Audit Internal (Pertemuan ke-3) Oleh: Bonny Adhisaputra & Herbayu Nugroho Sumber: Brink's Modern Internal Auditing 7th Edition Internal Control Framework: The COSO Standard Committee of Sponsoring Organizations (COSO) internal controls framework, pertama-tama diakui untuk menilai pengendalian internal oleh auditor eksternal Amerika Serikat, dan kemudian sebagai standar untuk membangun dan mengukur pengendalian internal di bawah Sarbanes-Oxley Act (SOX). COSO internal controls framework telah menjadi standar di seluruh dunia untuk membangun dan menilai pengendalian internal. I.
Importance of Effective Internal Controls Pengendalian internal tidak hanya tentang akuntansi dan keuangan namun mencakup semua proses perusahaan. Pengendalian internal adalah proses yang diimplementasikan oleh manajemen, yang dirancang untuk memberikan keyakinan memadai untuk: ! ! ! ! ! !
Informasi keuangan dan operasional yang handal; Kepatuhan dengan kebijakan dan rencana prosedur, hukum, aturan, dan regulasi; Perlindungan aset; Efisiensi operasional; Pencapaian penetapan misi, tujuan dan sasaran untuk operasi dan program perusahaan; dan Integritas dan nilai etika.
II. Internal Controls Standards: Background Sebelum akhir 1980-an, secara khusus tidak ada kesepakatan yang konsisten tentang apa yang dimaksud dengan "pengendalian internal yang baik." Definisi awal pengendalian internal yang pertama kali datang dari American Institute of Certified Public Accountants (AICPA) dan digunakan oleh US Securities and Exchange Commission (SEC) untuk Securities Exchange Act of 1934. Standar AICPA yang disebut Statement on Auditing Standards (SAS No.1), menggunakan definisi pengendalian internal: “Pengendalian internal terdiri dari rencana perusahaan dan semua koordinat metode-metode dan langkah-langkah yang diadopsi dengan sebuah bisnis untuk menjaga asetnya, memeriksa akurasi dan keandalan data akuntansi, mendorong efisiensi operasional, dan mendorong ketaatan terhadap kebijakan manajerial yang ditentukan.” SAS No.1 kemudian dimodifikasi seiring berkembangnya jaman, termasuk dirilisnya pengendalian akuntansi. Accounting Control, terdiri
dari rencana perusahaan dan prosedur, catatan yang berkaitan dengan pengamanan aset, serta keandalan catatan keuangan dan dirancang untuk memberikan keyakinan yang memadai bahwa: ! !
! !
Transaksi dilaksanakan sesuai dengan umum atau khusus otorisasi manajemen. Transaksi dicatat secara semestinya (1) untuk memungkinkan penyusunan laporan keuangan sesuai dengan prinsip akuntansi yang berlaku umum atau kriteria lain yang berlaku untuk pernyataan tersebut dan (2) untuk menjaga akuntabilitas aset. Akses ke aset hanya diperbolehkan sesuai dengan otorisasi manajemen. Akuntabilitas mencatat aset dibandingkan dengan aset yang ada pada interval yang wajar dan tindakan yang tepat diambil sehubungan dengan perbedaan.
Selama bertahun-tahun mulai dari tahun 1970-an, SEC dan AICPA merilis banyak definisi pengendalian internal (seringkali sedikit berbeda), dan perusahaan audit eksternal menyediakan pedoman interpretasi yang mendukung. III. COSO Internal Control Framework Lima organisasi profesi audit dan akuntansi yang membentuk komite COSO yaitu: ! ! ! ! !
Institute of Internal Auditors (IIA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), American Accounting Association (AAA), dan Institute of Management Accountants (IMA).
COSO kemudian merilis laporan pengendalian internal, dengan judul Internal Control–Integrated Framework. COSO memberikan gambaran yang sangat baik dari konsep multidimensional pengendalian internal, mendefinisikan pengendalian internal dengan cara: “Pengendalian internal adalah suatu proses, dipengaruhi oleh dewan entitas direksi, pengelolaan, dan personil lainnya, yang dirancang untuk memberikan keyakinan memadai tentang pencapaian tujuan dalam kategori berikut:” ! ! !
