BAB 6
PENGENDALIAN INERNAL
Kita bisa memikirkan beberapa kegiatan dalam sebuah organisasi yang lebih penting untuk keberhasilan dari mempertahankan pengendalian internal. audit internal menyediakan manajemen dengan jaminan asli yang kontrol yang memadai di tempat, bahwa mereka sedang dilakukan sebagaimana dimaksud , dan bahwa setiap kegagalan diselidiki dan diperbaiki secara tepat waktu.
Setiap organisasi memiliki tujuan bisnis yang bermaksud untuk mencapai , dan setiap organisasi memiliki risiko yang mengancam pencapaian tujuan tersebut .Dalam bab ini , kita membahas berbagai komponen dari sistem pengendalian internal yang organisasi mengembangkan untuk mengurangi dan mengelola risiko tersebut. anda akan datang jauh dari bab ini dengan pemahaman tentang apa yang dimaksud dengan kontrol internaldanorganisasi mengembangkan untuk mengurangi dan mengelola risiko tersebut. tambahan , Anda akan dapat mengidentifikasi komponen yang harus hadir untuk sistem yang dirancang secara memadai dan efektif beroperasi pengendalian internal. semua orang dalam suatu organisasi memiliki respon untuk pengendalian internal , dan bab ini menguraikan peran setiap kelompok orang dalam organisasi memiliki dalam hal itu. termasuk manajemen proses untuk mengevaluasi sistem organisasi pengendalian internal . yang paling penting untuk tujuan bab ini , kita menggambarkan peran spesifik fungsi audit internal memiliki relatif mengevaluasi sistem pengendalian internal. Ada beberapa jenis yang berbeda dari kontrol yang digunakan untuk mengurangi banyak jenis risiko facting Objek pembelajaran :
memahami apa yang dimaksud dengan pengendalian internal dalam berbagai kerangka kerja.
mengidentifikasi komponen kerangka pengendalian internal afektif.
mengetahui peran dan tanggung jawab masing-masing kelompok dalam suatu organisasi telah mengenai pengendalian internal
mengidentifikasi berbagai jenis kontrol dan aplikasi yang sesuai untuk masing-masing.
sebuah organisasi .Pada akhir bab ini , Anda akan br mampu mengidentifikasi berbagai jenis kontrol yang tersedia , serta aplikasi yang sesuai masing-masing .Akhirnya gambaran tingkat tinggi dari proses untuk mengevaluasi sistem pengendalian internal tertutup . Konsep ini dibahas secara lebih rinci dalam bab-bab keterlibatan audit internal melakukan. ( Pasal 12 sampai 15 ) serta studi kasus yangmenemani buku ini.
Kerangka
Kerangka adalah tubuh prinsip panduan yang dari template terhadap organisasi Wich dapat mengevaluasi banyak praktik bisnis . Prinsip-prinsip ini terdiri dari berbagai konsep , nilai-nilai , asumsi , dan praktek dimaksudkan untuk memberikan tolok ukur sebuah organisasi dapat menilai atau mengevaluasi tertentu struktur , proses , atau lingkungan , atau sekelompok praktek atau prosedur . Khusus untuk praktek audit internal , berbagai kerangka kerja yang digunakan untuk menilai adequarcy desain dan efektivitas operasi pengendalian.
IIA memberikan bimbingan relatif berikut untuk penggunaan framework : ' Secara umum , kerangka menyediakan cetak biru struktural memiliki tubuh pengetahuan dan bimbingan cocok bersama-sama . Sebagai sistem yang koheren memfasilitasi pengembangan yang konsisten , interpretasi dan aplikasi konsep, metodologi , dan teknik yang berguna untuk disiplin atau profesi
Meskipun kerangka kerja yang dibahas dalam pameran 6-2 mengandung unsur pengendalian intern , saat ini ada hanya ini kerangka internal yang recornized global oleh manajemen , akuntan luar yang independen / auditor , dan profesional audit internal : pengendalian internal - kerangka terpadu , yang dikeluarkan oleh COSO pada tahun 1992 : pedoman kontrol (sering refferend sebagai kerangka COSO ) , yang diterbitkan pada tahun 1995 oleh lembaga Kanada Chartered Accountant ( CICA ) , dan Pengendalian internal : Revisi Panduan untuk Direksi tentang Kode Gabungan ( disebut sebagai Laporan Turnbull ) , yang diterbitkan oleh Pelaporan Dewan Keuangan , yang pertama kali keluar dipengendalian internal - Terpadu Framework ( COSO ) Komite o mensponsori organisasi Komisi Tredway , Amerika Serikat 1992
Bimbingan pada Control ( CoCo ) , lembaga Candian akuntan carteran , Kanada 1995 .Pengendalian Internal : Revisi Panduan Untuk Direksi pada kode gabungan ( turnbull ) , Dewan pelaporan keuangan tahun 2002
Dilaporkan dari Komite Aspek Keuangan Corporate Governance ( Codbury ) , Inggris , 1992
Laporan raja Corporate Governance untuk Afrika Selatan ( Raja II ) , Institute of Directors , Afrika Selatan , 2002
Australia / Selandia Baru Standar Manajemen Risiko ( Australia Standard 4360 ) , Joint Committee Teknis OB / 007 - Manajemen Risiko , Australia /
Selandia Baru , Revisi 2004
Manajemen Risiko Enteprice - Kerangka Terpadu ( COSO ) , panitia of Sponsoring Organizations of the Treaway Commussion , Amerika Serikat ,
2004
tata kelola internasional pengukuran modal dan standar capial ( basel sesuai ) , Komite Besel Perbankan supervison 1998
1999 di diperbarui pada tahun 2005. COBIT teknologi informasi ( IT ) Pengendalian Kerangka internal dirujuk dalam pameran 6-2 , dirancang khusus untuk memberikan bimbingan pada pengembangan dan penilaian atau tata kelola teknologi informasi yang tepat . Karena itu, suplemen COSO , CoCo , dan turnbull dalam hal IT kontrol , tapi bukan merupakan pengendalian internal kerangka itu sendiri yang luas .Tidak ada perbedaan substantif antara COSO , CoCo , dan turnbul . Semua kerangka meliputi definisi dari pengendalian internal , menggambarkan sebuah proses yang memberikan keyakinan memadai untuk mencapai tujuan organisasi dalam tiga kategori tertentu : efektivitas dan efisiensi operasi , keandalan pelaporan , dan kepatuhan . Tiga kerangka juga setuju mengenai tanggung jawab untuk pengendalian internal , khususnyamenempatkan tanggung jawab tidak hanya pada dewan direksi , manajemen senior dan auditor internal , tetapi juga pada setiap individu dalam organisasi . Meskipun disebut oleh judul yang berbeda antara kerangka kerja, komponen masing-masing kerangka pengendalian internal pada dasarnya sama dan dapat diperiksa menggunakan judul COSO untuk setiap komponen . Mereka adalah : Pengendalian Lingkungan , Penilaian Risiko , Kegiatan Pengendalian < informasi dan Komunikasi , dan Pemantauan ,. Untuk perbandingan kerangka kontrol ada internal dengan menggunakan bahasa khusus untuk masing-masing .
peraturan
Ciri- ciri perusahaan kecil pada umumnya seperti :
1. Bisnis dan produk dalam perusahaan segaris dan sejalan
2. Pemasaran berfokus pada lingkungan dan hubungan perusahaan 3. Kepemimpinan manajemen bersifat mutlak dan signifikan
4. Tingkatan manajemen dibawah kepemimpinan, mengawasi lebih luas dalam mengontrol
5. Sistem pemrosesan transaksi kurang kompleks dan protokol 6. Karyawan sedikit dan jangkauan lebih luas
7. Kemampuan terbatas untuk mempertahankan sumber daya jauh di garis serta posisi staf pendukung seperti hukum , sumber daya manusia , akuntansi dan audit internal
1. Integritas dan Nilai Etika – Integritas dan nilai-nilai etika yang sehat, khususnya dari manajemen puncak, dikembangkan dan dipahami serta menjadi standar perilaku dalam pelaporan keuangan.
