INTERNAL CONTROL AND COSO FRAMEWORK PDF

Preview

Summary

RESUME : INTERNAL CONTROL AND COSO FRAMEWORKTHE FOUR PRIMARY OBJECTIVES OF EFFECTIVE INTERNAL CONTROL.Sistem pengendalian internal terdiri dari kebijakan dan prosedur yang dirancang dan diterapkan oleh manajemen untuk memitigasi risiko dan untuk memberikan keyakinan memadai bahwa perusahaan dapat me...

Description

RESUME : INTERNAL CONTROL AND COSO FRAMEWORK THE FOUR PRIMARY OBJECTIVES OF EFFECTIVE INTERNAL CONTROL. Sistem pengendalian internal terdiri dari kebijakan dan prosedur yang dirancang dan diterapkan oleh manajemen untuk memitigasi risiko dan untuk memberikan keyakinan memadai bahwa perusahaan dapat mencapai tujuan dan sasarannya. Kebijakan dan prosedur ini sering disebut pengendalian, dan secara kolektif, mereka membentuk pengendalian internal entitas. Kapan berpikir tentang pengendalian, seseorang dengan cepat menyadari bahwa risiko dan pengendalian sebenarnya tidak dapat dipisahkan. Manajemen merancang sistem pengendalian internal untuk mencapai empat hal berikut: 1. 2. 3. 4.

Strategis, sasaran tingkat tinggi yang mendukung misi entitas. Keandalan pelaporan keuangan. Efisiensi dan efektivitas operasi. Kepatuhan terhadap hukum dan peraturan.

Contoh pengelolaan sistem pengendalian internal pribadi : 

 





Apakah Anda meninjau laporan kartu kredit Anda? Jika Anda melakukannya, itu adalah kontrol internal untuk mengelola dua jenis risiko—untuk memastikan keakuratan transaksi serta untuk mendeteksi aktivitas penipuan pada laporan rekening. Ketika Anda datang ke sekolah hari ini, apakah Anda mengunci pintu rumah Anda? Jika Anda melakukannya, itulah "kontrol internal" Anda untuk melindungi aset Anda. Apakah Anda menyimpan nomor PIN untuk kartu debit Anda di tempat yang terpisah dari kartu? Jika Anda lakukan, itu adalah kontrol internal untuk mengurangi risiko dana Anda dicuri. Apakah Anda merencanakan rute terpendek yang mungkin untuk menyelesaikan tugas? Itu adalah kontrol untuk mempromosikan efisiensi dan mengurangi risiko pemborosan sumber daya penting—waktu anda Apakah Anda mengajukan pengembalian pajak penghasilan pribadi tahunan tepat waktu? Jika Anda melakukannya, Anda sesuai dengan undang-undang pajak federal dan mengurangi risiko dikenakan denda dan denda atau kehilangan potensi pengembalian pajak

MANAGEMENT’S RESPONSIBILITIES FOR MAINTAINING CONTROLS WITH THE AUDITOR’S RESPONSIBILITIES FOR EVALUATING AND REPORTING ON INTERNAL CONTROL. Manajemen dan auditor memiliki tanggung jawab yang berbeda untuk pengendalian internal. Manajemen, bukan auditor, harus menetapkan dan memelihara pengendalian internal entitas. Juga, dalam kasus perusahaan publik, manajemen diharuskan untuk secara public melaporkan efektivitas operasi pengendalian internal atas pelaporan keuangan. Namun, auditor perusahaan yang hanya terdaftar di sekuritas Kanada pertukaran tidak diharuskan untuk mengeluarkan laporan audit tentang efektivitas operasi dari pengendalian internal. MANAGEMENT’S RESPONSIBILITIES FOR MAINTAINING CONTROLS

