Dokumen tersebut membahas mengenai Control and Risk Self-Assessment (CRSA) yang merupakan suatu pendekatan untuk mengevaluasi pengendalian internal, terutama pengendalian informal. CRSA diperlukan karena pengendalian internal tidak hanya terdiri dari pengendalian formal tetapi juga pengendalian informal. Dokumen tersebut juga menjelaskan beberapa teknik yang dapat digunakan dalam melakukan CRSA seperti kuesioner pengendalian internal, panduan pen
4. COSO Enterprise Risk Management
Framework
Informasi dan Komunikasi
Lingkungan Internal
Penentuan Tujuan
Identifikasi Peristiwa
Penaksiran Risiko
Respon Risiko
Aktivitas Pengendalian
Pemantauan
6. Sarbanes-Oxley Act
Section 404: „Management Assessment of Internal
Controls“ requires the management of certain
public companies to include in their annual
reports an assessment of the effectiveness of
internal control over financial reporting, which
is assertion on which the auditor reports
7. SEC Final Rule atas Section 404
Laporan pengendalian internal harus mengungkapkan:
Tanggungjawab manajemen untuk menetapkan dan
memelihara pengendalian internal yang memadai atas
pelaporan keuangan perusahaan,
Kerangka yang digunakan oleh manajemen sebagai
keriteria evaluasi efektivitas pengendalian internal atas
pelaporan keuangan perusahaan,
Penaksiran manajemen terhadap efektivitas pengendalian
internal atas pelaporan keuangan perusahaan yang
didasarkan pada evaluasi manajemen pada akhir tahun,
termasuk pengungkapan mengenai setiap kelemahan
material dalam pengendalian internal atas pelaporan
keuangan perusahaan yang diidentifikasi oleh manajemen.
8. Langkah-Langkah yang Harus Ditempuh
Menentukan penangungjawab terhadap perancangan dan
pengawasan proses,
Memahami ketentuan peraturan perundang-undangan
yang berlaku,
Memahami ketentuan audit eksternal
Memahami budaya organisasi, lingkungan bisnis, dan para
pemain kunci
Memilih model pengendalian - COSO
Memutuskan ruang lingkup evaluasi pengendalian internal
Mengembangkan rencana proyek
Mempertimbangkan proses evaluasi “Two Tiered”
Membangun dokumentasi dan evaluasi pengendalian
9. Model-Model Pengendalian
1. COSO Report, Internal Control – Integrated
Framework
2. CoCo Report, Guidance on Controls
3. Cadbury Report, Codes of Best Practice
10. Aplikasi Kerangka COSO
Kerangka Pengendalian Internal COSO dapat Diaplikasikan
pada Dua Tingkat:
Pada tingkat entitas, untuk masing-masing kelima
komponen, COSO memberikan beberapa atribut, untuk
tiap-tiap atribut, COSO memberikan titik fokus, untuk
masing-masing titik fokus dapat dikembangkan kriteria
yang lebih butir-butir spesifik untuk mendukung
penaksiran.
Pada tingkat aktivitas atau tingkat proses, penelaahan
pengendalian internal atas pelaporan keuangan lebih
banyak difokuskan pada aktivitas pengendalian dan
pemantauan terhadap aktivitas pengendalian tersebut.
