BAB II

PEMBAHASAN

Pengendalian internal

tujuan pembelajaran

mengerti apa yang dimaksud dengan pengendalian internal dalam berbagai kerangka

mengidentifikasi komponen kerangka pengendalian internal yang efektif

mengetahui peran dan tanggung jawab masing-masing kelompok dalam suatu

organisasi tentang pengendalian internal

mengidentifikasi jenis-jenis kontrol dan aplikasi yang sesuai untuk masing-masing

memperoleh kesadaran tentang proses untuk mengevaluasi sistem pengendalian

internal.

Setiap organisasi memiliki tujuan bisnis yang bermaksud untuk mencapai, dan setiap

organisasi memiliki risiko yang mengancam pencapaian tujuan tersebut. dalam bab ini, kita

membahas berbagai komponen sistem pengendalian internal yang mengembangkan

organisasi untuk mengurangi dan mengelola risiko tersebut. Anda akan masuk pada bab ini

dengan pemahaman tentang apa yang dimaksud dengan pengendalian internal dan dapat

mengidentifikasi berbagai kerangka kerja yang mempertimbangkan pengendalian internal.

Setiap orang dalam organisasi memiliki tanggung jawab untuk pengendalian internal, dan bab

ini menguraikan peran dan tanggung jawab masing-masing kelompok orang dalam organisasi

tersebut, termasuk manajemen proses untuk mengevaluasi organisasi sistem pengendalian

internal. ada beberapa jenis kontrol yang digunakan untuk mengurangi banyak jenis risiko

yang dihadapi organisasi.

kerangka

kerangka adalah badan prinsip panduan yang membentuk template agar organisasi dapat

mengevaluasi banyak praktek bisnis. prinsip-prinsip ini terdiri dari berbagai konsep, nilai-

nilai, asumsi, dan praktek. dimaksudkan untuk memberikan patokan terhadap suatu

organisasi dapat menilai atau mengevaluasi struktur tertentu, proses, atau lingkungan, atau

sekelompok praktek atau prosedur. khusus untuk praktek audit internal, berbagai kerangka

yang digunakan untuk menilai kecukupan desain dan efektivitas operasi pengendalian.

Menurut IIA pengertian kerangka adalah sebagai berikut: "secara umum, kerangka

memberikan struktural bagaimana tubuh pengetahuan dan gabungan panduan yang baik.

sistem yang koheren, memfasilitasi pengembangan yang konsisten, interpretasi, dan

2

penerapan konsep, metodologi , dan teknik yang berguna atau menjalani profesi dengan

disiplin. "

Hal ini penting untuk memulai dengan membuat beberapa perbedaan sehingga tidak

ada kebingungan mengenai kerangka kerja yang dibahas dalam bab-khusus, manajemen

risiko perusahaan (ERM) kerangka kerja dan kerangka kerja lebih khusus dirancang untuk

mengatasi pengendalian internal. baik kesepakatan dengan pengurangan risiko dan aspek

pengendalian internal, bagaimanapun, kerangka yang fokus pada pengendalian internal saja

lebih sempit didefinisikan dan cenderung kurang strategis di alam. Sementara dalam bab ini

secara khusus dengan subjek kontrol internal dan berfokus pada kerangka pengendalian

internal, itu tidak akan lengkap tanpa mengidentifikasi kerangka ERM dan kerangka lainnya

diakui secara global berurusan dengan tata kelola, manajemen risiko, dan pengendalian

internal yang juga telah dikembangkan atau telah berevolusi selama berwaktu-waktu.

Kerangka diakui secara global

- Kerangka Pengendalian Internal

Pengendalian Internal - Kerangka Terpadu (COSO), Komite of Sponsoring Organizations

of the Treadway Commission, Amerika Serikat, 1992

Bimbingan pada Control (COCO), The Canadian Institute of Charterede Akuntan, Kanada,

1995

Pengendalian Internal: Panduan Revisi Direksi pada Kode Gabungan (Tumbull), Pelaporan

Keuangan Dewan 2005

COBIT 4.1, IT Governance Institute, Amerika Serikat, 2007

Kerangka tata kelola

Laporan Komite Aspek Keuangan Corporate Governance (Cadbury), Inggris, 1992

Laporan raja Corporate Governance untuk Afrika Selatan (Raja II), Institute of Directors,

Afrika Selatan, 2002

Kerangka Enterprise Risk Management

Australia / Selandia Baru Standar Manajemen Risiko (Australia Standard 4360),

Bersama Teknis Komite 08/007 - Manajemen Risiko, Australia / Selandia Baru, Revisi

2004

Enterprise Risk Management - kerangka Terpadu (COSO), Committee of Sponsoring

Organization Komisi Treadway, Amerika Serikat, 2004

Secara global lainnya Kenali Kerangka Mitigasi Risiko

Internasional Konvergensi Modal Pengukuran dan Standar Modal (Basel Accord), Komite

Basel pada Pengawasan Perbankan 1988

3

Internasional Konvergensi Modal Pengukuran dan Standar Modal Kerangka Revisi (Basel

II atau The New Accord), Komite Basel 2005

Tidak ada perbedaan antara COSO, CoCo, dan Turnbull. semua kerangka termasuk

definisi dari pengendalian internal, menjelaskan proses yang menyediakan jaminan yang

wajar untuk mencapai tujuan organisasi dalam tiga kategori tertentu: efektivitas efisiensi

operasi, keandalan pelaporan, dan kepatuhan. tiga kerangka mengenai tanggung jawab

internalcontrol, khususnya tanggung jawab tidak hanya pada dewan direksi, manajemen

senior, dan auditor internal, tetapi juga pada setiap individu dalam organisasi. meskipun

disebut dengan judul yang berbeda antara kerangka kerja, komponen masing-masing

kerangka pengendalian internal pada dasarnya sama dan dapat diperiksa menggunakan COSO

untuk setiap komponen, yaitu: Pengendalian Lingkungan, Penilaian Risiko, Kegiatan

Pengendalian, Informasi dan Komunikasi, dan Monitoring.

Di Amerika Serikat, AS Sarbanes-Oxley Act of 2002 undang-undang menempatkan tanggung

jawab untuk desain, pemeliharaan, dan operasi yang efektif dari pengendalian internal tepat

di pundak manajemen senior, khususnya, CEO dan kepala keuangan (CFO). Untuk mematuhi

undang-undang ini, US Securities and Exchange Commission (SEC) membutuhkan CEO dan

CFO dari perusahaan publik pada kecukupan desain dan efektivitas operasi pengendalian

internal atas pelaporan keuangan (ICFR) sebagai bagian dari pernyataan pengajuan keuangan

tahunan dengan SEC, serta perubahan substansial laporan ICFR, jika ada, secara triwulanan.

khusus, SEC memerlukan bukti kepatuhan, memutuskan bahwa "... manajemen harus

mendasarkan evaluasi [atau, pendapat] dari.

PERBANDINGAN KERANGKA PENGENDALIAN INTERNAL

COSO CoCo Turnbull

Definisi dari Internal

control

proses dipengaruhi

oleh dewan entitas

direksi, manajemen,

dan personil lainnya,

yang dirancang

untuk memberikan

keyakinan memadai

tentang prestasi dari

Unsur-orang dari

organisasi yang

mendukung orang

lebih dari keyakinan

memadai dalam

pencapaian tujuan

organisasi dalam

kategori berikut:

meliputi kebijakan,

proses tugas,

perilaku dan aspek

lain dari sebuah

perusahaan yang

menawarkan jaminan

yang wajar dalam

memfasilitasi operasi

4

tujuan dalam

kategori berikut:

efektivitas dan

efisiensi operasi,

keandalan pelaporan

keuangan, dan

kepatuhan terhadap

hukum dan

peraturan.

efektivitas, dan

efisiensi operasi,

keandalan pelaporan

internal dan

eksternal. kepatuhan

terhadap hukum dan

peraturan dan

kebijakan internal.

yang efektif dan

efisien,

memungkinkan

untuk respon tepat

untuk bisnis yang

signifikan,

operasional,

keuangan,

kepatuhan, dan

risiko lainnya untuk

mencapai tujuan

perusahaan Relatif

untuk menghemat

menjaga aset,

mengidentifikasi dan

mengelola

kewajiban, kualitas

pelaporan dan

kepatuhan terhadap

hukum dan

peraturan.

Komponen dari

Internal Control

Pengendalian

Lingkungan,

Penilaian Risiko,

Kegiatan

Pengendalian,

Informasi dan

Komunikasi, dan

Monitoring

tujuan, komitmen,

kemampuan,

pemantauan, dan

pembelajaran.

kegiatan

pengendalian,

informasi dan

komunikasi proses,

pemantauan,

embeddedness dalam

Operasi perusahaan,

respon terhadap

risiko dan

perubahan, dan

pelaporan

Efektivitas pengendalian internal perusahaan atas pelaporan keuangan pada kerangka

pengendalian diakui sesuai yang didirikan oleh badan atau kelompok yang telah mengikuti

5

prosedur proses hukum, termasuk distribusi luas kerangka untuk komentar publik untuk

rincian tentang evaluasi SEC kerangka pengendalian internal yang tepat.

