Dokumen tersebut membahas mengenai Control and Risk Self-Assessment (CRSA) yang merupakan suatu pendekatan untuk mengevaluasi pengendalian internal, terutama pengendalian informal. CRSA diperlukan karena pengendalian internal tidak hanya terdiri dari pengendalian formal tetapi juga pengendalian informal. Dokumen tersebut juga menjelaskan beberapa teknik yang dapat digunakan dalam melakukan CRSA seperti kuesioner pengendalian internal, panduan pen

1. CONTROL AND RISK SELF-ASSESSMENT
(CRSA)
PKS Pebruari 2004
Penyaji : ST. Rusdi

2. Ada Apa dengan CRSA?

3. Peristiwa Risiko
COSO Enterprise
Risk Management
Framework
Tragedi WTC
Amerika Serikat Inggris
Risk Management
Standards

4. COSO Enterprise Risk Management
Framework
Informasi dan Komunikasi
Lingkungan Internal
Penentuan Tujuan
Identifikasi Peristiwa
Penaksiran Risiko
Respon Risiko
Aktivitas Pengendalian
Pemantauan

5. Kegagalan Pengendalian
Skandal Enron
Sarbanes-Oxley Act
AICPA
SAS dan
SSAE baru
SEC
FINAL
RULE
PCAOB
NEW
STANDARDS

6. Sarbanes-Oxley Act
Section 404: „Management Assessment of Internal
Controls“ requires the management of certain
public companies to include in their annual
reports an assessment of the effectiveness of
internal control over financial reporting, which
is assertion on which the auditor reports

7. SEC Final Rule atas Section 404
Laporan pengendalian internal harus mengungkapkan:
 Tanggungjawab manajemen untuk menetapkan dan
memelihara pengendalian internal yang memadai atas
pelaporan keuangan perusahaan,
 Kerangka yang digunakan oleh manajemen sebagai
keriteria evaluasi efektivitas pengendalian internal atas
pelaporan keuangan perusahaan,
 Penaksiran manajemen terhadap efektivitas pengendalian
internal atas pelaporan keuangan perusahaan yang
didasarkan pada evaluasi manajemen pada akhir tahun,
termasuk pengungkapan mengenai setiap kelemahan
material dalam pengendalian internal atas pelaporan
keuangan perusahaan yang diidentifikasi oleh manajemen.

8. Langkah-Langkah yang Harus Ditempuh
 Menentukan penangungjawab terhadap perancangan dan
pengawasan proses,
 Memahami ketentuan peraturan perundang-undangan
yang berlaku,
 Memahami ketentuan audit eksternal
 Memahami budaya organisasi, lingkungan bisnis, dan para
pemain kunci
 Memilih model pengendalian - COSO
 Memutuskan ruang lingkup evaluasi pengendalian internal
 Mengembangkan rencana proyek
 Mempertimbangkan proses evaluasi “Two Tiered”
 Membangun dokumentasi dan evaluasi pengendalian

9. Model-Model Pengendalian
1. COSO Report, Internal Control – Integrated
Framework
2. CoCo Report, Guidance on Controls
3. Cadbury Report, Codes of Best Practice

10. Aplikasi Kerangka COSO
Kerangka Pengendalian Internal COSO dapat Diaplikasikan
pada Dua Tingkat:
 Pada tingkat entitas, untuk masing-masing kelima
komponen, COSO memberikan beberapa atribut, untuk
tiap-tiap atribut, COSO memberikan titik fokus, untuk
masing-masing titik fokus dapat dikembangkan kriteria
yang lebih butir-butir spesifik untuk mendukung
penaksiran.
 Pada tingkat aktivitas atau tingkat proses, penelaahan
pengendalian internal atas pelaporan keuangan lebih
banyak difokuskan pada aktivitas pengendalian dan
pemantauan terhadap aktivitas pengendalian tersebut.