Dua konsep kunci yang mendasari desain manajemen dan implementasi pengendalian— reasonable assurance dan inherent limitations. a. Reasonable Assurance Perusahaan harus mengembangkan pengendalian internal yang memberikan jaminan yang wajar, tetapi tidak mutlak, bahwa laporan keuangan telah disajikan secara wajar. Manajemen mengembangkan pengendalian internal setelah mempertimbangkan biaya dan manfaat dari pengendalian tersebut. Jaminan yang masuk akal adalah jaminan tingkat tinggi yang hanya memungkinkan kemungkinan yang rendah bahwa salah saji material tidak akan dapat dicegah atau dideteksi secara tepat waktu dengan pengendalian internal. b. Inherent Limitations Pengendalian internal tidak dapat dianggap sepenuhnya efektif, terlepas dari kehatihatian yang diikuti dalam desain dan implementasinya. Bahkan jika personel sistem dapat berkembang, merancang, dan memprogram sistem yang ideal, efektivitas sistem juga akan tergantung pada kompetensi dan ketergantungan orang yang menggunakannya. Misalnya, asumsikan bahwa prosedur untuk menghitung persediaan dikembangkan dengan hati-hati dan membutuhkan dua karyawan untuk menghitung secara mandiri. Jika tidak ada karyawan yang memahami instruksi atau jika keduanya ceroboh dalam melakukan penghitungan, penghitungan persediaan kemungkinan besar akan salah. Demikian pula, karyawan mungkin memutuskan untuk melebih-lebihkan jumlah dengan sengaja untuk menutupi pencurian persediaan oleh salah satu atau keduanya. Upaya kolaboratif antara karyawan untuk menipu disebut kolusi (collution). MANAGEMENT’S REPORTING RESPONSIBILITIES manajemen diharuskan untuk melaporkan secara terbuka tentang efektivitas operasi dari pengendalian tersebut. Kerangka pengendalian internal yang digunakan oleh kebanyakan perusahaan publik adalah Committee of Sponsoring Organizations of the Tread way Commission (COSO) Internal Control—Integrated Framework. kerangka kerja COSO adalah pengendalian internal yang setara dengan generally accepted accounting policies (GAAP). Dengan kata lain, itu adalah kerangka kerja yang digunakan untuk menilai efektivitas pengendalian internal atas pelaporan keuangan. Penilaian manajemen terhadap internal pengendalian atas pelaporan keuangan terdiri dari dua aspek utama. Pertama, manajemen harus mengevaluasi desain pengendalian internal atas pelaporan keuangan. Kedua, manajemen harus menguji efektivitas operasi dari pengendalian tersebut. AUDITOR’S RESPONSIBILITIES Auditor bertanggung jawab untuk memahami pengendalian internal entitas di mana mereka harus relevan dengan audit, untuk mencapai tujuan auditor dalam mengidentifikasi risiko salah saji material pada tingkat laporan keuangan dan asersi Relevant Controls

Mengingat bahwa tujuan pengendalian internal manajemen mencakup lebih dari pelaporan keuangan, tidak semua pengendalian relevan dengan audit. Khas pengendalian yang terkait dengan keandalan pelaporan keuangan adalah relevan. Operasional kontrol, seperti kontrol kualitas manufaktur dan kepatuhan karyawan terhadap pedoman kesehatan dan keselamatan, biasanya tidak relevan dengan audit, kecuali: dimana informasi yang dihasilkan digunakan untuk mengembangkan prosedur analitis atau informasi yang diperlukan untuk pengungkapan dalam laporan keuangan. Misalnya, jika auditor menggunakan statistik produksi sebagai dasar untuk prosedur analitis, kontrol atas keakuratan data akan relevan (karena auditor mengandalkan informasi ini untuk mengembangkan harapan untuk analisis prosedur). Auditor juga memperhatikan kontrol klien atas pengamanan aset dan kepatuhan terhadap peraturan perundang-undangan yang berlaku jika memiliki dampak material terhadap laporan keuangan. Kontrol yang memengaruhi manajemen internal informasi, seperti anggaran dan laporan kinerja internal, juga dapat relevan jika informasi manajemen digunakan untuk mengembangkan harapan untuk analisis Prosedur. Entity-Level Controls and Transaction Controls Transaction Controls Kontrol khusus yang dirancang untuk bisa mencegah atau mendeteksi sekaligus mengoreksisalah saji dalam kelas transaksi, saldo akun, atau pengungkapan dan asersi yang terkait. Keakuratan hasil sistem akuntansi (saldo akun) sangat bergantung pada akurasi input dan pemrosesan (transaksi). Transaction-Related Audit Objectives and Assertions Auditor juga harus memperoleh pemahaman tentang pengendalian atas saldo akhir, serta penyajian dan pengungkapan. Kontrol mengenai informasi dalam catatan laporan keuangan seringkali tidak datang langsung dari sistem akuntansi tetapi bergantung pada identifikasi manajemen

THE FIVE COMPONENTS OF THE COSO INTERNAL CONTROL FRAMEWORK AND THE 17 PRINCIPLES OF EFFECTIVE CONTROL. Pengendalian internal seperti yang didefinisikan oleh CAS 315 mencakup lima komponen: 1. 2. 3. 4. 5.

Control environment Risk assessment. Control activities. Information and communication. Monitoring.

