSO), Committee of Sponsoring Organizations of the Treadway Commission, Amerika Serikat, 2013 Guidance on Control (CoCo), Institut Akuntan Chartered Kanada, Kanada, 1995 Panduan Manajemen Risiko, Pengendalian Internal dan Pelaporan Keuangan dan Bisnis Terkait (FRC Internal Control Guidance), Financial Reporting Council (FRC), Inggris, 2014 COBIT 5, IT Governance Institute, Amerika Serikat, 2012



Kerangka Tata Kelola Laporan Komite Aspek Keuangan Tata Kelola Perusahaan (Cadbury), Inggris, 1992 Komite Raja untuk Tata Kelola Perusahaan, Institute of Directors, Afrika Selatan, 2009



Kerangka Kerja Manajemen Risiko Perusahaan Manajemen Risiko Perusahaan - Menyelaraskan Risiko dengan Strategi dan Kinerja, Committee of Sponsoring Organizations of the Treadway Commission, Amerika Serikat, 2016 Manajemen Risiko - Prinsip dan Pedoman (ISO 31000) Organisasi Internasional untuk Standardisasi (ISO), Swiss, 2009



Kerangka Kerja Mitigasi Risiko Lainnya yang Diakui Secara Global Konvergensi Internasional Pengukuran Modal dan Standar Modal (Basel Accord), Komite Basel untuk Pengawasan Perbankan, 1988 Konvergensi Internasional Pengukuran Modal dan Standar Modal: Kerangka yang Direvisi (Basel II & III), Komite Basel untuk Pengawasan Perbankan, 2005 & 2011



PAMERAN 6-3 TINDAKAN SARBANES-OXLEY AS TAHUN 2002 KEPATUHAN



u domestik, yang ingin mengakses pasar modal Amerika Serikat (AS). SEC juga mengakui kerangka CoCo Kanada dan Laporan Tur



DETIK. COSO mewakili kerangka kerja utama yang digunakan untuk menilai sistem pengendalian internal organisasi di Amerika Serikat.



COSO Komite Organisasi Sponsor dari Treadway Commission, sebuah organisasi sektor swasta sukarela yang didedikasikan untuk meningkatkan kualitas pelaporan keuangan melalui etika bisnis, pengendalian internal yang efektif, dan tata kelola perusahaan.



Di Amerika Serikat, Undang-Undang Sarbanes-Oxley Act of 2002 AS menempatkan tanggung jawab untuk desain, pemeliharaan, dan operasi efektif pengendalian internal tepat di pundak manajemen senior, khususnya, CEO dan kepala keuangan (CFO). Untuk mematuhi undang-undang ini, Komisi Sekuritas dan Bursa AS (SEC) mewajibkan CEO dan CFO perusahaan yang diperdagangkan secara publik di atas ukuran tertentu untuk berpendapat tentang kecukupan desain dan efektivitas operasi pengendalian internal atas pelaporan keuangan (ICFR) sebagai bagian dari pengajuan laporan keuangan tahunan dengan SEC, serta melaporkan perubahan substansial dalam ICFR, jika ada, setiap tiga bulan. Secara khusus, SEC membutuhkan bukti kepatuhan, yang memutuskan bahwa ". . . manajemen harus mendasarkan evaluasinya [atau, untuk komentar publik. "2 Untuk rincian tentang evaluasi SEC terhadap kerangka pengendalian internal yang sesuai, lihat pameran 6-3. SE C selanjutnya memutuskan, “Kerangka COSO memenuhi kriteria kami dan dapat digunakan sebagai kerangka evaluasi untuk tujuan evaluasi pengendalian internal tahunan dan persyaratan pengungkapan. Namun, aturan terakhir tidak mengamanatkan penggunaan kerangka kerja tertentu, seperti kerangka COSO, sebagai pengakuan atas fakta bahwa kerangka kerja lain standar evaluasi ada di luar Amerika Serikat. . . ” 3 SEC, dalam catatan kaki 67 putusan akhir, secara khusus mengidentifikasi Panduan tentang Kontrol dan Laporan Turnbull sebagai contoh kerangka kerja lain yang sesuai (meskipun Panduan FCR yang menggantikan Laporan Turnbull pada tahun 2014 tidak). Selain tiga kerangka tersebut secara khusus



dimaksud, SEC mengakui ". . . bahwa kerangka kerja selain COSO dapat dikembangkan di Amerika Serikat di masa depan, yang memenuhi maksud undang-undang tanpa mengurangi manfaat bagi investor. Penggunaan ukuran standar yang tersedia untuk umum akan meningkatkan kualitas laporan pengendalian internal dan akan mendorong komparabilitas laporan pengendalian internal dari berbagai perusahaan. Aturan terakhir mengharuskan laporan manajemen untuk mengidentifikasi kerangka evaluasi yang digunakan oleh manajemen untuk menilai efektivitas pengendalian internal perusahaan atas pelaporan keuangan. Secara khusus, kerangka kerja yang sesuai harus: bebas dari bias; mengizinkan pengukuran kualitatif dan kuantitatif yang cukup konsisten dari pengendalian internal perusahaan; cukup lengkap sehingga faktor-faktor relevan yang akan mengubah kesimpulan [atau opini] tentang efektivitas pengendalian internal perusahaan tidak dihilangkan; dan relevan dengan evaluasi internal kontrol atas pelaporan keuangan [ICFR] ”(keputusan akhir SEC 338238).4 Banyak organisasi berhasil menerapkan kerangka kerja ini dalam upaya mereka untuk mematuhi Bagian 404 Sarbanes-Oxley, meskipun menghadapi biaya tak terduga yang signifikan. Perusahaan publik yang lebih kecil (sebagaimana didefinisikan dalampameran 6-4), di sisi lain, berjuang untuk mematuhinya karena biaya yang mahal serta beberapa tantangan lain yang unik untuk organisasi yang lebih kecil, termasuk:



■ Memperoleh sumber daya yang cukup untuk mencapai pemisahan tugas yang memadai,



■ Menyeimbangkan kemampuan manajemen untuk mendominasi aktivitas, dengan peluang signifikan untuk proses pengesampingan manajemen yang tidak tepat agar terlihat bahwa tujuan kinerja bisnis telah terpenuhi [manajemen override of control],



■ Merekrut individu dengan keahlian yang diperlukan untuk melayani secara efektif di dewan direksi dan komite,



■ Merekrut dan mempertahankan personel dengan pengalaman dan keterampilan yang memadai dalam operasi, pelaporan, kepatuhan, dan disiplin ilmu lainnya,



■ Mengambil perhatian manajemen yang kritis dari menjalankan



bisnis untuk memberikan fokus yang cukup pada pengendalian



internal, [dan]



■ Mengontrol teknologi informasi dan memelihara kontrol umum dan aplikasi yang sesuai atas sistem informasi komputer dengan sumber daya teknis yang terbatas. 5 Publikasi Tambahan untuk Pengendalian Internal COSO - Kerangka Terintegrasi: — Kontrol Internai Atas Pelaporan Keuangan - Panduan untuk Perusahaan Publik yang Lebih Kecil — Pedoman Pemantauan Sistem Pengendalian Internal — Pengendalian Internal atas Pelaporan Keuangan Eksternal: Ringkasan Pendekatan dan Contoh



PAMERAN 6-4 KARAKTERISTIK ENTITAS “LEBIH KECIL” Ada berbagai macam entitas yang dapat diklasifikasikan sebagai "lebih kecil". Banyak yang memiliki kesamaan karakteristik berikut:



■ Lebih sedikit lini bisnis dan lebih sedikit produk dalam lini. ■ Konsentrasi fokus pemasaran, berdasarkan saluran atau geografi. ■ Kepemimpinan oleh manajemen dengan kepentingan atau hak kepemilikan yang signifikan. ■ Tingkat manajemen yang lebih sedikit, dengan rentang kendali yang lebih luas. ■ Sistem dan protokol pemrosesan transaksi yang kurang kompleks. ■ Lebih sedikit personel, banyak yang memiliki jangkauan tugas yang lebih luas. ■ Kemampuan terbatas untuk mempertahankan sumber daya yang dalam serta mendukung posisi staf, seperti hukum, sumber daya manusia, akuntansi, dan audit internal. Sumber: Hak Cipta 2006 oleh Komite Organisasi Sponsor dari Treadway Commission. Direproduksi dengan izin dari AICPA yang bertindak sebagai administrator resmi untuk COSO.



Untuk membantu organisasi dalam mematuhi Bagian 404 SarbanesOxley, termasuk perusahaan publik yang lebih kecil, COSO mengeluarkan Pengendalian Internal atas Pelaporan Keuangan Eksternal - Kompendium Pendekatan dan Contoh (Kompendium) pada tahun 2013 sebagai pelengkap kerangka COSO. “Fokus dari publikasi ini adalah kategori tujuan pelaporan keuangan eksternal, bagian dari kategori pelaporan. Tujuan pelaporan keuangan eksternal membahas penyusunan laporan keuangan untuk pihak eksternal, termasuk:



■ Laporan keuangan untuk tujuan eksternal, dan ■ Pelaporan keuangan eksternal lainnya yang berasal dari pembukuan dan catatan keuangan dan akuntansi entitas. " 6 Terutama dirancang untuk memberikan panduan kepada perusahaan dari semua ukuran dengan cara hemat biaya untuk mematuhi Bagian 404 dari Sarbanes-Oxley, Kompendium memberikan manfaat tambahan dalam memberikan arahan kepada perusahaan publik yang lebih kecil tentang penerapan kerangka COSO ketika mengevaluasi efektivitas ICFR . Selain itu, kerangka kerja COSO yang diperbarui memberikan rincian yang jauh lebih rinci mengenai penggunaan kegiatan pemantauan untuk mendukung kesimpulan tentang efektivitas pengendalian internal, termasuk ICFR, yang sangat penting bagi perusahaan publik kecil yang bekerja untuk mematuhi Pasal 404 Sarbanes-Oxley. Seperti prinsip-prinsip yang terkait dengan komponen lain dari pengendalian internal, kerangka kerja yang diperbarui menguraikan dua prinsip yang berhubungan dengan kegiatan pemantauan (lihatpameran 6-9 untuk semua 17 prinsip):



■ Organisasi memilih, mengembangkan, dan melakukan evaluasi yang sedang berlangsung dan / atau terpisah untuk memastikan apakah komponen pengendalian internal ada dan berfungsi (prinsip 16).7



■ Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi, sebagaimana mestinya (prinsip 17).8 Komponen kegiatan pemantauan dari kerangka kerja COSO yang



diperbarui adalah



dibahas lebih rinci nanti di bab ini. Sebagai hasil dari pengawasan publik yang meningkat atas ICFR yang dilakukan oleh Sarbanes-Oxley, subjek pengendalian internal telah diangkat ke posisi yang sebelumnya diperuntukkan untuk topik seperti penjualan, pemasaran, laba (EPS), dan kecukupan modal di banyak organisasi. Selain menggunakan COSO, CoCo, dan FRC Internal Control Guidance sebagai sarana untuk menilai ICFR, banyak organisasi juga menggunakan kerangka kerja ini untuk mengevaluasi secara lebih luas keseluruhan sistem pengendalian internal. IIA mengakui bagaimana kerangka kerja ini berkontribusi pada pergeseran pemikiran tentang pengendalian dalam hal keselarasannya dengan tujuan organisasi: “Kontrol telah lama menjadi komponen dari 'unik' dari audit internal. Munculnya kerangka pengendalian manajemen yang luas seperti Pengendalian Internal - Kerangka Terintegrasi dari Komite Organisasi Sponsoring dari Komisi Treadway (COSO) dan Kriteria Pengendalian dari Institut Akuntan Chartered Kanada (CoCo) telah meningkatkan fokus auditor internal dari keuangan dan pengendalian berorientasi kepatuhan terhadap pengendalian manajemen dan proses tata kelola yang menangani risiko organisasi yang luas. membuat proses. "9



Seperti yang ditunjukkan sebelumnya, dua kerangka kerja ini mencakup definisi serupa dari pengendalian internal yang menggambarkan proses yang memberikan keyakinan memadai untuk mencapai tujuan entitas dari suatu



organisasi dalam tiga kategori spesifik: operasi, pelaporan, dan kepatuhan. Sekali lagi, mereka disebut dengan judul yang berbeda di antara kerangka kerja, tetapi komponen dari setiap kerangka kerja pengendalian internal pada dasarnya sama. Oleh karena itu, di sepanjang sisa bab ini, kerangka kerja COSO akan digunakan untuk mempelajari berbagai komponen sistem pengendalian internal secara lebih mendalam, karena kerangka ini mencerminkan konsep dari ketiga kerangka kerja. Kerangka COSO dan CoCo Digunakan oleh semakin banyak organisasi untuk mengevaluasi seluruh sistem pengendalian internal, tidak hanya pengendalian internal atas pelaporan keuangan.



DEFINISI PENGENDALIAN INTERNAL COSO secara luas mendefinisikan pengendalian internal sebagai: . . . sebuah proses, yang dilakukan oleh dewan direksi, manajemen, dan personel entitas lainnya, yang dirancang untuk memberikan jaminan yang wajar terkait pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan. Definisi tersebut menekankan bahwa pengendalian internal adalah:



■ Ditujukan untuk pencapaian tujuan dalam satu atau lebih kategori terpisah tetapi tumpang tindih — operasi, pelaporan, dan kepatuhan.



■ Sebuah proses terdiri dari tugas dan aktivitas yang sedang



berlangsung — sarana untuk mencapai tujuan, bukan tujuan itu sendiri.



■ Dipengaruhi oleh orang-orang—Tidak hanya tentang kebijakan dan manual prosedur, sistem, dan formulir, tetapi tentang orang-orang dan tindakan yang mereka ambil di setiap tingkat organisasi untuk mempengaruhi pengendalian internal.



■ Mampu memberikan jaminan yang wajar, tetapi bukan jaminan mutlak, kepada manajemen senior dan dewan direksi entitas.