︎ Efektivitas dan efisiensi operasi ︎ Keandalan pelaporan keuangan ︎ Kepatuhan terhadap hukum dan peraturan yang berlaku
Berdasarkan definisi tersebut, COSO menggunakan model tiga dimensi untuk menggambarkan sistem pengendalian internal dalam suatu perusahaan.
a. Control Environment 1) INTEGRITY AND ETHICAL VALUES Integritas dan nilai-nilai etika suatu perusahaan merupakan elemen lingkungan pengendalian yang penting. Nilai-nilai ini sering didefinisikan sebagai suatu pesan yang dikomunikasikan oleh manajemen senior. Insentif dan godaan lainnya, bagaimanapun, dapat mengikis lingkungan pengendalian ini secara keseluruhan. Jenis-jenis godaan yang mendorong para pemangku kepentingan untuk terlibat dalam aktifitas akuntansi yang tidak tepat atau tindakan serupa termasuk: -
Nonexistensi atau kontrol yang tidak efektif, seperti pengaturan pemisahan tugas yang buruk di daerah sensitif, yang menawarkan godaan untuk mencuri atau menyembunyikan kinerja yang buruk.
-
Desentralisasi tinggi yang membuat manajemen puncak tidak menyadari tindakan yang diambil di tingkat perusahaan yang lebih rendah dan dengan demikian mengurangi kemungkinan terungkap (kecurangannya).
-
Fungsi audit internal yang lemah yang tidak memiliki baik kemampuan maupun kewenangan untuk mendeteksi dan melaporkan perilaku yang tidak benar; ini adalah area di mana audit internal dapat memperbaiki sendiri dengan melakukan pengauditan internal yang efektif.
-
Hukuman untuk perilaku yang tidak tepat yang tidak signifikan atau tidak dipublikasikan, menyebabkan mereka kehilangan nilai mereka sebagai pencegah.
2) COMMITMENT TO COMPETENCE Suatu perusahaan perlu menentukan tingkat kompetensi yang dibutuhkan untuk berbagai aktifitasnya dan menerjemahkan
kebutuhan tersebut ke tingkat pengetahuan dan keterampilan yang diperlukan. 3) BOARD OF DIRECTORS AND AUDIT COMMITTEE Lingkungan pengendalian sangat dipengaruhi oleh tindakan dewan direksi dan komite audit perusahaan. 4) MANAGEMENT’S PHILOSOPHY AND OPERATING STYLE Filosofi dan gaya operasi manajemen senior memiliki pengaruh besar atas lingkungan pengendalian suatu perusahaan. Pertimbangan filosofi manajemen dan gaya operasi ini adalah bagian dari lingkungan pengendalian suatu perusahaan. 5) ORGANIZATIONAL STRUCTURE Struktur organisasi adalah cara atau pendekatan untuk upaya penugasan kerja individual yang baik dan terintegrasi demi pencapaian tujuan perusahaan. 6) ASSIGNMENT OF AUTHORITY AND RESPONSIBILITY Aspek kerangka-kerja COSO ini dari lingkungan pengendalian mirip dengan komponen struktur organisasi. Struktur organisasi suatu perusahaan mendefinisikan kewajiban dan integrasi usaha adalah keseluruhan tugasnya. Kewajiban dan otoritas pada dasarnya cara tanggung jawab didefinisikan dalam hal deskripsi pekerjaan dan terstruktur dalam hal grafik perusahaan. 7) HUMAN RESOURCES POLICIES AND PRACTICES Area di mana kebijakan dan praktik sumber daya manusia sangat penting meliputi: -
Recruitment and hiring
-
New employee orientation
-
Evaluation, promotion, and compensation
-
Disciplinary actions
8) COSO CONTROL ENVIRONMENT IN PERSPECTIVE
b. Risk Assessment Penilaian risiko pengendalian internal COSO harus menjadi proses ke depan yang dilakukan di semua tingkat dan untuk hampir semua kegiatan dalam perusahaan. COSO menggambarkan penilaian risiko sebagai proses tiga langkah: ! ! !
Perkirakan signifikansi risiko. Menilai kemungkinan atau frekuensi risiko yang terjadi. Pertimbangkan bagaimana risiko harus dikelola dan menilai tindakan apa harus diambil.
Berbagai macam risiko, yang disebabkan oleh salah satu sumber internal atau eksternal, dapat mempengaruhi perusahaan secara keseluruhan. Pengendalian internal COSO menunjukkan bahwa risiko harus dipertimbangkan dari tiga perspektif: !
Enterprise risks due to external factors Termasuk resiko perkembangan teknologi yang dapat mempengaruhi sifat dan waktu penelitian dan pengembangan produk baru atau menyebabkan perubahan dalam proses pengadaan. Resiko dari Faktor eksternal lainnya mencakup kebutuhan pelanggan yang berubah atau harapan, harga, garansi, atau aktivitas layanan.
!