Banyak organisasi yang berhasil menerapkan kerangka kerja ini dalam upaya untuk

memenuhi Pasal 404 Sarbanis-Oxley, meskipun menghadapi biaya tak terduga signifikan.

perusahaan publik yang lebih kecil berjuang untuk memenuhi biaya mahal serta beberapa

tantangan lain untuk organisasi yang lebih kecil, termasuk:

Memperoleh sumber daya yang cukup untuk mencapai pembagian tugas yang

memadai,

Kemampuan manajemen untuk mendominasi kegiatan, dengan peluang yang

signifikan untuk mengesampingkan manajemen yang tidak tepat dari proses untuk

muncul bahwa kinerja bisnis tujuan telah terpenuhi (pengendalian manajemen),

Individu merekrut pelaporan keuangan yang diperlukan dan keahlian lainnya untuk

melayani secara efektif pada dewan direksi dan komite audit yang

merekrut dan penahan personil dengan pengalaman yang cukup dan keterampilan di

bidang akuntansi dan pelaporan keuangan

Mengambil perhatian penting manajemen menjalankan bisnis untuk memberikan

fokus yang cukup pada akuntansi dan pelaporan keuangan, (dan)

mengendalikan teknologi informasi dan mempertahankan pengendalian umum dan

aplikasi yang sesuai melalui sistem informasi komputer dengan sumber daya teknis

yang terbatas.

Dalam menanggapi ini, COSO mengeluarkan pengendalian internal atas pelaporan

keuangan - panduan bagi perusahaan publik yang lebih kecil (bimbingan untuk perusahaan

publik yang lebih kecil) pada bulan Juli 2006 sebagai suplemen untuk kerangka COSO.

terutama dirancang untuk memberikan bimbingan kepada perusahaan publik yang lebih kecil

untuk membantu mereka dengan biaya yang efektif sarana untuk memenuhi Pasal 404

Sarbanes-Oxley, bimbingan untuk perusahaan publik yang lebih kecil memiliki manfaat

tambahan memasok untuk semua organisasi, terlepas dari ukuran, pada penerapan kerangka

COSO ketika mengevaluasi efektivitas ICFR. Karakteristik "kecil" Perusahaan

ada berbagai macam bisnis yang dapat diklasifikasikan sebagai "lebih kecil"; banyak

memiliki kesamaan karakteristik sebagai berikut:

Lebih sedikit baris bisnis dan produk yang lebih sedikit dalam baris

Konsentrasi fokus pemasaran, oleh saluran atau geografi

Kepemimpinan dengan manajemen dengan kepemilikan yang signifikan atau hak

6

Tingkat yang lebih sedikit dari manajemen, dengan rentang bijaksana

pengendalian

Sistem pengolahan transaksi yang kompleks kurang dan protokol

Pesonil lebih sedikit, banyak memiliki berbagai rentang tugas

Kemampuan untuk mempertahankan sumber daya manusia, akuntansi, dan audit

internal.

20 Prinsip Dasar Untuk Mencapai Pengendalian Internal Atas Pelaporan Keuangan

yang efektif

Pengendalian Lingkungan

1. Integritas dan etika Nilai - integritas suara dan nilai-nilai etika, khususnya dari

manajemen puncak, dikembangkan dan dipahami dan menetapkan standar

perilaku untuk pelaporan keuangan.

2. Direksi - Direksi memahami dan menjalankan tanggung jawab pengawasan

terkait dengan pelaporan keuangan dan pengendalian internal terkait

3. Manajemen filsafat dan operasi gaya - Filosofi dan gaya operasi dukungan

manajemen mencapai pengendalian internal yang efektif atas pelaporan keuangan

4. Struktur organisasi - struktur organisasi perusahaan mendukung pengendalian

internal yang efektif atas pelaporan keuangan

5. Pelaporan keuangan yang kompeten - perusahaan mempertahankan individu yang

kompeten dalam pelaporan keuangan dan peran pengawasan

6. Wewenang dan tanggung jawab - manajemen dan karyawan ditugaskan sesuai

tingkat wewenang dan tanggung jawab untuk memfasilitasi pengendalian internal

yang efektif atas pelaporan keuangan.

7. Sumber daya manusia - kebijakan dan praktek sumber daya manusia dirancang

dan dilaksanakan untuk memfasilitasi pengendalian internal yang efektif atas

pelaporan keuangan

Perkiraan risiko

8. Tujuan pelaporan keuangan - manajemen menentukan tujuan pelaporan keuangan

dengan kejelasan dan kriteria yang cukup untuk memungkinkan identifikasi risiko

untuk pelaporan keuangan yang handal

9. Risiko pelaporan keuangan - perusahaan mengidentifikasi dan menganalisa risiko

terhadap pencapaian tujuan pelaporan keuangan sebagai dasar untuk menentukan

bagaimana risiko harus dikelola

7

10. Risiko penipuan - potensi salah saji material karena kecurangan secara

eksplisit dipertimbangkan dalam menilai risiko terhadap pencapaian tujuan

pelaporan keuangan.

kegiatan pengendalian

11. Integrasi dengan penilaian risiko - tindakan yang diambil untuk mengatasi

risiko terhadap pencapaian tujuan pelaporan keuangan.

12. seleksi dan pengembangan kegiatan pengendalian - kegiatan pengendalian

yang dipilih dan dikembangkan mempertimbangkan biaya dan efektivitas potensi

mereka dalam mengurangi risiko terhadap pencapaian tujuan pelaporan

keuangan.

13. kebijakan dan prosedur - kebijakan yang berkaitan dengan pelaporan

keuangan yang handal ditetapkan dan dikomunikasikan ke seluruh perusahaan,

dengan prosedur yang sesuai sehingga arahan manajemen dilaksanakan

14. Teknologi Informasi - pengendalian teknologi informasi, mana yang berlaku

dirancang dan dilaksanakan untuk mendukung pencapaian tujuan pelaporan

keuangan.

Informasi dan Komunikasi

15. Informasi pelaporan keuangan - informasi terkait diidentifikasi, ditangkap,

digunakan di semua tingkat perusahaan, dan didistribusikan dalam dari dan

jangka waktu yang mendukung pencapaian tujuan pelaporan keuangan

16. Informasi pengendalian intern - informasi yang digunakan untuk menjalankan

komponen kontrol lainnya diidentifikasi, ditangkap, dan mendistribusikan

dalam bentuk dan kerangka waktu yang memungkinkan personil untuk

melaksanakan tanggung jawab pengendalian internal mereka

17. Pengendalian komunikasi - komunikasi memungkinkan dan mendukung

pemahaman dan pelaksanaan tujuan pengendalian internal, proses, dan

tanggung jawab indivual di semua tingkatan organisasi.

18. Eksternal komunikasi - hal yang mempengaruhi pencapaian tujuan pelaporan

keuangan dikomunikasikan dengan pihak luar

Pemantauan

19. Evaluasi berkelanjutan dan terpisah - evaluasi yang sedang berlangsung dan /

atau terpisah memungkinkan manajemen untuk menentukan apakah

pengendalian internal atas pelaporan keuangan hadir dan fungsi

8

20. Kekurangan pelaporan - kekurangan pengendalian internal diidentifikasi dan

dikomunikasikan secara tepat waktu untuk pihak-pihak yang bertanggung

jawab untuk mengambil koreksi tindakan, dan untuk manajemen dan dewan

yang sesuai.

Lebih lanjut menguraikan tentang dua prinsip COSO relatif terhadap pemantauan

yang termasuk dalam 20 prinsip dasar memperkenalkan dalam pedoman bagi perusahaan

publik yang lebih kecil:

Pemantauan dan / atau evaluasi terpisah memungkinkan manajemen untuk

menentukan apakah komponen lain dari pengendalian internal atas pelaporan

keuangan terus berfungsi dari waktu ke waktu

Kekurangan pengendalian internal diidentifikasi dan dikomunikasikan pada

waktu yang tepat untuk pihak-pihak yang bertanggung jawab untuk

mengambil tindakan korektif, dan untuk manajemen dan papan yang sesuai.

Definisi Pengendalian Internal

Coso secara luas mendefinisikan pengendalian internal sebagai:

Proses, dipengaruhi oleh dewan entitas direksi, manajemen, dan personil lain,

ditandatangani untuk memberikan keyakinan memadai tentang pencapaian tujuan

dalam kategori berikut:

Efektivitas dan efisiensi operasi

Keandalan pelaporan keuangan

Kepatuhan terhadap hukum dan peraturan definisi ini mencerminkan konsep

dasar tertentu yang berlaku:

Pengendalian internal adalah sebuah proses. itu adalah alat untuk mencapai

tujuan, bukan dalam dirinya sendiri.