2. Dewan – Dewan direksi memahami dan melaksanakan tanggung jawab pengawasan pelaporan keuangan serta pengendalian internal terkait.
3. Filosofi Manajemen dan Gaya Operasi – Filosofi manajemen dan gaya operasi membantu pencapaian pengendalian internal yang efektif terhadap pelaporan keuangan.
4. Struktur Organisasi – Struktur organisasi perusahaan mendukung pengendalian internal yang efektif dalam pelaporan keuangan.
5. Kompetensi Pelaporan Keuangan – Perusahaan memiliki individu-individu yang kompeten dalam pelaporan keuangan dan juga individu dalam pengawasannya. 6. Wewenang dan Tanggung Jawab – Manajemen dan karyawan diberikan
wewenang dan tanggung jawab yang sesuai untuk memfasilitasi pengendalian internal yang efektif terhadap pelaporan keuangan.
7. Sumber Daya Manusia – Kebijakan dan praktik sumber daya manusia didesain dan diimplementasikan untuk memfasilitasi pengendalian internal yang efektif terhadap pelaporan keuangan.
PENILAIAN RISIKO (Risk Assessment)
8. Tujuan Pelaporan Keuangan – Manajemen menetapkan tujuan pelaporan keuangan dengan jelas serta menetapkan kriteria identifikasi risiko untuk pelaporan keuangan yang dapat diandalkan.
10. Risiko Kecurangan (Fraud) – Potensi salah saji secara material akibat kecurangan secara eksplisit dipertimbangkan dalam penilaian risiko pencapaian tujuan pelaporan keuangan.
AKTIVITAS PENGENDALIAN (Control Activities)
11. Integrasi dengan Penilaian Risiko – Tindakan-tindakan perlu diambil untuk mengatasi risiko pencapaian tujuan pelaporan keuangan.
12. Pemilihan dan Pengembangan Aktivitas Kegiatan – Aktivitas pengendalian dipilih dan dikembangkan dengan mempertimbangkan biaya dan potensi efektivitas mitigasi risiko pencapaian tujuan pelaporan keuangan.
13. Kebijakan dan Prosedur – Kebijakan terkait dengan pelaporan keuangan yang dapat diandalkan ditetapkan dan dikomunikasikan ke seluruh perusahaan, dengan prosedur yang sesuai sehingga arahan manajemen dilaksanakan.
14. Teknologi Informasi – Pengendalian teknologi informasi, bila memungkinkan, didesain dan diimplementasikan untuk mendukung pencapaian tujuan pelaporan keuangan.
INFORMASI DAN KOMUNIKASI
15. Informasi Pelaporan Keuangan – Informasi terkait diidentifikasi, ditangkap, digunakan pada semua tingkatan perusahaan, dan didistribusikan dalam bentuk dan jangka waktu yang mendukung pencapaian tujuan pelaporan keuangan.
16. Informasi Pengendalian Internal – Informasi yang dibutuhkan untuk memfasilitasi berfungsinya komponen pengendalian lainnya diidentifikasi, ditangkap, digunakan dan didistribusikan dalam bentuk dan jangka waktu yang memungkinkan personel untuk melaksanakan tanggung jawab pengendalian internal mereka.
18. Komunikasi Eksternal – Hal-hal yang mempengaruhi pencapaian tujuan pelaporan keuangan dikomunikasikan dengan pihak-pihak luar.
PEMANTAUAN (Monitoring)
19. Pemantauan Berkelanjutan dan Evaluasi Terpisah – pemantauan yang terus menerus (ongoing monitoring) dan/atau evaluasi terpisah (separatae evaluation) memungkinkan manajemen untuk menentukan apakah komponen lain dari pengendalian internal atas pelaporan keuangan terus berfungsi dari waktu ke waktu.
20. Pelaporan Kelemahan – Kelemahan pengendalian internal diidentifikasi dan dikomunikasikan secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, dan juga kepada manajemen serta dewan yang sesuai.
COSO INTERNAL CONTROL FRAMEWORK
Pengendalian internal adalah proses, dipengaruhi oleh dewan direksi, manajemen, dan personil lainnya dalam suatu entitas, dirancang untuk memberikan keyakinan memadai tentang pencapaian tujuan dalam kategori berikut:
efektivitas dan efisiensi operasi
keandalan pelaporan keuangan
A. Control environment / lingkungan pengendalian
Lingkungan pengendalian merupakan pondasi dari semua komponen pengendalian intern lainnya yang menyediakan disiplin dan struktur. Lingkungan pengendalian menetapkan suasana dari suatu organisasi yang mempengaruhi kesadaran akan pengendalian dari orang-orangnya. Komponen dari lingkungan pengendalian adalah sebagai berikut :
Integritas dan nilai etika
Integitas dan nilai etika suatu perusahaan merupakan elemen lingkungan pengendalian yang penting. Untuk menekan pentingnya integritas dan nilai etika di antara semua personel dalam organisasi, CEO dan manajemen puncak lainnya harus:
menetapkan suasana dengan cara mempraktikkan standar yang tinggi dan perilku etis
mengkomunikasikan kepada seluruh karyawan
memberi bimbingan moral kepada karyawan yang mempunyai latar belakang moral yang kurang baik
mengurangi atau menghilangkan insentif dan godaan yang dapat mengarahkan individu untuk melakukan tindakan yang tidak jujur, melawan hukum atau tidak etis.
Komitmen terhadap kompetensi
Komitmen terhadap kompetensi mencakup pertimbangan manajemen mengenai pengetahuan dan keahlian yang diperlukan dan bauran dari intelegensi, pelatihan, dan pengalaman yang diperlukan untuk mengembangkan kompetensi tersebut.
Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan direksi dan komite audit. Di tahun sebelum Sox, dewan dan komite audit sering didominasi oleh manajemen senior di dalam direksi. Ini menciptakan situasi dimana dewan tidak benar-benar independen dari manajemen. Namun sekarang setelah muncul Sox, sangat dibutuhkan komite audit yang benar-benar independen. Dewan yang aktif dan mandiri merupakan komponen penting dari lingkungan pengendalian COSO.
Filosofi dan gaya operasi manajemen
Filosofi memiliki pengaruh besar atas lingkungan pengendalian suatu perusahaan. beberapa manajer tingkat atas mengambil tingkat risiko yang signifikan dalam bisnis baru mereka atau usaha produk, yang lainnya sangat berhati-hati atau konservatif. Pertimbangan filosofi dan gaya operasi manajemen adalah bagian dari lingkungan pengendalian suatu perusahaan. Auditor internal yang bertanggung jawab untuk menilai pengendalian internal harus memahami faktor-faktor ini dan membawa mereka menjadi pertimbangan ketika mengevaluasi efektivitas pengendalian internal.
