Escolar Documentos
Profissional Documentos
Cultura Documentos
OLEH :
KELOMPOK II
ANGELICA DWIWAHYU
12/343884/EE/06350
13/MPAXXVIIA/12
PRADHITA D.N.
13/MPAXXVIIA/20
12/343916/EE/06382
YASINTA E.K.
13/MPAXXVIIA/28
semua tingkatan bisnis profesional dan baik auditor eksternal maupun internal harus
memahami. Profesional bisnis membangun dan menggunakan pengendalian internal, auditor
meninjau bidang operasional dan keuangan di perusahaan dengan tujuan mengevaluasi
pengendalian internal mereka. Meskipun ada banyak definisi yang sedikit berbeda dari
pengendalian internal di masa lalu, definisi pengendalian internal adalah:
Pengendalian internal adalah proses yang dilaksanakan oleh manajemen, yang
dirancang untuk memberikan keyakinan memadai untuk:
1.
2.
3.
4.
5.
6.
misi tersebut dengan cara yang etis, (2) menghasilkan data yang akurat dan dapat diandalkan,
(3) mematuhi hukum yang berlaku dan kebijakan perusahaan, (4) menyediakan penggunaan
sumber daya yang ekonomis dan efisien, dan (5) memberikan pengamanan aset yang tepat.
Ada banyak sistem perusahaan dan proses di tempat kerja, seperti operasi akuntansi, proses
penjualan, dan sistem teknologi informasi (TI). Jika manajemen tidak beroperasi atau
mengarahkan proses ini dengan benar, perusahaan dapat beroperasi di luar kendali. Semua
anggota perusahaan harus mengembangkan pemahaman tentang sistem pengendalian yang
tepat di daerah atau tanggung jawab mereka dan kemudian menentukan apakah mereka
beroperasi dengan benar. Ini disebut sebagai sistem pengendalian internal perusahaan. IIA
mendefinisikan pengendalian sebagai:
Tindakan yang diambil oleh manajemen, direktur dan pihak-pihak lain untuk
mengatur risiko dan meningkatkan kemungkinan yang dapat membangun tujuan yang
akan dicapai. Manajemen berencana, mengatur, dan mengarahkan kinerja adalah
tindakan yang cukup untuk memberikan keyakinan yang memadai bahwa tujuan dan
sasaran akan dicapai.
Manajemen bertanggung jawab membangun dan mengelola pengendalian tersebut,
dan auditor internal menilai efektivitas mereka dan membuat rekomendasi yang sesuai.
3.2
pengendalian internal yang baik. Definisi awal yang pertama datang dari American Institute
Akuntan Publik (AICPA) dan peraturan digunakan oleh Securities and Exchange
Commission AS (SEC) untuk Securities Exchange Act of 1934 memberikan titik awal yang
baik. Meskipun telah ada perubahan selama bertahun-tahun, standar pertama AICPA, yang
disebut Pernyataan Standar Auditing (SAS No 1), menjelaskan praktek pada laporan
keuangan audit eksternal di Amerika Serikat selama bertahun-tahun. SAS mendefinisikan
pengendalian intern sebagai :
Pengendalian internal terdiri dari rencana perusahaan dan semua metode koordinat dan
tindakan yang diambil dengan bisnis untuk melindungi aset-asetnya, memeriksa akurasi dan
keandalan data akuntansi, meningkatkan efisiensi operasional, dan mendorong ketaatan
terhadap kebijakan manajerial yang ditentukan.
AICPA SAS No 1 telah dimodifikasi untuk menambahkan pengendalian administrasi
dan akuntansi ke dalam definisi pengendalian internal dasar. Pengendalian administratif tidak
terbatas pada rencana perusahaan, prosedur dan catatan yang berkaitan dengan keputusan
menuju proses otorisasi manajemen transaksi. Otoritas tersebut adalah fungsi manajemen
langsung yang berhubungan dengan tanggung jawab untuk mencapai tujuan perusahaan dan
merupakan titik awal untuk membangun pengendalian akuntansi dari transaksi.
Pengendalian akuntansi terdiri dari rencana perusahaan dan prosedur dan catatan yang
berkaitan dengan pengamanan aset dan keandalan catatan keuangan dan akibatnya dirancang
untuk memberikan keyakinan memadai bahwa:
1. Transaksi dilaksanakan sesuai dengan otorisasi manajemen umum atau khusus.
2. Transaksi dicatat seperlunya (1) untuk memungkinkan penyusunan laporan keuangan
sesuai dengan prinsip akuntansi yang berlaku umum atau kriteria lain yang berlaku
untuk pernyataan tersebut dan (2) untuk menjaga akuntabilitas untuk aktiva.
3. Akses ke aktiva hanya diperbolehkan sesuai dengan otorisasi manajemen.
4. Mencatat akuntabilitas untuk aktiva dibandingkan dengan aset yang ada pada interval
yang wajar dan tindakan yang tepat diambil sehubungan dengan perbedaan.
(a)
awal pada abad kedua puluh satu, Amerika Serikat mengalami situasi yang sama sekitar 30
tahun yang lalu. Periode 1974-1977 adalah masa gejolak sosial dan politik yang ekstrim di
Amerika Serikat. Serangkaian tindakan ilegal ditemukan pada saat pemilihan presiden AS
tahun 1972, termasuk pembobolan markas Partai Demokrat di kompleks bangunan yang
dikenal sebagai Watergate. Peristiwa tersebut menyebabkan pengunduran diri Presiden
Richard Nixon. Serupa dengan kegagalan Enron, hasil di sini adalah bagian dari FCPA 1977.