Pengendalian internal dipengaruhi oleh orang-orang. itu bukan hanya

kebijakan manual dan bentuk, tetapi orang-orang di setiap tingkat organisasi.

Pengendalian internal dapat diharapkan untuk memberikan keyakinan

memadai hanya, tidak jaminan mutlak untuk manajemen entitas dan dewan.

Pengendalian internal adalah diarahkan untuk pencapaian tujuan dalam satu

atau lebih kategori terpisah tapi tumpang tindih.

Meskipun definisi ini mungkin tampak sangat umum, luas mendefinisikan

pengendalian internal mengakomodasi eksplorasi kategori yang secara individu atau secara

keseluruhan. ketika kategori pengendalian internal yang memandang secara keseluruhan,

mereka secara kolektif disebut sebagai sistem pengendalian internal. COSO menunjukkan "

9

KOMPONEN DARI PENGENDALIAN INTERN

Lingkungan Pengendalian

Lingkungan pengendalian organisasi meliputi semua bidang organisasi dan

mempengaruhi cara individu mendekati pengendalian internal. Komponen ini dasar dari

pengendalian internal menciptakan konteks di mana komponen lain dari pengendalian

internal yang ada. COSO mengidentifikasi "integritas, nilai-nilai etika, dan kompetensi orang

entitas; filsafat dan gaya operasi manajemen; cara manajemen memberikan wewenang dan

tanggung jawab, dan mengatur dan mengembangkan orang-orangnya; dan perhatian dan arah

yang diberikan oleh dewan direksi "sebagai faktor yang termasuk dalam lingkungan

pengendalian organisasi.

Selanjutnya, COSO menunjukkan bahwa "lingkungan pengendalian memiliki

pengaruh luas dalam kegiatan usaha yang terstruktur, tujuan didirikan, dan risiko dinilai. Hal

ini juga mempengaruhi kegiatan mengkontrol. Sejarah dan budaya organisasi secara langsung

mempengaruhi lingkungan pengendalian, jika diterapkan secara efektif, hasil dalam

lingkungan pengendalian jika diterapkan secara efektif, adalah "sikap organisasi terintegritas

dan mengendalikan kesadaran, dan mengatur sebuah "nada di atas" positif melalui

pembentukan "kebijakan dan prosedur yang tepat, sering termasuk kode etik tertulis, yang

nilai-nilai bersama dan tim kerja dalam mengejar tujuan entitas.

Perkiraan Risiko

Semua organisasi akan menghadapi risiko, yaitu ancaman terhadap pencapaian tujuan.

Semua risiko, baik internal maupun eksternal, perlu dinilai. Menurut COSO, "prasyarat untuk

penilaian risiko adalah pembentukan tujuan, terkait pada tingkatan yang berbeda dan

konsisten secara internal. Penilaian risiko adalah identifikasi dan analisis risiko yang relevan

dengan pencapaian tujuan, untuk membentuk dasar dan menentukan bagaimana risiko harus

dikelola. Karena ekonomi, industri, regulasi, dan kondisi operasi akan terus berubah,

mekanisme yang diperlukan untuk mengidentifikasi dan menangani risiko khusus yang

terkait dengan perubahan. "Identifikasi risiko dan analisis risiko, keduanya penting untuk

penilaian risiko yang efektif, yang akan dibahas secara lebih rinci dalam bab ini.

Menetapkan tujuan yang jelas adalah prasyarat untuk identifikasi yang efektif,

penilaian, dan respon terhadap risiko. Tujuan pertama, didirikan di lingkungan strategi-

pengaturan, sebelum manajemen dapat mengidentifikasi risiko yang mungkin menghambat

pencapaian tujuan dan mengambil tindakan yang diperlukan untuk mengelola risiko tersebut.

10

Seperti yang dibahas dalam Bab 4, "Manajemen Risiko," pengaturan tujuan, identifikasi

event, penilaian risiko, dan respon risiko merupakan elemen kunci dari proses manajemen

risiko. Dengan demikian, pengaturan tujuan merupakan prasyarat untuk pengendalian

internal.

Proses untuk menetapkan tujuan dapat berkisar dari yang sangat terstruktur atau

sangat informal. Pernyataan misi organisasi sering mendorong tujuan tingkat entitas.

Bersama-sama dengan penilaian kekuatan, kelemahan, risiko, dan peluang, tujuan

membangun konteks untuk mendefinisikan strategi organisasi. Biasanya, rencana strategis

yang menghasilkan sifatnya umum.

Dari rencana strategis umum, tujuan diidentifikasi yang lebih spesifik daripada tujuan

tingkat entitas yang dibahas di atas. Tujuan tingkat entitas yang telah ditetapkan untuk

kegiatan yang berbeda dalam organisasi. Tujuan khusus dari kegiatan mereka harus

menyelaraskan dengan tujuan tingkat entitas diidentifikasi oleh organisasi.

Menetapkan tujuan pada kedua entitas dan proses tingkat penting bagi organisasi

untuk dapat mengidentifikasi faktor penentu keberhasilan (kesuksesan yang harus dicapai

untuk tujuan yang akan dicapai). Faktor penentu keberhasilan yang hadir di semua tingkat

organisasi dan memfasilitasi penciptaan kriteria terukur terhadap kinerja yang dapat dinilai.

Tujuan dapat dibagi ke dalam kategori yang luas berikut yang ditetapkan oleh COSO:

Tujuan Operasi. Ini berkaitan dengan efektivitas dan efisiensi entitas operasi, termasuk

kinerja dan tujuan profitabilitas dan menjaga sumber daya terhadap kerugian. Mereka

bervariasi berdasarkan pilihan manajemen mengenai struktur dan kinerja.

Tujuan Pelaporan Keuangan. Ini berkaitan dengan penyusunan laporan keuangan yang

handal untuk diterbitkan, termasuk pencegahan pelaporan keuangan penipuan publik.

Mereka didorong oleh kebutuhan eksternal.

Tujuan Kepatuhan. Tujuan-tujuan ini berhubungan dengan kepatuhan terhadap hukum

dan peraturan yang mana entitas tunduk. Mereka bergantung pada faktor-faktor eksternal,

seperti peraturan lingkungan, dan cenderung mirip di semua entitas dalam beberapa kasus

dan di industri pada orang lain.

Kegiatan Pengendalian

11

Kegiatan pengendalian adalah tindakan yang diambil oleh manajemen, dewan, dan

pihak lain untuk mengurangi risiko dan meningkatkan kemungkinan bahwa didirikan tujuan

dan sasaran yang akan dicapai. Rencana manajemen, mengatur, dan mengarahkan kinerja

tindakan yang cukup untuk memberikan keyakinan memadai bahwa tujuan dan sasaran yang

akan dicapai. Seperti faktor penentu keberhasilan yang dijelaskan di atas, kegiatan

pengendalian yang hadir di semua tingkat organisasi. Dan, seperti tujuan mereka dirancang

untuk membantu mencapai, kegiatan pengendalian dapat dipisahkan ke dalam kategori ada

operasi, pelaporan keuangan, dan kepatuhan. Namun, kegiatan pengendalian sering dirancang

untuk mengurangi beberapa risiko yang dapat mengancam tujuan dalam lebih dari satu

kategori. Ingat bahwa itu adalah kurang penting yang kategori aktivitas kontrol di

dibandingkan kemampuannya untuk mengurangi risiko untuk yang sesuai.

Setiap organisasi menetapkan sendiri tujuan bisnis dan strategi implementasi. Karena

setiap organisasi dikelola oleh orang yang berbeda yang menggunakan penilaian individu

dalam lingkungan operasi yang unik dengan berbagai kompleksitas, tidak ada dua organisasi

memiliki set yang sama aktivitas pengendalian, oleh karena itu, melayani peran penting

dalam proses pengelolaan organisasi dengan memastikan bahwa yang diidentifikasi secara

unik risiko telah diantisipasi, memungkinkan organisasi untuk mencapai tujuan bisnisnya.

Salah satu konsep penting umum untuk semua kegiatan pengendalian adalah konsep

yang ada di COSO yang mendefinisikan sebagai pemisahan tugas. Pemisahan tugas adalah

konsep membagi, atau memisahkan, aktivitas pengendalian terkait dengan otorisasi transaksi

dari pengolahan transaksi-transaksi dari akses fisik ke aset yang terkait dengan transaksi

tersebut yang mendasari. Tujuan utama dari pemisahan tugas (membagi kegiatan

pengendalian) antara orang-orang yang berbeda adalah untuk mengurangi risiko kesalahan

atau tindakan yang tidak pantas dilakukan oleh setiap individu tunggal.