■ Beradaptasi dengan struktur entitas—Fleksibel dalam aplikasi untuk seluruh entitas atau untuk anak perusahaan, divisi, unit operasi, atau proses bisnis tertentu. 10



Pengendalian Internal (Definisi COSO) Sebuah proses, yang dilakukan oleh dewan direksi, manajemen, dan personel entitas lainnya, yang dirancang untuk memberikan jaminan yang wajar terkait pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan.



Meskipun definisi ini mungkin tampak sangat umum, definisi pengendalian internal secara luas mengakomodasi eksplorasi kategorinya secara individual atau diambil secara keseluruhan. Ketika kategori pengendalian internal dilihat secara keseluruhan, mereka secara kolektif disebut sebagai sistem pengendalian internal. COSO menunjukkan, “Definisi pengendalian internal ini sengaja dibuat luas karena dua alasan. Pertama, ia menangkap konsep-konsep penting yang mendasar tentang bagaimana organisasi merancang, menerapkan, dan melakukan pengendalian internal dan menilai efektivitas sistem pengendalian internal mereka, memberikan dasar untuk penerapan di berbagai jenis organisasi, industri, dan wilayah geografis. Kedua, definisi mengakomodasi subset dari pengendalian internal. " 11 COSO juga menunjukkan, “Mereka yang ingin dapat fokus secara terpisah, misalnya, pada pengendalian internal atas pelaporan atau pengendalian yang berkaitan dengan kepatuhan terhadap hukum dan peraturan. Demikian pula, fokus langsung pada kontrol dalam unit atau aktivitas tertentu dari suatu entitas dapat diakomodasi. " 12 Demikian juga, sebuah organisasi dapat memilih untuk fokus pada keseluruhan sistem pengendalian internalnya. Gambar 6-6 mengilustrasikan komponen pengendalian internal dengan penekanan pada bagaimana mereka saling berhubungan. Perhatikan bahwa meskipun COSO mendefinisikan pencapaian tujuan kepatuhan secara ketat sebagai "kepatuhan terhadap hukum dan peraturan yang tunduk pada entitas,"13 Kerangka Kerja Praktik Profesional Internasional (IPPF) IIA mendefinisikannya secara lebih luas sebagai "kepatuhan terhadap kebijakan, rencana, prosedur, undangundang, peraturan, kontrak, atau persyaratan lainnya." COSO menganggap kepatuhan dengan persyaratan terkait tata kelola tambahan tersebut sebagai bagian dari pencapaian tujuan operasi, bukan tujuan kepatuhan. Klasifikasi jauh lebih penting daripada pencapaian tujuan sebenarnya tidak peduli bagaimana organisasi memilih untuk mengklasifikasikannya. Perbedaan ini, bagaimanapun,



menjadi pertimbangan penting ketika fungsi audit internal merencanakan dan menentukan ruang lingkup perikatan asurans. Untuk tinjauan rinci tentang perencanaan perikatan asurans, pengaturan ruang lingkup, dan



komunikasi, lihat Bab 12, "Pengantar Proses Keterlibatan," Bab 13, "Melakukan Perikatan Assurance", dan Bab 14, "Mengkomunikasikan Hasil Keterlibatan Jaminan dan Melakukan Prosedur Tindak Lanjut."



TUJUAN, KOMPONEN, DAN PRINSIP PENGENDALIAN INTERNAL COSO menjelaskan, “Ada hubungan langsung antara tujuan, yaitu apa yang ingin dicapai oleh entitas, komponen [dan prinsip], yang mewakili apa yang diperlukan untuk mencapai tujuan, dan struktur entitas (unit operasi, entitas hukum, dan struktur lainnya. ). Hubungannya bisa digambarkan dalam bentuk kubus. "14 Lihat pameran 6-5. Komponen Pengendalian Internal: — Lingkungan Kontrol — Tugas beresiko — Aktivitas Pengendalian — Informasi dan Komunikasi — Kegiatan Pemantauan



Selain lima komponen terintegrasi tersebut, COSO juga menetapkan 17 prinsip pendukung yang merepresentasikan konsep fundamental yang terkait dengan setiap komponen pengendalian internal. 17 prinsip ini diuraikan dalampameran 6-9 dan dibahas lebih lanjut nanti dalam bab ini. PAMERAN 6-5 COSO CUBE



Sumber: Hak Cipta 2013 oleh Komite Organisasi Sponsor dari Treadway Commission. Direproduksi dengan izin da



Tujuan Pekerjaan kerja [COSO] [f] menetapkan tiga kategori tujuan, yang memungkinkan organisasi untuk fokus pada berbagai aspek pengendalian internal:



■ Tujuan Operasi — Ini berkaitan dengan efektivitas dan efisiensi operasi entitas, termasuk tujuan kinerja operasional dan keuangan, dan melindungi aset dari kerugian.



■ Tujuan Pelaporan — Ini berkaitan dengan pelaporan keuangan dan non-keuangan internal dan eksternal dan dapat mencakup keandalan, ketepatan waktu, transparansi, atau istilah lain sebagaimana ditetapkan oleh regulator, pembuat standar, atau kebijakan entitas.



■ Tujuan Kepatuhan — Ini berkaitan dengan kepatuhan terhadap hukum dan peraturan yang menjadi subjek entitas. 15 COSO melanjutkan, “Sebuah sistem pengendalian internal diharapkan dapat memberikan organisasi dengan jaminan yang wajar bahwa tujuan yang berkaitan dengan pelaporan eksternal dan kepatuhan terhadap hukum dan peraturan akan tercapai.



tercapai. Pencapaian tujuan tersebut, yang sebagian besar didasarkan pada undang-undang, peraturan, regulasi, atau standar yang ditetapkan oleh legislator, pembuat peraturan, dan pembuat standar, bergantung pada bagaimana aktivitas dalam kendali organisasi dilakukan. Secara umum, manajemen dan / atau dewan memiliki keleluasaan yang lebih besar dalam menetapkan tujuan pelaporan internal yang tidak didorong terutama oleh pihak eksternal tersebut. Namun, organisasi dapat memilih untuk menyelaraskan tujuan pelaporan internal dan eksternal untuk memungkinkan pelaporan internal untuk lebih mendukung pelaporan eksternal entitas. "16 PAMERAN 6-6 KOMPONEN PENGENDALIAN INTERNAL



Lingkungan pengendalian menyediakan suasana di mana orang melakukan aktivitasnya dan melaksanakan tanggung jawab pengendaliannya. Ini berfungsi sebagai fondasi untuk komponen lainnya. Dalam lingkungan ini, manajemen menilai risiko terhadap pencapaian tujuan yang ditentukan. Kegiatan pengendalian dilaksanakan untuk membantu memastikan bahwa arahan manajemen untuk mengatasi risiko telah dilaksanakan. Sementara itu, informasi yang relevan ditangkap dan dikomunikasikan



di seluruh organisasi. Seluruh proses dipantau dan dimodifikasi sesuai ketentuan. Sumber: Hak Cipta 2013 oleh Komite Organisasi Sponsor dari Treadway Commission. Direproduksi dengan izin dari AICPA yang bertindak sebagai administrator resmi untuk COSO.



Komponen COSO menunjukkan, “Mendukung organisasi dalam upayanya mencapai tujuan adalah lima komponen pengendalian internal:



■ Lingkungan Kontrol ■ Tugas beresiko ■ Aktivitas Pengendalian ■ Informasi dan Komunikasi ■ Kegiatan Pemantauan Komponen ini relevan dengan seluruh entitas dan dengan tingkat entitas, anak perusahaan, divisinya, atau setiap unit operasi, fungsi, atau subkumpulan lainnya dari entitas tersebut. ” 17 Komponen, seperti yang didefinisikan oleh COSO, dijelaskan di bawah ini.



Lingkungan Kontrol Lingkungan pengendalian organisasi menembus semua area organisasi dan memengaruhi cara individu mendekati pengendalian internal. Komponen dasar pengendalian internal ini menciptakan konteks di mana terdapat komponen pengendalian internal lainnya. COSO menunjukkan bahwa “lingkungan pengendalian adalah sekumpulan standar, proses, dan struktur yang memberikan dasar untuk melaksanakan pengendalian internal di seluruh organisasi. Dewan direksi dan manajemen senior menetapkan nada di atas mengenai pentingnya pengendalian internal termasuk standar perilaku yang diharapkan. Manajemen memperkuat ekspektasi di berbagai tingkat organisasi. Lingkungan pengendalian terdiri dari integritas dan nilai-nilai etika



organisasi, parameter yang memungkinkan dewan direksi untuk melaksanakan tanggung jawab pengawasan tata kelola, struktur organisasi dan penugasan wewenang dan tanggung jawab, proses untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten, dan ketelitian seputar ukuran kinerja, insentif, dan penghargaan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian yang dihasilkan memiliki dampak yang meluas pada keseluruhan sistem pengendalian internal. " 18 Faktor Sukses Kritis Keberhasilan yang harus dicapai untuk mencapai tujuan.



Sejarah dan budaya organisasi secara langsung mempengaruhi lingkungan pengendaliannya. Sasaran organisasi dicapai, sebagian, melalui lingkungan pengendalian yang, jika diterapkan secara efektif, menghasilkan budaya organisasi yang mendorong integritas dan memprioritaskan kesadaran pengendalian. Lingkungan pengendalian seperti itu biasanya mencakup nada positif di bagian atas, kebijakan dan prosedur yang sesuai, dan, seringkali, kode etik tertulis. Aspek-aspek lingkungan pengendalian ini memupuk nilainilai bersama dan sering kali menghasilkan upaya kolaboratif untuk mencapai tujuan entitas.



Tugas beresiko Semua organisasi menghadapi risiko, yaitu ancaman terhadap pencapaian tujuan. Semua risiko, baik internal maupun eksternal, perlu dinilai. Menurut COSO, “Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal. Risiko didefinisikan sebagai kemungkinan bahwa suatu peristiwa akan terjadi dan berdampak negatif terhadap pencapaian tujuan. Penilaian risiko melibatkan proses yang dinamis dan berulang untuk mengidentifikasi dan menilai risiko untuk pencapaian tujuan. Risiko pencapaian tujuan ini dari seluruh entitas dianggap relatif terhadap tingkat toleransi yang ditetapkan. Dengan demikian, penilaian risiko menjadi dasar untuk menentukan bagaimana risiko akan dikelola. Prasyarat untuk penilaian risiko adalah penetapan tujuan, terkait pada berbagai tingkat entitas. Manajemen menetapkan tujuan dalam kategori yang berkaitan dengan operasi, pelaporan, dan kepatuhan dengan kejelasan yang memadai untuk dapat mengidentifikasi dan menganalisis risiko terhadap tujuan tersebut. Manajemen juga



mempertimbangkan kesesuaian tujuan untuk entitas. Penilaian risiko juga mengharuskan manajemen untuk mempertimbangkan dampak dari kemungkinan perubahan dalam lingkungan eksternal dan dalam model bisnisnya sendiri yang dapat membuat pengendalian internal tidak efektif. ”19 Identifikasi dan analisis risiko, yang keduanya penting untuk penilaian risiko yang efektif, akan dibahas lebih rinci nanti di bab ini. Menetapkan tujuan yang jelas adalah prasyarat untuk identifikasi, penilaian, dan respons terhadap risiko yang efektif. Pertama-tama harus ada tujuan, yang ditetapkan dalam lingkungan pengaturan strategi, sebelum manajemen dapat mengidentifikasi risiko yang mungkin menghalangi pencapaian tujuan dan mengambil tindakan yang diperlukan untuk mengelola risiko tersebut. Seperti yang dibahas diBab 4, penetapan tujuan, identifikasi peristiwa, penilaian risiko, dan respons risiko adalah elemen kunci dari proses manajemen risiko. Dengan demikian, penetapan tujuan merupakan prasyarat untuk, dan memungkinkan, pengendalian internal. Proses untuk menetapkan tujuan dapat berkisar dari yang sangat terstruktur hingga sangat informal. Pernyataan misi organisasi sering kali mendorong tujuan tingkat entitas. Bersama dengan penilaian kekuatan, kelemahan, risiko, dan peluang, tujuan menetapkan konteks untuk menentukan strategi organisasi. Biasanya, rencana strategis yang dihasilkan bersifat umum. Dari rencana strategis umum, tujuan diidentifikasi yang lebih spesifik daripada tujuan tingkat entitas yang dibahas di atas. Sasaran tingkat entitas kemudian ditautkan ke tujuan spesifik yang telah ditetapkan untuk berbagai aktivitas dalam organisasi. Tujuan spesifik dari aktivitas tersebut harus selaras dengan tujuan tingkat entitas yang diidentifikasi oleh organisasi. Menetapkan tujuan di tingkat entitas dan proses penting bagi organisasi untuk dapat mengidentifikasi faktor penentu keberhasilan (keberhasilan yang harus dicapai untuk tujuan yang akan dicapai). Faktor penentu keberhasilan hadir di semua tingkat organisasi dan memfasilitasi pembuatan kriteria yang dapat diukur yang menjadi dasar penilaian kinerja.



Aktivitas Pengendalian Aktivitas pengendalian adalah tindakan yang diambil oleh manajemen, dewan, dan pihak lain untuk memitigasi risiko dan meningkatkan kemungkinan tercapainya tujuan dan sasaran yang ditetapkan. Manajemen merencanakan, mengatur, dan mengarahkan kinerja tindakan yang memadai untuk memberikan jaminan yang wajar bahwa tujuan dan sasaran akan tercapai. Seperti faktor penentu keberhasilan yang dijelaskan di atas, aktivitas pengendalian hadir di semua tingkat organisasi. Dan, seperti tujuan yang dirancang untuk membantu mereka capai, aktivitas pengendalian dapat dipisahkan menjadi tiga kategori operasi, pelaporan, dan kepatuhan. Namun, aktivitas pengendalian sering kali dirancang untuk mengurangi berbagai risiko yang dapat mengancam tujuan di lebih dari satu kategori. Pemisahan tugas Membagi aktivitas pengendalian di antara orang-orang yang berbeda untuk mengurangi risiko kesalahan atau tindakan yang tidak tepat yang dilakukan oleh satu individu.



