Escolar Documentos
Profissional Documentos
Cultura Documentos
ASSESMENT
Disusun oleh:
PPA XXIX
UNIVERSITAS DIPONEGORO
2018
LATAR BELAKANG
RELEVANSI
Elemen
Kerangka Terpadu COSO mengidentifikasi lima komponen pengendalian
internal. Sebagai kerangka kerja terpadu, prosedur ini dimaksudkan untuk
diintegrasikan dengan operasi bisnis yang sedang berlangsung, tidak hanya
berfungsi sebagai lapisan diskrit di atas organisasi. Agar organisasi dapat mencapai
pengendalian internal yang efektif, kelima lapisan harus hadir dan berfungsi.
Kelemahan pada satu atau lebih komponen akan menurunkan keefektifan sistem.
Kelima elemen pengendalian internal adalah:
1. Kontrol lingkungan
2. Informasi dan komunikasi
3. Penilaian risiko
4. Prosedur pengendalian
5. Monitoring
Perhatikan bahwa komponen ini mencakup kedua faktor keras, seperti
prosedur dan sistem, serta faktor lunak, seperti praktik budaya dan komunikasi.
Untuk alasan ini, implementasi Kerangka Terpadu menjadi sebuah organisasi
adalah proses yang panjang yang melibatkan perubahan organisasi dan perancangan
ulang.
Lingkungan pengendalian
Lingkungan pengendalian merupakan fondasi bagi sistem pengendalian
internal dalam suatu organisasi. Hal ini paling sering diidentifikasi sebagai nada
manajemen di atas, namun lingkungan kontrol juga mencakup faktor-faktor yang
memperkuat elemen lain dari sistem pengendalian internal. Kontrol lingkungan
juga mendefinisikan budaya pengendalian organisasi; ini memperkuat perilaku
yang sesuai dengan tidak adanya kebijakan dan prosedur yang ditetapkan mengenai
situasi tertentu. Intinya, lingkungan kontrol adalah ekspresi hidup dari kode moral
organisasi.
Banyak kegagalan pelaporan keuangan perusahaan utama di awal tahun
2000an disebabkan oleh lingkungan kontrol yang buruk. Manajemen memilih
untuk mengesampingkan pengendalian internal, mengabaikan prinsip akuntansi
generallya ccepted (GAAP), dan melanggar tugas mereka untuk pelaporan
keuangan yang akurat. Masalah ini bukan disebabkan oleh kurangnya prosedur
terdokumentasi, kurangnya komunikasi, atau kurangnya pemantauan, walaupun
kelemahan di daerah ini berkontribusi terhadap penundaan dalam mendeteksi salah
saji. Sebaliknya, kegagalan ini adalah hasil dari orang yang salah yang bertanggung
jawab atas perusahaan besar pada waktu yang salah.
Bahkan dengan persyaratan pengawasan baru Sarbanes-Oxley, manajemen
menggantikan internal kontrol masih menjadi perhatian utama profesi akuntansi
dan regulator. Intinya, anggota manajemen yang merancang dan menerapkan
prosedur pengendalian internal juga dapat memilih untuk memotong atau
mengganti kontrol tersebut. AICPA mengacu pada situasi ini sebagai Achilles
Heels pada pelaporan keuangan. Poin ini menyoroti pentingnya lingkungan
pengendalian di setiap organisasi: Meskipun ada sistem pengendalian internal
lainnya yang ada di dalam sebuah organisasi, pada akhirnya, manajemen yang
benar-benar percaya bahwa penting menjalankan tugas dengan rasa kepatutan
seringkali merupakan pembeda antara integritas dan kecurangan.
Segitiga penipuan mendefinisikan tiga faktor yang ada dalam situasi
kecurangan (motif / insentif, rasionalisasi / sikap, peluang); lingkungan kontrol
yang tepat dan budaya pengendalian positif penting untuk membantu mengurangi
motif kecurangan dan menghalangi rasionalisasi perilaku yang tidak tepat.
Pertimbangan dewan
Manajemen bertanggung jawab atas definisi sistem pengendalian internal,
dan dewan pengurus bertanggung jawab untuk memastikan manajemen secara
efektif melaksanakan tugas tersebut. Sarbanes-Oxley didefinisikan standar baru
untuk komite audit perusahaan publik; standar ini dengan cepat menjadi standar
praktik terbaik untuk organisasi lain juga. Agar efektif, anggota Komite audit harus
memenuhi syarat dan independen dari organisasi. Komite Audit anggota harus
berpengalaman dengan standar industri untuk organisasi, GAAP, dan organisasi
tujuan dan prosedur internal. Kemandirian sangat penting untuk memungkinkan
dewan direksi anggota untuk menantang manajemen dan memberikan panduan
yang tepat jika manajemen hadir informasi yang tidak sesuai dengan harapan dewan
direksi.
Dewan juga bertanggung jawab untuk mengumpulkan dan menyelesaikan
masalah yang dipresentasikan oleh karyawan organisasi terkait dengan prosedur
dan manajemen akuntansi yang tidak tepat tindakan. Dengan cara ini, karyawan
memantau perilaku manajemen, namun lingkungan pengendalian harus sedemikian
rupa sehingga karyawan benar-benar akan melaporkan temuan mereka ke dewan
untuk bertindak. Dewan adalah tingkat teratas dari proses pemantauan dan,
karenanya, harus Memenuhi syarat dan independen untuk memantau masalah
organisasi, serta untuk mandiri memantau tindakan manajemen.
Buka Komunikasi
Komunikasi terbuka adalah salah satu keunggulan lingkungan kontrol yang
berfungsi dengan baik dan merupakan pendorong utama moral karyawan juga.
Karyawan harus merasa diberdayakan untuk meningkatkan kesadaran akan risiko,
melaporkan sebuah isu, menawarkan saran untuk memperbaiki kualitas proses
(proses keuangan atau lainnya), atau umumnya mengungkapkan kekhawatiran. Jika
komunikasi terbuka semacam itu ditekan, karyawan dapat merasakan kebencian
terhadap manajemen atau perusahaan atau merasa bahwa manajemen benar-benar
tidak peduli dengan pengoperasian proses bisnis yang tepat.