Dengan ketentuan yang berlaku bagi hampir semua perusahaan-perusahaan AS
dengan sekuritas SEC-terdaftar, aturan pengendalian internal FCPA itu sangat berdampak
baik auditor internal dan eksternal. FCPA yang dibutuhkan perusahaan-perusahaan ini
menyimpan catatan yang akurat yang mencerminkan transaksi mereka "secara rinci wajar".
FCPA mensyaratkan bahwa perusahaan menerapkan sistem pengendalian internal akuntansi,
cukup untuk memberikan jaminan bahwa setiap transaksi diotorisasi dan dibukukan untuk
memungkinkan penyusunan laporan keuangan sesuai dengan GAAP. Aturan FCPA
menyatakan bahwa akuntabilitas yang harus dipertahankan untuk aset perusahaan, dan akses
kepada mereka hanya diperbolehkan disahkan dengan persediaan fisik secara berkala. Lebih
dari 30 tahun yang lalu, FCPA adalah perangkat aturan yang kuat bagi tata kelola perusahaan.
Karena FCPA, banyak dewan direksi dan komite audit yang kemudian mulai aktif meninjau
pengendalian internal di perusahaan-perusahaan mereka.
(b)
mematuhi ketentuan pengendalian internal FCPA itu. Mengingat ini adalah di akhir 1970-an
dan awal 1980-an, pada saat itu, sebagian besar sistem otomatis adalah proses sekumpulan
kerangka yang berorientasi, dan alat dokumentasi yang tersedia tidak lebih dari contoh
diagram alir.
Ketika diberlakukan pada tahun 1977, FCPA menekankan pentingnya pengendalian
internal yang efektif meskipun tidak ada definisi yang konsisten dari pengendalian internal
pada saat itu. Namun, FCPA meningkatkan pentingnya pengendalian internal, dan ketentuan
antisuap yang berlanjut menjadi sesuatu yang penting. FCPA adalah langkah pertama yang
penting untuk membantu perusahaan untuk berpikir tentang perlunya pengendalian internal
yang efektif, meskipun tidak ada pedoman atau standar atas persyaratan sistem dokumentasi
FCPA itu. Namun demikian, jika ada lebih banyak upaya pemenuhan dokumentasi
pengendalian internal FCPA, kita mungkin pernah memiliki SOx (Sarbanes-Oxley Act adalah
hukum AS yang disahkan pada tahun 2002 untuk meningkatkan proses pemeriksaan laporan
keuangan dan untuk member hak dewan direktur baru, akuntan publik, dan praktik tata kelola
perusahaan lainnya).
3.3
suatu perusahaan yang "cukup disajikan", tidak ada lagi kecukupan pengendalian intern yang
mendukung laporan keuangan yang telah diaudit. FCPA diperlukan perusahaan pelapor untuk
mendokumentasikan pengendalian internal mereka tapi tidak meminta auditor eksternal untuk
membuktikan apakah suatu perusahaan telah memenuhi persyaratan pelaporan pengendalian
internal FCPA itu. SEC kemudian mulai studi tentang kecukupan pengendalian internal dan
menerbitkan serangkaian laporan selama periode 10-tahun untuk lebih mendefinisikan kedua
makna pengendalian internal dan tanggung jawab auditor eksternal untuk melaporkan dalam
pengendalian tersebut.
Pada tahun 1974, AICPA membentuk Komisi tingkat tinggi tentang tanggung jawab
auditor.
Kelompok
ini,
kemudian
yang
lebih
dikenal
sebagai
Komisi
Cohen,
perusahaan melaporkan bahwa pengendalian perusahaan adalah memadahi dan jika auditor
menerima pernyataan mereka dalam laporan pengendalian, auditor eksternal bisa dikritisi
bahkan menghadapi litigasi jika beberapa masalah pengendalian yang signifikan muncul
dikemudian.
The Financial Executives International (FEI) sebuah organisasi profesional, yang terlibat
dalam pelaporan kontroversi pengendalian internal. Sama halnya seperti IIA adalah
perusahaan profesional untuk auditor internal dan AICPA merupakan akuntan publik di
Amerika Serikat, FEI merupakan pejabat keuangan senior perusahaan.
(a)
tingginya inflasi dan tingginya suku bunga yang dihasilkan. Banyak perusahaan melaporkan
laba yang cukup dalam laporan keuangan yang telah diaudit mereka, hanya untuk memikul
keruntuhan keuangan tak lama setelah dirilisnya laporan tersebut. Beberapa kegagalan ini
disebabkan oleh kecurangan pelaporan keuangan, meskipun banyak lainnya yang dakibatkan
oleh inflasi yang tinggi atau masalah ketidakstabilan perusahaan lainnya.
The National Commission on Fraudulent Financial Reporting kemudian disebut
Komisi Treadway setelah nama ketuanya. Tujuan utamanya adalah untuk mengidentifikasi
faktor-faktor penyebab yang memungkinkan kecurangan pada pelaporan keuangan dan untuk
membuat rekomendasi untuk mengurangi insiden. Laporan akhir Komisi Treadway
dikeluarkan pada tahun 1987 dan termasuk rekomendasi kepada manajemen, dewan direksi,
profesi akuntan publik, dan lain-lain. Meskipun tidak mengeluarkan standar, laporan
Treadway sangat penting dalam meningkatkan tingkat kepedulian dan perhatian mengenai
pelaporan pengendalian internal.