Struktur organisasi
Struktur organisasi berkontribusi terhadap kemampuan suatu entitas untuk memenuhi tujuan dengan menyediakan kerangka kerja menyeluruh atas perencanaan, pelaksaan, pengendalian, dan pemantauan aktivitas suatu entitas. Struktur organisasi entitas biasanya digambarkan dalam suatu bagan organisasi yang harus secara akurat merefleksikan garis wewenang dan hubungan pelaporan. Kalau organisasi terlalu besar, maka terjadi birokrasi, perlambatan keputusan, pembengkakan biaya overhead. Namun kalo organisasi terlalu kecil, maka juga kurang baik dalam pengambilan keputusannya. Penetapan wewenang dan tanggung jawab
Struktur organisasi suatu perusahaan mendefinisikan tugas dan integrasi dari usaha kerja total. Wewenang dan tanggung jawab mencakup penjelasan-penjelasan mengenai bagaimana dan kepada siapa wewenang dan tanggung jawab untuk semua aktivitas entitas dibebankan, dan harus memungkinkan individu untuk mengetahui (1) bagaimana tindakannya saling berhubungan dengan individu lainnya dalam memberikan kontribusi terhadap pencapaian tujuan entitas, dan (2) setiap individu akan bertanggung jawab atas hal apa .
Kebijakan dan praktik sumberdaya manusia
diharapkan. Area dimana kebijakan dan praktik sumber daya manusia sangat penting meliputi:
a. rekrutmen dan hiring b. orientasi karyawan baru c. evaluasi, promosi, kompensasi d. mendisiplinkan tindakan
Lingkungan pengendalian COSO dalam suatu perspektif
Lingkungan pengendalian merupakan pondasi dalam piramida di atas. Komunikasi dan komponen informasi tidak ditampilkan sebagai lapisan individu dalam model tetapi komponen sisi yang meliputi lapisan penilaian risiko dan kegiatan pengendalian.
Risk assessment / Penilaian Risiko
Kemampuan suatu entitas untuk mencapai tujuannya dapat berisiko karena berbagai faktor internal dan eksternal .COSO mendeskripsikan penilaian risiko dalam tiga proses :
1. Mengestimasi pentingnya risiko 2. Menilai kemungkinan terjadinya risiko
3. mempertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa yang harus diambil
risiko perusahaan disebabkan oleh faktor eksternal
risiko perusahaan disebabkan oleh faktor internal
risiko tingkat kegiatan tertentu
B. Control Activities / Aktivitas pengendalian
Kebijakan dan prosedur yang membantu memastikan bahwa perintah manajemen telah dilaksanakan. Aktivitas pengendalian membantu memastikan bahwa tindakan yang diperlukan berkenaan dengan risiko telah diambil untuk pencapaian tujuan entitas.
Tipe aktivitas pengendalian
Top-level reviews : manajemen dan auditor internal di berbagai level seharusnya mereview hasil kinerja mereka, apakah sesuai dengan anggaran, statistik kompetitif, dan acuan pengukuran lain.
Direct functional or activity management : manajer di berbagi level seharusnya mereview laporan operasional dari pengendalian internal mereka dan mengambil tindakan korektif yang sesuai
Information processing : bagaimana data diproses menjadi informasi. Sistem TI terdiri dari banyak pengendalian di mana sistem internal memeriksa kepatuhan di daerah tertentu dan kemudian melaporkan setiap pengecualian dari pengendalian internal.
Physical controls : perusahaan harus memiliki kontrol yang tepat atas aset fisik, termasuk perlengkapan, persediaan, dan penawaran sekuritas
Performance indicators : manajemen harus menghubungkan seperangkat data, baik operasional maupun keuangan satu sama lain dan mengambil analitis yang sesuai, tindakan investigasi atau korektif
Segregation of duties : tugas-tugas seharusnya dipisahkan antara orang yang berbeda untuk mengurangi risiko kesalahan atau tindakan tidak tepat.
Integrasi aktivitas pengendalian dengan penilaian risiko
Apakah tipe-tipe aktivitas pengendalian sudah diintegrasikan dengan hasil penilaian risiko. Aktivitas pengendalian harus berhubungan erat dengan risiko yang teridentifikasi dari komponen penilaian risiko pengendalian internal COSO
Pengendalian atas sistem informasi
keuangan, operasional, dan kepatuhan yang terkait. Apakah sistem informasi senantiasa direview secara berkala meskipun sudah dilakukan otomatisasi sistem ?
C. Communications and Information / Komunikasi dan Informasi Hubungan informasi dan pengendalian internal
Perusahaan membutuhkan informasi dari semua tingkatan dalam perusahaan untuk mencapai tujuan operasional, keuangan, dan kepatuhan. Contoh : perusahaan membutuhkan informasi untuk mempersiapkan laporan keuangan yang akan dikomunikasikankepada investor luar sebagaimana biaya internal dan informasi preferensi pasar eksternal untuk membuat keputusan pemasaran yang tepat.
Strategi dan sistem integrasi
Melalui sistem strategi, pengendalian internal COSO melaporkan bahwa manajemen seharusnya mempertimbangkan perencanaan, desain dan implementasi dari sistem informasinya sebagai bagian dari strategi perusahaan secara keseluruhan.
Kualitas informasi
Untuk menentukan kualitas dari informasi maka harus dipastikan apakah : a. isi dari informasi yang dilaporkan sesuai
b. informasi tersebut tepat waktu dan tersedia bila diperlukan c. informasi yang tersedia merupakan informasi terbaru / terkini d. data dan informasi sudah benar
e. informasi tersebut dapat diakses oleh pihak yang tepat / seluruh unit dalam organisasi
Aspek komunikasi dari pengendalian internal
Komunikasi : komponen internal
Komunikasi eksternal
Cara dan metode komunikasi
D. Monitoring / Pemantauan
Monitoring merupakan salah satu dari 5 komponen internal kontrol (4 yang lainnya: risk assesment, control environment, control activities, information and communication). Monitoring bertujuan untuk memastikan agar sistem internal kontrol berjalan secara efektif.
Aktivitas pemantauan terus menerus
Operating management normal functions
Communication from external parties
Enterprise structure and supervisory activities
Physical inventories and asset reconciliation
Evaluasi pengendalian internal terpisah
Proses evaluasi pengendalian internal
Apakah dilakukan evaluasi secara berkala terhadap proses pengendalian internal?
Rencana kegiatan evaluasi
Apabila terjadi penyimpangan atau kesalahan, apakah ada rencana evaluasi untuk memperbaiki sehingga menjadi lebih baik ?
Melaporkan kekurangan pengendalian internal
Temuan tentang adanya kekurangan pengendalian internal biasanya harus dilaporkan.Tidak hanya untuk individu yang bertanggung jawab atas fungsi atau kegiatan yang terlibat tetapi juga untuk setidaknya satu tingkat manajemen.
DEFINISI PENGENDALIAN INTERNAL
COSO secara luas mendefinisikan pengendalian internal sebagai:
. . . sebuah proses, dipengaruhi oleh dewan entitas dari direktur, manajemen, dan personel lainnya, desain untuk memberikan keyakinan memadai tentang pencapaian tujuan dalam kategori berikut:
Efektifitas dan efisiensi operasi.
Keandalan pelaporan keuangan.
Pengendalian internal adalah suatu proses. itu adalah alat untuk mencapai tujuan, bukan tujuan itu sendiri.
Pengendalian internal dipengaruhi oleh orang-orang. Bukan hanya kebijakan manual dan bentuk, tetapi orang-orang di setiap tingkat organisasi.
Pengendalian internal dapat diharapkan untuk memberikan hanya keyakinan memadai, bukan jaminan mutlak, untuk manajemen dan dewan entitas.
Pengendalian internal diarahkan untuk pencapaian tujuan dalam satu atau lebih yang terpisah tetapi tumpang tindih kategori.