11. Komponen Pengendalian Internal COSO
 Lingkungan
Pengendalian
 Integritas dan Nilai-Nilai Etika
 Komitmen kepada Kompetensi
 Dewan Direksi dan Komite Audit
 Filosofi dan Gaya Operasi Manajemen
 Struktur Organisasi
 Pembagian Kewenangan dan Tanggungjawab
 Kebijakan dan Praktek Sumberdaya Manusia
 Penaksiran
Risiko
 Tujuan-Tujuan Seluruh Entitas
 Tujuan-Tujuan Tingkat Aktivitas
 Identifikasi dan Penaksiran Risiko
 Mengelola Perubahan
KOMPONEN ATRIBUT

12. Komponen Pengendalian Internal COSO
 Informasi dan
Komunikasi
 Informasi Internal dan Eksternal Diidentifikasi, Diperoleh,
Diproses dan Dilaporkan
 Komunikasi yang Efektif ke Segala Arah dalam Organisasi
(ke Bawah, Menyilang dan Ke Atas)
 Pemantauan  Pemantauan Berkesinambungan
 Evaluasi Terpisah
 Melaporkan Kekurangan
 Aktivitas
Pengendalian
 Kebijakan, Prosedur dan Tindakan Penanganan Risiko
untuk Mencapai Tujuan yang Ditetapkan
ATRIBUT
KOMPONEN

13. Aplikasi COSO pada Tingkat Proses
Asersi
Pelaporan
Keuangan
 Keberadaan
dan Keterjadian
 Kelengkapan
 Hak dan
Kewajiban
 Penilaian dan
Alokasi
 Penyajian dan
Pengungkapan
Komponen
COSO
 Lingkungan
Pengendalian
 Penaksiran
Risiko
 Informasi dan
Komunikasi
 Aktivitas
Pengendalian
 Pemantauan
 Untuk ketiga komponen ini, pertanyaan generik
dibuat untuk peroses sebenarnya
 Pertanyaan generik didasarkan pada atribut
yang diberikan COSO untuk masing-masing
komponen pengendalian
 Aktivitas pengendalian pada tingkat proses
menangani asersi pelaporan keuangan
 Aktivitas pengendalian mengurangi risiko
proses pelaporan keuangan sampai tingkat
yang dapat diterima
 Pemantauan pada tingkat proses dirancang
untuk menjamin pelaksanaan aktivitas
pengendalian dilakukan sesuai tujuan
Keterangan

14. 18 Maret 2003 AICPA Mengusulkan:
 SAS Auditing an Entity’s Internal Control
Over Financial Reporting in Conjunction
With the Financial Audit
 SAS Amendment to Statement on Auditing
Standards No. 100, Interim Financial
Information
 SSAE Reporting on an Entity’s Internal
Control Over Financial Reporting

15. Contoh Laporan Auditor Independen
Paragraf Pengantar:
Kami telah mengaudit Neraca PT X tanggal 31 Desember 20x3 dan 20x2,
laporan laba rugi, laporan perubahan ekuitas dan laporan arus kas untuk
tahun yang berakhir pada tanggal-tanggal tersebut di atas. Kami juga
telah mengaudit asersi manajemen yang tertuang dalam laporan
[sebutkan judul laporan manajemen] PT X mengenai pemeliharaan
pengendalian internal yang efektif atas pelaporan keuangan tanggal 31
Desember 20x3 berdasarkan [sebutkan nama kriteria]. Asersi manajemen
juga menyatakan bahwa pengendalian internal yang efektif atas
pelaporan keuangan termasuk: (a) pemeliharaan catatan dalam tingkat
detail yang akurat dan secara wajar mencerminkan transaksi dan
pelepasan aktiva perusahaan dan (b) kebijakan dan prosedur yang
memberikan keyakinan memadai bahwa (1) transaksi dicatat sesuai
dengan tujuan penyusunan laporan keuangan sesuai GAAP dan (2)
penerimaan dan pengeluaran perusahaan dilakukan hanya berdasarkan
otorisasi manajemen dan komisaris perusahaan. Laporan keuangan dan
asersi manajemen tentang efektivitas pengendalian internal atas
pelaporan keuangan merupakan tanggungjawab manajemen perusahaan.
Tanggungjawab kami terletak pada pernyataan pendapat atas laporan
keuangan dan asersi manajemen tersebut berdasarkan audit kami.