3.4
kemudian merilis laporan pengendalian internal, dengan gelar resmi Pengendalian InternIntegrated Framework. Setelah beberapa penyesuaian, final laporan pengendalian internal
COSO dirilis pada bulan September 1992. Meskipun bukan standar wajib, laporan itu
mengusulkan kerangka kerja umum untuk definisi pengendalian internal serta prosedur untuk
mengevaluasi pengendalian mereka. Dalam hanya beberapa, kerangka pengendalian internal
COSO telah menjadi standar yang diakui di seluruh dunia untuk memahami dan membangun
pengendalian internal yang efektif di hampir semua sistem bisnis.
COSO memberikan deskripsi yang sangat baik dari ini konsep multidimensi
pengendalian internal, mendefinisikan pengendalian internal dengan cara ini:
Pengendalian internal adalah suatu proses, dipengaruhi oleh entitas dewan direksi,
manajemen, dan personil lainnya, yang dirancang untuk memberikan keyakinan
memadai tentang pencapaian tujuan dalam kategori berikut:
Efektivitas dan efisiensi operasi
Keandalan pelaporan keuangan
Kepatuhan terhadap hukum dan peraturan yang berlaku
Berdasarkan definisi pengendalian internal ini, COSO menggunakan model tiga
dimensi untuk menggambarkan sistem pengendalian intern dalam suatu perusahaan. Gambar
3.1 menyajikan kerangka kerja pengendalian internal COSO sebagai model tiga dimensi
dengan lima tingkat di sisi menghadap ke depan dan tiga komponen utama dari pengendalian
internal di atas kontrol diagram internal yang pelaporan keuangan, kepatuhan, dan operasimewakili efektivitas dan efisiensi operasi, keandalan pelaporan keuangan, dan kepatuhan
terhadap hukum dan peraturan yang berlaku.
Gambar 3.1
Semua auditor internal hars meningkatkan pemahaman mengenai kerangka
pengendalian internal coso tersebut. Internal auditor selalu membutuhkan untuk melihat
pengendalian internal dalam sudut pandang dari segala sisi dan 3 dimensi.
(a)
Pengendalian Lingkungan
Dasar dari struktur pengendalian internal adalah apa yang COSO sebut sebagai
Ketika lingkungan pengendalian lemah, auditor internal tentunya akan menemukan perhatian
tambahan pada pengendalian internal. Brikut adalah komponen lingkungan pengendalian:
-
Integritas dan nilai etika. Integritas dank nilai etika dalam sebuah perusahaan
merupakan dasar dari elemen lingkungan pengendalian. Nilai- nilai ini sering
didefinisikan oleh pesan yang dikomunikasikan oleh manajer senior. Jika perusahaan
membangun kode etik yang kuat yang menekankan pada integritas dan nilai etika, dan
jika stakeholder menunjukkan untuk menaati kode tersebut, maka semua stakeholder
akan memiliki kepastian bahwa perusahaan mempunyai nilai yang baik.
Semua stakeholder, dan tentunya auditor internal, seharusnya mempunyai pemahaman
yang baik mengenai kode etik dalam perusahannya dan bagaimana kode etik tersebut
diaplikasikan. Kode etik mendeskripsikan aturan untuk perilaku. Manajer senior harus
mengirimkan pesan etis yang tepat di seluruh perusahaan. Insentif dan godaan
bagaimanapun juga akan mengikis pengendalian ionternal. Karyawan dalam sebuah
perusahaan mungkin tergoda untuk melakukan tindakan yang tidak jujur, tidak etis,
atau melakukan tindakan illegal jika perusahaan memeri insentif atau godaan yang
sangat kuat yang memerikan alas an kepada karyawan untuk melakukannya. Contoh :
target perusahaan yang tinggi, target penjualan atau produksi yang tidak realistis. Jika
ada penghargaan yang kuat untuk prestasi tersebut, makan karyawan akan terlibat
dalam praktek curang untuk mencapai tujuan tersebut. Godaan yang dapat mendorong
stakeholder dalam akuntansi yang tidak tepat atau tindakan serupa antara lain:
1. Tidak adanya atau tidak efektifnya pengendalian, seperti pemisahan tugas dalam
area yang sensitif, yang mendorong tindakan pencurian .
2. Desentralisai tinggi yang membuat manajeman puncak menjadi tidak waspada
terhadap tindakan yang dilakukan oleh karyawan tingkat bawah sehingga
kecurangan tidak mudah diketahui.
3. Fungsi internal audit yang lemah, yang tidak mempunyai kemampuan dan otoritas
untuk mendeteksi dan melaporkan tingkah laku yang tidak sesuai.
4. Pinalti untuk tingkah laku yang tidak sesuai yang tidak dipublikasikan
pelatihan yang memadai harus tersedia untuk membantu karyawan tersbu sampai
-
laporan
pengendalian
internal
mendeskripsikan
jawab
utama
untuk
semua
kegiatan
di
dalam
suatu
entitas,
b. Orientasi karyawan baru. Karyawan baru harus diberikan sinyal yang jelas
mengenai system nilai dari perusahaan dan kosekuensi jika tidak mematuhi nilainilai tersebut.
c. Evaluasi, promosi, dan kompensasi. Harus ada program evaluasi kinerja dalam
perusahaan tersebut.
d. Tindakan disiplin. Konsisten dan mengetahui pasti kebijakan mengenai
-
kedisiplinan.