Meskipun definisi ini mungkin tampak sangat umum, definisi secara luas pengendalian internal mengakomodasi eksplorasi kategori yang secara individu atau secara keseluruhan.Ketika kategori pengendalian internal yang melihat secara keseluruhan, mereka secara kolektif disebut sebagai sistem pengendalian internal. COSO menunjukkan, "Mereka yang ingin dapat fokus secara terpisah, misalnya, pada kontrol atas pelaporan keuangan atau kontrol yang terkait dengan kepatuhan terhadap hukum dan peraturan. Sama, fokus diarahkan pada pengendalian di unit atau kegiatan suatu entitas tertentu bisa menampung." Juga, sebuah organisasi dapat memilih untuk fokus pada sistem secara keseluruhan pengendalian internal.Pameran 6-7 menggambarkan komponen pengendalian internal dengan penekanan pada bagaimana mereka saling berhubungan.
KOMPONEN INTERNAL
Lingkungan Pengendalian
Lingkungan pengendalian organisasi meresapi semua bidang organisasi dan mempengaruhi cara individu mendekati pengendalian internal. Komponen dasar ini pengendalian internal menciptakan konteks di mana komponen lain dari pengendalian internal yang ada. COSO mengidentifikasi "integritas, nilai etika, dan kompetensi dari orang entitas; filsafat dan operasi gaya manajemen, cara manajemen memberikan wewenang dan tanggung jawab, dan mengatur dan mengembangkan orang-orangnya; dan perhatian dan arah disediakan oleh dewan direksi" sebagai faktor termasuk dalam lingkungan pengendalian organisasi ini.
Selanjutnya, COSO menunjukkan bahwa "lingkungan pengendalian memiliki pengaruh luas dalam perjalanan kegiatan usaha yang terstruktur, obyektif didirikan, dan risiko yang dinilai. Itu juga mempengaruhi aktivitas pengendalian, informasi, dan sistem komunikasi, dan kegiatan pemantauan." Sejarah dan budaya organisasi secara langsung mempengaruhi lingkungan kontrol. Tujuan organisasi tercapai, sebagian, melalui lingkungan pengendalian yang, jika diterapkan secara efektif, menghasilkan sebuah organisasi-luas "sikap integritas dan mengontrol kesadaran, dan menetapkan 'nada di atas' positif" melalui pembentukan dari "kebijakan yang tepat dan prosedur, sering termasuk kode etik tertulis, yang mendorong nilai-nilai bersama dan kerja tim dalam mengejar tujuan entitas."
Semua organisasi menghadapi risiko, yaitu, ancaman terhadap pencapaian tujuan.Semua risiko, baik internal maupun eksternal, perlu dinilai. Menurut COSO, "Prasyarat untuk penilaian risiko adalah pembentukan tujuan, terkait pada tingkat yang berbeda dan konsisten secara internal. Penilaian risiko adalah identifikasi dan analisis risiko yang relevan dengan pencapaian tujuan, membentuk dasar untuk menentukan bagaimana resiko harus dikelola. Karena ekonomi, industri, regulasi, dan kondisi operasi akan terus berubah, mekanisme yang diperlukan untuk mengidentifikasi dan menangani risiko khusus yang terkait dengan perubahan." Identifikasi risiko dan analisis, yang keduanya penting untuk penilaian risiko yang efektif, dibahas secara lebih rinci nanti dalam bab ini.
Menetapkan tujuan yang jelas adalah prasyarat untuk identifikasi efektif, penilaian, dan respon terhadap risiko.Yang pertama harus objektif, didirikan pada lingkungan strategi-pengaturan, sebelum manajemen dapat mengidentifikasi risiko yang mungkin menghambat pencapaian tujuan dan mengambil tindakan yang diperlukan untuk mengelola risiko tersebut. Seperti yang dibahas dalam bab 4, "Manajemen Risiko," pengaturan tujuan, identifikasi kejadian, penilaian risiko, dan respon risiko adalah elemen kunci dari proses manajemen risiko. Sesuai, pengaturan tujuan merupakan prasyarat untuk, dan enabler dari, pengendalian internal.
Proses untuk menetapkan tujuan dapat berkisar dari yang sangat terstruktur untuk sangat informal. Pernyataan misi organisasi sering mendorong tujuan entitas-tingkat.Bersama dengan penilaian dari kekuatan, kelemahan, risiko, dan peluang, tujuan membangun konteks untuk menentukan startegi organisasi.Biasanya, rencana strategis yang menghasilkan sifatnya umum.
Dari rencana strategis umum, tujuan diidentifikasi yang lebih spesifik daripada tujuan entitas-tingkat yang dibahas di atas.Tujuan entitas-tingkat mereka terkait dengan tujuan tertentu yang telah ditetapkan untuk kegiatan yang berbeda dalam organisasi.
Tujuan dapat dibagi menjadi kategori-kategori berikut yang ditetapkan oleh COSO:
Tujuan Operasi. Ini berkaitan dengan efektivitas dan efisiensi operasi entitas, termasuk kinerja dan tujuan profitabilitas dan sumber daya pengamanan terhadap kerugian. mereka bervariasi berdasarkan pilihan manajemen mengenai struktur dan kinerja.
Tujuan Pelaporan Keuangan. Ini berkaitan dengan penyusunan laporan keuangan terpercaya yang dipublikasikan, termasuk pencegahan penipuan pelaporan keuangan publik. Mereka didorong terutama oleh persyaratan eksternal.
Tujuan Kepatuhan. Tujuan tersebut berkaitan dengan kepatuhan terhadap hukum dan peraturan yang mana entitas tunduk. Mereka bergantung pada faktor-faktor eksternal, seperti peraturan lingkungan, dan cenderung mirip di semua entitas dalam beberapa kasus dan di industri di lain.
Aktivitas Pengendalian
Aktivitas pengendalian adalah tindakan yang diambil oleh manajemen, dewan, dan lainnya untuk mengurangi risiko dan meningkatkan kemungkinan bahwa didirikan tujuan dan sasaran yang akan dicapai. Rencana manajemen, mengatur, dan mengarahkan kinerja tindakan yang cukup untuk memberikan keyakinan memadai bahwa tujuan dan sasaran yang akan dicapai. Seperti faktor penentu keberhasilan yang dijelaskan di atas, aktivitas pengendalian yang hadir di semua tingkat organisasi.Dan, seperti tujuan mereka dirancang untuk membantu mencapai, kegiatan pengendalian dapat dipisahkan ke dalam tiga kategori operasi, pelaporan, dan kepatuhan.Namun kegiatan pengendalian sering dirancang untuk mengurangi beberapa risiko yang mungkin mengancam tujuan dalam lebih dari satu kategori.Ingat bahwa itu adalah kurang penting yang kategori aktivitas pengendalian dalam dari kemampuannya untuk mengurangi risiko yang terkait dengannya.
Salah satu konsep penting umum untuk semua aktivitas pengendalian adalah konsep yang COSO mendefinisikan sebagai pemisahan tugas.Pemisahan tugas adalah konsep membagi, atau memisahkan, aktivitas pengendalian terkait dengan otorisasi transaksi dari pemrosesan transaksi tersebut dari akses fisik ke aset yang terkait dengan transaksi-transaksi yang mendasarinya.Tujuan utama dari pemisahan tugas (membagi kegiatan pengendalian) antara orang-orang yang berbeda adalah untuk mengurangi risiko kesalahan atau tindakan yang tidak pantas dilakukan oleh setiap individu.
Selain pembagian tugas, ada banyak kegiatan pengendalian umum diakui yang hadir dalam sistem yang dirancang dengan baik kontrol internal, termasuk:
Ulasan kinerja dan kegiatan tindak lanjut.
Otorisasi (persetujuan).
Kegiatan pengendalian akses IT.
Dokumentasi (ketat dan komprehensif).
Kegiatan pengendalian akses fisik.
Aplikasi IT (input, proses, output) kegiatan pengawasan.
