KOMPONEN SPI COSO COSO (Committee of Sponsoring Organization) adalah suatu organisasi di US yang anggotanya terdiri dari AAA

A (the American Accounting Association), AICPA, IIA (the Institute of Internal Auditors), IMA (the Institute of Management Accountants), dan FEI (the Financial Executives Institute). Komponen SPI Versi COSO 1. Lingkungan Pengendalian (control environment) 2. Aktivitas pengendalian (control activities)
3. Pengukuran risiko (risk assessment) 4. Sistem informasi dan komunikasi (information and communication system)

Pemantauan (monitoring) LINGKUNGAN PENGENDALIAN

Aspek terpenting atau fondasi utama dalam setiap organisasi adalah SDM, yang mencakup integritas, pemahaman etika, dan tingkat kompetensinya. Sikap mental dan prilaku SDM sangat dipengaruhi oleh lingkungannya, yang terdiri dari beberapa faktor sbb.: 1. Komitmen terhadap integritas dan etika profesional 2. Filosofi manajemen dan gaya operasi organisasi
3. Struktur ogranisasi, untuk mempertegas garis otoritas dan tanggungjawab,

memberikan pedoman untuk perencanaan, pengarahan, dan pengendalian operasi.

4. Efektifitas

peran dewan komisaris dan komite audit. Komite audit bertanggungjawab mengawasi struktur pengendalian interen perusahaan, proses pelaporan keuangan, serta kepatuhan perusahaan terhadap undangundang, peraturan, serta berbagai ketentuan yang berlaku.

5. Metode penetapan otoritas dan tanggungjawab

6. Kebijakan dalam bidang sumber daya manusia (SDM)

7. Pengaruh eksteren.

AKTIVITAS PENGENDALIAN (CONTROL ACTIVITIES) 1. Ketepatan otorisasi transaksi. Klasifikasi otorisasi:

a. Otorisasi khusus (specific authorization), otorisasi yang diberikan

secara terbatas untuk melaksanakan transaksi atau aktivitas yang bersifat khusus dan tidak terjadi secara rutin. b. Otorisasi umum (general authorization), yaitu otorisasi yang diberikan secara penuh tanpa diperlukan persetujuan khusus untuk melaksanakan transaksi atau kegiatan rutin. 2. Pemisahan fungsi, mencakup fungsi: 1. Otorisasi 2. Pencatatan (recording) 3. Penyimpanan (custody) Catatan: Dengan teknologi, dimungkinkan beberapa fungsi penting digabung dan kemudian dikendalikan dengan teknologi. Jenis Transaksi Order penjualan Contoh fungsi otorisasi Persetujuan: kredit pelanggan, pengiriman barang, retur penjualan. Otorisasi: pesanan barang/jasa, pengeluaran modal, pemilihan pemasok, penerimaan barang. Persetujuan: jenis dan kuantitas produksi, pengeluaran/penggunaan bahan baku, skedul produksi, penyelesaian produk. Rekrutmen karyawan, persetujuan: kenaikan gaji, jam kerja, pemotongan gaji. Pencairan cek, penghapusan piutang tak tertagih. Persetujuan faktur pembelian, pembayaran utang, dan pengisian kas kecil.

Pembelian

Produksi

SDM/Penggajian

Penerimaan kas Pengeluaran kas

ILUSTRASI PRINSIP PEMISAHAN FUNGSI

3. Pemberdayaan Dokumen dan Pembukuan

Fungsi dokumen: a. b. c. Sebagai alat dokumentasi transaksi/kegiatan Sebagai alat otorisasi kegiatan Sebagai alat perintah pelaksanaan kegiatan

Fungsi pembukuan:
a. Sebagai alat

peringkasan dan klasifikasi dokumen kegiatan Sebagai alat pelaporan kegiatan

b. Pembatasan akses terjadap aset, catatan, dan informasi. c. Pengecekan independen, bisa mencakup: a. Rekonsiliasi dua catatan (record) secara independen. b. Audit, untuk pembandingan data/laporan dengan fakta.

c. Double-Entry Accounting, debit harus sama dengan kredit.

d. Batch totals atau jumlah kelompok, dalam hal data diproses secara

kelompok. Contoh-contoh batch total:

a. Financial total, adalah jumlah rupiah data yang diolah, misalnya jumlah

rupiah penjualan atau jumlah penerimaan kas.

b. Hash total, adalah elemen data yang diolah, misalnya jumlah rekening

pelanggan yang diproses atau jumlah unit dan harga barang yang dijual.

c. Record count, adalah jumlah data yang diproses dalam sistem, misalnya

jumlah order penjualan.

d. Line count, adalah jumlah satuan data dalam satu dokumen, misalnya jumlah

jenis barang yang dijual.

e. Cross-footing balance test, adalah pengujian jumlah baik secara horizontal

maupun secara vertikal, untuk menguji kesesuaian angka-angka yang ada di dalam suatu tabel.