Di bawah Sarbanes-Oxley Section 301, pelaporan anonim diperlukan untuk
emiten laporan keuangan: "Setiap komite audit harus membuat prosedur untuk. . .
rahasia, penyerahan anonim oleh karyawan penerbit masalah terkait masalah
akuntansi atau audit yang patut dipertanyakan. "10 Kebutuhan akan pelaporan
kasus secara rahasia mengindikasikan, bagaimanapun, komunikasi terbuka tidak
didorong dalam sebuah organisasi, dan lingkungan kontrol tidak berfungsi seperti
yang diharapkan. Fasilitas pelaporan anonim diperlukan karena ruam perwira
senior perusahaan publik yang dengan sengaja menyimpangkan laporan keuangan.
Tidak realistis untuk percaya bahwa komunikasi terbuka akan diterima di
lingkungan seperti itu.
Bahkan di luar peran di perusahaan publik, sistem pelaporan rahasia
mengurangi kerugian penipuan secara signifikan. Proses penyampaian dan evaluasi
pelaporan rahasia harus diperluas untuk mencakup sumber pihak ketiga seperti
pelanggan dan vendor, terutama di usaha kecil, yang paling terpukul oleh
kecurangan.11 Tip adalah cara yang sangat umum bahwa penipuan akhirnya
ditemukan, dan fasilitas anonim adalah sarana untuk memungkinkan manajemen
mendapatkan tip sebanyak mungkin. Selain itu, keberadaan saluran pelaporan
rahasia mengirimkan pesan yang jelas bahwa kecurangan dapat dilaporkan dengan
mudah ke manajemen, dan oleh karena itu, pelaku berisiko lebih besar melakukan
intervensi setelah ditemukan.
Agar sukses, fasilitas pelaporan anonim perlu didukung dengan prosedur
yang jelas untuk jenis kekhawatiran apa yang harus dilaporkan dan bagaimana
melaporkannya. Panduan ini harus disosialisasikan baik secara internal untuk
karyawan dan secara eksternal kepada vendor dan pemasok. Hal ini selanjutnya
dijelaskan di bagian "Konflik Kepentingan dan Kepatuhan" di awal bab ini.
Komunikasi karyawan terbuka mendukung tujuan organisasi lainnya selain
pencegahan penipuan. Sebagai contoh, landasan teori kualitas adalah bahwa
karyawan bertanggung jawab secara individual untuk keluaran proses, dan faktor-
faktor yang secara negatif membatasi bahwa output harus ditingkatkan ke
manajemen. Divisi Saturn Motor General Corporation pernah menampilkan sebuah
iklan yang menggambarkan seorang karyawan pada hari kerja pertamanya yang
menemukan cacat dalam produksi dan menarik kabelnya untuk hentikan garis dan
beri tahu manajemen Dalam komersial, karyawan dipuji karena ketekunannya dan
perilaku itu diperkuat. Komersial ini memperkuat kunci lain teori kualitas:
Tindakan korektif lebih murah bila terdeteksi di awal proses. Hal ini berlaku untuk
penipuan Pencegahan juga: Pencegahan penipuan jauh lebih murah daripada
remediasi; deteksi dini adalah jauh lebih murah daripada membiarkan penipuan
terus berlanjut dalam basis jangka panjang. Komunikasi terbuka adalah sebuah
enabler untuk pencegahan penipuan karena memungkinkan organisasi untuk
mengemukakan kekhawatiran kepada manajemen lebih mudah.
Risk Assesment
Penilaian risiko adalah survei berwawasan ke depan mengenai lingkungan
bisnis untuk mengidentifikasi apapun yang bisa mencegah tercapainya tujuan
organisasi. Karena berkaitan dengan pencegahan penipuan, Penilaian risiko
melibatkan identifikasi sarana internal dan eksternal yang bisa berpotensi
mengalahkan struktur pengendalian internal organisasi, membahayakan aset, dan
menyembunyikan tindakan dari manajemen Penilaian risiko adalah proses kreatif;
itu melibatkan identifikasi sebagai potensi ancaman sebanyak mungkin dan
evaluasilah dengan cara menentukan yang membutuhkan tindakan, dan prioritas
tindakan tersebut.
Idealnya, kegiatan penilaian risiko dilakukan secara terus menerus, oleh
semua karyawan dalam organisasi Sebagai risiko diidentifikasi, mereka diangkat ke
tingkat yang sesuai manajemen untuk dipertimbangkan Jenis budaya penilaian
risiko ini menjadi bagian dari kontrol lingkungan Hidup. Dalam kebanyakan kasus,
dan biasanya untuk risiko strategis, proses penilaian risiko dilakukan secara
interval, biasanya sekali per tahun.
Identifikasi resiko
Identifikasi risiko berusaha untuk mengidentifikasi ancaman sebanyak
mungkin tanpa melakukan evaluasi terhadap ancaman tersebut. Ini secara alami
mendorong proses untuk memasukkan sebanyak mungkin individu dari organisasi
mungkin, terutama termasuk yang memiliki informasi detail spesifik tentang yang
spesifik area risiko sedang dipertimbangkan Misalnya, penilaian risiko strategis
akan melibatkan manajemen senior, orang keuangan senior, dan area perencanaan
strategis. Penilaian risiko operasional termasuk dari unit operasi karena mereka
memiliki wawasan yang luar biasa bagaimana proses bisnis benar-benar bekerja
dan khususnya ancaman apa yang akan mengganggu pencapaian tujuan bisnis.
Untuk memudahkan proses identifikasi risiko, kerangka risiko dapat
membantu memberikan tambahan panduan untuk peserta penilaian risiko dan
membantu mengatur ancaman yang teridentifikasi. Itu kerangka kerja dapat
mengatur kategori risiko dan risiko spesifik berdasarkan elemen struktural
(misalnya, strategi, orang, proses, teknologi, data), atau oleh proses bisnis (mis.,
siklus pendapatan, pencairan siklus, manajemen kas dan treasury, pelaporan
keuangan, operasi).
Kerangka risiko harus mempertimbangkan faktor internal dan eksternal;
tugas beresiko peserta harus diingatkan dan didorong untuk mengidentifikasi
ancaman dari kedua faktor tersebut.