Verifikasi independen dan rekonsiliasi. Informasi dan Komunikasi
Informasi yang berkualitas tinggi harus dikomunikasikan dengan tepat. saling ketergantungan ini merupakan alasan mengapa COSO menggabungkan informasi dan komunikasi dalam komponen ini. Informasi yang relevan, akurat, dan tepat waktu harus tersedia untuk individu pada semua tingkat organisasi yang membutuhkan informasi tersebut untuk menjalankan bisnis secara efektif. Tidak hanya harus informasi yang disediakan "untuk personil yang tepat sehingga mereka dapat melaksanakan operasi mereka, pelaporan keuangan, dan tanggung jawab kepatuhan," tetapi "komunikasi juga harus berlangsung dalam arti yang lebih luas, berurusan dengan harapan, tanggung jawab individu dan kelompok, dan hal-hal penting lainnya." Komunikasi dengan pihak eksternal juga penting dan dapat memberikan informasi penting pada fungsi kontrol. Pihak ini termasuk, namun tidak terbatas pada, pelanggan, pemasok, penyedia layanan, regulator, auditor eksternal, dan pemegang saham.
memastikan bahwa informasi ini dikomunikasikan tepat waktu untuk semua pihak yang berkepentingan.
Terdapat banyak cara organisasi dapat memilih untuk berkomunikasi. bentuk hard copy komunikasi termasuk manual, memorandum, dan papan buletin terletak di daerah di mana individu berkumpul. Komunikasi juga dapat berlangsung dalam pertemuan tatap muka atau secara elektronik melalui e-mail, situs intranet, video conferencing, atau papan buletin elektronik. budaya organisasi, serta isi dari informasi bersama, akan menentukan metode terbaik dari komunikasi. Karena individu menerima dan memproses informasi secara berbeda, sebagian besar organisasi akan menggunakan kombinasi media untuk memastikan semua individu dapat memproses dan memahami informasi yang diberikan kepada mereka. COSO berpendapat bahwa tindakan manajemen kuat berkomunikasi apa yang penting bagi organisasi sebagai "tindakan berbicara lebih keras daripada kata-kata". Sangat jelas, bahwa budaya organisasi memainkan peran penting dalam mengkomunikasikan prioritas. Biasanya, organisasi yang telah membentuk budaya integritas dan transparansi memiliki waktu lebih dengan komunikasi yang dilakukan organisasi lain.
Pemantauan
Untuk tetap dapat diandalkan, sistem pengendalian intern harus dipantau. monitoring adalah "suatu proses yang menilai kualitas kinerja sistem dari waktu ke waktu. ini dicapai melalui kegiatan yang sedang berlangsung monitoring, terpisah [periodik] evaluasi, atau kombinasi dari dua". Meskipun bukan merupakan bagian dari hari-hari operasi organisasi per se, monitoring dilakukan bersamaan dengan operasi mereka secara terus-menerus. yang lebih kuat dan komprehensif prosedur pengawasan dan verifikasi, manajemen kepercayaan lebih dapat menempatkan dalam efektivitas prosedur tersebut untuk memastikan operasi yang sedang berlangsung konsisten dan dapat diandalkan. Dengan efektif untuk pergi kegiatan pemantauan, ditambah dengan penilaian risiko yang akurat dan dapat diandalkan, frekuensi evaluasi terpisah dapat dikurangi.
setiap kekurangan yang ada diidentifikasi dan diselesaikan tepat waktu. Lapisan ketiga adalah penilaian independen oleh daerah luar atau fungsi, sering fungsi audit internal, dilakukan untuk memvalidasi hasil (akurasi dan keandalan) self-assessment manajemen terhadap efektivitas pengendalian di daerah mereka. pendekatan berlapis ini menyediakan organisasi dengan tingkat yang lebih tinggi dari keyakinan bahwa sistem pengendalian internal tetap efektif dan membantu memastikan kekurangan pengendalian internal diidentifikasi dan ditangani tepat waktu.
Penting untuk dicatat bahwa kegiatan monitoring terjadi di masing-masing dari lima komponen pengendalian internal (Control Environment, Penilaian Risiko, Aktivitas Pengendalian, Informasi dan Komunikasi, dan Monitoring), bukan hanya sebagai komponen mandiri. Embedding kegiatan monitoring ke dalam proses yang dilakukan selama hari-hari operasi bisnis memungkinkan pemantauan terjadi secara teratur, menangkap masalah sebelum mereka menjadi tidak terkendali. Evaluasi terpisah kekurangan keuntungan ini karena waktu kinerja mereka, yang kemudian dalam proses, dan karena mereka tampil lebih jarang. evaluasi terpisah menyediakan tampilan tambahan pada sistem pengendalian internal, menangkap masalah yang mungkin telah terjawab selama pemantauan, dan mengevaluasi efektivitas pemantauan tertanam dalam kegiatan sehari-hari dari daerah. Meskipun berbagai keuntungan dari dua metode yang berbeda untuk monitoring, keduanya diperlukan untuk proses monitoring yang kuat untuk eksis. Pameran 6-8 memberikan contoh dari berbagai jenis monitoring.
Seperti yang ditunjukkan sebelumnya, manajemen memiliki tanggung jawab utama untuk efektivitas sistem organisasi pengendalian internal, termasuk pemantauan. Sebagai tanggung jawab untuk melakukan kontrol tertentu naik dalam organisasi ke tingkat yang lebih tinggi dari manajemen, pemantauan pengawasan tradisional menjadi lebih menantang. Kegiatan monitoring yang dilakukan oleh bawahan dalam suatu organisasi jauh lebih afektif daripada yang dilakukan oleh atasan. Dalam situasi-situasi di mana manajemen senior melakukan kontrol itu, mungkin cocok untuk anggota lain dari manajemen senior untuk memantau mereka kontrol. Dalam kasus yang membawa risiko manajemen override, pemantauan tingkat papan mungkin diperlukan.
oleh dewan melalui pemahaman tentang risiko bagi organisasi dan dengan memahami bagaimana manajemen meringankan risiko ke tingkat yang dapat diterima.
Kekurangan dalam sistem
organisasi pengendalian internal
mungkin diidentifikasi selama kinerja
baik pemantauan atau evaluasi
terpisah. COSO luas mendefinisikan
kekurangan sebagai "suatu
kondisi dalam suatu sistem
pengendalian internal layak
perhatian." COSO menguraikan bahwa
"kekurangan, untuk itu,
mungkin merupakan dirasakan,
potensi, atau kekurangan yang
nyata, atau kesempatan untuk
memperkuat sistem pengendalian intern untuk memberikan kemungkinan yang lebih besar bahwa tujuan entitas akan tercapai." Kekurangan diidentifikasi sebagai akibat dari pemantauan dan evaluasi terpisah harus dilaporkan secara tepat waktu kepada pihak-pihak yang tepat dalam organisasi. Tergantung pada dampak kekurangan ha tertentu pada potensi efektivitas sistem pengendalian internal, itu harus dilaporkan kepada manajemen unit bisnis, manajemen senior,
dan / atau dewan kekurangan directors.Reported pertimbangan penting dalam evaluasi sistem pengendalian internal. Mengevaluasi sistem pengendalian internal akan dibahas secara lebih rinci nanti dalam bab ini. komunikasi formal relatif terhadap keterlibatan jaminan diselesaikan oleh fungsi audit internal dibahas secara rinci dalam Bab 14, "Berkomunikasi Jaminan Engagement Hasil dan Pertunjukan Prosedur Follow-up".