Enterprise risks due to internal factors Sebagai auditor internal sering menyoroti tinjauan mereka terusmenerus, akan ada banyak jenis tingkat risiko perusahaan. Sebagai contoh, gangguan dalam IT server suatu perusahaana atau yang lainnya yang dapat mempengaruhi operasi perusahaan secara keseluruhan. Selain itu, kualitas kerja karyawan, serta pelatihan atau motivasi, dapat mempengaruhi tingkat kepedulian terhadap pengendalian dalam entitas. Selain itu, sejauh mana kemudahan akses karyawan terhadap aktiva yang dapat berakibat untuk penyalahgunaan sumber daya. Meskipun sekarang dapat diatasi oleh SOX, laporan pengendalian internal COSO juga menyebutkan bahwa resiko ketidak tegasan atau ketidak efektifan dari dewan komisaris dan komite audit dapat memberikan peluang untuk tidak bijaksana.
!
Specified activity-level risks Resiko juga harus dipertimbangkan untuk setiap unit bisnis yang signifikan dan aktivitas kunci, seperti untuk pemasaran, IT, dan keuangan. Hal ini diperlukan mengingat resiko-resiko ini dikhawatirkan tidak terdeteksi pada dua perspektif lainnya.
c. Control Activities Adalah kebijakan dan prosedur yang membantu memastikan bahwa tindakan yang diidentifikasi untuk mengatasi risiko dilakukan, menyusul berbagai kegiatan kontrol sub-proses.
1) TYPES OF CONTROL ACTIVITIES -
Top-level reviews Manajemen dan auditor internal di berbagai tingkatan, harus meninjau hasil kinerja mereka. Langkah manajemen untuk menindaklanjuti hasil review tersebut dan melakukan tindakan perbaikan merupakan aktivitas pengendalian.
-
Direct functional or activity management Manajer di berbagai tingkatan harus menelaah laporan operasional dari sistem kontrol mereka dan mengambil tindakan korektif yang diperlukan. Banyak sistem manajemen telah dibangun untuk menghasilkan laporan pengecualian tersebut meliputi kegiatan pengendalian. Sebagai contoh, sebuah keamanan sistem TI akan memiliki mekanisme untuk melaporkan upaya akses yang di otorisasi. Kegiatan pengendalian di sini adalah proses pengelolaan untuk menindaklanjuti laporkan kejadian dan mengambil tindakan koreksi yang tepat.
-
Information processing Sistem TI mengandung banyak pengendalian internal di mana sistem memeriksa kepatuhan di area tertentu dan kemudian melaporkan setiap pengecualian pengendalian internal. Itemitem pengecualian yang dilaporkan harus ada tindakan korektif dari prosedur sistem otomatis, oleh pegawai operasional, atau oleh manajemen. Kegiatan pengendalian lainnya termasuk kontrol atas pengembangan system yang baru atau kelebian akses ke data dan file program.
-
Physical controls Perusahaan harus memiliki kontrol yang sesuai terhadap fisik aset, termasuk perlengkapan, persediaan, dan surat berharga. Program aktif dari persediaan fisik secara berkala merupakan aktivitas pengendalian utama di sini, dan auditor internal dapat memainkan peran utama dalam pengawasan kepatuhan.
-
Performance indicators Manajemen harus mengacu pada sekumpulan data, baik operasional dan keuangan, dan mengambil Langkah analitis, investigasi, atau koreksi yang tepat. Proses ini merupakan kegiatan usaha kontrol yang penting yang juga dapat memenuhi persyaratan laporan keuangan dan operasional.