Setiap organisasi memiliki tujuan entitas dan strategi implementasi sendiri. Karena setiap organisasi dikelola oleh orang-orang berbeda yang menggunakan penilaian individu dalam lingkungan operasi yang unik dengan kompleksitas yang berbeda-beda, tidak ada dua organisasi yang memiliki rangkaian aktivitas kontrol yang sama, meskipun mereka mungkin memiliki strategi bisnis yang sangat mirip. Oleh karena itu, aktivitas pengendalian berperan penting dalam proses manajemen organisasi dengan memastikan bahwa risiko yang diidentifikasi secara unik dimitigasi, memungkinkan organisasi untuk mencapai tujuan entitasnya. Seperti yang ditunjukkan oleh COSO, “Aktivitas pengendalian dilakukan di semua tingkat [organisasi], di berbagai tahapan dalam proses bisnis, dan di atas lingkungan teknologi. Mereka mungkin bersifat pencegahan atau detektif dan dapat mencakup berbagai aktivitas manual dan otomatis, seperti otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan ulasan kinerja bisnis. ”20



COSO melanjutkan dengan mengeksplorasi tinjauan kinerja bisnis dengan menyatakan, “Kontrol pengawasan menilai apakah aktivitas kontrol transaksi lainnya ([yaitu], verifikasi tertentu, rekonsiliasi, otorisasi dan persetujuan, kontrol atas data yang berdiri, dan aktivitas kontrol fisik) dilakukan secara lengkap, akurat , dan sesuai dengan kebijakan dan prosedur. Manajemen biasanya menggunakan pertimbangan untuk memilih dan mengembangkan kontrol pengawasan atas transaksi berisiko tinggi. Misalnya, seorang supervisor dapat meninjau apakah juru tulis akuntansi melakukan rekonsiliasi sesuai dengan kebijakan. Ini bisa berupa tinjauan tingkat tinggi [aktivitas pemantauan] ([misalnya], memeriksa apakah spreadsheet rekonsiliasi telah selesai), atau tinjauan yang lebih detail [aktivitas kontrol] ([misalnya], memeriksa apakah ada item rekonsiliasi yang telah ditindaklanjuti dan dikoreksi atau diberikan penjelasan yang sesuai). ” 21 COSO lebih lanjut menjelaskan, “Ketika membedakan antara aktivitas pemantauan dan aktivitas kontrol, organisasi perlu mempertimbangkan detail yang mendasari aktivitas, terutama di mana aktivitas tersebut melibatkan beberapa tingkat tinjauan pengawasan. Tinjauan pengawasan tidak secara otomatis diklasifikasikan sebagai aktivitas pemantauan dan mungkin menjadi masalah penilaian apakah tinjauan diklasifikasikan sebagai aktivitas kontrol atau aktivitas pemantauan. Misalnya, maksud dari aktivitas kontrol kelengkapan bulanan adalah untuk mendeteksi dan memperbaiki kesalahan, di mana aktivitas pemantauan akan menanyakan mengapa ada kesalahan di tempat pertama dan menugaskan manajemen untuk memperbaiki proses untuk mencegah kesalahan di masa mendatang. Secara sederhana, aktivitas kontrol merespons risiko tertentu, sedangkan aktivitas pemantauan menilai apakah kontrol dalam masing-masing lima komponen pengendalian internal beroperasi sebagaimana mestinya. "22 Satu konsep penting yang umum untuk semua aktivitas pengendalian adalah konsep yang didefinisikan COSO sebagai pemisahan tugas. Pemisahan tugas adalah konsep membagi, atau memisahkan, aktivitas pengendalian yang terkait dengan otorisasi transaksi dari pemrosesan transaksi tersebut dari akses fisik ke aset yang terkait dengan transaksi yang mendasarinya. Tujuan utama pemisahan tugas (membagi aktivitas kontrol) di antara orang-orang



yang berbeda adalah untuk mengurangi risiko kesalahan atau tindakan yang tidak tepat yang dilakukan oleh setiap individu.



Selain pemisahan tugas, ada banyak aktivitas pengendalian yang secara umum diketahui ada dalam sistem pengendalian internal yang dirancang dengan baik, termasuk:



■ Review kinerja dan kegiatan tindak lanjut. ■ Otorisasi (persetujuan). ■ Aktivitas kontrol akses TI. ■ Dokumentasi (ketat dan komprehensif). ■ Aktivitas kontrol akses fisik. ■ Aktivitas pengendalian aplikasi TI (masukan, pemrosesan, keluaran). ■ Verifikasi dan rekonsiliasi independen. Informasi dan Komunikasi Informasi berkualitas tinggi harus dikomunikasikan dengan tepat. Saling ketergantungan inilah yang menyebabkan COSO menggabungkan informasi dan komunikasi dalam komponen ini. Informasi yang relevan, akurat, dan tepat waktu harus tersedia bagi individu di semua tingkat organisasi yang membutuhkan informasi tersebut untuk menjalankan bisnis secara efektif. Informasi harus diberikan kepada personel tertentu yang sesuai untuk mendukung pencapaian tanggung jawab operasi, pelaporan, dan kepatuhan mereka. Selain itu, komunikasi harus berlangsung lebih luas dibandingkan dengan harapan, tanggung jawab individu dan kelompok, dan hal-hal penting lainnya. Komunikasi dengan pihak eksternal juga penting dan dapat memberikan informasi penting tentang fungsi kontrol. Pihak-pihak ini termasuk, namun tidak terbatas pada, pelanggan, pemasok, penyedia layanan, regulator, Tindakan Berbicara Lebih Keras Dari Kata-kata Selain format komunikasi hardcopy, elektronik, dan lisan, tindakan manajemen dengan kuat mengkomunikasikan apa yang penting bagi organisasi.



Sangat penting untuk memastikan informasi tetap selaras dengan kebutuhan bisnis saat ini selama periode perubahan. Itu sama pentingnya



untuk memastikan bahwa informasi ini dikomunikasikan tepat waktu kepada semua pihak yang berkepentingan. Ada banyak cara yang dapat dipilih organisasi untuk berkomunikasi. Bentuk komunikasi hardcopy termasuk manual, memoranda, dan papan buletin yang terletak di daerah di mana individu berkumpul. Komunikasi juga dapat dilakukan dalam pertemuan tatap muka atau secara elektronik melalui email, situs intranet, konferensi video, atau papan buletin elektronik. Budaya organisasi, serta konten informasi yang dibagikan, akan menentukan metode komunikasi terbaik. Karena individu menerima dan memproses informasi secara berbeda, sebagian besar organisasi akan menggunakan kombinasi media untuk memastikan semua individu dapat memproses dan memahami informasi yang diberikan kepada mereka. Tindakan manajemen dengan kuat mengomunikasikan apa yang penting bagi organisasi karena tindakan berbicara lebih keras daripada kata-kata. Jelas, budaya organisasi memainkan peran penting dalam mengkomunikasikan prioritasnya. Biasanya, organisasi yang telah membangun budaya integritas dan transparansi lebih mudah berkomunikasi daripada organisasi lain.



Kegiatan Pemantauan Agar tetap dapat diandalkan, sistem pengendalian internal harus dimonitor. Seperti yang ditunjukkan COSO, aktivitas pemantauan terdiri dari "evaluasi berkelanjutan yang dibangun ke dalam proses bisnis di berbagai tingkat entitas [yang] memberikan informasi tepat waktu. Evaluasi terpisah, yang dilakukan secara berkala, akan bervariasi dalam ruang lingkup dan frekuensi tergantung pada penilaian risiko, efektivitas evaluasi yang sedang berlangsung, dan pertimbangan manajemen lainnya. Temuan dievaluasi berdasarkan kriteria yang ditetapkan oleh regulator, badan atau manajemen penetapan standar dan dewan direksi, dan kekurangan dikomunikasikan kepada manajemen dan dewan direksi yang sesuai. "23 Meskipun bukan bagian dari operasi sehari-hari organisasi itu sendiri, aktivitas pemantauan dilakukan secara bersamaan dengan operasi tersebut secara berkelanjutan. Semakin kuat dan komprehensif prosedur pengawasan dan verifikasi, semakin yakin manajemen dapat menempatkan efektivitas prosedur tersebut untuk memastikan operasi berkelanjutan yang konsisten dan andal. Dengan



kegiatan pemantauan berkelanjutan yang efektif, ditambah dengan penilaian risiko yang akurat dan dapat diandalkan, frekuensi evaluasi terpisah dapat dikurangi. Kegiatan pemantauan paling efektif jika pendekatan berlapis diterapkan. Lapisan pertama mencakup aktivitas sehari-hari yang dilakukan oleh pengelolaan suatu kawasan seperti yang dijelaskan di atas. Lapisan kedua adalah evaluasi terpisah (tidak bergantung) atas pengendalian internal kawasan yang dilakukan oleh manajemen secara teratur untuk memastikan bahwa setiap kekurangan yang ada diidentifikasi dan diselesaikan tepat waktu. Lapisan ketiga adalah penilaian independen oleh area atau fungsi luar, seringkali fungsi audit internal, yang dilakukan untuk memvalidasi hasil (akurasi dan keandalan) penilaian mandiri manajemen atas efektivitas pengendalian di area mereka. Meskipun fungsi audit internal memberikan bentuk jaminan yang berharga, seperti dijelaskan di atas, sebagian besar organisasi memiliki kelompok lain yang juga memberikan beberapa bentuk jaminan (misalnya, departemen lingkungan dan keselamatan, kelompok jaminan kualitas, atau aktivitas pengendalian perdagangan). Kelompok ini dapat memberikan jaminan langsung kepada dewan, atau mereka dapat berkomunikasi dengan anggota manajemen yang memberikan jaminan kepada dewan. Pendekatan berlapis ini memberi organisasi tingkat keyakinan yang lebih tinggi bahwa sistem pengendalian internal tetap efektif dan membantu memastikan kekurangan pengendalian internal diidentifikasi dan ditangani tepat waktu. Seringkali strategi ini disebut sebagai model "garis pertahanan ganda". Salah satu contoh umum dari strategi ini adalah model Pertahanan Tiga Garis. Model ini dibahas lebih detail di atau mereka dapat berkomunikasi dengan anggota manajemen yang memberikan jaminan kepada dewan. Pendekatan berlapis ini memberi organisasi tingkat keyakinan yang lebih tinggi bahwa sistem pengendalian internal tetap efektif dan membantu memastikan kekurangan pengendalian internal diidentifikasi dan ditangani tepat waktu. Seringkali strategi ini disebut sebagai model "garis pertahanan ganda". Salah satu contoh umum dari strategi ini adalah model Pertahanan Tiga Garis. Model ini dibahas lebih detail di atau mereka dapat berkomunikasi dengan anggota manajemen yang memberikan jaminan kepada dewan. Pendekatan berlapis ini memberi organisasi tingkat keyakinan yang lebih tinggi bahwa sistem pengendalian internal tetap efektif dan membantu memastikan kekurangan pengendalian internal diidentifikasi dan ditangani tepat waktu. Seringkali strategi ini disebut sebagai model



"garis pertahanan ganda". Salah satu contoh umum dari strategi ini adalah model Pertahanan Tiga Garis. Model ini dibahas lebih detail di Salah satu contoh umum dari strategi ini adalah model Pertahanan Tiga Garis. Model ini dibahas lebih detail di Salah satu contoh umum dari strategi ini adalah model Pertahanan Tiga Garis. Model ini dibahas lebih detail dibagian 3, yang juga mencakup penggambaran visual model. Defisiensi (Definisi COSO) "Suatu kondisi dalam sistem pengendalian internal yang patut diperhatikan" yang mungkin mewakili kekurangan yang dirasakan, potensial, atau nyata, atau peluang untuk memperkuat sistem pengendalian internal untuk memberikan kemungkinan yang lebih besar bahwa tujuan entitas akan tercapai.