Faktor internal:
● Metode komunikasi
● Aktivitas penilaian risiko
● Ketepatan kegiatan pengendalian internal
● Hubungan buruh
● Pelatihan dan kemampuan karyawan
● Tingkat pengawasan karyawan
Faktor eksternal:
● Perubahan peraturan
● Kompetisi industri
● Hubungan dengan pemasok utama
● Hubungan dengan pelanggan
● Perekrutan dan perekrutan
● Risiko internasional
Selain itu, adalah tepat untuk mempertimbangkan evaluasi evaluasi kegiatan
penilaian risiko: memeriksa risiko yang dialami yang tidak diidentifikasi dalam
penilaian risiko sebelumnya. Itu Risiko diperiksa untuk melihat apakah tidak
diidentifikasi, dan jika tidak, mengapa tidak, atau jika memang diidentifikasi namun
dievaluasi sebagai item berisiko rendah. Dalam kedua kasus tersebut, pengamatan
harus dilakukan untuk memperbaiki proses penilaian risiko untuk iterasi masa
depan.
Evaluasi Resiko
Tujuan dari evaluasi risiko adalah untuk memberikan penilaian risiko yang
obyektif dan independen menghadapi organisasi Setiap item risiko yang
teridentifikasi dievaluasi, umumnya oleh skala dua faktor dampak dan
kemungkinan:
o Dampak Efeknya berisiko terhadap tujuan organisasi jika memang
demikian untuk benar-benar terjadi.
o Kemungkinan. Kemungkinan resiko itu akan benar-benar terjadi.
Dengan memaparkan evaluasi item risiko pada skala dua faktor ini, dengan
asal usul grafik menjadi rendah dampak dan kemungkinan rendah, item dengan
prioritas lebih tinggi (yaitu item dengan tinggi impact dan high likelihood ratings)
akan grafik di kuadran kanan atas. Resiko dapat dievaluasi pada tingkat risiko
inheren atau residual, dan ini adalah item perdebatan di antara praktisi penilaian
risiko.
Risiko yang melekat adalah risiko yang ada sebelum kontrol diterapkan
untuk mengurangi hal tersebut risiko.
Resiko sisa adalah risiko yang masih ada setelah semua kegiatan
pengendalian dijalankan.
Mengevaluasi risiko inheren akan cenderung mengevaluasi semua item
sebagai dampak tinggi dan kemungkinan tinggi risiko (yaitu, karena tidak ada
pertimbangan kontrol), sehingga mencegah segala jenis prioritas dari item risiko
Mengevaluasi risiko residual adalah mengevaluasi aktivitas pengendalian yang
mungkin dilakukan atau mungkin tidak efektif; sebuah risiko dapat diabaikan
karena evaluator bergantung pada internal kontrol yang sebenarnya tidak berfungsi.
Untuk itulah, banyak kegiatan penilaian risiko mengevaluasi risiko residual dan
mengidentifikasi kontrol kunci untuk mencapai dampak dan kemungkinan yang
lebih rendah skor, dan kemudian memverifikasi bahwa kontrol tersebut memang
ada pada tempatnya dan berfungsi. Tidak mengherankan, Kegiatan pengendalian
preventif cenderung mengurangi kemungkinan terjadinya risiko, sementara
Detektif dan kontrol korektif akan cenderung mengurangi dampak terjadinya risiko.
Prosedur Pengendalian
Prosedur pengendalian, walaupun hanya satu dari lima elemen pengendalian
internal yang didefinisikan dalam Kerangka kerja terpadu COSO, adalah elemen
yang biasanya diidentifikasi dengan kontrol "pengendalian internal" Prosedur
adalah kebijakan, prosedur, dan panduan terdokumentasi yang mengarahkan
karyawan melalui proses bisnis yang sedang berlangsung. Prosedur pengendalian
juga prima area fokus untuk keterlibatan pencegahan penipuan; jika prosedur
pengendalian tidak didefinisikan secara memadai dan secara konsisten ditegakkan
di dalam organisasi, kesempatan untuk penipuan diperkenalkan. Namun, mereka
harus dipertimbangkan dalam fungsi keseluruhan sistem pengendalian internal.
Sebagai contoh, tidak ada gunanya memiliki seperangkat prosedur pengendalian
yang ditetapkan dengan baik bimbingan yang sangat baik bagi karyawan dalam
menjalankan pekerjaan mereka namun tidak memiliki kontrol pemantauan dasar
untuk memastikan bahwa panduan diikuti secara konsisten.
Prosedur pengendalian menentukan proses bisnis dan mencerminkan cara-
cara yang disetujui oleh manajemen untuk menyelesaikan setiap tugas kritis.
Prosedur terdokumentasi bersifat statis, namun proses bisnisnya fungsi terus-
menerus, dan sering perlu berubah untuk mencerminkan tujuan manajemen baru,
peluang, dan risiko bisnis. Untuk alasan ini, proses manajemen perubahan harus
dilakukan untuk mengidentifikasi dan mengesahkan perubahan yang diperlukan
dan memperbarui dokumentasi yang dapat diterima prosedur secara reguler, jika
tidak terus menerus, dasar. Ini adalah elemen yang sangat penting prosedur
pengendalian untuk perusahaan tersebut diwajibkan untuk melaporkan status
pengendalian internal di bawah Sarbanes-Oxley Bagian 404. Di perusahaan
semacam itu, perubahan informal terhadap prosedur tanpa memperbarui prosedur
pengendalian yang disetujui dapat menyebabkan pelanggaran pelaporan.
Pemisahan Tugas
Aspek penyembunyian penipuan biasanya ditanggulangi melalui penugasan
tugas pisahkan fungsi kustodianship (yaitu orang yang mengendalikan aset) dari
pencatatan fungsi (yaitu, orang yang bertanggung jawab atas catatan aset).
Meskipun ini penting Aspek prosedur pengendaliannya, itu hanya salah satu dari
beberapa elemen yang harus diperhatikan.
Yang lebih penting daripada pemisahan prosedur sebenarnya adalah proses
berpikir bahwa manajemen pergi untuk menugaskan prosedur dengan tepat.
Diharapkan mereka teridentifikasi berharga aset dan fungsi pencatatan yang terkait
dan dianggap sebagai skema yang berbahaya karyawan bisa menggunakan
kompromi aset dan menyembunyikan tindakan itu. Kemudian dipersenjatai dengan
informasi itu, Mereka secara metodis menugaskan tugas untuk mengurangi risiko
kerugian. Proses ini, bagaimanapun, seharusnya tidak menjadi acara satu kali.