11. Komponen Pengendalian Internal COSO
Lingkungan
Pengendalian
Integritas dan Nilai-Nilai Etika
Komitmen kepada Kompetensi
Dewan Direksi dan Komite Audit
Filosofi dan Gaya Operasi Manajemen
Struktur Organisasi
Pembagian Kewenangan dan Tanggungjawab
Kebijakan dan Praktek Sumberdaya Manusia
Penaksiran
Risiko
Tujuan-Tujuan Seluruh Entitas
Tujuan-Tujuan Tingkat Aktivitas
Identifikasi dan Penaksiran Risiko
Mengelola Perubahan
KOMPONEN ATRIBUT
12. Komponen Pengendalian Internal COSO
Informasi dan
Komunikasi
Informasi Internal dan Eksternal Diidentifikasi, Diperoleh,
Diproses dan Dilaporkan
Komunikasi yang Efektif ke Segala Arah dalam Organisasi
(ke Bawah, Menyilang dan Ke Atas)
Pemantauan Pemantauan Berkesinambungan
Evaluasi Terpisah
Melaporkan Kekurangan
Aktivitas
Pengendalian
Kebijakan, Prosedur dan Tindakan Penanganan Risiko
untuk Mencapai Tujuan yang Ditetapkan
ATRIBUT
KOMPONEN
13. Aplikasi COSO pada Tingkat Proses
Asersi
Pelaporan
Keuangan
Keberadaan
dan Keterjadian
Kelengkapan
Hak dan
Kewajiban
Penilaian dan
Alokasi
Penyajian dan
Pengungkapan
Komponen
COSO
Lingkungan
Pengendalian
Penaksiran
Risiko
Informasi dan
Komunikasi
Aktivitas
Pengendalian
Pemantauan
Untuk ketiga komponen ini, pertanyaan generik
dibuat untuk peroses sebenarnya
Pertanyaan generik didasarkan pada atribut
yang diberikan COSO untuk masing-masing
komponen pengendalian
Aktivitas pengendalian pada tingkat proses
menangani asersi pelaporan keuangan
Aktivitas pengendalian mengurangi risiko
proses pelaporan keuangan sampai tingkat
yang dapat diterima
Pemantauan pada tingkat proses dirancang
untuk menjamin pelaksanaan aktivitas
pengendalian dilakukan sesuai tujuan
Keterangan
14. 18 Maret 2003 AICPA Mengusulkan:
SAS Auditing an Entity’s Internal Control
Over Financial Reporting in Conjunction
With the Financial Audit
SAS Amendment to Statement on Auditing
Standards No. 100, Interim Financial
Information
SSAE Reporting on an Entity’s Internal
Control Over Financial Reporting
15. Contoh Laporan Auditor Independen
Paragraf Pengantar:
Kami telah mengaudit Neraca PT X tanggal 31 Desember 20x3 dan 20x2,
laporan laba rugi, laporan perubahan ekuitas dan laporan arus kas untuk
tahun yang berakhir pada tanggal-tanggal tersebut di atas. Kami juga
telah mengaudit asersi manajemen yang tertuang dalam laporan
[sebutkan judul laporan manajemen] PT X mengenai pemeliharaan
pengendalian internal yang efektif atas pelaporan keuangan tanggal 31
Desember 20x3 berdasarkan [sebutkan nama kriteria]. Asersi manajemen
juga menyatakan bahwa pengendalian internal yang efektif atas
pelaporan keuangan termasuk: (a) pemeliharaan catatan dalam tingkat
detail yang akurat dan secara wajar mencerminkan transaksi dan
pelepasan aktiva perusahaan dan (b) kebijakan dan prosedur yang
memberikan keyakinan memadai bahwa (1) transaksi dicatat sesuai
dengan tujuan penyusunan laporan keuangan sesuai GAAP dan (2)
penerimaan dan pengeluaran perusahaan dilakukan hanya berdasarkan
otorisasi manajemen dan komisaris perusahaan. Laporan keuangan dan
asersi manajemen tentang efektivitas pengendalian internal atas
pelaporan keuangan merupakan tanggungjawab manajemen perusahaan.
Tanggungjawab kami terletak pada pernyataan pendapat atas laporan
keuangan dan asersi manajemen tersebut berdasarkan audit kami.