Perspektif pengendalian Lingkungan COSO
Bagan berikut menampilkan pengendalian internal COSO sebagai sebuah pyramid,
dengan pengendalian lingkungan sebagai landasannya.
Dalam bagan ini, komponen informasi dan komunikasi tidak diperlihatkan sebagai
laposan individual namun komponen lain yang meliputi Penilaian Resiko dan lapisan
Pengendalian Kegiatan. Perusahaan yang membangun struktur pengendalian internal yang
kuat akan memberikan perhatian khusus untuk menempatkan sebagai landasan yang kuat.
Tentu saja, auditor internal juga harus menjaga konsep tersebut dalam pikiran mereka ketika
menilai pengendalian internal. Auditor internal merupakan kunci dari landasan ini, namun
komponen lain juga merupakan hal yang penting.
(b)
Penilaian Risiko
Penilaian risiko pengendalian internal COSO harus menjadi harus menjadi proseske
menilaitindakan
apaharus
diambil.
Proses penilaian risiko COSO menempatkan tanggungjawab manajemen untuk
menilai apakah risikop tersebut signifikan, jika dermikian, ambil tindakan yang sesuai.
Pengendalian internal COSO juga menekankan analisis risiko bukan proses teoritis, yang
sering merupakan hal yang sangta penting bagi perusahaan. Kerangka pengendalian internal
COSO menyarankan bahwa risiko harus benar- benar mempertimbangkan tiga perspektif,
antara lain:
- Risiko bisnis yang disebabkan oleh faktor eksternal. Risiko ini termasuk
perkembangan teknologi yang dapat mempengaruhi sifat dan waktu dari riset produk
-
dapat mempengaruhioperasikeseluruhan.
Risiko spesifik tingkat kegiatan. Selain dipertimbangkan dari sisi bisnis secara
keseluruhan, risiko juga harus dipertimbangkan untuk setiap unit bisnis yang
signifikan dan aktivitas kunci, seperti pemasaran, IT, dan keuangan.
(c)
Aktivitas Pengendalian
Aktivitas pengendalian internal merupakan kebijakan dan prosedur yang akan
membantu memastikan bahwa tindakan sudah diidentifikasikan untuk mengatasi risiko yang
dilakukan, mengikuti berbagai kegiatan pengendalian sub proses. Aktivitas pengendalianada
padasemua tingkatan dalamsuatuperusahaan dan, dalam banyak kasus, mungkin tumpang
tindihsatu
sama
lain.
Konsepkegiatan
pengendalian
merupakan
bagian
COSOpengendalian
inimenurut
jenisproses.
bersama-samamembantudalam
internal
Dari
COSO
mengidentifikasiserangkaian
perspektifaudit
membangunpengendalian
internal,
internal
mereka
yang
harus
efektifsecara
keseluruhan.
(i)
Analisis Tingkat Atas. Manajer dan auditor internal, dalam semua tingkatan, harus
menganalisis hasil dari pekerjaan mereka, membandingkan hasil dengan anggaran,
statistic persaingan, dan pengukuran lainnya.
Fungsi lanngsung atau manajemen aktivitas. Manajer pada semua tingkatan harus
menganalisis laporan operasional dari pengendalian sistem mereka dan mengambil
tindakan korektif yang sesuai.
(ii)
komponen penilaian risiko pengendalian internal COSO. Pengendalian internal adalah suatu
proses, dan kontrol yang tepat kegiatan harus dipasang untuk mengatasi risiko yang
teridentifikasi.
KontrolAtasSistem Informasi
Kerangka pengendalian internal COSO menekankan bahwa prosedur pengendalian
diperlukan atas semua TI yang signifikan atau informasi sistem keuangan, operasional, dan
kepatuhan yang terkait. Pengendalian internal COSO memecah pengendalian sistem
informasi ke dalam pengendalian umum dan pengendalian aplikasi. Pengendalian
umumberlaku
untukbanyakfungsisistem
informasiuntukmembantu
memastikanprosedur
Kontrol aplikasi
merujuk pada proses TI tertentu. Pengendalian dalam, program penggajian TI mingguan yang
mencegah setiap karyawan dibayar selama lebih 80 jam dalam satu minggu adalah contoh
dari pengendalian aplikasi.
Kerangka pengendalian internal coso melihat serangkaian pengendalian daerah untuk
mengevaluasi keseluruhan dari pengendalian internal. Pengendalian umum terpusat
mencakup semua sever pusat atau penyimpanan data manajemen, termasuk pekerjaan
perencanaan, databese manajemen, dan bisnis berkesinambungan yang terencana.
Pengendalian ini biasanya merupakan tanggungjawan komputer server atau pusat
pengelolaan penyimpanan. Namun, yang lebih bari lagi dengan sisitem yang lebih modern,
terhubungn satu sama lain melalui jaringan telekomunikasi dan link, pengendalian ini dapat
didistribusikan
ke
sebuah
web.
Dokumen
kerangka
pengendalian
internal
coso
komponan sebagian lapisan, dimulai dengan pengendalian internal lingkungan sebagai dasar.