Selain pembagian tugas, ada banyak kegiatan pengendalian umum yang hadir dalam sistem

yang dirancang dengan baik kontrol internal, termasuk:

ulasan Kinerja dan kegiatan tindak lanjut.

Otorisasi (persetujuan).

kegiatan pengendalian akses IT.

Dokumentasi (ketat dan komprehensif).

kegiatan pengendalian akses fisik.

aplikasi TI kegiatan (input, proses, output) kontrol.

verifikasi independen dan rekonsiliasi.

Informasi dan Komunikasi

12

Informasi yang berkualitas tinggi harus dikomunikasikan secara tepat.

Ketergantungan ini adalah mengapa COSO menggabungkan informasi dan komunikasi dalam

komponen ini. Informasi yang relevan, akurat, dan tepat waktu harus tersedia untuk individu

pada semua tingkat organisasi yang membutuhkan informasi tersebut untuk menjalankan

bisnis secara efektif. Tidak hanya harus informasi disediakan "untuk personil yang tepat

sehingga mereka dapat melaksanakan operasi mereka, pelaporan keuangan, dan tanggung

jawab kepatuhan," tetapi "komunikasi juga harus berlangsung dalam arti yang lebih luas,

berurusan dengan harapan, tanggung jawab individu dan kelompok, dan lainnya penting dan

dapat memberikan informasi penting pada fungsi kontrol. Partai-partai ini termasuk, namun

tidak terbatas pada, pelanggan, pemasok, penyedia layanan, regulator, auditor eksternal, dan

pemegang saham.

Hal ini terutama penting untuk membuat informasi memastikan tetap aligned dengan

kebutuhan bisnis saat ini selama periode perubahan. Hal ini sama pentingnya untuk

memastikan bahwa informasi ini dikomunikasikan tepat waktu untuk semua pihak yang

berkepentingan.

Ada banyak cara organisasi dapat memilih untuk berkomunikasi. Bentuk hardcopy

komunikasi termasuk manual, memorandum, dan papan buletin terletak di daerah di mana

individu berkumpul. Komunikasi juga dapat terjadi dalam pertemuan tatap muka atau secara

elektronik melalui e-mail, situs intranet, video conferencing, atau papan buletin elektronik.

Budaya organisasi, serta isi dari informasi bersama, akan menentukan metode komunikasi

terbaik. Karena individu menerima dan memproses informasi secara berbeda, sebagian besar

organisasi akan menggunakan kombinasi media untuk memastikan semua individu dapat

memproses dan memahami informasi yang diberikan kepada mereka. COSO berpendapat

bahwa tindakan manajemen kuat mengkomunikasikan apa yang penting bagi organisasi

sebagai "tindakan berbicara lebih keras daripada kata-kata.

Jelas, budaya organisasi memainkan peran penting dalam mengkomunikasikan

prioritas. Biasanya, organisasi yang telah membentuk budaya integritas dan transparansi

memiliki waktu lebih mudah dengan komunikasi daripada organisasi lain.

Pemantauan

Untuk tetap handal, sistem pengendalian intern harus dipantau. Pemantauan adalah

"suatu proses yang menilai kualitas kinerja sistem dari waktu ke waktu. Hal ini dicapai

melalui kegiatan yang sedang berlangsung pemantauan, terpisah, periodik evaluasi, atau

kombinasi dari keduanya. Meskipun bukan merupakan bagian dari hari-hari operasi

organisasi per se, pemantauan dilakukan bersamaan dengan operasi-operasi secara

13

berkelanjutan. Semakin kuat dan komprehensif prosedur pengawasan dan verifikasi,

manajemen lebih percaya diri dapat menempatkan dalam efektivitas prosedur tersebut untuk

memastikan operasi yang sedang berlangsung konsisten dan dapat diandalkan. Dengan efektif

kegiatan pemantauan, ditambah dengan penilaian risiko yang akurat dan dapat diandalkan,

frekuensi evaluasi terpisah dapat dikurangi.

Pemantauan paling efektif bila pendekatan berlapis diimplementasikan. Lapisan

pertama meliputi kegiatan sehari-hari yang dilakukan oleh manajemen dari daerah tertentu

seperti dijelaskan di atas. Lapisan kedua adalah terpisah (non independen) evaluasi

pengendalian internal di daerah itu dilakukan oleh manajemen secara teratur untuk

memastikan bahwa setiap kekurangan yang ada diidentifikasi dan diselesaikan tepat waktu.

Lapisan ketiga adalah penilaian independen oleh daerah di luar atau fungsi, dilakukan untuk

memvalidasi hasil (akurasi dan keandalan) penilaian manajemen diri dari efektivitas

pengendalian di daerah mereka. Pendekatan berlapis ini menyediakan organisasi dengan

tingkat yang lebih tinggi dari keyakinan bahwa sistem pengendalian internal tetap efektif dan

membantu memastikan kekurangan pengendalian internal diidentifikasi dan ditangani tepat

waktu.

Hal ini penting untuk dicatat bahwa kegiatan pemantauan terjadi di masing-masing

lima komponen pengendalian internal (Lingkungan Pengendalian, Penilaian Risiko, Kegiatan

Pengendalian, Informasi dan Komunikasi, dan Pemantauan), bukan hanya sebagai komponen

yang berdiri sendiri. kegiatan pemantauan ke dalam proses yang dilakukan selama operasi

bisnis sehari-hari memungkinkan pemantauan terjadi secara teratur, menangkap masalah

sebelum menjadi tidak terkendali. Evaluasi terpisah kekurangan keuntungan ini karena waktu

kinerja mereka, yang kemudian dalam proses, dan karena mereka tampil lebih jarang.

Evaluasi terpisah menyediakan tampilan tambahan pada sistem pengendalian internal,

menangkap masalah yang mungkin telah terjawab selama pemantauan, dan mengevaluasi

efektivitas pemantauan tertanam dalam kegiatan sehari-hari dari daerah. Meskipun berbagai

keuntungan dari dua metode yang berbeda untuk pemantauan, keduanya diperlukan untuk

proses monitoring yang kuat untuk eksis. Pameran 6-8 memberikan contoh dari berbagai

jenis pemantauan.

Seperti yang ditunjukkan sebelumnya, manajemen memiliki tanggung jawab utama

untuk efektivitas sistem organisasi pengendalian internal, termasuk pemantauan. Sebagai

tanggung jawab untuk melakukan kontrol tertentu naik dalam organisasi ke tingkat yang lebih

tinggi dari manajemen, pemantauan pengawasan tradisional menjadi lebih menantang.

Kegiatan pemantauan yang dilakukan oleh bawahan dalam suatu organisasi jauh lebih efektif

14

daripada yang dilakukan oleh atasan. Dalam situasi-situasi di mana manajemen senior

melakukan kontrol, itu mungkin cocok untuk anggota lain dari manajemen senior untuk

memantau mereka kontrol. Dalam kasus yang membawa risiko manajemen tingkat bawah,

pemantauan tingkat papan mungkin diperlukan.

Kekurangan dalam sistem organisasi pengendalian internal mungkin diidentifikasi

selama kinerja baik pemantauan atau evaluasi terpisah. COSO secara luas mendefinisikan

kekurangan sebagai "kondisi dalam suatu sistem pengendalian internal layak perhatian."

COSO menjelaskan bahwa "kekurangan, oleh karena itu, mungkin merupakan dirasakan,

potensi, atau kekurangan yang nyata, atau kesempatan untuk memperkuat sistem kontrol

internal untuk memberikan kemungkinan besar bahwa tujuan entitas akan tercapai.

Kekurangan yang diidentifikasi sebagai akibat dari pemantauan dan evaluasi yang terpisah

harus dilaporkan secara tepat waktu kepada pihak-pihak yang tepat dalam organisasi.

Tergantung pada dampak kekurangan tertentu memiliki pada efektivitas potensial dari sistem

pengendalian internal, itu harus dilaporkan kepada manajemen unit bisnis, manajemen senior,

dan / atau dewan direksi. Kekurangan dilaporkan pertimbangan penting dalam evaluasi

sistem pengendalian internal. Mengevaluasi sistem pengendalian internal akan dibahas secara

lebih rinci nanti dalam bab ini. Komunikasi formal relatif terhadap keterlibatan jaminan

diselesaikan oleh fungsi audit internal dibahas secara rinci nanti dalam bab ini 14,

"Berkomunikasi Jaminan Hasil dan Pertunjukan Prosedur Tindak Lanjut."

Sebagaimana dibahas sebelumnya dalam bab ini, beberapa organisasi sedikit

digunakan pemantauan, terutama yang berkaitan dengan persyaratan pelaporan keuangan.