Sebagaimana dibahas sebelumnya dalam bab ini, beberapa organisasi underutilize pemantauan, terutama yang berkaitan dengan persyaratan pelaporan keuangan. Pemantauan dapat menjadi alat yang efektif untuk mengevaluasi pernyataan pengendalian internal ketika
dirancang dengan yang akhir dalam pikiran. Organisasi di seluruh dunia yang harus melaporkan efektivitas sistem mereka pengendalian internal kepada pihak eksternal dapat merancang "jenis, waktu, dan tingkat monitoring" yang dilakukan untuk memberikan "informasi persuasif yang pengendalian internal dioperasikan secara efektif pada suatu titik waktu atau selama periode tertentu. " Pameran 6-9 adalah representasi COSO untuk proses monitoring relatif mendukung kesimpulan mengenai efektivitas pengendalian
PERAN PENGENDALIAN INTERNAL DAN TANGGUNG JAWAB
Semua orang dalam suatu organisasi memiliki tanggung jawab untuk pengendalian internal:
Manajemen
CEO bertanggung jawab utama untuk sistem pengendalian internal. "nada di atas" (bagaimana etika atau berapa banyak integritas organisasi memiliki) diatur oleh CEO dan gulung ke bawah dari sana ke manajemen senior, manajemen lini, dan akhirnya semua individu dalam suatu organisasi. CEO lebih atau kurang terlihat dan memiliki lebih atau kurang dari dampak langsung tergantung pada ukuran organisasi. Dalam organisasi yang lebih kecil, CEO sangat langsung mempengaruhi sistem pengendalian internal. Dalam organisasi yang lebih besar, CEO memiliki dampak terbesar pada manajemen senior yang pada gilirannya mempengaruhi bawahannya. Dalam hal ini tindakan manajemen cara, senior dan garis sebagai "CEO" di atas area yang menjadi tanggung jawab mereka.
Dewan Direksi, Komite Audit, dan Personel Lainnya
Lingkungan Pengendalian
Organisasi menunjukkan komitmen terhadap nilai-nilai integritas dan etika.Dewan menunjukkan kemandirian manajemen dan menjalankan pengawasan terhadappengembangan dan bekerjanya pengendalian internal.Dengan pengawasan Dewan, manajemen menetapkan struktur, garis pelaporan,serta wewenang dan tanggung jawab yang sesuai dalam pencapaian tujuan.Organisasi menunjukkan komitmen untuk menarik, mengembangkan, danmempertahankan individu yang kompeten dalam keselarasan dengan tujuan.Organisasi mempertahankan individu dalam tanggung jawab pengendalian internalmereka dalam mengejar tujuan.
Penilaian Risiko
Organisasi menetapkan tujuan dengan cukup jelas sehingga memungkinkan identifikasidan penilaian risiko terkait, organisasi mengidentifikasi risiko pencapaian tujuan di seluruh penjuru organisasidan menganalisisnya sebagai dasar penentuan pengelolaan risiko, organisasi tersebut memperhitungkan potensi kecurangan (
Fraud dalam menilai risikopencapaian tujuan, organisasi mengidentifikasi dan menilai perubahan-perubahan yang secara signifikandapat mempengaruhi sistem pengendalian internal.
Aktivitas Pengendalian
Organisasi memilih dan mengembangkan aktivitas pengendalian yang turutmemitigasi risiko pencapaian tujuan pada tingkat yang dapat diterima, organisasi memilih dan mengembangkan aktivitas pengendalian umum (general control)atas teknologi untuk mendukung pencapaian tujuan, organisasi menerapkan aktivitas pengendalian sebagaimana dimanifestasikan dalamkebijakan untuk menetapkan apa yang diharapkan, dan prosedur yang relevan untuk menjalankan kebijakan.
Informasi dan Komunikasi
pihak eksternal tentang hal-hal yang mempengaruhi berfungsinya komponen lain dari pengendalian internal.
Pemantauan Kegiatan
Organisasi memilih, mengembangkan, dan melakukan evaluasi yang terus menerus (ongoing) dan/atau terpisah untuk memastikan apakah komponen-komponenpengendalian internal ada dan berfungsi, organisasi mengevaluasi dan mengomunikasikan kelemahan pengendalian internalsecara tepat waktu kepada pihak-pihak yang sesuai dan bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan Dewan.
Keterbatasan Pengendalian Intern Entitas
Pengendalian intern hanya memberikan keyakinan memadai bagi manajemen dan dewankomisaris berkaitan dengan pencapaian tujuan pengendalian intern entitas, berikut ini adalahketerbatasan bawaan yang melekat dalam pengendalian intern :
1. Pertimbangan manusia dalam pengambilan keputusan dapat salah. Seringkali manajemen dan personel lain dapat salah dalam mempertimbangkankeputusan bisnis yang diambil atau dalam melaksanakan tugas rutin karena tidak memadainya informasi, keterbatasan waktu atau tekanan lain.
2. Pengendalian intern dapat rusak karena kekeliruan dan kesalahanBisa terjadi karena petugas salah mengerti tentang instruksi, atau melakukan kesalahankarena kecorobohan, kebingungan, atau kelelahan, perpindahan personil sementara atautetap, atau perubahan sistem atau prosedur.
3. Pengendalian tidak efektif karena adanya kolusi. Tindakan bersama beberapa individu untuk tujuan kejahatan disebut dengan kolusi. Kolusi dapat mengakibatkan bobolnya pengendalian intern yang dibangun untuk melindungi kekayaan entitas dan tidak terungkapnya ketidak beresan atau tidak terdeteksinya kecurangan oleh sistem pengendalian intern yang dirancang.
dilakukan, manajemenharus memperkirakan dan mempertimbangkan secara kuantitatif dan kualitatif
Menyeimbangkan Risiko dan Kontrol
Risiko berlebihan pengendalian internal.Pameran 10/6 daftar beberapa konsekuensi yang mungkin menerima berlebihan atau menerapkan pengendalian internal yang berlebihan.keseimbangan bahwa manajemen mampu mencapai hasil dalam sebuah organisasi menerima tingkat yang lebih tinggi atau lebih rendah dari risiko dan tergantung pada sifat risiko, lingkungan peraturan di mana organisasi beroperasi, dan filosofi manajemen.
Dengan mengatakan bahwa, ada banyak faktor ketika menentukan manajemen tindakan tertentu harus ambil untuk mengelola risiko yang melekat ke tingkat yang cukup rendah, yaitu, dalam toleransi risiko manajemen harus mempertimbangkan.Untuk mulai dengan, manajemen harus mempertimbangkan risiko terkendali.
manajemen senior dan dewan direksi.Porsi risiko yang melekat yang tetap setelah mengurangi semua risiko terkendali didefinisikan sebagai risiko residual.jika risiko yang tidak terkendali yang tersisa kurang dari risk appetite yang ditetapkan, maka sistem pengendalian internal beroperasi pada tingkat yang dapat diterima dan dalam risk appetite yang ditetapkan organisasi.
Sistem pengendalian internal yang dirancang secara memadai dan efektif beroperasi, menurut definisi, dirancang untuk mengelola risiko dalam organisasi yang didirikan risk appetite. Ini harus mengurangi risiko yang melekat terkait dengan ada kategori COSO tujuan dalam risk appetite manajemen.
Melihat Pengendalian Internal dari Berbagai Perspektif
Karena semua orang dalam suatu organisasi memiliki beberapa tanggung jawab untuk pengendalian internal, ada secara alami akan perspektif yang berbeda dari yang individu dalam organisasi pendekatan pengendalian internal. "Perspektif yang berbeda tentang pengendalian internal tidak diinginkan," menurut COSO."Kontrol internal yang bersangkutan dengan tujuan entitas, dan kelompok-kelompok yang berbeda tertarik tujuan yang berbeda untuk alasan yang berbeda.