Model 3.2 Piramida, menggambarkan informasi dan komunikasi sebagai sebuah lapisan
komponen yang tidak horisontal tetapi sisi elemen yang mampu melintasi elemen lain.
Informasi dan komunikasi yang saling terkait, tetapi berbeda komponen pengendalian
internal dengan kerangkanya. Selain sisitem informal dan formal, sistem komunikasi,
perusahaan harus memiliki prosedur efektif untuk berkomunikasi dengan pihak internal dan
eksternal. Informasi dan komunikasi yang mengalir di perusahaan harus dapat dipaami untuk
setiap pengawasan evaluasi internal.
1. Hubungan informasi dan pengendalian internal
Perusahaan membutuhkan informasi pada semua tingkatan untuk mencapai
opersiaonal, keuangan dan kepatuhan di dalam tujuannya. Misalanya, suatu perusahaan
membutuhkan infomasi untuk mempersiapkan laporan keuangan yang disampaikan ke
investor luar, untuk membuat keputusn informasi pasar yang benar harus ada 2 aliran yaitu :
dari tingkat yang tinggi ke tinggat yang rendah dan sebaliknya. pengendalian internal coso
mengambil pendekatan yang luas dengan konsep dari sebuah sisitem informasi dan mengakui
sistem manual, otomatis atau konseptual. Salah satu dari sistem ini dapat menjadi formal
maupun informal. Sistem internal coso itu harus menekankan pentingnya menjaga informasi
dan mendukung sistem yang konsisten secara keseluruhan dengan kebutuhan peusahaan.
Pengendalian internal coso menunjukan bahwa pada perusahaan yang efektif harus mampu
melampaui hali ini untuk melaksanakan sistem yang strategis.
Dengan sebuah sisitem yang strategi, kontrol internal coso menunjukan bahwa
manajemen seharusnya mempertimbangkan perencanaan, desain dan implementasi sistem
informasi sebagai bagian dari strategi usaha secara keseluruhan. Pengendalian internal coso
juga menekankan pentinya mengintegrasikan sisitem informasi secara otomatis dengan
operasi lain. Contoh, dalam sistem manufaktur yang mengendalikan keda prodksi mesun dan
peralatan yang sangat otomatis adalah persediaan atau sistem distribusi yang mampu
mengontrol, melakukan inventasrisasi dan jadwal-jadwal pengiriman. Sistem informasi yang
lemah atau rendag, penuh dengan kesalahan dan kelalaian serta mempengarui kemampuan
manajemen untuk membuat sesuai dengan keputusan. Laporan harus mengandung cukup data
dan informasi untuk mendukung kegiatan pengendalian internal. Untuk menentukan kualitas
informasi, harus memastikan apakah :
Monitoring
Exhibit 3.2 menunjukan dan memantau komponen pengendalian intrnal coso.
Sementara sistem pengendalian internal akan bekerja dengan efektif dengan bantuan dari
manajemen, pengendalian prosedur, informasi dan komuniksi hubungan. Suatu perusahaan
perlu membangun kegiatan monitoring untuk mengukur effectiveness of its internal
control. Melalui pemisahan evaluasi dengan kegiatan yang sedang berlangsung untuk
mengawasi kenerja dan mengambil koretisf kertika diperlukan.
1. Control internal coso memberikan contoh dari pemantauan yang berkelanjutan:
- Manajemen operasi fungsi normal. Tinjauan atas kegiatan manajeman normal dan
laporan keuangan merupakan merupakan sebuah aktivitas yang penting.kontrol
internal. Control internal diperkuat jika laporan yang disusun secara teratur dan
-
sejumlah rincian yang mungkin dihadapi, dan kepada siapa laporan tersebut harus
diarahkan. Pengendalian internal coso menyatakan bahwa semua kekurangan
pengendalian internal dapat mempengaruhi entitas yang mencapai tujuan dan harus
melporkan kepada mereka yang dapat engambil tindakan.
3.5
tujukan pada Exhibir 3.1. dan kerangka tersebut mencakup tida dimensi dari semua kontrol
internal :
Keandalan laporan keuangan
Sesuai dengan peraturan dan ukum yang berlaku
Efektivitas dan efisiensi dari operasi
Dari tiga dimensi di atas, pengendalian internal harus dipasang di semua unti operasi
dan harus termasuk tiga faktor internal kontrol tersebut. Ketiak hal ini dilakukan, auditor
internal memiliki cara pandang yang kuat dari pengendalian internal dan tentu saja sebuah
peraturan yang perspektif. Kerangka pengendalian internal coso harus dipasang di semua
tingkat organisasi unit perusahaan.
3.6
cbok audit internal. Pengendalian internal coso berbeda dari sebuah cbok audit internal yang
perspektif. Kerangka ini menjadi standar di seluru dunia untuk membangun dan
mengevaluasi semua tingkatan pengendalian internal. Semua internal auditor harus
memahami tiga dimensi utnuk melihat dan mengavaluasi
KERANGKA PENGENDALIANINTERNAL LAINNYA : COBIT
Kerangka pengendalian internal dari komite yang mensposori organisasi (COSO)
seperti dibahas di bab 3, telah menjadi standar untuk mengukur dan mengevaluasi mkanisme
internal akutansi dan di kontrol oleh Sarbanes-Oxley (SOX). Namun SOX tidak
mengamanatkan penggunaan coso tetapi hanya menyebutkan untuk memanfaatkan,
memahami dan mengevaluasi pengadalian internal. Beberapa profesinal telah menyampaikan
keprihatinan tentang pengendalain internal coso dan mengkritik hal tersebut karena itu tidak
memberikan cukup penekanan untuk teknologi informasi. Pengendalian internal yang lebih
berorintasi kepada IT disebut pengendalian tujuan utnuk informasi dan terkait dengan
teknologi (cobit) ini berada sebelum sox dan banyak perusahaan yang menggunakan ni ketika
sox manjadi hukum untuk mematuhi prosedur pengendalian internal seperti itu.