Pemantauan dapat menjadi alat yang efektif untuk memvalidasi pernyataan pengendalian

internal ketika dirancang dengan akhir dalam pikiran. Organisasi di seluruh dunia yang harus

melaporkan efektivitas sistem mereka pengendalian internal kepada pihak eksternal dapat

merancang "jenis, waktu, dan tingkat pemantauan" yang dilakukan untuk memberikan

"informasi persuasif yang pengendalian internal beroperasi secara efektif pada suatu titik

waktu atau selama periode tertentu. Pameran 6-9 adalah representasi COSO tentang proses

pemantauan relatif mendukung kesimpulan mengenai efektivitas pengendalian.

PERAN PENGENDALIAN INTERNAL DAN TANGGUNG JAWAB

Setiap orang dalam suatu organisasi memiliki tanggung jawab untuk pengendalian intern:

Manajemen

CEO bertanggung jawab utama untuk sistem pengendalian internal. "Nada di atas"

(bagaimana etika atau berapa banyak integritas organisasi memiliki) diatur oleh CEO dan

15

gulung ke bawah dari sana ke manajemen senior, manajemen lini, dan akhirnya semua

individu dalam suatu organisasi. CEO lebih atau kurang terlihat dan memiliki lebih atau

kurang dari dampak langsung tergantung pada ukuran organisasi. Dalam organisasi yang

lebih kecil. CEO sangat langsung mempengaruhi sistem pengendalian internal. Dalam

organisasi yang lebih besar, CEO memiliki dampak terbesar pada manajemen senior yang

pada gilirannya mempengaruhi bawahannya. Dalam manajemen ini tindakan cara, senior dan

garis sebagai "CEO" di atas area yang menjadi tanggung jawab mereka.

Dewan direksi

Dewan direksi mengawasi manajemen dan memberikan arahan mengenai

pengendalian internal. COSO menjelaskan anggota dewan yang efektif sebagai "tujuan,

mampu, dan ingin tahu ..." dengan "pengetahuan tentang kegiatan [organisasi] dan

lingkungan, dan [yang] melakukan waktu yang diperlukan untuk memenuhi tanggung jawab

papan mereka." Anggota dewan yang efektif sangat penting untuk efektif sistem

pengendalian internal karena manajemen memiliki kemampuan untuk mengesampingkan

kontrol dan menekan bukti perilaku tidak etis atau penipuan. Perilaku tersebut memiliki

sebuah papan yang secara aktif terlibat. Seperti disebutkan sebelumnya, dewan direksi

memiliki tanggung jawab utama untuk memastikan manajemen telah membentuk sistem yang

efektif pengendalian internal.

Dewan peran dan tanggung jawab direksi seperti yang dijelaskan oleh COSO

membentuk pemerintahan yang efektif "payung 'bagi suatu organisasi. Untuk gambaran

visual dari proses ini, lihat Exhibit 3-3 di Bab 3, "Pemerintahan." Bab 3 menjelaskan tata

sebagai proses yang dilakukan oleh dewan direksi untuk mengotorisasi, langsung, dan

manajemen menolak terhadap pencapaian tujuan bisnis organisasi .

internal Auditor

Sementara manajemen, di bawah kepemimpinan CEO, memiliki tanggung jawab

utama untuk desain yang memadai dan operasi yang efektif dari sistem pengendalian internal,

auditor internal memainkan peran penting dalam memverifikasi bahwa manajemen telah

memenuhi tanggung jawabnya. Awalnya, manajemen melakukan penilaian utama dari sistem

pengendalian internal, dan kemudian fungsi audit internal secara independen memvalidasi

pernyataan manajemen. Fungsi audit internal memberikan keyakinan memadai bahwa sistem

pengendalian internal dirancang secara memadai dan beroperasi secara efektif, meningkatkan

kemungkinan bahwa tujuan bisnis organisasi dan tujuan akan terpenuhi. COSO

mendefinisikan peran auditor internal sama, meskipun dalam istilah yang lebih umum:

16

"Auditor internal memainkan peran penting dalam mengevaluasi efektivitas sistem kontrol,

dan berkontribusi terhadap efektivitas berkelanjutan. Karena [yang] posisi organisasi dan

otoritas dalam suatu entitas, fungsi audit internal sering memainkan peran monitoring yang

signifikan. Hubungan antara manajemen dan pengendalian internal dan pelaporan tersebut

lebih dieksplorasi kemudian dalam bab ini dan dalam Bab 9, "Manajemen SPI."

Personil lainnya

COSO jelas menunjukkan bahwa setiap orang dalam suatu organisasi memiliki

tanggung jawab untuk pengendalian internal: "Pengendalian internal adalah untuk beberapa

derajat, tanggung jawab setiap orang dalam organisasi dan karena itu harus menjadi bagian

eksplisit atau implisit dari deskripsi pekerjaan setiap orang. Hampir semua karyawan

menghasilkan informasi yang digunakan dalam sistem pengendalian internal atau melakukan

tindakan lain yang diperlukan untuk efek kontrol. "COSO menambahkan bahwa" semua

personil harus bertanggung jawab untuk berkomunikasi masalah atas dalam operasi,

ketidakpatuhan dengan kode etik, atau pelanggaran kebijakan lainnya atau tindakan ilegal.

COSO menunjukkan bahwa pihak eksternal dapat menjadi faktor penting relatif

terhadap kemampuan organisasi untuk mencapai tujuannya. Sebagai contoh, auditor

independen di luar, sementara tidak bertanggung jawab atas sistem organisasi pengendalian

internal, berkontribusi independensi dan obyektivitas melalui pendapat mereka meliputi

kewajaran laporan keuangan dan efektivitas pengendalian internal atas pelaporan keuangan.

Pihak eksternal lainnya yang bukan merupakan bagian dari pengendalian internal organisasi

tetapi memberikan "informasi ke [organisasi] berguna dalam mempengaruhi pengendalian

internal yang legislator dan regulator, pelanggan dan lain-lain bertransaksi bisnis dengan

perusahaan, analis keuangan, penilai obligasi, dan media berita .

Dalam banyak kasus, vendor luar yang digunakan untuk melakukan unsur-unsur

sistem pengendalian intern. Namun, dalam kasus-kasus, kepemilikan dan akuntabilitas untuk

elemen-elemen outsourcing tetap dengan manajemen internal, yang memiliki tanggung jawab

utama untuk pengujian dan sertifikasi kontrol kunci outsourcing. Kegiatan yang biasa

outsourcing meliputi, misalnya, pengolahan data, gaji, atau bahkan internal fungsi audit itu

sendiri. Proses bisnis outsourcing dibahas lebih lanjut dalam Bab 5, "Proses Bisnis dan

Risiko."

KETERBATASAN PENGENDALIAN INTERNAL

17

Pengendalian internal diimplementasikan untuk mengurangi risiko yang mengancam

pencapaian tujuan organisasi atau untuk memungkinkan organisasi untuk berhasil mengejar

peluang. Meskipun manajemen, dewan direksi, auditor internal, dan personil lainnya bekerja

sama untuk memfasilitasi pengendalian internal, tidak ada sistem pengendalian internal dapat

memastikan bahwa tujuan akan tercapai. Hal ini disebabkan keterbatasan inheren

pengendalian internal. Secara khusus, COSO menunjuk keterbatasan berikut sebagai melekat

pada pengendalian internal:

• penilaian manusia dalam pengambilan keputusan dapat rusak.

• Kerusakan dapat terjadi karena kegagalan manusia seperti kesalahan sederhana atau

kesalahan.

• Kontrol dapat dielakkan oleh kolusi dari dua atau lebih orang.

• Manajemen memiliki kemampuan untuk mengesampingkan sistem pengendalian

internal.

• Kontrol harus dipertimbangkan dari segi biaya mereka dibandingkan dengan

manfaatnya.

Sementara sebuah sistem yang dirancang dengan baik kontrol internal dapat memberikan

keyakinan yang memadai untuk manajemen relatif terhadap pencapaian tujuan organisasi,

ada sistem pengendalian internal dapat memberikan jaminan mutlak untuk alasan yang

tercantum di atas. Hal ini berlaku terlepas dari apakah tujuan jatuh ke dalam operasi,

pelaporan keuangan, atau kategori kepatuhan.

Seperti yang ditunjukkan sebelumnya, membangun tujuan bisnis merupakan prasyarat

untuk merancang sistem yang efektif pengendalian internal. Tujuan bisnis memberikan

target terukur yang suatu organisasi melakukan operasinya. Sebuah kunci untuk memahami

konsep keterbatasan dan keyakinan memadai terletak pada juga memahami keterkaitan dan

saling ketergantungan dari tujuan bisnis dan risiko yang secara langsung atau tidak langsung

mempengaruhi kemampuan organisasi untuk mencapai tujuan bisnis mereka. Hanya

kemudian dapat sebuah organisasi benar merancang dan mengimplementasikan sistem yang

efektif pengendalian internal. Sebagai COSO menunjukkan, "Proses mengidentifikasi dan

menganalisis risiko merupakan proses berulang berkelanjutan dan merupakan komponen

penting dari sistem pengendalian internal yang efektif. Manajemen harus fokus pada risiko

dengan hati-hati pada semua tingkat entitas dan mengambil tindakan yang diperlukan untuk

mengelola mereka.