Pengelolaan
Karena manajemen bertanggung jawab untuk menetapkan tujuan organisasi, mereka secara alami melihat pengendalian internal dari perspektif itu. Manajemen harus mempertimbangkan pengendalian intern dalam hal biaya dan manfaat yang terkait dan mengalokasikan sumber daya yang diperlukan untuk mencapai tujuan tersebut.
Dari perspektif manajemen, pengendalian internal mencakup sejumlah kegiatan yang dirancang untuk mengurangi risiko atau mengaktifkan peluang yang mempengaruhi pencapaian tujuan organisasi.Keterlibatan manajemen dengan sistem pengendalian internal memungkinkan mereka untuk bereaksi cepat ketika kondisi memungkinkan.Hal ini juga membantu manajemen dalam hal mematuhi undang-undang tertentu nasional, lokal, dan industri dan regulasi.
Auditor Internal
atas sistem pengendalian internal itu sendiri, auditor internal dibebankan dengan independen memverifikasi bahwa pengendalian organisasi dirancang secara memadai dan beroperasi secara efektif sebagai manajemen bermaksud. validasi ini independen, yang memperhitungkan "semua entitas sistem, proses, operasi, fungsi, dan kegiatan," meningkatkan kemungkinan tujuan organisasi tercapai.
Auditor Luar yang Independen
Tanggung jawab utama dari sebuah organisasi, adalah auditor luar yang independen adalah untuk membuktikan kewajaran laporan keuangan dan, di negara-negara tertentu, efektivitas pengendalian internal atas pelaporan keuangan.Untuk alasan ini, perspektif mereka difokuskan pada pengendalian relatif internal untuk bagaimana hal itu mempengaruhi pelaporan keuangan organisasi.Sementara independen di luar auditor tujuan dan strategi organisasi ke dalam pertimbangan ketika memenuhi peran mereka, mereka diambil oleh manajemen dan auditor internal.
Pihak Eksternal Lainnya
Pihak eksternal yang memiliki kepentingan dalam pengendalian internal organisasi termasuk legislator, regulator, investor, dan kreditur.Karena minat mereka berbeda-beda, sehingga kemauan perspektif mereka tentang pengendalian internal.Akibatnya, "lembaga legislatif dan peraturan telah mengembangkan berbagai definisi dari pengendalian internal untuk menyesuaikan diri dengan tanggung jawab mereka. Definisi ini umumnya berhubungan dengan jenis kegiatan dipantau, dan banyak mencakup pencapaian tujuan dan sasaran entitas, pelaporan, penggunaan sumber daya terhadap limbah , kehilangan, dan penyalahgunaan. " Investor dan kreditor, di sisi lain, terutama memerlukan jenis informasi keuangan yang auditor independen di luar organisasi memvalidasi.
Jenis Kontrol
Tingkat Entitas
Semua kontrol dirancang untuk mengurangi risiko baik di tingkat perusahaan atau pada tingkat operasional dalam suatu organisasi.1992 COSO framework menggunakan istilah "entitas tingkat" dan "tingkat aktivitas" masing-masing untuk menggambarkan kontrol ini. Meskipun tidak jarang untuk organisasi dalam profesi audit internal untuk menggunakan terminologi yang berbeda seperti "perusahaan lebar" atau "entitas lebar" untuk merujuk pada tingkat kontrol entitas, yang lebih umum istilah "entitas level" digunakan dalam bab ini. Bab ini juga menjelaskan tingkat kontrol proses dan kontrol tingkat transaksi, yang bersama-sama terdiri kontrol tingkat aktivitas. Lebih penting dari istilah khusus yang digunakan ketika membahas jenis ini control, bagaimanapun, adalah dalam rangka pengendalian dan efektivitas operasi.
Kontrol ini memiliki efek yang luas pada pencapaian banyak tujuan secara keseluruhan. AS Perusahaan Publik Akuntansi Dewan Pengawas menyatakan dalam Audit yang Standard No. 5 "kontrol tingkat Entity termasuk
- Kontrol yang berkaitan dengan lingkungan pengendalian;
Kontrol atas manajemen override;
Proses penilaian risiko perusahaan;
pengolahan terpusat dan kontrol, termasuk lingkungan layanan bersama;
Kontrol untuk memantau kontrol lainnya, termasuk kegiatan dari fungsi audit internal, komite audit, dan program self assessment;
Kontrol selama periode mengakhiri proses pelaporan keuangan; dan
Kebijakan yang membahas pengendalian bisnis dan manajemen risiko praktik signifikan.
While consistent in nature, these control may vary in their execution between processes. Example of process level controls include :
Reconciliations of key accounts,
Physical verifications of assets,
Process employee supervision and performance evaluations,
Process level risk assessment, and
Monitoring/oversight of specific transactions.
kegiatan operasional atau transaksi individu, secara akurat diproses secara tepat waktu. Contoh kontrol tingkat transaksi meliputi:
Otorisasi,
Dokumentasi
Pemisahan tugas, dan
Pengendalian aplikasi IT
Memadai dirancang dan efektif beroperasi tingkat entitas, tingkat proses, dan bekerja kontrol tingkat transaksi serentak dan berfungsi sebagai pertahanan organisasi terhadap risiko yang mengancam pencapaian tujuan bisnis. entity level, tingkat proses, dan tingkat kontrol transaksi dibahas secara lebih rinci dalam studi kasus 1, "tingkat Audit Badan Kontrol," yang menyertai buku ini.
Kontrol kunci dan Kontrol Sekunder
Sebuah tombol kontrol dirancang untuk mengurangi risiko kunci yang terkait dengan tujuan bisnis.Kegagalan untuk melaksanakan secara memadai dirancang dan efektif beroperasi tombol kontrol dapat mengakibatkan kegagalan organisasi tidak hanya untuk mencapai tujuan bisnis kritis tetapi untuk bertahan hidup.
Sebuah kontrol sekunder adalah salah satu yang dirancang untuk baik (1) mengurangi risiko yang tidak kunci untuk tujuan bisnis, atau (2) mengurangi sebagian tingkat risiko ketika tombol kontrol tidak beroperasi secara efektif.kontrol sekunder mengurangi tingkat risiko residual ketika kontrol kunci tidak beroperasi secara efektif, tetapi tidak memadai, sendiri, untuk mengurangi risiko kunci tertentu ke tingkat yang dapat diterima. Mereka adalah khas bagian dari kompensasi atau kontrol pelengkap.
Kompensasi control
Seperti disebutkan sebelumnya, kontrol sekunder dan kompensasi kontrol yang diperlukan ketika tombol kontrol yang efektif tidak dapat dibuat atau dirancang untuk secara memadai mengurangi risiko atau kelompok risiko dalam risk appetite yang ditetapkan manajemen.Ini mungkin hasil dari kendala ekonomi atau kompleksitas operasional atau keduanya.Tidak peduli alasan teh, sekunder kontrol kompensasi yang diperlukan untuk yang tidak ada tombol kontrol yang efektif ada.Seringkali, kompensasi kerja kontrol bersamaan dengan kontrol kunci terkait atau tumpang tindih, sementara melayani sebagai kontrol sekunder untuk kontrol kunci tertentu.
Pelengkap Kontrol
Sebuah Kontrol Pelengkap adalah kontrol yang diperlukan yang tidak cukup dengan sendirinya untuk sepenuhnya mengurangi risiko.Namun, bila dikombinasikan dengan satu kontrol lainnya, kontrol pelengkap yang membantu mengurangi risiko yang mendasari ke tingkat yang dapat diterima.Misalnya, pemisahan tugas sering dianggap sebagai tombol kontrol.Memisahkan tugas yang berkaitan dengan hak asuh verifikasi independen, risiko yang mendasari, seperti penyalahgunaan kas, adalah jauh berkurang. Sering, kontrol pelengkap dapat beroperasi di beberapa proses dan risiko. Pada contoh rekonsiliasi bank tersebut di atas, kontrol pelengkap ini bisa membantu mengurangi risiko lainnya, termasuk akhir periode dipotong risiko dan risiko akurasi.