Meskipun awalnya diluncurkan sebagai alat untuk membantu komputer pada audiot
internal dan eksternal. Cobit adalah sebuah alat yang sangat membatu untuk mengevaluasi
Sarbane di semua kontrol internal di perusahaan. Hal ini menkankan dan memberikan
bimbingan pada hubungan dengan bisnis lainnya sebagai sumber daya untuk memberikan
bilai secara keseluruhan untuk suatu perusahaan. Bab ini menggambarkan hubungan antara
tujuan kerangka kerja pengendalian internal cobit dan coso untuk digunakan dalam audit
internal.
Introduction to Control objectives for information and related Technology (CobiT)
COBIT adalah singkatan yang semakin diakui oleh auditor dan banyak profesional TI.
COBIT merupakan kerangka pengendalian internal penting yang dapat berdiri sendiri tetapi
merupakan alat pendukung yang penting untuk mendokumentasikan dan memahami COSO
dan SOx pengendalian internal. Meskipun penekanan asli COBIT adalah pada TI, kerangka
telah diperluas. Auditor di banyak perusahaan setidaknya harus memiliki pemahaman tentang
framework COBIT dan penggunaannya sebagai alat untuk mendokumentasikan, mereview,
dan memahami SOx pengendalian internal.
Standar dan kerangka COBIT dikeluarkan dan secara teratur diperbarui oleh IT
Governance Institute (ITGI) yng merupakan bagian dari Information Systems Audit dan
Control Association (ISACA). ISACA adalah lebih fokus pada IT auditing sementara
perhatian ITGI adalah pada penelitian dan proses tata kelola. ISACA juga mengatur
pemeriksaan Informasi Certified Systems Auditor (CISA) dan Certied Information Systems
Manager (CISM). ISACA awalnya dikenal sebagai Asosiasi Electronic Data Processing
Auditor (EDPAA) kelompok profesional yang berdiri pada tahun 1967 oleh auditor internal
yang merasa organisasi profesional mereka yaitu Institute of Internal Auditor (IIA) tidak
memberikan perhatian yang cukup terhadap pentingnya sistem TI dan pengendalian teknologi
sebagai bagian dari kegiatan audit internal. EDP pernah berdiri untuk pengolahan data
elektronik. Organisasi ini memperluas fokus dan menjadi ISACA.
COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan
pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap kontrol,
COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, dan COBIT versi 4
yang lebih mengarah kepada IT governance. Salah satu metode pengelolaan teknologi
informasi yang digunakan secara luas adalah IT governance yang terdapat pada COBIT
(Control Objectives for Information and Related Technology). COBIT berfungsi
mempertemukan semua bisnis kebutuhan kontrol dan isu-isu teknik. Di samping itu, COBIT
juga dirancang agar dapat menjadi alat bantu yang dapat memecahkan permasalahan pada IT
governance dalam memahami dan mengelola resiko serta keuntungan yang behubungan
dengan sumber daya informasi perusahaan.
Menurut IT Governance Institute (ITGI), COBIT (Control Objectives for Information
and Related Technology) merupakan sekumpulan dokumentasi dan panduan yang
mengarahkan pada IT governance yang dapat membantu auditor, manajemen, dan pengguna
(user) untuk menjembatani pemisah antara resiko bisnis, kebutuhan kontrol, dan
permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT governance Institute
(ITGI) yang merupakan bagian dari Information Systems Audit and Control Association
(ISACA).
Tujuan diluncurkannya COBIT adalah untuk mengembangkan, melakukan riset dan
mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to
date untuk digunakan dalam kegiatan bisnis sehari-hari. Cobit mampu menyediakan bahasa
yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di
seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap
corporate governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber
daya yang sedikit meskipun terjadi kondisi ekonomi yang sulit. Fokus utama COBIT adalah
harapan bahwa melalui adopsi COBIT ini perusahaaan akan mampu meningkatkan nilai
tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi
didalamnya.
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:
1.
Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives)
yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition &
2.
3.
c. Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses
(critical success factors) ?
d. Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang
ditentukan?
e. Bagaimana dengan perusahaan lainnya apa yang mereka lakukan?
f. Bagaimana
Anda
mengukur
keberhasilan
dan
bagaimana
pula
membandingkannya.
Fokus Area IT Governance COBIT
Menurut IT Governance Institute, pada tata kelola teknologi informasi terdapat lima
area yang menjadi fokus yaitu keselarasan strategis, penyampaian nilai, manajemen risiko,
manajemen sumber daya, dan pengukuran kinerja.
Area ini membutuhkan kesadaran akan resiko oleh manajemen disemua tingkatan, di
dalam pemahaman tentang risiko perusahaan, standar kepatuhan, dampak dari risiko
yang signifikan bagi perusahaan dan menanamkan tanggung jawab manajemen risiko
dalam perusahaan.