PENGUKURAN RISIKO (RISK ASSESSMENT) Risiko harus diantisipasi dan dirancang strategi untuk mengidentifikasi, menganalisis, dan mengendalikannya. Langkah-langkah pengidentifikasian dan pengendalian risiko antara lain : 1. Mengidentifikasi ancaman, dalam bentuk: a. b. c. d. Ancaman strategik, seperti melakukan hal yang salah. Ancaman operasional, seperti melakukan hal yang benar dengan cara yang salah. Ancaman finansial, seperti pemborosan dan hilangnya asset. Ancaman informasi, seperti informasi yang salah atau tidak relevan.

2. Jika perusahaan menggunakan EDI (electronic data interchange), ancaman atau risiko bisa dalam bentuk:
a. Ketidaktepatan pemilihan teknologi. b. Akses sistem tanpa otorisasi c. Gangguan transmisi data d. Gangguan integritas data e. Transaksi tidak terlaksana dengan sempurna f. Kerusakan sistem Sistem tidak kompatibel 3. Memprakirakan risiko dan kerugian (estimate risk and exposure). 4. Mengidentifikasi alternatif sistem pengendalian. 5. Mempertimbangkan hubungan biaya dan manfaat.

6. Menentukan efektivitas hubungan biaya-manfaat.

7. Mengimplementasikan sistem pengendalian untuk melindungi ketiatan dan transaksi dari kemungkinan datangnya ancaman. INFORMASI DAN KOMUNIKASI (INFORMATION AND COMMUNICATION)

Sistem informasi dan komunikasi dikembangkan untuk menjamin kualitas pelaksanaan, pengelolaan dan pengendalian kegiatan operasional serta untuk mengkomunikasikan berbagai aspek penting dalam organisasi. Pijakan utama seluruh kegiatan bisnis adalah informasi dan komunikasi.

Dalam bidang informasi dan komunikasi, akuntan harus memahami: 1. Proses terjadinya transaksi
2. Proses pendokumentasian transaksi melalui berbagai peralatan sistem yang ada atau

proses konversi dokumen transaksi ke dalam perangkat perekam transaksi 2. 3. Proses pengaksesan dan pemutakhiran file Proses penyediaan dan penyajian informasi/laporan

4. Proses pelaporan informasi untuk kepentingan interen dan eksteren.

PEMANTAUAN (MONITORING) Keseluruhan proses harus dimonitor, dimodifikasi bilamana perlu, agar system berkembang secara dinamis sesuai dengan tuntutan keadaan. Faktor penting dalam pelaksanaan aktivitas pemantauan adalah audit interen untuk mereview keandalan keseluruhan aspek kegitan operasional perusahaan.

COSO Enterprise Risk Management Framework Tujuan: membantu mewujudkan sasaran sistem pengendalian, serta membantu organisasi untuk: 1. Memastikan pencapaian sasaran organisasi serta meminimumkan problem operasional bisnis. 2. Memastikan pencapaian target keuangan dan kinerja organisasi 3. Mengukur risiko dan mengidentifikasi solusi risiko secara berkelanjutan. 4. Menentukan dan mengukur alokasi sumberdaya untuk minimalisasi risiko. 5. Mencegah publikasi yang berdampak negatif dan merusak reputasi organisasi.

Definisi ERM Enterprise Risk Management ERM adalah proses yang dipengaruhi oleh dewan komisaris, manajemen dan seluruh peronel organisasi, diterapkan dalam strategi organisasi serta mencakup seluruh bagian organisasi, untuk mengidentifikasi potensi kejadian yang berpengaruh negatif terhadap organisasi, serta memastikan pencapaian tujuan organisasi secara efektif dan efisien. Pemikiran Dasar ERM 1. Perusahaan didirikan untuk memberikan manfaat bagi pemiliknya. 2. Manajemen harus mengukur tingkat ketidakpastian yang dapat diterima dalam upaya penciptaan manfaat. 3. Ketidakpastian bisa mendatangkan risiko, yaitu kejadian yang menghambat kemampuan organisasi dalam menciptakan manfaat. 4. Ketidakpasitan, di sisi lain, dapat menghadirkan peluang dalam menciptakan manfaat. 5. Rerangka ERM membantu manajemen dalam mengelola ketidakpastian, risiko, dan peluang. Tujuan Organisasi 1. Tujuan strategis 2. Tujuan operasional 3. Tujuan pelaporan 4. Tujuan kepatuhan Risiko dan Komponen Pengendalian 1. Lingkungan interen 2. Perangkat tujuan 3. Identifikasi kejadian 4. Pengukuran risiko 5. Respon risiko 6. Aktivitas pengendalian 7. Informasi dan komunikasi 8. Monitoring Deskripsi ERM-Framework

1. Tujuan strategis, berhubungan dengan puncak tujuan organisasi sesuai dengan misi

organisasi.
2. Tujuan operasional, berhubungan dengan efektifitas dan efisiensi operasi, seperti

target kinerja, keuntungan, dan pengamanan aset.