Perlu diperhatikan bahwa kegiatan pemantauan terjadi di masingmasing dari lima komponen pengendalian internal (Lingkungan Pengendalian, Penilaian Risiko, Kegiatan Pengendalian, Informasi dan Komunikasi, dan Kegiatan Pemantauan), tidak hanya sebagai komponen yang berdiri sendiri. Menyematkan pemantauan



aktivitas menjadi proses yang dilakukan selama operasi bisnis seharihari memungkinkan aktivitas pemantauan terjadi secara teratur, menangkap masalah sebelum menjadi tidak dapat dikelola. Evaluasi terpisah tidak memiliki keuntungan ini karena waktu pelaksanaannya, yang kemudian dalam proses, dan karena dilakukan lebih jarang. Evaluasi terpisah memberikan tampilan tambahan pada sistem kontrol internal, menangkap masalah yang mungkin terlewatkan selama aktivitas pemantauan yang sedang berlangsung, dan mengevaluasi efektivitas aktivitas pemantauan yang sedang berlangsung yang tertanam dalam aktivitas sehari-hari di area tersebut. Terlepas dari berbagai keuntungan dari dua metode pemantauan yang berbeda, keduanya diperlukan untuk proses pemantauan yang kuat.Gambar 6-7 memberikan contoh berbagai jenis kegiatan pemantauan. Seperti yang ditunjukkan sebelumnya, manajemen memiliki tanggung jawab utama atas keefektifan sistem pengendalian internal organisasi, termasuk aktivitas pemantauan. Karena tanggung jawab untuk melakukan pengendalian tertentu meningkat dalam organisasi ke tingkat manajemen yang lebih tinggi, pemantauan pengawasan tradisional menjadi lebih menantang. Kegiatan pemantauan yang dilakukan oleh bawahan dalam suatu organisasi jauh kurang efektif dibandingkan dengan yang dilakukan oleh atasan. Dalam situasi di mana manajemen senior melakukan pengendalian, mungkin tepat bagi anggota manajemen senior lainnya untuk memantau pengendalian tersebut. Dalam kasus yang membawa risiko pengabaian manajemen, pemantauan tingkat dewan mungkin diperlukan. Pada akhirnya, dewan direksi bertanggung jawab untuk mengawasi apakah manajemen telah menerapkan sistem pengendalian internal yang efektif. Tanggung jawab ini dipenuhi oleh dewan melalui pemahaman tentang risiko bagi organisasi dan dengan memahami bagaimana manajemen memitigasi risiko tersebut ke tingkat yang dapat diterima. PAMERAN 6-7 CONTOH PEMANTAUAN



Kekurangan dalam sistem pengendalian internal organisasi mungkin dapat diidentifikasi selama pelaksanaan aktivitas pemantauan yang sedang berlangsung atau evaluasi terpisah. COSO secara luas mendefinisikan defisiensi sebagai "kekurangan dalam komponen dan prinsip relevan yang mengurangi kemungkinan entitas dapat mencapai tujuannya." COSO menjelaskan: Ada banyak sumber potensial untuk mengidentifikasi defisiensi pengendalian internal, termasuk aktivitas pemantauan entitas, lainnya



komponen, dan pihak eksternal yang memberikan masukan terkait keberadaan dan berfungsinya komponen dan prinsip terkait. Defisiensi pengendalian internal atau kombinasi defisiensi yang sangat mengurangi kemungkinan entitas dapat mencapai tujuannya disebut sebagai "defisiensi mayor". [A] defisiensi mayor adalah bagian dari defisiensi pengendalian internal. Dengan demikian, defisiensi mayor menurut definisi juga merupakan defisiensi pengendalian internal. Manajemen melakukan pertimbangan untuk menilai tingkat keparahan defisiensi pengendalian internal, atau kombinasi defisiensi, dalam menentukan apakah komponen dan prinsip yang relevan ada dan berfungsi, dan komponen tersebut beroperasi bersama, dan pada akhirnya dalam menentukan efektivitas sistem pengendalian internal entitas. Selanjutnya, penilaian ini dapat bervariasi tergantung pada kategori tujuan. Regulator, badan penetapan standar, dan pihak ketiga terkait lainnya dapat menetapkan kriteria untuk menentukan tingkat keparahan, evaluasi, dan pelaporan defisiensi pengendalian internal. Kerangka ini mengakui dan mengakomodasi kewenangan dan tanggung jawab mereka sebagaimana ditetapkan melalui undang-undang, peraturan, regulasi, dan standar eksternal. Dalam kasus di mana entitas menerapkan hukum, aturan, regulasi, atau standar eksternal, manajemen harus menggunakan hanya kriteria relevan yang terkandung dalam dokumen tersebut untuk mengklasifikasikan tingkat keparahan defisiensi pengendalian internal, daripada mengandalkan klasifikasi yang ditetapkan dalam Kerangka . Kerangka ini mengakui bahwa setiap defisiensi pengendalian internal yang mengakibatkan sistem pengendalian internal tidak efektif sesuai dengan kriteria tersebut juga akan menghalangi manajemen untuk menyimpulkan bahwa entitas telah memenuhi persyaratan untuk pengendalian internal yang efektif sesuai dengan Kerangka (mis. ketidaksesuaian terkait dengan operasi atau tujuan kepatuhan, atau kelemahan material terkait dengan kepatuhan atau tujuan pelaporan eksternal). 24 Kekurangan yang diidentifikasi sebagai hasil dari kegiatan pemantauan yang sedang berlangsung dan evaluasi terpisah harus



dilaporkan tepat waktu kepada pihak yang sesuai di dalam organisasi. Tergantung pada dampaknya, kekurangan tertentu



mengenai potensi efektivitas sistem pengendalian internal, hal itu harus dilaporkan kepada manajemen unit bisnis, manajemen senior, dan / atau dewan direksi. Defisiensi yang dilaporkan merupakan pertimbangan penting dalam evaluasi sistem pengendalian internal. Mengevaluasi sistem pengendalian internal akan dieksplorasi lebih rinci nanti di bab ini. Komunikasi formal terkait dengan perikatan asurans yang diselesaikan oleh fungsi audit internal dibahas secara rinci diBab 14. Seperti disebutkan sebelumnya dalam bab ini, beberapa organisasi kurang memanfaatkan kegiatan pemantauan, terutama yang berkaitan dengan persyaratan pelaporan keuangan. Pemantauan dapat menjadi alat yang efektif untuk memvalidasi pernyataan pengendalian internal ketika dirancang dengan tujuan tersebut. Organisasi di seluruh dunia yang harus melaporkan keefektifan sistem pengendalian internal mereka kepada pihak eksternal dapat merancang jenis, waktu, dan tingkat kegiatan pemantauan yang dilakukan untuk memberikan dukungan untuk pernyataan bahwa pengendalian internal beroperasi secara efektif pada titik waktu tertentu atau lebih. periode waktu tertentu.Gambar 6-8 adalah representasi COSO dari proses pemantauan relatif terhadap kesimpulan pendukung mengenai efektivitas pengendalian. PAMERAN 6-8 PROSES MONITORING



Kesimpulan yang Didukung Mengenai Efektivitas Kontrol



Sumber: Hak Cipta 1992 oleh Komite Organisasi Sponsor dari Treadway Commission. Direproduksi dengan izin da



Prinsip Selain lima komponen terintegrasi, COSO juga mendefinisikan 17 prinsip yang merepresentasikan konsep fundamental yang terkait dengan setiap komponen pengendalian internal. COSO menunjukkan, “[b] karena prinsip-prinsip ini diambil langsung dari komponen, suatu entitas dapat mencapai pengendalian internal yang efektif dengan menerapkan semua prinsip. Semua prinsip berlaku untuk tujuan operasi, pelaporan dan kepatuhan. " 25 Prinsip-prinsip yang mendukung lima komponen pengendalian internal diuraikan dalam pameran 6-9.



Chief Executive Officer (CEO) CEO memiliki tanggung jawab utama untuk menetapkan "nada di puncak" dan membangun lingkungan kontrol yang positif.



PERAN DAN TANGGUNG JAWAB PENGENDALIAN INTERNAL Setiap orang dalam organisasi memiliki tanggung jawab untuk pengendalian internal:



Pengelolaan CEO mengemban tanggung jawab utama atas sistem pengendalian internal. "Nada di atas" (seberapa etis atau seberapa besar integritas yang dimiliki organisasi) ditetapkan oleh CEO dan diturunkan dari sana ke manajemen senior, manajemen lini, dan akhirnya ke semua individu dalam sebuah organisasi. CEO kurang lebih terlihat dan memiliki dampak langsung yang lebih atau kurang tergantung pada ukuran organisasi. Dalam organisasi yang lebih kecil, CEO secara langsung mempengaruhi sistem pengendalian internal. Dalam organisasi yang lebih besar, CEO memiliki pengaruh terbesar pada manajemen senior yang pada gilirannya memengaruhi bawahan mereka. Dengan cara ini, manajer senior dan manajer lini bertindak sebagai "CEO" di wilayah tanggung jawab mereka. Nada di Atas Sikap integritas dan kesadaran kontrol seluruh entitas, seperti yang ditunjukkan oleh sebagian besar eksekutif senior organisasi.



PAMERAN 6-9 17 PRINSIP UNTUK MENCAPAI PENGENDALIAN INTERNAL YANG EFEKTIF



ngan Kontrol



menunjukkan komitmen terhadap integritas dan nilai-nilai etika. ksi menunjukkan independensi dari manajemen dan melakukan pengawasan terhadap pengembangan dan kinerja pengendalian inte n menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan wewenang serta tanggung jawab yang sesuai untuk menca



4.



Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten sejalan dengan tujuan.



5.



Organisasi meminta pertanggungjawaban individu atas tanggung jawab pengendalian internal mereka dalam mencapai tujuan.



Tugas beresiko 6.



Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan.



7.



Organisasi mengidentifikasi risiko pencapaian tujuannya di seluruh entitas dan menganalisis risiko sebagai dasar untuk menentukan bagaimana risiko harus dikelola.



8.



Organisasi mempertimbangkan potensi kecurangan dalam menilai risiko untuk pencapaian tujuan.



9.



Organisasi mengidentifikasi dan menilai perubahan yang dapat berdampak signifikan pada sistem pengendalian internal.



Aktivitas Pengendalian 10. Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi pada mitigasi risiko untuk pencapaian tujuan ke tingkat yang dapat diterima. 11. Organisasi memilih dan mengembangkan aktivitas pengendalian umum atas teknologi untuk mendukung pencapaian tujuan. 12. Organisasi menerapkan aktivitas pengendalian melalui kebijakan yang menetapkan apa yang diharapkan dan prosedur yang menerapkan kebijakan. Informasi dan Komunikasi 13. Organisasi memperoleh atau menghasilkan dan menggunakan informasi yang relevan dan berkualitas untuk mendukung berfungsinya komponen lain dari pengendalian internal. 14. Organisasi mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab pengendalian internal, yang diperlukan untuk mendukung berfungsinya komponen pengendalian internal lainnya. 15. Organisasi berkomunikasi dengan pihak eksternal mengenai hal-hal yang mempengaruhi fungsi pengendalian internal. Monitoring



16. Organisasi memilih, mengembangkan, dan melakukan evaluasi yang sedang berlangsung dan / atau terpisah untuk memastikan apakah komponen pengendalian internal ada dan berfungsi. 17. Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi, sebagaimana mestinya.



Jajaran direktur Dewan direksi mengawasi manajemen, memberikan arahan mengenai pengendalian internal, dan pada akhirnya memiliki tanggung jawab untuk mengawasi sistem pengendalian internal. COSO menggambarkan anggota dewan yang efektif sebagai "obyektif, cakap, dan ingin tahu. . . ” dengan “pengetahuan tentang aktivitas dan lingkungan [organisasi], dan [yang] berkomitmen waktu yang diperlukan untuk memenuhi tata kelola mereka tanggung jawab. "26 Anggota dewan yang efektif penting untuk sistem pengendalian internal yang efektif karena manajemen memiliki kemampuan untuk mengesampingkan pengendalian dan menekan bukti perilaku tidak etis atau kecurangan. Perilaku seperti itu memiliki kemungkinan lebih besar untuk ditemukan atau dicegah ketika organisasi memiliki dewan yang terlibat secara aktif. Seperti yang disebutkan sebelumnya, dewan direksi memiliki tanggung jawab tertinggi untuk memastikan manajemen telah menetapkan sistem pengendalian internal yang efektif. Peran dan tanggung jawab dewan direksi seperti yang dijelaskan oleh COSO membentuk “payung” tata kelola yang efektif untuk sebuah organisasi. Untuk gambaran visual dari proses ini, lihatpameran 3-3 di bagian 3. bagian 3 menggambarkan tata kelola sebagai proses yang dilakukan oleh dewan direksi untuk memberi wewenang, mengarahkan, dan mengawasi manajemen menuju pencapaian tujuan bisnis organisasi.



Auditor Internal Sementara manajemen, di bawah kepemimpinan CEO, memiliki tanggung jawab akhir untuk desain yang memadai dan operasi yang efektif dari sistem pengendalian internal, auditor internal memainkan peran penting dalam



memverifikasi bahwa manajemen telah memenuhi tanggung jawabnya. Awalnya, manajemen melakukan penilaian utama atas sistem pengendalian internal, dan kemudian fungsi audit internal secara independen memvalidasi asersi manajemen. Fungsi audit internal memberikan jaminan yang memadai bahwa sistem pengendalian internal dirancang secara memadai dan beroperasi secara efektif, meningkatkan kemungkinan bahwa tujuan dan sasaran bisnis organisasi akan tercapai. Kerangka COSO mendefinisikan peran auditor internal dengan cara yang sama, meskipun dalam istilah yang lebih umum: "... auditor internal memberikan dukungan asurans dan nasehat kepada manajemen tentang pengendalian internal ... [fungsi] audit internal termasuk mengevaluasi kecukupan dan efektivitas pengendalian dalam menanggapi risiko dalam pengawasan organisasi, operasi, dan sistem informasi… ”27 “[Selain itu,] [t] ruang lingkup audit internal biasanya diharapkan untuk mencakup pengawasan, manajemen risiko, dan pengendalian internal, dan membantu organisasi dalam mempertahankan pengendalian yang efektif dengan mengevaluasi efektivitas dan efisiensinya dan dengan mempromosikan perbaikan berkelanjutan. Audit internal mengkomunikasikan temuan dan berinteraksi langsung dengan manajemen, komite audit, dan / atau jajaran direktur."28 Karena posisi organisasi dan wewenangnya dalam suatu entitas, fungsi audit internal sering kali memainkan peran pemantauan yang signifikan. Hubungan antara manajemen dan fungsi audit internal yang berkaitan dengan evaluasi sistem pengendalian internal dan pelaporannya akan dibahas lebih lanjut di bab ini dan selanjutnya.Bab 9, "Mengelola Fungsi Audit Internal".



Personil Lainnya COSO dengan jelas menunjukkan bahwa setiap orang dalam organisasi memiliki tanggung jawab untuk pengendalian internal: “Pengendalian internal adalah tanggung jawab semua orang dalam suatu entitas dan oleh karena itu merupakan bagian eksplisit atau implisit dari uraian tugas setiap orang. Personel lini depan merupakan lini pertahanan pertama dalam pelaksanaan pengendalian intern tanggung jawab. "29 Hampir semua karyawan menghasilkan informasi yang digunakan dalam sistem pengendalian internal atau mengambil tindakan lain yang diperlukan untuk menjalankan pengendalian. COSO juga dengan jelas menunjukkan bahwa semua



rekan memikul tanggung jawab untuk mengkomunikasikan masalah dalam operasi, pelanggaran kode etik, atau pelanggaran kebijakan lain atau aktivitas ilegal kepada manajemen atau lainnya.



tubuh yang sesuai.