Pelaku penipuan sangat pandai dalam hal mengalahkan prosedur pengendalian, dan
manajemen perlu tetap rajin terhadap ancaman dan perancangan ulang yang baru
kontrol prosedur yang tepat. Penugasan tugas untuk memisahkan fungsi yang tidak
sesuai, sedangkan aspek kontrol yang penting, memiliki keterbatasan yang melekat
yang harus dipahami dalam keseluruhan konteks sistem kontrol internal.
Pemisahan fungsi kustodian dan pencatatan umumnya tidak efektif mencegah
kecurangan kolusi Sebagai contoh, adalah umum untuk memisahkan fungsi
produksi cek (kustodianship) dari proses rekonsiliasi bank (pencatatan), namun jika
keduanya individu yang bertanggung jawab atas fungsi memutuskan untuk bekerja
sama untuk menghapus aset dan menyembunyikan Tindakannya, struktur kontrol
bisa dikalahkan. Dalam banyak kasus seperti ini, pemisahan yang jelas Tugas
menciptakan rasa aman palsu bahwa semuanya harus bekerja dengan benar.
Prosedur pemantauan tambahan harus diterapkan agar manajemen memastikan
semua itu Transaksi yang diproses sesuai meskipun terjadi kecurangan kolusi.
Organisasi kecil memiliki batas alam dengan tugas tugas: Tidak mungkin
untuk memisahkan fungsi kustodianasi dan pencatatan karena jumlahnya terbatas
personil. Tidak selalu mungkin untuk hanya mempekerjakan personil tambahan
untuk mencapai yang lebih besar kontrol, dan praktisi pencegahan kecurangan
harus sangat berhati-hati jika membuat rekomendasi ini ke manajemen Dalam kasus
ini, manajemen harus memahami tambahannya eksposur potensial yang diizinkan
oleh tugas yang tidak sesuai dan mengembangkan tambahan prosedur pemantauan
untuk memastikan transaksi diproses dengan benar. Misalnya kecil organisasi
mungkin memiliki satu pemegang buku yang bertanggung jawab atas persiapan
pemeriksaan dan rekonsiliasi rekening bank. Tidak ada orang yang memenuhi
syarat yang dipekerjakan yang dapat berasumsi salah satu dari tugas ini Dalam hal
ini manajemen harus mengerti bahwa ia harus mengembangkan tambahan prosedur
pengendalian untuk mengawasi situasi. Misalnya, manajemen dalam hal ini harus
langsung menerima pernyataan bank, meninjau kembali pernyataan untuk
mencurigakan, periksa dibatalkan memeriksa atau memeriksa gambar, dan
kemudian memberikan pernyataan tersebut kepada pemegang buku untuk
rekonsiliasi. Dalam kasus ini, meskipun pembukuan melakukan rekonsiliasi,
manajemen sedang melakukan sebuah tinjauan tingkat tinggi untuk membantu
memastikan tidak ada transaksi yang tidak tepat.
Di banyak organisasi, sistem komputer mengendalikan kemampuan aktual
karyawan untuk memprosesnya transaksi terlepas dari apa yang didokumentasikan
dalam prosedur tertulis. Intinya, sistem ini menegakkannya pemisahan tugas yang
tidak sesuai dan harus dijaga dengan prosedur keamanan yang sesuai untuk
memastikan tujuan pengelolaan terpenuhi. Misalnya, jika seorang karyawan
berubah posisi dalam organisasi, otoritas lama mereka harus dihapus sebagai
otoritas baru sudah ditambahkan. Prosedur keamanan untuk memastikan pihak
berwenang dipelihara sangat penting untuk memastikan karyawan hanya dapat
melakukan prosedur manajemen yang berwenang.
Selain itu, pemisahan fungsi pencatatan dan kustodianasi mungkin tidak
terjadi di lingkungan kontrol optimal. Pertimbangkan pemisahan persiapan cek dan
fungsi rekonsiliasi bank. Manajemen dapat memutuskan untuk menetapkan fungsi
rekonsiliasi untuk petugas yang tidak ada hubungannya dengan cek produksi.
Namun, mengingat situasi ini, kemungkinan besar rekonsiliasi yang akan disiapkan
hanya akan menjadi rekonsiliasi "tick-and-tie" sebagai Petugas akan memiliki
sedikit pengetahuan untuk menantang transaksi yang diberikan. Rekonsiliasi
semacam itu diproduksi oleh sistem otomatis: Jika nomor cek dan jumlahnya sama,
itemnya akan cocok dan rekonsiliasi secara otomatis. Dalam situasi tertentu,
prosedur pengendalian lebih efektif akan memungkinkan orang yang menyiapkan
cek untuk mendamaikan akun, dan menyediakannya pengawasan manajemen
tambahan terhadap proses rekonsiliasi melalui pemantauan tambahan Prosedur.
Prosedur yang Tepat untuk Tingkat dan Personil
Kerugian terkait fraud terkait langsung dengan posisi pelaku. Penipuan oleh
pemiliknya atau eksekutif senior sebuah organisasi menyebabkan kerugian 6 kali
lebih besar daripada penipuan yang dilakukan oleh manajer, dan 14 kali lebih besar
daripada penipuan yang dilakukan oleh karyawan.16 Ini karena lebih banyak
Orang-orang senior dalam organisasi memiliki kemampuan untuk mengarahkan
bawahan dan mengganti internal prosedur pengendalian; dan mereka juga memiliki
kemampuan untuk mengendalikan hubungan besar, seperti dengan bank dan
akuntan eksternal. Kemampuan untuk melakukan kecurangan dalam jumlah besar
juga bisa terjadi ketika manajemen mendefinisikan prosedur pengendalian yang
mendelegasikan terlalu banyak kontrol untuk menurunkan tingkat organisasi.
Manajemen, terutama di organisasi kecil, harus hati-hati untuk mempertahankan
kontrol atas proses kunci, termasuk otoritas transfer kawat, persetujuan vendor
baru, hubungan bank, dan hubungan dengan penasehat eksternal, termasuk akuntan
dan pengacara.