COSO COMPONENTS OF INTERNAL CONTROL AND PRINCIPLES FOR EFFECTIVE CONTROL INTERNAL CONTROL COMPONEN DESCRIPTION OF PRINCIPLES FOR EFFECTIVE T COMPONENT CONTROL 1. Tunjukkan komitmen terhadap Kumpulan standar, proses, dan Control integritas dan nilai-nilai etika. struktur yang memberikan environment dasar untuk pengendalian 2. Direksi menunjukkan

internal di seluruh entitas. Jajaran direksi dan manajemen menetapkan nada keseluruhan mengenai pengendalian internal dan pentingnya. Lingkungan kontrol memiliki pervasive berdampak pada keseluruhan sistem kontrol.

Risk assessment

Proses identifikasi dan analisis risiko yang relevan dengan penyusunan laporan keuangan pernyataan sesuai dengan yang berlaku kerangka pelaporan keuangan

Control activities

Tindakan yang ditetapkan oleh kebijakan dan prosedur untuk membantu memastikan bahwa arahan manajemen untuk mengurangi risiko untuk mencapai tujuannya adalah bertemu. Aktivitas kontrol dilakukan sama sekali tingkat entitas Informasi diperlukan untuk melaksanakan internal tanggung jawab kontrol. Komunikasi adalah proses berulang yang berkelanjutan dari penyediaan, berbagi, dan memperoleh informasi yang diperlukan untuk merancang, mengimplementasikan, dan

Information and communicatio n

independensi dari manajemen dan Latihan tanggung jawab pengawasan. 3. Manajemen, dengan pengawasan dewan, menetapkan struktur, wewenang, dan tanggung jawab. 4. Organisasi menunjukkan komitmen untuk kompetensi. 5. Organisasi menetapkan dan memberlakukan akuntabilitas 6. Menentukan tujuan yang relevan dengan cukup kejelasan untuk memungkinkan identifikasi risiko. 7. Mengidentifikasi dan menilai risiko. 8. Mempertimbangkan potensi kecurangan dalam penilaian mempertaruhkan. 9. Mengidentifikasi dan menilai perubahan signifikan yang dapat mempengaruhi pengendalian internal. 10. Selects and develops control activities. 11. Selects and develops general controls over technology. 12. Deploys policies and procedures

13. Obtains or generates relevant, quality information. 14. Communicates internally. 15. Communicates externally

Monitoring

melakukan internal pengendalian dan untuk menilai keefektifannya. Kegiatan yang digunakan untuk memastikan apakah kelima komponen pengendalian internal untuk mengatasi prinsip-prinsip itu ada dan berfungsi.

16. Selects, develops, and performs ongoing and separate evaluations. 17. Evaluates and communicates deficiencies.

CONTROL ENVIRONMENT adalah tindakan, kebijakan, dan prosedur yang mencerminkan keseluruhan sikap manajemen puncak, direktur, dan pemilik entitas tentang pengendalian dan pentingnya pengendalian bagi entitas, serta memberikan disiplin dan struktur untuk semua komponen lainnya. Principle 1: Demonstrate Commitment to Integrity and Ethical Values. Komitmen organisasi terhadap integritas dan nilai-nilai etika ditunjukkan melalui nada yang ditetapkan oleh manajemen dan dewan direksi. Organisasi harus memiliki standar yang memandu perilakunya dan proses untuk mengkomunikasikan standar perilaku tersebut ke seluruh organisasi. Principle 2: Board of Directors Exercises Oversight Responsibility. Dewan direksi yang efektif memiliki latar belakang dan keahlian yang sesuai, direktur luar independen dari manajemen, dan anggotanya terlibat dalam dan meneliti aktivitas manajemen. Komite audit mempertimbangkan potensi pengabaian manajemen atas pengendalian internal dan mengawasi proses penilaian risiko penipuan manajemen. Independensi komite audit dari manajemen dan pengetahuan tentang masalah pelaporan keuangan merupakan penentu penting dari kemampuannya untuk secara efektif mengevaluasi pengendalian internal dan laporan keuangan yang disiapkan oleh manajemen. Banyak perusahaan swasta juga membentuk komite audit yang efektif. Principle 3: Management Establishes Structure, Authority, and Responsibility Beberapa pertanyaan kunci yang harus dijawab oleh auditor mencakup hal-hal berikut: Apakah ada kebijakan dan prosedur yang memadai untuk otorisasi dan persetujuan transaksi? ; Apakah ada struktur yang sesuai untuk menetapkan kepemilikan data, termasuk siapa yang berwenang untuk memulai dan/atau mengubah transaksi? ; Apakah kepemilikan ditetapkan untuk setiap aplikasi dan database? ; Apakah ada pemisahan yang tepat dari aktivitas yang tidak kompatibel baik secara fisik maupun melalui akses ke infrastruktur TI? ; Apakah otoritas dan tanggung jawab penyedia layanan outsourcing dibatasi oleh pedoman organisasi? ; Apakah ada kebijakan yang sesuai untuk menerima bisnis baru, konflik bisnis, dan praktik keamanan? Principle 4: Commitment to Competence.