COSO menunjukkan bahwa pihak eksternal dapat menjadi faktor penting yang berhubungan dengan kemampuan organisasi untuk mencapai tujuannya. Misalnya, auditor luar yang independen, meskipun tidak bertanggung jawab atas sistem pengendalian internal organisasi, memberikan kontribusi independensi dan objektivitas melalui opini mereka yang mencakup kewajaran laporan keuangan dan efektivitas pengendalian internal atas pelaporan keuangan. Pihak eksternal lain yang bukan merupakan bagian dari pengendalian internal organisasi, seperti pembuat undang-undang dan regulator, pelanggan dan orang lain yang bertransaksi bisnis dengan perusahaan, analis keuangan, penilai obligasi, dan media berita dapat memberikan informasi yang berguna bagi organisasi dalam mempengaruhi pengendalian internal. Dalam banyak kasus, vendor luar digunakan untuk menjalankan elemen sistem pengendalian internal. Namun, dalam kasus tersebut, kepemilikan dan akuntabilitas untuk elemen-elemen yang dialihdayakan tersebut tetap berada pada manajemen internal, yang memiliki tanggung jawab akhir untuk menguji dan mensertifikasi kontrol kunci yang dialihdayakan. Aktivitas yang biasanya dialihdayakan mencakup, misalnya, pemrosesan data, penggajian, atau bahkan fungsi audit internal itu sendiri. Proses bisnis outsourcing dibahas lebih lanjut diBab 5, "Proses dan Risiko Bisnis".



BATASAN PENGENDALIAN INTERNAL Pengendalian internal diterapkan untuk memitigasi risiko yang mengancam pencapaian tujuan organisasi atau memungkinkan organisasi untuk berhasil mengejar peluang. Meskipun manajemen, dewan



direksi, auditor internal, dan personel lainnya bekerja sama untuk memfasilitasi pengendalian internal, tidak ada sistem pengendalian internal yang dapat memastikan bahwa tujuan akan tercapai. Hal ini disebabkan oleh batasan inheren pengendalian internal. Secara khusus, COSO “… mengakui bahwa meskipun pengendalian internal memberikan jaminan yang wajar untuk mencapai tujuan entitas, terdapat batasan. Pengendalian internal tidak dapat mencegah penilaian atau keputusan yang buruk, atau kejadian eksternal yang dapat menyebabkan organisasi gagal mencapai tujuan operasionalnya. Dengan kata lain, bahkan sistem pengendalian internal yang efektif pun dapat mengalami kegagalan. Keterbatasan mungkin diakibatkan dari:



■ Kesesuaian tujuan yang ditetapkan sebagai prasyarat untuk pengendalian internal.



■ Realitas bahwa penilaian manusia dalam pengambilan keputusan bisa saja salah dan bias.



■ Kerusakan yang dapat terjadi karena kegagalan manusia seperti kesalahan sederhana.



■ Kemampuan manajemen untuk mengesampingkan pengendalian internal.



■ Kemampuan manajemen, personel lain, dan / atau pihak ketiga untuk menghindari kontrol melalui kolusi.



■ Peristiwa eksternal di luar kendali organisasi. 30 Jaminan yang Wajar Tingkat jaminan yang didukung oleh prosedur dan penilaian audit yang diterima secara umum.



Meskipun sistem pengendalian internal yang dirancang dengan baik dapat memberikan jaminan yang memadai kepada manajemen relatif terhadap pencapaian tujuan organisasi, tidak ada sistem pengendalian internal yang dapat memberikan jaminan mutlak untuk alasan yang disebutkan di atas. Ini benar terlepas dari apakah tujuan termasuk dalam kategori operasi, pelaporan, atau kepatuhan. Seperti yang ditunjukkan sebelumnya, menetapkan tujuan entitas merupakan prasyarat untuk merancang sistem pengendalian internal yang efektif. Sasaran entitas memberikan target terukur yang digunakan organisasi untuk menjalankan operasinya. Kunci untuk memahami konsep keterbatasan inheren



dan jaminan yang wajar juga terletak pada pemahaman keterkaitan dan saling ketergantungan antara tujuan bisnis dan risiko yang secara langsung atau tidak langsung mempengaruhi kemampuan organisasi untuk mencapai tujuan entitasnya. Hanya dengan demikian organisasi dapat merancang dan menerapkan sistem pengendalian internal yang efektif.



Risiko Inheren, Risiko Terkendali, dan Risiko Residual Kemampuan organisasi untuk mencapai tujuan entitas yang ditetapkan dipengaruhi oleh risiko internal dan eksternal. Kombinasi risiko internal dan eksternal dalam keadaan murni dan tidak terkendali disebut sebagai risiko inheren. Dengan kata lain, risiko inheren adalah risiko kotor yang timbul dengan asumsi tidak ada pengendalian internal. Pengakuan akan adanya risiko inheren dan bahwa peristiwa atau kondisi tertentu berada di luar kendali manajemen (risiko eksternal) sangat penting untuk mengenali batasan inheren pengendalian internal. Batasan Inheren Pengendalian Internal Batasan yang terkait dengan batasan penilaian manusia, batasan sumber daya dan kebutuhan untuk mempertimbangkan biaya pengendalian dalam kaitannya dengan manfaat yang diharapkan, kenyataan bahwa kerusakan dapat terjadi, dan kemungkinan kolusi atau pengabaian manajemen.



Mengidentifikasi risiko eksternal dan internal pada tingkat entitas dan aktivitas (proses dan transaksi) sangat penting untuk penilaian risiko yang efektif. Seperti yang dibahas diBab 5, setelah risiko utama teridentifikasi, manajemen dapat mengaitkannya dengan tujuan bisnis dan proses bisnis terkait. Setelah risiko tingkat entitas dan tingkat aktivitas diidentifikasi, mereka harus dinilai dalam hal dampak dan kemungkinannya. Proses analisis risiko bervariasi tergantung pada banyak faktor yang spesifik untuk suatu organisasi, tetapi biasanya mencakup:



■ Memperkirakan dampak (atau tingkat keparahan) suatu risiko. ■ Menilai kemungkinan (atau frekuensi) risiko yang terjadi (probabilitas).



■ Mempertimbangkan bagaimana mengelola risiko — yaitu menilai tindakan apa



untuk mengambil. Hasil analisis risiko memungkinkan manajemen untuk mempertimbangkan cara terbaik dalam menanggapi risiko yang mengancam pencapaian tujuan organisasi. Risiko yang tidak signifikan dan tidak memiliki kemungkinan besar untuk terjadi akan mendapat sedikit perhatian. Risiko yang signifikan dan / atau kemungkinan besar terjadi akan mendapat perhatian yang jauh lebih besar. Risiko yang berada di tengah-tengah, bagaimanapun, umumnya membutuhkan analisis lebih lanjut karena kehati-hatian dalam penilaian diperlukan untuk memitigasi risiko ini secara memadai tanpa menggunakan sumber daya secara tidak efisien. Risiko bawaan Kombinasi faktor risiko internal dan eksternal dalam keadaan murni, tidak terkontrol, atau risiko kotor yang timbul dengan asumsi tidak ada pengendalian internal yang diterapkan.



Pengendalian adalah respons risiko yang diambil manajemen untuk mengurangi dampak dan / atau kemungkinan ancaman terhadap pencapaian tujuan. Manajemen harus mempertimbangkan selera risiko dan tingkat toleransi secara keseluruhan. Manajemen Risiko Perusahaan COSO - Menyelaraskan Risiko dengan Strategi dan Kinerja menggambarkan selera risiko sebagai jenis dan jumlah risiko, pada tingkat yang luas, organisasi bersedia menerima dalam mengejar nilai, dan toleransi sebagai variasi yang dapat diterima dalam kinerja, yang merupakan batasan hasil yang dapat diterima terkait dengan pencapaian tujuan bisnis (baik batas melebihi target dan batas mengikuti target). Batasan tersebut harus sejalan dengan selera risiko. Risk Appetite Jenis dan jumlah risiko, pada tingkat yang luas, organisasi bersedia menerimanya dalam mengejar nilai.



Selain itu, jumlah variasi dalam kinerja yang dapat diterima mempertimbangkan jumlah risiko yang secara sadar diterima manajemen setelah menyeimbangkan biaya dan manfaat penerapan pengendalian untuk mengelola variasi tersebut ke tingkat yang diinginkan. Penting untuk diketahui bahwa ada hubungan langsung antara jumlah risiko yang dimitigasi dan biaya yang terkait dengan penerapan pengendalian yang dirancang untuk dicapai.



tingkat mitigasi itu. Akibatnya, organisasi harus memastikan tidak ada risiko yang berlebihan atau pengendalian internal yang berlebihan.Gambar 6-10 mencantumkan beberapa kemungkinan konsekuensi dari menerima risiko yang berlebihan atau menerapkan pengendalian internal yang berlebihan. Keseimbangan yang mampu dicapai oleh manajemen untuk mencapai hasil dalam organisasi yang menerima tingkat risiko yang lebih tinggi atau lebih rendah dan bergantung pada sifat risiko, lingkungan peraturan di mana organisasi beroperasi, jumlah variasi kinerja yang bersedia diterima, dan filosofi manajemen. PAMERAN 6-10 MENIMBANGKAN RISIKO DAN KONTROL



Dengan demikian, ada banyak faktor yang harus dipertimbangkan oleh manajemen saat menentukan tindakan spesifik (kontrol) yang harus mereka ambil untuk mengelola risiko inheren ke tingkat rendah yang dapat diterima dan menetapkan parameter toleransi. Untuk memulainya, manajemen harus mempertimbangkan risiko yang dapat dikendalikan. Resiko terkendali adalah bagian dari risiko inheren yang dapat secara langsung dipengaruhi dan dikurangi oleh manajemen melalui aktivitas bisnis sehari-hari. Setelah manajemen menerapkan pengendalian hemat biaya untuk mengatasi risiko yang dapat dikendalikan, barulah



mereka dapat menentukan apakah



organisasi beroperasi dalam keseluruhan risk appetite yang ditetapkan oleh manajemen senior dan dewan direksi. Porsi risiko inheren yang tersisa setelah memitigasi semua risiko yang dapat dikendalikan didefinisikan sebagai risiko residual. Jika risiko yang tersisa tidak terkontrol (risiko residual) kurang dari selera risiko yang ditetapkan, maka sistem pengendalian internal beroperasi pada tingkat yang dapat diterima dan dalam selera risiko yang ditentukan organisasi. Toleransi Batasan hasil yang dapat diterima terkait dengan pencapaian tujuan bisnis.



Namun, jika risiko residual melebihi selera risiko yang ditetapkan organisasi, maka perlu untuk mengevaluasi kembali sistem pengendalian internal untuk menentukan apakah pengendalian hemat biaya tambahan dapat diterapkan untuk lebih mengurangi risiko residual ke tingkat dalam selera risiko manajemen. Jika tidak, manajemen harus mempertimbangkan pilihan lain seperti membagi atau mentransfer sebagian dari risiko yang tidak terkendali kepada pihak ketiga yang independen melalui asuransi atau outsourcing. Jika risiko yang tidak terkendali tidak dapat ditransfer atau dibagi secara efektif, manajemen dapat menerima tingkat risiko yang lebih tinggi (dan menyesuaikan selera risiko mereka sesuai), atau organisasi harus memutuskan apakah ingin tetap terlibat dalam aktivitas yang menyebabkan risiko. Mengacu padaBab 4 untuk diskusi mendalam tentang manajemen risiko dan teknik mitigasi terkait. Resiko Terkendali Porsi risiko inheren yang dapat dikurangi oleh manajemen melalui operasi seharihari dan aktivitas manajemen.



Resiko Sisa Porsi risiko inheren yang tersisa setelah manajemen menjalankan respons risikonya (terkadang disebut sebagai risiko bersih).



Sistem pengendalian internal yang dirancang secara memadai dan efektif, menurut definisi, dirancang untuk mengelola risiko dalam risk appetite organisasi yang telah ditetapkan. Ini harus mengurangi risiko yang melekat terkait dengan tiga kategori tujuan COSO



(operasi, pelaporan,



dan kepatuhan) dalam risk appetite manajemen.



MELIHAT KONTROL INTERNAL DARI PERSPEKTIF YANG BERBEDA Karena setiap orang dalam organisasi memiliki tanggung jawab atas pengendalian internal, secara alami akan ada perspektif yang berbeda dari pendekatan pengendalian internal individu dalam organisasi. Tidaklah tidak diinginkan untuk memiliki perspektif yang berbeda tentang pengendalian internal. Sasaran entitas adalah perhatian utama dari pengendalian internal dan terdapat alasan yang sah bagi kelompok yang berbeda untuk tertarik pada tujuan yang berbeda. Demikian pula, kelompok yang berbeda, karena perspektif mereka yang berbeda, akan merasakan manfaat dan biaya terkait pengendalian internal dengan sangat berbeda, yang berharga bagi organisasi ketika menilai desain yang memadai dan operasi pengendalian internal yang efektif.



Pengelolaan Karena manajemen bertanggung jawab untuk menetapkan tujuan organisasi, mereka secara alami memandang pengendalian internal dari perspektif itu. Manajemen harus mempertimbangkan pengendalian internal dalam kaitannya dengan biaya dan manfaat terkait dan mengalokasikan sumber daya yang diperlukan untuk mencapai tujuan tersebut. Dari perspektif manajemen, pengendalian internal mencakup sejumlah aktivitas yang dirancang untuk memitigasi risiko atau memungkinkan peluang yang mempengaruhi pencapaian tujuan organisasi. Keterlibatan manajemen dengan sistem pengendalian internal memungkinkan mereka untuk bereaksi dengan cepat ketika kondisi memungkinkan. Ini juga membantu manajemen dalam hal mematuhi hukum dan peraturan nasional, lokal, dan khusus industri.