4. Manajemen Sumber Daya (Resource Management)
Fokus area ini berkaitan dengan pengoptimalan investasi di dalam perusahaan dan
pengelolaan yang baik dari sumber daya IT yang penting, yaitu applications,
information, infrastucture dan people. Tata kelola TI yang efektif tergantung pada
optimalisasi pengetahuan dan infrastruktur
5. Pengukuran Kinerja (Performance Measurent)
Fokus dari area ini adalah menelusuri dan memantau implementasi dari strategi,
penyelesaian proyek, penggunaan sumber daya, proses kinerja dan layanan
pengiriman. Mekanisme tata kelola TI harus menerjemahkan strategi ke dalam
implementasi dan pengukuran untuk mencapai tujuan tersebut.
Konsep kerangka kerja Cobit dapat dilihat dari tiga sudut pandang, meliputi :
Sumberdaya TI (IT Resources), Proses TI (IT Processes), Kriteria Informasi (Information
Criteria). Ketiga sudut pandang tersebut digambarkan dalam kubus COBIT sebagai berikut :
melaksanakan,
menyampaikan,
mendukung,
memantau
dan
PO5
PO6
proses
TI, organisasi dan relasi)
: Manage the IT investment (Mengatur investasi TI)
: Communicate management aims and direction (Mengkomunikasikan
sasaran
dan arah manajemen)
PO7
PO8
manusia)
PO9 : Asses and manage IT risks (Menilai dan mengatur resiko)
PO10 : Manage projects (Mengatur proyek)
pelatihan dan
dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk
lingkungan TI. Karena COBIT dirancang beriorientasi bisnis agar bisa digunakan banyak
pihak, tetapi lebih penting lagi adalah sebagai panduan yang komprehensif bagi manajemen
dan pemilik bisnis proses. Kebutuhan bisnis akan tercermin dari adanya kebutuhan informasi.
Dan informasi itu sendiri perlu memenuhi kriteria control tertentu, untuk mencapai tujuan
bisnis.
Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit IT) oleh Internal
Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi,
melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu,
misalnya audit atas proyek IT, dapat dimulai dengan memilih proses yang relevan dari
proses-proses tersebut. Auditor dapat menggunakan Audit Guidelines dengan menerapkan
seluruh domain yang terdapat dalam COBIT, yakni planning-organization (PO), acquisitionimplementation (AI), Delivery-support (DS) dan Monitoring (M) untuk merancang prosedur
audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai
dengan industri, kondisi IT di Perusahaan atau organisasi Anda, atau objek khusus di
lingkungan IT.
c. Kebutuhan bisnis (Business Requirements)
Tujuh persyaratan atau kriteria informasi bisnis, yaitu:
g.
Manfaat CoBit:
Dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang
dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian
teknologi.
Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen
sebagai jembatan antara risiko-risiko IT dengan pengendalian yang dibutuhkan (IT
risk management) dan juga referensi utama yang sangat membantu dalam penerapan
IT Governance di perusahaan.
Ac t
d i tahun
2002
untuk
mengembal ikan
kenyamanan
stakeholder, ada sedikit panduan tentang bagaimana menerapkan dan mengelola kontrol.
SOx mewajibkan eksekutif perusahaan menyatakan pertanggung-jawaban mereka dalam
membangun, mengevaluasi dan memonitor efektifitas system pengendalian intern COBIT
(control objective for information and related technology) yang dapat digunakan sebagai
tools untuk mengefektifkan implementasi IT.
Pada awalnya akan menetapkan beberapa standar tertentu tetapi melupakan
perusahaan dan auditor eksternal mereka sendiri. Banyak perusahaan mengadopsi COBIT,
dengan penekanan berat pada tingkat tinggi kontrol internal yang berorientasi TI, sebagai
kerangka pilihan internal kontrol, dengan menggunakan kerangka COBIT untuk membantu
mencapai SOx kepatuhan.
COBIT merupakan alternatif yang kuat kerangka penilaian pengendalian internal,
khususnya di lingkungan dengan konsentrasi proses TI dan sumber daya. Kontrol intern baik
COSO dan penggunaan kerangka kerja COBIT kubus tiga dimensi untuk menggambarkan
lingkungan pengendalian internal mereka. COBIT dan COSO memiliki sedikit perbedaan
dalam klasifikasi dan terminologi, Ilustrasi 5.8 menunjukkan bagaimana peta kerangka
COBIT ke COSO sebagai Model pengendalian internal. Tujuan utama COBIT, dari
Perencanaan dan Enterprise.
Ilustrasi 5.8
Monitoring dan Evaluasi, dapat digunakan untuk memahami dan mengevaluasi
pengendalian internal melalui lima komponen pengendalian internal COSO itu. Apakah
mempertimbangkan menggunakan, COSO intern kontrol dalam COBIT umum atau auditor
internal harus bergerak melalui proses seri dari perencanaan sampai melakukan penilaian
risiko dan untuk mengidentifikasi, mendokumentasikan, dan mengevaluasi pengendalian
internal kunci.Dengan SOx, peningkatan penekanan pada tata kelola TI, dan pengakuan dari
kekritisan TI dalam keputusan internal kontrol COBIT telah melalui beberapa revisi. COBIT
yang mensponsori IT Governance Institute telah melakukan pekerjaan yang sangat baik
merilis publikasi yang memetakan kerangka kerja COBIT dan standar-standar lainnya.