Prosedur pengendalian juga perlu didefinisikan dengan benar untuk
kualifikasi karyawan dalam organisasi Bagi perusahaan kecil, jika manajemen
memberi kepercayaan yang tidak semestinya pada pekerjaan itu staf akuntansi yang
tidak memenuhi syarat, catatan akuntansi yang buruk, rekonsiliasi yang tidak benar,
dan Keputusan bisnis yang buruk bisa terjadi. Akhirnya hal ini bisa mengganggu
pelaporan dan hubungan pajak dengan bank atau investor, dan bisa mencegah
perencanaan keuangan usaha yang sesuai pemilik. Bagi perusahaan publik,
risikonya lebih besar lagi.
Jika manajemen mengharapkan karyawan untuk membuat keputusan terkait
dengan akuntansi yang kompleks dan Masalah bisnis-misalnya, interpretasi GAAP-
ia harus berinvestasi secara tepat individu. Bagian 13A dari Exchange Act
mewajibkan emiten untuk mengajukan aplikasi tahunan dan kuartalan laporan
dengan SEC; Ini mewujudkan persyaratan bahwa laporan tersebut benar. Emiten
harus merancang dan menerapkan pengendalian internal untuk memastikan bahwa
transaksi dicatat seperlunya untuk memungkinkan penyusunan laporan keuangan
sesuai dengan GAAP dan untuk menjaga akuntabilitas aset. Persyaratan ini meliputi
pemeliharaan yang sesuai dan terlatih staf untuk melakukan tugas yang diperlukan
untuk mencatat transaksi tersebut dan menyiapkan laporan keuangan. SEC
memberlakukan proses berhenti-dan-berhenti melawan Cummins, Inc., untuk
keuangan melaporkan kekurangan. Temuan dari SEC termasuk:
Antara lain, Cummins gagal mempekerjakan dan melatih personil yang
berkualifikasi di Fridley dan Departemen keuangan Darlington dan gagal memiliki
sistem pengendalian internal yang memadai untuk dipantau proses rekonsiliasi
akun.
Mempertahankan karyawan yang kompeten dan terlatih juga merupakan
bagian penting dari proses pemantauan. Karyawan harus berpengalaman dengan
prosedur pengendalian yang disetujui dan dapat memahami dampak potensial dari
penyimpangan dari prosedur tersebut untuk memahami dan menantang
penyangkalan manajemen potensial dari sistem pengendalian internal. Dalam
banyak kasus di mana kecurangan dilakukan, manajemen dengan sengaja
mempekerjakan personil yang tidak memenuhi syarat dan dengan sengaja gagal
mendokumentasikan prosedur pengendalian yang jelas sehingga sangat mudah
untuk menginstruksikan karyawannya untuk melakukan tindakan yang tidak
pantas, sehingga memudahkan kecurangan.
Tujuan Pengendalian
Proses bisnis bervariasi dari satu organisasi ke organisasi lain berdasarkan
ukuran, sumber daya, dan tujuan organisasi itu Demikian juga, prosedur
pengendalian perlu diubah juga. Tujuan kontrol - tujuan yang prosedurnya
dirancang untuk dicapai - cukup konsisten dari organisasi ke organisasi. Misalnya,
tujuan pengendalian yang penting adalah memastikan hal itu faktur vendor hanya
dibayar sekali, atau, dengan kata lain, faktur duplikat dikenali dan tidak dibayar. Di
banyak perusahaan besar, sistem hutang merupakan kontrol utama; sistem
memeriksa nomor vendor, nomor faktur, tanggal faktur, dan jumlah faktur terhadap
yang berbayar file sejarah, dan duplikat diidentifikasi. Di organisasi yang lebih
kecil, dengan akun manual sistem hutang, petugas toko menarik berkas kertas yang
berisi faktur sebelum membayar dan memeriksa fakturnya terhadap tagihan
sebelum bayar. Dalam setiap kasus, tujuan pengendalian "pembayaran duplikat
adalah dihindari "dipenuhi, namun dengan prosedur pengendalian yang sama sekali
berbeda.
Lapisan umum tujuan pengendalian memungkinkan penasehat profesional,
termasuk pencegahan kecurangan analis dan atasan auditor, untuk secara konsisten
mengevaluasi prosedur pengendalian secara beragam organisasi. Begitu penasehat
menjadi terbiasa dengan tujuan pengendalian untuk proses tertentu, adalah mungkin
untuk menilai sejauh mana prosedur pengendalian yang diimplementasikan
mencapai kontrol objektif. Untuk tujuan audit laporan keuangan, auditor secara
khusus berfokus pada mengendalikan tujuan yang mendukung pernyataan
manajemen atas laporan keuangan juga sebagai tujuan audit transaksi dan
keseimbangan.
Penegasan Manajemen
1. Keberadaan
2. Kelengkapan
3. Penilaian dan alokasi
4. Kewajiban dan hak
5. Presentasi dan pengungkapan
Evaluasi Kontrol
Tujuan evaluasi kontrol adalah untuk menentukan tingkat optimal prosedur
pengendalian yang diperlukan untuk sebuah organisasi untuk memastikan tujuan
proses bisnis terpenuhi, namun tetap memungkinkan proses berfungsi secara
efisien. Prosedur pengendalian yang berlebihan cenderung menurunkan efisiensi
operasi; Prosedur pengendalian yang tepat harus menyeimbangkan menyelesaikan
sesuatu dengan mendapatkan mereka melakukannya dengan benar Tingkat kontrol
yang benar adalah keputusan manajemen yang harus dilakukan secara eksplisit,
dengan pengetahuan tentang risiko yang diasumsikan oleh organisasi. Contohnya
akan jadilah tingkat di mana anggota manajemen harus melakukan pengecekan
ulang. Ambang batas rendah berarti manajer akan menghabiskan sebagian besar
hari mereka untuk meninjau dan menandatangani cek- mungkin bukan penggunaan
waktu terbaik. Tingkat yang terlalu tinggi berarti pengawasan manajemen penting
transaksi mungkin tidak tercapai Tingkat yang tepat menyeimbangkan risiko
dengan biaya kontrol, semua berdasarkan pandangan manajemen mengenai tingkat
risiko yang dapat diterima terhadap organisasi.