16. Contoh Laporan Auditor Independen
Paragraf Ruang Lingkup:
Kami melaksanakan audit berdasarkan standar auditing yang diterima
secara umum. Standar tersebut mengharuskan kami merencanakan dan
melaksanakan audit untuk memperoleh keyakinan memadai tentang
apakah laporan keuangan dan asersi manajemen bebas dari salah saji
material. Suatu audit atas laporan keuangan termasuk pemeriksaan,
berdasarkan pengujian, bukti-bukti yang mendukung jumlah-jumlah dan
pengungkapan dalam laporan keuangan, penilaian prinsip-prinsip
akuntansi yang digunakan dan estimasi signifikan yang dibuat
manajemen, dan evaluasi terhadap penyajian laporan keuangan secara
keseluruhan. Suatu audit atas pengendalian internal termasuk perolehan
suatu pemahaman terhadap pengendalian internal atas pelaporan
keuangan, pengujian dan pengevaluasian efektivitas rancangan dan
pelaksanaan pengendalian internal, dan prosedur-prosedur lain yang kami
anggap perlu sesuai keadaan. Kami yakin bahwa audit kami memberikan
dasar memadai bagi pendapat kami.

17. Contoh Laporan auditor Independen
Paragraf Keterbatasan Inheren:
Karena keterbatasan inheren dari pengendalian internal atas
pelaporan keuangan, termasuk kemungkinan terjadinya
pengabaian manajemen terhadap pengendalian, maka salah
saji berupa kekeliruan atau kecurangan dapat saja terjadi dan
tidak terdeteksi. Juga, proyeksi evaluasi terhadap
pengendalian internal atas pelaporan keuangan untuk
periode yang akan datang tergantung pada risiko sehingga
pengendalian internal menjadi tidak memadai karena adanya
perubahan kondisi, atau tingkat ketaatan kepada kebijakan
dan prosedur menjadi memburuk.

18. Contoh Laporan auditor Independen
Paragraf Opini:
Menurut pendapat kami, laporan keuangan sebagaimana
disebutkan di atas menyajikan secara wajar, dalam semua
hal yang material, posisi keuangan PT X tanggal 31
Desember 20x3 dan 20x2, dan hasil operasi serta arus kas
untuk masing-masing tahun dalam periode tiga tahun yang
berakhir pada tanggal 31 Desember 20x3 sesuai dengan
GAAP. Juga menurut pendapat kami, asersi manajemen
terhadap pengendalian internal atas pelaporan keuangan
sebagaimana disebutkan di atas dinyatakan secara wajar,
dalam semua hal yang material, berasarkan [sebutkan nama
kriterianya].

19. Definisi Auditing Internal
Suatu aktivitas independen, assurance obyektif,
dan konsultasi, yang dirancang untuk memberi
nilai tambah dan memperbaiki kegiatan operasi
organisasi. Auditing internal membantu suatu
organisasi mencapai tujuan-tujuannnya dengan
melakukan pendekatan yang sistematis dalam
mengevaluasi dan memperbaiki efektivitas
proses-proses manajemen risiko, pengendalian,
dan governance.
International Standards for the Professional Practice
of Internal Auditing (18 Oktober 2001):

20. Mengapa Harus CRSA?

21. Soft Control vs. Hard Control
Hard Controls:
• Formal
• Meninggalkan Bukti Fisik
• Terdokumentasi
• Lebih mudah
• Aktivitas Pengendalian,
Monitoring
Soft Controls:
• Informal
• Tanpa bukti fisik
• Dalam bentuk Persepsi
• Sulit mengevaluasinya
• Lingkungan Pengendalian,
• Risk Assessment

22. Prinsip-Prinsip Evaluasi Pengendalian
Lunak
 Sebisa mungkin dapatkan bukti fisiknya
 Jika bukti hanya berupa persepsi, gunakan
pendekatan terdisiplin (CRSA)
 Buat kesepakatan dengan manajemen mengenai
kriteria evaluasi
 lakukan kemitraan dengan manajemen, dan
tunjukkan setiap kelemahan sebagai umpan
balik yang berharga guna membantu manajemen
mencapai tujuan-tujuan bisnisnya dengan lebih
baik

23. Alasan Implementasi CRSA
 Sumberdaya
 Kolaboratif
 Pemberdayaan
 Model-Model Pengendalian
 Peraturan Perundang-undangan

24. Teknik-Teknik CRSA
 Internal Control Questionnaire
 Control Guide
 Structured Interview
 Facilitated Self-Assessment Meeting

25. Akhir Presentasi
Terima Kasih