Auditor Internal Seperti halnya manajemen, auditor internal melihat pengendalian internal dalam kaitannya dengan perannya dalam pencapaian tujuan organisasi. Jika manajemen bertanggung jawab atas sistem pengendalian internal itu sendiri, auditor internal bertanggung jawab untuk memverifikasi secara independen bahwa



Pengendalian organisasi dirancang secara memadai dan beroperasi secara efektif sesuai maksud manajemen. Validasi independen ini, yang memperhitungkan semua sistem, proses, operasi, fungsi, dan aktivitas suatu entitas, meningkatkan kemungkinan pencapaian tujuan organisasi. Selain itu, auditor internal memiliki posisi yang baik untuk menawarkan perspektif mereka tentang biaya versus manfaat dari aktivitas pengendalian tertentu dan dapat memberikan wawasan kepada manajemen tentang pengendalian internal yang dapat dipertimbangkan untuk dieliminasi karena berlebihan atau karena manfaat yang mereka berikan tidak melebihi biaya penerapannya.



Auditor Luar Independen Tanggung jawab utama auditor luar organisasi yang independen adalah untuk membuktikan kewajaran laporan keuangan dan, di negara tertentu, keefektifan pengendalian internal atas pelaporan keuangan. Untuk alasan ini, perspektif mereka difokuskan pada pengendalian internal relatif terhadap bagaimana pengaruhnya terhadap pelaporan keuangan organisasi. Sementara auditor luar independen mempertimbangkan tujuan dan strategi organisasi ketika memenuhi peran mereka, mereka tidak mengambil perspektif luas yang sama dari pengendalian internal yang diambil oleh manajemen dan auditor internal.



Pihak Eksternal Lainnya Pihak eksternal yang memiliki kepentingan dalam pengendalian internal organisasi antara lain legislator, regulator, investor, dan kreditor. Karena kepentingan mereka berbeda-beda, demikian pula perspektif mereka tentang pengendalian internal. Akibatnya, berbagai definisi pengendalian internal telah dikembangkan oleh pembuat undang-undang dan badan pengatur agar sesuai dengan tanggung jawab khusus mereka terkait dengan jenis kegiatan yang mereka pantau. Definisi pengendalian internal mereka dapat mencakup pencapaian sasaran dan sasaran organisasi, persyaratan pelaporan, penggunaan sumber daya sesuai dengan hukum dan peraturan, dan menjaga sumber daya dari pemborosan, kehilangan, dan penyalahgunaan. Investor dan kreditor, di sisi lain, terutama membutuhkan jenis informasi keuangan yang divalidasi oleh auditor luar organisasi yang independen.



JENIS KONTROL Kerangka COSO mengakui bahwa aktivitas pengendalian ada di semua tingkat organisasi dan secara umum dapat diklasifikasikan sebagai aktivitas pengendalian seluruh entitas atau aktivitas pengendalian proses bisnis. Kerangka kerja pengendalian internal COSO juga mencakup pengendalian transaksi atau aplikasi sebagai bagian dari aktivitas pengendalian proses bisnis, yang mewakili "... aktivitas pengendalian paling fundamental dalam sebuah [organisasi] karena mereka secara langsung menangani respons risiko dalam bisnis. proses di tempat untuk memenuhi tujuan manajemen. "31 Ada banyak jenis kontrol yang digunakan oleh organisasi untuk meningkatkan kemungkinan pencapaian tujuan. Penting untuk dicatat bahwa kontrol khusus dapat dirujuk oleh organisasi yang berbeda (dan bahkan individu yang berbeda dalam suatu organisasi) dengan nama yang berbeda. Yang lebih penting daripada nama yang digunakan untuk mendeskripsikan kontrol tertentu adalah jenis kontrolnya. Ini dapat menimbulkan kebingungan karena banyak kontrol yang cocok dengan lebih dari satu kategori secara bersamaan. Ini dibahas lebih rinci nanti di bab ini. Bergantung pada aplikasi spesifik dari kontrol ini, kontrol ini dapat diklasifikasikan dengan berbagai cara dan dapat mengambil beberapa klasifikasi secara bersamaan. Bagian berikut menguraikan berbagai jenis kontrol dan tujuannya masing-masing.



Kontrol Tingkat Entitas, Tingkat Proses, dan Tingkat Transaksi Semua pengendalian dirancang untuk memitigasi risiko baik di tingkat perusahaan atau di tingkat operasional dalam suatu organisasi. Seperti yang ditunjukkan di atas, kerangka COSO menggunakan istilah aktivitas pengendalian "seluruh entitas" dan "proses bisnis" untuk menggambarkan pengendalian ini secara umum. Meskipun tidak jarang organisasi dalam profesi audit internal menggunakan istilah yang berbeda seperti "seluruh perusahaan" atau "seluruh entitas," istilah yang lebih umum "tingkat entitas" digunakan dalam bab ini. Bab ini juga menjelaskan kontrol tingkat proses dan kontrol tingkat transaksi, yang bersama-sama terdiri dari aktivitas kontrol proses bisnis dalam kerangka COSO. Lebih penting daripada istilah spesifik yang digunakan



saat



membahas jenis-jenis pengendalian ini, bagaimanapun, adalah tujuan pengendalian dan efektivitas operasinya. Untuk gambaran visual dari kontrol ini, yang dibahas di bawah, lihat corong dipameran 4-3. Kontrol Tingkat Entitas Kontrol yang beroperasi di seluruh entitas dan, dengan demikian, tidak terikat oleh, atau terkait dengan, proses individu. Pengendalian tingkat entitas difokuskan secara luas dan sering kali berhubungan dengan lingkungan atau atmosfer organisasi. Mereka dirancang untuk secara langsung memitigasi risiko yang ada di tingkat organisasi secara keseluruhan, termasuk yang muncul secara internal maupun eksternal, dan dapat secara tidak langsung memitigasi risiko pada tingkat proses dan transaksi. Pengendalian ini memiliki efek yang meluas pada pencapaian banyak tujuan secara keseluruhan. Dewan Pengawas Akuntansi Perusahaan Publik AS (PCAOB) menyatakan dalam Standar Audit No. 5, “Kontrol tingkat entitas meliputi: Kontrol Tingkat Proses Suatu aktivitas yang beroperasi dalam proses tertentu untuk tujuan mencapai tujuan tingkat proses.



■ Pengendalian yang terkait dengan lingkungan pengendalian; ■ Kontrol atas pengesampingan manajemen; ■ Proses penilaian risiko perusahaan; ■ Pemrosesan dan kontrol terpusat, termasuk lingkungan



layanan bersama; Kontrol untuk memantau hasil operasi;



■ Pengendalian untuk memantau pengendalian lain, termasuk



aktivitas fungsi audit internal, komite audit, dan program penilaian mandiri;



■ Kontrol atas proses pelaporan keuangan akhir periode; dan ■ Kebijakan yang membahas pengendalian bisnis yang signifikan dan praktik manajemen risiko. "32



Kontrol Tingkat Transaksi Suatu aktivitas yang mengurangi risiko relatif terhadap sekelompok atau berbagai tugas atau transaksi tingkat operasional dalam suatu organisasi.



Kontrol tingkat entitas dapat dibagi menjadi dua kategori: kontrol tata kelola dan kontrol pengawasan manajemen. Kontrol tata kelola ditetapkan oleh dewan dan manajemen eksekutif untuk melembagakan budaya kontrol organisasi dan memberikan panduan yang mendukung tujuan strategis. Pengendalian pengawasan manajemen ditetapkan oleh manajemen pada unit bisnis dan tingkat lini organisasi untuk mengurangi risiko pada unit bisnis dan meningkatkan kemungkinan pencapaian tujuan unit bisnis. Kontrol tingkat proses lebih detail dalam fokusnya daripada kontrol tingkat entitas. Mereka ditetapkan oleh pemilik proses untuk mengurangi risiko yang mengancam pencapaian tujuan proses. Meskipun pada dasarnya konsisten, pengendalian ini mungkin berbeda dalam pelaksanaannya di antara proses. Contoh kontrol tingkat proses meliputi:



■ Rekonsiliasi akun utama. ■ Verifikasi fisik aset (seperti jumlah inventaris). ■ Proses pengawasan karyawan dan evaluasi kinerja. ■ Penilaian risiko tingkat proses. ■ Pemantauan / pengawasan transaksi tertentu. Kontrol tingkat transaksi bahkan lebih detail dalam fokusnya daripada kontrol tingkat proses dan mengurangi risiko relatif terhadap kelompok atau berbagai kegiatan tingkat operasional (tugas) atau transaksi dalam suatu organisasi. Mereka dirancang untuk memastikan bahwa aktivitas, tugas, atau transaksi operasional individu, serta kelompok terkait kegiatan operasional (tugas) atau transaksi, diproses secara akurat tepat waktu. Contoh kontrol tingkat transaksi meliputi:



■ Otorisasi. ■ Dokumentasi (seperti dokumen sumber).



■ Pemisahan tugas. ■ Kontrol aplikasi TI (masukan, pemrosesan, keluaran). Kontrol tingkat entitas, tingkat proses, dan tingkat transaksi yang dirancang secara memadai dan efektif bekerja bersama-sama dan berfungsi sebagai pertahanan organisasi terhadap risiko yang mengancam pencapaian tujuan bisnis. Pengendalian tingkat entitas, tingkat proses, dan tingkat transaksi dibahas secara lebih rinci dalam studi kasus 1, "Pengendalian Tingkat Entitas Pengauditan," yang menyertai buku teks ini.



Kontrol Kunci dan Kontrol Sekunder Kontrol juga dapat dikategorikan berdasarkan kepentingannya. Dengan demikian, kontrol dapat dikategorikan sebagai kontrol kunci atau sebagai kontrol sekunder. Kontrol Kunci Suatu aktivitas yang dirancang untuk mengurangi risiko yang terkait dengan tujuan bisnis penting.



Kontrol kunci (sering disebut sebagai kontrol "utama") dirancang untuk mengurangi risiko utama yang terkait dengan tujuan bisnis. Kegagalan untuk menerapkan pengendalian kunci yang dirancang secara memadai dan efektif dapat mengakibatkan kegagalan organisasi tidak hanya untuk mencapai tujuan bisnis penting tetapi juga untuk bertahan hidup. Pengendalian sekunder adalah pengendalian yang dirancang untuk 1) memitigasi risiko yang bukan merupakan kunci tujuan bisnis, atau 2) mengurangi sebagian tingkat risiko ketika pengendalian kunci tidak beroperasi secara efektif. Pengendalian sekunder mengurangi tingkat risiko sisa ketika pengendalian kunci tidak beroperasi secara efektif, tetapi pengendalian itu sendiri tidak memadai untuk memitigasi risiko utama tertentu ke tingkat yang dapat diterima. Mereka biasanya merupakan bagian dari kontrol kompensasi. Kontrol Sekunder Suatu aktivitas yang dirancang untuk mengurangi risiko yang terkait dengan tujuan bisnis yang tidak penting bagi kelangsungan atau kesuksesan organisasi atau berfungsi sebagai cadangan untuk pengendalian kunci.



Kontrol Kompensasi Pengendalian kompensasi dirancang untuk melengkapi pengendalian kunci yang tidak efektif atau tidak dapat sepenuhnya memitigasi risiko atau kelompok risiko sendiri ke tingkat yang dapat diterima dalam selera risiko yang ditetapkan oleh manajemen dan dewan. Misalnya, pengawasan ketat dalam kasus ketika pemisahan tugas yang memadai tidak dapat dicapai dapat menjadi kontrol kompensasi. Kontrol tersebut juga dapat mencadangkan atau menduplikasi beberapa kontrol dan dapat beroperasi di berbagai proses dan risiko. Kontrol Kompensasi Suatu aktivitas yang, jika pengendalian kunci tidak sepenuhnya beroperasi secara efektif, dapat membantu mengurangi risiko terkait. Kontrol kompensasi tidak akan, dengan sendirinya, mengurangi risiko ke tingkat yang dapat diterima.



Seperti yang disebutkan sebelumnya, kontrol sekunder dan kontrol kompensasi diperlukan ketika kontrol kunci yang efektif tidak dapat dibuat atau dirancang untuk memitigasi risiko atau kelompok risiko secara memadai dalam risk appetite manajemen yang telah ditetapkan. Ini mungkin akibat dari kendala ekonomi atau kompleksitas operasional atau keduanya. Apa pun alasannya, kontrol sekunder dan kompensasi diperlukan yang tidak memiliki kontrol kunci yang efektif. Seringkali, kontrol kompensasi bekerja secara bersamaan dengan kontrol kunci yang terkait atau tumpang tindih, sekaligus berfungsi sebagai kontrol sekunder untuk kontrol kunci tertentu.



Kontrol Pencegahan dan Detektif Seringkali, banyak kontrol berbeda yang ada dirujuk oleh label yang menjelaskan apa yang dimaksudkan untuk dilakukan dalam upaya untuk membedakannya. Yang termasuk di sini adalah daftar singkat dari jenis kontrol ini dan definisinya. Kontrol pencegahan dirancang untuk mencegah kejadian yang tidak diinginkan terjadi di tempat pertama. Karena sifat dinamis dan kompleksitas operasi bisnis sehari-hari, sulit untuk merancang pengendalian pencegahan yang ekonomis dan efisien. Akibatnya, sebagian besar organisasi menggunakan kombinasi kontrol pencegahan dan kontrol detektif saat merancang sistem yang efektif dan efisien



pengendalian internal. Contoh kontrol pencegahan termasuk kontrol akses fisik dan logis, seperti pintu terkunci dan ID pengguna dengan sandi unik. Sebaliknya, kontrol detektif dirancang untuk menemukan peristiwa yang tidak diinginkan yang telah terjadi. Pengendalian detektif harus dilakukan tepat waktu (sebelum kejadian yang tidak diinginkan berdampak negatif yang tidak dapat diterima pada organisasi) agar dianggap efektif. Contoh kontrol detektif termasuk kamera keamanan untuk mengidentifikasi akses fisik yang tidak sah dan meninjau log komputer yang mencantumkan upaya akses yang tidak sah.