Proses evaluasi kontrol akan mendokumentasikan struktur pengendalian
internal sebagaimana diimplementasikan dalam organisasi untuk memungkinkan
penilaian terhadap efektivitas kontrol tersebut. Ini dilakukan dengan
mendokumentasikan tujuan pengendalian yang diperlukan untuk menghasilkan
hasil yang akurat untuk setiap tugas dalam proses bisnis dan mengidentifikasi
prosedur pengendalian yang memastikan bahwa setiap tujuan pengendalian tertentu
terpenuhi. Dengan cara ini, tujuan proses mendorong tujuan pengendalian, yang
dipenuhi oleh prosedur pengendalian.
Untuk membantu mengelola penilaian, setiap proses bisnis harus dipilah
menjadi apapun jumlah subproses dan tugas Hal ini akan membantu membuat
penilaian lebih mudah dikelola setiap tugas dapat dinilai secara individual dan hasil
dikumpulkan untuk mencapai suatu organisasi melihat. Selain itu, model proses
dapat digunakan untuk memastikan tidak ada proses, subproses, atau tugas tidak
terjawab dalam evaluasi.
Tujuan utama penilaian tersebut adalah memperbaiki struktur pengendalian
internal di dalam sebuah organisasi dan mengurangi kesempatan untuk kecurangan
dan salah saji finansial. Ini termasuk mengidentifikasi di mana prosedur
pengendalian tidak dirancang secara memadai (yaitu, kontrol saat ini prosedur tidak
akan memenuhi tujuan pengendalian), serta dimana prosedur pengendaliannya
tidak diikuti oleh organisasi secara konsisten. Pada saat bersamaan, efisiensi dan
efektifitasnya operasi harus dinilai juga. Seringkali teknik kontrol baru tersedia
yang dapat membantu meningkatkan efisiensi operasi dengan kontrol yang serupa
atau lebih baik. Contoh terbaru adalah ketersediaan umum Internet banking yang
memungkinkan pengguna yang berwenang untuk melihat-lihat cek setiap hari dan
memeriksa kembali gambar secara online. Selain itu, penilaian memberi
kesempatan untuk mempertanyakan mengapa sebuah kontrol dilakukan di tempat
pertama, berpotensi mengidentifikasi dimana kontrol kuno atau usang harus
dieliminasi dan dibebaskan sumber daya untuk melakukan kegiatan pengendalian
yang penting.
Penilaian akan menunjukkan gap kontrol dimana disain, implementasi, atau
efisiensi Perbaikan harus dilakukan oleh organisasi. Peluang perbaikan ini akan
memberi nilai kepada manajemen, dan harus diberi peringkat untuk membantu
manajemen fokus pada masalah kontrol yang membutuhkan tindakan prioritas.
Misalnya, jika tujuan pengendalian tidak dipenuhi oleh kontrol yang ada dalam
prosesnya, ini bisa menghadirkan kesempatan untuk menghapus aset atau
menyembunyikan tindakan terlarang (yaitu, biarkan terjadi kecurangan). Temuan
ini harus ditandai untuk tindakan segera. Jika tujuan kontrol yang memberikan
risiko lebih rendah terhadap organisasi tidak terpenuhi, hal itu seharusnya ditandai
untuk masa depan mengikuti. Kontrol kesenjangan dan rencana tindakan korektif,
termasuk penyelidikan jika perlu, harus didokumentasikan secara menyeluruh
untuk memastikannya tindak lanjut yang memadai oleh manajemen.
Tujuan akhir dari proses evaluasi kontrol adalah memberikan manajemen
secara detail kepada Secara positif menyimpulkan bahwa sebuah sistem diterapkan
untuk melindungi aset dan memastikan bahwa keuangan yang akurat pelaporan
tercapai Dokumentasi ini sangat membantu setiap organisasi dan dibutuhkan bagi
perusahaan yang harus melaporkan status struktur pengendalian internal mereka
kepada SEC di bawah Sarbanes-Oxley Bagian 404.
Monitoring
Pemantauan adalah proses yang dirancang untuk memberikan jaminan
independen bahwa prosedur pengendalian internal beroperasi secara efektif dan
bahwa semua transaksi yang diproses sesuai dengan standar. Pemantauan yang
sedang berlangsung harus dilakukan di berbagai tingkatan di seluruh organisasi
sebagai bagian dari operasi bisnis normal.
Untuk pengendalian teknologi informasi, banyak kerangka kerja yang
diterima, seperti model COBIT yang diterbitkan oleh Audit Sistem Informasi dan
Pengendalian Informasi, mencakup aspek pemantauan sebagai kunci keberhasilan
organisasi. Kerangka kerja COBIT mencakup standar pemantauan dan panduan
implementasi terperinci bagi manajemen untuk:
● Pantau prosesnya
● Menilai kecukupan pengendalian internal
● Dapatkan jaminan independen
● Menyediakan audit independen18
Pemantauan melibatkan kegiatan pencegahan pencurian dan deteksi
kecurangan. Pertama, manajemen harus memastikan bahwa semua proses
pengendalian dilakukan sesuai yang dirancang dan disetujui. Mengontrol analisis
kepatuhan untuk memverifikasi kinerja prosedur yang benar dapat mengungkapkan
kontrol yang telah dimodifikasi atau tidak dilakukan sesuai persetujuan; Kelemahan
kontrol ini bisa menghadirkan peluang terjadinya kecurangan. Secara proaktif
mengidentifikasi kelemahan dan koreksi ini adalah aspek pencegahan pencurian
dari proses pemantauan.
Selain itu, manajemen harus menganalisis transaksi historis secara
independen dari proses pelaporan normal. Ini adalah aspek deteksi kecurangan
pemantauan, dan penting untuk mendeteksi jika seseorang telah mengidentifikasi
cara untuk mengalahkan prosedur pengendalian yang disetujui. Misalnya, kolusi
bisa mengalahkan prosedur pengendalian internal standar, dan pemantauan kinerja
prosedur pengendalian mungkin tidak mendeteksi hal ini. Analisis transaksi,
termasuk pengujian terperinci data elektronik, seringkali dapat mendeteksi
transaksi yang tidak sesuai ini. Panduan komprehensif untuk teknik pemantauan
data independen tercakup dalam Bab 14.
Komite audit harus menentukan ruang lingkup dan frekuensi evaluasi sistem
pengendalian internal; Bagi organisasi yang memiliki fungsi audit internal, jadwal
ini harus ditetapkan sebagai bagian dari proses perencanaan audit internal tahunan.