Jika karyawan kompeten dan dapat dipercaya, pengendalian lain dapat tidak ada, dan laporan keuangan yang andal akan tetap dihasilkan. Standar yang relevan untuk perekrutan, pelatihan, motivasi, evaluasi, promosi, kompensasi, transfer, dan pemutusan hubungan kerja personel adalah indikator kunci efektivitas Prinsip-prinsip Kontrol yang Efektif 1. Menunjukkan komitmen terhadap integritas dan nilai-nilai etika. 2. Direksi menunjukkan independensi dari manajemen dan menjalankan tanggung jawab pengawasan. 3. Manajemen, dengan pengawasan dewan, menetapkan struktur, wewenang, dan tanggung jawab. 4. Organisasi menunjukkan komitmen terhadap kompetensi. 5. Organisasi menetapkan dan menegakkan akuntabilitas. prinsip ini. Pertimbangan penting lainnya adalah komitmen manajemen untuk menyediakan personel akuntansi dan keuangan yang memadai untuk mengimbangi pertumbuhan dan/atau kompleksitas bisnis. Principle 5: Organization Establishes and Enforces Accountability Organisasi yang terkendali dengan baik harus memiliki struktur dan tone di tingkat atas yang menetapkan dan menegakkan akuntabilitas individu untuk pengendalian internal. Mekanisme akuntabilitas yang tepat akan mencakup ukuran kinerja, insentif, dan penghargaan. RISK ASSESSMENT merupakan suatu proses identifikasi dan analisis risiko yang relevan dengan pernyataan penyusunan laporan keuangan sesuai dengan yang berlaku kerangka pelaporan keuangan. Proses ini melibatkan kegiatan mengidentifikasi dan menganalisis risiko yang mungkin mencegah organisasi dalam mencapai tujuannya. Ada empat prinsip dasar yang terkait dengan penilaian risiko, yaitu (1) organisasi harus memiliki tujuan yang jelas untuk dapat mengidentifikasi dan menilai risiko yang berkaitan dengan tujuan; (2) harus menentukan bagaimana risiko harus dikelola; (3) organisasi harus mempertimbangkan potensi untuk fraud; dan (4) harus memantau perubahan yang berdampak pada pengendalian internal. Principle 6: Organization Specifies Relevant Objectives. Untuk memastikan bahwa organisasi memenuhi tujuannya untuk pelaporan keuangan eksternal yang andal, manajemen harus mempertimbangkan apakah tujuan pelaporannya konsisten dengan kerangka pelaporan keuangan yang relevan dan sesuai dengan kondisinya. Principle 7: Identifies and Assesses Risks. Organisasi harus mempertimbangkan risiko eksternal dan internal untuk pencapaian tujuan pelaporan keuangan. Proses penilaian risiko biasanya akan membahas hal-hal sebagai berikut: perubahan dalam lingkungan operasi; sistem informasi baru atau yang dirubah; pertumbuhan yang cepat; model bisnis, produk, atau aktivitas baru; restrukturisasi perusahaan; memperluas operasi asing; dan pernyataan akuntansi baru. principle 8: Considers the Potential for Fraud in Assessing Risk. Sebagai bagian dari proses penilaian risiko, organisasi mempertimbangkan risiko terkait dengan pelaporan keuangan, pengesampingan manajemen, penyelewengan aset, dan korupsi. Penilaian ini harus mencakup evaluasi insentif dan tekanan, peluang, sikap, dan rasionalisasi untuk melakukan penipuan.