Kontrol Sistem Informasi (Teknologi) Karena ketergantungan yang lazim pada sistem informasi, pengendalian harus diterapkan untuk mengurangi risiko yang terkait dengan sistem otomatis yang diperlukan untuk menjalankan bisnis inti organisasi. Terkadang secara umum disebut sebagai kontrol "teknologi", ada dua jenis kontrol sistem informasi yang dapat digunakan untuk mengurangi risiko ini: 1.



Kontrol komputasi umum. Ini "berlaku untuk banyak, jika tidak semua sistem aplikasi dan membantu memastikan kelanjutan operasi yang tepat."



2.



Kontrol aplikasi. Ini "termasuk langkah-langkah terkomputerisasi dalam perangkat lunak aplikasi dan prosedur manual terkait untuk mengontrol pemrosesan berbagai jenis transaksi." 33



Kedua jenis kontrol ini bekerja sama "untuk memastikan kelengkapan,



akurasi, dan validitas informasi keuangan dan lainnya dalam sistem. " 34 Kontrol komputasi umum dianggap sebagai kontrol tingkat entitas karena diterapkan di seluruh organisasi dan banyak aplikasi komputernya. Kontrol aplikasi, di sisi lain, paling sering dianggap sebagai kontrol tingkat proses atau tingkat transaksi. Diskusi tambahan dan contoh komputasi umum dan kontrol aplikasi dapat ditemukan diBab 7, “Risiko dan Kontrol Teknologi Informasi,” dan studi kasus 1.



Kategorisasi Kontrol Secara Bersamaan Seperti yang telah disinggung sebelumnya di bab ini, kontrol tertentu dapat masuk ke dalam beberapa kategori pada waktu yang bersamaan. Misalnya, kontrol dapat menjadi kontrol tingkat entitas pada saat yang sama sebagai kontrol kunci. Kontrol yang sama juga bisa menjadi kontrol detektif. Akan tetapi, ini tidak dapat menjadi kontrol sekunder atau kontrol tingkat transaksi pada saat yang sama sebagai kontrol kunci dan kontrol tingkat entitas. Meskipun nuansa ini dapat membingungkan pada awalnya, waktu yang dihabiskan untuk mengerjakan kontrol akan mengarah pada pemahaman yang lebih baik tentang bagaimana berbagai kategori dapat muncul dalam satu kontrol.



MENGEVALUASI SISTEM GAMBARAN UMUM



PENGENDALIAN



INTERNAL:



Seperti yang disebutkan sebelumnya, manajemen, di bawah kepemimpinan CEO, memiliki tanggung jawab utama atas desain yang memadai dan pengoperasian sistem pengendalian internal yang efektif. Dengan demikian, manajemen bertanggung jawab untuk menempatkan kontrol yang dirancang secara memadai dan secara efektif mengoperasikan tingkat entitas dan pengendalian tingkat aktivitas untuk memitigasi risiko yang terkait dengan pencapaian tujuan bisnis di masing-masing dari tiga kategori yang ditentukan COSO: operasi, pelaporan, dan kepatuhan. Auditor internal memainkan peran penting dalam verifikasi bahwa manajemen telah memenuhi tanggung jawabnya. Awalnya, manajemen melakukan penilaian utama atas pengendalian internal menggunakan proses formal yang dikembangkan untuk tujuan tersebut. Fungsi audit internal kemudian



secara independen memvalidasi hasil manajemen. Selain itu, laporan biasanya diserahkan kepada komite audit baik oleh manajemen senior atau kepala eksekutif audit (CAE) yang menguraikan hasil penilaian manajemen mengenai kecukupan desain dan efektivitas operasi sistem pengendalian internal organisasi. Seperti yang ditunjukkan dalam Standar Internasional Praktik Profesional Audit Internal IIA, fungsi audit internal bertanggung jawab untuk menilai pengendalian organisasi (baik elemen, atau keseluruhan, sistem pengendalian internal). IPPF memberikan panduan tentang tanggung jawab fungsi audit internal untuk menilai kecukupan proses pengendalian organisasi dengan menunjukkan bahwa CAE harus mempertimbangkan apakah perbedaan signifikan (kelemahan) diidentifikasi (dan oleh siapa), jika koreksi atau perbaikan dilakukan setelah ditemukannya ketidaksesuaian, dan jika penemuan dan potensi konsekuensinya menunjukkan bahwa terdapat kondisi yang menyebar, yang mengakibatkan tingkat risiko yang tidak dapat diterima atau operasi yang tidak efektif. Sarbanes-Oxley juga mewajibkan manajemen organisasi yang terdaftar di SEC untuk secara terbuka melaporkan keandalan ICFR. Seperti yang telah disebutkan sebelumnya, di Amerika Serikat, Sarbanes-Oxley menempatkan tanggung jawab untuk desain, pemeliharaan, dan operasi efektif ICFR tepat di pundak manajemen senior, khususnya, CEO dan CFO. Untuk mematuhi undang-undang ini, SEC mengharuskan CEO dan CFO perusahaan publik untuk berpendapat tentang keandalan pelaporan keuangan (yaitu, desain yang memadai dan operasi ICFR yang efektif) sebagai bagian dari pengarsipan tahunan laporan keuangan dengan SEC , serta melaporkan setiap perubahan substansial, jika ada, di ICFR setiap tiga bulan. Banyak negara lain memiliki persyaratan serupa. Untuk kepentingan pelaporan keuangan yang andal, "[m] anajemen membuat asersi tentang pengakuan, pengukuran, penyajian, dan pengungkapan akun, transaksi, dan peristiwa yang termasuk dalam laporan keuangan entitas."35 Lima pernyataan dasar laporan keuangan adalah:



■ Keberadaan atau kejadian. Aktiva, kewajiban, dan kepentingan kepemilikan ada pada tanggal tertentu, dan transaksi yang dicatat



mewakili peristiwa yang sebenarnya terjadi selama periode tertentu.



■ Kelengkapan. Semua transaksi dan peristiwa serta keadaan lain yang terjadi selama periode tertentu, dan yang seharusnya diakui dalam periode tersebut, sebenarnya telah dicatat.



■ Hak dan kewajiban. Aset adalah hak, dan kewajiban adalah kewajiban, entitas pada tanggal tertentu.



■ Penilaian atau alokasi. Komponen aset, kewajiban, pendapatan, dan beban dicatat dalam jumlah yang sesuai sesuai dengan prinsip akuntansi yang relevan dan tepat. Transaksi benar secara matematis dan diringkas serta dicatat dengan tepat dalam pembukuan dan catatan entitas.



■ Presentasi dan pengungkapan. Item dalam pernyataan dijelaskan, diurutkan, dan diklasifikasikan dengan benar. 36 Seluruh entitas dan aktivitas pengendalian proses bisnis yang secara khusus dirancang untuk memberikan jaminan yang wajar bahwa tujuan pelaporan eksternal tercapai dan mendukung asersi terkait manajemen memiliki elemen umum tertentu. Untuk dirancang secara memadai dan beroperasi secara efektif, pengendalian ini harus membahas konsep inisiasi, otorisasi, pencatatan, pemrosesan, dan pelaporan. Seperti disebutkan sebelumnya dalam bab ini, pengendalian ini secara kolektif disebut sebagai ICFR. PCAOB Dewan Pengawas Akuntansi Perusahaan Publik AS



PCAOB dibuat untuk menetapkan pedoman yang harus dipatuhi oleh auditor luar yang independen dan, secara tidak langsung, manajemen untuk memenuhi persyaratan pelaporan ini. Menanggapi hal tersebut, pada tanggal 12 Juni 2007, PCAOB mengeluarkan Standar Audit No. 5, Audit Pengendalian Internal atas Pelaporan Keuangan yang Terintegrasi dengan Audit atas Laporan Keuangan. Untuk pedoman khusus tambahan, lihat Standar Audit No. 5 itu sendiri.



PELUANG UNTUK MEMBERIKAN WAWASAN



Karena auditor internal melakukan perikatan audit di semua area organisasi, mereka diposisikan secara unik untuk memberikan wawasan tentang efektivitas sistem pengendalian internal organisasi. Gambar 6- 11 memberikan 10 contoh peluang spesifik auditor internal harus memberikan wawasan seperti itu. PAMERAN 6-11 10 PELUANG UNTUK FUNGSI AUDIT INTERNAL UNTUK MEMBERIKAN WAWASAN MENGENAI PENGENDALIAN INTERNAL YANG EFEKTIF 1. Membantu organisasi mengembangkan kerangka kerja yang komprehensif untuk menilai desain yang memadai dan operasi pengendalian internal yang efektif. 2. Membantu manajemen menetapkan struktur logis untuk menganalisis, mendokumentasikan, dan menilai desain dan operasi pengendalian internal organisasi. 3. Membantu organisasi mengembangkan proses untuk mengidentifikasi, mengevaluasi, dan memulihkan kekurangan pengendalian internal. 4. Memberikan jaminan independen atas desain yang memadai dan operasi pengendalian internal yang efektif. 5. Bertindak tegas ketika potensi signifikan atau material perubahan atau kekurangan pengendalian internal teridentifikasi. 6. Membantu dalam analisis postmortem ketika terjadi defisiensi pengendalian internal. 7. Menginformasikan manajemen tentang potensi kerusakan dalam pengendalian internal yang menimbulkan peningkatan risiko bagi organisasi. 8. Membantu manajemen dalam mengembangkan budaya perilaku etis ("nada di atas") dan toleransi yang rendah terhadap pengendalian internal yang tidak efektif. 9. Tetap mengikuti dan menginformasikan manajemen tentang masalah, peraturan, dan undang-undang yang muncul terkait dengan efektivitas pengendalian internal. 10. Memberikan pelatihan kesadaran pengendalian internal di seluruh organisasi.



RINGKASAN Bab ini membahas pengendalian yang dikembangkan organisasi untuk mengurangi risiko yang berpotensi mengancam pencapaian tujuan bisnis. Dimulai dengan definisi pengendalian internal, bab ini melanjutkan untuk menjelaskan apa itu kerangka kerja dan bagaimana konsep-konsep seperti pengendalian internal dan ERM dipraktikkan secara lebih efektif ketika diterapkan dengan menggunakan metode yang dikembangkan dengan baik dan diterima secara umum.



kerangka kerja. Selain itu, berbagai kerangka kerja yang mempertimbangkan pengendalian internal sekarang harus dapat dengan mudah diidentifikasi. Dari sana, komponen yang harus ada untuk sistem operasi pengendalian internal yang dirancang secara memadai dan efektif diidentifikasi dan ditentukan. Setiap orang di dalam organisasi memiliki tanggung jawab atas pengendalian internal dan bab ini menguraikan peran dan tanggung jawab spesifik yang dimiliki setiap kelompok orang dalam organisasi dalam hal itu, termasuk proses manajemen untuk mengevaluasi sistem pengendalian internal organisasi secara keseluruhan. Selain itu, peran dan tanggung jawab spesifik yang dimiliki fungsi audit internal relatif terhadap sistem pengendalian internal telah dibahas. Berbagai jenis pengendalian yang digunakan untuk memitigasi berbagai jenis risiko yang dihadapi organisasi telah ditangani dan sekarang harus dapat dengan mudah diidentifikasi. Penerapan yang sesuai masingmasing juga harus dipahami dengan baik. Akhirnya, gambaran umum dari proses untuk mengevaluasi sistem pengendalian internal disajikan dalam bab ini, yang akan dikembangkan nanti dalam buku teks.



TINJAU PERTANYAAN 1. Apa itu kerangka kerja? Apa kerangka pengendalian internal yang diakui secara global oleh manajemen, akuntan / auditor luar independen, dan profesional audit internal? 2. Apa yang harus dilakukan oleh CEO dan CFO perusahaan publik untuk mematuhi Undang-Undang Sarbanes-Oxley AS tahun 2002? 3. Bagaimana COSO mendefinisikan pengendalian internal? 4. Apa tujuan itu? Tiga kategori tujuan apa yang ditetapkan dalam kerangka COSO? 5. Apa lima komponen pengendalian internal yang tercakup dalam kerangka COSO? 6. Terdiri dari apa lingkungan pengendalian? 7. Apa yang tercakup dalam penilaian risiko? 8. Apakah aktivitas pengendalian itu? Jenis aktivitas pengendalian apa yang ada dalam sistem pengendalian internal yang dirancang dengan baik? 9. Apakah informasi berkualitas tinggi itu? Mengapa informasi berkualitas tinggi harus dikomunikasikan? 10. Kapan aktivitas pemantauan paling efektif? Siapa yang melakukan kegiatan pemantauan? Apa yang membedakan evaluasi terpisah dari aktivitas pemantauan yang sedang berlangsung? 11. Apa 17 prinsip pengendalian internal yang didefinisikan oleh COSO? 12. Tanggung jawab apa yang dimiliki kelompok orang berikut ini terkait pengendalian internal?



■ Pengelolaan. ■ Jajaran direksi. ■ Auditor internal. ■ Orang lain dalam organisasi. ■ Auditor luar independen. 13. Apa yang dimaksud dengan "batasan pengendalian internal"? Berikan contoh batasan yang melekat pada pengendalian internal. 14. Apa risiko inheren? Apakah risiko yang dapat dikontrol? Apa risiko residual? 15. Bagaimana perspektif auditor internal tentang pengendalian internal berbeda dari perspektif manajemen? 16. Bagaimana kontrol tingkat entitas berbeda dari kontrol tingkat proses dan tingkat transaksi? 17. Apa itu kontrol kunci? Apa yang dimaksud dengan kontrol sekunder? Apa yang dimaksud dengan kontrol kompensasi? 18. Apa perbedaan antara Kontrol Pencegahan dan Detektif? 19. Apakah dua tipe luas dari kendali sistem informasi (teknologi)? 20. Bagaimana sistem pengendalian internal dievaluasi?