-
Segregation of duties. Tugas harus dipisahkan antara orang yang berbeda untuk langkah mengurangi risiko kesalahan atau yang tidak pantas. Kegiatan pengendalian ini termasuk dalam laporan pengendalian internal COSO tetapi hanya mewakili sebagian kecil dari banyaknya kegiatan pengawasan yang dilakukan dalam kegiatan normal perusahaan. Kegiatan pengendalian
biasanya melibatkan kebijakan menetapkan apa harus dilakukan dan prosedur untuk dampak kebijakan tersebut. 2) INTEGRATION ASSESSMENT
OF
CONTROL
ACTIVITIES
WITH
RISK
Aktivitas pengendalian harus terkait erat dengan risiko yang teridentifikasi dari komponen penilaian risiko pengendalian internal COSO. Pengendalian internal adalah suatu proses, dan kegiatan pengendalian yang sesuai harus diterapkan untuk mengatasi risiko diidentifikasi. Aktivitas pengendalian tidak boleh dilakukan hanya karena mereka tampaknya menjadi hal yang benar untuk dilakukan bahkan jika tidak ada risiko yang signifikan di daerah di mana aktivitas pengendalian akan diterapkan. 3) CONTROLS OVER INFORMATION SYSTEMS Pengendalian internal COSO framework menekankan bahwa prosedur pengendalian diperlukan atas semua sistem keuangan pembentukan IT yang signifikan atau sistem informasi keuangan, operasional, dan kepatuhan yang terkait. d. Communications and Information Informasi yang tepat, didukung oleh sistem IT, kenaikan dan penurunan perusahaan harus dikomunikasikan dengan cara dan waktu yang memungkinkan orang untuk melaksanakan tanggung jawab mereka. Selain system komunikasi formal dan informal, perusahaan harus memiliki prosedur yang efektif untuk berkomunikasi dengan pihak internal dan eksternal perushaan. Dan informasi tersebut harus dikomunikasikan dan dipahami untuk setiap evaluasi pengendalian internal perusahaan. Sebuah perusahaan membutuhkan informasi di semua tingkatan untuk mencapai tujuan operasional, keuangan, dan kepatuhan. Sebagai contoh, perusahaan membutuhkan informasi untuk menyiapkan laporan keuangan yang dikomunikasikan kepada investor luar untuk membuat keputusan pemasaran yang tepat. Kualitas dari Informasi laporan internal kontrol COSO mempunyai suatu ringkasan pada pentingnya kualitas informasi. Kualitas system informasi yang buruk, dipenuhi dengan kesalahan dan kelalaian, mempengaruhi kemampuan manajemen untuk membuat keputusan yang tepat. Laporan harus mengandung cukup data dan informasi untuk mendukung keefektifan aktivitas pengendalian internal. Dan untuk menentukan kualitas informasi, kita harus memastikan apakah: ! ! ! ! !
Isi informasi yang dilaporkan adalah tepat. Informasi ini tepat waktu dan tersedia pada saat diperlukan. Informasi ini saat ini atau setidaknya terbaru yang tersedia. Data dan informasi sudah benar. Informasi ini dapat diakses kepada pihak yang sesuai.
e. Monitoring System Internal kontrol akan bekerja secara efektif dengan dukungan yang memadai dari manajemen, prosedur kontrol, dan keterkaitan
informasi dan komunikasi, proses monitoring harus ada untuk memantau kegiatan ini. Internal auditor melakukan review untuk menilai kesesuaian dengan prosedur yang ditetapkan. Sebuah proses pemantauan harus ada, untuk menilai keefektifan komponen yang ditetapkan dalam pengendalian internal dan untuk mengambil tindakan korektif jika diperlukan. pengendalian COSO internal memberikan contoh komponen pemantauan terus menerus terhadap pengendalian internal : !
Fungsi normal manajemen operasi. Manajemen melakukan review atas laporan operasi dan keuangan merupakan suatu pemantauan penting kegiatan. Namun, perhatian khusus harus diberikan untuk pengecualian yang dilaporkan dan potensi penyimpangan pengendalian internal. Pengendalian internal ditingkatkan jika laporan yang ditelaah secara berkala dan adanya tindakan korektif untuk setiap pengecualian yang dilaporkan.
!
Komunikasi dari pihak eksternal. Komunikasi dengan pihak ekstenal bisa sebagai ukuran pemantauan, seperti keluhan pelanggan terhadap nomor telepon, adalah penting, namun, perusahaan perlu memonitor panggilan tersebut dan kemudian melakukan tindakan korektif jika diperlukan.
!
Struktur dan kegiatan pengawasan perusahaan. Sementara manajemen senior harus selalu meninjau ringkasan laporan dan mengambil langkah korektif, yang pertama tingkat pengawasan dan struktur perusahaan sering terkait bahkan peran yang lebih signifikan dalam pemantauan. COSO menekankan pentingnya pemisahan tugas yang memadai. Membagi tugas antara karyawan yang memungkinkan mereka untuk melayani sebagai cek pemantauan satu sama lain.
!
Rekonsiliasi fisik persediaan dan aset. Setiap fungsi atau proses kegiatan perusahaan yang direview secara teratur dan kemudian menyarankan Langkah perbaikan yang potensial dapat dianggap sebagai kegiatan monitoring.
Proses evaluasi Pengendalian Internal COSO harus: ! mengembangkan pemahaman tentang desain sistem, ! uji kontrol utama, dan ! mengembangkan kesimpulan berdasarkan hasil tes. Ini benarbenar proses audit internal.