Selain itu, komite audit harus mendefinisikan proses untuk melaporkan kekurangan
kepada manajemen senior, termasuk waktu dan detail untuk disertakan dalam
laporan.
Kinerja Prosedur
Manajemen harus secara teratur memverifikasi bahwa prosedur pengendalian
internal dilakukan sebagaimana dimaksud dalam proses pemantauan. Bagi emiten
laporan keuangan yang diwajibkan untuk melaporkan status pengendalian internal
di bawah Sarbanes-Oxley Section 404, verifikasi kinerja prosedur pengendalian
merupakan bagian dari proses pelaporan yang dipersyaratkan. Bagi emiten lain dan
perusahaan non-publik, verifikasi ini masih penting untuk memastikan sistem
pengendalian internal bekerja dengan benar.
Pemantauan kegiatan pengendalian harus memastikan bahwa semua
karyawan menjalankan prosedur memahami standar kinerja untuk fungsinya dan
harus mendapatkan bukti positif bahwa karyawan secara konsisten menjalankan
prosedur sesuai standar tersebut. Beberapa metode verifikasi dapat diterapkan
untuk mendapatkan bukti ini.
● Wawancara. Karyawan harus dapat secara jelas mengartikulasikan
bagaimana mereka melaksanakan prosedur mereka. Seringkali,
wawancara ini akan mengungkapkan sedikit variasi dalam kinerja proses
dua sampai jalan pintas, perubahan proses dadakan, atau perubahan proses
yang belum dikomunikasikan kepada manajemen. Untuk semua
perusahaan, ini harus dijajaki dan disertifikasi jika memang proses
perbaikan. Bagi emiten yang melaporkan berdasarkan Bagian 404
Sarbanes-Oxley, perubahan proses yang tidak terdokumentasi tersebut
dapat mengakibatkan masalah pelaporan keuangan.
● Proses walk-through. Pengamatan terhadap proses bisnis yang dilakukan
oleh karyawan harus sesuai dengan deskripsi proses. Metode validasi ini
berguna karena memungkinkan pengamatan sumber transaksi, dan
pengolahan transaksi output dari transaksi (yaitu, kaitannya dengan proses
bisnis selanjutnya dimana arus transaksi). Seringkali, dalam proses walk-
through, perbedaan diamati untuk jalan pintas, perubahan sistem yang
tidak terdokumentasi, atau perbedaan sumber informasi (misalnya sumber
informasi yang digunakan untuk memproses transaksi). Hal ini dapat
terjadi karena orang yang melaksanakan proses tersebut tidak menjelaskan
metode pemrosesan sebenarnya dengan detail yang cukup selama detail
atau telah melakukan perubahan pada pemrosesan yang menurutnya tidak
signifikan. Analisis yang cermat harus diterapkan untuk menentukan
bagaimana perubahan kecil ini mempengaruhi keseluruhan sistem kontrol.
● Penggandaan. Informasi yang diperoleh selama wawancara dan
pengamatan proses dalam satu proses harus memverifikasi pemahaman
standar pengendalian internal yang diperoleh dianalisis proses terkait
Misalnya, jika pengawas akuntansi penggajian mencatat bahwa semua
karyawan mengubah formulir permintaan diproses sebelum cutoff minggu
pembayaran, dan pengguna laporan ringkasan gaji yang sering diabaikan
atau diproses terlambat diproses, penyelidikan lebih lanjut mengenai
prosedur pemrosesan di area penggajian adalah sesuai.
● Pembuktian secara eksternal. Komunikasi dari pihak eksternal harus
menguatkan secara internal menghasilkan informasi tentang eksekusi
proses Pihak eksternal, seperti vendor dan pelanggan, akan sering
memiliki wawasan yang luar biasa tentang metode pemrosesan aktual
organisasi; Pemantauan informasi ini bisa memberikan perspektif yang
independen bagaimana caranya prosesnya benar-benar bekerja.
Verifikasi Transaksi
Verifikasi transaksi memonitor integritas proses melalui rekaman laten yang
dihasilkan oleh transaksi yang diproses oleh sistem. Verifikasi ini dapat didasarkan
pada data sistem diproses atau review catatan transaksi berbasis kertas. Manajemen
harus mengembangkan skenario untuk mengalahkan kontrol internal untuk
memungkinkan kecurangan atau salah saji keuangan; tes harus monitor untuk
transaksi yang bisa mengindikasikan skenario yang telah terjadi.
Rekonsiliasi akun dapat memberi wawasan tentang kelayakan transaksi;
pengelolaan harus memastikan bahwa:
● Rekonsiliasi kunci diberikan kepada orang yang independen
● Kunci akun untuk rekonsiliasi yang harus dilakukan adalah katalog
● Rekonsiliasi item diidentifikasi, didokumentasikan, diselidiki dan
diselesaikan
● Manajemen menyadari proses rekonsiliasi dan menyadari rekonsiliasi
utama item dan item dan akun yang tidak didamaikan.
Manajemen juga harus mengembangkan metode pemantauan yang
independen dari laporan yang dihasilkan sebagai bagian dari proses bisnis normal.
Seringkali laporan ini dikembangkan dengan batas ekstraksi yang melekat yang
memungkinkan transaksi diproses dan tidak terdeteksi sebagai bagian dari keadaan
normal proses bisnis. Bab 14 mencakup panduan untuk pengembangan pemantauan
independen kegiatan. Sistem pemantauan yang berguna harus menyediakan:
● Independensi dari transaksi pemrosesan sistem
● Perbandingan data cross-system dan cross-functional terhadap aturan
bisnis
● Pengolahan data dalam jumlah besar, bukan hanya sampel saja
● Pemberitahuan untuk pengelolaan anomali potensial untuk tindak lanjut
tambahan
Audit internal
Fungsi audit internal berfungsi sebagai kegiatan pemantauan utama
manajemen; sebuah internal Fungsi audit sangat dibutuhkan oleh banyak bursa efek
sebagai syarat untuk dicatatkan. Itu profesi audit internal dipandu oleh standar
profesional yang dikeluarkan oleh Lembaga Internal Auditor.19 Definisi IIA
tentang audit internal menyatakan: Audit internal adalah kegiatan assurance dan
konsultasi independen yang bertujuan untuk menambahkan nilai dan memperbaiki
operasi organisasi. Ini membantu organisasi mencapai tujuannya dengan membawa
pendekatan yang sistematis dan disiplin mengevaluasi dan meningkatkan
efektivitas proses manajemen, pengendalian, dan tata kelola risiko.