Ekstrak yang diterbitkan COBIT menunjukkan bagaimana COBIT kontrol utama
obyektif dengan komponen COSO utama pengendalian internal. Link-up hubungan ini
bahkan lebih baik dengan level yang lebih rendah. Misalnya, COBIT tujuan AI6 Mengelola
perubahan,
komponen COSO dari Kontrol Aktivitas dan Pemantauan. Tujuan pengendalian rinci COBIT
dipublikasikan untuk masing-masing komponen COSO. Ada hubungan yang erat antara
COBIT dan tujuan pengendalian dan komponen COSO. Set lengkap kontrol tujuan bahan
COBIT menyediakan dukungan yang kuat untuk internal auditor melakukan SOx Pasal 404
kontrol tinjauan penilaian internal.Sementara konsep ini dapat digunakan pada setiap bidang
pengendalian internal, yang penekanannya adalah pada aplikasi dan proses IT. Bagi banyak
perusahaan,dari pemahaman dan penilaian kontrol TI internal adalah kunci untuk mencapai
SOx kepatuhan.
Pedoman Kerangka COBIT
Kerangka COBIT memberikan panduan untuk menetapkan internal kontrol yang
efektif dengan penekanan pada sumber daya TI, ITGI pada tahun 2008 dirilis dan Jaminan
Informasi teknologi Framework (ITAF), model-praktek pengaturan yang baik untuk
memberikan bimbingan pada desain, pelaksanaan, dan pelaporan IT audit dan jaminan tugas.
Tujuan dari pedoman COBIT-terkait untuk menetapkan standar untuk Audit dan jaminan TI
peran profesional dan tanggung jawab, pengetahuan dan keterampilan, dan ketekunan,
perilaku dan persyaratan pelaporan. Referensi yang menyatakan:
Internal audit adalah, jaminan independen objektif dan aktivitas konsultasi yang
dirancang untuk menambah nilai dan meningkatkan operasi organisasi. Ini membantu
organisasi mencapai tujuannya dengan membawa pendekatan yang sistematis dan disiplin
untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan tata
kelola processes. Jaminan tersebut mencakup semua bentuk internal audit, risiko manajemen,
dan kepatuhan jasa. Pedoman COBIT mencakup berbagai ulasan yang dilakukan oleh auditor
internal. Suatu tujuan keseluruhan dari ITAF adalah untuk mendefinisikan satu set standar
untuk membantu memastikan kualitas, konsistensi, dan keandalan penilaian TI, berdasarkan
pedoman praktek-pengaturan dan prosedur.
Perspektif COBIT
Apakah semua spesialis operasional, keuangan,IT, dan auditor internal harus memiliki
setidaknya pemahaman CBOK tingkat tinggi atau kerangka COBIT yang berguna untuk
menilai pengendalian internal TI secara lebih berorientasi lingkungan. Keputusan untuk
menggunakan COBIT dalam audit internal yang tidak harus menjadi satu atau keputusan
tingkat audit individu. Sebaliknya, audit internal harus melatih anggota kunci dari tim audit
atas penggunaan COBIT, kemudian mencoba menggunakannya untuk menilai pengendalian
internal pada beberapa audit lainnya yang sedang dikembangkan dan didokumentasikan
menggunakan teknik audit internal. Bagi banyak perusahaan, COBIT akan menawarkan
beberapa proses perbaikan audit berkelanjutan. Penerapan pertama harus dibicarakan dengan
komite audit untuk menjelaskan alasan untuk mengubah pendekatan audit internal. Jika suatu
Perusahaan bergantung pada sistem dan proses TI, langkah menggunakan COBIT tampaknya
baik Namun, audit internal tidak harus memiliki IT spesialis audit internal yang
menggunakan proses penilaian COBIT karena audit internal dapat menggunakan standar
audit internal operasional / keuangan.
COBIT adalah kerangka intern kontrol dan alat evaluasi untuk menilai pengendalian
internal. Halangan terbesar penggunaan audit internal untuk secara keseluruhan adalah bahwa
COBIT awalnya dibangun sebagai alat audit TI. Meskipun pindah dari ISACA ke sponsor
ITGI memperluas daya tariknya dan memiliki fokus yang diterbitkan COBIT. Kekuatan
sebenarnya dari COBIT adalah berfokus pada tata kelola TI, seperti yang dijelaskan dalam
Lampiran 5.1. Bagan yang menggambarkan pentingnya aliansi strategis bisnis dan sumber
daya TI dengan nilai pengiriman, manajemen sumber daya, manajemen risiko, dan kinerja
proses pengukuran. Kelima sumber daya ini memungkinkan perusahaan untuk membangun
tata kelola TI yang efektif, dan COBIT akan membantu dalam mengelola dan memahami
konsep. Diharapkan standar COBIT diterbitkan dalam praktek untuk terus diperluas dan
hanya melampaui konsep khusus "Pengauditan IT". Semua auditor internal harus memiliki
pemahaman CBOK dari COBIT dan belajar untuk menggunakan serta memahami kerangka
penilaian pengendalian internal.
DAFTAR REFERENSI
http://billymerkava.blogspot.com/2013/01/apa-yang-anda-ketahui-mengenaicobit.html
http://id.scribd.com/doc/19760352/IT-Governance-Dengan-COBIT-Framework