3. Tujuan pelaporan, berhubungan dengan keakuratan, kelengkapan, dan keandalan

laporan, baik keuangan maupun non keuangan.

4. Tujuan kepatuhan, berhubungan dengan masalah kepatuhan organisasi dengan

peraturan dan undang-undang yang berlaku. Internal Control Framework VS ERM Framework

IC Framework menggunakan control based ERM Framework menggunakan risk based ERM tidak menggantikan IC Framework, tetapi melengkapi IC Framework

Peran Sistem Pengendalian Interen

Mencegah ancaman, kerugian, dan risiko (threats, exposures, and risks) atas berbagai hal berikut ini: 1. Penggunaan sumber daya secara tidak efisien. 2. Kesalahan keputusan manajemen. 3. Kesalahan pencatatan dan pemrosesan data, disengaja maupun tidak. 4. Kerusakan sistem, hardware atau software. 5. Keteledoran atau kecurangan pegawai. 6. Pelanggaran terhadap kebijakan manajemen atau peraturan pemerintah. 7. Perubahan SIA atau bagian dari SIA tanpa otorisasi. 8. Embezzlement, atau pencurian dengan pemalsuan dokumen dan catatan. 9. Tindakan ilegal karyawan, misalnya menerima suap. 10. Denda atau kerugian lain karena penyimpangan terhadap peraturan atau perjanjian kontrak.

Peran Penting SPI

1. 2.

Membantu manajemen dalam mengendalikan dan memastikan keberhasilan kegiatan organisasi. Menciptakan pengawasan melekat, menutupi kelemahan dan keterbatasan personel, serta mengurangi kemungkinan terjadinya kesalahan dan kecurangan.

3. 4.

Membantu auditor dalam menentukan ukuran sampel dan pendekatan audit yang akan diterapkan. Membantu auditor dalam memastikan efektifitas audit, dengan keterbatasan waktu dan biaya audit.

Peran Akuntan Dalam Sistem Pengendalian Interen

1. 2. 3.

Merancang SIA untuk mencegah atau meminimumkan risiko dan kerugian karena lemahnya sistem pengendalian. Mengamankan SIA dari berbagai ancaman dan risiko SIA. Memperbaiki dan atau memodifikasi SIA jika ancaman benar-benar terjadi.

Comlpience test
Compliance test (Test Ketaatan) atau test of recorded transaction adalah : Test terhadap bukti pembukuan untuk mengetahui apakah setiap transaksi yang terjadi sudah diproses dan dicatat sesuai dengan sistem dan prosedur yang ditetapkan manajemen Jika terjadi penyimpangan dalam pemrosesan dan pencatatan transaksi, walaupun jumlah (rupiahnya) tidak material auditor memperhitungkan pengaruh dan penyimpangan terhadap efektifitas pengendalian intern Dilakukan pada waktu interim audit, dilanjutkan setelah perusahaan melakukan penutupan buku pada akhir tahun Pertimbangkan apakah kelemahan dalam salah satu aspek pengendalian intern bisa diatasi dengan compensating control Dalam melaksanakan compliance test, auditor harus memperhatikan : Kelengkapan bukti pendukung (supporting schedule) Kebenaran perhitungan matematis (footing, cross footing, extension) Otorisasi dari pejabat perusahaan yang berwenang Kebenaran nomor perkiraan yang di Debit / Kredit Kebenaran posting ke buku besar dan sub buku besar

Materalialitas dalam SPI

Kesalahan yang ditemukan Material pertimbangkan tingkat materialitas auditor usulkan audit adjusment, jika klien tidak setuju, auditor tidak boleh memberikan Unqualified Tidak material (immaterial) auditor tidak perlu memaksakan usulan adjustment, karena tidak mempengaruhi opini akuntan publik Dengan demikian dapat diimpulkan bahwa semakin besar kemungkinan adanya kelemahan dalam SPI perusahaan, semakin banyak pula bukti (sampel) yang dibutuhkan auditor, karena dengan adanya kelemahan dalam SPI perusahaan terdapat kemungkinan salah saji yang material. Sebaliknya apabila SPI dalam perusahaan dijalankan dengan baik, semakin sedikit pula sampel yang dibutuhkan auditor dalam proses audit, dampaknya semakin kecil pula kemungkinan salah saji dalam laporan ke uangan perusahaan

TUGAS AUDITING DAN ATESTASI SISTEM PENGENDALIAN INTERNAL - COSO

Oleh: Rustama Perkasa

Jurusan Ilmu Akuntansi Fakultas Ekonomi dan Bisnis Universitas Brawijaya 2011