Standar IIA mewajibkan fungsi audit agar tetap independen dari manajemen
operasi, Intinya, menempatkan auditor dalam posisi untuk memberikan penilaian
perusahaan yang obyektif operasi ke komite audit dewan. Fungsi audit internal
membantu audit komite dengan pelaksanaan dan evaluasi tata kelola perusahaan
dengan cara berkomunikasi nilai dan sasaran dan dengan memantau pencapaian
organisasi dari tujuan tersebut.
Secara tradisional, audit internal dilibatkan dalam audit operasional dan
kepatuhan; namun, karena persyaratan Undang-Undang Sarbanes-Oxley memberi
penekanan khusus pada Pentingnya pelaporan keuangan yang akurat, banyak fungsi
audit internal meningkatkan keterlibatan mereka dalam evaluasi inisiatif kepatuhan
Sarbanes-Oxley dalam organisasi, termasuk prosedur pelaporan keuangan dan
Bagian 404 upaya dokumentasi pengendalian internal.
Piagam audit tersebut mendefinisikan tujuan, wewenang, dan tanggung jawab
audit internal fungsi dalam organisasi. Fungsi audit internal mengembangkan
piagam dengan persetujuan komite audit dewan berdasarkan kebutuhan
pengawasan di dalam organisasi. Begitu ekspektasi dewan teridentifikasi, fungsi
audit internal dapat berkembang anggaran audit tingkat tinggi, seringkali mencakup
gabungan antara audit kepatuhan, pengawasan laporan keuangan, kegiatan
konsultasi internal, dan proyek khusus. Banyak dari kegiatan ini melampaui
kegiatan "kepatuhan" tradisional: Untuk pengendalian internal, misalnya, audit
internal dapat membantu dengan evaluasi efisiensi dan efektivitas prosedur
pengendalian internal, juga sebagai keseluruhan kepatuhan terhadap prosedur
tersebut.
Selama melakukan pekerjaan mereka, auditor internal akan tetap waspada
untuk kontrol yang signifikan kelemahan, dan melaporkan pengamatan semacam
itu ke tingkat manajemen yang sesuai. Ini menempatkan fungsi audit internal di
garis depan pencegahan penipuan. Kontrol yang signifikan Kelemahan bisa
menghadirkan peluang kecurangan, dan peluang semacam itu, tergantung pada
situasi spesifik, sebaiknya ditelaah untuk mengetahui apakah peluang itu memang
dieksploitasi.
Audit internal dapat melakukan investigasi kecurangan; Namun, ini akan
membutuhkan perubahan dalam lingkup, kualifikasi, dan anggaran dari rencana
audit awal. Pemeriksa yang melakukan audit kecurangan harus memenuhi syarat;
keterampilan ini biasanya tersedia di sebagian besar fungsi audit internal. Jika tidak,
chief executive audit harus memiliki wewenang dan anggaran untuk menyewa
seorang ahli luar untuk membantu pemeriksaan kecurangan.
Faktor internal
Faktor internal yang meningkatkan probabilitas kecurangan, pencurian, dan
penggelapan termasuk pengendalian manajemen atau pemantauan kegiatan yang
tidak memadai seperti berikut ini:
1. Gagal menciptakan budaya yang jujur.
2. Gagal mengartikulasikan dan mengkomunikasikan standar kinerja
minimum dan perilaku pribadi.
3. Orientasi dan pelatihan yang tidak memadai tentang hukum, etika,
kecurangan, dan keamanan masalah.
4. Kebijakan perusahaan yang tidak memadai sehubungan dengan sanksi atas
pelanggaran hukum, etika, dan keamanan; terutama untuk penipuan dan
kejahatan kerah putih.
5. Gagal untuk memberi nasihat dan melakukan tindakan administratif saat
tingkat kinerja atau perilaku pribadi berada di bawah standar yang dapat
diterima, atau melanggar prinsip dan pedoman entitas.
6. Ambiguitas dalam peran pekerjaan, tugas, tanggung jawab, dan bidang
pertanggungjawaban.
7. Kurangnya audit, inspeksi, dan tindak lanjut berkala atau periodik untuk
memastikan kepatuhan terhadap tujuan, prioritas, kebijakan, prosedur, dan
peraturan perundang-undangan; Secara umum, kurangnya akuntabilitas
atas posisi kunci kepercayaan.
Faktor Penipuan
Setiap penilaian risiko juga harus mempertimbangkan skema penipuan yang
lebih kemungkinan terjadi dalam rangka membimbing program antifraud.
Pencegahan dan Penanggulangan deteksi tentu lebih efektif jika mereka menangani
Skema penipuan yang paling mungkin dilakukan.
Untuk kecurangan laporan keuangan, jelas eksekutif entitas tersebut adalah
kemungkinan besar akan menjadi penipu dan dengan demikian penilaian risiko
pasti dilakukan termasuk individu tersebut. Untuk penyalahgunaan aset, seorang
karyawan di yang terpercaya Posisi kemungkinan menjadi pelakunya. Untuk
korupsi, mungkin saja sama saja termasuk seseorang di luar entitas yang bekerja
dengan seseorang di dalam-yang unik karakteristik skema korupsi.
Statistik dari ACFE RTTN dapat memberikan beberapa bantuan membuat
penentuan ini, seperti yang bisa otak produktif menyemprotkan fungsi silang tim.
Simpulan
Penilaian risiko merupakan titik awal yang penting untuk audit pada
umumnya. Di dalam bab, penilaian risiko digunakan sebagai alat untuk program
antifraud entitas, dimana entitas berusaha meminimalkan risiko kecurangannya.
Dengan demikian, langkah ini tidak tidak terjadi selama proses audit fraud.
Sebaliknya, ini adalah alat untuk mengidentifikasi risiko dan alamat yang paling
penting. Dianjurkan itu bisnis, terutama yang diperdagangkan secara publik,
melalui latihan ini secara reguler, dan bahwa auditor penipuan mempertimbangkan
konsep dan manajemen ini kemampuan manajemen risiko dalam pencegahan
penipuan, deteksi, dan investigasi.