SOAL PILIHAN GANDA



Pilih jawaban terbaik untuk setiap pertanyaan berikut. 1. Manakah dari berikut ini yang paling tepat menggambarkan tujuan auditor internal dalam meninjau proses tata kelola, manajemen risiko, dan pengendalian organisasi yang ada? a. Untuk membantu menentukan sifat, saat, dan luas pengujian yang diperlukan untuk mencapai tujuan perikatan. b. Untuk memastikan bahwa kelemahan pada sistem pengendalian internal diperbaiki. c. Untuk memberikan jaminan yang wajar bahwa proses tersebut akan memungkinkan tujuan dan sasaran organisasi tercapai secara efisien dan ekonomis. d. Untuk menentukan apakah proses tersebut memastikan bahwa catatan akuntansi benar dan laporan keuangan disajikan secara wajar. 2. Apa risiko residual? a. Dampak risiko. b. Risiko yang terkendali. c. Risiko yang tidak dikelola. d. Risiko yang mendasari di lingkungan. 3. Persyaratan bahwa pembelian dilakukan dari pemasok pada daftar vendor yang disetujui adalah contoh dari: a. Pengendalian preventif. b. Kontrol detektif.



c. Kontrol kompensasi. d. Kontrol pemantauan. 4. Sistem pengendalian internal yang efektif kemungkinan besar akan mendeteksi kecurangan yang dilakukan oleh: a. Sekelompok karyawan berkolusi. b. Karyawan lajang. c. Sekelompok manajer berkolusi. d. Manajer tunggal. 5. Kontrol yang kemungkinan besar akan memastikan bahwa cek penggajian ditulis hanya untuk jumlah yang diotorisasi adalah dengan: a. Lakukan verifikasi lantai berkala karyawan di daftar gaji. b. Mewajibkan pengembalian cek yang tidak terkirim ke kasir. c. Memerlukan persetujuan pengawasan kartu waktu karyawan. d. Saksikan secara berkala distribusi cek gaji. 6. Auditor internal berencana untuk melakukan audit atas kecukupan pengendalian atas investasi dalam instrumen keuangan baru. Manakah dari berikut ini yang tidak diperlukan sebagai bagian dari perikatan seperti itu? a. Tentukan apakah ada kebijakan yang menggambarkan risiko yang mungkin diambil bendahara dan jenis instrumen yang dapat digunakan bendahara untuk berinvestasi. b. Tentukan tingkat pengawasan manajemen atas investasi dalam instrumen canggih. c. Tentukan apakah bendahara mendapatkan tingkat pengembalian investasi yang lebih tinggi atau lebih rendah daripada bendahara di organisasi yang sebanding. d. Tentukan sifat kegiatan pemantauan yang terkait dengan portofolio investasi.



7. Pengendalian internal yang tepat untuk kantor cabang perusahaan multinasional yang memiliki departemen yang bertanggung jawab atas pengiriman uang mensyaratkan bahwa: a. Individu yang memulai transfer kawat tidak merekonsiliasi laporan bank. b. Manajer cabang harus menerima semua transfer kawat. c. Nilai tukar mata uang asing harus dihitung secara terpisah oleh dua karyawan yang berbeda. d. Manajemen perusahaan menyetujui perekrutan karyawan di departemen ini. 8. Siapa yang memiliki tanggung jawab utama untuk komponen pemantauan pengendalian internal? a. Auditor luar organisasi yang independen. b. Fungsi audit internal organisasi. c. Manajemen organisasi. d. Dewan direksi organisasi. 9. Jaminan yang wajar, karena berkaitan dengan pengendalian internal, berarti: a. Tujuan pengendalian internal berbeda-beda tergantung pada metode pengolahan data yang digunakan. b. Sistem kontrol internal yang dirancang dengan baik akan mencegah atau mendeteksi semua kesalahan dan penipuan. c. Keterbatasan yang melekat pada pengendalian internal menghalangi sistem pengendalian internal untuk memberikan jaminan mutlak bahwa tujuan akan tercapai. d. Manajemen tidak dapat mengesampingkan kontrol, dan karyawan tidak dapat menghindari kontrol melalui kolusi. 10. Manakah dari berikut ini yang paling mencontohkan aktivitas kontrol yang disebut sebagai verifikasi independen?



a. Rekonsiliasi rekening bank oleh seseorang yang tidak menangani kas atau mencatat transaksi tunai. b. Lencana identifikasi dan kode keamanan yang digunakan untuk membatasi masuk ke fasilitas produksi. c. Catatan dan dokumen akuntansi yang menyediakan jejak transaksi penjualan dan penerimaan kas. d. Memisahkan penyimpanan fisik persediaan dari akuntansi persediaan. 11. Komponen penilaian risiko dari pengendalian internal meliputi: a. Penilaian risiko residual dari auditor luar yang independen. b. Penilaian fungsi audit internal atas defisiensi pengendalian. c. Identifikasi organisasi dan analisis risiko yang mengancam pencapaian tujuannya. d. Pemantauan organisasi atas informasi keuangan untuk potensi salah saji material. 12. Kerangka Pengendalian Internal COSO terdiri dari lima komponen pengendalian internal dan 17 prinsip untuk mencapai pengendalian internal yang efektif. Manakah dari berikut ini yang merupakan prinsip / are (a)? I. Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika. II. Kegiatan pemantauan. III. Tingkat jaminan yang didukung oleh prosedur dan penilaian audit yang diterima secara umum. IV. Sekumpulan prinsip panduan yang membentuk template yang dapat digunakan organisasi untuk mengevaluasi banyak praktik bisnis. V. Organisasi memilih, mengembangkan, dan melakukan evaluasi yang sedang berlangsung dan / atau terpisah untuk memastikan apakah komponen pengendalian internal ada dan berfungsi. a. II saja.



b. I dan V saja. c. II dan IV saja. d. I, II, III, IV, dan V. 13. Saat menilai risiko yang terkait dengan suatu aktivitas, auditor internal harus: a. Tentukan bagaimana risiko sebaiknya dikelola. b. Memberikan jaminan atas pengelolaan risiko. c. Memperbaharui proses manajemen risiko berdasarkan eksposur risiko. d. Rancang kontrol untuk memitigasi risiko yang teridentifikasi. 14. Menentukan bahwa tujuan keterlibatan telah tercapai pada akhirnya menjadi tanggung jawab: a. Auditor internal. b. Komite Audit. c. Pengawas audit internal. d. CAE. 15. Sistem pengendalian internal yang memadai kemungkinan besar dapat mendeteksi penyimpangan yang dilakukan oleh: a. Sekelompok karyawan berkolusi. b. Karyawan lajang. c. Sekelompok manajer berkolusi. d. Manajer tunggal.



PERTANYAAN DISKUSI 1. Laporan audit berisi observasi berikut: a. Lokasi departemen layanan tidak sesuai untuk memungkinkan layanan yang memadai ke unit lain. b. Karyawan yang dipekerjakan untuk posisi sensitif tidak akan menjalani pemeriksaan latar belakang. c. Manajer tidak memiliki akses ke laporan yang menggambarkan kinerja keseluruhan dalam kaitannya dengan organisasi lain yang dijadikan tolok ukur. d. Manajemen belum mengambil tindakan korektif untuk menyelesaikan observasi perikatan di masa lalu terkait dengan pengendalian inventaris. Manakah dari dua observasi berikut yang paling mungkin menunjukkan adanya kelemahan pengendalian atas pengamanan aset? Mengapa? 2. Untuk memenuhi standar pembuangan limbah, pabrik menerapkan sistem kontrol yang dirancang untuk mencegah keluarnya air limbah yang tidak memenuhi standar tersebut. Salah satu pengendalian memerlukan analisis kimiawi air, sebelum dibuang, untuk komponen yang ditentukan dalam izin. Apakah ini kontrol yang tepat? Mengapa atau mengapa tidak? 3. Suatu organisasi mempunyai tujuan untuk mencegah pemesanan jumlah persediaan yang melebihi kebutuhannya. Satu individu dalam organisasi ingin merancang kontrol yang memerlukan peninjauan semua daftar permintaan pembelian oleh supervisor di departemen pengguna sebelum mengirimkannya ke departemen pembelian. Individu lain ingin menerapkan kebijakan yang memerlukan persetujuan laporan penerimaan dan slip pengepakan sebelum penyimpanan penerimaan inventaris baru. Manakah dari kontrol berikut yang relevan dalam mencapai tujuan yang ditetapkan? Jelaskan jawabanmu.



4. COSO dikutip dalam bab ini sebagai berikut: “… auditor internal



memberikan asurans dan dukungan nasehat kepada manajemen tentang pengendalian internal ... fungsi audit internal termasuk mengevaluasi kecukupan dan efektivitas pengendalian dalam menanggapi risiko dalam pengawasan, operasi, dan sistem informasi organisasi… [Selain itu,] [t] lingkup audit internal biasanya diharapkan mencakup pengawasan, manajemen risiko, dan pengendalian internal, dan membantu organisasi dalam memelihara pengendalian yang efektif dengan mengevaluasi efektivitas dan efisiensinya dan dengan mendorong peningkatan berkelanjutan. Audit internal mengkomunikasikan temuan dan berinteraksi langsung dengan manajemen, komite audit, dan / atau dewan direksi. " Jawab pertanyaan berikut terkait kutipan ini. a. Apakah fungsi audit internal organisasi merupakan bagian dari sistem pengendalian internalnya? Jika jawaban Anda adalah ya, jelaskan bagaimana fungsi audit internal dapat mengevaluasi kecukupan desain dan efektivitas operasi pengendalian internal dan pada saat yang sama tetap independen dari sistem pengendalian internal organisasi. Jika jawaban Anda adalah tidak, jelaskan peran fungsi audit internal relatif terhadap sistem pengendalian internal organisasi. b. Jika pemantauan, menurut definisi, merupakan komponen pengendalian internal yang menjadi tanggung jawab manajemen, apakah tepat bagi fungsi audit internal untuk melakukan aktivitas pemantauan? Jelaskan jawabanmu.



KASUS



KASUS 137 Pengendalian mengurangi risiko yang mengancam tujuan dan dengan demikian memberikan jaminan yang wajar bahwa tujuan akan tercapai. Resiko mencakup ancaman hal-hal buruk yang terjadi dan ancaman hal-hal baik yang tidak terjadi. Beberapa kontrol terlihat dan oleh karena itu dapat difoto. A. Pilih satu atau dua teman sekelas yang ingin Anda ajak mengerjakan tugas ini. B. Sebagai sebuah tim, potret lima kontrol berbeda yang Anda amati di sekitar kampus dan / atau komunitas sekitar. Gunakan imajinasi dan kecerdikan Anda. Setiap tim harus bekerja secara independen untuk menghasilkan serangkaian gambar yang unik. Setidaknya dua dari kontrol yang difoto harus merupakan kontrol yang dirancang untuk mengurangi risiko terjadinya sesuatu yang baik (yaitu, kontrol yang dirancang untuk membantu sesuatu yang baik terjadi). C. Untuk setiap kontrol yang difoto: 1. Tunjukkan dengan jelas apakah kontrol dirancang untuk mengurangi ancaman terjadinya hal-hal buruk atau ancaman hal-hal baik tidak terjadi. 2. Kemudian jelaskan secara singkat dan terpisah: a. Tujuan yang dirancang untuk dibantu dicapai oleh kontrol. b. Risiko yang dirancang untuk dimitigasi oleh kontrol. (Catatan: Risiko yang Anda gambarkan haruslah sesuatu yang bukan sekadar kebalikan dari tujuan.) c. Bagaimana kendali dimaksudkan untuk beroperasi (yaitu, bagaimana kendali itu bekerja). d. Bagaimana Anda akan menguji kontrol untuk menentukan apakah itu beroperasi secara efektif. Untuk diserahkan: A. Set lima gambar.



B. Deskripsi dari lima kontrol yang diwakili oleh gambar, seperti yang disebutkan dalam persyaratan C.



KASUS 2 Latihan Kasus Praktik TeamMate 2: TeamEWP dan Pengendalian Internal Selesaikan Latihan 2: TeamEWP dan Pengendalian Internal dalam Buku Kerja Kasus Praktek TeamMate.



KASUS 3 Kasus Praktik KnowledgeLeader: Pendekatan Hemat Biaya untuk Memvalidasi ICFR Informasi latar belakang Di Amerika Serikat, undang-undang Sarbanes-Oxley menempatkan tanggung jawab untuk desain, pemeliharaan, dan operasi pengendalian internal yang efektif tepat di pundak manajemen senior, khususnya, CEO dan CFO. Untuk mematuhi undang-undang ini, SEC mewajibkan CEO dan CFO perusahaan publik dengan ukuran tertentu untuk berpendapat tentang kecukupan desain dan efektivitas operasi ICFR sebagai bagian dari pengajuan laporan keuangan tahunan dengan SEC, serta melaporkan substansial. perubahan ICFR, jika ada, setiap tiga bulan. Organisasi telah berhasil menerapkan kerangka COSO dalam upaya mereka untuk mematuhi Bagian 404 dari Sarbanes-Oxley, meskipun menghadapi biaya tak terduga yang signifikan. Dalam upaya untuk mengurangi biaya untuk mematuhi Pasal 404 Sarbanes-Oxley, Manfaatkan situs KnowledgeLeader dan lakukan hal berikut: A. Otentikasi ke situs web KnowledgeLeader menggunakan nama pengguna dan kata sandi Anda. B. Lakukan penelitian dan identifikasi pendekatan alternatif untuk memvalidasi efektivitas operasi ICFR organisasi secara lebih hemat biaya.



C. Kirimkan tulisan singkat yang menunjukkan hasil penelitian Anda kepada instruktur Anda.