Preventive, Detective, Corrective, and Directive Controls.
Seringkali, banyak kontrol yang berbeda disebut dengan label yang berbeda untuk menjelaskan apa yang dimaksudkan untuk dalam upaya untuk membedakan antara mereka. Berikut ini adalah singkat dari jenis tesis kontrol dan definisi mereka.
Detective control adalah sesuatu yang dirancang untuk menemukan kesalahan atau penyimpangan setelah mereka telah terjadi (missalnya : departemen memeriksa tagihan telepon untuk panggilan pribadi).Detektif kontrol dirancang untuk mendeteksi kesalahan dan penyimpangan yang telah terjadi dan untuk menjamin prompt mereka koreksi. Kontrol ini merupakan biaya operasi yang terus-menerus dan sering kali mahal, tapi perlu. Kontrol ini bertujuan pula untuk menekan dampak dari kesalahan karena dapat mengindetifikasikan suatu kesalahan dengan cepat. Contohnya menggunakan kamera pengawas.
Recovery Controls adalah membantu mengurangi pengaruh dari suatu event yang hilang melalui prosedur recovery data atau mengembalikan data yang hilang melalui prosedur recovery data. Contohnya adalah memperbaiki data yang terkena virus.
Directive Controls adalah Pengendalian pengarahan adalah pengendalian yang dilakukan pada saat kegiatan sedang berlangsung dengan tujuan agar kegiatan dilaksanakan sesuai dengan kebijakan atau ketentuan yang berlaku. Contoh: kegiatan supervisi yang dilakukan langsung oleh atasan kepada bawahan atau pengawasan oleh mandor terhadap aktivitas pekerja.
Karena ketergantungan lazim di sistem informasi, kontrol harus dilaksanakan untuk mengurangi risiko yang terkait dengan sistem otomatis yang diperlukan untuk menjalankan bisnis inti dari sebuah organisasi.
Ada dua jenis kontrol sistem informasi yang dapat digunakan untuk mengurangi risiko ini: 1. Tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input
secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi
2. Pengendalian Umum (GeneralControl). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data.
dianggap tingkat kontrol badan karena mereka berlaku di organisasi dan banyak aplikasi komputernya. Aplikasi kontrol ONT dia sisi lain, yang paling sering dianggap tingkat proses atau transaksi tingkat kontrol. diskusi tambahan dan contoh komputasi dan aplikasi umum kontrol dapat ditemukan dalam pasal 7 "informasi risiko teknologi dan kontrol" dan studi kasus 1, "audit entitas tingkat kontrol" yang menyertai buku teks ini.
Kategori Kontrol Simultan
Telah disinggung sebelumnya dalam bab ini, kontrol tertentu dapat masuk ke dalam beberapa kategori sekaligus. Misalnya, kontrol dapat menjadi kontrol tingkat entitas pada saat yang sama bahwa itu adalah tombol kontrol. Bahwa pengendalian yang sama juga bisa menjadi kontrol direktif. Itu tidak bisa, bagaimanapun, menjadi kontrol sekunder atau kontrol transaksi-tingkat pada saat yang sama bahwa itu adalah tombol kontrol dan kontrol tingkat entitas. Sementara nuansa ini dapat membingungkan pada awalnya, waktu yang dihabiskan bekerja dengan kontrol akan menyebabkan pemahaman yang lebih baik tentang bagaimana berbagai kategori kontrol dapat eksis dalam kendali tunggal.
EVALUASI SISTEM PENGENDALIAN INTERNAL – RINGKASAN
Seperti yang disebutkan sebelumnya, manajemen, di bawah kepemimpinan CEO memiliki tanggung jawab utama untuk desain yang memadai dan operasi yang efektif dari sistem pengendalian internal. Dengan demikian, manajemen bertanggung jawab untuk menempatkan di tempat yang dirancang secara memadai dan efektif beroperasi tingkat entitas dan tingkat aktivitas pengendalian untuk mengurangi risiko yang terkait dengan prestasi dari tujuan bisnis di masing-masing tiga kategori COSO-didefinisikan: operasi yang efektif dan efisien, pelaporan keuangan yang handal, dan kepatuhan terhadap hukum dan peraturan.
Seperti yang ditunjukkan dalam Standar Internasional IIA untuk Praktik Profesional Audit Internal (Standar), fungsi audit internal bertanggung jawab untuk menilai kontrol organisasi (baik unsur, atau keseluruhan, sistem pengendalian internal) yang dituangkan dalam praktek penasehat 2130-1: Menilai kecukupan proses kontrol:
Dalam mengevaluasi keefektifan proses pengendalian organisasi, CASE menganggap apakah:
perbedaan yang signifikan atau kelemahan yang ditemukan,
koreksi atau perbaikan dilakukan setelah penemuan, dan
penemuan dan konsekuensi potensi mereka mengarah pada kesimpulan bahwa kondisi meresap eksis mengakibatkan tingkat yang tidak dapat diterima risiko.
dalam mengevaluasi keefektifan proses pengendalian organisasi, CASE menganggap apakah: perbedaan yang signifikan atau kelemahan yang ditemukan. Koreksi atau perbaikan dilakukan setelah penemuan- penemuan dan konsekuensi potensi mereka mengarah pada kesimpulan bahwa kondisi meresap ada yang mengakibatkan tingkat yang tidak dapat diterima risiko.
Sarbanes Oxley tambahan mengharuskan manajemen organisasi yang terdaftar dengan SEC untuk melaporkan secara terbuka pada keandalan pengendalian internal atas pelaporan keuangan. Seperti yang ditunjukkan sebelumnya, di Amerika Serikat, Sarbanes Oxley menempatkan tanggung jawab untuk desain, pemeliharaan, dan operasi yang efektif dari ICFR tepat di pundak manajemen senior, khususnya, CEO dan CFO.
Pelaporan keuangan yang dapat diandalkan, "... dalam konteks laporan keuangan yang dipublikasikan, ... didefinisikan [oleh COSO] sebagai penyusunan laporan keuangan disajikan secara wajar sesuai dengan prinsip akuntansi yang berlaku umum dan persyaratan peraturan untuk tujuan eksternal, dalam konteks materialitas Pendukung penyajian wajar adalah lima dasar asersi laporan keuangan.:
kelengkapan
hak dan kewajiban
valuasi atau alokasi dan
penyajian dan pengungkapan
Tingkat entitas dan kontrol tingkat aktivitas khusus merancang untuk memberikan keyakinan memadai bahwa tujuan pelaporan eksternal yang mencapai dan asersi terkait dukungan manajemen dimiliki elemen umum tertentu. Harus dirancang secara memadai dan beroperasi secara efektif, tesis kontrol harus membahas konsep inisiasi, otorisasi, pencatatan, pengolahan, dan pelaporan. Seperti disebutkan sebelumnya dalam bab ini, kontrol ini secara kolektif disebut sebagai kontrol internal atas pelaporan keuangan.
The PCAOB diciptakan untuk pedoman menetapkan bahwa auditor independen di luar dan tidak langsung, manajemen, harus mematuhi dalam rangka memenuhi persyaratan pelaporan. Dalam responese, pada 12 Juni 2007, PCAOB mengeluarkan Standar Audit No.5, An Audit Pengendalian Internal Atas Pelaporan Keuangan Yang Terintegrasi dengan Audit Laporan Keuangan. Untuk pedoman khusus tambahan, lihat Auditing Standard No. 5 sendiri