Principle 9: Identifies and Assess Significant Changes. Perubahan menciptakan risiko; oleh karena itu manajemen harus menerapkan proses yang memungkinkan identifikasi dan evaluasi perubahan di lingkungan eksternal dan internal yang dapat berdampak signifikan terhadap sistem pengendalian intern. CONTROL ACTIVITIES Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan tindakan yang diperlukan untuk mengatasi risiko dalam pencapaian tujuan entitas. Kegiatan pengendalian dapat dalam kontrol manual tergantung pada kompetensi orang yang melakukan kontrol dan kehati-hatian yang mereka lakukan saat melakukannya; dan kontrol otomatis, yakni kontrol aplikasi dilakukan oleh komputer. Tiga prinsip yang berlaku untuk komponen aktivitas pengendalian adalah: 1. Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi pada mitigasi risiko untuk pencapaian tujuan ke tingkat yang dapat diterima 2. Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas teknologi untuk mendukung pencapaian tujuan 3. Organisasi menyebarkan aktivitas pengendalian melalui kebijakan yang menetapkan apa yang diharapkan dan dalam prosedur yang menerapkan kebijakan. Principle 10: Selects and Develops Control Activities. Organisasi harus dapat mengembangkan aktivitas pengendalian yang dirancang khusus untuk mengurangi risiko untuk organisasi, sehingga aktivitas pengendalian akan bervariasi antar organisasi. a) Transaction Controls. Kontrol aktivitas yang diterapkan untuk memitigasi risiko aktivitas pemrosesan transaksi bisnis tertentu, seperti penjualan atau penerimaan kas. b) Proper b) Authorization of Transactions and Activities. Otorisasi mencakup lebih dari hasil transaksi, tetapi juga program baru dan perubahan program yang mempengaruhi transaksi. GENERAL AUTHORIZATION SPECIFIC AUTHORIZATION

kebijakan di seluruh perusahaan untuk persetujuan semua transaksi dalam batas yang ditentukan. persetujuan transaksi kasus per kasus yang tidak tercakup dalam kebijakan seluruh perusahaan.

c) Adequate Documents and Records. Dokumen dan catatan adalah file kertas atau elektronik di mana transaksi dimasukkan dan diringkas, seperti faktur dan pesanan penjualan. d) Physical Control over Assets and Records. Jenis tindakan perlindungan yang penting untuk menjaga aset dan catatan fisik adalah penggunaan tindakan physical precautions. Jika suatu perusahaan sudah terkomputerisasi, program komputer dan file juga harus dilindungi.

e) Adequate Segregation of Duties. Kontrol yang dapat mengurangi peluang seseorang untuk berada dalam posisi untuk melanggengkan dan menyembunyikan terjadinya fraud. f) f) Separation of Custody of Assets from Accounting. Tidak mengizinkan orang yang memiliki hak custody sementara/permanen menghitung aset untuk melindungi perusahaan dari fraud. Akses tidak langsung, seperti akses memeriksa tanda tangan, juga tetap harus terpisah. g) Separation of Authorization of Transactions from Custody of Related Assets. Mencegah orang yang mengotorisasi transaksi memiliki kendali atas aset terkait untuk mengurangi adanya kemungkinan terjadinya penggelapan atau fraud. h) Separation of Operational Responsibility from Record-Keeping Responsibility. Untuk memastikan informasi yang tidak bias, pencatatan biasanya dilakukan di departemen akuntansi yang terpisah di bawah pengawasan pengontrol. i) Separation of Reconciliation from Data Entry. Pembandingan informasi dari dua atau lebih sumber, atau secara independen memverifikasi pekerjaan yang telah diselesaikan orang lain. j) Separation of IT Duties from User Departments. Untuk mengimbangi potensi penugasan tumpang tindih, perusahaan memisahkan fungsi utama IT dari departemen pengguna utama. k) Independent Checks of Performance, Recorded Data, and Actual Results. Penting untuk dilakukan karena pengendalian internal cenderung berubah dari waktu ke waktu, kecuali ada mekanisme untuk peninjauan secara rutin, sering disebut verifikasi internal. l) Software Applications Controls. Dirancang bagi setiap aplikasi software untuk membantu perusahaan memenuhi asersi manajemen terkait transaksi. Principle 11: Selects and Develops General Controls Over Technology. Agar pengendalian aplikasi beroperasi secara efektif, organisasi harus memiliki pengendalian IT yang efektif (biasanya disebut pengendalian umum) atas aktivitas pengendalian internal yang pervasif dan mempengaruhi beberapa kelas transaksi atau beberapa kelompok akun. a) Information Technology System. Sistem IT mencakup infrastruktur IT, komputasi personal, outsourcing IT, dan tata kelola IT. Database Management System memungkinkan klien untuk membuat basis data yang mencakup informasi yang dapat dibagi di beberapa aplikasi. b) Organization and Management Controls. Proses yang memungkinkan organisasi untuk menyediakan sumber informasi yang memenuhi kebutuhan bisnis, termasuk kebijakan, praktik, dan prosedur yang membantu sumber daya IT menambah nilai, sambil mempertimbangkan biaya dan man...