Risiko yang melekat, Risiko Controllable, dan Risiko Residual

18

Kemampuan organisasi untuk mencapai tujuan bisnis dipengaruhi oleh risiko internal dan

eksternal. Kombinasi risiko internal dan eksternal dalam organisasi yang tidak terkendali

disebut sebagai risiko yang melekat. Kata lain, risiko yang melekat adalah risiko besar yang

ada dengan asumsi tidak ada pengendalian internal di tempat. Pengakuan adanya risiko yang

melekat bahwa peristiwa atau kondisi tertentu hanya di luar kontrol manajemen (risiko

eksternal) sangat penting untuk mengenali keterbatasan pengendalian internal.

Mengidentifikasi risiko eksternal dan internal pada suatu entitas dan aktivitas (proses dan

transaksi) adalah tingkat dasar penilaian risiko yang efektif. Sebagaimana dibahas dalam Bab

5, "proses bisnis dan risiko," sewaktu risiko-risiko utama telah diidentifikasi, manajemen

dapat menghubungkan untuk tujuan bisnis dan proses bisnis terkait.

Setelah tingkat entitas dan tingkat aktivitas telah diidentifikasi, mereka harus dinilai dari segi

dampak dan kemungkinan. Proses analisis risiko bervariasi tergantung pada banyak faktor

specifik untuk sebuah organisasi, tetapi biasanya mereka termasuk:

• Memperkirakan (dampak (atau keparahan)) dari risiko.

• Menilai kemungkinan (atau frekuensi) dari risiko yang terjadi (probabilitas).

• Mengingat betapa risiko harus dikelola - yaitu, penilaian dari apa tindakan yang perlu

diambil.

Hasil analisis risiko memungkinkan manajemen untuk mempertimbangkan cara terbaik untuk

menanggapi risiko yang mengancam pencapaian tujuan organisasi. Risiko yang tidak

signifikan dan tidak memiliki kemungkinan tinggi terjadi akan menerima sedikit perhatian.

Risiko yang signifikan dan / atau mungkin terjadi akan menerima perhatian yang jauh lebih

besar. Risiko yang berada di tengah, namun, umumnya memerlukan analisis lebih lanjut

untuk mengurangi risiko tanpa menggunakan sumber daya secara tidak efisien.

Pengendalian merupakan respon risiko yang diperlukan manajemen untuk mengurangi

dampak dan / atau kemungkinan ancaman terhadap pencapaian tujuan. Manajemen harus

mempertimbangkan resiko keseluruhan dan risiko individu ketika memutuskan tindakan yang

harus diambil. COSO manajemen resiko perusahaan -kerangka terintegrasi mendefinisikan

risk appetite sebagai " suatu perusahaan atau badan lain yang bersedia menerima dalam

mengejar misinya (atau visi)," dan toleransi risiko sebagai "diterima (tingkat ukuran dan)

variasi relatif terhadap pencapaian tujuan. "toleransi risiko harus sejajar dengan risk appetite.

19

Selain itu, toleransi risiko mempertimbangkan jumlah risiko bahwa manajemen sadar setelah

menyeimbangkan biaya dan manfaat dari penerapan pengendalian. Hal ini penting untuk

mengakui bahwa ada hubungan langsung antara jumlah resiko dan biaya yang terkait dengan

pelaksanaan pengendalian yang dirancang untuk mencapai tingkat keringanan. Akibatnya,

sebuah organisasi harus memastikan ia tidak memiliki risiko yang berlebihan atau

pengendalian internal yang berlebihan. Beberapa kemungkinan konsekuensi menerima risiko

yang berlebihan atau menerapkan pengendalian internal yang berlebihan. Keseimbangan

bahwa manajemen mampu mencapai hasil dalam sebuah organisasi menerima tingkat yang

lebih tinggi atau lebih rendah dari risiko dan tergantung pada sifat risiko, lingkungan

peraturan di mana organisasi beroperasi, dan manajemen filosofi.

z

Dengan mengatakan bahwa, ada banyak faktor yang harus dipertimbangkan ketika

menentukan tindakan spesifik (pengendalian) yang harus manajemen ambil untuk mengelola

risiko yang melekat ke tingkat yang cukup rendah, yaitu, dalam toleransi risiko tersebut.

Untuk memulainnya, manajemen harus mempertimbangkan risiko yang terkendali.

20

KESEIMBANGAN RESIKO DAN PENGENDALIAN

Konsekuensi menerima resiko konsekuensi penerapan internal Yang berlebihan kontrol yang berlebihan

- hilangnya potensi aset, - tidak efektifnya pengambilan keputusan, -potensi pelanggaran hukum dan peraturan, - potensi terjadinya penipuan

- peningkatan birokrasi- kelebihan biaya-kompleksitas yang tidak memerlukan pengendalian- peningkatan waktu- kegiatan non nilai tambah

Risiko terkendali adalah bahwa sebagian dari risiko yang melekat manajemen dapat langsung

mengurangi resiko tersebut melalui kegiatan bisnis sehari-hari. Setelah manajemen

menerapkan pengendalian biaya yang efektif untuk mengatasi risiko terkendali, kemudian

mereka dapat menentukan apakah organisasi beroperasi dalam risiko keseluruhan yang

ditetapkan oleh manajemen senior dan dewan direksi. Porsi risiko yang melekat yang tersisa

setelah mengurangi semua risiko terkendali didefinisikan sebagai risiko residual. Jika risiko

yang tidak terkendali atau yang tersisa (residual risk) adalah kurang dari risk appetite yang

ditetapkan, maka sistem pengendalian internal beroperasi pada tingkat yang dapat diterima

dalam organisasi.

Namun, jika risiko residual melebihi risk appetite yang ditetapkan organisasi, maka perlu

mengevaluasi kembali sistem pengendalian internal untuk menentukan apakah tambahan

pengendalian biaya yang efektif dapat diterapkan untuk mengurangi risiko residual untuk

tingkat risk appetite manajemen. Jika tidak, manajemen harus mempertimbangkan pilihan

lain seperti berbagi atau mentransfer sebagian dari risiko tak terkendali untuk pihak ketiga

atau indepenen yang bersedia melalui asuransi atau outsourcing. Jika risiko yang tidak

terkendali tidak dapat secara efektif dialihkan atau dibagi, manajemen baik dapat menerima

tingkat yang lebih tinggi dari risiko (risk appetite dan menyesuaikan mereka), atau organisasi

harus memutuskan apakah ia ingin tetap terlibat dalam kegiatan tersebut yang menyebabkan

risiko. Lihat Bab 4 "Manajemen Risiko", untuk diskusi manajemen risiko dan teknik mitigasi

terkait mendalam.

Sebuah perancangan secara memadai dan efektif beroperasi pada sistem pengendalian

internal, menurut definisi, perancangan untuk mengelola risiko dalam risk appetite yang

ditetapkan organisasi. Ini harus mengurangi risiko yang melekat terkait dengan tiga kategori

COSO (operasi yang efektif dan efisien, pelaporan keuangan yang dapat diandalkan, dan

kepatuhan terhadap hukum dan peraturan yang berlaku) dalam risk appetite manajemen.

MELIHAT PENGENDALIAN INTERNAL DARI

PERSPEKTIF

Karena semua orang dalam suatu organisasi memiliki tanggung jawab untuk pengendalian

internal, menurut COSO. "Pengendalian internal berkaitan dengan tujuan entitas, dan

kelompok-kelompok yang berbeda tujuan untuk alasan yang berbeda".

21

Pengelolaan

Karena manajemen bertanggung jawab untuk menetapkan tujuan organisasi, mereka secara

alami melihat pengendalian internal itu perspektif. Manajemen harus mempertimbangkan

pengendalian internal dalam hal biaya dan manfaat yang terkait dan mengalokasikan sumber

daya yang diperlukan untuk arsip tujuan tersebut.

Dari perspektif manajemen, pengendalian internal mencakup sejumlah kegiatan yang

dirancang untuk mengurangi risiko atau mengaktifkan peluang yang mempengaruhi prestasi

dari organisasi. Keterlibatan manajemen dengan sistem pengendalian internal memungkinkan

mereka untuk bereaksi dengan cepat ketika kondisi memungkinkan. Hal ini juga membantu

manajemen dalam hal mematuhi hukum dan peraturan nasional, lokal, dan industri-spesifik.