16. Contoh Laporan Auditor Independen
Paragraf Ruang Lingkup:
Kami melaksanakan audit berdasarkan standar auditing yang diterima
secara umum. Standar tersebut mengharuskan kami merencanakan dan
melaksanakan audit untuk memperoleh keyakinan memadai tentang
apakah laporan keuangan dan asersi manajemen bebas dari salah saji
material. Suatu audit atas laporan keuangan termasuk pemeriksaan,
berdasarkan pengujian, bukti-bukti yang mendukung jumlah-jumlah dan
pengungkapan dalam laporan keuangan, penilaian prinsip-prinsip
akuntansi yang digunakan dan estimasi signifikan yang dibuat
manajemen, dan evaluasi terhadap penyajian laporan keuangan secara
keseluruhan. Suatu audit atas pengendalian internal termasuk perolehan
suatu pemahaman terhadap pengendalian internal atas pelaporan
keuangan, pengujian dan pengevaluasian efektivitas rancangan dan
pelaksanaan pengendalian internal, dan prosedur-prosedur lain yang kami
anggap perlu sesuai keadaan. Kami yakin bahwa audit kami memberikan
dasar memadai bagi pendapat kami.
17. Contoh Laporan auditor Independen
Paragraf Keterbatasan Inheren:
Karena keterbatasan inheren dari pengendalian internal atas
pelaporan keuangan, termasuk kemungkinan terjadinya
pengabaian manajemen terhadap pengendalian, maka salah
saji berupa kekeliruan atau kecurangan dapat saja terjadi dan
tidak terdeteksi. Juga, proyeksi evaluasi terhadap
pengendalian internal atas pelaporan keuangan untuk
periode yang akan datang tergantung pada risiko sehingga
pengendalian internal menjadi tidak memadai karena adanya
perubahan kondisi, atau tingkat ketaatan kepada kebijakan
dan prosedur menjadi memburuk.
18. Contoh Laporan auditor Independen
Paragraf Opini:
Menurut pendapat kami, laporan keuangan sebagaimana
disebutkan di atas menyajikan secara wajar, dalam semua
hal yang material, posisi keuangan PT X tanggal 31
Desember 20x3 dan 20x2, dan hasil operasi serta arus kas
untuk masing-masing tahun dalam periode tiga tahun yang
berakhir pada tanggal 31 Desember 20x3 sesuai dengan
GAAP. Juga menurut pendapat kami, asersi manajemen
terhadap pengendalian internal atas pelaporan keuangan
sebagaimana disebutkan di atas dinyatakan secara wajar,
dalam semua hal yang material, berasarkan [sebutkan nama
kriterianya].
19. Definisi Auditing Internal
Suatu aktivitas independen, assurance obyektif,
dan konsultasi, yang dirancang untuk memberi
nilai tambah dan memperbaiki kegiatan operasi
organisasi. Auditing internal membantu suatu
organisasi mencapai tujuan-tujuannnya dengan
melakukan pendekatan yang sistematis dalam
mengevaluasi dan memperbaiki efektivitas
proses-proses manajemen risiko, pengendalian,
dan governance.
International Standards for the Professional Practice
of Internal Auditing (18 Oktober 2001):
21. Soft Control vs. Hard Control
Hard Controls:
• Formal
• Meninggalkan Bukti Fisik
• Terdokumentasi
• Lebih mudah
• Aktivitas Pengendalian,
Monitoring
Soft Controls:
• Informal
• Tanpa bukti fisik
• Dalam bentuk Persepsi
• Sulit mengevaluasinya
• Lingkungan Pengendalian,
• Risk Assessment
22. Prinsip-Prinsip Evaluasi Pengendalian
Lunak
Sebisa mungkin dapatkan bukti fisiknya
Jika bukti hanya berupa persepsi, gunakan
pendekatan terdisiplin (CRSA)
Buat kesepakatan dengan manajemen mengenai
kriteria evaluasi
lakukan kemitraan dengan manajemen, dan
tunjukkan setiap kelemahan sebagai umpan
balik yang berharga guna membantu manajemen
mencapai tujuan-tujuan bisnisnya dengan lebih
baik