Internal Auditor

Seperti manajemen, auditor internal melihat pengendalian internal dalam hal perannya dalam

pencapaian tujuan organisasi. Sedangkan manajemen bertanggung jawab untuk sistem

pengendalian internal itu sendiri, auditor internal dibebankan dengan independen

memverifikasi bahwa pengendalian organisasi dirancang secara memadai dan beroperasi

secara efektif sebagai manajemen maksud. Validasi independen ini, yang memperhitungkan

semua sistem, proses, operasi, fungsi, dan kegiatan entitas, meningkatkan kemungkinan

tujuan organisasi tercapai.

Auditor Independen luar

Tanggung jawab utama dari independen auditor luar organisasi adalah untuk membuktikan

kewajaran laporan keuangan dan, di beberapa negara tertentu, efektivitas pengendalian

internal atas pelaporan keuangan. Untuk alasan ini, perspektif mereka difokuskan pada

pengendalian internal relatif terhadap bagaimana hal itu mempengaruhi pelaporan keuangan

organisasi. Sementara auditor luar yang independen mengambil tujuan dan strategi organisasi

ke dalam pertimbangan ketika memenuhi peran mereka, mereka tidak mengambil perspektif

yang luas yang sama dengan pengendalian internal yang diambil oleh manajemen dan auditor

internal.

Pihak Eksternal lainnya

Pihak eksternal yang memiliki kepentingan dalam pengendalian internal organisasi meliputi

legislator, regulator, investor, dan kreditur. Karena kepentingan mereka bervariasi, demikian

22

juga kemauan perspektif pengendalian internalnya. Akibatnya, "legislator dan badan pengatur

telah mengembangkan berbagai definisi dari pengendalian internal untuk menyesuaikan diri

dengan tanggung jawab mereka. Definisi ini umumnya berhubungan dengan jenis kegiatan,

dan mungkin mencakup pencapaian tujuan entitas, persyaratan pelaporan, penggunaan

sumber daya sesuai dengan hukum dan peraturan, dan sumber daya menjaga terhadap limbah,

kerugian, dan penyalahgunaan ". di sisi lain, terutama Investor dan kreditor, memerlukan

jenis informasi keuangan yang independen.

JENIS PENGENDALIAN

Ada banyak jenis pengendalian yang digunakan oleh organisasi untuk meningkatkan

kemungkinan bahwa tujuan akan dipenuhi. Hal ini penting untuk dicatat bahwa pengendalian

tertentu dapat disebut dengan organisasi yang berbeda (dan individu bahkan berbeda dalam

suatu organisasi) dengan nama yang berbeda. Lebih penting dari pada nama yang digunakan

untuk menggambarkan pengendalian tertentu adalah jenis kontrol itu. Hal ini dapat

menciptakan kebingungan karena banyak kontrol masuk ke dalam lebih dari satu kategori

secara bersamaan. Ini dibahas lebih detail kemudian dalam bab ini.

Tergantung pada aplikasi spesifik pengendalian ini, mereka dapat diklasifikasikan dengan

berbagai cara dan dapat mengambil beberapa klasifikasi secara bersamaan. Bagian berikut

menguraikan berbagai jenis pengendalian dan tujuan masing-masing.

Tingkat entity, tingkat proses-dan tingkat pengendalian Transaction-

Semua pengendalian dirancang untuk mengurangi risiko baik di tingkat perusahaan atau di

tingkat operasional dalam suatu organisasi. COSO 1992 menggunakan istilah "tingkat

entitas" masing-masing untuk menggambarkan pengendalian ini. Meskipun tidak jarang

untuk organisasi dalam profesi audit internal untuk menggunakan terminologi yang berbeda

seperti "perusahaan-luas" atau "badan-luas" untuk merujuk pada pengendalian tingkat entitas,

istilah yang lebih umum "tingkat entitas”. pengendalian tingkat entitas yang sangat luas

terfokus dan sering berurusan dengan lingkungan organisasi. Mereka dirancang untuk secara

langsung mengurangi risiko yang ada di tingkat organisasi-luas, termasuk yang timbul secara

internal maupun eksternal, dan secara tidak langsung dapat mengurangi risiko di tingkat

proses dan transaksi. pengendalian ini memiliki efek luas pada pencapaian tujuan secara

keseluruhan. Public Company Accounting Oversight Board (PCAOB) menyatakan dalam

Standard Audit No. 5 "termasuk pengendalian tingkat entitas"

23

• pengendalian yang terkait dengan lingkungan pengendalian;

• pengendalian atas manajemen override;

• Proses penilaian risiko perusahaan;

• Sentralisasi pengolahan dan pengendalian, termasuk lingkungan layanan bersama;

• pengendalian untuk memantau hasil usaha;

• pengendalian untuk memantau pengendalian lain, termasuk kegiatan fungsi audit internal,

komite audit, dan program penilaian diri;

• pengendalian selama periode akhir proses pelaporan keuangan; dan

• Kebijakan yang membahas pengendalian bisnis yang signifikan dan praktik manajemen

risiko.

Pengendalian tingkat entitas dapat dibagi menjadi dua kategori: Pengendalian pemerintahan

dan Pengendalian manajemen-pengawasan. Pengendalian pemerintahan yang dibentuk oleh

dewan dan manajemen eksekutif untuk lembaga budaya Pengendalian organisasi dan

memberikan bimbingan yang mendukung tujuan strategis. Pengendalian manajemen-

pengawasan yang ditetapkan oleh manajemen pada unit bisnis dan meningkatkan

kemungkinan bahwa tujuan unit bisnis yang dicapai.

Pengendalian tingkat proses yang lebih rinci dalam fokus mereka dari Pengendalian tingkat

entitas. Mereka ditetapkan oleh pemilik proses untuk mengurangi risiko yang mengancam

proses pencapaian tujuan. Sementara konsisten di alam, Pengendalian ini dapat bervariasi

dalam pelaksanaannya proses antara. Contoh Pengendalian tingkat proses meliputi:

• Rekonsiliasi rekening pokok,

• verifikasi fisik aset (seperti jumlah persediaan),

• pengawasan dan kinerja karyawan Proses evaluasi,

• penilaian risiko Proses-tingkat, dan

• Pemantauan / pengawasan transaksi tertentu.

Pengendalian tingkat transaksi yang bahkan lebih rinci dan fokus dalam Pengendalian tingkat

proses dan relatif mengurangi risiko terhadap kelompok atau berbagai kegiatan tingkat

operasional (tugas) atau transaksi dalam suatu organisasi. Mereka dirancang untuk

memastikan bahwa operasional kegiatan, tugas, atau transaksi, serta kelompok yang terkait

kegiatan operasional (tugas) atau transaksi, secara akurat diproses secara tepat waktu. Contoh

Pengendalian transaksi-tingkat meliputi:

• Otorisasi,

24

• Dokumentasi (seperti dokumen sumber),

• Pemisahan tugas, dan

• pengendalian aplikasi TI (input, proses, output).

Pengendalian pokok dan Pengendalian Sekunder

Pengendalian juga dapat dikategorikan dalam hal penting. Dengan demikian, Pengendalian

dapat dikategorikan baik sebagai Pengendalian pokok atau sebagai Pengendalian sekunder.

Sebuah Pengendalian (sering disebut sebagai pengendalian "primer") dirancang untuk

mengurangi risiko pokok yang terkait dengan tujuan bisnis. Kegagalan untuk menerapkan

dirancang secara memadai dan efektif beroperasi Pengendalian pokok dapat mengakibatkan

kegagalan organisasi tidak hanya untuk mencapai tujuan bisnis penting tapi untuk bertahan

hidup.

Pengendalian sekunder adalah salah satu yang dirancang untuk (1) mengurangi risiko untuk

tujuan bisnis, atau (2) secara parsial mengurangi tingkat risiko ketika Pengendalian tidak

beroperasi secara efektif. Pengendalian sekunder mengurangi tingkat risiko residual ketika

Pengendalian pokok tidak beroperasi secara efektif, tetapi tidak memadai, dengan sendirinya,

untuk mengurangi risiko pokok tertentu untuk tingkat yang dapat diterima. Mereka biasanya

bagian dari kompensasi atau Pengendalian pelengkap.

Pengendalian Kesalahan

Pengendalian kesalahan dirancang untuk melengkapi Pengendalian pokok yang tidak efektif

atau tidak dapat sepenuhnya mengurangi risiko atau kelompok risiko sendiri ke tingkat yang

dapat diterima dalam risk appetite yang ditetapkan oleh manajemen dan dewan. Misalnya,

pengawasan yang ketat di saat-saat pembagian tugas yang memadai tidak dapat dicapai

mungkin Pengendalian kesalahan. Pengendalian tersebut juga dapat membuat cadangan atau

menggandakan beberapa Pengendalian.

Seperti disebutkan sebelumnya, Pengendalian sekunder dan Pengendalian kesalahan yang

diperlukan ketika tombol Pengendalian yang efektif tidak dapat diciptakan atau dirancang

untuk mengurangi risiko atau kelompok risiko dalam menetapkan risk appetite manajemen

yang memadai. Hal ini mungkin akibat dari keterbatasan ekonomi atau kompleksitas

operasional atau keduanya. Tidak peduli alasannya, Pengendalian sekunder dan kesalahan

yang diperlukan untuk yang tidak ada tombol Pengendalian yang efektif ada. Seringkali,

Pengendalian kesalahan bekerja secara bersamaan dengan Pengendalian pokok terkait atau

overlaping, saat menjabat sebagai Pengendalian sekunder untuk Pengendalian pokok tertentu.

25

Pengendalian pelengkap

Pengendalian pelengkap adalah Pengendalian yang diperlukan yang tidak cukup dengan

sendirinya untuk sepenuhnya mengurangi risiko. Namun, bila dikombinasikan dengan satu

atau lebih Pengendalian lain, Pengendalian pelengkap yang membantu mengurangi risiko

yang mendasari untuk tingkat yang dapat diterima. Misalnya, pemisahan tugas sering

dianggap sebagai tombol Pengendalian. Memisahkan tugas yang berkaitan dengan hak asuh

kas dan pencatatan transaksi tunai adalah contoh spesifik. Dengan menambahkan verifikasi

independen (misalnya, rekonsiliasi bank), risiko yang mendasari, seperti penyalahgunaan kas,

adalah jauh berkurang.

Sering, Pengendalian pelengkap dapat beroperasi di beberapa proses dan risiko. Pada contoh

rekonsiliasi bank tersebut di atas, Pengendalian pelengkap ini bisa membantu mengurangi

risiko lainnya, termasuk risiko periodend cutoff dan risiko akurasi.

Preventif, Detektif, korektif, dan Pengendalian Directive

Seringkali, banyak Preventif yang berbeda dengan yang ada disebut yang menjelaskan apa

yang mereka dimaksudkan untuk melakukan upaya untuk membedakan antara mereka.

Termasuk di sini adalah daftar singkat dari jenis Pengendalian dan definisi mereka.

Sebuah Pengendalian preventif dirancang untuk mencegah kejadian yang tidak diinginkan

terjadi di tempat pertama. Karena sifat dinamis dan kompleksitas operasi bisnis sehari-hari,

sulit untuk merancang Pengendalian preventif yang baik ekonomis dan efisien. Akibatnya,

sebagian besar organisasi menggunakan Pengendalian kesalahan dan Pengendalian detektif

preventif ketika merancang kedua sistem yang efektif dan efisien Pengendalian internal.

Contoh Pengendalian preventif mencakup Pengendalian akses fisik dan logis, seperti pintu

terkunci dan Id pengguna dengan password yang unik.

  

Sebaliknya, Pengendalian detektif dirancang untuk menemukan kejadian yang tidak

diinginkan yang telah terjadi. Pengendalian detektif harus terjadi secara tepat waktu (sebelum

acara undeesirable telah berdampak tidak dapat diterima negatif pada organisasi) akan

dianggap efektif. Contoh Pengendalian detektif termasuk kamera keamanan untuk

mengidentifikasi akses fisik anauthorized dan peninjauan log komputer listing upaya akses

yang tidak sah.

26

Pengendalian korektif adalah satu di mana terdeteksi kelalaian dan kesalahan yang diperbaiki.

Sebuah contoh dari Pengendalian korektif adalah resolusi duplikat pembayaran ditandai oleh

sistem pengeluaran kas.

Pengendalian direktif, seperti namanya, memberikan arah yang jelas tentang tindakan apa

yang perlu dilakukan untuk menyebabkan atau mendorong kegiatan yang diinginkan terjadi.

Misalnya, petunjuk perakitan produk memberikan arahan kepada individu yang terlibat dalam

proses produksi.

Pengendalian Sistem Informasi

Karena ketergantungan lazim pada sistem informasi, Pengendalian harus dilaksanakan untuk

mengurangi risiko yang terkait dengan sistem otomatis yang diperlukan untuk menjalankan

bisnis inti dari sebuah organisasi.

Ada dua jenis Pengendalian sistem informasi yang dapat digunakan untuk mengurangi risiko

ini:

1. Pengendalian komputasi Umum. Ini "berlaku untuk banyak jika tidak semua sistem

aplikasi dan membantu memastikan melanjutkan, operasi yang tepat".

2. Pengendalian Aplikasi. Ini "mencakup langkah-langkah komputerisasi dalam perangkat

lunak aplikasi dan prosedur manual yang terkait untuk mengontrol pengolahan berbagai jenis

transaksi.

Kedua jenis Pengendalian bekerja sama "untuk memastikan kelengkapan, akurasi, dan

validitas informasi keuangan dan lainnya dalam sistem.

Pengendalian komputasi umum dianggap Pengendalian tingkat entitas karena mereka berlaku

di seluruh organisasi dan aplikasi komputer. Pengendalian aplikasi, di sisi lain, yang paling

sering dianggap tingkat proses atau Pengendalian tingkat transaksi.

Seperti disinggung sebelumnya dalam bab ini, Pengendalian tertentu dapat masuk ke dalam

beberapa kategori sekaligus. Misalnya, Pengendalian bisa menjadi kendali tingkat entitas

pada saat yang sama bahwa itu adalah tombol Pengendalian. Bahwa Pengendalian yang sama

juga bisa menjadi Pengendalian direktif. Ini tidak bisa, bagaimanapun, menjadi kontrol

Pengendalian sekunder atau Pengendalian tingkat transaksi pada saat yang sama bahwa itu

adalah tombol Pengendalian dan Pengendalian tingkat entitas.

27

Evaluasi Sistem Pengendalian Internal

Seperti disebutkan sebelumnya, manajemen, di bawah kepemimpinan CEO, memiliki

tanggung jawab utama untuk desain yang memadai dan operasi yang efektif dari sistem

pengendalian internal.

operasi yang efektif dan efisien, pelaporan keuangan yang dapat diandalkan, dan kepatuhan

terhadap hukum dan peraturan.

Auditor internal memainkan peran penting dalam verifikasi bahwa manajemen telah

memenuhi tanggung jawabnya. Awalnya, manajemen melakukan penilaian utama

pengendalian internal, menggunakan proses formal dikembangkan untuk tujuan itu. Maka

Fungsi audit internal secara independen memvalidasi hasil manajemen. Selain itu, laporan

biasanya diserahkan ke panitia audit baik manajemen senior atau chief Audit Executive

(CAE) menguraikan hasil penilaian manajemen mengenai kecukupan desain dan efektivitas

sistem organisasi pengendalian internal beroperasi.

Seperti yang ditunjukkan dalam Standar Internasional IIA untuk Praktik Profesional Audit

Internal (Standar), fungsi audit internal bertanggung jawab untuk menilai Pengendalian

organisasi (baik unsur, atau keseluruhan, sistem pengendalian internal). Dalam mengevaluasi

keefektifan proses pengendalian organisasi, CAE mempertimbangkan apakah:

• perbedaan yang signifikan atau kelemahan (kekurangan) ditemukan,

• Koreksi atau perbaikan dilakukan setelah penemuan, dan

• Penemuan dan konsekuensi potensi mereka mengarah pada kesimpulan bahwa kondisi

meresap ada yang mengakibatkan tingkat risiko yang tidak dapat diterima (atau efektivitas

operasi).

Mendukung penyajian wajar lima asersi laporan keuangan dasar:

• eksistensi atau kejadian,

• Kelengkapan,

• Hak dan kewajiban,

• Penilaian atau alokasi, dan

• Penyajian dan pengungkapan.

Tingkat Entitas dan Pengendalian tingkat aktivitas yang dirancang khusus untuk memberikan

keyakinan memadai bahwa tujuan pelaporan eksternal tercapai dan asersi terkait dukungan

28

manajemen prossess elemen umum tertentu . Harus dirancang secara memadai dan beroperasi

secara efektif , Pengendalian ini harus membahas konsep inisiasi , otorisasi , pencatatan ,

pengolahan , dan pelaporan . Seperti disebutkan sebelumnya dalam bab ini , Pengendalian ini

secara kolektif disebut sebagai pengendalian internal atas pelaporan keuangan .

The PCAOB diciptakan untuk menetapkan pedoman bahwa auditor luar yang independen dan

, secara tidak langsung , manajemen , harus mematuhi dalam rangka untuk memenuhi

persyaratan pelaporan. Sebagai tanggapan, pada 12 Juni 2007, PCAOB mengeluarkan

Standar Audit No 5 , Audit Pengendalian Internal Atas Pelaporan Keuangan yang terintegrasi

dengan audit atas laporan keuangan . Untuk pedoman khusus tambahan , mengacu pada

standar auditing Nomor 5 itu sendiri .

29